Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Verschlüsselungstrojaner "Windows Update" (Rechnung.zip) incl. Sperrung aller Dateien

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 24.05.2012, 22:57   #1
Erbachsevi
 
Verschlüsselungstrojaner "Windows Update" (Rechnung.zip) incl. Sperrung aller Dateien - Standard

Verschlüsselungstrojaner "Windows Update" (Rechnung.zip) incl. Sperrung aller Dateien



Hallo Trojaner-Board-Gemeinde,

mein Problem ist einer der aktuell umlaufenden Verschlüsselungstrojaner. Es scheinen zwar alle Trojaner aus dem System entfernt zu sein, allerdings sind alle Dateien immer noch gesperrt und unbrauchbar. Daher suche ich hier Hilfe zur Entsperrung der Dateien.
Meine Schwester hat am Freitag, den 18., durch das Öffnen des infizierten eMail-Anhangs "Rechnung.exe" ihren Laptop mit dem Verschlüsselungstrojaner infiziert, der das System sperrt und ein angebliches, kostenpflichtiges "Windows-Update" für 100 € durchführen will.
Daraufhin kam sie zu mir und ich habe es mithilfe des Norton Power Erasers sowie Avira Free geschafft, die Trojaner zu entfernen. Das installierte, mit aktuellem Update versehene Norton Internet Security hatte nicht angeschlagen!
Im Anhang befindet sich das Logfile des Suchlaufs des NPE, bei dem er im abgesicherten Modus das Systemstartobjekt aufgespürt hatte, das sie Systemblockade verursacht hat.
Die Datei befand sich in C:\users\appdata\roaming\vlpywfnxsip\558fd5b42a1c341b43d.exe
Leider habe ich Avira nach Entfernung aller Trojaner wieder deinstalliert, sodass ich zu den anderen Funden weder Details nennen noch Logfiles posten kann :/ Sorry dafür!
Seit den erfolgreichen Virusscans läuft das System nämlich einwandfrei ohne jegliche Beeinträchtigung und es scheinen alle Schädlinge entfernt zu sein. Zunächst hatten wir allerdings nichts von der Verschlüsselung der Dateien bemerkt. Erst gestern ist ihr das aufgefallen.
Fast alle Dateien (sowohl Dokumente als auch Bilder als auch Musik) auf beiden Festplatten wurden umbenannt, tragen nun zufällige Zahlen-und Buchstabenkombinationen als Namen, besitzen keine Dateiendung mehr und sind somit unbenutzbar.
Leider konnte weder ScareUncrypt, noch Avira Ransom File Unlocker noch der DecryptHelper von Matthias einen funktionierenden Schlüssel finden.
Ich kann leider kein Pärchen von Original- und infizierter Datei posten, da mir nur Fotodateien im Original vorliegen und diese zum Anhängen zu groß sind. :/

Allerdings habe ich eine zufällige gesperrte Datei angehängt, damit ihr sehen könnt, wie alle Dateien jetzt aussehen. Das Dokument befindet sich im Verzeichnis C:\Users\Public\Documents\ASUSAccess

Dies ist mein DDS-Log:

