Erpressung durch Virus/Trojaner (20 Euro oder Datenlöschung)

hallo Leute,

ich habe sowas in den letzten 10 Jahren nicht erlebt - finde auch im Netz nichts - vielleicht neu?

habe zu Lösung schon viel probiert und hier gepostet: http://www.trojaner-board.de/92964-laptop-gesperrt-drohung-20-eur-oder-datenloeschung.html

vielleicht kann mir hier jemand helfen / Tips geben.


Den Text teilweise abgetippt:
...Aus diesem Grund wurden sämtliche Dateien Ihres Computers verschlüsselt und der Zugang zu Ihrem PC gesperrt. Um den Zugang zu Ihrem Computer wieder zu ermöglichen und die Dateien zu entschlüsseln, bitten wir Sie, die einmalige Gebühr in Höhe von 20 EUR mittels Ukash zu begleichen...

Habe gerade den Laptop von einem Freund zur Reparatur. Er meint er hat sich nur ein Bild runtergeladen (garantiert kein XXX). Daraufhin ist der Rechner gesperrt, direkt nach dem Booten der Eingabebildschirm mit der 20 Euro Erpressung.
Task Manager ist deaktiviert. Das gleiche im abgesicherten Modus. Dazu kommt, dass der Laptop weder mit Kaspersky-, noch F-Secure Boot-Cd, noch XP-CD(Reparieren) Windows Partitionen findet (nur mit OTLPE Zugriff auf Daten) .

Ich habe es irgendwie einmal geschafft, dass das Programm abgestürzt ist (kyrillischer Dateiname). Daraufhin konnte ich mit msconfig 4 autostarter deaktivieren und die Ordner unter C:/ manuell löschen. Einer der Ordner hiess: numberfour.exe.(siehe log unten)
Dann habe ich antivir deinstalliert und AVG installiert. Dachte alles wäre weg, aber nach Neustart wieder diese Eingabemaske.

System: Windows XP
Hardwarebeschriftung: Fujitsu-Siemens AMILO

OTL Logfile war zu lan für diesen Post - ist durch link oben im trojaner-board zu sehen - versuche, das anschlissend auch hier zu posten.

wie man dort sieht, habe ich folgende Verzeichnisse gelöscht:
C:\adsifhdsif.exe\
C:\ajndufhiad.exe\
C:\bootstartx.exe\
C:\numberfour.exe\
C:\siodfjisod.exe\


über numberfour.exe habe ich folgenden link gefunden: hxxp://www.threatexpert.com/report.aspx?md5=2c524d0b5d3e6fbdd59ddbd3020d393c
dort sind registry Einträge aufgeführt, die erzeugt werden.

Komme ich mit OTLPE da ran und kann diese manuell löschen?

Ich würde Verbraucherberatung und/oder Polizei einschalten........
Wichtige ungesicherte Daten mit zB Linux LiveCD rauskopieren auf externes Medium. Dann formatieren und neu installieren.

Der Rechner schreit geradezu nach kompletter Formatierung und Neu-Installation. Was auch immer du dir eingefangen hast wirst du auch durch das Kaufen von Gutscheinen sicher nie wieder los.

eos Vorschlag ist der einzig gangbare Weg: Von LiveCD booten, Daten sichern, Kiste platt machen und neu installieren.

P.S.:
Und keine Horsef....-Videos mehr runterladen ,-)

http://www.wintotal-forum.de/index.php/topic,161777.msg811711.html#msg811711

da war wohl das Gesamtbackup nicht erfolgreich?

@eos,
der User ist in seine eigene Falle getappt und um so einem Mist kümmert sich weder Polizei und Staatsanwaltschaft auch nicht.

Vielen Dank schon mal an alle für die Hilfe.

@eos
wird vielleicht auf Datensicherung hinauslaufe - werde schon mal LiveCD ziehen.

@twoday
bezahlen hatte ich nie vor, die dürfen keine Bestätigung mit ihrer Masche bekommen.
die andere bemerkung war spass, denke ich. hatte ja geschrieb, dass der freund garantiert keine porno seiten besucht.

@andermende
in link ging es um meinen eigenen Rechner, hat hiermit nichts zu tun (laptop von einem Freund).
mit der Polizei hast du recht (habe kürzlich wegen Betrugsfall schlechte Erfahrungen gemacht)
welche Falle meinst du?

shiva2012 schrieb:

[...]die andere bemerkung war spass, denke ich.[...]

Zum Vergrößern anklicken....

Im allgemeinen deutet ein angehängter Smiley darauf hin, das die vorhergehende Aussage nicht ernst gemeint ist.

@shiva2012,
Entschuldigung, nachlässig gelesen.

