Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.04.2012, 11:24   #1
salu_salu
 
Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista - Standard

Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista



Liebe Helfer auf dem Trojaner-Board,

nachdem ich dummerweise den Anhang einer Mail mit dem Betreff Telekomrechnung Nr 569837998 von der Adresse dsap@arcor.de und dem Anhang zip Telekom-Rechnung (37,5 KB) geöffnet habe zeigt mein Laptop (Lenovo G550, Windows Vista) sofort nach dem Start einen Bildschirm mit dem Hinweis, dass der Rechner mit einem Windows-Verschlüsselungstrojaner infiziert ist und ich einen 50 Euro U-Cash Code eingeben soll.

Der Rechner startet im Moment nur im abgesicherten Modus, dort ist er aber stabil.

Kann mir bitte jemand weiterhelfen? Wie soll ich nun am besten weitermachen? Wie bekomme ich z.B. die oben aufgelisteten Programme Malwarebyte und Decrypthelper auf den infizierten Laptop ohne das Ersatzgerät (leider ohne Brenner) ebenfalls zu infizieren?

Danke für jede Hilfe!

salu_salu

Alt 30.04.2012, 11:41   #2
Chris4You
 
Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista - Standard

Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista



Hi,

per USB-Stick!
OTL bzw. MAM und den Decrypter auf den USB-Stick kopieren, dann an den verseuchten Rechner anschließen (kommst Du dort nicht in den abgesicherten Modus mit Netzwerkunterstützung?).
Logs zurück auf den USB-Stick kopieren, beim Anschließen des Sticks an den nicht verseuchten Rechner die SHIFT-Taste solange drücken, bis alles erkannt wurde (USB-Stick/Laufwerke) [das unterdrückt den autorun!]...

Alternativ kannst Du auch vorher den Flashdesinfector loslassen, der hinterlässt eine nicht so einfach überschreibbare autorun-Datei auf dem Stick...
Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen...
http://www.techsupportforum.com/sect...isinfector.exe
oder

http://download.bleepingcomputer.com...isinfector.exe

Trenne den Rechner physikalisch vom Netz.
Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer.
Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden). Die Shift-Taste solange gedrückt halten, bis die Laufwerke erkannt sind!
Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
Wenn der Scan zuende ist, kannst du das Programm schließen.
Starte Deinen Rechner neu.

chris
__________________

__________________

Alt 30.04.2012, 12:32   #3
salu_salu
 
Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista - Standard

Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista



Hi Chris,

Danke für die guten Infos.

Zitat:
Zitat von Chris4You Beitrag anzeigen
Hi,

... (kommst Du dort nicht in den abgesicherten Modus mit Netzwerkunterstützung?).
Mittlerweile ist es mir tatsächlich gelungen, den Rechner im abgesicherten Modus mit Netzwerkunterstützung zu starten und einen Laptop mit Brenner auszuleihen.

Gerade läuft MAM. Sobald ich alle LOGs habe würde ich mich wieder melden.

Danke für die Unterstützung und die Infos mit dem USB-Stick hab ich mir schon gespeichert. Das ist auch sonst nützlich.

Viele Grüße
salu_salu

Hallo Chris,

hier bin ich wieder, leicht verwirrt.

Anbei das Logfile von Malwarbytes Quickscan und Vollscan.
Zitat:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.30.03

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
SL :: SL-PC [Administrator]

Schutz: Deaktiviert

30.04.2012 22:39:08
mbam-log-2012-04-30 (22-39-08).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 193600
Laufzeit: 2 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
und vollscan

Zitat:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.30.03

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
SL :: SL-PC [Administrator]

Schutz: Deaktiviert

30.04.2012 18:25:39
mbam-log-2012-04-30 (18-25-39).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 411529
Laufzeit: 54 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Soweit ich das verstehe gab es beides mal kein Ergebnis.
Kann das sein?

Danke für deine weitere Unterstützung!

salu_salu

Hallo Chris,

hier bin ich wieder, leicht verwirrt.

Anbei das Logfile von Malwarbytes Quickscan und Vollscan.
Zitat:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.30.03

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
SL :: SL-PC [Administrator]

Schutz: Deaktiviert

30.04.2012 22:39:08
mbam-log-2012-04-30 (22-39-08).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 193600
Laufzeit: 2 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
und vollscan

Zitat:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.30.03

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
SL :: SL-PC [Administrator]

Schutz: Deaktiviert

30.04.2012 18:25:39
mbam-log-2012-04-30 (18-25-39).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 411529
Laufzeit: 54 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Soweit ich das verstehe gab es beides mal kein Ergebnis.
Kann das sein?

Danke für deine weitere Unterstützung!

salu_salu

Hallo, es tut mir leid, dass das so ein Posting Chaos ist. Die Logfiles sind in der alten Antwort.

Viele Grüße
salu_salu

Hallo Chris,

hier bin ich wieder, leicht verwirrt.

Anbei das Logfile von Malwarbytes Quickscan und Vollscan.
Zitat:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.30.03

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
SL :: SL-PC [Administrator]

Schutz: Deaktiviert

30.04.2012 22:39:08
mbam-log-2012-04-30 (22-39-08).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 193600
Laufzeit: 2 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
und vollscan

Zitat:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.30.03

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
SL :: SL-PC [Administrator]

Schutz: Deaktiviert

30.04.2012 18:25:39
mbam-log-2012-04-30 (18-25-39).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 411529
Laufzeit: 54 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Soweit ich das verstehe gab es beides mal kein Ergebnis.
Kann das sein?