.DDS Logfile:
Code:
ATTFilter
DDS (Ver_2011-08-26.01) - NTFSAMD64 
Internet Explorer: 9.0.8112.16421
Run by tenni at 22:18:23 on 2012-05-24
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.4061.2637 [GMT 2:00]
.
AV: Norton Internet Security *Enabled/Updated* {63DF5164-9100-186D-2187-8DC619EFD8BF}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
SP: Norton Internet Security *Enabled/Updated* {D8BEB080-B73A-17E3-1B37-B6B462689202}
FW: Norton Internet Security *Enabled* {5BE4D041-DB6F-1935-0AD8-24F3E73C9FC4}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\FBAgent.exe
C:\Program Files (x86)\ASUS\ATK Hotkey\ASLDRSrv.exe
C:\Program Files\ATKGFNEX\GFNEXSrv.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Program Files (x86)\Microsoft\BingBar\SeaPort.EXE
C:\Program Files (x86)\ASUS\SmartLogon\sensorsrv.exe
C:\Program Files (x86)\ASUS\ASUS Live Update\ALU.exe
C:\Program Files (x86)\ASUS\ControlDeck\ControlDeckStartUp.exe
C:\Program Files (x86)\ASUS\Wireless Console 3\wcourier.exe
C:\Program Files\P4G\BatteryLife.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files (x86)\Norton Internet Security\Engine\19.7.1.5\ccSvcHst.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files (x86)\Norton Internet Security\Engine\19.7.1.5\ccSvcHst.exe
C:\Program Files (x86)\ASUS\ATK Hotkey\HControl.exe
C:\Program Files (x86)\ASUS\ATK Hotkey\Atouch64.exe
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\System32\rundll32.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files (x86)\ASUS\ATK Hotkey\ATKOSD.exe
C:\Program Files (x86)\ASUS\ATK Hotkey\KBFiltr.exe
C:\Program Files (x86)\ASUS\ATK Hotkey\WDC.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files (x86)\Microsoft Office\Office12\ONENOTEM.EXE
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\System32\svchost.exe -k LocalServicePeerNet
C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe
C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe
C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe
C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe
C:\PROGRA~2\SEARCH~1\Datamngr\DATAMN~1.EXE
C:\Program Files\Elantech\ETDCtrl.exe
C:\Program Files (x86)\ASUS\ATK Hotkey\HControlUser.exe
C:\Windows\system32\igfxtray.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\ASUS\ASUS WebStorage\EeeStorageUploader.exe
C:\Windows\system32\svchost.exe -k SDRSVC
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\sppsvc.exe
C:\Windows\system32\taskeng.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\conhost.exe
C:\Windows\SysWOW64\cscript.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.searchcore.net/426
uDefault_Page_URL = hxxp://asus.msn.com
uURLSearchHooks: UrlSearchHook Class: {00000000-6e41-4fd3-8538-502f5495e5fc} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
BHO: AdblockPro: {04f2568a-3e7a-422d-a71e-dc088a635f7d} - C:\Users\tenni\AppData\Roaming\AdblockPro\IE\AdblockPro.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
BHO: Norton Identity Protection: {602adb0e-4aff-4217-8aa1-95dac4dfa408} - C:\Program Files (x86)\Norton Internet Security\Engine\19.7.1.5\coIEPlg.dll
BHO: Norton Vulnerability Protection: {6d53ec84-6aae-4787-aeee-f4628f01010c} - C:\Program Files (x86)\Norton Internet Security\Engine\19.7.1.5\IPS\IPSBHO.DLL
