Windows Verschlüsselungs Trojaner Hallo, leider habe ich bei einer Email die zip-Anlage geöffnet und hatte sodann einen Trojaner/Virus aufgenackt. Der Bildschirm flackert und dann irgendwann kommt Willkommen bei Windows Update. Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert. Die Email lautet: Neue Bestellung 567558210 und kam von wbsloan@unidial.com und hat diesen Inhalt: Guten Tag, unser Versandzentrum hat Ihr Paket mit der Auftrags ID 51507204313 zur Zustellung an Hermes Versand übergeben. Im Anhangsordner befindet sich die Abrechnung und Zustelldaten als Druck-Datei. Sie können die Rechnungsbestätigung immer selbst über online Seite abrufen. Diese Angaben werden benötigt: - Ihre Email-Adresse und die Bestellnummer oder - die Vertrags-Nummer und die Serien-Id Bestellnummer: 99715522315 Geräte Serien-Nr.: 95861517332 Preis 999,62 EU Die Abrechnung erfolgt in Die einigen Tagen von Ihrem PayPal-Konto. Ihr Auftrag ist hiermit fertig. Mit besten Grüßen Ihr Kundendienst _______________________ Hooli Technik Online-Handel mit Sitz in Berlin Vorstand: Walter Koller, Josef Kaiser Aufsichtsratsvorsitzender: Renate Schmidt Amtsgericht: Augsburg 39427 _________ Was muss ich nun machen, um ihn loszuwerden. Infiziert ist mein Laptop (Windows XP) auf dem das für uns wichtige Banking Programm läuft. Zur Zeit schreibe ich vom Netbook. Ich muss Euch dazu sagen, dass ich zwar etwas von PC´s verstehe, aber mit vielen Fachbegriffen dann doch überfordert bin. Also bitte idiotensichere Anleitungen. Vielen Dank! |
Hallo, Um eine genauere Analyse zu ermöglichen, befolge bitte diesen Link: An alle Hilfesuchenden! Was muss ich vor Eröffnung eines Themas beachten? |
Hallo, das mit dem Defogger auf den Desktop des betroffenen Laptops herunterladen funktioniert leider nicht, da der LT nach einigen Sekunden anfängt zu flackern und sich dann irgendwann mit den Windows Update Verschlüsselungs Trojaner festfährt. Dann geht garnichts mehr. Ich habe keine Chance irgendein bereits vorhandenes Virenprogramm durchlaufen zu lassen oder gar neue Programm zu installieren. Ich weiß also nicht weiter... |
OK! Um welches Betriebssystem handelt es sich? Bitte auch angeben, ob 32- oder 64bit! |
Windows XP - wo kann ich sehen, ob 32 oder 64bit? |
Scan mit OTLPE Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
Hinweis: Wie boote ich von CD
|
So, nun habe ich die ISO-CD gebrannt und im BIOS eingestellt, dass von der CD gebootet werden soll. Das Laufwerk springt auch an, jedoch flackert der Bildschirm bis zum Erscheinen des "Trojaner-Bildes". Das passiert dann leider nicht: "Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen." Wie geht es weiter? |
Funktioniert der abgesicherte Modus mit Netzwerktreibern noch? Abgesicherter Modus zur Bereinigung
|
Sieht nicht so aus - springt immer wieder zurück auf die Seite und gibt an, dass Windows konnte leider nicht erfolgreich gestartet werden, wenn ich im abgesicherten Modus mit Netzwerktreibern ausgewählt habe. |
Das heißt, er startet von der CD, aber dann erscheint dennoch das Bild des Trojaners? Das kann nicht sein! Bitte prüfe, ob das System auch wirklich von der CD gestartet hat! |
Hmm, ich habe mal gewählt, die letzte funktionierende Konfiguration und das System hat diese Windows Überprüfung CHKDSK durchgelaufen. Jetzt flackerts nicht mehr und Malware fighter zeit dwtrig20.exe Gefährliche Registraturänderung an. Es schein, dass ich nun etwas am PC machen kann ohne dass er mich sofort rausschmeist! |
Dann führe bitte die Schritte 1-3 aus (defogger, Gmer, DDS) und poste die logs |
so nun habe ich die 3 logs erstellt und angehängt. |
Combofix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. |
So, während combofix durchlief, war ich in der Küche, hörte das Windows sich neu startet und als ich wiederkam war der "Trojaner Bildschirm" wieder da und keine logfile. Ich starte Combofix nun noch einmal und sitze daneben. Die Flackerstörung ist auch wieder da! Die Wiederherstellungskonsole war nicht vorhanden - die hat combofix sich geladen. Combofix geht nicht erneut zu starten. Der Fehler (Flackern und sodann Trojaner Bildschirm) hat sich wieder eingestellt. Wie soll ich den PC nun starten? |
Zefix... Versuchen wir das per USB-Stick! OTLPE (USB) Erstellen wir einen bootbaren USB Stick für OTLPE Wichtig: Der USB Stick muss mindestens 512 MB oder mehr haben. Sichere gegebenfalls alle Dateien von dem USB Stick, diese werden nach den folgenden Schritten nicht mehr vorhanden sein.
