Trojaner-Board - Verschlüsselungs-Trojaner: Weißer Bildschirm: Bitte warten bis Verbindung hergestellt wird

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Verschlüsselungs-Trojaner: Weißer Bildschirm: Bitte warten bis Verbindung hergestellt wird (https://www.trojaner-board.de/115805-verschluesselungs-trojaner-weisser-bildschirm-bitte-warten-verbindung-hergestellt.html)

Verschlüsselungs-Trojaner: Weißer Bildschirm: Bitte warten bis Verbindung hergestellt wird

Hallo, ich habe mir wahrscheinlich beim surfen den im Titel beschriebenen Trojaner geholt. Wurde aufgefordert 100€ zu bezahlen, beim Neustart, kam dann sofort der weiße Bildschirm.

Windows (7 professional 64-bit) geht auch nicht mehr im abgesicherten Modus, auch nicht im abgesicherten Modus mit Netzwerktreibern. Als Gastbenutzer sehe ich den normalen Desktop.

Ich habe mir eine OTLPE-CD gebrannt und kann von dieser booten:
es erscheint der schwarze Bildschirm mit: ''starting Reatogo-X-Pe ...''
Der anschließende Ladevorgang von Wondows 7 wird dann immer recht schnell abgebrochen und es erscheint folgender Blue Screen:

'' A problem has been detected and windows has been shut down to prevent damage to your computer

if this is the first time you've seen this stop error screen restart your computer. If this screen appears again, follow these steps:

Check for viruses on your computer. Remove any newly installed hard drives controllers. Check your hard drive to make sure it is properly configured and terminated. Run CHKSK /F to check for hard drive corruption, and then restart your computer.

Technical information:
*** stop: 0x0000007B (0xF78DA528, 0xC0000034, 0x00000000, 0x,00000000)

bitte um Hilfe
Danke im Voraus
Falko

Geh mal ins BIOS deines Computers und stell den Plattencontroller von AHCI auf IDE bzw. Compatible um. Genauere Anleitungen kann man nicht posten, da fast jedes BIOS anders aussieht. Schau notfalls ins Handbuch.

Um das installierte Windows wieder booten zu können musst du natürlich auf AHCI wieder umstellen.

Hier sind die beiden Dateien, die wohl mein problem beschreiben.

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL

O4 - HKLM..\Run: [9txXqR9p2lPiFxH] E:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe ()

O4 - HKU\Falko_Vehling_ON_E..\Run: [9txXqR9p2lPiFxH] E:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe ()

O4 - HKU\Falko_Vehling_ON_E..\Run: [Center Agent]  File not found

O4 - HKU\LocalService_ON_E..\RunOnce: [mctadmin]  File not found

O4 - HKU\NetworkService_ON_E..\RunOnce: [mctadmin]  File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3

O7 - HKU\Falko_Vehling_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1

O7 - HKU\Falko_Vehling_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O7 - HKU\Falko_Vehling_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

O20 - HKLM Winlogon: Shell - (C:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe) - E:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe ()

O20 - HKLM Winlogon: UserInit - (C:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe) - E:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe ()

O20 - HKU\Falko_Vehling_ON_E Winlogon: Shell - (C:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe) - E:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe ()

O20 - HKU\Falko_Vehling_ON_E Winlogon: UserInit - (C:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe) - E:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe ()

O32 - HKLM CDRom: AutoRun - 1

O33 - MountPoints2\{e8001087-9ab2-11e1-beff-60d819f2e29b}\Shell - "" = AutoRun

O33 - MountPoints2\{e8001087-9ab2-11e1-beff-60d819f2e29b}\Shell\AutoRun\command - "" = E:\AutoRun.exe

O33 - MountPoints2\{e80010b8-9ab2-11e1-beff-60d819f2e29b}\Shell - "" = AutoRun

O33 - MountPoints2\{e80010b8-9ab2-11e1-beff-60d819f2e29b}\Shell\AutoRun\command - "" = E:\AutoRun.exe

:Files

E:\Users\Falko Vehling\AppData\Roaming\Diablo_III.exe

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Habe hier das logfile nach dem Fixen
Das hochladen der Zip-Datei war erfolgreich

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser not found.
Registry value HKEY_USERS\***_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDesktop not found.
Registry value HKEY_USERS\***_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr not found.
Registry value HKEY_USERS\***_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\***\AppData\Roaming\Diablo_III.exe deleted successfully.
File E:\Users\***\AppData\Roaming\Diablo_III.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Users\***\AppData\Roaming\Diablo_III.exe deleted successfully.
File E:\Users\***\AppData\Roaming\Diablo_III.exe not found.
Registry value HKEY_USERS\***_ON_E\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\***\AppData\Roaming\Diablo_III.exe deleted successfully.
File E:\Users\***\AppData\Roaming\Diablo_III.exe not found.
Registry value HKEY_USERS\***_ON_E\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Users\***\AppData\Roaming\Diablo_III.exe deleted successfully.
File E:\Users\***\AppData\Roaming\Diablo_III.exe not found.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e8001087-9ab2-11e1-beff-60d819f2e29b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e8001087-9ab2-11e1-beff-60d819f2e29b}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e8001087-9ab2-11e1-beff-60d819f2e29b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e8001087-9ab2-11e1-beff-60d819f2e29b}\ not found.
File E:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e80010b8-9ab2-11e1-beff-60d819f2e29b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e80010b8-9ab2-11e1-beff-60d819f2e29b}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e80010b8-9ab2-11e1-beff-60d819f2e29b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e80010b8-9ab2-11e1-beff-60d819f2e29b}\ not found.
File E:\AutoRun.exe not found.
========== FILES ==========
File\Folder E:\Users\***\AppData\Roaming\Diablo_III.exe not found.
========== COMMANDS ==========
E:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTLPE by OldTimer - Version 3.1.48.0 log created on 05312012_090342