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
BHO: DataMngr: {7da17d5a-5718-4130-a605-fc316c827836} - C:\PROGRA~2\SEARCH~1\Datamngr\BROWSE~1.DLL
BHO: Windows Live Anmelde-Hilfsprogramm: {9030d464-4c02-4abf-8ecc-5164760863c6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
BHO: AdobeReader: {ac6401e9-813b-46da-b06f-a4ffa2f9ae6d} - C:\Users\tenni\AppData\Roaming\AdobeReader\IE\AdobeReader.dll
BHO: Skype Browser Helper: {ae805869-2e5c-4ed4-8f7b-f1f7851a4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
BHO: Searchcore Toolbar: {af6ac4f2-9825-4fb6-a600-92bc5361f209} - C:\PROGRA~2\SEARCH~1\Datamngr\ToolBar\searchcoredtx.dll
BHO: Google Dictionary Compression sdch: {c84d72fe-e17d-4195-bb24-76c02e2e7c4e} - C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
BHO: Bing Bar Helper: {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll"
BHO: Avira SearchFree Toolbar plus Web Protection: {d4027c7f-154a-4066-a1ad-4243d8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
TB: Bing Bar: {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll"
TB: Searchcore Toolbar: {af6ac4f2-9825-4fb6-a600-92bc5361f209} - C:\PROGRA~2\SEARCH~1\Datamngr\ToolBar\searchcoredtx.dll
TB: Avira SearchFree Toolbar plus Web Protection: {d4027c7f-154a-4066-a1ad-4243d8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
TB: Norton Toolbar: {7febefe3-6b19-4349-98d2-ffb09d4b49ca} - C:\Program Files (x86)\Norton Internet Security\Engine\19.7.1.5\coIEPlg.dll
TB: {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
uRun: [Facebook Update] "C:\Users\tenni\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
uRun: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
mRun: [<NO NAME>] 
dRunOnce: [<NO NAME>] 
StartupFolder: C:\Users\tenni\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Startup\ONENOT~1.LNK - C:\Program Files (x86)\Microsoft Office\Office12\ONENOTEM.EXE
StartupFolder: C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\Startup\SRSPRE~1.LNK - 
mPolicies-explorer: NoActiveDesktop = 1 (0x1)
mPolicies-explorer: NoActiveDesktopChanges = 1 (0x1)
mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Nach Microsoft E&xel exportieren - C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
IE: {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab
TCP: DhcpNameServer = 83.169.184.161 192.168.0.1
TCP: Interfaces\{7138EC41-358F-4837-9D12-65D347D722F5} : DhcpNameServer = 83.169.184.161 192.168.0.1
TCP: Interfaces\{7138EC41-358F-4837-9D12-65D347D722F5}\4656661657C647 : DhcpNameServer = 83.169.184.161 192.168.0.1
TCP: Interfaces\{7138EC41-358F-4837-9D12-65D347D722F5}\6427964616 : DhcpNameServer = 192.168.0.1
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
AppInit_DLLs: C:\PROGRA~2\SEARCH~1\Datamngr\datamngr.dll C:\PROGRA~2\SEARCH~1\Datamngr\IEBHO.dll 
{04F2568A-3E7A-422D-A71E-DC088A635F7D}
{18DF081C-E8AD-4283-A596-FA578C2EBDC3}
BHO-X64: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}
{6D53EC84-6AAE-4787-AEEE-F4628F01010C}
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
{7DA17D5A-5718-4130-A605-FC316C827836}
{9030D464-4C02-4ABF-8ECC-5164760863C6}
{AA58ED58-01DD-4d91-8333-CF10577473F7}
