Windows Verschlüsselungs Trojaner
 

Hallo,

leider habe ich bei einer Email die zip-Anlage geöffnet und hatte sodann einen Trojaner/Virus aufgenackt. Der Bildschirm flackert und dann irgendwann kommt Willkommen bei Windows Update. Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.

Die Email lautet:

Neue Bestellung 567558210 und kam von wbsloan@unidial.com

und hat diesen Inhalt:

Guten Tag,

unser Versandzentrum hat Ihr Paket mit der Auftrags ID 51507204313 zur Zustellung an Hermes Versand übergeben.

Im Anhangsordner befindet sich die Abrechnung und Zustelldaten als Druck-Datei.

Sie können die Rechnungsbestätigung immer selbst über online Seite abrufen.

Diese Angaben werden benötigt:

- Ihre Email-Adresse und die Bestellnummer oder
- die Vertrags-Nummer und die Serien-Id

Bestellnummer: 99715522315
Geräte Serien-Nr.: 95861517332
Preis 999,62 EU

Die Abrechnung erfolgt in Die einigen Tagen von Ihrem PayPal-Konto.

Ihr Auftrag ist hiermit fertig.

Mit besten Grüßen

Ihr Kundendienst

_______________________
Hooli Technik Online-Handel mit Sitz in Berlin

Vorstand: Walter Koller, Josef Kaiser
Aufsichtsratsvorsitzender: Renate Schmidt
Amtsgericht: Augsburg 39427
_________

Was muss ich nun machen, um ihn loszuwerden. Infiziert ist mein Laptop (Windows XP) auf dem das für uns wichtige Banking Programm läuft. Zur Zeit schreibe ich vom Netbook.

Ich muss Euch dazu sagen, dass ich zwar etwas von PC´s verstehe, aber mit vielen Fachbegriffen dann doch überfordert bin. Also bitte idiotensichere Anleitungen. Vielen Dank!

Hallo,

Um eine genauere Analyse zu ermöglichen, befolge bitte diesen Link:

An alle Hilfesuchenden! Was muss ich vor Eröffnung eines Themas beachten?

Hallo,

das mit dem Defogger auf den Desktop des betroffenen Laptops herunterladen funktioniert leider nicht, da der LT nach einigen Sekunden anfängt zu flackern und sich dann irgendwann mit den Windows Update Verschlüsselungs Trojaner festfährt. Dann geht garnichts mehr. Ich habe keine Chance irgendein bereits vorhandenes Virenprogramm durchlaufen zu lassen oder gar neue Programm zu installieren.

Ich weiß also nicht weiter...

OK!

Um welches Betriebssystem handelt es sich? Bitte auch angeben, ob 32- oder 64bit!

Windows XP - wo kann ich sehen, ob 32 oder 64bit?

Scan mit OTLPE


Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
  Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von mit der OTLPE CD.
Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

So, nun habe ich die ISO-CD gebrannt und im BIOS eingestellt, dass von der CD gebootet werden soll. Das Laufwerk springt auch an, jedoch flackert der Bildschirm bis zum Erscheinen des "Trojaner-Bildes".

Das passiert dann leider nicht: "Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen." Wie geht es weiter?

Funktioniert der abgesicherte Modus mit Netzwerktreibern noch?

Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  http://www.trojaner-board.de/attachm...1&d=1266804935

Sieht nicht so aus - springt immer wieder zurück auf die Seite und gibt an, dass Windows konnte leider nicht erfolgreich gestartet werden, wenn ich im abgesicherten Modus mit Netzwerktreibern ausgewählt habe.

Das heißt, er startet von der CD, aber dann erscheint dennoch das Bild des Trojaners? Das kann nicht sein!

Bitte prüfe, ob das System auch wirklich von der CD gestartet hat!