Falle? Denkst du daß bei einem legalen Bilder-Download eine Malware dabei ist? Geh davon aus, daß deinem Freund ein g.eiles Bild/Video und dgl. angeboten worden ist, leider war das kein Bild sondern diese M.ist.ware.
Leg ihm doch nahe, seinen Rechner per Image-Software zu sichern, dann hättest du einfach nur die Notfall-CD in den Rechner geschoben...
Ich rate dir bzw. deinem Freund übrigens die gesicherten Daten erst dann auf den neu aufgesetzten Rechner zu bringen nachdem er eine halbwegs zuverlässige Sicherheitssoftware installiert hat. Vielleicht enthalten die gesicherten Daten noch die eine oder andere Überraschung.

@andemande
nein, ich denke, er war da schon im illegalen Bereich - ich weiß, das er gern auf Seiten ist, die angeblich legal mp3 downloads anbieten. Er hat wahrscheinlich den genauen Zeitpunkt nicht mitbekommen, zumal die Malware Ordner am 14.11. erstellt wurden, am 15.11. aber noch downgeloadet wurde.

Da ich am Wochenende meinen Vater besuche, der seit 80er DOS-Tagen schon am Ball ist und die Sache interessant findet, nehme ich den Laptop mit und wir werden noch etwas experimentieren, bevor wir die Daten sichern - mit verschiedenen Scannern prüfen auf jeden Fall. Vielleicht finden wir noch etwas raus, was nützlich sein könnte, falls anderen das gleiche passiert.

Ein längeres Gespräch/Schulung liegt auf jeden Fall mit dem Freund an - ich hatte bei ihm bereits Firewall installiert. Da er aber erst seit kurzem seinen ersten Rechner hat, war das jeweilige Erlauben oder Blockieren für ihn zu kompliziert - da hat er sie einfach abgeschaltet. Ich hätte aber auch nicht gedacht, dass sich Antivir so einfach aushebeln lässt.

shiva2012 schrieb:

[...]dass sich Antivir so einfach aushebeln lässt.

Zum Vergrößern anklicken....

Wo ein Wille (kriminelle Energie?) ist, ist auch immer ein Weg, da helfen keine Virenscanner, schon gleich gar keine, die sich nur einmal am Tag selbstständig updaten (lassen)!

Aber ich finde die Darstellung der Nutzlosigkeit einer Personal Firewall einmal mehr überzeugend....

Moinsen.

Jo, denke mal das muss neu sein. Hab das Problem mit dem netten Team von animalfuck.com auch seit gestern. Habe auch einige BootAntivir Programme laufen lassen, aber mit mäßigem Erfolg.
Dann hat die trivialste Methode funktioniert.
-Wenn nach dem starten von Windows das Fenster geöffnet ist einfach [alt]+[F4] drücken.
-Das Programm schließt und man kann wieder ungehindert in Windows arbeiten.
-Hab dann mit dem DE-Cleaner von www.botfrei.de/ einen Quickscann gemacht und ebenfalls -siodfjisod.exe und zusätzlich usrinit.exe gefunden. Diese gelöscht und nach den Neustart war alles wieder i.O.!


Hoffe das hilft
Grüße

Bob schrieb:

[...]und nach den Neustart war alles wieder i.O.![...]

Zum Vergrößern anklicken....

Wenn du meinst....
Ich würde über diese Brücke nicht gehen.

@Bob Hupe
Danke für deinen Beitrag.

Leider funktioniert alt & f4 nicht bei mir. Aber ebenfalls war es mir einmal gelungen nach Schlissen des Fensters zu arbeiten.

Ich werde mal mit der im Trojaner-Board genannten bootbaren CD im Dateisystem nach usrinit.exe suchen. Genau diese Datei hatte ich mir schon notiert, die wurde wohl in einer Windowsmeldung genannt.

Danach versuche ich mit der DE-Cleaner Rettungssystem CD den Rechner zu dursuchen.

Die Bedenken von twodays habe ich auch ein wenig, andererseits, wenn 2 oder 3 virenscanner nichts mehr finden, trotzdem aber noch was durchgerutscht ist, dann kann dieses später auch durchrutschen und man ist nie ganz sicher.

Ich schreibe weiter, wie und ob ich vorankomme.

shiva2012 schrieb:

[...]Die Bedenken von twodays habe ich auch ein wenig, andererseits, wenn 2 oder 3 virenscanner nichts mehr finden, trotzdem aber noch was durchgerutscht ist, dann kann dieses später auch durchrutschen und man ist nie ganz sicher.[...]

Zum Vergrößern anklicken....

WTF?!?
Mir ist kein Fall bekannt, in dem nach dem Scannen von der Live-CD mit aktuellen Pattern und mehreren Scannern (wie z.B. mit desinfec't) noch Reste auf dem System übergeblieben wären - ein einziges Rootkit ausgenommen, welches aber auch eine Zero-Day-Attacke darstellte, als der betreffende Rechner bei uns stand.

