Verschlüsselungs-Trojaner

uwenrue · 20.05.2012, 00:40

Moin zusammen,

wie das so ist, komme am Vatertag mittags vom Dienst und unterdessen ist die Frau Gemahlin in die Falle getappt...

"Unser" Trojaner ist offenbar von der Variante 1.140.1, d. h. die Dateinamen sind nun eine wirre Zeichenfolge. Eine befallene Datei, die ich mit dem Original vergleichen konnte (mit Windows Editor geöffnet), ist am Anfang unterschiedlich, weiter hinten jedoch wieder gleich. Entschuldigt bitte daß ich das jetzt nicht in Bits und Bytes ausdrücken kann, so gut weiß ich damit leider nicht Bescheid...

Wie stellt sich der Schaden dar: Der Trojaner kam per Mail mit einem vermeintlichen Rechnungsanhang. Die Mail ist nun nicht mehr zugänglich, weil verschlüsselt. Der Rechner lief wohl noch eine Zeit lang normal weiter, irgendwann kam das Fenster mit der Zahlungsaufforderung per Ukash. An dieser Stelle hat meine Frau nichts weiter getan und die Finger davon gelassen.

Die Maus ließ sich noch bewegen, aber die Tastatur reagierte nicht mehr (wollte mal probehalber was in eins der Eingabefelder schreiben).

Rechner ausgeschaltet und neu gestartet. Der Anmeldebildschirm, wo man das Nutzerprofil anwählen kann, erschien ganz normal, ich konnte mich mit meinem Profil anmelden. Auffällig: Mein Hintergrundbild war weg, konnte ich aber über Rechtsklick > Eigenschaften > Desktop wieder zurückholen. Vier oder fünf meiner Desktopverknüpfungen waren verschlüsselt und zerstört. Die Symbole (Bildchen) für "Arbeitsplatz", "Netzwerkumgebung" und "eigene Dateien" sind nicht mehr da, die Verknüpfungen funktionieren jedoch weiterhin.

Auf allen 4 Laufwerken (C: System, D: Programme, E: Daten, F: Backups) sind zahlreiche Dateien befallen. Auffällig: Meine Backups auf F:, erstellt mit Paragon Drive Backup, wurden, vom Zeitstempel her (08:12 Uhr) als erstes vom Trojaner bearbeitet, alles andere während der folgenden 4 Minuten.

Hauptsächlich wurden Dateien in "Dokumente und Einstellungen" verschlüsselt, allerdings auch sämtliche Ordner unserer Homebanking-Software Star-Money (was ganz besonders ärgerlich ist...).

Interessant: Dateien mit den Endungen .dat, .ini, .inf, .log, .db wurden offenbar verschont, auch innerhalb ansonsten komplett verschlüsselter Ordner.

DecryptHelper.exe und Avira Ransom File Unlocker konnten nichts ausrichten. Avast Antivirus hat (anfangs beim ersten Scan) nichts gefunden. Vom "sauberen" Laptop, auf dem Avira Antivirus installiert ist, komme ich übers Netzwerk nicht auf den befallenen Rechner (kostenlose Programmversion geht nicht mit Netzlaufwerken).

Malwarebytes war folgendermaßen fündig geworden:

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.17.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
U :: UWE [Administrator]

Schutz: Aktiviert

17.05.2012 22:53:24
mbam-log-2012-05-17 (22-53-24).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 244068
Laufzeit: 10 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\F41A2BBA6C344CBC6383.exe,) Gut: (userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Dennoch bin ich mir nicht sicher, ob der Trojaner nun noch auf dem "großen" Rechner ist oder nicht. Die Festplatten auszubauen, hatte ich noch keine Zeit (und, um ehrlich zu sein, noch keine Nerven).

Ach ja, der Vollständigkeit halber: Der infizierte Rechner läuft mit Win XP SP3, zwei Benutzerkonten eingerichtet. Mit meinem kann ich halbwegs arbeiten, schreibe ich auch gerade von.

