Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert

Stilgar · 25.04.2012, 16:54

Hallo zusammen,

meine Freundin hat heute morgen eine E-Mail erhalten und den Anhang (eine Zahlungsaufforderung) geöffnet. Seitdem ist ihr Laptop von einem Windows-Verschlüsselungs Trojaner infiziert.

Dieser verlangt eine Zahlung von 50,00 Euro, um die von ihm verschlüsselten Dateien wieder zu entschlüsseln.

Der Bildschirm zeigt nur noch diese Meldung an. Ansonsten kann man mit dem Laptop nichts mehr machen. Betriebssystem ist (leider ;-)) Windows Vista. Welche Version weiß ich nicht.

Ich schreibe diese Mail jetzt von meinem Computer. Es ist also für mögliche Reparaturen ein Zweitcomputer mit Internetzugang vorhanden.

Sie macht sich große Sorgen, da sie in dem Moment, als das ganze passierte im Internetbenking eingeloggt war. Kann da etwas passiert sein?

Ich bitte höflich um Hilfe.

Vielen Dank im Voraus.

Mit freundlichen Grüßen

Stilgar

markusg · 25.04.2012, 20:06

banking sperren lassen bitte, dieser trojaner ist neu, und verfügt über einige zusatz funktionen die evtl. auch datenklau möglich machen.
könnt ihr die mail weiterleiten an:
http://markusg.trojaner-board.de
bitte euren nutzernamen angeben.

desweiteren:

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade

OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Bebilderte Anleitung: OTLpe-Scan

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Stilgar · 26.04.2012, 17:15

Hallo Markus,

das hat leider nicht funktioniert. OTLPE stürzt auf dem Laptop meiner Freundin während des Scans mit der Meldung "out of memory" ab.

Habe es jetzt dreimal probiert. Gibt es eine andere Möglichkeit?

Mit freundlichen Grüßen

Stilgar

markusg · 26.04.2012, 18:27

versuchs mal ohne mein script

Stilgar · 27.04.2012, 18:00

Hat funktioniert. Vielen Dank. Hier der Inhalt des Textdokumentes:OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 4/27/2012 8:27:34 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Windows Vista (TM) Home Premium Service Pack 2 (Version = 6.0.6002) - Type = System
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 90.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 94.16 Gb Total Space | 38.80 Gb Free Space | 41.21% Space Free | Partition Type: NTFS
Drive D: | 195.14 Gb Total Space | 194.93 Gb Free Space | 99.89% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2012/04/20 10:09:02 | 003,065,120 | ---- | M] (Emsisoft GmbH) [Auto] -- C:\Program Files\Emsisoft Anti-Malware\a2service.exe -- (a2AntiMalware)
SRV - [2011/06/28 16:55:22 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/05/01 16:10:59 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008/04/25 09:23:36 | 000,303,104 | ---- | M] (Fujitsu Siemens Computers) [Auto] -- C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe -- (TestHandler)
SRV - [2008/01/20 22:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2008/01/15 09:51:44 | 000,118,784 | ---- | M] (Wistron Corp.) [On_Demand] -- C:\Program Files\Launch Manager\WisLMSvc.exe -- (WisLMSvc)
SRV - [2007/06/04 10:20:38 | 000,065,536 | ---- | M] () [Auto] -- C:\Program Files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe -- (FSCLBaseUpdaterService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand] --  -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand] --  -- (IpInIp)
DRV - [2011/11/02 05:13:12 | 000,051,632 | ---- | M] (Emsi Software GmbH) [File_System | On_Demand] -- C:\Program Files\Emsisoft Anti-Malware\a2accx86.sys -- (a2acc)
DRV - [2011/06/28 16:55:24 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/06/28 16:55:24 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011/05/19 08:10:34 | 000,017,904 | ---- | M] (Emsi Software GmbH) [Kernel | System] -- C:\Program Files\Emsisoft Anti-Malware\a2ddax86.sys -- (A2DDA)
DRV - [2010/06/23 03:21:32 | 000,259,176 | ---- | M] (Realtek                                            ) [Kernel | On_Demand] -- C:\Windows\System32\drivers\Rtlh86.sys -- (RTL8169)
DRV - [2009/09/05 08:25:36 | 001,183,744 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2009/05/11 05:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/02/13 06:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008/06/03 18:35:26 | 003,695,104 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag)
DRV - [2008/05/27 07:55:54 | 000,173,576 | ---- | M] (AMD Technologies Inc.) [Kernel | Boot] -- C:\Windows\System32\drivers\ahcix86s.sys -- (ahcix86s)
DRV - [2008/04/28 03:26:42 | 000,014,352 | ---- | M] (ATI Technologies Inc.) [Kernel | Boot] -- C:\Windows\System32\drivers\AtiPcie.sys -- (AtiPcie) ATI PCI Express (3GIO)
DRV - [2008/04/11 11:55:04 | 000,084,240 | ---- | M] (JMicron Technology Corp.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\jmcr.sys -- (JMCR)
DRV - [2008/04/03 08:58:46 | 000,076,688 | ---- | M] (JMicron Technology Corp.) [Kernel | Disabled] -- C:\Windows\system32\drivers\jraid.sys -- (JRAID)
DRV - [2003/04/28 05:27:06 | 000,009,867 | ---- | M] () [Kernel | System] -- C:\Windows\System32\drivers\HOTKEY.sys -- (Hotkey)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = iGoogle
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = Google
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = iGoogle
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Carolin_Tönnihsen_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKU\Carolin_Tönnihsen_ON_C\Software\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\Carolin_Tönnihsen_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\System32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3:  File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9:  File not found
 