Nun boote von mit der OTLPE USB Stick. Hinweis: Wie boote ich von CD (einfach statt ner CD USB Device auswählen)
|
PEtoUSB zeigt an, NO USB Disks found, obwohl ich einen 4 GB Stick angestöpselt habe. Diesen habe ich vorher FAT formatiert und er ist auch unter Arbeitsplatz zu sehen. Was muss ich tun? Ich bekomme gerade noch eine verdächtige Email: (Den Anhang habe ich nicht geöffnet! - der heißt 2012.zip) Besten Dank für Ihre Bestellung, Sie haben soeben bei der Flirtseite www.Love.ch die Elitemitgliedschaft erworben. Der Betrag in Höhe von 591,39 EUR wird in den nächsten Tagen von Ihrem Konto entzogen. Die Kontobuchung erfolgt durch Paryment AG. Sie sind jetzt für die nächsten 6 Monate Eliteklient und dürfen in voller Grösse die Stardienstleistungen nutzen. Entziehen Sie die Zahlungsaufforderung bitte dem beigefügtem Anhang, dort finden Sie auch die Zahlungsaufforderungen und Premiumdienstvorteile. Falls Sie die Starmitgliedschaft nicht mehr wünschen, mailen Sie die Widerrufung, mit der in der beigefügter Datei, beigelegten Stornierungserklärung. Das Serviceteam wünscht Ihnen viel Liebe. Mit besten Grüßen Sabine Reiter Serviceteam Dortmund 60583 Deutschland Phone: +49-495-49816827 Geschäftsleiter: Thomas Peters Inhaltlich Verantwortlicher gemäss § 6 MDStV: Peter Fuchs Datenschutzbeauftragter: Heinz Schwarz UST-Nr.: DE6612934884 Amtsgericht Hamburg |
Nimm einen anderen USB-Port und versuche es erneut! Leite die Mail weiter- Infos unter markusg.trojaner-board.de |
Es funktioniert bei keinem der 3 USB Ports. Möchtest Du mal per Teamviewer draufschauen? Ich bin zu doof - glaube ich! |
Probiers mit nem anderen Stick! |
Ich habe bereits 3 Sticks (1GB, 2 GB und 4 GB) formatiert und an allen Ports ausprobiert! Es steht immer No Disk found! Ich habe auch mal alle Stick gleichzeitig eingesteckt - aber das funktioniert auch nicht! Ich habe auch mal die deutsche 3.0.0.8 Version PEtoUSB ausprobiert - geht auch nicht! |
Bist du als Administrator angemeldet? |
Es gibt nur ein Benutzerkonto und da bin ich als Administrator angemeldet. Ich konnte die OTLP-Iso Datei mit ISOtoUSB auf den USB-Stick kopieren und habe dann mal versucht, den befallenen Laptop damit zu booten. Auch das geht nicht. BIOS zeigt an: Datenträger entfernen Neustart: Taste drücken drückt man Enter ohne den Datenträger zu entfernen - kommt wieder die Betriebssystemauswahlseite und dann wählt man WinXP - kommt mann zum XP mit dem Trojaner und auch nicht weiter; wählt man Windows Wiederherstellungskonsole kommt die Ansage: Die Wiederherstellungskonsole bietet Reparatur- und Wiederherstellungsfunktionen. Geben Sie "exit" ein, um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten. 1: C:\Windows 2: E:\I386 Bei welcher Installation möchten SIe sich anmelden? |
Versuche, von der CD zu booten... Wenn der Rechner richtig von CD startet und auch die CD richtig gebrannt ist, startet ein minimalisiertes Windows - dort kann das Trojanerbild nicht angezeigt werden! |
