CTB Locker

Dieses Thema enthält 90 Antworten und 2 Teilnehmer. Es wurde zuletzt aktualisiert von  stefan.becker 21. Juli 2018 at 21:59.

Ansicht von 15 Beiträgen - 31 bis 45 (von insgesamt 91)
  • Autor
    Beiträge
  • #69370

    stefan.becker
    Moderator

    Ja, nimm ruhig den abgesicherten Modus.

    Noch besser wäre es natürlich mit Knoppix den Rechner zu starten. Evtl. kannst du dazu im Bios nach einer Einstellung “SATA Mode” suchen und von von AHCI auf IDE-Modus umstellen.

    Je nach Umgebung kann der Pfad dann statt c:benutzer… auch c:users… sein.

    Bzgl. Datenrettungsfirma: Das musst du selbst entscheiden. Zum einen sicherlich teuer. Zum anderen keine Ahnung, ob die so was können. EIne Anfrage schadet natürlich nie.

    Mir bekannt aus der Vergangenheit (nur der Name): http://www.krollontrack.de/

    Eigentlich retten die Daten vpn physiklisch kaputten Datenträgern.

    Aber wie gesagt: Frage einfach nach.

    #69414

    frankie9440
    Teilnehmer

    das mit dem SATA Mode habe ich nicht im Bios gefunden
    Ich habe jetzt mehrere Male probiert Knoppix auf dem verseuchten REchner zu starten,
    seltsamerweise erscheint manchmal die grafische Oberfläche aber dann kommt kein Menu bzw. Symbole
    mehr

    Dann hab ich Windows im abgesicherten Modus hochgefahren
    Nach langem Warten geht auch der Explorer,
    Ich wollte dann das Verzeichnis auf dem verseuchten Stick kopieren, dieser ist aber zu klein da das Verzeichnis 1,36 GB
    Speciherplatz benötigt
    Kann ich einen anderen Stick nehmen und denn dann unter knoppix formatieren bevor ich ihn wieder für Windows verwende oder ist
    der dann zum wegschmeissen?

    #69371

    stefan.becker
    Moderator

    Nein, natürlich nicht wegwerfen. Den formatieren wir hinterher wieder, dann bleibt nichts übrig.

    #69415

    frankie9440
    Teilnehmer

    ich habe jetzt die 1,6 GB von Thunderbird auf den stick kopiert.

    Dann Icedove aufgerufen und meine T-Online Zugangsdaten eingegeben.

    Damit komm ich auch auf die Mails die noch auf dem Telekom Server liegen.

    Aber die daten vom stick sind noch nicht eingebunden.

    was kann ich tun?

    Danke

    #69416

    frankie9440
    Teilnehmer

    ich habe jetzt nochmal die Befehlszeile in der Konsole eingegeben
    Jetzt kommt dabe die Fehlermeldung

    ln: Symbolische Verknüpfung „/home/knoppix/.icedove/sdb1“ konnte nicht angelegt werden: Die Operation ist nicht erlaubt

    #69372

    stefan.becker
    Moderator

    Kannst du mal per Kamera ein Bild vom Knoppix Desktop (mit Dateimanager mit markiertem USB-Stick und dem Kommandozeilenfenster mit deiner Eingabe).

    Das Bild bei einem Freehoster posten.

    #69417

    frankie9440
    Teilnehmer

    Habe Dir den link zum Foto als private Nachricht zugesandt

    #69373

    stefan.becker
    Moderator

    Starte bitte noch mal von vorne. Also PC runterfahren, neu mit Knoppix starten. Dann nicht erst Icedove starten, sondern erst den Befehl eingeben in der Kommandozeile, dann Icedove starten.

    Geht das so?

    #69418

    frankie9440
    Teilnehmer

    geht leider trotzdem nicht

    Was kann ich tun?

    #69374

    stefan.becker
    Moderator

    OK, dann Plan B. Hoffentlich klappt das. Diese *****löcher, die so einen kriminellen Müll „auf den Markt bringen“, sollte man alle teeren&federn.

    Zur geplanten Vorgehensweise:

    Zunächst werden wir am Problemrechner per FRST den Trojaner unschädlich machen (nicht löschen, aber den Autostart beseitigen).

    Dann Thunderbird Profil noch mals sichern und mit einer anderen Vorgehensweise in Knoppix laden.

    [Color=”Blue”]Autostart des Trojaners am Problem-PC löschen[/Color]

    Lade die angehängte Datei Fixlist.txt herunter und speichere das Dokument auf dem USB-Stick, auf dem sich auch die frst.exe befindet.