{AC6401E9-813B-46DA-B06F-A4FFA2F9AE6D}
{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}
{af6ac4f2-9825-4fb6-a600-92bc5361f209}
{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}
{d2ce3e00-f94a-4740-988e-03dc2f38c34f}
{D4027C7F-154A-4066-A1AD-4243D8127440}
{DBC80044-A445-435b-BC74-9C25C1C588A9}
{2318C2B1-4965-11d4-9B18-009027A5CD4F}
{8dcb7100-df86-4384-8842-8fa844297b3f}
{af6ac4f2-9825-4fb6-a600-92bc5361f209}
{D4027C7F-154A-4066-A1AD-4243D8127440}
{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}
TB-X64: {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
mRun-x64: [(Standard)] 
AppInit_DLLs-X64: C:\PROGRA~2\SEARCH~1\Datamngr\datamngr.dll C:\PROGRA~2\SEARCH~1\Datamngr\IEBHO.dll 
.
============= SERVICES / DRIVERS ===============
.
R0 SymDS;Symantec Data Store;C:\Windows\system32\drivers\NISx64\1307010.005\SYMDS64.SYS --> C:\Windows\system32\drivers\NISx64\1307010.005\SYMDS64.SYS [?]
R0 SymEFA;Symantec Extended File Attributes;C:\Windows\system32\drivers\NISx64\1307010.005\SYMEFA64.SYS --> C:\Windows\system32\drivers\NISx64\1307010.005\SYMEFA64.SYS [?]
R1 BHDrvx64;BHDrvx64;C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_19.5.0.145\Definitions\BASHDefs\20120517.001\BHDrvx64.sys [2012-5-24 1160824]
R1 ccSet_NIS;Norton Internet Security Settings Manager;C:\Windows\system32\drivers\NISx64\1307010.005\ccSetx64.sys --> C:\Windows\system32\drivers\NISx64\1307010.005\ccSetx64.sys [?]
R1 IDSVia64;IDSVia64;C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_19.5.0.145\Definitions\IPSDefs\20120523.001\IDSviA64.sys [2012-5-24 488568]
R1 SymIRON;Symantec Iron Driver;C:\Windows\system32\drivers\NISx64\1307010.005\Ironx64.SYS --> C:\Windows\system32\drivers\NISx64\1307010.005\Ironx64.SYS [?]
R1 SymNetS;Symantec Network Security WFP Driver;C:\Windows\system32\Drivers\NISx64\1307010.005\SYMNETS.SYS --> C:\Windows\system32\Drivers\NISx64\1307010.005\SYMNETS.SYS [?]
R1 vwififlt;Virtual WiFi Filter Driver;C:\Windows\system32\DRIVERS\vwififlt.sys --> C:\Windows\system32\DRIVERS\vwififlt.sys [?]
R2 AdobeARMservice;Adobe Acrobat Update Service;C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-1-3 63928]
R2 AFBAgent;AFBAgent;"C:\Windows\system32\FBAgent.exe" --> C:\Windows\system32\FBAgent.exe [?]
R2 ASMMAP64;ASMMAP64;C:\Program Files\ATKGFNEX\ASMMAP64.sys [2010-8-30 14904]
R2 BBUpdate;BBUpdate;C:\Program Files (x86)\Microsoft\BingBar\SeaPort.EXE [2011-10-13 249648]
R2 NIS;Norton Internet Security;C:\Program Files (x86)\Norton Internet Security\Engine\19.7.1.5\ccsvchst.exe [2012-5-19 138232]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2012-5-18 138360]
R3 ETD;ELAN PS/2 Port Input Device;C:\Windows\system32\DRIVERS\ETD.sys --> C:\Windows\system32\DRIVERS\ETD.sys [?]
R3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller (NDIS 6.20);C:\Windows\system32\DRIVERS\L1C62x64.sys --> C:\Windows\system32\DRIVERS\L1C62x64.sys [?]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;C:\Windows\system32\drivers\nvhda64v.sys --> C:\Windows\system32\drivers\nvhda64v.sys [?]
R3 vwifimp;Microsoft Virtual WiFi Miniport Service;C:\Windows\system32\DRIVERS\vwifimp.sys --> C:\Windows\system32\DRIVERS\vwifimp.sys [?]
