Leserartikel Erstellung eines Logfiles bei Ransom-Trojanern (GEMA, BKA etc.)

emlyn d.

Lieutenant
Dabei seit
Mai 2010
Beiträge
554
Die in folgender Anleitung beschriebenen Schritte dienen dazu, den Helfern ein OTL-Logfile zur Verfügung zu stellen.
Anhand dieses Berichts kann nach Analyse ein individuelles Skript verfasst werden, um Schädlinge zu entfernen.


Wenn ein System mit einem Ransom/Winlock-Trojaner(besonders bekannt geworden sind diesbezüglich vermeintliche Zahlungsaufforderungen vom BKA oder der GEMA) befallen ist, kann es schwierig sein, im "laufenden Betrieb" ein aussagekräftiges Logfile zu erstellen, um die Ransomware und weitere mögliche Schädlinge aufzuspüren und gegebenenfalls zu entfernen, und ganz wichtig, Sicherheitslücken hinsichtlich zukünftiger Prävention aufzudecken.

Hier bietet sich OTLPE Network von OldTimer an.
Man benötigt dafür einen zweiten Rechner mit Brenner und einen CD/DVD-Rohling.

OTLPE Network bitte von hier http://oldtimer.geekstogo.com/OTLPENet.exe herunterladen und als Administrator ausführen, die Abfrage


bestätigen, einen Rohling in den Brenner legen, warten, bis die Datei entpackt wurde


und OTLPE Network mit dem im OTLPENet.exe-Archiv befindlichen ImgBurn(oder einem anderen Programm) brennen.


Um das infizierte System mit der CD zu starten, ist eventuell eine Änderung der Bootreihenfolge nötig:
http://www.edv-lehrgang.de/bios-bootreihenfolge-aendern/

Nach dem Booten(das kann ein paar Minuten dauern) sollte folgender Desktop erscheinen:


OTLPE ausführen, hier


den Windows-Ordner des infizierten Systems auswählen, also z.B. c:\windows, die folgenden Fragen bestätigen




und dann in diesem Fenster


links oben "Run Scan" anklicken.

Nach Beendigung des Suchlaufs werden zwei Dateien erzeugt, OTL.txt und Extras.txt.

Die OTL.txt bitte posten/anhängen.*
Dies kann man, wenn eine Verbindung zum Internet besteht, über die bei der CD integrierten Browser machen oder den Bericht auf einen USB-Stick speichern und dann vom zweiten Rechner aus übertragen.

Um den Computer herunterzufahren, bitte auf das Windows-Symbol links unten klicken, dann auf "Shut Down" und dann bestätigen.

* Wenn sich in dem Bericht persönliche Daten wie z.B. C:\Dokumente und Einstellungen\Klaus Schulze befinden, sollten diese durch Asterisken(C:\Dokumente und Einstellungen\***) ersetzt werden.
 

Anhänge

Zuletzt bearbeitet:

Balduin88

Ensign
Dabei seit
Okt. 2011
Beiträge
153
nur mal so interesse halber ,
findet man so raus ob man den trojaner hat , oder bezweckt das vorgehen einen anderen hintergrund ?!
 

Inzersdorfer

Vice Admiral
Dabei seit
Juli 2010
Beiträge
6.337
@Balduin88: Das findest du durch die Zahlungsaufforderung an das angebliche FBI/BKA/Polizei heraus.
Das Oldtimer Log soll den Sitz und alle Resourcen des Trojaners, sowie eventueller anderer auf dem System befindlichen Schädlinge anzeigen, um ihn oder sie vollständig entfernen zu können.

@emlyn d.: den Hinweis, wozu das dient und wie dann weiter vorgegangen wird noch einbauen, ansonsten wieder sehr ausführlich geschrieben.
 
Zuletzt bearbeitet:

Balduin88

Ensign
Dabei seit
Okt. 2011
Beiträge
153
wow @inzers , danke
ich hatte mit etwas hohn und spott gerechnet da ich meine unkenntnis eingestehen musste ,
aber ich sollte wohl lernen nicht immer so negativ zu denken .
also erstens : danke für die informative antwort
und zweitens : danke für die erkenntnis , das es nicht mehr nur noch trolle gibt ;)
 

sudfaisl

Admin
Teammitglied
Dabei seit
Sep. 2008
Beiträge
21.065
Glückwunsch, dieser Leserartikel hat es auf die Startseite von ComputerBase geschafft. (:
 

emlyn d.

Lieutenant
Ersteller dieses Themas
Dabei seit
Mai 2010
Beiträge
554
nein, das ist etwas komplett anderes.
Die in folgender Anleitung beschriebenen Schritte dienen dazu, den Helfern ein OTL-Logfile zur Verfügung zu stellen.
Anhand dieses Berichts kann nach Analyse ein individuelles Skript verfasst werden, um Schädlinge zu entfernen.
kennst du hijackthis?
etwas ähnliches ist otl, die möglichkeiten der analyse und bereinigung sind allerdings weitaus umfangreicher als bei hjt.
 
J

JohnV7

Gast
nur so am rande: der thread ist bereits ein jahr alt. gibt es diese fake-trojaner überhaupt noch? und das anbieten eines winpe zum download halte ich auch für gewagt :)
 

emlyn d.

Lieutenant
Ersteller dieses Themas
Dabei seit
Mai 2010
Beiträge
554
ich kann nichts schädliches an der seite entdecken, also offenbar ein fehlalarm.
 
Top