Leserartikel Erstellung eines Logfiles bei Ransom-Trojanern (GEMA, BKA etc.)

emlyn d.

Lieutenant
Registriert
Mai 2010
Beiträge
554
Die in folgender Anleitung beschriebenen Schritte dienen dazu, den Helfern ein OTL-Logfile zur Verfügung zu stellen.
Anhand dieses Berichts kann nach Analyse ein individuelles Skript verfasst werden, um Schädlinge zu entfernen.


Wenn ein System mit einem Ransom/Winlock-Trojaner(besonders bekannt geworden sind diesbezüglich vermeintliche Zahlungsaufforderungen vom BKA oder der GEMA) befallen ist, kann es schwierig sein, im "laufenden Betrieb" ein aussagekräftiges Logfile zu erstellen, um die Ransomware und weitere mögliche Schädlinge aufzuspüren und gegebenenfalls zu entfernen, und ganz wichtig, Sicherheitslücken hinsichtlich zukünftiger Prävention aufzudecken.

Hier bietet sich OTLPE Network von OldTimer an.
Man benötigt dafür einen zweiten Rechner mit Brenner und einen CD/DVD-Rohling.

OTLPE Network bitte von hier http://oldtimer.geekstogo.com/OTLPENet.exe herunterladen und als Administrator ausführen, die Abfrage

1-png.270540

bestätigen, einen Rohling in den Brenner legen, warten, bis die Datei entpackt wurde

2-png.270541

und OTLPE Network mit dem im OTLPENet.exe-Archiv befindlichen ImgBurn(oder einem anderen Programm) brennen.

3-png.270542

Um das infizierte System mit der CD zu starten, ist eventuell eine Änderung der Bootreihenfolge nötig:
http://www.edv-lehrgang.de/bios-bootreihenfolge-aendern/

Nach dem Booten(das kann ein paar Minuten dauern) sollte folgender Desktop erscheinen:

untitled-1-png.270543

OTLPE ausführen, hier

untitled-2-png.270544

den Windows-Ordner des infizierten Systems auswählen, also z.B. c:\windows, die folgenden Fragen bestätigen

untitled-3-png.270547


untitled-4-png.270548

und dann in diesem Fenster

untitled-5-png.270549

links oben "Run Scan" anklicken.

Nach Beendigung des Suchlaufs werden zwei Dateien erzeugt, OTL.txt und Extras.txt.

Die OTL.txt bitte posten/anhängen.*
Dies kann man, wenn eine Verbindung zum Internet besteht, über die bei der CD integrierten Browser machen oder den Bericht auf einen USB-Stick speichern und dann vom zweiten Rechner aus übertragen.

Um den Computer herunterzufahren, bitte auf das Windows-Symbol links unten klicken, dann auf "Shut Down" und dann bestätigen.

* Wenn sich in dem Bericht persönliche Daten wie z.B. C:\Dokumente und Einstellungen\Klaus Schulze befinden, sollten diese durch Asterisken(C:\Dokumente und Einstellungen\***) ersetzt werden.
 

Anhänge

  • 1.png
    1.png
    5,1 KB · Aufrufe: 15.956
  • 2.png
    2.png
    2,1 KB · Aufrufe: 15.913
  • 3.png
    3.png
    21,3 KB · Aufrufe: 15.928
  • untitled 1.png
    untitled 1.png
    539,4 KB · Aufrufe: 16.066
  • untitled 2.png
    untitled 2.png
    17,1 KB · Aufrufe: 16.157
  • untitled 3.png
    untitled 3.png
    11,1 KB · Aufrufe: 16.422
  • untitled 4.png
    untitled 4.png
    10,5 KB · Aufrufe: 16.093
  • untitled 5.png
    untitled 5.png
    27,6 KB · Aufrufe: 16.226
Zuletzt bearbeitet:
nur mal so interesse halber ,
findet man so raus ob man den trojaner hat , oder bezweckt das vorgehen einen anderen hintergrund ?!
 
@Balduin88: Das findest du durch die Zahlungsaufforderung an das angebliche FBI/BKA/Polizei heraus.
Das Oldtimer Log soll den Sitz und alle Resourcen des Trojaners, sowie eventueller anderer auf dem System befindlichen Schädlinge anzeigen, um ihn oder sie vollständig entfernen zu können.

@emlyn d.: den Hinweis, wozu das dient und wie dann weiter vorgegangen wird noch einbauen, ansonsten wieder sehr ausführlich geschrieben.
 
Zuletzt bearbeitet:
wow @inzers , danke
ich hatte mit etwas hohn und spott gerechnet da ich meine unkenntnis eingestehen musste ,
aber ich sollte wohl lernen nicht immer so negativ zu denken .
also erstens : danke für die informative antwort
und zweitens : danke für die erkenntnis , das es nicht mehr nur noch trolle gibt ;)
 
Glückwunsch, dieser Leserartikel hat es auf die Startseite von ComputerBase geschafft. (:
 
nein, das ist etwas komplett anderes.
emlyn d. schrieb:
Die in folgender Anleitung beschriebenen Schritte dienen dazu, den Helfern ein OTL-Logfile zur Verfügung zu stellen.
Anhand dieses Berichts kann nach Analyse ein individuelles Skript verfasst werden, um Schädlinge zu entfernen.

kennst du hijackthis?
etwas ähnliches ist otl, die möglichkeiten der analyse und bereinigung sind allerdings weitaus umfangreicher als bei hjt.
 
nur so am rande: der thread ist bereits ein jahr alt. gibt es diese fake-trojaner überhaupt noch? und das anbieten eines winpe zum download halte ich auch für gewagt :)
 
ich kann nichts schädliches an der seite entdecken, also offenbar ein fehlalarm.
 
Zurück
Oben