Windows-Verschlüsselungs-Trojaner unter Windows XP
 

Hallo zusammen,

wir haben seit 06.05.12 den Windows-Verschlüsselungs-Trojaner auf unserem XP-Rechner. Beim Hochfahren erscheint direkt die Zahlungsaufforderung "Windows-Lizenz abgelaufen...". Haben versucht den Rechner im abgesicherten Modus zu starten, was jedoch nicht funktioniert hat.
Anschließend haben wir OTLPE wie mehrfach beschrieben heruntergeladen und so den Rechner mit der Boot-CD gestartet. Der PC erkennt keine USB-Sticks, lediglich der SD-Kartenleser funktioniert.
Unser Rechner hat 2 Partitionen, auf c Betriebssystem + Programme und auf d unsere Daten. Alle auf d befindlichen Bilddaten (jpeg) sind verschlüsselt (locked + willkürliche Datei-Endung) und können auch trotz Umbenennens auf einem anderen Rechner nicht geöffnet werden.

Folgendes OTL-Logfile wurde erzeugt (siehe Anhang).

Können Sie uns bitte weiterhelfen?

Schöne Grüße.

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Falls du doch für die Systemreinigung entscheidest:

1.
Fixen mit OTLPE

• Starte die OTLPE
• Kopiere folgendes Skript (unverändert inkl. :OTL, also - nach dem "Code", alles was in der Codebox steht -
  :

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Run Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

2.
Boote neu und schaue nach, ob Du schon im normalen Modus arbeiten kannst?
wenn ja, so geht es weiter:

3.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• Alle Funde - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

4.
Systemscan mit OTL - nicht mehr das OTLPE starten!

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
  
  http://image.hijackthis.eu/upload/otl_screen_neu.jpg
  
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

5.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

• Download den CCleaner - Installer herunter
  
• Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
• starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
• ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

gruß
kira

Hallo kira !
Vorab vielen Dank für Deine Hilfe...
Haben alle Punkte von 1 - 5 abgearbeitet.

Zu Punkt 1: Fixen mit OTLPE
Zu Punkt 2:
Neustart dauerte zwar über eine halbe Stunde, war aber gleich erfolgreich.
Konnten im normalen Modus arbeiten.

Zu Punkt 3: Malewarebytes installiert und vollständiger Scan durchgeführt.
Hier der dazugehörende Scanbericht:

Zu Punkt 4: Systemscan mit OTL

Hier die beiden TXT-Dateien:

a) die OTL.TXT:

OTL Logfile:
--- --- ---


b) die EXTRAS.TXT:

OTL Logfile:
--- --- ---


Zu Punkt 5: CCleaner installiert und Liste mit installierten Progs erstellt
Hier die Liste:

WIE GEHT ES NUN WEITER ???
Wir haben noch das Problem, dass ziemlich alle Bilddateien (JPG) und auch unsere Videos (AVI) verschlüsselt wurden, indem Sie wahllose vierstellige Buchstabenendungen als Dateiformat bekommen haben und im Dateinamen wurde beginnend ein "locked-" eingefügt.

Wir warten gespannt auf Deine Antwort ???

Vielen Dank und schöne Grüße.

1.
die Nutzung der von Filesharing (Filesharing (deutsch "Dateifreigabe" oder "gemeinsamer Dateizugriff", wörtlich "Dateien teilen") )- Plattformen ...
Selbst wenn du glaubst, dass Du ein „sicheres“ P2P Programm verwendest, nicht mal das Programm selbst sicher, da Du wirst Daten von "uncertified Quellen" teilen, und diese werden häufig angesteckt...
Ausserdem nicht nur trojanische Pferde oder andere Virentypen eine direkt Verbindung brauchen, sondern der Verwendung von µtorrent & Co, "telefonieren auch nach Hause", wenn auch noch keine Beweise vorliegen (zumindest teilweise nicht) und solchen Clients erlaubt, würde ich nicht empfehlen!http://www.world-of-smilies.com/wos_teufel/teu96.gif
Solange du solche Programme auf dein PC hast, wirst Du Dich laufend mit etwas Problematik konfrontieren müssen!

