Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   keine Handlungsmöglichkeit: Windows-Verschlüsselungstrojaner blockiert kompletten bildschirm (https://www.trojaner-board.de/116453-keine-handlungsmoeglichkeit-windows-verschluesselungstrojaner-blockiert-kompletten-bildschirm.html)

Sunchezz 04.06.2012 14:10
keine Handlungsmöglichkeit: Windows-Verschlüsselungstrojaner blockiert kompletten bildschirm
 
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo liebe Spezialisten,

der Praxisrechner meiner Mutter wurde durch diesen Trojaner infiziert.
Nach dem öffnen eines Anhangs einer Mail ("Sie haben das und das gekauft, im Anhang befindet sich die Rechnung"), wars wohl schon zu spät.

Nach einem Neustart kam jenes Bild was im Anhang noch einmal zu sehen ist.
Handlungsmöglichkeiten bestehen für mich erstmal keine, obwohl ich selbst Informatiker bin. Hätte ich Zeit, würde ich vermutlich schon einiges hinbekommen, doch da es ein Arbeitsrechner ist, habe ich nicht die gewünschte Zeit und bitte euch um schnelle Hilfe.

Das einzige was ich hinbekommen habe:
Per Tastenkombination den TaskManager starten (Strg + Shift + Esc).
Damit ließ sich dann nach Aktivierung der Option "Immer im Vordergrund" ,manuell ein Prozess starten. Ich hab also erstmal die "explorer.exe" versucht zu starten. Als dies klappte freute ich mich erstmal und sah ein wenig Hoffnung. Das war jedoch schnell vorbei, als jegliche anderen Programme (die für gewöhnlich ja nicht im Modus "immer im Vordergrund" starten), alle geschlossen blieben. So sah ich auf die schnelle also erstmal keine Chance die in der Anleitung beschrieben Maßnahmen zu treffen (Ich habe es dennoch versucht).
(Malwarebytes Anti-Malware, defogger, otl, gmer)

Ich hoffe ihr habt Verständnis das deshalb erstmal sämtliche Informationen fehlen.

Ich bedanke mich schon im Voraus für jegliche Hilfe.
Sunchezz

markusg 04.06.2012 15:35
hi

falls ihr bereits an die infektionsquelle kommt:

an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

danach:
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLpe Download OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Sunchezz 04.06.2012 16:15
Ok, vielen Dank ersteinmal!

An die Quelle komm ich leider momentan nicht heran, da alle Dateien wirklich verschlüsselt sind, und ein Zugang über web nicht möglich ist(Computerbesitzer ist momentan nicht verfügbar wegen den Zugangsdaten)

Ich habe es zwischendrin auch noch geschafft den blockierenden "Malware Bildschirm" manuell über den Taskmanager zu beenden (Prozess beendet).
Dadurch war ich jetzt in der Lage die in der allgemeinen Anleitung beschriebenen Logs zu erstellen.

Mir scheint das Problem der Malwarebeseitigung ist nicht das große Hinderniss, eher die Verschlüsselung aller Dateien.
Ich hoffe auch dort könnt ihr hier Abhilfe schaffen :(
Sollte es wirklich wie angekündigt eine AES 256bit Verschlüsselung sein, siehts ja ziemlich bös aus für die schöne Platte.

Vielen Dank schonmal!

Den rest der Logs hänge ich auch noch als Anhang im Rar Format an.

Hier ersteinmal das OTL.LOG
Code:
OTL logfile created on: 04.06.2012 16:45:20 - Run 1
OTL by OldTimer - Version 3.2.46.0    Folder = C:\Users\****\Downloads\anti MalW
 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,75 Gb Total Physical Memory | 1,19 Gb Available Physical Memory | 67,76% Memory free
3,50 Gb Paging File | 2,75 Gb Available in Paging File | 78,73% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 128,00 Gb Total Space | 99,26 Gb Free Space | 77,54% Space Free | Partition Type: NTFS
 
Computer Name: DRPAUL-PC | User Name: **** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.06.04 16:39:42 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Users\****\Downloads\anti MalW\OTL.exe
PRC - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2011.11.03 20:25:09 | 002,358,656 | ---- | M] (TeamViewer GmbH) -- C:\Programme\TeamViewer\Version6\TeamViewer_Service.exe
PRC - [2011.11.03 20:25:09 | 002,143,104 | ---- | M] (TeamViewer GmbH) -- c:\Programme\TeamViewer\Version6\TeamViewer_Desktop.exe
PRC - [2011.11.03 20:25:08 | 008,094,080 | ---- | M] (TeamViewer GmbH) -- C:\Programme\TeamViewer\Version6\TeamViewer.exe
PRC - [2011.11.03 19:55:50 | 000,108,416 | ---- | M] (TeamViewer GmbH) -- C:\Programme\TeamViewer\Version6\tv_w32.exe
PRC - [2011.06.06 12:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2011.02.26 07:33:07 | 002,614,784 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2009.09.22 12:50:36 | 000,073,728 | ---- | M] (Software 2000 Limited) -- C:\Windows\System32\spool\drivers\w32x86\3\HP1006MC.EXE
PRC - [2009.07.14 03:14:47 | 001,121,280 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2009.07.14 03:14:42 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
 