    Wenn du keinen USB Stick hast außer den bisher genutzten oder du keinen weiteren inifizieren willst, kannst du das auch unter Knoppix machen (also FRST runterladen und speichern, dann den Fix).

    HKUFT…Run: [JituRpoxt] => regsvr32.exe "C:ProgramDataJituRpoxtKuhfiDfaje.fzz"
    HKUFT…Run: [bimouri] => rundll32 "C:UsersFTAppDataLocalbimouri.dll",bimouri  C:UsersFTAppDataLocalTemptemp2361807006.exe [1397248 2014-12-22] ()  rundll32 "C:UsersFTAppDataLocalxizmxzu.dll",xizmxzu  C:UsersFTAppDataRoamingOwegavfizeygyvo.exe
    HKUFT…Run: [{7D8404C1-0025-954E-C734-6E2A70AD553A}] => C:UsersFTAppDataRoamingObdiimiqco.exe [289280 2013-10-11] (Hippo Studios)
    HKUFT…Run: [Epobkaurubxuehk] => C:UsersFTAppDataRoamingUdvylygaxuacoqy.exe
    HKUFT…Run: [{4486BACF-7B55-A117-D489-AC6478ED7DED}] => C:UsersFTAppDataRoamingEsimbeqexem.exe [328704 2012-07-04] (Mozilla Corporations)
    HKUFT…Run: [appigine] => C:Windowssystem32api-dler.exe [284672 2014-12-23] ()
    HKUFT…Run: [oizaxzu] => rundll32 "C:UsersFTAppDataLocaloizaxzu.dll",oizaxzu <===== ATTENTION
    

    Als Datei: [ATTACH]32168[/ATTACH]

      [*]Schließe den USB-Stick wieder an den infizierten Rechner an.[*] Starte den infizierten Rechner in die Reparaturoptionen (Eingabeaufforderung).[*] Starte nun erneut die FRST.exe, klicke dieses Mal auf den Fix Button.

    Das Tool erstellt eine Datei Fixlog.txt und speichert sie auf dem USB-Stick. Poste deren Inhalt bitte hier.

    Hinweis für Mitleser: Das Skript ist individuell für diesen Computer angepasst und darf nicht auf anderen Systemen angewendet werden.

    [Color="Blue"]Thunderbird Profil erneut kopieren[/Color]

    Stecke den USB-Stick am befallenen Rechner erneut ein. Lösche per Explorer den derzeitigen Inhalt. Dann auf der obersten Ebene des Stick einen neuen Ordner „thunderbird“ anlegen.

    Dann den Inhalt von „C:BenutzerAppDataRoamingThunderbirdProfiles“ in das Verzeichnis „thunderbird“ des USB Sticks kopieren.

    [Color=”Blue”]Thunderbird Profil mit Knoppix einlesen[/Color]

    Dann am anderen Rechner Knoppix starten, anschließend den USB-Stick einstecken.

    Dann wie bisher Dateimanager öffnen, USB-Stick auswählen, Konsole öffnen. Dann folgende Befehle eingeben (siehe auch angehängtes Bild [ATTACH=CONFIG]32167[/ATTACH] ):

    cd /home/knoppix
    rm .icedove -rf
    sudo mount /dev/sdb1 /mnt
    ln -s /mnt/thunderbird .icedove
    

    Dann Icedove per Startmenü/Internet starten. Evtl. kommen noch Abfragen zur Kompatibilität bestimmter Plugins, die kannst du bejahen und ausführen.

    Danach sollte dein Thunderbird Profil im Icedove erscheinen.

    Klappt das soweit?

    #69419

    frankie9440
    Teilnehmer

    gut das ich heute 2 neue USB Sticks gekauft habe….

