Verschlüsselungstrojaner; Windows XP

markusg · 08.05.2012, 15:39

aloa
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code:

ATTFilter

:OTL
O4 - HKU\Hans-Günther_ON_C..\Run: [5CBA10AA] C:\WINDOWS\system32\7F2C7F245CBA10AADB3C.exe (arnese esca)
O4 - HKU\Hans-Günther_ON_C..\Run: [1Y7C9I1C4ZWU3H6WNOQRJHS] C:\update64\1E729812A25.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Hans-Günther_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Hans-Günther_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O20 - HKLM Winlogon: UserInit - (F:\WINDOWS\system32\7F2C7F245CBA10AADB3C.exe) - C:\WINDOWS\system32\7F2C7F245CBA10AADB3C.exe (arnese esca)
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
[2012/05/07 14:49:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Hans-Günther\Anwendungsdaten\Bhdtmkgu
:Files
C:\update64
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

richard.s · 08.05.2012, 17:01

Okay, danke erstmal.

Zitat:

Zitat von markusg

windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Windows startet jetzt normal, der Sperrbildschirm erscheint nicht mehr, eine otl.txt hat sich aber nicht geöffnet. Unter F:\ befindet sich eine OTL.txt, das scheint aber (laut Timecode) die von vorhin zu sein. Unter F:\_OTL\MovedFiles befindet sich eine .txt-Datei mit folgendem Inhalt:

Code:

ATTFilter

========== OTL ==========
Registry value HKEY_USERS\Hans-Günther_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\5CBA10AA deleted successfully.
C:\WINDOWS\system32\7F2C7F245CBA10AADB3C.exe moved successfully.
Registry value HKEY_USERS\Hans-Günther_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\1Y7C9I1C4ZWU3H6WNOQRJHS deleted successfully.
C:\update64\1E729812A25.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_USERS\Hans-Günther_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
Registry value HKEY_USERS\Hans-Günther_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:F:\WINDOWS\system32\7F2C7F245CBA10AADB3C.exe deleted successfully.
File C:\WINDOWS\system32\7F2C7F245CBA10AADB3C.exe not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ deleted successfully.
C:\Dokumente und Einstellungen\Hans-Günther\Anwendungsdaten\Bhdtmkgu folder moved successfully.
========== FILES ==========
C:\update64 folder moved successfully.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56502 bytes
 
User: Hans-Günther
->Temp folder emptied: 1921699 bytes
->Temporary Internet Files folder emptied: 175120288 bytes
->FireFox cache emptied: 54822772 bytes
->Flash cache emptied: 99083 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes
 
Total Flash Files Cleaned = 221.00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Hans-Günther
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2155701 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 94824699 bytes
 
Total Files Cleaned = 92.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 05082012_194408

Das ist das besagte Logfile, oder?

Verschlüsselungstrojaner; Windows XP

Plagegeister aller Art und deren Bekämpfung: Verschlüsselungstrojaner; Windows XP

Verschlüsselungstrojaner; Windows XP

Verschlüsselungstrojaner; Windows XP

Ähnliche Themen: Verschlüsselungstrojaner; Windows XP