Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Verschlüsselungstrojaner nach e-mail Rechnung. (https://www.trojaner-board.de/117641-verschluesselungstrojaner-e-mail-rechnung.html)

sommerjule 20.06.2012 09:11
Verschlüsselungstrojaner nach e-mail Rechnung.
 
Guten Morgen,

erstmal vielen Dank, das es Menschen wie Euch gibt. Ich bin also auch eine von den, sagen wir mal nicht so Cleveren die die eine Rechnung im e-mail Anhang geöffnet hat. Ich habe über Antimalware den Trojaner gefunden und in Quarantäne geschickt, weiß auch genau von welcher e-mail er kam und hab die e-mail auch noch. Ich kann den Antimalware Report posten, bin aber irgendwie nicht in der Lage das OTL Dingens zum laufen zu bringen. Ich hab wie beschrieben den defogger geladen, diabble gedrückt mußte mich dann zwischen ja und nein entscheiden. Hab ja angeklickt und das Finish Window bekommen. Dann OTL geladen, aber mein PC weigert sich es auszuführen, hab nur die Wahl zwischen Programm nicht ausführen und Programm löschen. Lange Rede kurzer Sinn, mein neuer Trojaner Freund hat alle .doc und .exe Dateien sowie Powerpoint und pdfs und befallen. Dinge die direkt auf dem Desktop waren, kann ich öffnen aber sie haben nur wirre Zeichen, Files aus anderen Ordner sind gar nicht erst zu öffnen (Dateinnamen und Endungen sind NICHT verändert). Völlig unberührt sind allerdings Musik (egal ob mp3 oder wma) Bilder merkwürdiger oder auch glücklicher Weise. Ich hoffe ich hab es jetzt so genau wie möglich beschrieben und bitte hier schon mal um Entschuldigung für eventuelle "dumme" Fragen, den ich bin reiner Anwender und hab eigentlich gar kein Plan von Computern und deren Funktionsweise.
Vielen Dank schon mal.

PS. Hab noch vergessen zu sagen die Tools die im Forum sind, hab ich versucht, hatte aber leider keinen Erfolg. Die Original/Verschlüsselt Datei Methode brachte keinen Erfolg und bei einem anderen Tool konnte der Schlüssel erstellt werden, hat aber leider nichts an den Dateien ändern können. Schattenkopien habe ich glaube ich nicht, es gibt die Option Vorgängerversion herstellen leider nicht bei den befallenen Datein.

cosinus 22.06.2012 14:26
Dann poste erstmal alle Logs von Malwarebytes

sommerjule 23.06.2012 10:28
In der Hoffnung Du meinst das hier:


Malwarebytes Anti-Malware (Test) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.06.07.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421

Schutz: Aktiviert

07.06.2012 12:26:34
mbam-log-2012-06-07 (12-26-34).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 205210
Laufzeit: 2 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Name gelöscht\AppData\Local\Temp\ICReinstall_DownloadManagerSetup.exe (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Namegelöscht\AppData\Local\Temp\nmifmicqgl.pre (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Vielen Dank

cosinus 24.06.2012 16:12
Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

sommerjule 25.06.2012 14:00
Malwarebytes Anti-Malware (Test) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.06.07.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Juliane Sommer :: JULIANESOMMER [Administrator]

Schutz: Aktiviert

07.06.2012 12:26:34
mbam-log-2012-06-07 (12-26-34).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 205210
Laufzeit: 2 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Juliane Sommer\AppData\Local\Temp\ICReinstall_DownloadManagerSetup.exe (Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Juliane Sommer\AppData\Local\Temp\nmifmicqgl.pre (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

2012/06/07 12:25:57 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting protection
2012/06/07 12:25:59 +0200 JULIANESOMMER Juliane Sommer MESSAGE Protection started successfully
2012/06/07 12:26:02 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting IP protection
2012/06/07 12:26:05 +0200 JULIANESOMMER Juliane Sommer MESSAGE IP Protection started successfully
2012/06/07 12:36:19 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting protection
2012/06/07 12:36:25 +0200 JULIANESOMMER Juliane Sommer MESSAGE Protection started successfully
2012/06/07 12:36:28 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting IP protection
2012/06/07 12:36:29 +0200 JULIANESOMMER Juliane Sommer MESSAGE IP Protection started successfully
2012/06/07 12:38:14 +0200 JULIANESOMMER Juliane Sommer MESSAGE Executing scheduled update: Daily
2012/06/07 12:38:16 +0200 JULIANESOMMER Juliane Sommer MESSAGE Database already up-to-date
2012/06/07 12:42:55 +0200 JULIANESOMMER Juliane Sommer DETECTION C:\Users\Juliane Sommer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6LDKHBZL\DecryptHelper-0.5.3.exe Trojan.FakeAlert QUARANTINE
2012/06/07 12:42:55 +0200 JULIANESOMMER Juliane Sommer DETECTION c:\users\juliane sommer\appdata\local\microsoft\windows\temporary internet files\content.ie5\6ldkhbzl\decrypthelper-0.5.3.exe Trojan.FakeAlert DENY
2012/06/07 12:43:19 +0200 JULIANESOMMER Juliane Sommer DETECTION C:\Users\Juliane Sommer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6LDKHBZL\DecryptHelper-0.5.3.exe Trojan.FakeAlert DENY
2012/06/07 12:43:19 +0200 JULIANESOMMER Juliane Sommer DETECTION C:\Users\Juliane Sommer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6LDKHBZL\DecryptHelper-0.5.3.exe Trojan.FakeAlert DENY
2012/06/07 12:43:19 +0200 JULIANESOMMER Juliane Sommer DETECTION C:\Users\Juliane Sommer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6LDKHBZL\DecryptHelper-0.5.3.exe Trojan.FakeAlert DENY
2012/06/07 13:31:35 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting protection
2012/06/07 13:31:37 +0200 JULIANESOMMER Juliane Sommer MESSAGE Protection started successfully
2012/06/07 13:31:40 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting IP protection
2012/06/07 13:31:42 +0200 JULIANESOMMER Juliane Sommer MESSAGE IP Protection started successfully
2012/06/07 13:40:31 +0200 JULIANESOMMER Juliane Sommer DETECTION C:\Users\Juliane Sommer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6LDKHBZL\DecryptHelper-0.5.3.exe Trojan.FakeAlert ALLOW
2012/06/07 13:40:43 +0200 JULIANESOMMER Juliane Sommer DETECTION C:\Users\Juliane Sommer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6LDKHBZL\DecryptHelper-0.5.3.exe Trojan.FakeAlert ALLOW
2012/06/07 13:40:43 +0200 JULIANESOMMER Juliane Sommer DETECTION C:\Users\Juliane Sommer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6LDKHBZL\DecryptHelper-0.5.3.exe Trojan.FakeAlert ALLOW
2012/06/07 13:40:43 +0200 JULIANESOMMER Juliane Sommer DETECTION C:\Users\Juliane Sommer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6LDKHBZL\DecryptHelper-0.5.3.exe Trojan.FakeAlert ALLOW
2012/06/07 17:59:31 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting protection
2012/06/07 17:59:34 +0200 JULIANESOMMER Juliane Sommer MESSAGE Protection started successfully
2012/06/07 17:59:37 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting IP protection
2012/06/07 17:59:39 +0200 JULIANESOMMER Juliane Sommer MESSAGE IP Protection started successfully
2012/06/07 21:39:39 +0200 JULIANESOMMER Juliane Sommer DETECTION C:\Users\Juliane Sommer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6LDKHBZL\DecryptHelper-0.5.3.exe Trojan.FakeAlert QUARANTINE
2012/06/07 21:50:42 +0200 JULIANESOMMER Juliane Sommer DETECTION C:\Users\Juliane Sommer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V84REL6Z\DecryptHelper-0.5.3.exe Trojan.FakeAlert ALLOW
2012/06/07 21:50:54 +0200 JULIANESOMMER Juliane Sommer DETECTION C:\Users\Juliane Sommer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V84REL6Z\DecryptHelper-0.5.3.exe Trojan.FakeAlert ALLOW
2012/06/07 21:50:54 +0200 JULIANESOMMER Juliane Sommer DETECTION C:\Users\Juliane Sommer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V84REL6Z\DecryptHelper-0.5.3.exe Trojan.FakeAlert ALLOW
2012/06/07 21:50:54 +0200 JULIANESOMMER Juliane Sommer DETECTION C:\Users\Juliane Sommer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\V84REL6Z\DecryptHelper-0.5.3.exe Trojan.FakeAlert ALLOW
2012/06/08 07:43:05 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting protection
2012/06/08 07:43:07 +0200 JULIANESOMMER Juliane Sommer MESSAGE Protection started successfully
2012/06/08 07:43:10 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting IP protection
2012/06/08 07:43:13 +0200 JULIANESOMMER Juliane Sommer MESSAGE IP Protection started successfully
2012/06/08 07:45:24 +0200 JULIANESOMMER Juliane Sommer MESSAGE Executing scheduled update: Daily
2012/06/08 07:45:37 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting database refresh
2012/06/08 07:45:37 +0200 JULIANESOMMER Juliane Sommer MESSAGE Scheduled update executed successfully: database updated from version v2012.06.07.02 to version v2012.06.08.02
2012/06/08 07:45:37 +0200 JULIANESOMMER Juliane Sommer MESSAGE Stopping IP protection
2012/06/08 07:48:15 +0200 JULIANESOMMER Juliane Sommer MESSAGE IP Protection stopped
2012/06/08 07:48:18 +0200 JULIANESOMMER Juliane Sommer MESSAGE Database refreshed successfully
2012/06/08 07:48:18 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting IP protection
2012/06/08 07:48:20 +0200 JULIANESOMMER Juliane Sommer MESSAGE IP Protection started successfully
2012/06/08 19:38:11 +0200 JULIANESOMMER Juliane Sommer IP-BLOCK 77.79.10.11 (Type: outgoing, Port: 59227, Process: ipsoslspservice.exe)
2012/06/08 19:38:11 +0200 JULIANESOMMER Juliane Sommer IP-BLOCK 77.79.10.11 (Type: outgoing, Port: 59228, Process: ipsoslspservice.exe)
2012/06/08 19:38:11 +0200 JULIANESOMMER Juliane Sommer IP-BLOCK 77.79.10.11 (Type: outgoing, Port: 59232, Process: ipsoslspservice.exe)
2012/06/08 19:38:11 +0200 JULIANESOMMER Juliane Sommer IP-BLOCK 77.79.10.11 (Type: outgoing, Port: 59231, Process: ipsoslspservice.exe)
2012/06/08 19:38:11 +0200 JULIANESOMMER Juliane Sommer IP-BLOCK 77.79.10.11 (Type: outgoing, Port: 59242, Process: ipsoslspservice.exe)
2012/06/08 19:38:11 +0200 JULIANESOMMER Juliane Sommer IP-BLOCK 77.79.10.11 (Type: outgoing, Port: 59241, Process: ipsoslspservice.exe)
2012/06/08 19:38:19 +0200 JULIANESOMMER Juliane Sommer IP-BLOCK 77.79.10.11 (Type: outgoing, Port: 59248, Process: ipsoslspservice.exe)
2012/06/08 19:38:19 +0200 JULIANESOMMER Juliane Sommer IP-BLOCK 77.79.10.11 (Type: outgoing, Port: 59247, Process: ipsoslspservice.exe)
2012/06/08 19:38:19 +0200 JULIANESOMMER Juliane Sommer IP-BLOCK 77.79.10.11 (Type: outgoing, Port: 59256, Process: ipsoslspservice.exe)
2012/06/08 19:38:19 +0200 JULIANESOMMER Juliane Sommer IP-BLOCK 77.79.10.11 (Type: outgoing, Port: 59255, Process: ipsoslspservice.exe)
2012/06/08 23:05:13 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting protection
2012/06/08 23:05:15 +0200 JULIANESOMMER Juliane Sommer MESSAGE Protection started successfully
2012/06/08 23:05:18 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting IP protection
2012/06/08 23:05:21 +0200 JULIANESOMMER Juliane Sommer MESSAGE IP Protection started successfully
2012/06/09 13:43:40 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting protection
2012/06/09 13:43:42 +0200 JULIANESOMMER Juliane Sommer MESSAGE Executing scheduled update: Daily
2012/06/09 13:43:43 +0200 JULIANESOMMER Juliane Sommer MESSAGE Protection started successfully
2012/06/09 13:43:46 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting IP protection
2012/06/09 13:43:49 +0200 JULIANESOMMER Juliane Sommer MESSAGE IP Protection started successfully
2012/06/09 13:44:00 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting database refresh
2012/06/09 13:44:00 +0200 JULIANESOMMER Juliane Sommer MESSAGE Scheduled update executed successfully: database updated from version v2012.06.08.02 to version v2012.06.09.04
2012/06/09 13:44:00 +0200 JULIANESOMMER Juliane Sommer MESSAGE Stopping IP protection
2012/06/09 13:46:54 +0200 JULIANESOMMER Juliane Sommer MESSAGE IP Protection stopped
2012/06/09 13:46:57 +0200 JULIANESOMMER Juliane Sommer MESSAGE Database refreshed successfully
2012/06/09 13:46:57 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting IP protection
2012/06/09 13:47:00 +0200 JULIANESOMMER Juliane Sommer MESSAGE IP Protection started successfully
2012/06/09 15:20:39 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting protection
2012/06/09 15:20:41 +0200 JULIANESOMMER Juliane Sommer MESSAGE Protection started successfully
2012/06/09 15:20:44 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting IP protection
2012/06/09 15:20:46 +0200 JULIANESOMMER Juliane Sommer MESSAGE IP Protection started successfully
2012/06/09 22:49:56 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting protection
2012/06/09 22:49:58 +0200 JULIANESOMMER Juliane Sommer MESSAGE Protection started successfully
2012/06/09 22:50:01 +0200 JULIANESOMMER Juliane Sommer MESSAGE Starting IP protection
2012/06/09 22:50:03 +0200 JULIANESOMMER Juliane Sommer MESSAGE IP Protection started successfully
alwarebytes Anti-Malware 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.06.25.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Juliane Sommer :: JULIANESOMMER [Administrator]

25.06.2012 12:57:49
mbam-log-2012-06-25 (14-07-13).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 384746
Laufzeit: 49 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Program Files (x86)\TelevisionFanaticEI\Installr\1.bin\64EIPlug.dll (PUP.FunWebProducts) -> Keine Aktion durchgeführt.

(Ende)

Das erstmal zu Malware - das andere mache jetzt. Vielen vielen Dank

Juliane


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:57 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131