    Anbei der Auszug aus der datei fixlog.txt:

    Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 27-12-2014
    Ran by SYSTEM at 2015-01-15 23:24:30 Run:1
    Running from G:
    Boot Mode: Recovery

    ==============================================

    Content of fixlist:
    *****************
    Start
    HKUFT…Run: [JituRpoxt] => regsvr32.exe “C:ProgramDataJituRpoxtKuhfiDfaje.fzz”
    HKUFT…Run: [bimouri] => rundll32 “C:UsersFTAppDataLocalbimouri.dll”,bimouri C:UsersFTAppDataLocalTemptemp2361807006.exe [1397248 2014-12-22] () rundll32 “C:UsersFTAppDataLocalxizmxzu.dll”,xizmxzu C:UsersFTAppDataRoamingOwegavfizeygyvo.exe
    HKUFT…Run: [{7D8404C1-0025-954E-C734-6E2A70AD553A}] => C:UsersFTAppDataRoamingObdiimiqco.exe [289280 2013-10-11] (Hippo Studios)
    HKUFT…Run: [Epobkaurubxuehk] => C:UsersFTAppDataRoamingUdvylygaxuacoqy.exe
    HKUFT…Run: [{4486BACF-7B55-A117-D489-AC6478ED7DED}] => C:UsersFTAppDataRoamingEsimbeqexem.exe [328704 2012-07-04] (Mozilla Corporations)
    HKUFT…Run: [appigine] => C:Windowssystem32api-dler.exe [284672 2014-12-23] ()
    HKUFT…Run: [oizaxzu] => rundll32 “C:UsersFTAppDataLocaloizaxzu.dll”,oizaxzu value deleted successfully.
    HKUFTSoftwareMicrosoftWindowsCurrentVersionRun\bimouri => value deleted successfully.
    HKUFTSoftwareMicrosoftWindowsCurrentVersionRun\CrashReportInformer => value deleted successfully.
    HKUFTSoftwareMicrosoftWindowsCurrentVersionRun\xizmxzu => value deleted successfully.
    HKUFTSoftwareMicrosoftWindowsCurrentVersionRun\Vyxioqyrri => value deleted successfully.
    HKUFTSoftwareMicrosoftWindowsCurrentVersionRun\{7D8404C1-0025-954E-C734-6E2A70AD553A} => value deleted successfully.
    HKUFTSoftwareMicrosoftWindowsCurrentVersionRun\Epobkaurubxuehk => value deleted successfully.
    HKUFTSoftwareMicrosoftWindowsCurrentVersionRun\{4486BACF-7B55-A117-D489-AC6478ED7DED} => value deleted successfully.
    HKUFTSoftwareMicrosoftWindowsCurrentVersionRun\appigine => value deleted successfully.
    HKUFTSoftwareMicrosoftWindowsCurrentVersionRun\oizaxzu => value deleted successfully.

    ==== End of Fixlog 23:24:35 ====

    Ich mach jetzt weiter und berichte wie’s klappt

    #69420

    frankie9440
    Teilnehmer

    Jetzt bin ich durch, wenn ich Icdeove starte kommt folgende Fehlermeldung:

    Profile Missing

    Your Icedove profile cannot be loaded. It may be missing or inaccessible.

    Davor ich habe ich in der Konsole die folgende Zeilen eingegeben:

    knoppix@Microknoppix:~$ cd /home/knoppix
    knoppix@Microknoppix:~$ rm .icedove -rf
    knoppix@Microknoppix:~$ sudo mount /media/sdb1 /mnt
    mount: /media/sdb1 is not a block device
    knoppix@Microknoppix:~$ sudo mount /dev/sdb1 /mnt
    knoppix@Microknoppix:~$ ln -s/mnt/thunderbird .icedove
    ln: ungültige Option — „/“
    „ln –help“ gibt weitere Informationen.
    knoppix@Microknoppix:~$ ln -s /mnt/thunderbird .icedove

    Statt /dev/ hatte ich media verwendet, so war die Bezeichung vom Stick ist das vielleicht die Ursache?

    Erstmal wieder danke

    #69421

    frankie9440
    Teilnehmer

    wenn ich auf dem verseuchten Rechner Thunderbird im abgesicherten Modus und ohne LAN hochfahren will,
    findet er das Postfach und die lokalen Ordner auch nicht mehr…

    #69375

    stefan.becker
    Moderator

    Nein, daran liegt es nicht. Entweder vom Trojaner zerschossen oder inkompatibel. Ich hatte das bei mir getestet, da ging das. Ich suche mal nach einem weiteren Weg, melde mich dazu.

    Wenn es dir nur um die Anhänge geht, könntest du die an der Problemmaschine ja auch schon mal auf einen USB Stick sichern.

    #69376

    stefan.becker
    Moderator

    Ich sehe gerade deinen Folgepost. Hat sich dann wohl anscheinend erledigt. Evtl. (bzw. hoffentlich) klappt es noch im Standardmodus?

Ansicht von 15 Beiträgen - 31 bis 45 (von insgesamt 91)

Du musst angemeldet sein, um auf dieses Thema antworten zu können.