Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Verschluesselungs-Trojaner Problem (https://www.trojaner-board.de/114703-verschluesselungs-trojaner-problem.html)

Tyrikon 04.05.2012 14:46
Verschluesselungs-Trojaner Problem
 
Hallo,

Ich habe mir den Verschluesselungs-Trojaner eingefangen.
Habe mir die Anleitungen mal durchgelesen und mit OLT die Logfiles erstellt.

Betriebssystem - Windows XP 32Bit

Hab nun keine Ahnung wie ich weiter vorgehen soll.

markusg 04.05.2012 16:10
hi
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
:OTL
O4 - HKU\Sylke_Meiser_ON_C..\Run: [6AD9BAF4] C:\WINDOWS\system32\2FFD1F496AD9BAF407F9.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Sylke_Meiser_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Sylke_Meiser_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Tyrikon 04.05.2012 16:31
Hat funktioniert!

Hier der OTL Log.

Code:
========== OTL ==========
Registry value HKEY_USERS\Sylke_Meiser_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\6AD9BAF4 deleted successfully.
C:\WINDOWS\system32\2FFD1F496AD9BAF407F9.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_USERS\Sylke_Meiser_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
Registry value HKEY_USERS\Sylke_Meiser_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
========== FILES ==========
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 194347 bytes
 
User: Privat
->Temp folder emptied: 759963 bytes
->Temporary Internet Files folder emptied: 1169307 bytes
->FireFox cache emptied: 88784063 bytes
->Flash cache emptied: 814 bytes
 
User: Sylke Meiser
->Temp folder emptied: 1087087507 bytes
->Temporary Internet Files folder emptied: 164896163 bytes
->Java cache emptied: 50315291 bytes
->FireFox cache emptied: 81839852 bytes
->Flash cache emptied: 5723318 bytes
 
Total Flash Files Cleaned = 1,412.00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Privat
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Sylke Meiser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 39097 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 102789586 bytes
 
Total Files Cleaned = 98.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 05042012_172018

Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\Sylke Meiser\Lokale Einstellungen\Temp\Temporäres Verzeichnis 36 für Makkabi-Chai-Fotoordner zip für Jüd.Allg.zip\Makabi-Chai-Fotoordner für Jüd.Allg.-Internet-Post\Alxander Luri  und Jewgenij Goljand it dem von Chemnitz gestifteten Manschafts-Wanderpokal des Mak not found!
File\Folder C:\Dokumente und Einstellungen\Sylke Meiser\Lokale Einstellungen\Temp\Temporäres Verzeichnis 30 für Makkabi-Chai-Fotoordner zip für Jüd.Allg.zip\Makabi-Chai-Fotoordner für Jüd.Allg.-Internet-Post\Schalom-Vereinschef und Makkabi-Chemnitz-Gründer Uwe Dziubala und die CHemnitzer Kulturbürgermeist not found!
File\Folder C:\Dokumente und Einstellungen\Sylke Meiser\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für Makkabi-Chai-Fotoordner zip für Jüd.Allg.zip\Makabi-Chai-Fotoordner für Jüd.Allg.-Internet-Post\Alxander Luri  und Jewgenij Goljand it dem von Chemnitz gestifteten Manschafts-Wanderpokal des Makk not found!
File\Folder C:\Dokumente und Einstellungen\Sylke Meiser\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für Makkabi-Chai-Fotoordner zip für Jüd.Allg.zip\Makabi-Chai-Fotoordner für Jüd.Allg.-Internet-Post\Alxander Luri  und Jewgenij Goljand it dem von Chemnitz gestifteten Manschafts-Wanderpokal des Makk not found!

Registry entries deleted on Reboot...

markusg 04.05.2012 16:45
dateien entschlüsseln:
mache ein backup deiner wichtigen dateien die verschlüsselt sind
auf ein externes laufwerk
dann entschlüsseln:
http://www.trojaner-board.de/114224-...-unlocker.html
klicke: gesammtes verzeichniss entschlüsseln
teile mir mit obs geklappt hatt

Tyrikon 04.05.2012 17:05
Habe bisher keine verschlüsselte Datei gefunden, auch über die Suchfunktion mit *.locked nicht.

Gibt es noch etwas was ich tun kann?

Oder ist das System jetzt erstmal wieder halbwegs sicher?

markusg 04.05.2012 17:15
da du dir das warscheinlich per mail eingefangen hast:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.

auch in zukunft solche mails von unbekannten absendern mit anhang so weiterleiten, bitte.


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131