 
========== Modules (No Company Name) ==========
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2012.05.03 08:31:10 | 000,158,856 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2011.11.03 20:25:09 | 002,358,656 | ---- | M] (TeamViewer GmbH) [Auto | Running] -- C:\Programme\TeamViewer\Version6\TeamViewer_Service.exe -- (TeamViewer6)
SRV - [2011.06.06 12:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2009.07.14 03:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009.07.14 03:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2009.07.14 03:15:41 | 000,075,264 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\System32\mprdim.dll -- (RemoteAccess)
SRV - [2009.07.14 03:15:38 | 000,067,584 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\System32\Mcx2Svc.dll -- (Mcx2Svc)
SRV - [2009.07.14 03:15:33 | 000,300,544 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\System32\ipnathlp.dll -- (SharedAccess)
SRV - [2009.07.14 03:14:47 | 001,121,280 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2009.06.10 23:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
SRV - [2009.06.10 23:14:05 | 000,128,848 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe -- (NetTcpPortSharing)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2012.04.04 15:56:40 | 000,022,344 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\System32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2009.07.14 03:20:28 | 000,022,096 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\crcdisk.sys -- (crcdisk)
DRV - [2009.07.14 01:55:02 | 000,016,384 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\ws2ifsl.sys -- (ws2ifsl)
DRV - [2009.07.14 01:51:11 | 000,034,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2009.07.14 01:14:09 | 000,246,784 | ---- | M] (Microsoft Corporation) [File_System | Disabled | Stopped] -- C:\Windows\System32\drivers\udfs.sys -- (udfs)
DRV - [2009.07.14 01:11:15 | 000,070,656 | ---- | M] (Microsoft Corporation) [File_System | Disabled | Stopped] -- C:\Windows\System32\drivers\cdfs.sys -- (cdfs)
DRV - [2009.07.14 00:02:52 | 000,347,264 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvm62x32.sys -- (NVENETFD)
DRV - [2009.06.10 23:19:48 | 009,853,248 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2004.08.13 10:56:20 | 000,005,810 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ASACPI.sys -- (MTsensor)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.04.04 17:39:52 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.04.04 17:58:01 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2012.01.04 16:25:32 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
 
[2010.12.02 13:45:16 | 000,000,000 | ---D | M] (No name found) -- C:\Users\****\AppData\Roaming\mozilla\Extensions
[2010.12.02 13:45:16 | 000,000,000 | ---D | M] (No name found) -- C:\Users\****\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2012.05.31 20:07:20 | 000,000,000 | ---D | M] (No name found) -- C:\Users\****\AppData\Roaming\mozilla\Firefox\Profiles\9md0uh4m.default\extensions
[2012.04.04 17:44:04 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.04.04 17:44:04 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}
[2012.04.04 17:39:52 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.04.04 17:43:59 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
[2012.04.04 17:39:50 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.04.04 17:39:50 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.04.04 17:39:50 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.04.04 17:39:50 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.04.04 17:39:50 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.04.04 17:39:50 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKCU..\Run: [181CE3E3] C:\Users\****\AppData\Roaming\Uxroldvqatg\12E7C483181CE3E31CEE.exe File not found
O4 - Startup: C:\Users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{7731C125-F782-4461-A412-F776DFD17FF2}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.06.04 15:46:51 | 000,000,000 | ---D | C] -- C:\Users\****\AppData\Roaming\Malwarebytes
[2012.06.04 15:46:46 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.06.04 15:46:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.06.04 15:46:46 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2012.06.04 15:46:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.06.04 13:29:07 | 000,000,000 | ---D | C] -- C:\Users\****\AppData\Roaming\Uxroldvqatg
[2012.06.04 11:06:17 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2012.06.04 11:06:17 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Skype
 