 
 
O1 HOSTS File: ([2006/09/18 17:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [FSCRecovery] C:\Program Files\Fujitsu Siemens Computers\Fujitsu Siemens Computers Recovery\FSCRecoveryReminder.exe (Fujitsu Siemens Computers GmbH)
O4 - HKLM..\Run: [Google EULA Launcher] C:\Program Files\Google\Google EULA\GoogleEULALauncher.exe ( )
O4 - HKLM..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe (Wistron)
O4 - HKLM..\Run: [LanguageShortcut] C:\Program Files\CyberLink\PowerDVD\Language\Language.exe ()
O4 - HKLM..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe ()
O4 - HKLM..\Run: [LMgrVolOSD] C:\Program Files\Launch Manager\OSD.exe (Wistron Corp.)
O4 - HKLM..\Run: [NPCTray]  File not found
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe (Synaptics, Inc.)
O4 - HKLM..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe (Simply Super Software)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKLM..\Run: [WisKeyState] C:\Program Files\Launch Manager\WisKeyState.exe (Wistron Corp.)
O4 - HKU\.DEFAULT..\Run: [fsc-reg]  File not found
O4 - HKU\.DEFAULT..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (Google Inc.)
O4 - HKU\Carolin_Tönnihsen_ON_C..\Run: [Google Update]  File not found
O4 - HKU\Carolin_Tönnihsen_ON_C..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (Google Inc.)
O4 - HKU\LocalService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\NetworkService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O7 - HKU\Carolin_Tönnihsen_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O13 - gopher Prefix: missing
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} https://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab (CeWe Color AG & Co. OHG Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL) - C:\Program Files\Google\Google Desktop Search\GoogleDesktopNetwork3.dll (Google)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: 
O24 - Desktop BackupWallPaper: 
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/09/18 17:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{258f89de-d173-11df-8fc9-001f160fcdf8}\Shell - "" = AutoRun
O33 - MountPoints2\{258f89de-d173-11df-8fc9-001f160fcdf8}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O33 - MountPoints2\G\Shell - "" = AutoRun
O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/04/26 19:46:02 | 000,000,000 | ---D | C] -- C:\Users\Carolin Tönnihsen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink PowerDVD
[2012/04/26 13:33:05 | 000,000,000 | ---D | C] -- C:\Users\Carolin Tönnihsen\Documents\Simply Super Software
[2012/04/26 13:32:50 | 000,598,528 | ---- | C] (Igor Pavlov) -- C:\Windows\System32\ztv7z.dll
[2012/04/26 13:32:50 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Trojan Remover
[2012/04/26 13:32:49 | 000,069,632 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ztvcabinet.dll
[2012/04/26 13:32:48 | 000,000,000 | ---D | C] -- C:\Program Files\Trojan Remover
[2012/04/26 13:32:48 | 000,000,000 | ---D | C] -- C:\Users\Carolin Tönnihsen\AppData\Roaming\Simply Super Software
[2012/04/26 13:32:48 | 000,000,000 | ---D | C] -- C:\ProgramData\Simply Super Software
[2012/04/26 13:31:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Emsisoft Anti-Malware
[2012/04/26 13:31:38 | 000,000,000 | ---D | C] -- C:\Program Files\Emsisoft Anti-Malware
[2012/04/26 13:31:38 | 000,000,000 | ---D | C] -- C:\Users\Carolin Tönnihsen\Documents\Anti-Malware
[2012/04/26 13:31:31 | 012,137,424 | ---- | C] (Simply Super Software                                       ) -- C:\Users\Carolin Tönnihsen\Desktop\trojan_remover_setup683.exe
[2012/04/26 13:31:22 | 125,625,456 | ---- | C] (Emsisoft GmbH                                               ) -- C:\Users\Carolin Tönnihsen\Desktop\EmsisoftAntiMalwareSetup.exe
[2012/04/25 06:25:25 | 000,000,000 | ---D | C] -- C:\Users\Carolin Tönnihsen\AppData\Roaming\Daopnajpqa
[2012/04/25 06:25:17 | 000,000,000 | ---D | C] -- C:\Users\Carolin Tönnihsen\AppData\Roaming\Realtec