S2 BBSvc;Bing Bar Update Service;C:\Program Files (x86)\Microsoft\BingBar\BBSvc.EXE [2011-10-21 196176]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-3-18 138576]
S2 gupdate;Google Update Service (gupdate);C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2010-8-30 135664]
S2 SkypeUpdate;Skype Updater;C:\Program Files (x86)\Skype\Updater\Updater.exe [2012-2-29 158856]
S2 SupThrSrv;Super Thruster Service;C:\eSupport\SupThrSrv\SupThrSrv.exe --> C:\eSupport\SupThrSrv\SupThrSrv.exe [?]
S3 AmUStor;AM USB Stroage Driver;C:\Windows\system32\drivers\AmUStor.SYS --> C:\Windows\system32\drivers\AmUStor.SYS [?]
S3 fssfltr;fssfltr;C:\Windows\system32\DRIVERS\fssfltr.sys --> C:\Windows\system32\DRIVERS\fssfltr.sys [?]
S3 fsssvc;Windows Live Family Safety;C:\Program Files (x86)\Windows Live\Family Safety\fsssvc.exe [2008-12-8 533344]
S3 gupdatem;Google Update-Dienst (gupdatem);C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2010-8-30 135664]
S3 McComponentHostService;McAfee Security Scan Component Host Service;C:\Program Files (x86)\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-1-15 227232]
S3 netr28ux;RT2870-USB-Drahtlos-LAN-Kartentreiber für Vista;C:\Windows\system32\DRIVERS\netr28ux.sys --> C:\Windows\system32\DRIVERS\netr28ux.sys [?]
S3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;C:\Windows\system32\DRIVERS\SiSG664.sys --> C:\Windows\system32\DRIVERS\SiSG664.sys [?]
S3 TsUsbFlt;TsUsbFlt;C:\Windows\system32\drivers\tsusbflt.sys --> C:\Windows\system32\drivers\tsusbflt.sys [?]
S3 WatAdminSvc;Windows-Aktivierungstechnologieservice;C:\Windows\system32\Wat\WatAdminSvc.exe --> C:\Windows\system32\Wat\WatAdminSvc.exe [?]
.
=============== Created Last 30 ================
.
2012-05-23 21:02:11	--------	d-----w-	C:\Neuer Ordner
2012-05-19 07:27:54	405624	----a-w-	C:\Windows\System32\drivers\NISx64\1307010.005\symnets.sys
2012-05-19 07:27:53	451192	----a-r-	C:\Windows\System32\drivers\NISx64\1307010.005\symds64.sys
2012-05-19 07:27:53	37496	----a-w-	C:\Windows\System32\drivers\NISx64\1307010.005\srtspx64.sys
2012-05-19 07:27:53	1092728	----a-w-	C:\Windows\System32\drivers\NISx64\1307010.005\symefa64.sys
2012-05-19 07:27:52	737912	----a-w-	C:\Windows\System32\drivers\NISx64\1307010.005\srtsp64.sys
2012-05-19 07:27:52	190072	----a-w-	C:\Windows\System32\drivers\NISx64\1307010.005\ironx64.sys
2012-05-19 07:27:52	167048	----a-w-	C:\Windows\System32\drivers\NISx64\1307010.005\ccsetx64.sys
2012-05-19 07:27:03	--------	d-----w-	C:\Windows\System32\drivers\NISx64\1307010.005
2012-05-18 17:07:15	5126	----a-w-	C:\Windows\System32\PerfStringBackup.TMP
2012-05-18 16:01:23	--------	d-----w-	C:\Program Files\Symantec
2012-05-18 16:00:25	--------	d-----w-	C:\Windows\System32\drivers\NISx64
2012-05-18 16:00:20	--------	d-----w-	C:\Program Files (x86)\Norton Internet Security
2012-05-18 15:06:48	--------	d-----w-	C:\ProgramData\IObit
2012-05-18 15:06:32	--------	d-----w-	C:\Users\tenni\AppData\Roaming\IObit
2012-05-18 15:06:15	--------	d-----w-	C:\Program Files (x86)\IObit
2012-05-18 11:47:05	--------	d-----w-	C:\Program Files (x86)\Ask.com
2012-05-18 11:46:59	--------	d-----w-	C:\Users\tenni\AppData\Local\APN
2012-05-18 11:46:50	--------	d-----w-	C:\ProgramData\Avira
2012-05-18 10:59:58	279656	------w-	C:\Windows\System32\MpSigStub.exe
