Trojaner-Board - Hilfe! Paysafe-Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hilfe! Paysafe-Trojaner (https://www.trojaner-board.de/116658-hilfe-paysafe-trojaner.html)

Hilfe! Paysafe-Trojaner

Hallo,

ich habe gestern ebenfalls eine solche Mail bekommen:

Zitat:

Sehr geehrter Kunde xxxxx,

wir mussten leider feststellen, dass unsere Forderung Nr.: 2363908365 für den Mitglied The xxxxx immer
noch nicht ausgeglichen wurde. Dies bedeutet einen rechtskräftigen Schuldnerverzug von Ihnen. Nach
deutschen Recht könnten wir die offenen Rechnungen bereits jetzt durch Rechtsanwalt fordern. Wir geben
Ihnen jedoch noch eine letzte Möglichkeit, Ihre Verpflichtung zu erfüllen, indem Sie innerhalb von 3
Tagen die ausstehende Rechnung in Größe von 438.00 EURO an uns überweisen.

Die Dienste und die Bankdaten können Sie im Zusatzordner in der E-Mail ansehen.

Bitte beachten Sie, die Folgen des Verzugs bestehen vor allem in der Regresspflicht des Schuldners sowie in
einer verschärften Haftung.

Flirt Fever Ag mit Stand in Bielefeld

Amtsgericht: Bielefeld
Geschäftsleiter: Manfred Möller, Peter Fuchs

Leider habe ich den Anhang geöffnet und somit nun immer, wenn ich den PC starte diesen Paysafecodekram - nichts geht mehr. Ich kann euch die Mail auch weiterleiten bzw. geben, da Markusg daran interessiert scheint.

Ich bin total überfragt, habe aber schon die Anleitung zur OTL.txt-Datei durchgeführt. Nun weiss ich nicht weiter. :wtf:

Dies ist meine Datei:

Hi,

Fix für OTL:

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif

Code:



:OTL

O4 - HKU\jayzn_ON_C..\Run: [20E110FE] C:\WINDOWS\system32\A768E97220E110FE6334.exe (Al Momento Non è Registrata)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1

O7 - HKU\jayzn_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

O7 - HKU\jayzn_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1

O7 - HKU\jayzn_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\A768E97220E110FE6334.exe) - C:\WINDOWS\system32\A768E97220E110FE6334.exe (Al Momento Non è Registrata)

O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found

O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found

O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found

[2012/06/05 16:37:44 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF

[2012/06/05 16:25:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\jayzn\Anwendungsdaten\Djfrtki

[2012/06/05 16:25:00 | 000,061,440 | -H-- | C] (Al Momento Non è Registrata) -- C:\WINDOWS\System32\A768E97220E110FE6334.exe

[2012/05/11 15:50:50 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323

[2012/05/11 15:50:40 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322

[2012/05/11 15:50:32 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321

[2012/05/11 15:50:22 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320

[2011/03/09 11:41:24 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VrjDTVOuLXDtvOyepdrvo
 

:Commands

[emptytemp]

[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

Achtung nach dem OTL-Lauf sollte der Rechner wieder booten können.
Bitte umgehend das Verzeichnis C:\_OTL\MovedFiles in eine passwortgeschützte Datei packen (Passwort "infected" ohne ")
packen...

Dann MAM:
Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

Falls Dateien verschlüsselt wurden, so gibt es durch die neuste Version des Trojaners z. Z. keine Möglichkeit zur Entschlüsselung...

chris

Super! Es läuft alles wieder. :)

Vielen Dank!!

PS: Konnte Malware nicht updaten ("Verbinde mit Server" stand da ewig). Ist aber mit der älteren Version nicht schlimm oder?

hier die loggs:

Kommando zurück.

Das System läuft wieder alle Dateien sind da und Firefox funktioniert auch.

Jedoch sind keine Dateien verwendbar. Z.B. kann ich JPG-Dateien nicht mehr ansehen und soweiter ("Keine Vorschau verfügbar").
Mein Sound funktioniert auch nicht und sämtliche Anwendungen müssen beendet werden. (Selbst Word & Co.)

Sind die Dateien & Programme somit also letztendlich doch verloren? :(

Hi,

welche Dateinamen haben die verschlüsselten Dateien?
Für die neuste Variante gibt es momentan leider keine Entschlüsselungstools, es wird daran z. Z. gearbeitet ...

Folge dem Link hier und probiere die Tools aus:
http://www.trojaner-board.de/114783-...ubersicht.html

Auf keinen Fall etwas löschen etc. ev. werden die von OTL verschobenen Dateien (der Trojaner aus dem system32-Verz.) noch zur Entschlüsselung benötig...(daher das Backen der Dateien und Verschlüsseln damit sie nicht zufällig gelöscht werden)

Wenn Du die Daten nicht dringend brauchst: Abwarten, ggf. ein Komplettbackup für später ziehen...

Zyklisch vorbeikommen und schauen ob es was neues gibt (der oben angegebene Link)...

Tut mir leid, leider gibt es momentan keine Lösung (d.h. kein Antivirenhersteller etc. kann helfen)...

chris