[2012/04/21 03:05:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office Live Add-in
[2012/04/21 03:05:39 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft
[2012/04/17 14:37:34 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle for Wesnoth 1.10.2
[2012/04/17 14:34:04 | 000,000,000 | ---D | C] -- C:\Program Files\Battle for Wesnoth 1.10.2
[2012/04/12 06:07:15 | 002,382,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2012/04/12 06:07:13 | 001,799,168 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript9.dll
[2012/04/12 06:07:13 | 000,716,800 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript.dll
[2012/04/12 06:07:12 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2012/04/12 06:07:11 | 001,427,456 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl
[2012/04/12 06:07:11 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2012/04/12 06:07:11 | 000,065,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2012/04/12 06:03:23 | 003,550,080 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2012/04/12 06:03:22 | 003,602,816 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/04/26 19:49:43 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012/04/26 19:46:06 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012/04/26 19:45:25 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012/04/26 19:45:25 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012/04/26 19:45:14 | 2950,742,016 | -HS- | M] () -- C:\hiberfil.sys
[2012/04/26 13:32:51 | 000,000,942 | ---- | M] () -- C:\Users\Public\Desktop\Trojan Remover.lnk
[2012/04/26 13:32:51 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Trojan Remover
[2012/04/26 13:32:23 | 000,632,594 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012/04/26 13:32:23 | 000,599,528 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012/04/26 13:32:23 | 000,128,406 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012/04/26 13:32:23 | 000,105,404 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012/04/26 13:32:00 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Emsisoft Anti-Malware
[2012/04/26 13:31:59 | 000,000,918 | ---- | M] () -- C:\Users\Carolin Tönnihsen\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Emsisoft Anti-Malware.lnk
[2012/04/26 13:31:59 | 000,000,894 | ---- | M] () -- C:\Users\Public\Desktop\Emsisoft Anti-Malware.lnk
[2012/04/26 12:29:50 | 125,625,456 | ---- | M] (Emsisoft GmbH                                               ) -- C:\Users\Carolin Tönnihsen\Desktop\EmsisoftAntiMalwareSetup.exe
[2012/04/26 12:29:06 | 012,137,424 | ---- | M] (Simply Super Software                                       ) -- C:\Users\Carolin Tönnihsen\Desktop\trojan_remover_setup683.exe
[2012/04/26 11:03:56 | 000,000,680 | ---- | M] () -- C:\Users\Carolin Tönnihsen\AppData\Local\d3d9caps.dat
[2012/04/25 13:21:35 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012/04/25 11:49:03 | 000,001,168 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2453622059-3625834456-1842735342-1000UA.job
[2012/04/25 06:32:19 | 000,823,542 | ---- | M] () -- C:\Users\Carolin Tönnihsen\Desktop\locked-Tetris.exe.gdef
[2012/04/25 06:32:18 | 002,390,835 | ---- | M] () -- C:\Users\Carolin Tönnihsen\Desktop\locked-OnlineCodex.jar.plrv
[2012/04/25 06:32:18 | 001,220,878 | ---- | M] () -- C:\Users\Carolin Tönnihsen\Desktop\locked-OnlineCodexWHFB.jar.love
[2012/04/25 06:31:51 | 008,288,585 | ---- | M] () -- C:\Users\Carolin Tönnihsen\Desktop\locked-Lamekh's Online Codex.jar.zwpb
[2012/04/25 06:31:50 | 006,437,412 | ---- | M] () -- C:\Users\Carolin Tönnihsen\Desktop\locked-Helden.jar.ajng
[2012/04/24 12:54:14 | 000,001,116 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2453622059-3625834456-1842735342-1000Core.job
[2012/04/21 03:05:39 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office Live Add-in
[2012/04/17 14:37:34 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle for Wesnoth 1.10.2
[2012/04/12 06:07:01 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Works