2012-05-18 10:59:05	5316	----a-w-	C:\Windows\SysWow64\PerfStringBackup.TMP
2012-05-18 10:56:14	--------	d-----w-	C:\Windows\SysWow64\Wat
2012-05-18 10:56:13	--------	d-----w-	C:\Windows\System32\Wat
2012-05-18 10:51:52	--------	d-----w-	C:\Users\tenni\AppData\Roaming\Tific
2012-05-18 10:34:53	--------	d-----w-	C:\Users\tenni\AppData\Local\Symantec
2012-05-18 10:20:58	--------	d-----w-	C:\Users\tenni\AppData\Local\NPE
2012-05-17 21:33:29	--------	d-----w-	C:\Windows\pss
2012-05-17 20:28:07	--------	d-----w-	C:\Temp
2012-05-17 16:32:15	--------	d-----w-	C:\Program Files (x86)\Astonsoft
2012-05-17 11:47:03	--------	d-----w-	C:\Users\tenni\AppData\Roaming\EeeStorageUploader
2012-05-12 13:45:08	1544704	----a-w-	C:\Windows\System32\DWrite.dll
2012-05-12 13:45:07	1077248	----a-w-	C:\Windows\SysWow64\DWrite.dll
2012-05-12 13:45:00	5559664	----a-w-	C:\Windows\System32\ntoskrnl.exe
2012-05-12 13:44:57	3146240	----a-w-	C:\Windows\System32\win32k.sys
2012-05-12 13:44:56	3968368	----a-w-	C:\Windows\SysWow64\ntkrnlpa.exe
2012-05-12 13:44:55	3913072	----a-w-	C:\Windows\SysWow64\ntoskrnl.exe
2012-05-12 10:00:08	75120	----a-w-	C:\Windows\System32\drivers\partmgr.sys
2012-05-12 10:00:06	1918320	----a-w-	C:\Windows\System32\drivers\tcpip.sys
2012-05-12 09:59:59	1732096	----a-w-	C:\Program Files\Windows Journal\NBDoc.DLL
2012-05-12 09:59:59	1367552	----a-w-	C:\Program Files\Common Files\Microsoft Shared\ink\journal.dll
2012-05-12 09:59:58	936960	----a-w-	C:\Program Files (x86)\Common Files\Microsoft Shared\ink\journal.dll
2012-05-12 09:59:57	1402880	----a-w-	C:\Program Files\Windows Journal\JNWDRV.dll
2012-05-12 09:59:57	1393664	----a-w-	C:\Program Files\Windows Journal\JNTFiltr.dll
2012-05-06 16:35:29	476960	----a-w-	C:\Windows\SysWow64\npdeployJava1.dll
2012-05-06 16:35:29	472864	----a-w-	C:\Windows\SysWow64\deployJava1.dll
2012-05-01 19:44:37	23408	----a-w-	C:\Windows\System32\drivers\fs_rec.sys
2012-05-01 19:44:35	81408	----a-w-	C:\Windows\System32\imagehlp.dll
2012-05-01 19:44:35	159232	----a-w-	C:\Windows\SysWow64\imagehlp.dll
2012-05-01 19:44:34	5120	----a-w-	C:\Windows\SysWow64\wmi.dll
2012-05-01 19:44:34	5120	----a-w-	C:\Windows\System32\wmi.dll
2012-05-01 19:44:34	220672	----a-w-	C:\Windows\System32\wintrust.dll
2012-05-01 19:44:34	172544	----a-w-	C:\Windows\SysWow64\wintrust.dll
.
==================== Find3M  ====================
.
2012-05-18 16:01:23	175736	----a-w-	C:\Windows\System32\drivers\SYMEVENT64x86.SYS
2012-04-03 13:52:13	175616	----a-w-	C:\Windows\System32\msclmd.dll
2012-04-03 13:52:13	152576	----a-w-	C:\Windows\SysWow64\msclmd.dll
2012-02-28 06:56:48	2311168	----a-w-	C:\Windows\System32\jscript9.dll
2012-02-28 06:49:56	1390080	----a-w-	C:\Windows\System32\wininet.dll
2012-02-28 06:48:57	1493504	----a-w-	C:\Windows\System32\inetcpl.cpl
2012-02-28 06:42:55	2382848	----a-w-	C:\Windows\System32\mshtml.tlb
2012-02-28 01:18:55	1799168	----a-w-	C:\Windows\SysWow64\jscript9.dll
2012-02-28 01:11:21	1427456	----a-w-	C:\Windows\SysWow64\inetcpl.cpl
2012-02-28 01:11:07	1127424	----a-w-	C:\Windows\SysWow64\wininet.dll
2012-02-28 01:03:16	2382848	----a-w-	C:\Windows\SysWow64\mshtml.tlb
.
============= FINISH: 22:19:11,40 ===============
         
