Trojaner-Board - Windows-Verschlüsselungs-Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Windows-Verschlüsselungs-Trojaner (https://www.trojaner-board.de/116629-windows-verschluesselungs-trojaner.html)

Windows-Verschlüsselungs-Trojaner

Hallo,

ich habe neben mir einen Laptop stehen, der vom Windows-Verschlüsselungs-Trojaner befallen ist. Ich habe mir die bisherigen Threads dazu hier durchgelesen, doch jetzt bin ich an dem Punkt wo ich nicht weiterkomme.

Ich habe bisher folgendes durchgeführt:

OTL runtergeladen und auf dem befallenen System mit folgenden benutzerdefinierten Scaneinträgen:

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\*.dll /lockedfiles

%USERPROFILE%\*.*

%USERPROFILE%\Local Settings\Temp\*.exe

%USERPROFILE%\Local Settings\Temp\*.dll

%USERPROFILE%\Application Data\*.exe

Die daraus resultierende OTL.txt hab ich bei File-Upload hochgeladen: hxxp://www.file-upload.net/download-4420636/OTL.Txt.html

Was muss ich jetzt tun um den Trojaner zu entfernen? Und wie bekomm ich Zweifelsfall die Daten wieder entschlüsseln?

Hoffe es kann jemand helfen :)

Grüße

hi
1.
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

:OTL

O4 - HKU\S-1-5-21-3487501853-2138356201-3293455876-1000..\Run: [40B12821] C:\Users\IVEC\AppData\Roaming\Gpxfihblp\F6E72B7F40B128216460.exe (AIMP DevTeam)

 :Files

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

2. öffne malwarebytes, logdateien, poste alle berichte.
3. teste ob es verschlüsselte dateien gibt, falls ja:
http://www.trojaner-board.de/115496-...erstellen.html

4.
die infektionsquelle:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Hi,

danke für die schnelle Antwort. Derzeit scanne ich den Laptop mit Kaspersky Rescue Disk 10. Soll ich dies jetzt abbrechen? Des Weiteren bin ich durchaus an einer kleinen Erklärung interessiert, wie du die auf die FIX-Befehle kommst und woran ich in der OTL.txt erkenne, welche Datei betroffen ist? Würde dies auch aus Berufsgründen erfahren wollen :)

Grüße

Hallo,

ich will einen Zwischenbericht abgeben. Den Scanvorgang mit der Kaspersy Rescue Disk habe ich durchlaufen lassen. 4 Funde und die sind automatisch entfernt/desinfiziert worden. Ich hab dann wie oben beschrieben den Text in die Textbox eingefügt und OTL arbeiten lassen. Den Neustart musste ich manuell ausführen. Seitdem kommt keine Meldung mehr bzgl. des Verschlüsselungs-Trojaners. Aber OTL hat anscheinend keine TXT-File unter C:\ angelegt.

Ich habe desweiteren nach verschlüsselten Dateien gesucht (*.locked und lock). Diese verschlüsselten Dateien habe ich zur Sicherheit gelöscht.

Danach hab ich Malwarebytes Anti-Malware scannen lassen. Ergebnis sind keine Funde und auch keine Warnungen.

Den Laptop habe ich mehrfach heruntergeahren und wieder hochgefahren und gewartet aber nichts passiert. Keine Meldung bzgl. des Trojaners.

Der Besitzer des Laptops benutzt WEB.DE als e-Mail-Anbieter und greift über den Internet Explorer 9 darauf zu. Als Schutz verwendet er die McAffee Internet Security Suite. Welche Tipps kann ich ihm noch geben, außer dubios/unbekannte Mails nicht zu öffnen?

Grüße

hi
na eine solche exe wie hier sieht schon verdächtig aus wegen dem cryptischen namen.
wenn er die mail über nen browser abruft, weiterleiten.
um dateien wiederherzustellen die verschlüsselt sind:
http://www.trojaner-board.de/115496-...erstellen.html

Bei dem Nutzer handelt es sich um eine Person um die 60 ;) Mit ShadowExplorer hab ich noch drübergeschaut, aber nichts gefunden. Bis jetzt ist bei mir auch noch keine Meldung eines erneuten Befalls zugekommen.

Mal sehen wie lange das so bleibt. Wenn ich wieder mal nicht weiterkomme oder in solch einem Fall spezielle Scripts brauche, wende ich mich wieder vetrauensvoll an doch bzw. das Forum. War sonst eher der stille Mitleser.

Also nochmal ein Danke.

Grüße