Trojaner-Board - Verschlüsselungs Trojaner unter Paralells

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Verschlüsselungs Trojaner unter Paralells (https://www.trojaner-board.de/114587-verschluesselungs-trojaner-paralells.html)

Verschlüsselungs Trojaner unter Paralells

Ich habe einen Mac und unter Paralells windows 7 laufen.
Gestern habe ich auch diese Mail bekommen und den Anhang leider geöffnet.
Jetzt komme ich wenn ich normal starte nicht mehr ins Windows, im Abgesicherten Modus kann ich es aber starten. Könnte mir wer helfen wie ich da vorgehen muss. Im Abgesicherten Modus komme ich auch nicht ins Internet ist sicher normal oder?
Ich danke schon mal im Voraus
Liebe Grüße
Martin

hi,

nimm dir mal nen leeren usb stick.
updaten geht natürlich edrst mal nicht, aber scannen, dann funde löschen, neustart versuchen, wenn der klappt, log posten.
malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hallo ich scheitere schon beim Download, ich habe es jetzt geschaft im Abgesicherten Modus inkl. Internet zu starten. soll ich den Download in Windows mache oder im Mac?
Danke LG Martin

na wenn du internet hast, unter windows :-)

Der Link führt mich zu einem Mailprogramm ist das richtig GFmail usw.

nö, er führt zu malwarebytes
auf filepony.de

Hallo jetzt habe ich es geschafft, die Bilder sind einladender als der Link selbst.
Programm installiert und den quickscan durchgeführt.
das ist das Ergebniss!

Malwarebytes Anti-Malware 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.05.03.02

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Administrator :: MARTINJAKO143A [Administrator]

03.05.2012 12:54:26
mbam-log-2012-05-03 (12-54-26).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 194645
Laufzeit: 1 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|88C55A42 (Trojan.Downloader) -> Daten: C:\Users\Administrator\AppData\Roaming\Fntt\FC77800788C55A424857.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Users\Administrator\AppData\Roaming\Fntt\FC77800788C55A424857.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Administrator\AppData\Local\Temp\jugeodngpn.pre (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Administrator\AppData\Local\Temp\lfyhcnzypc.pre (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Administrator\Downloads\SoftonicDownloader_fuer_doro-pdf-writer.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

so, jetzt kannst du in den normal modus.
mache ein backup deiner wichtigen dateien die verschlüsselt sind
auf ein externes laufwerk
dann entschlüsseln:
http://www.trojaner-board.de/114224-...-unlocker.html
gesammtes verzeichniss entschlüsseln wählen.
teile mir mit obs geklappt hatt

Hallo einwenig bin ich noch am kämpfen bis jetzt hat alle geklappt nur das Entschlüsseln geht nicht so einfach/selbsterklärend:-)
Als Eingabe bei Avira ist ja klar die verschlüsselte Datei aber wo bekomme ich das Original her?
LG
Martin

Nochmal, sollte ich vielleicht eine andere Entschlüsselungssoftware verwenden.
Egal welche Datei ich auswähle es kommt immer die selbe Meldung das die ersten 4 KB gleich sind.
Danke noch mal

Sodi, ich glaube ich habe es geschafft, ganz lieben Dank für die Hilfe.
Schönen Tag noch
Liebe Grüße
Martin

hi,
ich benötige die mail, die du erhalten hast.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
auch zukünftige mails, mit anhang, von fremden absendern können so an mich gesendet werden.