========== Files - Modified Within 30 Days ==========
 
[2012.06.04 16:45:49 | 000,014,608 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.06.04 16:45:49 | 000,014,608 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.06.04 16:43:24 | 000,000,000 | ---- | M] () -- C:\Users\****\defogger_reenable
[2012.06.04 16:35:50 | 000,653,928 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.06.04 16:35:50 | 000,615,810 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.06.04 16:35:50 | 000,129,800 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.06.04 16:35:50 | 000,106,190 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.06.04 16:31:37 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.06.04 16:31:35 | 1408,626,688 | -HS- | M] () -- C:\hiberfil.sys
[2012.06.04 15:46:46 | 000,001,067 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2012.06.04 13:15:04 | 000,023,557 | ---- | M] () -- C:\Users\****\Desktop\gTxLnEUtuNXagTpj
[2012.06.04 11:06:17 | 000,002,505 | ---- | M] () -- C:\Users\Public\Desktop\Skype.lnk
[2012.06.01 07:33:20 | 000,289,720 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
 
========== Files Created - No Company Name ==========
 
[2012.06.04 16:43:24 | 000,000,000 | ---- | C] () -- C:\Users\****\defogger_reenable
[2012.06.04 15:46:46 | 000,001,067 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
[2010.12.06 19:44:12 | 000,065,536 | ---- | C] () -- C:\Windows\System32\HPPLVS.dll
 
========== LOP Check ==========
 
[2010.12.05 16:09:22 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\OpenOffice.org
[2012.06.04 14:20:42 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\TeamViewer
[2010.12.02 13:45:15 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Thunderbird
[2012.06.04 16:29:46 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Uxroldvqatg
[2012.03.01 19:19:00 | 000,032,632 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 

< End of report >

markusg 04.06.2012 16:43
versuchs mal mit shadow explorer.
http://www.trojaner-board.de/115496-...erstellen.html

Sunchezz 04.06.2012 22:09
Ich versuche jetzt gerade einfach das komplette Dateiverzeichnis von C: (Abgesehen natürlich von "Windows" zu exporten)
Ist das so richtig?
Ich geh mal davon aus...
Dann werden wohl hoffentlich alles alten dateien wieder hergestellt.

So, kann ich mir nun sicher sein das ich das endgültig los bin? :wtf:

markusg 05.06.2012 17:01
hatts denn geklappt mit den daten?

Sunchezz 06.06.2012 05:08
Die Daten sind wieder da, ja.
Danke schonmal :)

Jetzt ist halt weiter die Frage ob der Trojaner noch drauf ist.
Beim ersten Durchlauf des MalwareBytes, hat er einiges Gefunden.
8 Einträge (7 in tempFiles, 1 war irgendwo anders).
Bei den tempFiles konnt ich mir ja relativ sicher sein, das es keinen bleibenden Schaden hinterlässt, daher habe ich diese sofort gelöscht, den einen anderen Fund habe ich belassen. Seit dem kam nach dem Neustart keine neuen Meldungen mehr vom Trojaner.
Ich schaue nachher noch einmal nach, was für eine Datei genau dort befallen ist.
Dann gebe ich nochmal Bescheid.

Nochmal zum ShadowExplorer und den encrypteten Files:
Gibt es eine weniger lästige Methode die umbenannten Dateien ohne Endung, die ja jetzt meiner Meinung nach alle wiederhergestellt sind, ohne weiteres zu löschen? Im Klartext, ich habe jetzt die alten Daten wieder und zusätzlich noch die encrypteten umbenannten.

Mal abgesehen davon das es sowieso am schlauesten ist, relevante Daten zu sichern und zu formatieren. Ich muss nur sehen ob das auf die Schnelle so ohne weiteres machbar ist.

Wie kann ich sicherstellen das jetzt nichts mehr befallen ist?
Nochmal Tests durchführen und Logs hochladen?

Vielen Dank ;)

markusg 07.06.2012 18:47
hi
da das gerät geschäftlich genutzt wird, würd ichs neu aufsetzen, nach datensicherung.
ich erkläre dir, wenn du willst, wie das geht.
danachgebe ich dir ne anleitung zum pc absichern.

Sunchezz 07.06.2012 18:58
"obwohl ich selbst Informatiker bin."
...
Danke für dein Unterstützungsangebot ;)
Ich denke mit dem ersten Part, komm ich ganz gut klar :)
Der war sowieso geplant, sichern, magnet drüber ( :D ) und fertig is die neue virenfreie kiste xD

Nur was wirklich(!) effekiven Schutz angeht, bin ich mir unsicher^^
Hab mich nie drum geschehrt, weil man weiß worauf man achten muss :)
Bin seid 14 Jahren ohne jeglichem Schutz in vielen Teilen des Netzes unterwegs, und hatte bisher noch nie was.
Mag naiv oder unüberlegt oder dumm klingen, aber ich glaub meine Zahlen sprechen für mich :D

Tja, nur bei anderen is das sone Sache.
Also würd ich zu diesem Punkt schon Hinweise annehmen :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55