Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Windows Verschlüsselungs-Trojaner

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 22.05.2012, 13:26   #1
trob07
 
Windows Verschlüsselungs-Trojaner - Standard

Windows Verschlüsselungs-Trojaner



Eine Bekannte hat sich den Windows Verschlüsselungs-Trojaner eingefangen.
Ich versuche das Problem zu lösen.

Habe mir mit OTLPE folgende Datei erstellt: OTL.txt

Wäre sehr froh, wenn mir jemand daraus die fix.txt erstellen könnte.
Danke.
Den Rest bekomme ich, denke ich, allein hin.

Ciao
trob07

Alt 23.05.2012, 11:02   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Verschlüsselungs-Trojaner - Standard

Windows Verschlüsselungs-Trojaner



Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung
  • Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
  • Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

    Windows im abgesicherten Modusstarten
__________________

__________________

Alt 24.05.2012, 07:54   #3
trob07
 
Windows Verschlüsselungs-Trojaner - Standard

Windows Verschlüsselungs-Trojaner



Nein, beides negativ. Kein abgesicherter Modus, kein Internet - zumindest auf dem befallenen Laptop. ;-)

Habe ihn mit OTLPE gestartet und die schon bereits gepostete OTL.txt erstellt. Einige Einträge sind offensichtlich falsch:
O6 - Registry bearbeiten gesperrt,
O6 - Task Manager gesperrt,
O20 - Start von 795BDF30D8557FC9556F.exe beim Systemstart
Einige andere weniger.
Was passiert, wenn ich diese offensichtlichen Manipulationen korrigiere und den Rest, den ich nicht kenne, so belasse und neu starte?
Immerhin hatte Avast Antivirus mit einem erneuten Suchlauf zwei Tage später diese 795BDF30D8557FC9556F.exe aufgespürt und in Quarantäne geschickt. Beim ersten Mal wurde noch nichts gefunden, auch nicht von Malware Antibytes.

Gibt es ein Tool wie HiJackThis, welches auch fremde Registry ausliest und mir Tipps beim Reparieren gibt?
Gibt es für OTLPE eine Funktionsanleitung?
Weiß einfach nicht, welche Registry-Einträge ich gefahrenlos verändern kann und welche nicht.
Weiterhin sind unter Document and Settings (engl. WinXP-Version) alle Dateien, soweit zu erkennen, noch vorhanden - also nicht verschlüsselt.
Gibt es bekannte Ordner, die von diesem Trojaner zuerst verschlüsselt werden? Oder hatten wir einfach Glück, dass noch nichts in der Richtung passiert ist? Ihre mails liest sie online. Also gibt es da keinen Angriffspunkt.

Würde mich freuen, wenn mal jemand die restlichen Registry-Einträge nach Ungereimten absucht und mir ein paar Tipps zum Ändern geben kann.
Danke.
__________________

Alt 24.05.2012, 21:21   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Verschlüsselungs-Trojaner - Standard

Windows Verschlüsselungs-Trojaner



Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O4 - HKU\Uli_ON_C..\Run: [D8557FC9]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Uli_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\795BDF30D8557FC9556F.exe) -  File not found
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/07/25 16:19:08 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2011/12/02 08:26:58 | 000,000,382 | ---- | M] () - D:\autologin.reg -- [ FAT ]
:Files
C:\WINDOWS\System32\winsh32?
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Alt 25.05.2012, 12:30   #5
trob07
 
Windows Verschlüsselungs-Trojaner - Standard

Windows Verschlüsselungs-Trojaner



Vielen Dank an die Trojaner-Board-Crew, dass ihr euch so schnell meines Problemes angenommen habt und es erfolgreich gelöst habt.

Ich hänge das gezippte OTL-Logfile hier dran.
Den gezippten Ordner movedfiles habe ich gerade nach eurer Anleitung hochgeladen.

Ich schlage der Laptopbesitzerin eine Spende an euer Team vor.

Off topic: Falls einer der fleißigen Trojanerjäger Lust hat, während des diesjährigen Seifenkistenrennens am 7.7.12 in der Saloppe in Dresden hier mein Gast zu sein, kann er sich gern nochmal melden.
Ist immer eine sehr heitere Angelegenheit. Ein trojanisches Pferd war, glaube ich, in den vergangenen Jahren auch schon mal am Start...

Beste Grüße aus Dresden
trob07

Anhangen movedFiles entfernt //cosinus


Geändert von cosinus (25.05.2012 um 12:53 Uhr)

Alt 25.05.2012, 12:52   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Verschlüsselungs-Trojaner - Standard

Windows Verschlüsselungs-Trojaner



Zitat:
Den gezippten Ordner movedfiles habe ich gerade nach eurer Anleitung hochgeladen.
Das mit der Anleitung lesen übst du besser nochmal!
Bist du irre hier einen MovedFiles Ordner mit Schädlingen öffentlich anzuhängen! Das sollte in den Uploadchannel!
__________________
--> Windows Verschlüsselungs-Trojaner

Alt 25.05.2012, 14:19   #7
trob07
 
Windows Verschlüsselungs-Trojaner - Standard

Windows Verschlüsselungs-Trojaner



hmmm,
was war denn in der gezippten Datei drin?
Meines Wissens habe ich die log-Datei gezippt und drangehängt, da .log nicht als Dateianhang akzeptiert wird. Ok, ich hätte wohl die log-datei als Code einfügen können. Das mache ich hiermit:

Code:
ATTFilter
========== OTL ==========
Registry key HKEY_USERS\Uli_ON_C\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry key HKEY_USERS\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
Registry key HKEY_USERS\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
Registry key HKEY_USERS\Uli_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\795BDF30D8557FC9556F.exe deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
D:\autologin.reg moved successfully.
========== FILES ==========
C:\WINDOWS\System32\winsh320 moved successfully.
C:\WINDOWS\System32\winsh321 moved successfully.
C:\WINDOWS\System32\winsh322 moved successfully.
C:\WINDOWS\System32\winsh323 moved successfully.
C:\WINDOWS\System32\winsh324 moved successfully.
C:\WINDOWS\System32\winsh325 moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 05252012_164424
         
Falls ich dennoch aus Versehen die movedfiles.zip erwischt habe bitte ich um Entschuldigung.
Diese hatte ich eigentlich nur in eurem Upload-Kanal hochladen wollen.

Ciao
trob07

Alt 25.05.2012, 14:44   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Verschlüsselungs-Trojaner - Standard

Windows Verschlüsselungs-Trojaner



Zitat:
was war denn in der gezippten Datei drin?
Alle Dateien die OTL ebenfalls löscht! Stand außerdem deutlich da, dass dieser Ordner mit den MovedFiles in den Uploadchannel und nicht hier in den Beitrag sollte!


Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         

Alt 25.05.2012, 19:58   #9
trob07
 
Windows Verschlüsselungs-Trojaner - Standard

Windows Verschlüsselungs-Trojaner



Malwarebytes Log-Datei folgt hier...

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.25.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
           [Administrator]

Schutz: Aktiviert

25.05.2012 16:44:09
mbam-log-2012-05-25 (19-04-00).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 223217
Laufzeit: 2 Stunde(n), 19 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
c:\system volume information\_restore{14ec9f6b-ffb2-458d-80b8-83cbc395846e}\rp52\a0011117.exe (Trojan.Ransom) -> Keine Aktion durchgeführt.
c:\documents and settings\uli\local settings\temp\zurtwenqyr.pre (Trojan.Ransom) -> Keine Aktion durchgeführt.
c:\documents and settings\uli\local settings\temp\temporary directory 1 for bestelldetails.zip\bestelldetails.exe (Trojan.Ransom) -> Keine Aktion durchgeführt.

(Ende)
         
Die von MB gefunden Dateien habe ich nach der Log-Erstellung erfolgreich löschen lassen.
ESET-Scan kann erst nächste Woche erfolgen, da wir übers WE wegfahren.

Vielen Dank nochmal.

Ciao
trob07

Alt 25.05.2012, 23:34   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Verschlüsselungs-Trojaner - Standard

Windows Verschlüsselungs-Trojaner



Ok, dann erstmal schönes WE - melde dich hier einfach wieder wenn du das ESET Log hast

Antwort

Themen zu Windows Verschlüsselungs-Trojaner
bekannte, daraus, datei, erstell, erstelle, erstellen, erstellt, folge, folgende, otlpe, problem, verschlüsselungs-trojaner, versuche, windows, windows verschlüsselungs-trojaner



Ähnliche Themen: Windows Verschlüsselungs-Trojaner


  1. Verschlüsselungs Trojaner Windows XP
    Plagegeister aller Art und deren Bekämpfung - 19.07.2012 (1)
  2. Windows-Verschlüsselungs-Trojaner unter Windows 7 auf einem MAC
    Log-Analyse und Auswertung - 14.06.2012 (3)
  3. Windows Verschlüsselungs Trojaner
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  4. (2x) Windows Verschlüsselungs Trojaner
    Mülltonne - 08.06.2012 (1)
  5. Willkomen bei Windows Update, Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.
    Log-Analyse und Auswertung - 06.06.2012 (1)
  6. Windows Verschlüsselungs Trojaner
    Log-Analyse und Auswertung - 06.06.2012 (3)
  7. Windows Verschlüsselungs Trojaner
    Plagegeister aller Art und deren Bekämpfung - 06.06.2012 (45)
  8. Windows Verschlüsselungs Trojaner
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (3)
  9. Windows Verschlüsselungs Trojaner
    Plagegeister aller Art und deren Bekämpfung - 22.05.2012 (1)
  10. Windows Verschlüsselungs Trojaner
    Log-Analyse und Auswertung - 07.05.2012 (1)
  11. Windows 7 (64bit) Virus/Trojaner (evtl. Windows Verschlüsselungs Trojaner)
    Plagegeister aller Art und deren Bekämpfung - 07.05.2012 (19)
  12. Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (12)
  13. Windows verschlüsselungs trojaner
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (11)
  14. Windows Verschlüsselungs-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 04.05.2012 (1)
  15. Windows-Verschlüsselungs Trojaner
    Log-Analyse und Auswertung - 28.04.2012 (3)
  16. "Willkommen bei Windows Update Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.
    Log-Analyse und Auswertung - 27.04.2012 (3)
  17. Windows Verschlüsselungs Trojaner
    Log-Analyse und Auswertung - 27.04.2012 (3)

Zum Thema Windows Verschlüsselungs-Trojaner - Eine Bekannte hat sich den Windows Verschlüsselungs-Trojaner eingefangen. Ich versuche das Problem zu lösen. Habe mir mit OTLPE folgende Datei erstellt: OTL.txt Wäre sehr froh, wenn mir jemand daraus die - Windows Verschlüsselungs-Trojaner...
Archiv
Du betrachtest: Windows Verschlüsselungs-Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.