Hmm, ich habe mal gewählt, die letzte funktionierende Konfiguration und das System hat diese Windows Überprüfung CHKDSK durchgelaufen. Jetzt flackerts nicht mehr und Malware fighter zeit dwtrig20.exe Gefährliche Registraturänderung an. Es schein, dass ich nun etwas am PC machen kann ohne dass er mich sofort rausschmeist!

Dann führe bitte die Schritte 1-3 aus (defogger, Gmer, DDS) und poste die logs

so nun habe ich die 3 logs erstellt und angehängt.

Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

So, während combofix durchlief, war ich in der Küche, hörte das Windows sich neu startet und als ich wiederkam war der "Trojaner Bildschirm" wieder da und keine logfile. Ich starte Combofix nun noch einmal und sitze daneben. Die Flackerstörung ist auch wieder da!

Die Wiederherstellungskonsole war nicht vorhanden - die hat combofix sich geladen.

Combofix geht nicht erneut zu starten. Der Fehler (Flackern und sodann Trojaner Bildschirm) hat sich wieder eingestellt. Wie soll ich den PC nun starten?

Zefix...

Versuchen wir das per USB-Stick!

OTLPE (USB)


Erstellen wir einen bootbaren USB Stick für OTLPE

Wichtig:
Der USB Stick muss mindestens 512 MB oder mehr haben. Sichere gegebenfalls alle Dateien von dem USB Stick, diese werden nach den folgenden Schritten nicht mehr vorhanden sein.

• Downloade dir OTLPEstd.exe und speichere die Datei auf dem Desktop.
• Solltest Du kein 7-zip oder Winrar auf deinem System haben, lade dir 7-zip herunter und installiere es.
• Nach der Installation von 7-zip, extrahiere OTLPEstd mit einem Rechtsklick auf OTLPE.iso und wähle Entpacken nach "OTLPEstd\".
  
  
  http://larusso.trojaner-board.de/Images/otlpe.jpg
  
  
  Nun öffne bitte den Ordner OTLPEStd und mache einen Rechtklick auf die OTLPE_New_Std.iso und wähle in 7zip Dateien entpacken
  
  http://larusso.trojaner-board.de/Images/otlpe2.jpg
  
  Entpacke die Dateien in einen Ordner ( OTLPE ) auf dem Desktop. Nehme bitte ebenfalls die Einstellung wie im Bild vor.
  
  http://larusso.trojaner-board.de/Images/otlpe3.jpg

Downloade dir eeepcfr.zip und entpacke die Datei nach Systemroot (meistens C:\).

• Leere den USB Stick auf den Du OTLPE erstellen willst.
• Navigiere nach C:\eeecpfr und starte usb_prep8.cmd.
• Drücke im DOS Fenster eine beliebige Taste.
• Gehe nun sicher das der richtige Laufwerksbuchstabe deines USB Sticks ganz oben steht.
  Für Drive Label: gib ein OTLPE.
  Unter Source Path to built BartPE/WinPE Files klicke ... und wähle den vorher erstellten OTLPE Ordner .
  Setze ein Häckchen bei Enable File Copy.
• Klicke Start, akzeptiere die Nutzungsbestimmungen.

Nun kannst Du mit dem USB Stick dein System starten!

Nun boote von mit der OTLPE USB Stick.
Hinweis: Wie boote ich von CD (einfach statt ner CD USB Device auswählen)

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

PEtoUSB zeigt an, NO USB Disks found, obwohl ich einen 4 GB Stick angestöpselt habe. Diesen habe ich vorher FAT formatiert und er ist auch unter Arbeitsplatz zu sehen. Was muss ich tun?

Ich bekomme gerade noch eine verdächtige Email:

(Den Anhang habe ich nicht geöffnet! - der heißt 2012.zip)

Besten Dank für Ihre Bestellung,

Sie haben soeben bei der Flirtseite www.Love.ch die Elitemitgliedschaft erworben. Der Betrag in Höhe von 591,39 EUR wird in den nächsten Tagen von Ihrem Konto entzogen. Die Kontobuchung erfolgt durch Paryment AG.