[2012/04/01 07:28:15 | 000,001,782 | ---- | M] () -- C:\Users\Public\Desktop\FOTOParadies.lnk
[2012/04/01 07:28:15 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FOTOParadies
[2 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/04/26 19:45:14 | 2950,742,016 | -HS- | C] () -- C:\hiberfil.sys
[2012/04/26 13:32:51 | 000,000,942 | ---- | C] () -- C:\Users\Public\Desktop\Trojan Remover.lnk
[2012/04/26 13:32:50 | 000,178,176 | ---- | C] () -- C:\Windows\System32\ztvunrar39.dll
[2012/04/26 13:32:50 | 000,162,304 | ---- | C] () -- C:\Windows\System32\ztvunrar36.dll
[2012/04/26 13:32:50 | 000,077,312 | ---- | C] () -- C:\Windows\System32\ztvunace26.dll
[2012/04/26 13:32:49 | 000,153,088 | ---- | C] () -- C:\Windows\System32\UNRAR3.dll
[2012/04/26 13:32:49 | 000,075,264 | ---- | C] () -- C:\Windows\System32\unacev2.dll
[2012/04/26 13:31:59 | 000,000,918 | ---- | C] () -- C:\Users\Carolin Tönnihsen\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Emsisoft Anti-Malware.lnk
[2012/04/26 13:31:59 | 000,000,894 | ---- | C] () -- C:\Users\Public\Desktop\Emsisoft Anti-Malware.lnk
[2011/05/15 05:27:09 | 000,000,680 | ---- | C] () -- C:\Users\Carolin Tönnihsen\AppData\Local\d3d9caps.dat
[2011/01/01 09:25:10 | 000,006,144 | ---- | C] () -- C:\Users\Carolin Tönnihsen\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/04/18 12:43:50 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI
[2009/12/03 03:27:30 | 000,080,416 | ---- | C] () -- C:\Windows\System32\RtNicProp32.dll
[2009/09/20 05:32:34 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll
[2009/09/20 05:32:34 | 000,107,612 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2009/03/11 16:51:09 | 000,000,000 | ---- | C] () -- C:\Users\Carolin Tönnihsen\AppData\Roaming\wklnhst.dat
[2009/03/11 14:07:09 | 000,000,342 | ---- | C] () -- C:\Windows\{9A3BC157-B94F-4EFD-ABA9-1E56DEB00655}_WiseFW.ini
[2008/10/22 08:26:17 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2008/10/22 08:02:51 | 000,009,867 | ---- | C] () -- C:\Windows\System32\drivers\HOTKEY.sys
[2008/10/22 08:01:42 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll
[2008/10/22 07:59:51 | 000,004,480 | ---- | C] () -- C:\Windows\System32\drivers\SamSfPa.dat
[2008/10/22 07:59:51 | 000,000,392 | ---- | C] () -- C:\Windows\System32\drivers\RTMICAR.DAT
[2008/10/22 07:53:31 | 003,107,788 | ---- | C] () -- C:\Windows\System32\atiumdva.dat
[2008/10/22 07:53:31 | 000,159,744 | ---- | C] () -- C:\Windows\System32\atitmmxx.dll
[2008/10/22 07:53:30 | 000,172,033 | ---- | C] () -- C:\Windows\System32\atiicdxx.dat
[2008/10/22 07:53:30 | 000,090,112 | ---- | C] () -- C:\Windows\System32\atibrtmon.exe
[2008/10/22 07:12:15 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2008/04/25 09:23:38 | 000,012,288 | ---- | C] () -- C:\Windows\System32\EvOnlDiag.dll
[2008/01/21 03:15:58 | 000,632,594 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2008/01/21 03:15:58 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2008/01/21 03:15:58 | 000,128,406 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2008/01/21 03:15:58 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2006/11/02 08:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006/11/02 08:47:37 | 000,296,064 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006/11/02 08:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006/11/02 06:33:01 | 000,599,528 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006/11/02 06:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006/11/02 06:33:01 | 000,105,404 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006/11/02 06:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006/11/02 06:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006/11/02 04:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006/11/02 04:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006/11/02 03:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006/11/02 03:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
 
