Trojan.Ransom - Bezahlen und Herunterladen
 

Hallöchen,

hab gehört es ist "In" ist, sich den Rechner per "Bezahlen und Herunterladen"-Trojaner sperren zu lassen - mein Rechner konnte da gestern natürlich nicht nein sagen! Bin zwar verunsichert, wie und wo ich mir den eingefangen hab, aber hey - kann ich was draus lernen.

Rechner funktioniert in abgesichertem Modus, Scan-Logs von OTL und Malwarebytes im Anhang.

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!


Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

So, gestern Abend und über Nacht habe ich folgende Aktionen durchgeführt:

Im abgesicherten Modus:
* Per Malwarebyte quickscan die Funde entfernt:
* Malwarebyte full scan aller Festplatten (keine Funde):
Problem:
Windows konnte nach Entfernen zwar im Normalmodus hochgefahren werden, frorr jedoch nach wenigen Minuten ein. Da dies 5x passierte, selbst ohne großes Ausführen irgendwelcher Programme, entschloss ich mich, einen Wiederherstellungspunkt (4.2) vor Infektion zu wählen.

* Systemwiederherstellung auf 4.2
Im Abgesicherten Modus:
* ESET Scan nur der obigen Infektionsstellen: Keine Funde
* Malware Bytes quick scan: Keine Funde

Im Normalmodus ohne Internetverbindung (gezogenes Kabel) läuft Rechner anscheinend problemlos über 15-20 min mit Tätigkeit. Mit Kabel friert nachwievor die Explorer.exe und darauf folgend alles andere ein. Maus kann bewegt werden, Task Manager geht in einigen Fällen noch, in anderen öffnet er sich nicht einmal mehr.

Rechner wurde nach den 20min wieder an Internet verbunden und frorr nach 2-3 Min prompt ein. Nach Kabel ziehen und einigen Minuten hat sich zwar ein Teil der zum Test ausgeführten Programme wieder gefangen, allerdings nicht alle und es gingen z.B. weder Herunterfahren noch Task Manager.

* ESET scan aller Festplatten:
Falls die Ursache für die Instabilität des Systems nicht auffindbar ist, werd ich an Samstag Nachmittag/Abend drüber nachdenken, die Format c Keule zu schwingen und das frische System dann ein wenig sicherer aufzusetzen - oder zumindest leichter wiederherstellbar. Da das meine erste ernste Vireninfektion nach unzähligen Jahren intensiver Internetnutzung ist, werd ich dann ja hoffentlich nicht so bald wieder in diese nervige und zeitraubende Situation kommen. Ich vermute als Infektionsweg eh n Werbebanner auf DeviantArt über nen (aus Faulheit und wohl fahrlässig) genutzen IE8. Jedenfalls ist das die einzige auffällige Ausnahme von meinem ansonsten anscheinend hinreichend sicherem Surfverhalten gewesen.

Mitten im Editieren läuft die 60min Frist ab.. dumdedum.

Hab vorm zur Arbeit gehen noch n OTL Quickscan mit den folgenden Parametern durchbekommen. Entspricht meiner Recherche nach einem Routinescan deiner Art. Der Scan erfolgte auf dem infizierten Nutzer im normalen Windowsmodus (ohne Internetkabel; Sophos On Access Scan deaktiviert).

Mach mal im abgesicherten Modus mit Netzwerktreibern ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Erledigt

OTL Logfile:
--- --- ---

Du hast den Haken bei Scanne alle Benutzer vergessen :(

OTL Logfile:
--- --- ---

Ich hab den Eindruchk, das ist ein nicht gänzlich rien privat genutzer Rechner...:pfeiff:
Sophos, Cisco, squid...aber egal http://cheesebuerger.de/images/midi/froehlich/a048.gif

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Naja, ist schlicht der Privatrechner eines Studenten. Cisco VPN Client für Zugriff auf wissenschaftliche Zeitschriften von zu Hause und Sophos via Campuslizenz, n Ordner mit SQUID-Messdaten weil Naturwissenschafter,.. Trennung 'Privat' vs 'Studium/Beruf' ist da praktisch nicht existent.

Ich hab ja nichts gesagt...ich helfe Studenten immer gern, war selbst mal einer bis ich das Studium im ersten Semester abbrach weil ich genau wusste wie der Hase lief ich aus anderem Holz geschnitzt bin aber nicht aus dem für Studi-Dasein ;) (ich laber schon wieder :blabla: )

Gut kleiner Exkurs. Machen wir mal weiter. Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hoppla, 2 Stunden übersehen das der Thread ne Seite 2 bekommen hat.. dumdedum..

Windows im Normalmodus ist selbst ohne Netzwerkkabel unglücklich und instabil, sodass das ganze zwei Anläufe gebraucht hat.. urgh. Beim ersten mal wie vorher eine lustige Runde einfrieren gehabt.