Sie sind jetzt für die nächsten 6 Monate Eliteklient und dürfen in voller Grösse die Stardienstleistungen nutzen.
Entziehen Sie die Zahlungsaufforderung bitte dem beigefügtem Anhang, dort finden Sie auch die Zahlungsaufforderungen und Premiumdienstvorteile. Falls Sie die Starmitgliedschaft nicht mehr wünschen, mailen Sie die Widerrufung, mit der in der beigefügter Datei, beigelegten Stornierungserklärung.

Das Serviceteam wünscht Ihnen viel Liebe.

Mit besten Grüßen Sabine Reiter
Serviceteam


Dortmund 60583 Deutschland
Phone: +49-495-49816827

Geschäftsleiter: Thomas Peters
Inhaltlich Verantwortlicher gemäss § 6 MDStV: Peter Fuchs
Datenschutzbeauftragter: Heinz Schwarz
UST-Nr.: DE6612934884
Amtsgericht Hamburg

Nimm einen anderen USB-Port und versuche es erneut!

Leite die Mail weiter- Infos unter markusg.trojaner-board.de

Es funktioniert bei keinem der 3 USB Ports. Möchtest Du mal per Teamviewer draufschauen? Ich bin zu doof - glaube ich!

Probiers mit nem anderen Stick!

Ich habe bereits 3 Sticks (1GB, 2 GB und 4 GB) formatiert und an allen Ports ausprobiert! Es steht immer No Disk found!

Ich habe auch mal alle Stick gleichzeitig eingesteckt - aber das funktioniert auch nicht! Ich habe auch mal die deutsche 3.0.0.8 Version PEtoUSB ausprobiert - geht auch nicht!

Bist du als Administrator angemeldet?

Es gibt nur ein Benutzerkonto und da bin ich als Administrator angemeldet.

Ich konnte die OTLP-Iso Datei mit ISOtoUSB auf den USB-Stick kopieren und habe dann mal versucht, den befallenen Laptop damit zu booten. Auch das geht nicht. BIOS zeigt an:

Datenträger entfernen
Neustart: Taste drücken

drückt man Enter ohne den Datenträger zu entfernen - kommt wieder die Betriebssystemauswahlseite und dann wählt man WinXP - kommt mann zum XP mit dem Trojaner und auch nicht weiter; wählt man Windows Wiederherstellungskonsole kommt die Ansage:

Die Wiederherstellungskonsole bietet Reparatur- und Wiederherstellungsfunktionen.
Geben Sie "exit" ein, um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten.
1: C:\Windows
2: E:\I386
Bei welcher Installation möchten SIe sich anmelden?

Versuche, von der CD zu booten...

Wenn der Rechner richtig von CD startet und auch die CD richtig gebrannt ist, startet ein minimalisiertes Windows - dort kann das Trojanerbild nicht angezeigt werden!

So, neuer Tag - neues Glück. Ich habe die CD nochmal gebrannt und sodann von der CD gebootet - es funktioniert doch.

Im Anhang die OTL.txt - Datei. Eine andere hat das System nicht rausgegeben.

Wie geht es nun weiter?

Schritt 1: Fix mit OTLPE

• An einem anderen PC, klicke auf Start-->ausführen.
• Schreibe Notepad in die Textbox, klicke OK.
• Kopiere nun den Inhalt der folgenden Codebox vollständig in das leere Textdokument:
  
  Code:

  ---

  :OTL
O4 - HKU\Sandra_&_Jens_ON_C..\Run: [E44AFA10] C:\WINDOWS\system32\6D9E5046E44AFA10472E.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\6D9E5046E44AFA10472E.exe) - C:\WINDOWS\system32\6D9E5046E44AFA10472E.exe ()
:COMMANDS
[Reboot]

  ---

• Speichere die Datei als fix.txt auf einem USB-Stick.
• Am infizierten Rechner, schließe den USB-Stick an, boote OTLPEN.
• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Klicke nun bitte auf den Fix Button.
• Lade die fix.txt von deinem Stick.
• Klicke den Fix-Button.
• Starte Windows nun normal. Es sollte sich eine OTL.txt öffnen, poste deren Inhalt in deinem nächsten Thread.