--- --- ---


Hoffentlich könnt ihr mir helfen, die Dateien wieder zu entschlüsseln und die Daten meiner Schwester zu retten!
Vielen Dank schon mal im Voraus für eure geopferte Zeit!
Angehängte Dateien
Dateityp: zip Attach.zip (2,0 KB, 55x aufgerufen)
Dateityp: zip NortonPowerEraserInfo20120518124736.zip (102,6 KB, 60x aufgerufen)
Dateityp: zip DgJlfLGxjdJDXvlf.zip (153,4 KB, 63x aufgerufen)

Geändert von Erbachsevi (24.05.2012 um 23:28 Uhr)

Alt 25.05.2012, 13:53   #2
markusg
/// Malware-holic
 
Verschlüsselungstrojaner "Windows Update" (Rechnung.zip) incl. Sperrung aller Dateien - Standard

Verschlüsselungstrojaner "Windows Update" (Rechnung.zip) incl. Sperrung aller Dateien



hi
für die zukunft:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese
schadsoftware auch updates erhält ist das wichtig.
bitte diese anfrage über facebook, und alle netzwerke die man so nutzt verbreiten, an freunde, kolegen etc senden.
damit diese dann sowas nicht öffnen, wir aber schnellst möglich diese malware erhalten
entschlüsselung:
http://www.trojaner-board.de/115496-...tml#post831090
gehts hiermit?
__________________

__________________

Alt 25.05.2012, 19:27   #3
Erbachsevi
 
Verschlüsselungstrojaner "Windows Update" (Rechnung.zip) incl. Sperrung aller Dateien - Standard

Verschlüsselungstrojaner "Windows Update" (Rechnung.zip) incl. Sperrung aller Dateien



Hi Markus,

leider kann ich dir die betreffende Mail nicht mehr schicken, da sie schon gelöscht wurde. Aber falls weitere kommen, werde ich sie dir selbstverständlich nachschicken.
Leider hatte meine Schwester die Schattenkopiefunktion nicht aktiviert, daher lässt sich nichts von vor dem Befall wiederherstellen.
Allerdings habe ich eine interessante Entdeckung gemacht: In den Recycle-Ordnern der Schattenkopie vom Tag nach der Infizierung konnte ich immerhin knapp 800 unverschlüsselte JPEG-Dateien finden und wiederherstellen. Vielleicht könntest du das als Tip in eines der Diskussionsforen schreiben. Besser 3 GB gerettete Daten als keine einzige Datei.

Vielen Dank für deinen Einsatz. Ich wünsche dir und den anderen ganz viel Glück und Erfolg bei der Arbeit an einem neuen Decrypter!

Zum jetzigen Zeitpunkt kann ich nichts weiteres machen, als zu warten, oder? Mit welchem Programm könnte ich mir denn den Quellcode der Dateien anschauen, um selbst nach Mustern und Auffälligkeiten zu suchen?
LG,
Sevi
__________________

Alt 31.05.2012, 10:31   #4
Erbachsevi
 
Verschlüsselungstrojaner "Windows Update" (Rechnung.zip) incl. Sperrung aller Dateien - Frage

Verschlüsselungstrojaner "Windows Update" (Rechnung.zip) incl. Sperrung aller Dateien



Hey Markus,

Darf ich fragen, ob in meinem Fall Hoffnung besteht, dass die Daten noch gerettet werden können? Seid ihr an ner Lösung dran oder siehts sehr schwierig aus?

LG,
Sevi

PS: Hab dir übrigens gestern per Mail einen weiteren Trojaner weitergeleitet!