Bitte jetzt routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

ok, hier zuerst das Log von Malwarebytes:

Code:

 Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.05.30.04
 

Windows 7 Service Pack 1 x64 FAT

Internet Explorer 9.0.8112.16421

*** :: ***-PC [Administrator]
 

31.05.2012 11:47:14

mbam-log-2012-05-31 (15-56-37).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 401750

Laufzeit: 42 Minute(n), 10 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 1

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell.Gen) -> Daten: c:\users\***\appdata\roaming\diablo_iii.exe -> Keine Aktion durchgeführt.
 

Infizierte Dateiobjekte der Registrierung: 1

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell.Gen.A) -> Bösartig: (Explorer.exe,C:\Users\***\AppData\Roaming\Diablo_III.exe) Gut: (Explorer.exe) -> Keine Aktion durchgeführt.
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\Users\***\AppData\Local\TempDIR\BetterInstaller.exe (PUP.BundleInstaller.Somoto) -> Keine Aktion durchgeführt.
 

(Ende)

Und hier das Log vom ESET online scanner

Code:

 SETSmartInstaller@High as CAB hook log:

OnlineScanner64.ocx - registred OK

OnlineScanner.ocx - registred OK

# version=7

# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-05-31 03:01:17

# local_time=2012-05-31 05:01:17 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=5893 16776574 100 94 35879439 90103512 0 0

# compatibility_mode=8192 67108863 100 0 237 237 0 0

# scanned=177761

# found=10

# cleaned=0

# scan_time=2815

C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarApp.dll        a variant of Win32/Toolbar.Babylon application (unable to clean)        00000000000000000000000000000000        I

C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarEng.dll        Win32/Toolbar.Babylon application (unable to clean)        00000000000000000000000000000000        I

C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarsrv.exe        probably a variant of Win32/Toolbar.Babylon application (unable to clean)        00000000000000000000000000000000        I

C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll        Win32/Toolbar.Babylon application (unable to clean)        00000000000000000000000000000000        I

C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll        Win32/Toolbar.Babylon application (unable to clean)        00000000000000000000000000000000        I

C:\Users\***\ps_radio2014.exe        a variant of Win32/Adware.ADON application (unable to clean)        00000000000000000000000000000000        I

C:\Users\***\AppData\Local\Temp\6703799.Uninstall\Uninstall.exe        a variant of Win32/InstallCore.Q application (unable to clean)        00000000000000000000000000000000        I

C:\Users\***\AppData\Local\Temp\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbar4ie.exe        Win32/Toolbar.Babylon application (unable to clean)        00000000000000000000000000000000        I

C:\Users\***\AppData\Local\Temp\is87173921\MyBabylonTB.exe        Win32/Toolbar.Babylon application (unable to clean)        00000000000000000000000000000000        I

C:\Users\***\AppData\Local\TempDIR\BetterInstaller.exe        a variant of Win32/Somoto.A application (unable to clean)        00000000000000000000000000000000        I

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

zu 1): Windows geht wieder aber der Desktop ist leer. wenn ich auf Computer, und dann auf Desktop klicke, kann ich die verlinkungen zum Desktop aber nutzen.

zu 2): Startmenü sieht normal aus. In alle Programme sind alle Ordner gefüllt.

Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

habe es wie in der anleitung 2 mal versucht und auch einmal neugestartet. leider hat es nicht geklappt.

Gruß Falko

Geht das auch genauer beschribeen als "nicht geklappt"
Was klappt da genau nicht? :glaskugel:

Das Programm läuft, wie ich denke, normal durch, aber der Desktop ist weiterhin komplett leer.

Das Programm sagt unter anderem in einem ''finished-Fenster'': '' Your files should now be visible. If you are missing start menu items, please...

Ich poste mal das Log vom Unhide-Programm:

Code:

 hier Unhide by Lawrence Abrams (Grinler)

hxxp://www.bleepingcomputer.com/

Copyright 2008-2012 BleepingComputer.com

More Information about Unhide.exe can be found at this link:

  hxxp://www.bleepingcomputer.com/forums/topic405109.html
 

Program started at: 06/01/2012 02:03:13 PM

Windows Version: Windows 7
 

Please be patient while your files are made visible again.
 

Processing the C:\ drive

Finished processing the C:\ drive. 207208 files processed.
 

Processing the G:\ drive

Finished processing the G:\ drive. 0 files processed.
 

The C:\Users\FALKOV~1\AppData\Local\Temp\smtmp\ folder does not exist!!

Unhide cannot restore your missing shortcuts!!

Please see this topic in order to learn how to restore default

Start Menu shortcuts: hxxp://www.bleepingcomputer.com/forums/topic405109.html
 

Searching for Windows Registry changes made by FakeHDD rogues.

 - Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

 - Checking HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

 - Checking HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System

 - Checking HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

  * HideIcons was set to 1! It was set back to 0!
 

Restarting Explorer.exe in order to apply changes.
 

Program finished at: 06/01/2012 02:06:35 PM

Execution time: 0 hours(s), 3 minute(s), and 21 seconds(s)

Gruß und Danke bis hierhin Falko

Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

habe jetzt wieder alle Desktopsymbole da, musste nur auf ''symbole anzeigen'' klicken.
Sorry für meine Inkompetenz gerade.