Danke für deine weitere Unterstützung!

salu_salu

Guten Morgen,
jetzt bin ich hoffentlich schon einen Schritt weiter. Nachdem gestern die Scans nichts erbracht haben, habe ich heute morgen den Computer neu gestartet (Normalmodus) und dort den MAM laufen lassen. Diesmal mit dem Häckchen bei den P2P Programmen und der aktuellen Version von heute morgen. Jetzt wurden zwei infizierte Dateien gefunden, die ich entfernt habe. Soll ich sie auch aus der Quarantäne löschen?

Beim Neustart war nur der abgesicherte Modus mit Netzwerkgriff möglich, im Normalmodus hängte sich sofort alles auf auch das MAM und das Entschlüsselungsprogramm.
Das Logfile für MAM sieht so aus
Zitat:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.01.04

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
SL :: SL-PC [Administrator]

Schutz: Deaktiviert

01.05.2012 07:30:30
mbam-log-2012-05-01 (07-30-30).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P
Deaktivierte Suchlaufeinstellungen:
Durchsuchte Objekte: 193515
Laufzeit: 4 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|B6379CCA (Trojan.Agent.SZ) -> Daten: C:\Users\SL\AppData\Roaming\Kpsrc\31F66654B6379CCA1F08.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\SL\AppData\Roaming\Kpsrc\31F66654B6379CCA1F08.exe (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Ich habe jetzt begonnen die Dateien mit dem DecryptHelper von Mathias zu entschlüsseln, das klappt ganz gut. Nur auf Festplatte C: mit Programmen etc. klappt es manchmal bei den Java Dateien nicht.
Ist das Vorgehen soweit o.k.? Kann ich so weiter machen oder gibt es einen besseren Weg?

Viele Grüße und Danke für jede weitere Hilfe.
salu_salu
__________________

Alt 01.05.2012, 13:07   #4
Chris4You
 
Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista - Standard

Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista



Hi,

soweit ok...
Wie bist Du zu dem Teil gekommen, einen Anhang geöffnet (z.B Rechnung.exe oder plötzlich beim Surfen)?
Ich frage, weil das wie ein Konstrukt aus Downloader (der Sicherheitslücken ausnutzt) und dem eigentlichen Trojaner (der nachgeladen wird) aussieht.
Welche Probleme hast du bei JAVA-Programmen?
Poste bitte noch ein OTL-Log...

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
  • Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)
  • Poste die Logfiles hier in den Thread

Mit welchen Tool/Einstellung entschlüsselst Du?

So, bin dann wieder off, habe mir eine Grippe eingefangen und Schwanke so zwischen Schüttelfrost und Fieber hin- und her...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 01.05.2012, 14:01   #5
salu_salu
 
Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista - Standard

Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista



Hallo Chris,
Danke für die Hilfe trotz Grippe. Ich wünsche dir gute Besserung.

Das OTM LOG kommt. Im Momenet bin ich noch mit Entschlüsseln beschäftigt. Dazu nutze ich das von Euch empfohlene Programm von Mathias, DecryptHelper 0.5.2.

Bei manchen Java-Dateien meldet das Programm das der Name des Files zu kurz ist. Wenn so eine Meldung wieder auftaucht, notiere ich mir den genauen Wortlaut.

Und bei den Windows Dateien kommt es nicht wirklich weiter... mal sehen. Aber die mir wichtigen Thunderbird Dateien und ein paar persönliche Dokumente sind wieder frei und wenn alles einigermaßen sauber ist, kann man die sicher retten. Die wirklich wichtigen Dateien: Projekte, Diss, etc. liegen sicher auf dem Uni-Server.... puh....

Den Trojaner habe ich mir über einen Mailanhang eingefangen. Thunderbird hat noch geladen und ich wollte eigentlich den Anhang der vorhergehenden Mail aufmachen und habe mich verklickt. Bevor ich noch irgendwas stoppen konnte, war es schon zu spät. Die Mail kam von einer Arkoradresse und behauptete eine Telekomtelefonrechnung zu sein. Der Anhang war eine Zip-Datei die mit WinRar geöffnet wurde. Ich habe nichts extrahiert. Das Vorschaufenster hat schon gereicht....

Nochmal gute Besserung.
Viele Grüße
Salu_salu


Alt 03.05.2012, 21:30   #6
salu_salu
 
Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista - Standard

Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista



Hallo Chris,
hier bin ich wieder. Ich hoffe, Du bist wieder fit und hast dich gut erholt.

Ich musste die letzten beiden Tage arbeiten und konnte die Scans nicht so schnell abarbeiten, wie ich das gerne gemacht hätte.
Hier die Ergebnisse:
1) MAM hast Du schon gesehen.

2) Decrypt Helper hat funktioniert. alles scheint stabil zu laufen. Die Fehlermeldung für die JAVA Dateien war:
Zitat:
java.lang.lllegalArgumentException:Prefix string too short
ist das wichtig oder eher nicht?

3) defogger hat keine Fehlermeldung ergeben

4) DSS (dss und attach)

Die Ergebnisse finden sich im Anhang

5) gmer

Ergebnisse finden sich im Anhang

6) OTL (OTL und Extras)

Ergebnisse finden sich im Anhang

So, das wars. Im Moment wirkt alles normal aber ich trau dem Frieden nicht.