[Edit]:
Mh, Anmerkung zu den drei Funden:
* StarOpen gehört anscheinend zum nutzlosen Samsung PC Studio 3 mobile,
* CVPNDRVA zum Bereits erwähnten Cisco VPN client.
* Die sptd könnte von ner Alcohol 120% Installation vor einiger Zeit übrig geblieben sein. Unis und der reale Umgang mit (teurer!) professioneller Software sind anscheinend auch so ein Ding.. Aber man muss ja sparen sparen sparen... Ginge zum Teil zwar auch besser, aber da müsste sich jemand wirklich drum kümmern und das tut natürlich wieder keiner, weil sich die entsprechenden Entscheider nicht zuständig fühlen.. Wie ich in den letzten Wochen lernte ist der Zustand von Uni-Rechnern (inkl. der von festangestellten Mitarbeitern!) auch ein wenig gruselig. Idealismus trifft Realität, wohoo. :\

Die drei haben also schätzungsweise einen normaln Weg auf den Rechner gefunden.

Hab mich dazu entschlossen, Windows neu aufzusetzen, da ich (z.b. wegen online banking) ein wenig paranoid bin und ein System, dass nach ner Infektion instabil ist nun nicht gerade vertrauenserweckend ist. Ich glaub das geht schneller, als nun noch paar Stunden herumzudoktern und zu hoffen, dass dann wieder stabil wird.

In der Zeit, wo ich an dem Rechner nicht das machen konnte, was ich wollte, konnte ich ja die lokalen Tutorials zum Thema PC Sichern lesen und werd mal anfangen, die abzuarbeiten und mal schauen, was ich zum Thema Backups und System-images besser machen kann (vermutlich viel!). Dann kann ich auch mal die (möglicherweise vorhanden) Backup-Altlasten von 8 oder so Jahren "Neuinstallation? Naja, zieh ich die Partition einfach auf die ne andere" langsam abarbeiten.

Da das Einfallstor für meinen lieben Gast ja vermutlich der IE 8-Besuch auf einer von mir als (weitestgehend) vertrauenswürdig eingestuften Seite war, kommt in Zukunft halt Opera als Zweitbrowser neben Firefox zum Einsatz. Immerhin kann ich dann mal sehen, ob Opera auch so absturzfreudig ist wie Firefox ist, welches ja nach 20-30 parallel offenen Tabs in die Knie geht - und das schonmal 5-6 mal am Tag. :pfeiff:

So, frisches Windows 7. Spuk sollte vorbei seien, nicht? Naja... nicht ganz. Stattdessen tut sich eine neue Frage (Netzwerksicherheit) auf.

Es trat folgendes Problem auf: Die Windows 7 SP1 Homepage bietet ne halbe Million (ok, n dutzend) Files an und ich habs geschafft das falsche zu erwischen. Macht ja nix, ich hab ja einen Mitbewohner (praktisch ne Zweck-WG). Beim Herunterladen der ISO (ohne Rohling natürlich super zu nutzen, danke Microsoft!) hab ich dann im Gespräch herausgefunden, dass der Gute sich auf ner Videostreaming Seite ein Exemplar des BKA Trojaners eingefangen hat (anscheinend aber ein anderes als ich, zumindest die Nachricht war anders) - und das ganze drei Stunden bevor ich ihn an der Backe hatte. Zufall? Womöglich, hab schließlich zu dem Zeitpunkt selbst ne Sicherheitssünde begangen. (mit IE 8 auf DeviantArt gewesen)

Wirklich sauber ist sein Rechner somit nicht, womit ich mir theoretisch via USB Stick natürlich direkt wieder was lustiges hab einfangen können. Adblocker und Noscript verwendet er nicht - aus mir unklaren Gründen - und anscheinend ist sein Umgang mit Virenbefall sehr locker und er hat seinen Gast halbherzig aus der Registry geschmissen und so, vermutlich ohne den Rechner danach auf Herz und Nieren zu prüfen. Dachte mir während des Downloads kann man ja mal ESET drüberlaufen lassen und das hat auf seiner Festplatte auch zwei Exemplare von Erpressertrojanern gefunden.. super..

Es stellt sich für mich nun also die Frage: Netzwerksicherheit - wie geht man da vor? WG-Üblich gehen wir über nen gemeinsamen Router ins Netz. Nur, wie verhindert man, dass zwischen den zwei Rechnern solche Gäste ausgetauscht werden? Ich weiß und glaub ja nun nicht, ob ich ihm die Besuche auf den Seiten ausreden kann, weswegen ich das Bedürfnis hab, meinen Rechner gegenüber seinem abzusichern. Da wir keinen Netzwerkdrucker o.ä. haben würde darunter nichts leiden.

Außerdem scheints mir, als sollte ich mir wieder n Linux als Backupsystem für solche Fälle installieren.