So, neuer Tag - neues Glück. Ich habe die CD nochmal gebrannt und sodann von der CD gebootet - es funktioniert doch. Im Anhang die OTL.txt - Datei. Eine andere hat das System nicht rausgegeben. Wie geht es nun weiter? |
Schritt 1: Fix mit OTLPE
Schritt 2: Combofix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Schritt 3: MBAM Downloade Dir bitte Malwarebytes
|
Lade die fix.txt von deinem Stick. Bis dahin funktioniert alles!! Klicke den Fix-Button Hier passiert dann nichts mehr! Ist das normal?? Starte Windows nun normal. Es sollte sich eine OTL.txt öffnen, poste deren Inhalt in deinem nächsten Thread. |
Gib den Fix von Hand in das OTL-Fenster ein und versuche es erneut! |
Ähm, die Tastatur ist verdreht - ich finde nicht die richtigen Zeichen! Ich habe mal die Datei vom USB Stick in das Notepad vom infizierten Rechner kopiert und dann in das OTLPE Feld - dann hat es etwas gemacht. Ich melde mich gleich wie weiter... Es öffnet sich keine OTL.text Datei - aber das System läuft erstmal ohne Störung. Soll ich mit Schritt 2 weitermachen? |
ja, mach weiter! |
So, fertig! Im Anhang finden sich die beiden Logdateien! Muss jetzt noch etwas gemacht werden? |
Ja, bitte warte - ich muss mir die logs genau anschauen! |
DDS Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. dds.com dds.scr dds.pif
|
So hier die beiden Logfiles im Anhang... |
Schritt 1: Software deinstallieren
Schritt 2: CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code: DIRLOOK:: Wichtig:
|
Im Anhang die Logdatei. (Es kam keine Aufforderung oder Ähnliches!) |
CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code: FOLDER:: Wichtig:
Es haben sich neue Erkenntnisse in puncto aktueller Trojaner ergeben - bitte warte auf weiteres, bis wir eine Vorgehensweise erarbeitet haben! |
So hier die Logdatei im Anhang |
Das war die falsche logdatei, nämlich die gleiche wie beim letzten Mal! Ich brauche die vom aktuellen Durchlauf! |
Upps, was Du alles bemerkst ... war mein Fehler, meine Familie hatte mich abgelenkt. Hier die letzte Log-Datei von Combofix im Anhang! |
Schritt 1: Java update Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Schritt 2: Mozilla Thunderbird update Dein Thunderbird-Mailclient ist veraltet. Gehe wie folgt vor, um ihn zu aktualisieren:
Schritt 3: Onlinescan zur Kontrolle ESET Online Scanner
|
Im Anhang das Logfile |
Dann sind wir durch! Allerdings sollten wir noch kein "Aufräumen" durchführen, da wir die Daten eventuell noch zur Entschlüsselung benötigen. Bitte warte also weiteres ab! |
Wir können im Moment nichts mehr tun und sollten mit dem Aufräumen beginnen. Bist du noch bei mir? |
Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist |
Fehlende Rückmeldung Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten. PM an mich falls Du denoch weiter machen willst. Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist. Jeder andere bitte hier klicken und einen eigenen Thread erstellen |
Alle Zeitangaben in WEZ +1. Es ist jetzt 08:48 Uhr. |
Copyright ©2000-2024, Trojaner-Board