Alle Daten die ich wollte, sind sicher auf einer externen Festplatte : Fotos, Mailarchiv, Itunes, Bookmarks, Seriennummer der Forschungssoftware, etc. Datenverlust ist also nicht zu befürchten.

Soll ich das System komplett neu aufsetzen? Was wären die nächsten Schritte?

Danke für deine Unterstützung.

Viele Grüße
salu_salu

Alt 04.05.2012, 13:22   #7
Chris4You
 
Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista - Standard

Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista



Hi,

hattest Du schon früher mal einen Trojaner auf dem Rechner?
Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\Windows\System32\drivers\Wdkbdmou.sys
C:\Users\SL\AppData\Roaming\plac7600.exe
C:\Users\SL\Desktop\vo64u0ef.exe
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Fix für OTL:
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"
Code:
ATTFilter
:OTL
O1 - Hosts: ::1             localhost
O33 - MountPoints2\{4f8075af-2e30-11e1-ad8d-002622dc8f04}\Shell - "" = AutoRun
O33 - MountPoints2\{4f8075af-2e30-11e1-ad8d-002622dc8f04}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{4f8075d3-2e30-11e1-ad8d-001e101f1f81}\Shell - "" = AutoRun
O33 - MountPoints2\{4f8075d3-2e30-11e1-ad8d-001e101f1f81}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{562a78e7-0592-11df-b18c-002622c8fc1a}\Shell - "" = AutoRun
O33 - MountPoints2\{562a78e7-0592-11df-b18c-002622c8fc1a}\Shell\AutoRun\command - "" = F:\setup.exe AUTORUN=1
O33 - MountPoints2\{631516c2-3ce7-11db-acfe-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{631516c2-3ce7-11db-acfe-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{631516c2-3ce7-11db-acfe-806d6172696f}\Shell\AutoRun\command - "" = D:\AUTORUN\AUTORUN.EXE
O33 - MountPoints2\{73501085-33b7-11e1-8892-001e101f4e71}\Shell - "" = AutoRun
O33 - MountPoints2\{73501085-33b7-11e1-8892-001e101f4e71}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{dd27fe77-c22b-11df-bb02-002622dc8f04}\Shell - "" = AutoRun
O33 - MountPoints2\{dd27fe77-c22b-11df-bb02-002622dc8f04}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\Start.hta
@Alternate Data Stream - 99 bytes -> C:\ProgramData\Temp:71FA8B7F
@Alternate Data Stream - 97 bytes -> C:\ProgramData\Temp:73CF0D7D
@Alternate Data Stream - 95 bytes -> C:\ProgramData\Temp:89C2A42C
@Alternate Data Stream - 249 bytes -> C:\ProgramData\Temp:258D2F8B
@Alternate Data Stream - 234 bytes -> C:\ProgramData\Temp:5C4A588B
@Alternate Data Stream - 232 bytes -> C:\ProgramData\Temp:E99D1D3C
@Alternate Data Stream - 231 bytes -> C:\ProgramData\Temp:178093AE
@Alternate Data Stream - 231 bytes -> C:\ProgramData\Temp:014BC3B4
@Alternate Data Stream - 225 bytes -> C:\ProgramData\Temp:2216A431
@Alternate Data Stream - 224 bytes -> C:\ProgramData\Temp:05F547A9
@Alternate Data Stream - 223 bytes -> C:\ProgramData\Temp:D8F9D810
@Alternate Data Stream - 223 bytes -> C:\ProgramData\Temp:4149A170
@Alternate Data Stream - 218 bytes -> C:\ProgramData\Temp:76466F4C
@Alternate Data Stream - 218 bytes -> C:\ProgramData\Temp:2AE74FF9
@Alternate Data Stream - 216 bytes -> C:\ProgramData\Temp:124B94C0
@Alternate Data Stream - 215 bytes -> C:\ProgramData\Temp:7A032A04
@Alternate Data Stream - 215 bytes -> C:\ProgramData\Temp:073139EC
@Alternate Data Stream - 209 bytes -> C:\ProgramData\Temp:CA99FD89
@Alternate Data Stream - 209 bytes -> C:\ProgramData\Temp:6C049F97
@Alternate Data Stream - 208 bytes -> C:\ProgramData\Temp:490BCC52
@Alternate Data Stream - 205 bytes -> C:\ProgramData\Temp:CFF6B3FF
@Alternate Data Stream - 205 bytes -> C:\ProgramData\Temp:AC0528D9
@Alternate Data Stream - 205 bytes -> C:\ProgramData\Temp:8684F6F0
@Alternate Data Stream - 204 bytes -> C:\ProgramData\Temp:61AF2B29
@Alternate Data Stream - 202 bytes -> C:\ProgramData\Temp:CB0FEE2B
@Alternate Data Stream - 200 bytes -> C:\ProgramData\Temp:BACB6B6C
@Alternate Data Stream - 200 bytes -> C:\ProgramData\Temp:AFB24B00
@Alternate Data Stream - 199 bytes -> C:\ProgramData\Temp:EA701346
@Alternate Data Stream - 199 bytes -> C:\ProgramData\Temp:C86B29EB
@Alternate Data Stream - 193 bytes -> C:\ProgramData\Temp:4F96D8E6
@Alternate Data Stream - 185 bytes -> C:\ProgramData\Temp:453190EC
@Alternate Data Stream - 149 bytes -> C:\ProgramData\Temp:0B352B60
@Alternate Data Stream - 148 bytes -> C:\ProgramData\Temp:938EB9FC
@Alternate Data Stream - 147 bytes -> C:\ProgramData\Temp:AF24D911
@Alternate Data Stream - 147 bytes -> C:\ProgramData\Temp:908A1B53
@Alternate Data Stream - 147 bytes -> C:\ProgramData\Temp:2DF93164
@Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:88C0A705
@Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:71112705
@Alternate Data Stream - 145 bytes -> C:\ProgramData\Temp:CAF8DAC8
@Alternate Data Stream - 145 bytes -> C:\ProgramData\Temp:AD020DC3
@Alternate Data Stream - 145 bytes -> C:\ProgramData\Temp:93F3E4C9
@Alternate Data Stream - 143 bytes -> C:\ProgramData\Temp:79875988
@Alternate Data Stream - 143 bytes -> C:\ProgramData\Temp:3651A580
@Alternate Data Stream - 142 bytes -> C:\ProgramData\Temp:F1F936DF
@Alternate Data Stream - 142 bytes -> C:\ProgramData\Temp:91DEEE71
@Alternate Data Stream - 141 bytes -> C:\ProgramData\Temp:898D0B77
@Alternate Data Stream - 141 bytes -> C:\ProgramData\Temp:66871744
@Alternate Data Stream - 141 bytes -> C:\ProgramData\Temp:56F368C9
@Alternate Data Stream - 141 bytes -> C:\ProgramData\Temp:0785072C
@Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:FD38E906
@Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:EBCF5924
@Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:D93AABC7
@Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:AC733A73
@Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:A02025CE
@Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:2775F9E2
@Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:C76CFF82
@Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:C48A983C
@Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:ADFAD95A
@Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:9A8F071F
@Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:5F7DD688
@Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:583FE1DA
@Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:46A2F27B
@Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:149327FE
@Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:F19A4790
@Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:B4F0E275
@Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:6EE8565A
@Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:6423D635
@Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:0A74923C
@Alternate Data Stream - 137 bytes -> C:\ProgramData\Temp:CEE4A457
@Alternate Data Stream - 137 bytes -> C:\ProgramData\Temp:B722BCE5
@Alternate Data Stream - 136 bytes -> C:\ProgramData\Temp:EA1919C7
@Alternate Data Stream - 136 bytes -> C:\ProgramData\Temp:9D6EAEC3
@Alternate Data Stream - 136 bytes -> C:\ProgramData\Temp:217A2A36
@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:B3196E8D
@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:2EB79F01
@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:2C399CCA
@Alternate Data Stream - 134 bytes -> C:\ProgramData\Temp:0E22C5DB
@Alternate Data Stream - 134 bytes -> C:\ProgramData\Temp:0915A718
@Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:EC0279DC
@Alternate Data Stream - 132 bytes -> C:\ProgramData\Temp:D3A89E47
@Alternate Data Stream - 132 bytes -> C:\ProgramData\Temp:88AE8AB0
@Alternate Data Stream - 132 bytes -> C:\ProgramData\Temp:4A966CC2
@Alternate Data Stream - 132 bytes -> C:\ProgramData\Temp:00811B66
@Alternate Data Stream - 131 bytes -> C:\ProgramData\Temp:96646EC1
@Alternate Data Stream - 131 bytes -> C:\ProgramData\Temp:3C0887BF
@Alternate Data Stream - 130 bytes -> C:\ProgramData\Temp:DA18D4E3
@Alternate Data Stream - 130 bytes -> C:\ProgramData\Temp:56C66609
@Alternate Data Stream - 130 bytes -> C:\ProgramData\Temp:4A448DB2
@Alternate Data Stream - 129 bytes -> C:\ProgramData\Temp:1B3549F2
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:CE8A42A3
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:3790BACD
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:35629AE6
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:29861223
@Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:32A82570
@Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:10CFA7D4
@Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:0588E665
@Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:E2B84483
@Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:ADAD2FFE
@Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:A774141A
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:8DD20B4A
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:864881BF
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:378824DE
@Alternate Data Stream - 123 bytes -> C:\ProgramData\Temp:EC20549D
@Alternate Data Stream - 123 bytes -> C:\ProgramData\Temp:A0CB43B2
@Alternate Data Stream - 123 bytes -> C:\ProgramData\Temp:29C0641D
@Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:F43B7E8F
@Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:8DD36B71
@Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:3B07E6F4
@Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:ED9B661E
@Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:AE9351E0
@Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:7B2BB690
@Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:4111E573
@Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:2ADF9928
@Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:89F44603
@Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:3086B95F
@Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:041C0562
@Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:03D08225
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:9D03192E
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:063969F8
@Alternate Data Stream - 117 bytes -> C:\ProgramData\Temp:B1381B34
@Alternate Data Stream - 116 bytes -> C:\ProgramData\Temp:DD95E6D9
@Alternate Data Stream - 116 bytes -> C:\ProgramData\Temp:40EE25BB
@Alternate Data Stream - 116 bytes -> C:\ProgramData\Temp:25BB767E
@Alternate Data Stream - 116 bytes -> C:\ProgramData\Temp:132714FA
@Alternate Data Stream - 115 bytes -> C:\ProgramData\Temp:1CE87230
@Alternate Data Stream - 115 bytes -> C:\ProgramData\Temp:109734F6
@Alternate Data Stream - 114 bytes -> C:\ProgramData\Temp:F760FD47
@Alternate Data Stream - 114 bytes -> C:\ProgramData\Temp:CF61CE5A
@Alternate Data Stream - 114 bytes -> C:\ProgramData\Temp:8BFA0030
@Alternate Data Stream - 114 bytes -> C:\ProgramData\Temp:169E7AC5
@Alternate Data Stream - 113 bytes -> C:\ProgramData\Temp:AACD5156
@Alternate Data Stream - 113 bytes -> C:\ProgramData\Temp:2CED8825
@Alternate Data Stream - 113 bytes -> C:\ProgramData\Temp:00AA4B31
@Alternate Data Stream - 107 bytes -> C:\ProgramData\Temp:966CEAE7
@Alternate Data Stream - 106 bytes -> C:\ProgramData\Temp:723E56EC
@Alternate Data Stream - 104 bytes -> C:\ProgramData\Temp:7CEDF9F3
@Alternate Data Stream - 104 bytes -> C:\ProgramData\Temp:3A6BC948
@Alternate Data Stream - 103 bytes -> C:\ProgramData\Temp:95198126
@Alternate Data Stream - 102 bytes -> C:\ProgramData\Temp:47408F84
@Alternate Data Stream - 101 bytes -> C:\ProgramData\Temp:9124CA95
@Alternate Data Stream - 101 bytes -> C:\ProgramData\Temp:4F7D133D
@Alternate Data Stream - 100 bytes -> C:\ProgramData\Temp:5E9B629B
@Alternate Data Stream - 100 bytes -> C:\ProgramData\Temp:3DB6F365

