Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Windows Verschlüsselungstrojaner (https://www.trojaner-board.de/114557-windows-verschluesselungstrojaner.html)

Rowmer 02.05.2012 17:43
Windows Verschlüsselungstrojaner
 
Hallo,

ich habe mir den Windows Verschlüsselungstrojaner eingefangen und bereits eure Anleitung abgearbeitet.
Nun habe ich den Scan mit OTLPE durchgeführt.
hier ist die OTL.txt Datei


Ich würde mich über eine schnelle Antwort freuen

Mit freundlichen Grüßen

Rowmer

markusg 02.05.2012 18:18
hi
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
:OTL
O4 - HKU\Administrator_ON_C..\Run: [04D5CD82] C:\WINDOWS\system32\809B80B404D5CD8200D9.exe ()
O4 - HKU\Administrator_ON_C..\Run: [Mscodec] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dvdmod\deptor.exe ()
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\809B80B404D5CD8200D9.exe) - C:\WINDOWS\system32\809B80B404D5CD8200D9.exe ()
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
[2012/05/02 08:20:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Zmynsrk
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.



falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Rowmer 02.05.2012 18:41
danke erstmal! :daumenhoc

Habe den Upload soeben durchgeführt. Windows startet wieder, jedoch sind diverse Dateien verschlüsselt.

markusg 02.05.2012 18:59
danke dir, immer mit der ruhe, das kommt alles noch.
warscheinlich hast du dich per mail infiziert, in dem ein archiv ist, meist rar oder zip, von unbekanntem absender, die hätte ich gern.
wenn du ein mail programm nutzt, öffne diese mail mal, datei speichern unter, und bei typ zb
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.


ps:
auch in zukunft, solche mails weiter leiten, das hilft uns allen einen besseren schutz zu erhalten.

Rowmer 02.05.2012 19:01
Ich rufe meine Mails leider über gmx.de ab, also im Browser

markusg 02.05.2012 19:14
ok, dann bitte dort mail öffnen, weiterleiten.
außerdem benötige ich den header, aus der gmx hilfe:
• Klicken Sie rechts oben auf das "Briefkopf-Symbol"

• Der erweiterte Header der E-Mail öffnet sich in einem Pop-Up-Fenster
den dann markieren und in die mail rein kopieren bitte

Rowmer 02.05.2012 19:25
Habe die E-mail mit erweitertem Header und dem Anhang (als .eml) verschickt :)

markusg 02.05.2012 19:39
mach mal hiermit weiter:
mache ein backup deiner wichtigen dateien die verschlüsselt sind
auf ein externes laufwerk
dann entschlüsseln:
http://www.trojaner-board.de/114224-...-unlocker.html
gesammtes verzeichniss entschlüsseln anklicken.
teile mir mit obs geklappt hatt

Rowmer 02.05.2012 20:02
Habe angefangen, die 3 wichtigsten Ordner zu entschlüsseln. 200 Dateien sind bis jetzt entschlüsselt
edit: 600 fertig, die sich auch problemlos öffenen lassen

Das Tool hat gemeldet, dass alles fertig wäre obwohl noch einige Dateien in diesem Ordner verschlüsselt sind...
Außerdem kann ich erst morgen wieder an den betroffenen Computer, da er Bekannten von mir gehört und ich nur das Problem beheben sollte (womit ich aber ehrlich gesagt auch überfragt war :headbang: ).

~Rowmer

markusg 03.05.2012 10:33
hehe, ich verrate es keinem :-)

sind die dateien noch verschlüsselt, also mit nem .locked drann oder lassen sie sich nicht mehr öffnen?

Rowmer 03.05.2012 15:42
Liste der Anhänge anzeigen (Anzahl: 1)
So die dateien sind entschlüsselt und lassen sich öffnen. Die restlichen locked Dateien waren nur die Originale der nun Entschlüsselten.
Muss ich jetzt noch meine restlichen Daten entschlüsseln oder kann das warten?

edit: hab auch mal testweise Malwarebytes drüber laufen lassen. im anhang ein Screenshot und die Logdatei
Code:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.03.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: WISSEL [Administrator]

Schutz: Aktiviert

03.05.2012 17:53:52
mbam-log-2012-05-03 (18-26-02).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 190918
Laufzeit: 6 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\809B80B404D5CD8200D9.exe,) Gut: (userinit.exe) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\WINDOWS\system32\cmdow.exe (PUP.Tool) -> Keine Aktion durchgeführt.

(Ende)

markusg 03.05.2012 18:39
sind alle daten entschlüsselt, oder fehlt noch was?

Rowmer 03.05.2012 21:36
auf dem Rechner war zum Glück kaum etwas drauf. Die Dateien, die es sich lohnt zu retten, sind alle erfolgreich entschlüsselt :)

markusg 04.05.2012 15:30
na man kann ja trotzdem alles entschlüsseln :-)
sind noch probleme festzustellen?

Rowmer 04.05.2012 15:41
Nein, alles ist soweit Ok.
Soll ich die 4 Funde von Malwarebytes löschen?


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:46 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131