Im Gegensatz dazu kenne ich unzählige Fälle, bei denen die auf dem infizierten System laufenden Scanner grünes Licht gaben, während weiterhin Malware ihren Dienst verrichtete. In 99% dieser Fälle lautete die Aussage der Besitzer: Ja, da war mal ein Trojaner-Befall, den habe ich mit Software XY erledigt und seitdem arbeite ich an dem System.

Ich weiß, das sich die Geister daran scheiden und mir Freudi und Schrauber wieder virtuell aufs Maul hauen werden, aber meiner Meinung nach gehören nachweislich infizierte Systeme platt gemacht und neu installiert. Punkt. Keine Diskussion. Keine Rettungsversuche.

@twoday
nur dass ich dich richtig verstehe:
1) Methode Live CD sicher (gilt das auch für scannen wenn die FP in anderem Rechener eingebaut und von dort gescannt wird?)
2) ehemals infizierte Systeme können sich selbst nicht sicher scannen
3) egal ob 1 oder 2 - am sichersten ist Neuinstallation (wenn du zeit und lust hast nur kurz ein, zwei worte dazu?)

@Bob Hupe
Danke - Fenster weg - ich kann wieder auf dem System arbeiten. mml
Nach booten von CD habe ich usrinit.exe in C:\Windows\system32 gelöscht

BTW: Immer wieder verblüffend - wie (nein, nicht blöd) -> leichtsinning manche sind ... ???

There are two types of computer users: those who backup, and those who will...

Introduction http://evacopy.sourceforge.net

EVACopy - stands for EVACuate and Copy - is a backup program that
has versioning and easy restoration in mind.

EVACopy is designed by a sys.admin, for sys.admins, although ideal for home users too.
It's simple to configure and deploy onto multiple workstations.

It's completely portable - no setup is required, no administrative privileges, no messing around
with system files or the registry, no need for Java, .NET, or any other system component preinstalled.

Zum Vergrößern anklicken....

Comodo BackUp http://www.wintotal.de/softwarearchiv/?id=3333

Kurzinfo: Backup-Programm mit Sheduler und Unterstützung für FTP, Netzwerk, optische Medien

Zum Vergrößern anklicken....

Falls man genötigt ist, das System zu bereinigen - ok - aber dann bitte nicht vergessen, vorübergehend die Systemwiederherstellung ganz abzuschalten und ALLE Passwörter zu ändern nach der Aktion.

Leider ist es aber auch oft so, dass das System nach erfolgreicher Bereinigung ( die meist nicht einfach ist und unter Aufsicht/mit Hilfe von Experten! durchgeführt werden sollte) später nicht mehr so ganz richtig rund laufen könnte.

Ich hatte das mal
http://www.wintotal-forum.de/index.php/topic,160837.0.html
und eben zuletzt dann doch neu aufgesetzt........

Da ich regelmässig Sicherungen extern ablege, würde ich bei eigenen Geräten ( hatte seit 2000 nur 2 Fehlalarme, keine Infektion) aber auf jeden Fall sofort vom Internet trennen, gründlich formatieren und neu installieren sowie Passwörter und Zugangsdaten etc ändern!

shiva2012 schrieb:

[...]1) Methode Live CD sicher (gilt das auch für scannen wenn die FP in anderem Rechener eingebaut und von dort gescannt wird?)[...]

Zum Vergrößern anklicken....

Die Worte Sicher und 100% treten im IT-Bereich _NIEMALS_ zusammen auf. ;-)
Aber solange du nicht grad nem Zero-Day-Exploit zum Opfer gefallen bist _UND_ du die Pattern auf der Live-CD _VOR_ dem Scannen aktualisiert hast, bietet diese Methode die grösstmögliche Sicherheit.

[...]2) ehemals infizierte Systeme können sich selbst nicht sicher scannen[...]

Zum Vergrößern anklicken....

Doch, selber scannen können sie sich schon. Aber ich würde keinen Pfifferling auf die Richtigkeit und/oder Wirksamkeit dieser Scans mehr geben.

[...]3) egal ob 1 oder 2 - am sichersten ist Neuinstallation (wenn du zeit und lust hast nur kurz ein, zwei worte dazu?)[...]

Zum Vergrößern anklicken....

Das ist die Quintessenz aus 1.) und 2.) - mein Gewissen wäre nur durch eine saubere Neu-Installation zu beruhigen.

hallo,
in gewissem Sinn OT - aber - gut zu lesen, daß die Ratschläge zur Neuinstallation (noch?) nicht als absolut überzogene und in keinster Weise gerechtfertigte Maßnahme abgewatscht wurden.