Windows Update Trojaner

**JanC** · 27.04.2012, 19:30

Hallo,
Meine Tante hat mich gefragt, ob ich es schaffe ihren Pc zu retten, da dieser sich nun auch mit einem Trojaner infiziert hat.
Diesmal handelt es sich aber nicht um einen BKA-Trojaner sondern um einen von Windows Update? Sagt euch das was, ansonsten würde ich einen Screenshot machen.
Der Pc läuft über Windows 7, womit ich mich leider nicht so auskenne.
Als erstes habe ich nunmal mit Malwarebytes einen durchlauf gemacht und 2 infizierte Objekte entfernt, jedoch fährt er leider noch nicht wieder normal hoch.
Das Problem ist, das ich leider mit Windows 7 nicht weiß wie ich eine Internetverbindung herstelle bei mir zu Hause, da es nicht so ganz funktioniert im abgesicherten Modus.
Ich würde mich auch diesmal über Hilfe freuen.
Grüße Jan

**kira** · 27.04.2012, 20:15

Herzlich Willkommen in unserem Forum!

**Bevor wir unsere Zusammenarbeit beginnen, lies dir diese Einführung durch und ich bitte um kurze Bestätigung, dass du dies gelesen und akzeptiert hast!:-> Worauf musst Du während der Bereinigung achten?

ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG! - da die Fehlerprüfung und Handlung werden über große Entfernungen (online) durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.

► Unrechtmäßig erworbene Software (durch Keygen, Crack, Keymaker) wird nicht geduldet, in diesem Fall wird der Support eingestellt.!
Die von mir angegebenen Anweisungen, immer vollständig und genau erledigen (werden ja oft mehrere Schritte gleichzeitig angewendet)
∎ Falls unvorhersehbare Probleme auftreten sollten, bitte um sofortige Rückmeldung!
► Erster Teil des 3-teiligen Verfahren, werden wir dein System auf Viren untersuchen, bzw nach einem anderen Verursacher suchen:
**Vista und Win7 Verwender: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

Diesmal handelt es sich aber nicht um einen BKA-Trojaner sondern um einen von Windows Update? Sagt euch das was, ansonsten würde ich einen Screenshot machen.

ja, mach das bitte!

Als erstes habe ich nunmal mit Malwarebytes einen durchlauf gemacht und 2 infizierte Objekte entfernt,

das Protokoll hier posten!

jedoch fährt er leider noch nicht wieder normal hoch.

was heißt genau "normal"?

1.
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt OTL.txt und extra.txt
Poste die Logfiles in Code-Tags hier in den Thread.

** Die Logs von OTL meistens sind zu lang, kannst auch als Textdatei anhängen (auf "Erweitert") klicken

2.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

Download den CCleaner
Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

Bitte alle Ergebnisse im Code-Tags posten!

vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein
dahinter - also am Ende der Logdatei:[/code]

gruß
kira

**JanC** · 29.04.2012, 16:15

Hi,
leider kann ich im abgesicherten Modus keine Internetverbindung aufbauen, deshalb habe ich via USB-Stick die exe Datei von Malwarebytes und OTL auf den PC übertragen und es ohne update laufen lassen.
Im Anhang befindet sich ein Bild und die Dateien.
Grüße Jan Claudius

**kira** · 29.04.2012, 22:16

also hast Du drauf: Windows-Verschlüsselungs Trojaner, Trojan.Encoder.94 bzw. W32/RansomCrypt ...
hast Du denn Verschlüsselung von Dateien und Ordnern festgestellt? also hast Du kein Zugriff z.B auf "Eigene Dateien" (Bilder, Musik etc) ? zumindest aus dem Log ersichtlich...

Systemreinigung und Prüfung:

1.