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
"DisableMonitoring" = dword:0x00

:Commands
[emptytemp]
[Reboot]
         
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 04.05.2012, 14:00   #8
salu_salu
 
Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista - Standard

Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista



Hallo Chris,

hier der erste Teil.

Ich hab die drei Dateien durch Virus Total laufen lassen.
Die Ergebnisse findest Du im Anhang.

C:\Windows\System32\drivers\Wdkbdmou.sys
Da hat es was gefunden

C:\Users\SL\AppData\Roaming\plac7600.exe
Das scheint zu Windows zu gehören

C:\Users\SL\Desktop\vo64u0ef.exe
Das ist das GMER Programm. Ich hab es trotzdem mal gescannt.

Ich probier mich jetzt an dem OTL-Fix.

Danke für deine Unterstützung.

Salu_salu

Alt 04.05.2012, 14:11   #9
salu_salu
 
Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista - Standard

Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista



Hi, ich bins nochmal.
Hier das OTL Log
Zitat:
========== OTL ==========
::1 localhost removed from HOSTS file successfully
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f8075af-2e30-11e1-ad8d-002622dc8f04}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4f8075af-2e30-11e1-ad8d-002622dc8f04}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f8075af-2e30-11e1-ad8d-002622dc8f04}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4f8075af-2e30-11e1-ad8d-002622dc8f04}\ not found.
File F:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f8075d3-2e30-11e1-ad8d-001e101f1f81}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4f8075d3-2e30-11e1-ad8d-001e101f1f81}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f8075d3-2e30-11e1-ad8d-001e101f1f81}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4f8075d3-2e30-11e1-ad8d-001e101f1f81}\ not found.
File F:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{562a78e7-0592-11df-b18c-002622c8fc1a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{562a78e7-0592-11df-b18c-002622c8fc1a}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{562a78e7-0592-11df-b18c-002622c8fc1a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{562a78e7-0592-11df-b18c-002622c8fc1a}\ not found.
File F:\setup.exe AUTORUN=1 not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{631516c2-3ce7-11db-acfe-806d6172696f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{631516c2-3ce7-11db-acfe-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{631516c2-3ce7-11db-acfe-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{631516c2-3ce7-11db-acfe-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{631516c2-3ce7-11db-acfe-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{631516c2-3ce7-11db-acfe-806d6172696f}\ not found.
File D:\AUTORUN\AUTORUN.EXE not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{73501085-33b7-11e1-8892-001e101f4e71}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73501085-33b7-11e1-8892-001e101f4e71}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{73501085-33b7-11e1-8892-001e101f4e71}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73501085-33b7-11e1-8892-001e101f4e71}\ not found.
File F:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dd27fe77-c22b-11df-bb02-002622dc8f04}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dd27fe77-c22b-11df-bb02-002622dc8f04}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dd27fe77-c22b-11df-bb02-002622dc8f04}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dd27fe77-c22b-11df-bb02-002622dc8f04}\ not found.
File C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\Start.hta not found.
ADS C:\ProgramData\Temp:71FA8B7F deleted successfully.
ADS C:\ProgramData\Temp:73CF0D7D deleted successfully.
ADS C:\ProgramData\Temp:89C2A42C deleted successfully.
ADS C:\ProgramData\Temp:258D2F8B deleted successfully.
ADS C:\ProgramData\Temp:5C4A588B deleted successfully.
ADS C:\ProgramData\Temp:E99D1D3C deleted successfully.
ADS C:\ProgramData\Temp:178093AE deleted successfully.
ADS C:\ProgramData\Temp:014BC3B4 deleted successfully.
ADS C:\ProgramData\Temp:2216A431 deleted successfully.
ADS C:\ProgramData\Temp:05F547A9 deleted successfully.
ADS C:\ProgramData\Temp8F9D810 deleted successfully.
ADS C:\ProgramData\Temp:4149A170 deleted successfully.
ADS C:\ProgramData\Temp:76466F4C deleted successfully.
ADS C:\ProgramData\Temp:2AE74FF9 deleted successfully.
ADS C:\ProgramData\Temp:124B94C0 deleted successfully.
ADS C:\ProgramData\Temp:7A032A04 deleted successfully.
ADS C:\ProgramData\Temp:073139EC deleted successfully.
ADS C:\ProgramData\Temp:CA99FD89 deleted successfully.
ADS C:\ProgramData\Temp:6C049F97 deleted successfully.
ADS C:\ProgramData\Temp:490BCC52 deleted successfully.
ADS C:\ProgramData\Temp:CFF6B3FF deleted successfully.
ADS C:\ProgramData\Temp:AC0528D9 deleted successfully.
ADS C:\ProgramData\Temp:8684F6F0 deleted successfully.
ADS C:\ProgramData\Temp:61AF2B29 deleted successfully.
ADS C:\ProgramData\Temp:CB0FEE2B deleted successfully.
ADS C:\ProgramData\Temp:BACB6B6C deleted successfully.
ADS C:\ProgramData\Temp:AFB24B00 deleted successfully.
ADS C:\ProgramData\Temp:EA701346 deleted successfully.
ADS C:\ProgramData\Temp:C86B29EB deleted successfully.
ADS C:\ProgramData\Temp:4F96D8E6 deleted successfully.
ADS C:\ProgramData\Temp:453190EC deleted successfully.
ADS C:\ProgramData\Temp:0B352B60 deleted successfully.
ADS C:\ProgramData\Temp:938EB9FC deleted successfully.
ADS C:\ProgramData\Temp:AF24D911 deleted successfully.
ADS C:\ProgramData\Temp:908A1B53 deleted successfully.
ADS C:\ProgramData\Temp:2DF93164 deleted successfully.
ADS C:\ProgramData\Temp:88C0A705 deleted successfully.
ADS C:\ProgramData\Temp:71112705 deleted successfully.
ADS C:\ProgramData\Temp:CAF8DAC8 deleted successfully.
ADS C:\ProgramData\Temp:AD020DC3 deleted successfully.
ADS C:\ProgramData\Temp:93F3E4C9 deleted successfully.
ADS C:\ProgramData\Temp:79875988 deleted successfully.
ADS C:\ProgramData\Temp:3651A580 deleted successfully.
ADS C:\ProgramData\Temp:F1F936DF deleted successfully.
ADS C:\ProgramData\Temp:91DEEE71 deleted successfully.
ADS C:\ProgramData\Temp:898D0B77 deleted successfully.
ADS C:\ProgramData\Temp:66871744 deleted successfully.
ADS C:\ProgramData\Temp:56F368C9 deleted successfully.
ADS C:\ProgramData\Temp:0785072C deleted successfully.
ADS C:\ProgramData\Temp:FD38E906 deleted successfully.
ADS C:\ProgramData\Temp:EBCF5924 deleted successfully.
ADS C:\ProgramData\Temp93AABC7 deleted successfully.
ADS C:\ProgramData\Temp:AC733A73 deleted successfully.
ADS C:\ProgramData\Temp:A02025CE deleted successfully.
ADS C:\ProgramData\Temp:2775F9E2 deleted successfully.
ADS C:\ProgramData\Temp:C76CFF82 deleted successfully.
ADS C:\ProgramData\Temp:C48A983C deleted successfully.
ADS C:\ProgramData\Temp:ADFAD95A deleted successfully.
ADS C:\ProgramData\Temp:9A8F071F deleted successfully.
ADS C:\ProgramData\Temp:5F7DD688 deleted successfully.
ADS C:\ProgramData\Temp:583FE1DA deleted successfully.
ADS C:\ProgramData\Temp:46A2F27B deleted successfully.
ADS C:\ProgramData\Temp:149327FE deleted successfully.
ADS C:\ProgramData\Temp:F19A4790 deleted successfully.
ADS C:\ProgramData\Temp:B4F0E275 deleted successfully.
ADS C:\ProgramData\Temp:6EE8565A deleted successfully.
ADS C:\ProgramData\Temp:6423D635 deleted successfully.
ADS C:\ProgramData\Temp:0A74923C deleted successfully.
ADS C:\ProgramData\Temp:CEE4A457 deleted successfully.
ADS C:\ProgramData\Temp:B722BCE5 deleted successfully.
ADS C:\ProgramData\Temp:EA1919C7 deleted successfully.
ADS C:\ProgramData\Temp:9D6EAEC3 deleted successfully.
ADS C:\ProgramData\Temp:217A2A36 deleted successfully.
ADS C:\ProgramData\Temp:B3196E8D deleted successfully.
ADS C:\ProgramData\Temp:2EB79F01 deleted successfully.
ADS C:\ProgramData\Temp:2C399CCA deleted successfully.
ADS C:\ProgramData\Temp:0E22C5DB deleted successfully.
ADS C:\ProgramData\Temp:0915A718 deleted successfully.
ADS C:\ProgramData\Temp:EC0279DC deleted successfully.
ADS C:\ProgramData\Temp3A89E47 deleted successfully.
ADS C:\ProgramData\Temp:88AE8AB0 deleted successfully.
ADS C:\ProgramData\Temp:4A966CC2 deleted successfully.
ADS C:\ProgramData\Temp:00811B66 deleted successfully.
ADS C:\ProgramData\Temp:96646EC1 deleted successfully.
ADS C:\ProgramData\Temp:3C0887BF deleted successfully.
ADS C:\ProgramData\TempA18D4E3 deleted successfully.
ADS C:\ProgramData\Temp:56C66609 deleted successfully.
ADS C:\ProgramData\Temp:4A448DB2 deleted successfully.
ADS C:\ProgramData\Temp:1B3549F2 deleted successfully.
ADS C:\ProgramData\Temp:CE8A42A3 deleted successfully.
ADS C:\ProgramData\Temp:3790BACD deleted successfully.
ADS C:\ProgramData\Temp:35629AE6 deleted successfully.
ADS C:\ProgramData\Temp:29861223 deleted successfully.
ADS C:\ProgramData\Temp:32A82570 deleted successfully.
ADS C:\ProgramData\Temp:10CFA7D4 deleted successfully.
ADS C:\ProgramData\Temp:0588E665 deleted successfully.
ADS C:\ProgramData\Temp:E2B84483 deleted successfully.
ADS C:\ProgramData\Temp:ADAD2FFE deleted successfully.
ADS C:\ProgramData\Temp:A774141A deleted successfully.
ADS C:\ProgramData\Temp:8DD20B4A deleted successfully.
ADS C:\ProgramData\Temp:864881BF deleted successfully.
ADS C:\ProgramData\Temp:378824DE deleted successfully.
ADS C:\ProgramData\Temp:EC20549D deleted successfully.
ADS C:\ProgramData\Temp:A0CB43B2 deleted successfully.
ADS C:\ProgramData\Temp:29C0641D deleted successfully.
ADS C:\ProgramData\Temp:F43B7E8F deleted successfully.
ADS C:\ProgramData\Temp:8DD36B71 deleted successfully.
ADS C:\ProgramData\Temp:3B07E6F4 deleted successfully.
ADS C:\ProgramData\Temp:ED9B661E deleted successfully.
ADS C:\ProgramData\Temp:AE9351E0 deleted successfully.
ADS C:\ProgramData\Temp:7B2BB690 deleted successfully.
ADS C:\ProgramData\Temp:4111E573 deleted successfully.
ADS C:\ProgramData\Temp:2ADF9928 deleted successfully.
ADS C:\ProgramData\Temp:89F44603 deleted successfully.
ADS C:\ProgramData\Temp:3086B95F deleted successfully.
ADS C:\ProgramData\Temp:041C0562 deleted successfully.
ADS C:\ProgramData\Temp:03D08225 deleted successfully.
ADS C:\ProgramData\Temp:9D03192E deleted successfully.
ADS C:\ProgramData\Temp:063969F8 deleted successfully.
ADS C:\ProgramData\Temp:B1381B34 deleted successfully.
ADS C:\ProgramData\TempD95E6D9 deleted successfully.
ADS C:\ProgramData\Temp:40EE25BB deleted successfully.
ADS C:\ProgramData\Temp:25BB767E deleted successfully.
ADS C:\ProgramData\Temp:132714FA deleted successfully.
ADS C:\ProgramData\Temp:1CE87230 deleted successfully.
ADS C:\ProgramData\Temp:109734F6 deleted successfully.
ADS C:\ProgramData\Temp:F760FD47 deleted successfully.
ADS C:\ProgramData\Temp:CF61CE5A deleted successfully.
ADS C:\ProgramData\Temp:8BFA0030 deleted successfully.
ADS C:\ProgramData\Temp:169E7AC5 deleted successfully.
ADS C:\ProgramData\Temp:AACD5156 deleted successfully.
ADS C:\ProgramData\Temp:2CED8825 deleted successfully.
ADS C:\ProgramData\Temp:00AA4B31 deleted successfully.
ADS C:\ProgramData\Temp:966CEAE7 deleted successfully.
ADS C:\ProgramData\Temp:723E56EC deleted successfully.
ADS C:\ProgramData\Temp:7CEDF9F3 deleted successfully.
ADS C:\ProgramData\Temp:3A6BC948 deleted successfully.
ADS C:\ProgramData\Temp:95198126 deleted successfully.
ADS C:\ProgramData\Temp:47408F84 deleted successfully.
ADS C:\ProgramData\Temp:9124CA95 deleted successfully.
ADS C:\ProgramData\Temp:4F7D133D deleted successfully.
ADS C:\ProgramData\Temp:5E9B629B deleted successfully.
ADS C:\ProgramData\Temp:3DB6F365 deleted successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus\\"DisableMonitoring" | dword:0x00 /E : value set successfully!
========== COMMANDS ==========