========== LOP Check ==========
 
[2012/04/26 19:43:05 | 000,000,000 | ---D | M] -- C:\Users\Carolin Tönnihsen\AppData\Roaming\Daopnajpqa
[2011/06/05 15:16:53 | 000,000,000 | ---D | M] -- C:\Users\Carolin Tönnihsen\AppData\Roaming\Roads Of Rome
[2012/04/26 13:32:48 | 000,000,000 | ---D | M] -- C:\Users\Carolin Tönnihsen\AppData\Roaming\Simply Super Software
[2009/03/11 16:51:27 | 000,000,000 | ---D | M] -- C:\Users\Carolin Tönnihsen\AppData\Roaming\Template
[2009/03/11 13:52:11 | 000,000,000 | -HSD | M] -- C:\ProgramData\Anwendungsdaten
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Application Data
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Desktop
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Documents
[2009/03/11 13:52:11 | 000,000,000 | -HSD | M] -- C:\ProgramData\Dokumente
[2009/03/11 13:52:11 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favoriten
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favorites
[2009/03/11 17:39:42 | 000,000,000 | ---D | M] -- C:\ProgramData\fsc
[2011/05/25 15:53:29 | 000,000,000 | ---D | M] -- C:\ProgramData\HDBR31
[2012/03/06 16:50:41 | 000,000,000 | ---D | M] -- C:\ProgramData\Playrix Entertainment
[2012/04/26 13:32:48 | 000,000,000 | ---D | M] -- C:\ProgramData\Simply Super Software
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Start Menu
[2009/03/11 13:52:11 | 000,000,000 | -HSD | M] -- C:\ProgramData\Startmenü
[2011/12/12 04:24:04 | 000,000,000 | ---D | M] -- C:\ProgramData\TEMP
[2006/11/02 09:02:04 | 000,000,000 | -HSD | M] -- C:\ProgramData\Templates
[2012/01/22 03:33:48 | 000,000,000 | ---D | M] -- C:\ProgramData\tmp
[2009/03/11 13:52:11 | 000,000,000 | -HSD | M] -- C:\ProgramData\Vorlagen
[2012/02/17 15:42:12 | 000,000,000 | ---D | M] -- C:\ProgramData\WindowsSearch
[2009/03/11 14:07:39 | 000,000,000 | ---D | M] -- C:\ProgramData\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}
[2012/04/26 19:49:38 | 000,032,534 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
< End of report >

--- --- ---

markusg · 27.04.2012, 19:40

kommt ihr wieder normal in windows rein? wenn ja:
mache ein backup deiner dateien die verschlüsselt sind
dann entschlüsseln:
http://www.trojaner-board.de/114224-...-unlocker.html
teile mir mit obs geklappt hatt

Stilgar · 28.04.2012, 11:35

Hallo Markus,

es hat alles wunderbar geklappt. Die Dateien sind wieder nutzbar. Vielen vielen Dank für eure Hilfe!

Gruß

Stilgar

markusg · 30.04.2012, 15:22

gerne.
alle dateien getestet?

Stilgar · 30.04.2012, 17:40

Ja, alles getestet. Funktioniert wieder einwandfrei.

markusg · 01.05.2012, 15:22

wenn weitere mails rein kommen, an mich senden bitte.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

26.04.2012, 18:27	#4
markusg /// Malware-holic	Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert versuchs mal ohne mein script __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

27.04.2012, 19:40	#6
markusg /// Malware-holic	Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert kommt ihr wieder normal in windows rein? wenn ja: mache ein backup deiner dateien die verschlüsselt sind dann entschlüsseln: http://www.trojaner-board.de/114224-...-unlocker.html teile mir mit obs geklappt hatt __________________ --> Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert

30.04.2012, 15:22	#8
markusg /// Malware-holic	Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert gerne. alle dateien getestet? __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert

Plagegeister aller Art und deren Bekämpfung: Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert