Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.04.2012, 17:54   #1
Stilgar
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Ausrufezeichen

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



Hallo zusammen,

meine Freundin hat heute morgen eine E-Mail erhalten und den Anhang (eine Zahlungsaufforderung) geöffnet. Seitdem ist ihr Laptop von einem Windows-Verschlüsselungs Trojaner infiziert.

Dieser verlangt eine Zahlung von 50,00 Euro, um die von ihm verschlüsselten Dateien wieder zu entschlüsseln.

Der Bildschirm zeigt nur noch diese Meldung an. Ansonsten kann man mit dem Laptop nichts mehr machen. Betriebssystem ist (leider ;-)) Windows Vista. Welche Version weiß ich nicht.

Ich schreibe diese Mail jetzt von meinem Computer. Es ist also für mögliche Reparaturen ein Zweitcomputer mit Internetzugang vorhanden.

Sie macht sich große Sorgen, da sie in dem Moment, als das ganze passierte im Internetbenking eingeloggt war. Kann da etwas passiert sein?

Ich bitte höflich um Hilfe.

Vielen Dank im Voraus.

Mit freundlichen Grüßen

Stilgar

Alt 25.04.2012, 21:06   #2
markusg
/// Malware-holic
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



banking sperren lassen bitte, dieser trojaner ist neu, und verfügt über einige zusatz funktionen die evtl. auch datenklau möglich machen.
könnt ihr die mail weiterleiten an:
http://markusg.trojaner-board.de
bitte euren nutzernamen angeben.

desweiteren:


Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLpe Download OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.
__________________

__________________

Alt 26.04.2012, 18:15   #3
Stilgar
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



Hallo Markus,

das hat leider nicht funktioniert. OTLPE stürzt auf dem Laptop meiner Freundin während des Scans mit der Meldung "out of memory" ab.

Habe es jetzt dreimal probiert. Gibt es eine andere Möglichkeit?

Mit freundlichen Grüßen

Stilgar
__________________

Alt 26.04.2012, 19:27   #4
markusg
/// Malware-holic
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



versuchs mal ohne mein script
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 27.04.2012, 19:00   #5
Stilgar
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



Hat funktioniert. Vielen Dank. Hier der Inhalt des Textdokumentes:OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 4/27/2012 8:27:34 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Windows Vista (TM) Home Premium Service Pack 2 (Version = 6.0.6002) - Type = System
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 90.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 94.16 Gb Total Space | 38.80 Gb Free Space | 41.21% Space Free | Partition Type: NTFS
Drive D: | 195.14 Gb Total Space | 194.93 Gb Free Space | 99.89% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2012/04/20 10:09:02 | 003,065,120 | ---- | M] (Emsisoft GmbH) [Auto] -- C:\Program Files\Emsisoft Anti-Malware\a2service.exe -- (a2AntiMalware)
SRV - [2011/06/28 16:55:22 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/05/01 16:10:59 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008/04/25 09:23:36 | 000,303,104 | ---- | M] (Fujitsu Siemens Computers) [Auto] -- C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe -- (TestHandler)
SRV - [2008/01/20 22:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2008/01/15 09:51:44 | 000,118,784 | ---- | M] (Wistron Corp.) [On_Demand] -- C:\Program Files\Launch Manager\WisLMSvc.exe -- (WisLMSvc)
SRV - [2007/06/04 10:20:38 | 000,065,536 | ---- | M] () [Auto] -- C:\Program Files\Fujitsu Siemens Computers\FSCLounge\FSCWBaseUpdaterService\2\FSCWBaseUpdaterService.exe -- (FSCLBaseUpdaterService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand] --  -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand] --  -- (IpInIp)
DRV - [2011/11/02 05:13:12 | 000,051,632 | ---- | M] (Emsi Software GmbH) [File_System | On_Demand] -- C:\Program Files\Emsisoft Anti-Malware\a2accx86.sys -- (a2acc)
DRV - [2011/06/28 16:55:24 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/06/28 16:55:24 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011/05/19 08:10:34 | 000,017,904 | ---- | M] (Emsi Software GmbH) [Kernel | System] -- C:\Program Files\Emsisoft Anti-Malware\a2ddax86.sys -- (A2DDA)
DRV - [2010/06/23 03:21:32 | 000,259,176 | ---- | M] (Realtek                                            ) [Kernel | On_Demand] -- C:\Windows\System32\drivers\Rtlh86.sys -- (RTL8169)
DRV - [2009/09/05 08:25:36 | 001,183,744 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2009/05/11 05:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/02/13 06:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008/06/03 18:35:26 | 003,695,104 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag)
DRV - [2008/05/27 07:55:54 | 000,173,576 | ---- | M] (AMD Technologies Inc.) [Kernel | Boot] -- C:\Windows\System32\drivers\ahcix86s.sys -- (ahcix86s)
DRV - [2008/04/28 03:26:42 | 000,014,352 | ---- | M] (ATI Technologies Inc.) [Kernel | Boot] -- C:\Windows\System32\drivers\AtiPcie.sys -- (AtiPcie) ATI PCI Express (3GIO)
DRV - [2008/04/11 11:55:04 | 000,084,240 | ---- | M] (JMicron Technology Corp.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\jmcr.sys -- (JMCR)
DRV - [2008/04/03 08:58:46 | 000,076,688 | ---- | M] (JMicron Technology Corp.) [Kernel | Disabled] -- C:\Windows\system32\drivers\jraid.sys -- (JRAID)
DRV - [2003/04/28 05:27:06 | 000,009,867 | ---- | M] () [Kernel | System] -- C:\Windows\System32\drivers\HOTKEY.sys -- (Hotkey)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = iGoogle
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = Google
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = iGoogle
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Carolin_Tönnihsen_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKU\Carolin_Tönnihsen_ON_C\Software\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\Carolin_Tönnihsen_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\System32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3:  File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9:  File not found
 
 
 
O1 HOSTS File: ([2006/09/18 17:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [FSCRecovery] C:\Program Files\Fujitsu Siemens Computers\Fujitsu Siemens Computers Recovery\FSCRecoveryReminder.exe (Fujitsu Siemens Computers GmbH)
O4 - HKLM..\Run: [Google EULA Launcher] C:\Program Files\Google\Google EULA\GoogleEULALauncher.exe ( )
O4 - HKLM..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe (Wistron)
O4 - HKLM..\Run: [LanguageShortcut] C:\Program Files\CyberLink\PowerDVD\Language\Language.exe ()
O4 - HKLM..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe ()
O4 - HKLM..\Run: [LMgrVolOSD] C:\Program Files\Launch Manager\OSD.exe (Wistron Corp.)
O4 - HKLM..\Run: [NPCTray]  File not found
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe (Synaptics, Inc.)
O4 - HKLM..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe (Simply Super Software)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKLM..\Run: [WisKeyState] C:\Program Files\Launch Manager\WisKeyState.exe (Wistron Corp.)
O4 - HKU\.DEFAULT..\Run: [fsc-reg]  File not found
O4 - HKU\.DEFAULT..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (Google Inc.)
O4 - HKU\Carolin_Tönnihsen_ON_C..\Run: [Google Update]  File not found
O4 - HKU\Carolin_Tönnihsen_ON_C..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (Google Inc.)
O4 - HKU\LocalService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\NetworkService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O7 - HKU\Carolin_Tönnihsen_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O13 - gopher Prefix: missing
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} https://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab (CeWe Color AG & Co. OHG Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL) - C:\Program Files\Google\Google Desktop Search\GoogleDesktopNetwork3.dll (Google)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: 
O24 - Desktop BackupWallPaper: 
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/09/18 17:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{258f89de-d173-11df-8fc9-001f160fcdf8}\Shell - "" = AutoRun
O33 - MountPoints2\{258f89de-d173-11df-8fc9-001f160fcdf8}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O33 - MountPoints2\G\Shell - "" = AutoRun
O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/04/26 19:46:02 | 000,000,000 | ---D | C] -- C:\Users\Carolin Tönnihsen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink PowerDVD
[2012/04/26 13:33:05 | 000,000,000 | ---D | C] -- C:\Users\Carolin Tönnihsen\Documents\Simply Super Software
[2012/04/26 13:32:50 | 000,598,528 | ---- | C] (Igor Pavlov) -- C:\Windows\System32\ztv7z.dll
[2012/04/26 13:32:50 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Trojan Remover
[2012/04/26 13:32:49 | 000,069,632 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ztvcabinet.dll
[2012/04/26 13:32:48 | 000,000,000 | ---D | C] -- C:\Program Files\Trojan Remover
[2012/04/26 13:32:48 | 000,000,000 | ---D | C] -- C:\Users\Carolin Tönnihsen\AppData\Roaming\Simply Super Software
[2012/04/26 13:32:48 | 000,000,000 | ---D | C] -- C:\ProgramData\Simply Super Software
[2012/04/26 13:31:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Emsisoft Anti-Malware
[2012/04/26 13:31:38 | 000,000,000 | ---D | C] -- C:\Program Files\Emsisoft Anti-Malware
[2012/04/26 13:31:38 | 000,000,000 | ---D | C] -- C:\Users\Carolin Tönnihsen\Documents\Anti-Malware
[2012/04/26 13:31:31 | 012,137,424 | ---- | C] (Simply Super Software                                       ) -- C:\Users\Carolin Tönnihsen\Desktop\trojan_remover_setup683.exe
[2012/04/26 13:31:22 | 125,625,456 | ---- | C] (Emsisoft GmbH                                               ) -- C:\Users\Carolin Tönnihsen\Desktop\EmsisoftAntiMalwareSetup.exe
[2012/04/25 06:25:25 | 000,000,000 | ---D | C] -- C:\Users\Carolin Tönnihsen\AppData\Roaming\Daopnajpqa
[2012/04/25 06:25:17 | 000,000,000 | ---D | C] -- C:\Users\Carolin Tönnihsen\AppData\Roaming\Realtec
[2012/04/21 03:05:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office Live Add-in
[2012/04/21 03:05:39 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft
[2012/04/17 14:37:34 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle for Wesnoth 1.10.2
[2012/04/17 14:34:04 | 000,000,000 | ---D | C] -- C:\Program Files\Battle for Wesnoth 1.10.2
[2012/04/12 06:07:15 | 002,382,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2012/04/12 06:07:13 | 001,799,168 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript9.dll
[2012/04/12 06:07:13 | 000,716,800 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript.dll
[2012/04/12 06:07:12 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2012/04/12 06:07:11 | 001,427,456 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl
[2012/04/12 06:07:11 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2012/04/12 06:07:11 | 000,065,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2012/04/12 06:03:23 | 003,550,080 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2012/04/12 06:03:22 | 003,602,816 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/04/26 19:49:43 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012/04/26 19:46:06 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012/04/26 19:45:25 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012/04/26 19:45:25 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012/04/26 19:45:14 | 2950,742,016 | -HS- | M] () -- C:\hiberfil.sys
[2012/04/26 13:32:51 | 000,000,942 | ---- | M] () -- C:\Users\Public\Desktop\Trojan Remover.lnk
[2012/04/26 13:32:51 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Trojan Remover
[2012/04/26 13:32:23 | 000,632,594 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012/04/26 13:32:23 | 000,599,528 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012/04/26 13:32:23 | 000,128,406 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012/04/26 13:32:23 | 000,105,404 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012/04/26 13:32:00 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Emsisoft Anti-Malware
[2012/04/26 13:31:59 | 000,000,918 | ---- | M] () -- C:\Users\Carolin Tönnihsen\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Emsisoft Anti-Malware.lnk
[2012/04/26 13:31:59 | 000,000,894 | ---- | M] () -- C:\Users\Public\Desktop\Emsisoft Anti-Malware.lnk
[2012/04/26 12:29:50 | 125,625,456 | ---- | M] (Emsisoft GmbH                                               ) -- C:\Users\Carolin Tönnihsen\Desktop\EmsisoftAntiMalwareSetup.exe
[2012/04/26 12:29:06 | 012,137,424 | ---- | M] (Simply Super Software                                       ) -- C:\Users\Carolin Tönnihsen\Desktop\trojan_remover_setup683.exe
[2012/04/26 11:03:56 | 000,000,680 | ---- | M] () -- C:\Users\Carolin Tönnihsen\AppData\Local\d3d9caps.dat
[2012/04/25 13:21:35 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012/04/25 11:49:03 | 000,001,168 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2453622059-3625834456-1842735342-1000UA.job
[2012/04/25 06:32:19 | 000,823,542 | ---- | M] () -- C:\Users\Carolin Tönnihsen\Desktop\locked-Tetris.exe.gdef
[2012/04/25 06:32:18 | 002,390,835 | ---- | M] () -- C:\Users\Carolin Tönnihsen\Desktop\locked-OnlineCodex.jar.plrv
[2012/04/25 06:32:18 | 001,220,878 | ---- | M] () -- C:\Users\Carolin Tönnihsen\Desktop\locked-OnlineCodexWHFB.jar.love
[2012/04/25 06:31:51 | 008,288,585 | ---- | M] () -- C:\Users\Carolin Tönnihsen\Desktop\locked-Lamekh's Online Codex.jar.zwpb
[2012/04/25 06:31:50 | 006,437,412 | ---- | M] () -- C:\Users\Carolin Tönnihsen\Desktop\locked-Helden.jar.ajng
[2012/04/24 12:54:14 | 000,001,116 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2453622059-3625834456-1842735342-1000Core.job
[2012/04/21 03:05:39 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office Live Add-in
[2012/04/17 14:37:34 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle for Wesnoth 1.10.2
[2012/04/12 06:07:01 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Works
[2012/04/01 07:28:15 | 000,001,782 | ---- | M] () -- C:\Users\Public\Desktop\FOTOParadies.lnk
[2012/04/01 07:28:15 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FOTOParadies
[2 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/04/26 19:45:14 | 2950,742,016 | -HS- | C] () -- C:\hiberfil.sys
[2012/04/26 13:32:51 | 000,000,942 | ---- | C] () -- C:\Users\Public\Desktop\Trojan Remover.lnk
[2012/04/26 13:32:50 | 000,178,176 | ---- | C] () -- C:\Windows\System32\ztvunrar39.dll
[2012/04/26 13:32:50 | 000,162,304 | ---- | C] () -- C:\Windows\System32\ztvunrar36.dll
[2012/04/26 13:32:50 | 000,077,312 | ---- | C] () -- C:\Windows\System32\ztvunace26.dll
[2012/04/26 13:32:49 | 000,153,088 | ---- | C] () -- C:\Windows\System32\UNRAR3.dll
[2012/04/26 13:32:49 | 000,075,264 | ---- | C] () -- C:\Windows\System32\unacev2.dll
[2012/04/26 13:31:59 | 000,000,918 | ---- | C] () -- C:\Users\Carolin Tönnihsen\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Emsisoft Anti-Malware.lnk
[2012/04/26 13:31:59 | 000,000,894 | ---- | C] () -- C:\Users\Public\Desktop\Emsisoft Anti-Malware.lnk
[2011/05/15 05:27:09 | 000,000,680 | ---- | C] () -- C:\Users\Carolin Tönnihsen\AppData\Local\d3d9caps.dat
[2011/01/01 09:25:10 | 000,006,144 | ---- | C] () -- C:\Users\Carolin Tönnihsen\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/04/18 12:43:50 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI
[2009/12/03 03:27:30 | 000,080,416 | ---- | C] () -- C:\Windows\System32\RtNicProp32.dll
[2009/09/20 05:32:34 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll
[2009/09/20 05:32:34 | 000,107,612 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2009/03/11 16:51:09 | 000,000,000 | ---- | C] () -- C:\Users\Carolin Tönnihsen\AppData\Roaming\wklnhst.dat
[2009/03/11 14:07:09 | 000,000,342 | ---- | C] () -- C:\Windows\{9A3BC157-B94F-4EFD-ABA9-1E56DEB00655}_WiseFW.ini
[2008/10/22 08:26:17 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2008/10/22 08:02:51 | 000,009,867 | ---- | C] () -- C:\Windows\System32\drivers\HOTKEY.sys
[2008/10/22 08:01:42 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll
[2008/10/22 07:59:51 | 000,004,480 | ---- | C] () -- C:\Windows\System32\drivers\SamSfPa.dat
[2008/10/22 07:59:51 | 000,000,392 | ---- | C] () -- C:\Windows\System32\drivers\RTMICAR.DAT
[2008/10/22 07:53:31 | 003,107,788 | ---- | C] () -- C:\Windows\System32\atiumdva.dat
[2008/10/22 07:53:31 | 000,159,744 | ---- | C] () -- C:\Windows\System32\atitmmxx.dll
[2008/10/22 07:53:30 | 000,172,033 | ---- | C] () -- C:\Windows\System32\atiicdxx.dat
[2008/10/22 07:53:30 | 000,090,112 | ---- | C] () -- C:\Windows\System32\atibrtmon.exe
[2008/10/22 07:12:15 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2008/04/25 09:23:38 | 000,012,288 | ---- | C] () -- C:\Windows\System32\EvOnlDiag.dll
[2008/01/21 03:15:58 | 000,632,594 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2008/01/21 03:15:58 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2008/01/21 03:15:58 | 000,128,406 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2008/01/21 03:15:58 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2006/11/02 08:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006/11/02 08:47:37 | 000,296,064 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006/11/02 08:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006/11/02 06:33:01 | 000,599,528 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006/11/02 06:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006/11/02 06:33:01 | 000,105,404 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006/11/02 06:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006/11/02 06:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006/11/02 04:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006/11/02 04:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006/11/02 03:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006/11/02 03:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
 
========== LOP Check ==========
 
[2012/04/26 19:43:05 | 000,000,000 | ---D | M] -- C:\Users\Carolin Tönnihsen\AppData\Roaming\Daopnajpqa
[2011/06/05 15:16:53 | 000,000,000 | ---D | M] -- C:\Users\Carolin Tönnihsen\AppData\Roaming\Roads Of Rome
[2012/04/26 13:32:48 | 000,000,000 | ---D | M] -- C:\Users\Carolin Tönnihsen\AppData\Roaming\Simply Super Software
[2009/03/11 16:51:27 | 000,000,000 | ---D | M] -- C:\Users\Carolin Tönnihsen\AppData\Roaming\Template
[2009/03/11 13:52:11 | 000,000,000 | -HSD | M] -- C:\ProgramData\Anwendungsdaten
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Application Data
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Desktop
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Documents
[2009/03/11 13:52:11 | 000,000,000 | -HSD | M] -- C:\ProgramData\Dokumente
[2009/03/11 13:52:11 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favoriten
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favorites
[2009/03/11 17:39:42 | 000,000,000 | ---D | M] -- C:\ProgramData\fsc
[2011/05/25 15:53:29 | 000,000,000 | ---D | M] -- C:\ProgramData\HDBR31
[2012/03/06 16:50:41 | 000,000,000 | ---D | M] -- C:\ProgramData\Playrix Entertainment
[2012/04/26 13:32:48 | 000,000,000 | ---D | M] -- C:\ProgramData\Simply Super Software
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Start Menu
[2009/03/11 13:52:11 | 000,000,000 | -HSD | M] -- C:\ProgramData\Startmenü
[2011/12/12 04:24:04 | 000,000,000 | ---D | M] -- C:\ProgramData\TEMP
[2006/11/02 09:02:04 | 000,000,000 | -HSD | M] -- C:\ProgramData\Templates
[2012/01/22 03:33:48 | 000,000,000 | ---D | M] -- C:\ProgramData\tmp
[2009/03/11 13:52:11 | 000,000,000 | -HSD | M] -- C:\ProgramData\Vorlagen
[2012/02/17 15:42:12 | 000,000,000 | ---D | M] -- C:\ProgramData\WindowsSearch
[2009/03/11 14:07:39 | 000,000,000 | ---D | M] -- C:\ProgramData\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}
[2012/04/26 19:49:38 | 000,032,534 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
< End of report >
         
