Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Verschlüsselungstrojaner Bundeskriminalamt (https://www.trojaner-board.de/123306-verschluesselungstrojaner-bundeskriminalamt.html)

Bengelchen75 02.09.2012 12:37
Verschlüsselungstrojaner Bundeskriminalamt
 
hallo ihr lieben!

leider hat mich vor zwei tagen jetzt auch dieser bka-verschlüsselungstrojaner erwischt und sämtliche dateien wurden a la PTulnaovihbPA verschlüsselt. nachdem ich über die google-suche auf euer forum gestossen bin und hier einige ähnliche hilfe-beiträge gelesen habe, bin ich eure 8 regeln und die weiteren schritte durchgegangen :)

ich habe im abgesicherten modus mit netzwerkfreigabe die von euch empfohlenen programme runterladen können und dann scans von malwarebytes anti-malware (aktualisiert am 1.9.), defogger, otl und gmer (hab ein 32 bit system) durchgeführt. dies hat alles ohne probleme oder fehlermeldungen geklappt.

ich wäre euch wahnsinnig dankbar wenn ihr mir helfen könntet, meinen laptop von diesem trojaner zu befreien und hoffentlich auch infolge meine verschlüsselten dateien (massenhaft jpg-bilder, word/excel-dateien etc) wieder "lebendig" werden zu lassen :)

vielen dank!
schönen sonntag noch und lg
bengelchen

cosinus 03.09.2012 21:59
Zitat:
auch infolge meine verschlüsselten dateien (massenhaft jpg-bilder, word/excel-dateien etc) wieder "lebendig" werden zu lassen
Hinweise oben nicht gelesen? :confused:

Bengelchen75 04.09.2012 01:10
Verzeih, was genau meinst du jetzt?!

Lg

cosinus 04.09.2012 13:59
Du wärst auf Malwarebytes gestoßen!
Und die Fragen zur Enschlüsselung hätten sich auch nicht gestellt!

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

Bengelchen75 04.09.2012 18:30
vielen vielen dank für deine erste hilfestellung :)

hier nun der malwarebytes scan von heute:

Code:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.09.04.08

Windows 7 Service Pack 1 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
volvobirgit :: VOLVOBIRGIT-PC [Administrator]

04.09.2012 18:16:08
mbam-log-2012-09-04 (18-16-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 339048
Laufzeit: 49 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\QueryBrowser (Adware.QueryBrowser) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QueryBrowser (Adware.QueryBrowser) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 3
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{851552F5-B878-4B03-904F-2AD6A4CC8994} (PUP.Zwangi) -> Daten:  -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{851552F5-B878-4B03-904F-2AD6A4CC8994} (PUP.Zwangi) -> Daten: õR…x¸KO*֤̉” -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|24B4028D (Trojan.Inject) -> Daten: C:\Users\VOLVOB~1\AppData\Local\Temp\Pstvhwpunk\nwpdjlnt.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 7
C:\ProgramData\QueryBrowser (Adware.QueryBrowser) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Mozilla Firefox\extensions\{2B52746B-CDBB-49A6-A80D-912BC6636A6C} (Adware.QueryBrowser) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Mozilla Firefox\extensions\{2B52746B-CDBB-49A6-A80D-912BC6636A6C}\chrome (Adware.QueryBrowser) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Mozilla Firefox\extensions\{2B52746B-CDBB-49A6-A80D-912BC6636A6C}\defaults (Adware.QueryBrowser) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Mozilla Firefox\extensions\{2B52746B-CDBB-49A6-A80D-912BC6636A6C}\defaults\preferences (Adware.QueryBrowser) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\QueryBrowser (Adware.QueryBrowser) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\volvobirgit\AppData\Roaming\svchost (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 10
C:\Program Files\Mozilla Firefox\searchplugins\flvtube.xml (PUP.Zwangi) -> Keine Aktion durchgeführt.
C:\Users\volvobirgit\AppData\Local\Temp\Pstvhwpunk\nwpdjlnt.exe (Trojan.Inject) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\QueryBrowser\querybrowser.exe (Adware.Agent.ZGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\QueryBrowser\querybrowser111.exe (Adware.Agent.ZGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\volvobirgit\AppData\Local\Temp\logonvt.exe (Spyware.Zeus) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Office 2010 Activation and Conversion Kit 1.6.exe (Trojan.Agent.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\volvobirgit\AppData\Roaming\cglogs.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\volvobirgit\AppData\Roaming\svchost\svchost.exe (Backdoor.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Mozilla Firefox\extensions\{2B52746B-CDBB-49A6-A80D-912BC6636A6C}\chrome.manifest (Adware.QueryBrowser) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Mozilla Firefox\extensions\{2B52746B-CDBB-49A6-A80D-912BC6636A6C}\install.rdf (Adware.QueryBrowser) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
von meinen scans am 30.8., 31.8. und 1.9. hab ich leider nur protection logs und keine ausführlichen wie diesen hier :(

der log.txt vom ESET-scan folgt in kürze.

danke & lg

und hier nun der ESET log.txt:

Code:
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=d2fe8d33dfe1204dbadf6adb5420ea17
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-09-04 06:57:20
# local_time=2012-09-04 08:57:20 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776574 100 94 209113 98412508 0 0
# compatibility_mode=8192 67108863 100 0 221 221 0 0
# scanned=162042
# found=6
# cleaned=0
# scan_time=3723
C:\Program Files\FLV Pro Player\player.swf        Win32/Adware.FlvDirect application (unable to clean)        00000000000000000000000000000000        I
C:\Users\volvobirgit\AppData\Local\Temp\Rar$DI01.496\Mahnung - Rechnung vom 12.08.2012.zip        Win32/Trustezeb.C trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\volvobirgit\AppData\Local\Temp\Vwfnunr\tywoajlnt.exe        Win32/Trustezeb.C trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\volvobirgit\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7\143b51c7-39f8480b        a variant of Java/TrojanDownloader.OpenStream.NCC trojan (unable to clean)        00000000000000000000000000000000        I
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TY6KG0OF\upgrade[1].cab        multiple threats (unable to clean)        00000000000000000000000000000000        I
D:\WOLFI ORDNER\programme für meinen lapi\msn\MsgPlusLive-483.exe        a variant of Win32/Adware.CiDHelp application (unable to clean)        00000000000000000000000000000000        I

Bengelchen75 11.09.2012 19:00
hallllo?!?!?! noch jemand da??!?!?! :)

wie soll ich weiter vorgehen?

danke!
lg und schönen abend noch

cosinus 11.09.2012 23:08
Ja ich bin noch da!

Code:
C:\Windows\Office 2010 Activation and Conversion Kit 1.6.exe
Das disqualifiziert dich für eine Bereinigung! :pfui:

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials

Bengelchen75 12.09.2012 03:17
Ok, danke, gut zu wissen, das war mir nämlich nicht bekannt. Hat mir nämlich ein bekannter installiert. Wie auch immer - werde neu aufsetzen. Danke!

cosinus 12.09.2012 11:11
Ok, danke für dein Verständnis. Wir haben da nämlich schon einige im Forum gehabt, die dann die tollsten Ausreden erfinden, sinnlose Diskussionen führen oder unsere Aussagen an sich in Frage stellen wollen wie zB in der Art "das ist schon ewig drauf, kann gar nicht die Ursache sein bla bla bla" - das führt deswegen zu nichts, weil wir grundsätzlich sowas nicht unterstützen unabhängig davon was die Ursache für die Infektion ist.

Pass in Zukunft auf, was Bekannte so installieren. Das passiert immer wieder, dass die sich einfach an einem fremden Rechner austoben und irgendwelche gecrackte K**** installieren :stirn:
Lass Bekannte da nicht mehr ran oder warne die ausdrücklich davor!


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:42 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129