Schritt 2: Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.



Schritt 3: MBAM


Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen.(Hinweis: Alle Festplatten anhaken!
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Lade die fix.txt von deinem Stick. Bis dahin funktioniert alles!!
Klicke den Fix-Button Hier passiert dann nichts mehr! Ist das normal??
Starte Windows nun normal. Es sollte sich eine OTL.txt öffnen, poste deren Inhalt in deinem nächsten Thread.

Gib den Fix von Hand in das OTL-Fenster ein und versuche es erneut!

Ähm, die Tastatur ist verdreht - ich finde nicht die richtigen Zeichen! Ich habe mal die Datei vom USB Stick in das Notepad vom infizierten Rechner kopiert und dann in das OTLPE Feld - dann hat es etwas gemacht. Ich melde mich gleich wie weiter...

Es öffnet sich keine OTL.text Datei - aber das System läuft erstmal ohne Störung. Soll ich mit Schritt 2 weitermachen?

ja, mach weiter!

So, fertig! Im Anhang finden sich die beiden Logdateien! Muss jetzt noch etwas gemacht werden?

Ja, bitte warte - ich muss mir die logs genau anschauen!

DDS


Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. dds.com dds.scr dds.pif

• Schließe alle laufenden Programme.
• Starte DDS mit Doppelklick.
• Es wird 2 Logfiles erstellen.
  • dds.txt
  • attach.txt
• Speichere beide Logfiles auf deinem Desktop
• Poste beide Logfiles hier.

So hier die beiden Logfiles im Anhang...

Schritt 1: Software deinstallieren

• Drücke die Windows- und die R-Taste gleichzeitig.
• Schreibe in die Textbox appwiz.cpl, klicke OK.
• Suche und deinstalliere folgende Einträge:
  
  Zitat:

  IObit Toolbar v5.7

• Schließe das Fenster.

Schritt 2: CF-Script


Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

• Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Im Anhang die Logdatei. (Es kam keine Aufforderung oder Ähnliches!)

CF-Script


Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

• Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.


Es haben sich neue Erkenntnisse in puncto aktueller Trojaner ergeben - bitte warte auf weiteres, bis wir eine Vorgehensweise erarbeitet haben!

So hier die Logdatei im Anhang

Das war die falsche logdatei, nämlich die gleiche wie beim letzten Mal! Ich brauche die vom aktuellen Durchlauf!

Upps, was Du alles bemerkst ... war mein Fehler, meine Familie hatte mich abgelenkt.

Hier die letzte Log-Datei von Combofix im Anhang!

Schritt 1: Java update


Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 4 ) herunter laden.
• Wenn die installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
• Klicke erneut OK.

Schritt 2: Mozilla Thunderbird update


Dein Thunderbird-Mailclient ist veraltet. Gehe wie folgt vor, um ihn zu aktualisieren:

• Lade dir den aktuellen Thunderbird von hier herunter.
• Starte das Setup und folge den Anweisungen auf dem Bildschirm.
• Drücke die Windows- und die R-Taste, gib im folgenden Fenster appwiz.cpl ein und klicke auf OK.
• Entferne alle älteren Thunderbird-Versionen.
• Melde dich umgehend, falls Schwierigkeiten auftreten.

Schritt 3: Onlinescan zur Kontrolle



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Im Anhang das Logfile

Dann sind wir durch! Allerdings sollten wir noch kein "Aufräumen" durchführen, da wir die Daten eventuell noch zur Entschlüsselung benötigen.

Bitte warte also weiteres ab!

Wir können im Moment nichts mehr tun und sollten mit dem Aufräumen beginnen. Bist du noch bei mir?

Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen