![]() |
|
Plagegeister aller Art und deren Bekämpfung: Vorbereitung zum Entfernen des Windwos Verschlüssungs TrojanersWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() | #1 | |
| ![]() Vorbereitung zum Entfernen des Windwos Verschlüssungs Trojaners Hi, heute hat mich ein Freund angerufen. Er hat im GoogleChrome auf einer Spam-Mail eine Zip-Datei angeklickt. Ein paar Minuten danach kam das Fenster des Windwos Verschlüssungs Trojaners. Da ich grade beim Einkaufen war konnte ich nicht schnell zu ihm gehen und mal schauen. Er hat den Rechner ca. 20 Minuten nach des Anklicken der Zip-Datei per Stromunterbrechung ausgeschaltet, da das normale Herunterfahren nicht mehr geklappt hat. So hab ich ihm gesagt, ich werde mich über diesen Trojaner informieren und bin hier über das Forum gestolpert. Es handelt sich bei ihm um einen älteren PC Mit Windows XP SP2 32Bit mit 2 Festplatten (Nicht partitioniert). Meine Frage nun ist, was soll ich als Vorbereitung auf morgen mit zu meinem Freund nehmen? - Mein Laptop - USB-Stick (4GB) - Externe Festplatte (Leider nicht leer/Mit wichtigen Backups) - ...? - Diese Anleitung: Zitat:
Wieviel Zeit sollte ich mitbringen? Da ich gerne noch meinen Abend planen möchte. Ich habe auch gesehen, das im Falle von verschlüsselten Daten ein Programm von Avira gibt: hxxp://www.avira.com/de/support-for-business-knowledgebase-detail/kbid/1253 Was haltet ihr Davon? Ich freue mich über eure Antworten. MFG Sebi Kann ich den Computer zwischendurch ausschalten oder richtet das noch mehr Schaden an. In den abgesicherten Modus von Windows komme ich nicht und mein Freund hat leider schon die Email gelöscht, aber ausgedruckt... Also mit Anhang weiterleiten wird leider nichts mehr. Also Malwarebytes läuft nun und es ist ein XP Rechner mit SP3 und Avira Free. Hatte ich beim ersten Beitrag falsch reingeschrieben. Kann ich bei irgendeinem kommenden Schritt den Rechner aus machen, damit ich morgen weiter machen kann, oder sollte er immer anbleiben? Soll ich das Netzwerkkabel ziehen? MFG Sebi -------------------------------------------- Also Hier das log von Maleware : Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.13.01 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Heiner_Werner :: HEINER [Administrator] Schutz: Aktiviert 13.06.2012 11:32:02 mbam-log-2012-06-13 (11-32-02).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 252580 Laufzeit: 1 Stunde(n), 22 Minute(n), 48 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 2 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 3 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter ESETSmartInstaller@High as CAB hook log: OnlineScanner.ocx - registred OK # version=7 # iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339) # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=ecd894d705be5e4ca4f08bbc59a47126 # end=finished # remove_checked=true # archives_checked=true # unwanted_checked=true # unsafe_checked=true # antistealth_checked=true # utc_time=2012-06-13 03:12:46 # local_time=2012-06-13 05:12:46 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=1792 16777175 100 0 3787458 3787458 0 0 # compatibility_mode=8192 67108863 100 0 197 197 0 0 # scanned=45490 # found=4 # cleaned=4 # scan_time=6422 C:\Dokumente und Einstellungen\Heiner_Werner\Anwendungsdaten\Avegpulrav\kyfmytxku.exe Win32/Trustezeb.C trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Dokumente und Einstellungen\Heiner_Werner\Lokale Einstellungen\Temp\mkwfpckymy.pre Win32/Trustezeb.C trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Dokumente und Einstellungen\Heiner_Werner\Lokale Einstellungen\Temp\nfdjtofqxn.pre Win32/Trustezeb.C trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Dokumente und Einstellungen\Heiner_Werner\Lokale Einstellungen\Temp\ywfmykypcw.pre Win32/Trustezeb.C trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C MFG Sebi ------------------------------------------------- |
Themen zu Vorbereitung zum Entfernen des Windwos Verschlüssungs Trojaners |
administrator, avira, browser, button, dateisystem, desktop, entfernen, externe festplatte, festplatte, firewall, folge, forum, frage, herunterfahren, heuristiks/extra, heuristiks/shuriken, log, malwarebytes, nicht mehr, online, rechner, rechtsklick, roadmap, trojaner, unbedingt, vista, win7, windows, windows xp, windwos verschlüssungs trojaner, zip-datei |