2.
Am besten alle verschlüsselten Daten extern sichern (auf leere USB-Stick oder ext. Festplatte). Dann mit Entschlüsselung beginnen. Also am Computer sollen die geänderten Daten um Nummer sicher zu gehen zuerst unberührt bleiben. Wenn alles gut geht, kannst Du dann am PC weiter machen

3.
Vorgehen beim Verschlüsselungs-Trojaner :-> http://www.trojaner-board.de/114783-...ubersicht.html
► SemperVideo hat ein Video zum Thema erstellt.

4.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Hallo kira!

Haben gestern + heute alles ganz genau nach Deinen Vorgaben abgearbeitet.

Zu Punkt 1: EMULE

Dieses Programm haben wir vor langer Zeit einmal installiert, aber nie genutzt.
Deshalb haben wir es nach Deinem Hinweis auch gleich deinstalliert.

Zu Punkt 2: DATENSICHERUNG AUF EXTERNE FESTPLATTE

Alle verschlüsselten Bild- und Videodateien haben wir vor dem Versuch des Entschlüsselns heute auf eine externe Festplatte gesichert.

Zu Punkt 3: ENTSCHLÜSSELUNG MIT DECRYPTER

Mit dem DECRYPTER haben wir heute einen Schlüssel uns mittels eines Dateienpäärchens (Original + verschlüsselte Datei) generiert und
damit versucht, eine einzelne, verschlüsselte Datei wieder zu entschlüsseln. Das hat auch gleich funktioniert.
Anschließend haben wir ordnerweise alle unsere verschlüsselten Bilder und Videos auf dem PC-Laufwerk "D" wieder entschlüsselt.

Zu Punkt 4: ERNEUTER SCAN MIT OTL

Gerade vorhin haben wir wie Du beschrieben hast, einen erneuten Scan mit OTL durchgeführt.

a) hier die OTL.TXT

OTL Logfile:
--- --- ---


b) hier die EXTRAS.TXT

OTL Logfile:
--- --- ---


Wir haben nun alles wie Du beschrieben hast abgearbeitet und warten mal wieder gespannt auf Deine Antwort.

Schöne Grüße.

Systemreinigung und Prüfung:

1.
Deine Javaversion ist nicht aktuell!
Da aufgrund alter Sicherheitslücken ist Java sehr anfällig, deinstalliere zunächst alle vorhandenen Java-Versionen:
→ Systemsteuerung → Software → deinstallieren...
→ Rechner neu aufstarten
→ Downloade nun die Offline-Version von Java "Empfohlen Version 6 Update 32 " von Oracle herunter
Achte darauf, eventuell angebotene Toolbars abwählen (den Haken bei der Toolbar entfernen)!

2.
Adobe Reader aktualisieren :
- Bei Installation aufpassen/mitlesen!: Wenn irgendeine Software, Toolbar etc angeboten wird, bitte abwählen! - (z.B "McAfee Security Scan Plus")
Adobe Reader
Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..."

3.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript also - nach dem "Code", alles was in der Codebox steht:

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

4.
Tipps (unabhängig davon ob man den Internet Explorer benutzt oder nicht!):
-> Standard Suchmaschine des Explorers ändern
-> Ändern oder Auswählen eines Suchanbieters in Internet Explorer 7/8
-> Wie kann ich den Cache im Internet Explorer leeren?

5.
reinige dein System mit CCleaner:

• "CCleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

6.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
  Achte darauf, eventuell angebotene Toolbar nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar (falls nötig), entfernen.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

7.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.►Anleitung

8.
-> Führe dann einen Komplett-Systemcheck mit Eset Online Scanner (NOD32)Kostenlose Online Scanner durch
Achtung!: >>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<

9.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

► berichte erneut über den Zustand des Computers. Ob noch Probleme auftreten, wenn ja, welche?

Hallo kira!

sorry, haben erst gerade eben alle 9 Punkte Deiner letzten Nachricht fertig abgearbeitet.

Zu Punkt 1: JAVA NEUINSTALLATION

Alte JAVA-Software deinstalliert, neue installiert (Version 7 Update 4)

Zu Punkt 2: ADOBE READER UPDATEN

Haben wir gemacht, aktuelle Version 9.5.1

Zu Punkt 3: FIXEN MIT OTL

Zu Punkt 4: TIPPS

Hierzu haben wir bis jetzt nichts am PC verändert, lediglich den Cache des Internet Explorers
haben wir geleert. Macht das was ???

Zu Punkt 5: SYSTEM REINIGEN CCLEANER

Haben wir auch gemacht.