Antwort

Themen zu Verschlüsselungstrojaner "Windows Update" (Rechnung.zip) incl. Sperrung aller Dateien
acrobat update, adobe, aller dateien, avira, avira searchfree toolbar, bingbar, browser, defender, entsperrung, explorer, festplatte, fotodateien, gesperrt, google, helper, home, hängen, infizierte, internet, locker, logfile, musik, problem, rundll, security, security scan, super, svchost.exe, symantec, system, usb, verschlüsselung, verschlüsselungstrojaner, vista, windows, windows 7, windows 7 home, windows update



Ähnliche Themen: Verschlüsselungstrojaner "Windows Update" (Rechnung.zip) incl. Sperrung aller Dateien


  1. Reparaturanleitungen für Dateien vom Verschlüsselungstrojaner "12 kB / neue Version"
    Diskussionsforum - 15.05.2017 (193)
  2. Windows 7: zip-File aus Mail von DirectPay mit Betreff "Offener Rechnung ..." geöffnet. Trojaner?
    Log-Analyse und Auswertung - 07.09.2015 (13)
  3. Windows 7: Fehlermeldung "ungültiges Bild" beim Aufrufen aller Programme
    Log-Analyse und Auswertung - 05.08.2015 (7)
  4. Windows 7: Beim öffnen aller Programme erscheint ein Fenster:"ungültiges Bild".
    Log-Analyse und Auswertung - 26.06.2015 (32)
  5. Windows 7: Fehlermeldung "ungültigs Bild" beim Aufrufen aller Programme
    Log-Analyse und Auswertung - 18.05.2015 (7)
  6. Problem beim Öffnen aller Programme ("Ungültiges Bild -..*.dll."st entweder..")
    Log-Analyse und Auswertung - 09.02.2015 (11)
  7. Internet Explorer öffnet Pup ups von "lpcloudbox" nach Installation von FreeYoutubeDownloader "update"
    Log-Analyse und Auswertung - 07.09.2014 (5)
  8. Trojaner aus Amazon-Rechnung "775499404.Rechnung.11.08.13.PDF.exe"
    Plagegeister aller Art und deren Bekämpfung - 10.12.2013 (16)
  9. Spammail: Mahnung von Amazon; "ownz.su"; "775499404.Rechnung.11.08.13.PDF(1).exe"
    Log-Analyse und Auswertung - 12.11.2013 (22)
  10. Dnet24 GmbH - Rechnung geöffnet - Kaspersky erkannte "Win32.inject.efmi" - Word Dateien gehen nicht
    Log-Analyse und Auswertung - 19.06.2012 (1)
  11. Verschlüsselungstrojaner ohne "Locked"/ Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (1)
  12. Dateien bleiben Verschlüsselt "Windows Update Verschlüsselungstrojaner"
    Plagegeister aller Art und deren Bekämpfung - 14.06.2012 (1)
  13. Verschlüsselungstrojaner, alle Dateien "locked" Verfahrensweise?
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (4)
  14. Verschlüsselungstrojaner hat zugeschlagen - Dateien sind ohne "Lock" Bezeichnung
    Plagegeister aller Art und deren Bekämpfung - 30.05.2012 (1)
  15. Verschlüsselungstrojaner "Microsoft Windows Lizensierung"
    Log-Analyse und Auswertung - 19.05.2012 (1)
  16. "HotFixInstallerUI.dll" und "eula.rtf" nach Update / Jetzt externe Festplatte defekt
    Plagegeister aller Art und deren Bekämpfung - 01.12.2009 (2)
  17. "TR/Dropper.Gen" wütet im "Eigene Dateien"-Ordner, Hijackthis bitte auswerten!
    Log-Analyse und Auswertung - 10.09.2009 (9)

Zum Thema Verschlüsselungstrojaner "Windows Update" (Rechnung.zip) incl. Sperrung aller Dateien - Hallo Trojaner-Board-Gemeinde, mein Problem ist einer der aktuell umlaufenden Verschlüsselungstrojaner. Es scheinen zwar alle Trojaner aus dem System entfernt zu sein, allerdings sind alle Dateien immer noch gesperrt und unbrauchbar. - Verschlüsselungstrojaner "Windows Update" (Rechnung.zip) incl. Sperrung aller Dateien...
Archiv
Du betrachtest: Verschlüsselungstrojaner "Windows Update" (Rechnung.zip) incl. Sperrung aller Dateien auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.