You are not logged in.

Thursday, April 17th 2014, 12:05pm

Dear visitor, welcome to Avira Support Forum. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

  • "Shorty75" started this thread

Date of registration:
May 4th 2012

Version:
Avira Free Antivirus

Operating System:
XP

  • Send private message

1

Friday, May 4th 2012, 11:20pm

Encryption-Trojaner beseitigen bei blockiertem System

Hallo,
ich habe einen Laptop aus der Bekanntschaft wo sich nach dem öffnen einer Mail der Encryption-Trojaner
breitgemacht hat, so das dass System blockiert ist und erst nach Zahlung wieder freigeben soll.
Nach dem, was ich bisher gelesen haben muss ich nun erst die Malware entfernen und danach decrypten.

Ich hab mir auch schon die OTLPE CD gemacht und gebootet sowie hier
Encryption-Trojaner beseitigen

Die beiden Logfiles hab ich auch (OTD.txt und Extras.txt)
Nun brauch ich die fix.txt um unter OTD das Fix zu starten und wieder normal in Win XP starten zu können um dann mit Malwarebytes zu scannen, richtig?

Danke und Gruß
Shorty

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

2

Friday, May 4th 2012, 11:41pm

Die beiden Logfiles hab ich auch (OTD.txt und Extras.txt)


Richtig
lade die beiden Files hoch
zu
file-upload.net

und poste und hier die Download url ins Forum

Morgen gehts dann weiter

Rajo

  • "Shorty75" started this thread

Date of registration:
May 4th 2012

Version:
Avira Free Antivirus

Operating System:
XP

  • Send private message

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

4

Saturday, May 5th 2012, 9:58am

Hi Shorty


Kopiere folgendes ohne das wort Zitat


Quoted



:OTL


[2012/05/03 10:28:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kern\Anwendungsdaten\Lybdr
[2012/05/03 10:26:57 | 000,086,016 | -H-- | C] (Pen is ont he tble) -- C:\WINDOWS\System32\0ABA00BB6457FB205669.exe

[2012/05/03 11:27:12 | 000,000,539 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Zahlungserinnerung.lnk


[2012/05/03 10:28:39 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325
[2012/05/03 10:28:39 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012/05/03 10:28:39 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012/05/03 10:28:39 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012/05/03 10:28:38 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012/05/03 10:28:38 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320


[2012/05/03 10:28:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kern\Anwendungsdaten\Lybdr

:Files
:reg
ipconfig /flushdns /c
:Commands
[emptyflash]

[Reboot]



Das obere hier in der zitatbox speicherst du auf einem usb stick als fix.txt
Nun starten wir erneut OTLPENet.exe (starte also von der erstellten CD)
Start OTL
und kopierst den Inhalt in die Textbox von OTL

Klicke ins Bild zu Vergrössern ..... :!:



Klicke nun bitte auf den Fix Button.
pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk,

windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

öffne arbeitsplatz, öffne c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.

das zip /rar zu
file-upload.net
und die download url bitte als PN


hoffenlich haben wir weiterhin glück -
die nächste generarationn der locker hat Random decryption - dann
wird es ganz ganz hart - mit dem Unlocken .......



Rajo :)

This post has been edited 1 times, last edit by "Rajo" (May 5th 2012, 10:05am)


  • "Shorty75" started this thread

Date of registration:
May 4th 2012

Version:
Avira Free Antivirus

Operating System:
XP

  • Send private message

5

Saturday, May 5th 2012, 10:41am

Hi,

XP ist wieder gestartet :thumbsup: , allerdings ohne OTL.txt zu öffnen.
Die Moved files hab ich gezipped, was mache ich damit?

Danke soweit schon mal :)
Gruß
Frank

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

6

Saturday, May 5th 2012, 11:11am

Prima

wie immer jetzt noch mit Malwarebytes nacharbeiten
Dann gehts an die Locked files

Anleitung MALWAREBYTES - NEU

http://download.bleepingcomputer.com/mal…/mbam-setup.exe


Starte das Programm - Vista Windows 7 user bitte als Administrator >> Mausrechtsklick !
mache ein online update
Das Programm holt aktuellsten Virendefinitionen automatisch
schliesse ALLE Anwendungen - Auch deinen Browser !
auch Avira

Rechtsklick in den schirm > bei avira guard aktivieren den haken raus
und ruhe is ...... =)
............................

Druecke Starte SCAN
Warte bis der Scan durchgelaufen ist


GANZ WICHTIG !

Nun alles entfernen - un das log


die bitte hier ins Forum posten

Rajo

  • "Shorty75" started this thread

Date of registration:
May 4th 2012

Version:
Avira Free Antivirus

Operating System:
XP

  • Send private message

7

Saturday, May 5th 2012, 12:13pm

Hi, der Scan läuft schon... melde mich wieder mit dem log file

bis denne
Shorty

  • "Shorty75" started this thread

Date of registration:
May 4th 2012

Version:
Avira Free Antivirus

Operating System:
XP

  • Send private message

8

Saturday, May 5th 2012, 1:00pm

Hi,

hier das Logfile vom Scan... und nun alle Funde entfernen?

[url]http://www.file-upload.net/download-4328884/mbam-log-2012-05-05--12-50-29-.txt.html
[/url]

Gruß

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

9

Saturday, May 5th 2012, 1:09pm

Ja alle funde entfernen - neustarten bitte


*****

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.05.03

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 7.0.5730.11
Kern :: WS_AMILOPRO [Administrator]

Schutz: Aktiviert

05.05.2012 11:45:28
mbam-log-2012-05-05 (12-50-29).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 352179
Laufzeit: 1 Stunde(n), 2 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 3
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg (Trojan.Agent) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\0ABA00BB6457FB205669.exe,) Gut: (userinit.exe) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\Kern\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Keine Aktion durchgeführt.
C:\WINDOWS\system32\winlogon.VIR (Heuristics.Reserved.Word.Exploit) -> Keine Aktion durchgeführt.

(Ende)

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

10

Saturday, May 5th 2012, 1:16pm

Quoted

ich habe einen Laptop aus der Bekanntschaft ........

Der Rechner ist ne Wurstkiste daran gibts gar keinen Zweifel -
Ungepfegt und vernachlässigt - ServicePack 2 - Java aus der Steinzeit .........



Sowas gehört neu aufesetzt .! 8)



***

wir decrypten weiter

D O W N L O A D .....

Die Bilder
http://files.trojaner-board.de/Beispielbilder_XP.zip

die Maschine
http://www.trojaner-board.de/attachments…ocker-1.0.1.zip

Die Bilder bitte alle in einen Ordner tun auf dem Desktop / oder hier besser auf D:\ weil C:\ hat Platzmangel
das ist auch doof partitioniert worden - D:\ wird garnicht benutzt - wozu wurde es erstellt ?? Die platte ist
sehr klein - und D:\ wird verschenkt - intelligent ist was anderes ....

den Unlockerzip entpacken in einen ordner ! desktop bietet sich an
den Avira unlocker starten bitte

nun die 2 Auswahlboxen
obere Box ( verschlüsselte Datei )
einmal den Pfad zum den gelockten Beispielen:
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Bilder\Beispielbilder:
suche dir eines aus - die locked-Wasserlilien.jpg zB.

Nun gehst du im Avira Unlocker
in die zweite box (original Datei )
und suchst die originale nicht gelockte Wasserlilien.jpg ( hast du auf dem Desktop entpackt ... )

wenn er den Algorithmus hat ist der Rest ( hoffentlich) ein Kinderspiel )
unten rechts verzeichniss entschlüsseln !!

einfacher Weg :

Erstelle den Ordner D:\test
dann rufe auf
cmd
kopiere rein :
Xcopy C:\locked-*.* /S D:\test

dann hast du alle gelockten files in D;\test und kannst sie mit einen gang entcrypten

wie gesagt - die Neue Version des schädlings ist bereits im Umlauf, damit geht es dann nicht mehr,
weil jede Datei Zufalls verschlüsselt wird.



Viel Erfolg !!
und es bleibt dabei - Der Rechner ist nun begehbar - die Dateien sind wiederhergestellt
er sollte dennoch dringendst neu aufgesetzt werden - Die TÜV Plakette verweigere ich :)

melde Dich
Rajo

This post has been edited 6 times, last edit by "Rajo" (May 5th 2012, 2:02pm)


  • "Shorty75" started this thread

Date of registration:
May 4th 2012

Version:
Avira Free Antivirus

Operating System:
XP

  • Send private message

11

Sunday, May 6th 2012, 7:31pm

Hallo Rajo,

ich geb Dir Recht, die Platte ist schlecht eingeteilt, das System nicht aktuell und eine Sicherung der wichtigen Dateien gibt´s natürlich auch nicht,
was auch der Grund die Mühe ist. Naja Neuinstallation folgt sowieso. Einmal verseuchten Systemen ist schwer wieder zu trauen. Entscheidend ist die Widerherstellung der Bilder, OfficeDateien und die Mail Archive.

Ich hab Antivir wieder angeschaltet, manuell aktualiestert und scannen lassen. Auch hier wurden die TR´s gefunden.

Den Decrypter hatte ich schon Griffbereit, aus einem anderen Fred angelesen.
Ich hatte mir die Wallpaper meines XP Systems schon auf´n Stick gezogen und wollte decyrpten... doch sieh da, auch dem Seuchesystem waren alle Walls ok :(
Also hab ich mal meine Mails nach Anlagen durchsucht und bin fündig geworden :). Doch gut wenn man nicht alles löscht.
Mit dem Bild, was ich dann auch unter Eigene Dateine wieder gefunden habe konnte ich gerade ein Verzeichnis wieder herstellen, und habe das nun auch die C-Platte angewendet.... Vorgang läuft. Das löschen der locked-* Dateien spare ich mit direkt, da Neuinstalltion nicht lange auch sich warten lassen wird.

Melde mich nochmal, wenn der Vorgang komplett durch ist.
Ich möchte micht aber trotzem für die Erstellung der fix.txt und die hervorragende Unterstützung bedanken, vorallem dass hier jeder User seinen eigenen ausführlichen Support bekommt und nicht stur auf andere Threads verwiesen wird, ist einmalig.

Gruß
Shorty

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

12

Monday, May 7th 2012, 6:34am

Shorty vielen lieben Dank !
Viel Erfolg bei der Sicherung :thumbsup:

Rajo