Mit Windows-VerschlüsselungsTrojaner infiziert!
 

Hallo,

ich habe nach Öffnen einer email (Betreff: Rechnung) plötzlich die bekannte Meldung erhalten " Mit WindowsverschlüsselungsTrojaner infiziert" inkl. Zahlungsaufforderung. Laptop einmal heruntergefahren, wieder gestartet. Gleiche Meldung. Mit OTLPENet.exe über externes Laufwerk den laptop gestartet, Run scan durchgeführt, hier erscheint jedoch nur eine OTL.exe Datei, die zweite Datei erhalte ich auch nach einem wiederholten Scan nicht. Kann ich trotzdem mit der Anti-Mala.-Software weiterfahren?
Danke für Eure Hinweise. Die OTLN-Datei poste ich hier.
Nirmala

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Hi Arne,

inzwischen habe ich die exe-Datei erhalten, dies war in der vorherigen Einstellung nicht angeklickt, sorry. Den OTLP.scan konnte ich durchführen. Leider läßt sich im Anschluß daran die Malwarebyte Anti-Virus Software nicht auf dem laptop auf der festplatte unter C:// noch unter dem root-laufwerk installieren, es erscheint folgende Fehlermeldung: "Access is denied".
Ich habe keine Internetverbindung, d.h. diese Software kann nicht aktualisiert werden.
Parallel habe ich versucht nach Deiner Anleitung mit F8 den abgesicherten Modus zu starten, es erklingt ein furchtbares laptop-Warnsignal...
Was ist zu tun?
Lieben Dank!
Nirmala

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hi Arne,

tausend Dank zunächst, die Anleitung war erfolgreich! Windows startet wieder, moved-file-ZIP in eurem Upchannel hochgeladen. Dann habe ich die Malwarebytes Anti-Vir.-Software gestartet, 3 infizierte Objekte mit , Titel "Trojaner.AgentH" identifiziert, Report dazu hänge ich hiermit an. Ist es sinnvoll jetzt mit den Entschlüsselungstools zu starten oder zur Zeit eher wenig erfolgreich? Ich habe eine zweite Virus-Email (Rechnung) an meine web.de Adresse erhalten, jedoch nicht geöffnet. Ich würde Euch diese gern zur Verfügung stellen. Kann die email gespeichert werden ohne diese zu öffen? Wie macht man das? Bin nicht so technik-affin, danke!
Nirmala

Bitte jetzt routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hi anbei der ESETScan:

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=0d6d6fd2e9a7e14c88eed80efb54bfa9
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-11 07:17:15
# local_time=2012-06-11 09:17:15 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 313001 313001 0 0
# compatibility_mode=5891 16776533 42 92 17876 7175476 0 0
# compatibility_mode=8192 67108863 100 0 363 363 0 0
# scanned=22423
# found=1
# cleaned=0
# scan_time=1309
C:\_OTL.7z Win32/Trustezeb.B trojan (unable to clean) 00000000000000000000000000000000 I
esets_scanner_update returned -1 esets_gle=53251
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=0d6d6fd2e9a7e14c88eed80efb54bfa9
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-11 07:37:30
# local_time=2012-06-11 09:37:30 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 314653 314653 0 0
# compatibility_mode=5891 16776533 42 92 19528 7177128 0 0
# compatibility_mode=8192 67108863 100 0 2015 2015 0 0
# scanned=22427
# found=1
# cleaned=0
# scan_time=874
C:\_OTL.7z Win32/Trustezeb.B trojan (unable to clean) 00000000000000000000000000000000 I

Was ist mit dem Malwarebytes-Vollscan?

Hi,

danke, daß du mich immer so zeitnah unterstützt! Den Malwarebytes-Vollscan hatte ich schon durchgeführt, er hat lediglich die Dateien gefunden, die ich gespeichert, gepostet und jetzt komplett gelöscht habe. Anschließend habe ich nochmals Malware gestartet, d.h. aktualisiert, QuickScan, dann keine infizierten Dateien gefunden. Aber dafür sind die Dateien noch verschlüsselt. Jetzt mal DescryptMatthias oder Antivira unlocked durchziehen?
Danke und gute Nacht!
Nirmala

Ich will aber das Log dazu sehen. Was du gepostet hast war nur der Quickscan
Poste bitte alle Logs!

Hi Arne,

hier der Malwarebytes-VollScan:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.11.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Nirmala :: SEIDL-PRI9PQQLM [Administrator]

Schutz: Aktiviert

12.06.2012 00:28:24
mbam-log-2012-06-12 (00-28-24).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 280679
Laufzeit: 1 Stunde(n), 20 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


Heute morgen hat Avira folgende Datei unter C:/System Volume/Information..../..../ identifiziert:
A0008059.exe, TR/Trash-Gen.
Habe dies in Quarantäne verschoben. PC war über Nacht an.
Was ist mit der verdächtigen email, die ich auf web.de erhalte, soll ich die weiterleiten (wie?)

Gruß,
Nirmala

Verdächtige Mails mit Anhang bitte an uns zur Analyse weiterleiten!
markusg - trojaner-board.de

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Hi,

zunächst Emails sende ich zeitnah.
zu 1) ja, Windows startet uneingeschränkt, wenn auch etwas langsam
zu 2) ja, es gibt unter "alle Programme" einige leere Icons, die Programme lassen sich öffnen, die zugehörigen Dateien nicht.

Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hi,

habe soeben zwei verdächtige emails als ZIP an virus@trojanerboard.de gemailt:

1. "Mahnung...***flirtfever...internetional"
2. "FotoThunAG Mahnung ***

Unhide.exe heruntergeladen und durchgeführt. PC neugestartet, bis dato keine Änderungen der Dateinamen, d.h. keine Effekte sichtbar.

Grüße,
N.