Achtung wichtig!:
Falls Du selber im Logfile Änderungen vorgenommen hast, musst Du durch die Originalbezeichnung ersetzen und so in Script einfügen! sonst funktioniert nicht!
(Benutzerordner, dein Name oder sonstige Änderungen durch X, Stern oder andere Namen ersetzt)

Fixen mit OTL

Starte die OTL.exe.
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
Kopiere folgendes Skript (unverändert inkl. :OTL):

Code:

:OTL
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.emachines.com/rdr.aspx?b=ACEW&l=0407&m=et1831&r=17361109sn16973854r45bh7j3ly17
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://homepage.emachines.com/rdr.aspx?b=ACEW&l=0407&m=et1831&r=17361109sn16973854r45bh7j3ly17
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE:64bit: - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.emachines.com/rdr.aspx?b=ACEW&l=0407&m=et1831&r=17361109sn16973854r45bh7j3ly17
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://homepage.emachines.com/rdr.aspx?b=ACEW&l=0407&m=et1831&r=17361109sn16973854r45bh7j3ly17
IE - HKLM\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACEW
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.emachines.com/rdr.aspx?b=ACEW&l=0407&m=et1831&r=17361109sn16973854r45bh7j3ly17
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
IE - HKCU\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACEW_deDE352
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKCU..\Run: [82C449F4] C:\Users\Münstermann\AppData\Roaming\Lrqpugnd\9FB96E0082C449F4308A.exe (Tastiera penna)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{3a4f9f8b-aa17-11de-98f5-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{3a4f9f8b-aa17-11de-98f5-806e6f6e6963}\Shell\AutoRun\command - "" = D:\install.exe
[2012.04.26 23:41:46 | 000,001,106 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012.04.26 11:07:32 | 000,001,110 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
@Alternate Data Stream - 128 bytes -> C:\ProgramData\TEMP:1D32EC29
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:4CF61E54
@Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:AB689DEA

:Files
C:\Users\Münstermann\AppData\Roaming\Lrqpugnd\9FB96E0082C449F4308A.exe 
C:\Users\Münstermann\AppData\Roaming\Lrqpugnd
C:\Windows\SysWow64\winsh323
C:\Windows\SysWow64\winsh322
C:\Windows\SysWow64\winsh321
C:\Windows\SysWow64\winsh320
C:\Windows\SysWow64\winsh325
C:\Windows\SysWow64\winsh324
ipconfig /flushdns /c

:Commands
[purity]
[REBOOT]

und füge es hier ein:
Schließe alle Programme.
Klicke auf den Fix Button.
Klick auf .
OTL verlangt einen Neustart. Bitte zulassen.
Nach dem Neustart findest Du ein Textdokument.
Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

2.
Boote neu und schaue nach, ob Du schon im normalen Modus arbeiten kannst?
wenn ja, so geht es weiter:

3.
das Malwarebytes nochmal updaten-> erneut einen Vollscan machen-> Ergebnis posten

4.
erneut einen Systemscan mit OTL

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt OTL.txt und extra.txt
Poste die Logfiles in Code-Tags hier in den Thread.

** Die Logs von OTL meistens sind zu lang, kannst auch als Textdatei anhängen (auf "Erweitert") klicken

5.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

Download den CCleaner
Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

**JanC** · 30.04.2012, 19:12

Hi,
ich habe nun den Text bei OTL eingefügt, jedoch waren nach dem Neustart keine Text Dateien auf dem Desktop, es wurden jedoch 2 Elemente entfernt.
Danach habe ich wieder einen Scan mit OTL und mit CCleaner gemacht.
Derzeit kann ich den Pc normal starten, jedoch sind einige Dateien gelocked.
Grüße Jan

**kira** · 30.04.2012, 21:09

1.
Punkt 3, erledigt? das Protokoll bitte von Malwarebytes mir posten!

2.
Empfehle ich Dir eine Anleitung von Trojaner Board zu befolgen:
Die verschlüsselten Dateien mit DecryptHelper von Matthias zu entschlüsseln. (Java wird benötigt)
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)

Zur Info :-> http://www.youtube.com/watch?v=OQyqS...2&feature=plcp

- alternativ: Avira Ransom File Unlocker oder Tool von Dr. Web (bitte postet uns Eure Ergebnisse! Danke)

**JanC** · 05.05.2012, 18:05

hi,
also ich habe es nun versucht aber ich kann leider keine Schlüsselpaare finden, um überhaupt zu beginnen.

**kira** · 06.05.2012, 07:02

versuche noch nach folgenden Methoden vorgehen (2. und 3. fallen weg, da Du ausprobiert hast):

Neue Verschlüsselungstrojaner

Deine Beschreibung passt auf einen recht neuen Verschlüsselungstrojaner (Trojan.Matsnu.1). Diese Infektion verschlüsselt Dateien und ändert Namen und Dateiendung nach folgendem Beispiel: “locked-.<4 zufällige Zeichen>”. Die Opfer werden von den Betrügern aufgefordert, einen bestimmten Betrag zu zahlen, damit die Dateien wieder freigeschaltet/entschlüsselt werden. Da es sich um Betrug handelt, selbstverständlich nicht zahlen!