Falls zweckdienlich, kann ich gern ein paar Dateipaare (kaputt - heile) beisteuern, wenn gewünscht, wie stelle ich's am besten an?

Soweit hatte ich schon im Diskussions-Thread geschrieben, Markus riet mir daraufhin, hier ein neues Thema zu eröffnen. Ist hiermit geschehen

Inzwischen hat Avast auch was gefunden:

Code:

ATTFilter

18.05.2012 18:09:38	C:\Dokumente und Einstellungen\P****\Lokale Einstellungen\Temp\quinppsffr.pre [L] Win32:Karagany-HB [Trj] (0)
Bei Datei reparieren, Fehler aufgetreten: Die Datei wurde nicht repariert.
Datei erfolgreich in Container verschoben...
18.05.2012 18:40:53	C:\Dokumente und Einstellungen\P****\Anwendungsdaten\Fbnmertyrn\F82CB31A6C344CBCCA83.exe [L] Win32:Karagany-HB [Trj] (0)
Bei Datei reparieren, Fehler aufgetreten: Die Datei wurde nicht repariert.
Datei erfolgreich in Container verschoben...

und:

Code:

ATTFilter

05/19/2012 00:16
Prüfung von *STARTUP

Prüfung von C:

Datei C:\System Volume Information\_restore{268842FD-4597-4B94-8B54-D33184D66FAF}\RP2\A0000135.exe ist infiziert von Win32:Karagany-HB [Trj], In Container verschoben
Datei C:\System Volume Information\_restore{268842FD-4597-4B94-8B54-D33184D66FAF}\RP2\A0000138.exe ist infiziert von Win32:Karagany-HB [Trj], In Container verschoben
Anzahl durchsuchter Ordner: 12164
Anzahl der geprüften Dateien: 273725
Anzahl infizierter Dateien: 2

Und noch was aus den Avast-Logfiles ausgegraben, das sagt mir, Avast hat die Infektion offenbar mitbekommen, aber nicht verhindert?????

Code:

ATTFilter

* Start: Donnerstag, 17. Mai 2012 07:38:07
*

17.05.2012 07:38:41	Modification of: \REGISTRY\MACHINE\System\CurrentControlSet\Services\FsUsbExDisk\DeleteFlag
    By:  C:\WINDOWS\system32\FsUsbExService.Exe
    Via: C:\WINDOWS\system32\services.exe
         -> Action allowed
17.05.2012 07:44:59	Modification of: \Registry\Machine\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
    By:  C:\DOKUME~1\P****\LOKALE~1\Temp\trfdlamobu.pre
    Via: C:\WINDOWS\system32\ctfmon.exe
         -> Action allowed

und:

Code:

ATTFilter

* Start: Donnerstag, 17. Mai 2012 07:38:07
*

17.05.2012 08:13:41	hxxp://www.rousselnet.de/captcha/captcha.exe [L] Win32:Karagany-GS [Trj] (0)

Hab nun noch die "Anweisungen für alle Hilfesuchenden" abgearbeitet:

Defogger runtergeladen und ausgeführt. Rechner neu gestartet.

dds heruntergeladen, Internetverbindung getrennt, alle Autostart-Programme beendet, Virenschutz + Malwarebytes + Firewall deaktiviert. dds ausgeführt, dds.txt hier:

[CODE].DDS Logfile:

Code:

ATTFilter

DDS (Ver_2011-08-26.01) - NTFSx86 
Internet Explorer: 8.0.6001.18702  BrowserJavaVersion: 10.3.0
Run by U at 11:47:39 on 2012-05-19
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1791.933 [GMT 2:00]
.
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: ZoneAlarm Firewall *Disabled* 
.
============== Running Processes ===============
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
svchost.exe
C:\Programme\CheckPoint\ZAForceField\IswSvc.exe
D:\Programme\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
svchost.exe
D:\Programme\SteuertipsPC\AAVUpdateManager\aavus.exe
C:\Programme\Gemeinsame Dateien\AVerMedia\Service\AVerRemote.exe
C:\Programme\Gemeinsame Dateien\AVerMedia\Service\AVerScheduleService.exe
C:\WINDOWS\system32\FsUsbExService.Exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
D:\Programme\Nero 7\InCD\InCDsrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
D:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
D:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
D:\Programme\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\SCARDS32.EXE
D:\Programme\NETGEAR\NETGEAR Storage Central Manager Utility\Z-SANService.exe
C:\Programme\CheckPoint\ZAForceField\ForceField.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
D:\Programme\AVAST Software\Avast\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
D:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Gemeinsame Dateien\AVerMedia\AVerQuick\AVerHIDReceiver.exe
D:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = about:blank
mWinlogon: Userinit=userinit.exe,
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - d:\progra~1\micros~1\office12\GRA8E1~1.DLL
BHO: ZoneAlarm Toolbar Registrar: {8a4a36c2-0535-4d2c-bd3d-496cb7eed6e3} - c:\programme\checkpoint\zaforcefield\trustchecker\bin\TrustCheckerIEPlugin.dll
BHO: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - d:\programme\avast software\avast\aswWebRepIE.dll
BHO: Free Download Manager: {cc59e0f9-7e43-44fa-9faa-8377850bf205} - d:\programme\free download manager\iefdm2.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre7\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: ZoneAlarm Toolbar: {ee2ac4e5-b0b0-4ec6-88a9-bca1a32ab107} - c:\programme\checkpoint\zaforcefield\trustchecker\bin\TrustCheckerIEPlugin.dll
TB: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - d:\programme\avast software\avast\aswWebRepIE.dll
TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
uRun: [H/PC Connection Agent] "d:\programme\microsoft activesync\wcescomm.exe"
uRun: [TomTomHOME.exe] "d:\programme\tomtom home 2\TomTomHOMERunner.exe"
mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
mRun: [ZoneAlarm Client] "d:\programme\zone labs\zonealarm\zlclient.exe"
mRun: [ISW] "c:\programme\checkpoint\zaforcefield\ForceField.exe" /icon="hidden"
mRun: [PaperPort PTD] "c:\programme\scansoft\paperport\pptd40nt.exe"
mRun: [IndexSearch] "c:\programme\scansoft\paperport\IndexSearch.exe"
mRun: [PPort11reminder] "c:\programme\scansoft\paperport\ereg\ereg.exe" -r "c:\dokumente und einstellungen\all users\anwendungsdaten\scansoft\paperport\11\config\ereg\Ereg.ini"
mRun: [BrMfcWnd] c:\programme\brother\brmfcmon\BrMfcWnd.exe /AUTORUN
mRun: [ControlCenter3] c:\programme\brother\controlcenter3\brctrcen.exe /autorun
mRun: [StartCCC] "c:\programme\ati technologies\ati.ace\core-static\CLIStart.exe" MSRun
mRun: [NPSStartup] 
mRun: [avast] "d:\programme\avast software\avast\avastUI.exe" /nogui
mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe"
mRun: [Malwarebytes' Anti-Malware] "d:\programme\malwarebytes' anti-malware\mbamgui.exe" /starttray
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\u\startm~1\progra~1\autost~1\spamih~1.lnk - c:\programme\spamihilator\spamihilator.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\averhi~1.lnk - c:\programme\gemeinsame dateien\avermedia\averquick\AVerHIDReceiver.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\averqu~1.lnk - c:\programme\gemeinsame dateien\avermedia\averquick\AVerQuick.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\logite~1.lnk - d:\programme\logitech\setpoint\SetPoint.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\online~1.lnk - d:\programme\onlinecontrol\ocontrol.exe
IE: Alles mit FDM herunterladen - file://d:\programme\free download manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://d:\programme\free download manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://d:\programme\free download manager\dllink.htm
IE: Nach Microsoft E&xel exportieren - d:\progra~1\micros~1\office12\EXCEL.EXE/3000
IE: Videos mit FDM herunterladen - file://d:\programme\free download manager\dlfvideo.htm
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - d:\progra~1\micros~1\office12\ONBttnIE.dll
IE: {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} - d:\progra~1\micros~2\INetRepl.dll
IE: {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} - d:\progra~1\micros~2\INetRepl.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - d:\progra~1\micros~1\office12\REFIEBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-0017-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - d:\progra~1\micros~1\office12\GR99D3~1.DLL
Notify: AtiExtEvent - Ati2evxx.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - d:\progra~1\micros~1\office12\GRA8E1~1.DLL
mASetup: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "c:\programme\gemeinsame dateien\lightscribe\LSRunOnce.exe"
IFEO: taskmgr.exe - P9KDMF.EXE
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\u\anwendungsdaten\mozilla\firefox\profiles\8go2hnuv.default\
FF - component: c:\dokumente und einstellungen\u\anwendungsdaten\mozilla\firefox\profiles\8go2hnuv.default\extensions\{340c2bbc-ce74-4362-90b5-7c26312808ef}\platform\winnt_x86-msvc\components\WeaveCrypto.dll
FF - component: c:\programme\checkpoint\zaforcefield\trustchecker\components\TrustCheckerMozillaPlugin.dll
FF - component: d:\programme\free download manager\firefox\extension\components\vmsfdmff.dll
FF - plugin: c:\programme\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\programme\adobe\reader 9.0\reader\air\nppdf32.dll
FF - plugin: c:\programme\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\google\update\1.3.21.111\npGoogleUpdate3.dll
FF - plugin: c:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\java\jre6\bin\plugin2\npdeployJava1.dll
FF - plugin: c:\programme\java\jre7\bin\plugin2\npjp2.dll
FF - plugin: c:\programme\logitech\harmony remote driver\NprtHarmonyPlugin.dll
FF - plugin: c:\programme\microsoft silverlight\5.0.61118.0\npctrlui.dll
FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_2_202_235.dll
FF - plugin: d:\internet\firefox\plugins\np_gp.dll
FF - plugin: d:\multimedia\realplayer\netscape6\nppl3260.dll
FF - plugin: d:\multimedia\realplayer\netscape6\nprjplug.dll
FF - plugin: d:\multimedia\realplayer\netscape6\nprpjplug.dll
FF - plugin: d:\programme\3d-viewer-innoplus\npIno3DViewer.dll
FF - plugin: d:\programme\quicktime\plugins\npqtplugin.dll
FF - plugin: d:\programme\quicktime\plugins\npqtplugin2.dll
FF - plugin: d:\programme\quicktime\plugins\npqtplugin3.dll
FF - plugin: d:\programme\quicktime\plugins\npqtplugin4.dll
FF - plugin: d:\programme\quicktime\plugins\npqtplugin5.dll
FF - plugin: d:\programme\quicktime\plugins\npqtplugin6.dll
FF - plugin: d:\programme\quicktime\plugins\npqtplugin7.dll
FF - plugin: d:\programme\videolan\vlc\npvlc.dll
.
============= SERVICES / DRIVERS ===============
.
R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [2010-3-14 39472]
R0 TwkMs;CHIPDRIVE Maus Adapter;c:\windows\system32\drivers\TWKMS.SYS [2010-3-13 4828]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2012-2-8 612184]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2012-2-8 337880]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [2011-6-29 218688]
R1 vsdatant;vsdatant;c:\windows\system32\vsdatant.sys [2010-3-12 486280]
R2 AAV UpdateService;AAV UpdateService;d:\programme\steuertipspc\aavupdatemanager\aavus.exe [2008-10-24 128296]
R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [2007-7-27 330144]
R2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-7-27 251680]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2012-2-8 20696]
R2 avast! Antivirus;avast! Antivirus;d:\programme\avast software\avast\AvastSvc.exe [2012-2-8 44768]
R2 AVerRemote;AVerRemote;c:\programme\gemeinsame dateien\avermedia\service\AVerRemote.exe [2010-3-15 352256]
R2 AVerScheduleService;AVerScheduleService;c:\programme\gemeinsame dateien\avermedia\service\AVerScheduleService.exe [2010-3-15 405504]
R2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2010-8-29 233472]
R2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\programme\checkpoint\zaforcefield\ISWKL.sys [2009-10-14 25208]
R2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\programme\checkpoint\zaforcefield\ISWSVC.exe [2009-10-14 476528]
R2 MBAMService;MBAMService;d:\programme\malwarebytes' anti-malware\mbamservice.exe [2012-5-17 654408]
R2 Netzmanager Service;Netzmanager Infrastruktur Informationssystem Dienst;d:\programme\netzmanager\nminfrais2\Netzmanager_Service.exe [2010-11-4 9728]
R2 SFSZ;DataPlow SFS for Zetera Storage Devices;c:\windows\system32\drivers\sfsz.sys [2010-3-12 342272]
R2 TomTomHOMEService;TomTomHOMEService;d:\programme\tomtom home 2\TomTomHOMEService.exe [2012-1-23 92592]
R2 TwkPCSC;CHIPDRIVE PC/SC Drivers;c:\windows\system32\drivers\TWKPCSC.SYS [2010-3-13 11676]
R2 TWKSCARDSRV;CHIPDRIVE SCARD Service;c:\windows\SCARDS32.EXE [2010-3-13 264192]
R2 Z-SANService;Z-SAN Service;d:\programme\netgear\netgear storage central manager utility\Z-SANService.exe [2010-3-12 364603]
R3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [2010-8-29 36608]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-5-17 22344]
R3 TWKPNP;CHIPDRIVE Plug and Play driver;c:\windows\system32\drivers\TWKPNP.SYS [2010-3-13 5550]
R3 ZetBus;Zetera Virtual Bus;c:\windows\system32\drivers\ZetBus.sys [2010-3-12 15488]
S0 ZetSFD;ZetSFD;c:\windows\system32\drivers\ZetSFD.sys [2010-3-12 12800]
S2 gupdate;Google Update Service (gupdate);c:\programme\google\update\GoogleUpdate.exe [2010-5-18 136176]
S2 vsmon;TrueVector Internet Monitor;c:\windows\system32\zonelabs\vsmon.exe -service --> c:\windows\system32\zonelabs\vsmon.exe -service [?]
S3 AVerAF15DMBTH;AVerMedia A850 USB;c:\windows\system32\drivers\AVerAF15DMBTH.sys [2010-3-15 487168]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\google\update\GoogleUpdate.exe [2010-5-18 136176]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\mozilla maintenance service\maintenanceservice.exe [2012-4-28 129976]
S3 RSUSBCCID;Realtek Smartcard Reader Driver;c:\windows\system32\drivers\RtsUCcid.sys [2010-10-27 44032]
S3 RtsUIr;Realtek IR Driver;c:\windows\system32\drivers\RtsUIr.sys [2010-10-27 17536]
S3 StarMoney 7.0 OnlineUpdate;StarMoney 7.0 OnlineUpdate;d:\finanzen\starmoney 7.0\ouservice\starmoneyonlineupdate.exe --> d:\finanzen\starmoney 7.0\ouservice\StarMoneyOnlineUpdate.exe [?]
S3 TelekomNM3;Telekom Netzmanager Packet Filter Driver;d:\programme\netzmanager\nminfrais2\driver\TelekomNM3.sys [2010-9-16 35040]
S3 ZetMPD;ZetMPD;c:\windows\system32\drivers\ZetMPD.sys [2010-3-12 5120]
S4 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [2010-3-13 155136]
S4 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [2010-3-13 5248]
S4 sojubus;sojubus;c:\windows\system32\drivers\sojubus.sys [2003-10-5 123520]
S4 sojuscsi;sojuscsi;c:\windows\system32\drivers\sojuscsi.sys [2003-9-28 5504]
.
=============== Created Last 30 ================
.
2012-05-17 20:50:45	--------	d-----w-	c:\dokumente und einstellungen\u\anwendungsdaten\Malwarebytes
2012-05-17 20:50:30	--------	d-----w-	c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes
2012-05-17 20:50:29	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-05-10 18:36:39	--------	d-----w-	c:\dokumente und einstellungen\u\lokale einstellungen\anwendungsdaten\Babylon
2012-05-10 18:36:38	--------	d-----w-	c:\dokumente und einstellungen\u\anwendungsdaten\Babylon
2012-05-10 18:36:28	--------	d-----w-	c:\dokumente und einstellungen\u\anwendungsdaten\YourFileDownloader
2012-04-28 06:41:06	--------	d-----w-	c:\programme\Mozilla Maintenance Service
.
==================== Find3M  ====================
.
2012-05-10 11:32:10	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-10 11:32:10	419488	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-04-14 18:17:23	141312	----a-w-	c:\windows\system32\javacpl.cpl
2012-04-14 18:17:22	637848	----a-w-	c:\windows\system32\npdeployJava1.dll
2012-04-14 18:17:22	567696	----a-w-	c:\windows\system32\deployJava1.dll
2012-04-11 13:51:20	2071424	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-04-11 13:51:18	1862400	----a-w-	c:\windows\system32\win32k.sys
2012-04-11 13:51:17	2194944	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-03-07 00:15:19	41184	----a-w-	c:\windows\avastSS.scr
2012-03-07 00:03:51	612184	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2012-03-01 11:00:09	916992	----a-w-	c:\windows\system32\wininet.dll
2012-03-01 11:00:08	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-03-01 11:00:08	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-02-29 14:09:48	177664	----a-w-	c:\windows\system32\wintrust.dll
2012-02-29 14:09:48	148480	----a-w-	c:\windows\system32\imagehlp.dll
2012-02-29 12:17:40	385024	----a-w-	c:\windows\system32\html.iec
.
============= FINISH: 11:48:31,56 ===============

--- --- ---

attach.txt gezippt als Anhang.

Wieder Rechner neu gestartet, alle Programme incl. Virenschutz, Malwarebytes und Firewall beendet, Gmer gestartet. Hier gab's ein Problem: Man sah noch so eben, wie ein Fenster aufgeht, Einzelheiten waren nicht zu erkennen, und sofort war der Bildschirm schwarz und der Rechner startete neu. Bei einem zweiten Versuch genau dasselbe. Hier der Report der Fehlerberichterstattung:

Code:

ATTFilter

BCCode : 19     BCP1 : 00000020     BCP2 : 888750C8     BCP3 : 888758F0     
BCP4 : 1B050004     OSVer : 5_1_2600     SP : 3_0     Product : 256_1     





--------------------------------------------------------

Folgende Dateien wurden in Ihren Problembericht aufgenommen:


C:\DOKUME~1\U\LOKALE~1\Temp\WER35f7.dir00\Mini051912-02.dmp
C:\DOKUME~1\U\LOKALE~1\Temp\WER35f7.dir00\sysdata.xml

Die beiden benannten Dateien finde ich allerdings nicht, werden die bei Abmeldung des Benutzerkontos bzw. beim Ausschalten des Rechners gelöscht?

Soviel für heute, ist schon wieder spät geworden. Bin guter Dinge, daß mir hier kompetent weitergeholfen wird.

und Gute Nacht!

Uwe

Verschlüsselungs-Trojaner

Log-Analyse und Auswertung: Verschlüsselungs-Trojaner

Verschlüsselungs-Trojaner

Ähnliche Themen: Verschlüsselungs-Trojaner