Zu Punkt 6: SCANNEN mit SUPERAntiSpyware FREE Edition

Haben wir auch gemacht.
Hier das Protokoll:

Zu Punkt 7: SCANNEN VON EXTERNEN DATENTRÄGERN

Wurden zuletzt nicht verwendet, werden diese aber in Zukunft auch immer mal wieder scannen...

Zu Punkt 8: ONLINE SCANNEN mit Eset Online Scanner (NOD32)Kostenlose Online Scanner

Haben wir über Nacht erledigt, das Protokoll mit den 2 gefundenen Bedrohungen hängen wir mit an:

Zu Punkt 9: ERNEUTER SCAN MIT OTL

Gerade soeben durchgeführt.

a) hier die OTL.TXT:

OTL Logfile:
--- --- ---


b) hier die EXTRAS.TXT:

OTL Logfile:
Wir warten gespannt auf Deine Antwort.
Haben wir es schon geschafft ???

Grüße und schon mal vielen Dank. :abklatsch:

Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript also - nach dem "Code", alles was in der Codebox steht):

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

► Gibt es Probleme beim alltäglichen Einsatz mit dem Rechner?

Hallo kira!

Danke für Deine Nachricht.
Heute gibts nicht viel zu tun für uns.

Hier die OTL-Logfile:

Noch ein paar Fragen an Dich:

1) Beim Neustarten bleibt der PC manchmal hängen, bzw. man muss mehrmals auf Neustart klicken,
bis er dies ausführt!?! Kann man dagegen was machen???
Ansonsten fällt uns nichts weiteres an unserem PC negativ auf!!!

2) Haben wir es nun geschafft, unseren PC vollständig zu säubern???

3) Dürfen wir nun die verschlüsselten Bilder- & Videodateien von der Festplatte entfernen???

4) Dürfen wir die "Virus-Mail" aus unserem Posteingang von Outlook entfernen???

Grüße und vielen Dank.:abklatsch:

Wir haben im Rahmen der (für uns) bestehenden Möglichkeiten auf unterschiedliche Art und Weise technisch gesehen ausgenutzt, sollte insoweit alles im grünen Bereich sein.Eine 100%-ige Erfolgsgarantie gibt es nicht, es sei denn man die Festplatte komplett formatiert und Windows neu einrichtet!

ja...

dringend empfohlen, außerdem:

1.
Sollte man von Zeit zu Zeit die Inbox komprimieren:

Starte dein Mailprogramm, lösche den Inhalt aus der Inbox und leere dann den Papierkorb deines Mail-Programms:
1. alle Mails aus Inbox löschen
2. Mülleimer leeren
3. Inbox komprimieren - (im Menü Datei, Alle Ordner des Kontos komprimieren)

2.
Programme deinstallieren/entfernen, die wir verwendet haben und nicht brauchst, bis auf:
- Zeitweise laufen lassen:-> Anleitung

3.
Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

4.
Windows legt beispielsweise regelmäßig Schattenkopien an (mindestens einmal täglich), die im Notfall zur Wiederherstellung des Systems und zum Zugriff auf ältere Dateiversionen dienen. Diese Funktion belegt sehr viel Speicherplatz. Standardmäßig beträgt der für Schattenkopien reservierte Speicherplatz 15 % der Volumegröße, so dass die Systemleistung auch beeinträchtigt wird. Außerdem gelöschte und ev. schädliche Objekte, die in der Systemwiederherstellung sitzen, müssen auch entfernt werden:
Also mach bitte folgendes:

• Rechten Maustaste auf den "Arbeitsplatz"-> auf "Eigenschaften"-> Registerkarte "Systemwiederherstellung"
• "Systemwiederherstellung deaktivieren"-> "OK"-> alle Fenster schließen
• PC runterfahren-> dann wieder einschalten
• die Standardeinstellung wiederherzustellen (SWH wieder "aktivieren")

also zuerst deaktivieren-> dann aktivieren - am Ende soll wieder "aktiviert" sein!

5.
Ich würde Dir vorsichtshalber raten, dein Passwort zu ändern (man sollte alle 3-4 Monate machen)
z.B. Login-, Mail- oder Website-Passwörter
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)

6.
► Schaue bitte nach, ob für Windows neue Update gibt?!:-> - Microsoft Update hält Ihren Computer auf dem neuesten Stand!

7.
lade Dir HijackThis 2.0.4 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"