Vorbereitung zum Entfernen des Windwos Verschlüssungs Trojaners

RCWhy · 12.06.2012, 22:00

Hi,
heute hat mich ein Freund angerufen. Er hat im GoogleChrome auf einer Spam-Mail eine Zip-Datei angeklickt. Ein paar Minuten danach kam das Fenster des Windwos Verschlüssungs Trojaners. Da ich grade beim Einkaufen war konnte ich nicht schnell zu ihm gehen und mal schauen. Er hat den Rechner ca. 20 Minuten nach des Anklicken der Zip-Datei per Stromunterbrechung ausgeschaltet, da das normale Herunterfahren nicht mehr geklappt hat. So hab ich ihm gesagt, ich werde mich über diesen Trojaner informieren und bin hier über das Forum gestolpert.

Es handelt sich bei ihm um einen älteren PC Mit Windows XP SP2 32Bit mit 2 Festplatten (Nicht partitioniert).

Meine Frage nun ist, was soll ich als Vorbereitung auf morgen mit zu meinem Freund nehmen?

- Mein Laptop
- USB-Stick (4GB)
- Externe Festplatte (Leider nicht leer/Mit wichtigen Backups)
- ...?
- Diese Anleitung:

Zitat:

Bitte jetzt routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Führ danach bitte auch ESET aus, danach sehen wir weiter:

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen
Dein Anti-Virus-Programm während des Scans deaktivieren.

Button (<< klick) drücken.
Firefox-User:
Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
IE-User:
müssen das Installieren eines ActiveX Elements erlauben.
Setze den einen Haken bei Yes, i accept the Terms of Use.
Drücke den Button.
Warte bis die Komponenten herunter geladen wurden.
Setze einen Haken bei "Scan archives".
Gehe sicher das bei Remove Found Threats kein Haken gesetzt ist.
drücken.
Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

Klicke Finish.
Browser schließen.

Drücke bitte die + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Code:

"%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"

Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Code:

"%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"

Poste nun den Inhalt der log.txt.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

Code:

ATTFilter

 hier steht das Log

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Wieviel Zeit sollte ich mitbringen? Da ich gerne noch meinen Abend planen möchte.

Ich habe auch gesehen, das im Falle von verschlüsselten Daten ein Programm von Avira gibt:

hxxp://www.avira.com/de/support-for-business-knowledgebase-detail/kbid/1253

Was haltet ihr Davon?

Ich freue mich über eure Antworten.

MFG Sebi

Kann ich den Computer zwischendurch ausschalten oder richtet das noch mehr Schaden an.

In den abgesicherten Modus von Windows komme ich nicht und mein Freund hat leider schon die Email gelöscht, aber ausgedruckt... Also mit Anhang weiterleiten wird leider nichts mehr.

Also Malwarebytes läuft nun und es ist ein XP Rechner mit SP3 und Avira Free. Hatte ich beim ersten Beitrag falsch reingeschrieben.

Kann ich bei irgendeinem kommenden Schritt den Rechner aus machen, damit ich morgen weiter machen kann, oder sollte er immer anbleiben?

Soll ich das Netzwerkkabel ziehen?

MFG Sebi

--------------------------------------------
Also Hier das log von Maleware :

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.13.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Heiner_Werner :: HEINER [Administrator]

Schutz: Aktiviert

13.06.2012 11:32:02
mbam-log-2012-06-13 (11-32-02).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 252580
Laufzeit: 1 Stunde(n), 22 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Hier das Log vom ESET:

Code:

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=ecd894d705be5e4ca4f08bbc59a47126
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2012-06-13 03:12:46
# local_time=2012-06-13 05:12:46 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777175 100 0 3787458 3787458 0 0
# compatibility_mode=8192 67108863 100 0 197 197 0 0
# scanned=45490
# found=4
# cleaned=4
# scan_time=6422
C:\Dokumente und Einstellungen\Heiner_Werner\Anwendungsdaten\Avegpulrav\kyfmytxku.exe	Win32/Trustezeb.C trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
C:\Dokumente und Einstellungen\Heiner_Werner\Lokale Einstellungen\Temp\mkwfpckymy.pre	Win32/Trustezeb.C trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
C:\Dokumente und Einstellungen\Heiner_Werner\Lokale Einstellungen\Temp\nfdjtofqxn.pre	Win32/Trustezeb.C trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
C:\Dokumente und Einstellungen\Heiner_Werner\Lokale Einstellungen\Temp\ywfmykypcw.pre	Win32/Trustezeb.C trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000	C

Rest kommt noch

MFG Sebi

-------------------------------------------------

Vorbereitung zum Entfernen des Windwos Verschlüssungs Trojaners

Plagegeister aller Art und deren Bekämpfung: Vorbereitung zum Entfernen des Windwos Verschlüssungs Trojaners

Vorbereitung zum Entfernen des Windwos Verschlüssungs Trojaners

Ähnliche Themen: Vorbereitung zum Entfernen des Windwos Verschlüssungs Trojaners