Verschlüsselungs-Trojaner
 

Hallo liebe Freunde vom Trojaner-Board,
auch ich habe Post bekommen mit der Aufforderung eine Rechnung zu bezahlen
(habe ich an Trojaner-Virus weitergeleitet). Die "Beilage" ließ sich nicht öffnen. Es kam sofort eine Fehlermeldung. Habe sofort Anti Maleware ausgeführt. Daraufhin öffnete sich das oben beschriebene Willkommensfenster mit der Aufforderung zur Zahlung. Ich hab den PC runtergefahren und neu gestartet.
Ging auch. Jedoch sehr sehr langsam, mit geänderten und fehlenden Datei/ Ordnernamen und Favoriten. Einige Webseiten lassen sich nicht mehr aufrufen. Die Maus macht ab und an was sie will.
Das Scannen mit Eset war erfolgreich jedoch wurden die Funde von Programm gleich korrigiert.
Anti Maleware ließ sich nicht mehr starten.
Erst nach Neuinstalation (mbam-anbei).
Das Scannen mit meinem "tollen" Schutzpaket von MCAffee blieb ebenfalls ohne Ergebnis.
Ein erneutes Scannen mit Eset war ebenfalls jetzt ohne Befund.
Es wäre wirklich toll wenn ihr mir detailiert sagen könntet wie mir weiter geholfen werden kann. Weiß ehrlich nicht weiter denn ich bin leider ein Laie auf diesem Gebiet.
Vielen Dank für eure Mühe im voraus !!
Gruß Torsten


Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.12.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: XXXXXXXX [Administrator]

12.06.2012 22:56:35
mbam-log-2012-06-13 (11-09-27) 2

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 251164
Laufzeit: 29 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\System Volume Information\_restore{7A5A350C-B2D6-444B-8914-09D40B7E1D9E}\RP1\A0000009.exe (Trojan.Agent.SZ) -> Keine Aktion durchgeführt.

(Ende)

Bitte routinemäßig einen neuen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

(code)Hallo Arne,
danke erstmal für die schnelle Antwort.
Ich bin also wie oben beschrieben vorgegangen und kam zu folgendem Ergebnis.
Malwarebytes Anti-Malware 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.06.15.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: xxxxxx [Administrator]

Schutz: Aktiviert

15.06.2012 23:38:46
mbam-log-2012-06-16 (00-42-43).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 252397
Laufzeit: 1 Stunde(n), 2 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


Der ESET-Scan war wie folgt:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=6ea1c03d83fe0c4098d85604466a8898
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-12 12:25:24
# local_time=2012-06-12 02:25:24 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=5121 16777173 100 75 3739866 39989994 0 0
# compatibility_mode=8192 67108863 100 0 111 111 0 0
# scanned=96583
# found=2
# cleaned=2
# scan_time=5393
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Yliymhs\iymhswynr.exe Win32/Trustezeb.C Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\hsymrhsymr.pre Win32/Trustezeb.C Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=6ea1c03d83fe0c4098d85604466a8898
# end=finished
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-12 11:50:02
# local_time=2012-06-13 01:50:02 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=5121 16777189 100 75 3783683 40033811 0 0
# compatibility_mode=8192 67108863 100 0 43928 43928 0 0
# scanned=95214
# found=0
# cleaned=0
# scan_time=2655
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=6ea1c03d83fe0c4098d85604466a8898
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-16 12:07:06
# local_time=2012-06-16 02:07:06 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=5121 16777189 100 75 130439 5026308 0 0
# compatibility_mode=8192 67108863 100 0 302355 302355 0 0
# scanned=95520
# found=0
# cleaned=0
# scan_time=4450

Gruß Torsten(/code)

Die Logs bitte in CODE-Tags posten!!

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

[code]Hallo freundlicher Helfer,
der normale Modus bei Windows funktioniert uneingeschränkt.
Im Startmenü vermiß ich soweit eigentlich nichts.
Unter "alle Programme" ist alles soweit vorhanden und funtioniert auch wieder.
Anti-Maleware ging vor Neuinstalation nicht mehr und Firefox öffnete sich anfangs nicht.
Geht jetzt aber wieder. Es fehlen aber alle Favoriten. Symbolleisteneinstellung ist verändert.
Auf dem Desktop sind Ordner umbennant. Darunter auch ein Ordner mit der Bennenung
"Achtung, bitte lesen". Hab diese aber noch nicht geöffnet.
Gruß Torsten [code/]

Was soll das? Du sollst die Logs (Protokolle) in CODE-Tags posten und nicht deinen normalen Text!

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo Arne,

ich bin wirklich selten dämlich. Very much sorry!!
Hoffentlich klappt es diesmal mit dem "Code".
Habe beide Logfiles gepostet (OTL.txt, Extras).
Firewall und Virenschutz hatte ich deaktiviert.





Außerdem gab es noch folgenden EXTRA- Logfile


Gruß Torsten

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo
Ich hab jetzt das OTL-Fix durchgeführt.

Hier das Logfile nach dem Rechnerneustart.

Gruß Torsten

Uhje, ich fürchte ich hab den Ordner Awem mit Malware verwechsellt :stirn:
Falls du in brauchst, er sollte in C:\_OTL\MovedFiles (und dann entsprechend im Unterverzeichnis) zu finden sein. Einfach wieder an den Ursprungsort kopieren



Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Hallo Arne,

die versehentlich verschobene Datei brauch ich nicht.
Hab also alles soweit ausgeführt.
Hier jetzt das Logfile vom TDSS-Killer.

Gruß Torsten

Das TDSS File System bitte mit dem TDSS-Killer fixen. Aber bitte nur diesen Eintrag!
Starte Windows danach neu und mach wieder ein komplett neues Log mit dem TDSS-Killer. Wie immer wieder in CODE-Tags posten.

Hallo Arne
Nach Ausführung des TDSS Killer wird mir zwar dieser Eintrag angezeigt, ich kann ihn aber nicht fixen. Zur Auswahl steht nur Delete, Copy in Quarantäne und Skip.
Wie muß ich das denn machen ?http://www.trojaner-board.de/images/smilies/wtf.gif
Gruß Torsten

Fixen = Delete = löschen ;) :D :lach:

Habe wie angegeben gelöscht.
Jetzt fährt der PC hoch und sagt mir" Fehler am Datenträger-Bitte Neustart".