Vorgehensweise:

1. Da es inzwischen verschiedene Versionen des Verschlüsselungstrojaners gibt, bei denen die Entschlüsselung anhand von Paaren nicht mehr funktioniert und die Original-Dateien unbrauchbar werden, ist es sehr wichtig, zunächst möglichst alle verschlüsselten Dateien separat zu sichern, um sie bei evtl. Fehlschlägen für erneute Entschlüsselungs-Versuche bereitzuhalten.

2. Mache mit Malwarebytes' Anti-Malware einen Komplett-Scan (Auswahl Vollständiger Suchlauf unter Suchlauf wählen) nach dieser Anleitung, entferne die Funde und poste das vollständige Logfile hier in den Thread.

3. Die verschlüsselten Dateien mit dem DecryptHelper von Matthias vom TrojanerBoard entschlüsseln. Das Tool benötigt Java.

Folgende Alternativen stehen zur Verfügung:

RannohDecryptor.exe von Kaspersky - bei Kaspersky wird diese Infektion als Trojan-Ransom.Win32.Rannoh bezeichnet.
Avira Ransom File Unlocker
Tool von Dr. Web
ScareUncrypt von BitFox

(Orginaldateien für Schlüssel)

SemperVideo hat ein Video zum Thema erstellt.

Für User, die verschlüsselte Dateien mit der Endung .EnCiPhErEd haben, also mit (Trojan.Ransom.HM, alias Trojan:W32/Ransomcrypt und Trojan.Encoder.94) infiziert sind, steht von BitDefender das Tool Trojan.Ransom.HM-Decrypt_v1.zip zur Entschlüsselung zur Verfügung. Weitere Tools und Details siehe diesen Blogeintrag.

Übrigens ist Vorsicht geboten: Die neuesten Infos deuten darauf hin, dass der Trojaner auf allen angeschlossenen Laufwerken mit Lese-/Schreibrechten sowie auf verbundenen Netzwerken Dateien verschlüsselt. Auf jeden Fall zunächst unbedingt genau prüfen, um welchen Verschlüsselungs-Trojaner es sich handelt, bevor mit der Entschlüsselung begonnen wird.

**JanC** · 06.05.2012, 15:59

hi,
also ich habe nun einen Scan mit Malwarebytes gemacht und auch noch gmer aus dem Trojaner Forum ausserdem habe ich mit Tool Trojan.Ransom.HM-Decrypt_v1.zip einen Scan gemacht, der ergebnislos war.
Ich habe mit dem Decrypthelper einen Schlüssel erstellt und auch einige Dateien entschüsseln können, einzelne Dateien Stellen wohl auch kein Problem dar.
Danach bin ich zu den Ordner übergangen, die meisten liessen sich entschüsseln doch leider sind weiterhin Recycle.bin, Dokumente und Einstellungen und Programme gesperrt und die Dateien Bootsect.Bak,msdia80.dll und RHDSetup.log.
Die Dateien kann ich nicht entschlüsseln, entweder kommt eine Fehler Meldung oder bei den Ordnern öffne ich den Ordner und in diesem bepfindet sich keine Datei. Normal öffnen kann ich die Ordner jedoch nicht.

Grüße Jan

**kira** · 06.05.2012, 21:37

Zitat von JanC

also ich habe nun einen Scan mit Malwarebytes gemacht und auch noch gmer aus dem Trojaner Forum

hat dich schon dort jemand betreut?

Man kann in solchen Situationen mehr oder weniger Erfolg oder Misserfolg haben.
Ursache für deine Misserfolge sind vermutlich, dass Du kein AV-Scanner verwendet hast und das Service Pack 1 für Win 7 fehlt!
Ich sehe daher momentan keine Chance mehr dein System und Daten zu retten.
Hast Du alle empfohlene alternativen Methoden ausprobiert?:-> http://forum.botfrei.de/showthread.p...ll=1#post26264
Wenn alles nicht hilft, dann auf dein Wunsch können wir noch einige umfangreiche Prüfungen durchführen, danach das SP1 installieren und erneut versuchen die verschlüsselte Dateien wieder zu entschlüsseln?