Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: verschlüsselungs-trojaner über email anhang eingefangen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 30.05.2012, 08:51   #1
geeerd
 
verschlüsselungs-trojaner  über email anhang eingefangen - Standard

verschlüsselungs-trojaner über email anhang eingefangen



Guten morgen!

ich habe mir leider über einen email anhang einen verschlüsselungs-trojaner eingefangen. wortlaut der mail habe ich hier auch schon gelesen... "aus sicherheitsgründen wurde ihr windowssystem blockiert. das besuchen von seiten mit pornografischen und infizierten inhalten" ... blablabla
mit der Aufforderung, 100 euro über ukash oder paysafecard zu überweisen... mit angabe einer email adresse: security-center@inbox.lt

mein laptop ist leider total blockiert, weder abgesicherter modus noch task manager funtioniert... letztendlich wird der monitor schwarz nach dem starten und die mail erscheint.

was kann ich machen?
ich habe zwar einen zweiten laptop da, aber der infizierte laptop hat leider kein cd-laufwerk um von einer cd zu booten... und ich habe kaum ahnung von der thematik und vorgehensweise. würde aber das betriebssystem und meine daten gerne retten wollen... windows 7 ist leider nur vorinstalliert und habe es nicht auf cd...

kann mir einer helfen?

vielen dank im voraus und gruß
gerd

Alt 30.05.2012, 15:41   #2
markusg
/// Malware-holic
 
verschlüsselungs-trojaner  über email anhang eingefangen - Standard

verschlüsselungs-trojaner über email anhang eingefangen



1.
falls das momentan möglich ist:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.


2.
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLpe Download OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.
__________________

__________________

Alt 30.05.2012, 16:43   #3
geeerd
 
verschlüsselungs-trojaner  über email anhang eingefangen - Standard

verschlüsselungs-trojaner über email anhang eingefangen



danke schön für die antwort.

meine antwort bezieht sich zunächst aud deinen punkt 2:

bei mir stellt sich jetzt allerdings eine andere situation dar:

ich habe kasperski 10 auf einen usb stick geladen und damit den laptop gebooted und gescannt. hatte dann wieder zugriff auf windowas 7 und normal gestartet, allerdings sind alle dateien auf dem rechner komplett umbenannt (ich denke mal die verschlüsselungs-trojaner version 1.140.1) und ich habe keinen zugriff mehr darauf.

habe jetzt Malwarebytes einmal drüber laufen lassen und folgenden log file erhalten:

"Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.30.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
schumacher :: SCHUMACHER-PC [Administrator]

30.05.2012 16:55:40
mbam-log-2012-05-30 (16-55-40).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 213371
Laufzeit: 12 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 15
HKCR\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCR\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 5
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten: ;áÃzÊ;XA³0öm»Áµ -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten: VShareTB -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten: -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten: -> Keine Aktion durchgeführt.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings|ProxyServer (PUM.Bad.Proxy) -> Daten: http=127.0.0.1:56768 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Bösartig: (hxxp://startsear.ch/?aff=1) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Program Files\vShare.tv plugin\BarLcher.dll (PUP.VShareRedir) -> Keine Aktion durchgeführt.
C:\Users\schumacher\Downloads\SoftonicDownloader_fuer_freemind.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.

(Ende)


habe die infizierten objekte gelöscht.


meine frage: gibt es eine möglichkeit, die umbenannten dateien wiederherzustellen? outlook funktioniert auch nicht.


deinen punkt 1 werde ich in angriff nehmen.

zu punkt 1 deiner antwort: ich nutze einen aol account, den ich über firefox abrufe.

decrypthelper oder scareuncrypt liefern leider keine ergebnisse.
__________________

Antwort

Themen zu verschlüsselungs-trojaner über email anhang eingefangen
adresse, ahnung, anhang, betriebssystem, daten, eingefangen, email, email anhang, euro, gen, guten, infizierte, laptop, manager, modus, monitor, monitor schwarz, morgen, retten, schwarz, seite, seiten, starten, task manager, thema, total, windows 7



Ähnliche Themen: verschlüsselungs-trojaner über email anhang eingefangen


  1. DHL-Trojaner-EMail mit PDF-Anhang geöffnet
    Log-Analyse und Auswertung - 17.05.2015 (7)
  2. Anhang (zip) von gefälschter Email geöffnet - Trojaner eingefangen?
    Plagegeister aller Art und deren Bekämpfung - 13.05.2015 (1)
  3. MS-Dos Anwendung bei Email Anhang geöffnet und somit Virus eingefangen!
    Plagegeister aller Art und deren Bekämpfung - 24.04.2015 (6)
  4. Email - Win32/Kryptik.CSHO Trojaner im Anhang - kritisch?
    Antiviren-, Firewall- und andere Schutzprogramme - 28.12.2014 (3)
  5. MAC OSX 10.7.5 Trojaner.GenericKD. Email-ZIP-Anhang geöffnet.
    Plagegeister aller Art und deren Bekämpfung - 03.10.2013 (3)
  6. Windows 7: Trojaner o.ä. aus eMail Anhang
    Log-Analyse und Auswertung - 06.09.2013 (13)
  7. Email Anhang vom Anwalt geöffnet irgendwas eingefangen
    Log-Analyse und Auswertung - 24.08.2013 (13)
  8. WIN32/Trustezeb.C Trojaner im Email Anhang
    Log-Analyse und Auswertung - 28.06.2013 (8)
  9. Trojaner aus Email-Anhang
    Log-Analyse und Auswertung - 22.04.2013 (15)
  10. Anhang von Fake-Groupon-Email geöffnet - Trojaner
    Log-Analyse und Auswertung - 11.03.2013 (11)
  11. Email-Anhang (.zip Datei) geöffnet; Gefälschte Email über Mahngebühren
    Log-Analyse und Auswertung - 25.02.2013 (19)
  12. Trojaner eingefangen über Vodafone MMS Email
    Log-Analyse und Auswertung - 23.11.2012 (19)
  13. Verschlüsselungs-Trojaner über Hotmail im Anhang
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (1)
  14. Verschlüsselungs-Trojaner Trojan.Ransomlock.P durch Anhang einer Email-Mahnung
    Log-Analyse und Auswertung - 14.06.2012 (4)
  15. Windows Verschlüsselungs Trojaner über Email
    Log-Analyse und Auswertung - 02.05.2012 (16)
  16. Ukash Trojaner in email-Anhang
    Log-Analyse und Auswertung - 30.04.2012 (5)
  17. Verschlüsselungs-Trojaner in der Email !
    Plagegeister aller Art und deren Bekämpfung - 28.04.2012 (3)

Zum Thema verschlüsselungs-trojaner über email anhang eingefangen - Guten morgen! ich habe mir leider über einen email anhang einen verschlüsselungs-trojaner eingefangen. wortlaut der mail habe ich hier auch schon gelesen... "aus sicherheitsgründen wurde ihr windowssystem blockiert. das besuchen - verschlüsselungs-trojaner über email anhang eingefangen...
Archiv
Du betrachtest: verschlüsselungs-trojaner über email anhang eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.