OTL by OldTimer - Version 3.2.42.2 log created on 05042012_150436
Ich hoffe, da war jetzt alles dabei.

Du hattest noch gefragt, ob da schonmal ein Trojaner war. Ja, ziemlich bald nachdem ich den Rechner neu bekommen hatte, über eine Website. Damals ging gar nichts mehr aber Lenovo hat ein System Recovery. Also hab ich unter Anleitung von Lenovo den Trojaner "beseitigt" und die System Recovery benutzt. Seit dem funktioniert die automatische Sicherung nicht mehr, da konnten die mir auch nicht weiterhelfen und seitdem sichere ich eben auf meinen Serverspace oder auf die externe Festplatt.
Manchmal lädt der Desktop nicht auf Anhieb. Und im Moment verschwinden gerne Dateien vom Desktop (Logfiles, eben das ganze OTL Programm).
Ich vermute mal, dass das auch an anderer Stelle geschieht, ohne das ich es gleich mitbekomme.
Wie gesagt, alle wichtigen Daten sind gesichert. Viel passieren kann eigentlich nicht, ich würde nur gerne wieder von zu Hause aus arbeiten können.....

Danke für die sorgfältige Unterstützung!

salu_salu

Alt 05.05.2012, 14:17   #10
Chris4You
 
Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista - Standard

Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista



Hi,

in dem Fall lassen wir mal eines der schwereren Geschütze vond er Line:

Hitman

Lade Dir die passende Version von Hitman runter (32/64Bit), laufen lassen und Log posten.
ACHTUNG: Firewall muss für Hitman geöffnet sein (Zugriff unbedingt erlauben!)
Downloads - SurfRight

Falls Hitman was findet, Du kannst über den Reiter "Lizenz" eine 30-Tage Lizenze kostenlos zum ausprobieren bekommen...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 05.05.2012, 23:11   #11
salu_salu
 
Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista - Standard

Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista



Hi Chris,

hier die Ergebnisse von Hitman.
Er hat 2 Sachen gefunden, und ein paar tracking cookies.
Ich hab ihn das bereinigen lassen und beim nächsten Scan war dann alles ok.
Die Ergebnisse findest Du im Anhang. Soll ich die Dateien in Quarantäne entfernen lassen?

Dann hab ich noch eine Frage. Was ist mit dem Wdkbdmou.sys?
da hatte gestern VirusTotal etwas gefunden. Was mach ich jetzt am besten damit? In den anderen Programmen taucht es ja nicht als bedenklich auf.

Ist jetzt alles in Ordnung? Oder soll ich den Laptop neu aufsetzten oder gibt es noch weitere Tools? Du siehst, weiterhin jede Menge Fragen.

Danke für deine Antworten und viele Grüße
salu_salu

Alt 06.05.2012, 20:24   #12
Chris4You
 
Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista - Standard

Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista



Hi,

halte das bezüglich (Wdkbdmou.sys) für einen Fehlalarm... .
Wenn Du den Rechner ohne Probleme Neuaufsetzen kannst, dann tue es...
Er sollte jetzt aber auch wieder gaaaanz normal laufen...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 06.05.2012, 21:38   #13
salu_salu
 
Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista - Standard

Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista



Hi Chris,

herzlichen Dank für die klasse Begleitung. Den Spendenlink hab ich genutzt, ich hoffe, ich kann Eure tolle Arbeit ein bisschen unterstützen.

Alles Gute!
salu_salu

Antwort

Themen zu Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista
abgesicherten, adresse, anhang, besten, bildschirm, brenner, code, decrypthelper, ebenfalls, euro, helper, infiziert, infizierte, laptop, lenovo, mail, modus, programme, rechner, rechnung, start, startet, telekom-rechnung, telekomrechnung, trojaner, trojaner-board, vista, windows, windows vista, windows-verschlüsselungs trojaner



Ähnliche Themen: Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista


  1. Windows 8.1 - Gefälschte Telefonrechnung geöffnet - Trojaner?
    Log-Analyse und Auswertung - 24.01.2014 (7)
  2. Windows Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 29.06.2012 (5)
  3. Mit Windows-Verschlüsselungs-Trojaner infiziert.
    Log-Analyse und Auswertung - 19.06.2012 (0)
  4. PC mit Windows Verschlüsselungs-Trojaner infiziert - was tun?
    Plagegeister aller Art und deren Bekämpfung - 14.06.2012 (1)
  5. Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 13.06.2012 (1)
  6. PC infiziert mit Windows-Verschlüsselungs-Trojaner
    Log-Analyse und Auswertung - 12.06.2012 (13)
  7. Windows Verschlüsselungs Trojaner infiziert!
    Plagegeister aller Art und deren Bekämpfung - 12.06.2012 (31)
  8. Infiziert mit Windows-Verschlüsselungs Trojaner
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (6)
  9. Willkomen bei Windows Update, Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.
    Log-Analyse und Auswertung - 06.06.2012 (1)
  10. Windows Verschlüsselungs Trojaner (E-Mail Mahnung)
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (5)
  11. Infiziert mit Windows-Verschlüsselungs-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 29.05.2012 (1)
  12. PC mit Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash
    Plagegeister aller Art und deren Bekämpfung - 17.05.2012 (28)
  13. mit Windows Verschlüsselungs Trojaner infiziert
    Plagegeister aller Art und deren Bekämpfung - 30.04.2012 (13)
  14. "Willkommen bei Windows Update Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.
    Log-Analyse und Auswertung - 27.04.2012 (3)
  15. PC mit einem Windows-Verschlüsselungs-Trojaner infiziert ist.
    Mülltonne - 27.04.2012 (2)
  16. mit einem Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 27.04.2012 (16)
  17. mit einem Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 27.04.2012 (1)

Zum Thema Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista - Liebe Helfer auf dem Trojaner-Board, nachdem ich dummerweise den Anhang einer Mail mit dem Betreff Telekomrechnung Nr 569837998 von der Adresse dsap@arcor.de und dem Anhang zip Telekom-Rechnung (37,5 KB) geöffnet - Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista...
Archiv
Du betrachtest: Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.