--- --- ---


Alt 27.04.2012, 20:40   #6
markusg
/// Malware-holic
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



kommt ihr wieder normal in windows rein? wenn ja:
mache ein backup deiner dateien die verschlüsselt sind
dann entschlüsseln:
http://www.trojaner-board.de/114224-...-unlocker.html
teile mir mit obs geklappt hatt
__________________
--> Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert

Alt 28.04.2012, 12:35   #7
Stilgar
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



Hallo Markus,

es hat alles wunderbar geklappt. Die Dateien sind wieder nutzbar. Vielen vielen Dank für eure Hilfe!

Gruß

Stilgar

Alt 30.04.2012, 16:22   #8
markusg
/// Malware-holic
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



gerne.
alle dateien getestet?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 30.04.2012, 18:40   #9
Stilgar
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



Ja, alles getestet. Funktioniert wieder einwandfrei.

Alt 01.05.2012, 16:22   #10
markusg
/// Malware-holic
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



wenn weitere mails rein kommen, an mich senden bitte.
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
anhang, betriebssystem, bildschirm, dateien, e-mail, erhalte, euro, freundin, hallo zusammen, heute, infiziert, interne, internetzugang, laptop, meldung, morgen, mögliche, nichts, sorge, troja, trojaner, verlangt, version, zugang, zusammen



Ähnliche Themen: Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert


  1. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Plagegeister aller Art und deren Bekämpfung - 28.06.2012 (1)
  2. Sie haben sich mit einem Windows Verschlüsselungs Trojaner infiziert.
    Log-Analyse und Auswertung - 18.06.2012 (9)
  3. OTL.txt ""sie haben sich mit einem windows-verschlüsselungs trojaner infiziert", ich bitte um hilfe.
    Log-Analyse und Auswertung - 10.06.2012 (3)
  4. Windows XP: "Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert."
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (2)
  5. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert. XP
    Alles rund um Windows - 10.06.2012 (2)
  6. sie haben sich mit einem windows verschlüsselungs trojaner infiziert
    Log-Analyse und Auswertung - 31.05.2012 (1)
  7. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 31.05.2012 (1)
  8. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 28.05.2012 (15)
  9. Sie haben sich mit einem Windows Verschlüsselungs Trojaner infiziert. PC reinigen.
    Log-Analyse und Auswertung - 23.05.2012 (9)
  10. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 17.05.2012 (2)
  11. sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 11.05.2012 (27)
  12. Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 100€ Paysafe
    Log-Analyse und Auswertung - 05.05.2012 (11)
  13. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 04.05.2012 (15)
  14. Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash
    Log-Analyse und Auswertung - 04.05.2012 (9)
  15. Sie haben sich mit einem windows-verschlüsselungs trojaner infiziert
    Plagegeister aller Art und deren Bekämpfung - 27.04.2012 (7)
  16. Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert uKash
    Log-Analyse und Auswertung - 27.04.2012 (1)
  17. Sie haben sich mit einen Windows-Verschlüsselungs-Trojaner infiziert.
    Plagegeister aller Art und deren Bekämpfung - 27.04.2012 (10)

Zum Thema Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Hallo zusammen, meine Freundin hat heute morgen eine E-Mail erhalten und den Anhang (eine Zahlungsaufforderung) geöffnet. Seitdem ist ihr Laptop von einem Windows-Verschlüsselungs Trojaner infiziert. Dieser verlangt eine Zahlung von - Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert...
Archiv
Du betrachtest: Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.