Indem man sich mal überlegt wie die Dinger denn zwischen euren Rechnern ausgetauscht wurden. Wenn das über ein USB-Stick passiert ist, sollte man mal überlegen, ob man sein Stick da an einen infizierten Rechner von deinem Kumpel überhaupt noch anschließen will :balla:
Ich deaktivier grundsätzlich die automatische Wiedergabe von allen Laufwerken, es ist eine selten dämliche Einstellung, dass Windows automatisch alles mögliche an Programmen ausführt nur weil man einen USB-Stick oder eine ext. Platte angeschlossen hat :stirn:

Über n USB-Stick ist die Infektion nicht geschehen - von daher auch meine Frage bezüglich Netzwerk-Sicherheit. Naja, nu hab ich halt Windows mitgeteilt, mein Privatrechner stünde in einem "öffentlichen" Netzwerk und hoffe das die Windows-Firewall das Problem handhabt.

Das mir mein USB-Stick innerhalb von 5 Jahren in unterschiedlichen, mäßig gepflegten (Uni-)Rechnern, welche im Jahr sicher so 50-70 andere USB-Sticks sehen, nichts mitbebracht hat, .. mh.. irgendwo erstaunlich. Naja, jetzt ist er geimpft und das wird erstrecht nichtmehr passieren.

Nunja, dann bedanke ich mich mal herzlich für die Hilfe (auch indirekt via der Tutorials zum Thema Rechner absichern etc). :)

Ich möchte noch gern auf einen Umstand hinweisen, bei dem ich denke, dass er vielleicht besser gemacht werden bzw. optimiert werden könnte: Während ich in verschiedenen Threads gelesen hab, ist mir aufgefallen, dass sowohl du als auch markusg - wenig überraschend - ein bestimmten Programm an Routineanalytik abfragt (MBAM, ESET, OTL und meinetwegen auch TDSS Killer). Als Hilfesuchender, der tatsächlich auch was liest bevor er drauf lospostet, musste ich aber trotzdem etwas viel Zeit hineinstecken, um diese Information herauszubekommen und einen nächsten Schritt erahnen zu können.

Es wäre daher überlegenswert, ob es nicht Sinn macht - angesichts z.B. der Häufigkeit des BKA-Trojaners und Anfragen diesbezüglich - einen Stickypost zu machen, der eben Infos zu den drei-vier Routineanalysen umfasst, sodass Zeit und Arbeit gespart wird. Dies hätte auch mir als Hilfesuchenden geholfen, da ich unter der Woche nur begrenzt Zeit habe und gerne die Phasen, in denen ich am Rechner eh nichts machen kann (Abwesenheit, Nacht) sinnvoll mit einem Scan füllen möchte. Das geht aber natürlich nur, wenn ich weiß, welche ich alle durchzuführen habe. Eine "führe folgende drei-vier (nicht destruktive) Scans durch"-Anweisung (ob als Sticky oder so häufig in Threads gemacht, dass es schnell offensichtlich wird) erlaubt es dem Hilfesuchenden, seine Zeit flexibel einzuteilen, anstatt zeitgleich mit dem Helfer online sein zu müssen, um solche Reibungsverluste zu meiden.

Könnt ja mal drüber nachdenken, ob ihr dahingehend was (zeit)optimieren könnt :)

[Edit]:
Hab übrigens glaub ich auch herausgefunden, warum mein Rechner nach der Entfernung vom Trojaner instabil wurde - aber das nur im normalen Modus. MBAM bietet im Moment ja 15 Tage pro-Version an und es könnte gut sein, dass sich Sophos und MBAM als zwei gleichzeitig aktive Hintergrundwächter in die Haare gekommen sind und fürs Einfrieren von Windows gesorgt haben. Nach der Neuinstallation hatte ich das Problem nämlich, sobald mbam drauf war, erneut und dachte, ich hätte mir vielleicht direkt was neues eingefangen bzw. es seien trotz Format c: noch irgendwelche Überreste der (kleinen) Infektion vorhanden. Entweder das, oder die Änderung von Heim- -> Öffentliches Netzwerk hat bewirkt, dass das nichtmehr passiert.

Mit den Freigaben aufpassen. Wenn eh kein Dateitausch zwischen diesen beiden Rechnern stattfinden soll, Windows-Firewall entsprechend streng einstellen.

Nicht wirklich. Es gibt nicht "die" Infektion, die bei jedem Rechner 1:1 indentisch ist. Es ist auch nicht gesagt, dass dass Vorgehen im abgesicherten Modus mit MBAM Und ESET so weiterhilft, dass man zumindest den normalen Modus weiternutzen kann. Ich und auch viele andere Helfer hier halten nicht viel von pauschalen Anleitungen, die vorgeben einen bestimmten Typus an Malware zu entfernen.