Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: sie haben sich mit einem windows verschlüsselungs trojaner infiziert

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 30.05.2012, 19:49   #1
HansP12345
 
sie haben sich mit einem windows verschlüsselungs trojaner infiziert - Unglücklich

sie haben sich mit einem windows verschlüsselungs trojaner infiziert



Hallo zusammen,
habe mich jetzt bereits seit ein paar Stunden hier im Board über das aktuelle Thema eingelesen...

wäre euch sehr dankbar wenn mir jemand zur folgenden OTL eine fix file erstellen könnte.

Vielen Dank im Vorraus



OTL logfile created on: 5/30/2012 9:36:58 PM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

767.00 Mb Total Physical Memory | 574.00 Mb Available Physical Memory | 75.00% Memory free
707.00 Mb Paging File | 587.00 Mb Available in Paging File | 83.00% Paging File free
Paging file location(s): C:\pagefile.sys 576 1152 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 19.53 Gb Total Space | 10.11 Gb Free Space | 51.73% Space Free | Partition Type: NTFS
Drive D: | 18.63 Gb Total Space | 17.88 Gb Free Space | 95.96% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet003

========== Win32 Services (SafeList) ==========

SRV - File not found [Auto] -- -- (MSI LCDControl Service)
SRV - File not found [Disabled] -- -- (HidServ)
SRV - [2012/05/08 15:09:31 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012/05/06 03:12:55 | 000,257,696 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012/04/01 03:31:44 | 000,428,200 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2012/04/01 03:31:43 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/04/21 01:52:51 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2009/10/21 13:15:38 | 000,288,768 | ---- | M] (T-Systems International GmbH) [Auto] -- C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe -- (DFSVC)
SRV - [2008/04/13 22:22:23 | 000,105,472 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\WINDOWS\system32\p2pgasvc.dll -- (p2pgasvc)
SRV - [2003/07/28 07:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- -- (SetupNTGLM7X)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | On_Demand] -- -- (NTACCESS)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | On_Demand] -- -- (GMSIPCI)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - [2012/04/01 03:31:48 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012/04/01 03:31:48 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010/02/11 08:02:15 | 000,226,880 | ---- | M] (Microsoft Corporation) [Kernel | System] -- C:\WINDOWS\system32\drivers\tcpip6.sys -- (Tcpip6)
DRV - [2009/10/15 13:14:38 | 000,024,352 | ---- | M] (T-Systems International GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SipIMNDI.sys -- (SipIMNDI)
DRV - [2009/10/15 13:14:38 | 000,014,624 | ---- | M] (T-Systems International GmbH) [Kernel | On_Demand] -- C:\Programme\T-Online\Dialerschutz-Software\DFSYS.sys -- (DFSYS)
DRV - [2009/10/08 11:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/09/29 10:05:15 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008/04/13 14:45:29 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2007/03/13 11:52:48 | 000,642,560 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)
DRV - [2006/05/03 12:50:42 | 001,540,608 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2006/02/14 06:34:40 | 000,244,736 | R--- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\hsxhwbs2.sys -- (HSXHWBS2)
DRV - [2004/08/03 17:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)
DRV - [2001/08/17 09:00:04 | 000,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\msmpu401.sys -- (ms_mpu401)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========



IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\Andreas_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\Andreas_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0




========== FireFox ==========


FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: D:\Programme\Mozilla Firefox\components [2012/05/08 15:09:31 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2012/04/17 14:35:45 | 000,000,000 | ---D | M]

[2011/07/20 15:34:14 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\mozilla\Extensions
[2011/07/20 15:34:14 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\mozilla\Extensions\{a79fe89b-6662-4ff4-8e88-09950ad4dfde}
[2012/05/06 03:17:14 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\mozilla\Firefox\Profiles\x7rs0jua.default\extensions
[2010/05/02 10:21:07 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\mozilla\Firefox\Profiles\x7rs0jua.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009/12/06 04:47:53 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\mozilla\Firefox\Profiles\x7rs0jua.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2012/04/01 03:38:36 | 000,000,000 | ---D | M] (Avira SearchFree Toolbar plus Web Protection) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\mozilla\Firefox\Profiles\x7rs0jua.default\extensions\toolbar@ask.com

O1 HOSTS File: ([2002/12/31 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe Photo Downloader] C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [T-Home Dialerschutz-Software] C:\Programme\T-Online\Dialerschutz-Software\Defender.exe (T-Systems International GmbH)
O4 - HKU\Andreas_ON_C..\Run: [A41C0D16] C:\WINDOWS\system32\4D3650CAA41C0D16F63E.exe (Корпорация Майкрософт)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Andreas_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Andreas_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Andreas_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Andreas_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - D:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Programme\Microsoft Office\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000025 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\4D3650CAA41C0D16F63E.exe) - C:\WINDOWS\system32\4D3650CAA41C0D16F63E.exe (Корпорация Майкрософт)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper:
O24 - Desktop BackupWallPaper:
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007/03/08 16:39:17 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2012/05/20 04:34:58 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2012/05/20 03:28:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Pgelel
[2012/05/20 03:27:50 | 000,090,112 | -H-- | C] (Корпорация Майкрософт) -- C:\WINDOWS\System32\4D3650CAA41C0D16F63E.exe
[2012/05/08 15:09:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla
[2012/05/08 15:09:37 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Maintenance Service
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2012/05/30 13:23:03 | 000,000,230 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2012/05/30 13:21:58 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/05/30 13:21:55 | 804,835,328 | -HS- | M] () -- C:\hiberfil.sys
[2012/05/30 11:19:51 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/05/27 03:27:14 | 000,002,427 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Microsoft Office Excel 2003.lnk
[2012/05/23 15:11:45 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012/05/20 04:50:37 | 000,320,336 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012/05/20 04:37:07 | 000,448,898 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/05/20 04:37:07 | 000,432,784 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/05/20 04:37:07 | 000,080,338 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/05/20 04:37:07 | 000,067,740 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012/05/20 04:29:39 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012/05/20 03:27:50 | 000,090,112 | -H-- | M] (Корпорация Майкрософт) -- C:\WINDOWS\System32\4D3650CAA41C0D16F63E.exe
[2012/05/11 15:50:50 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323
[2012/05/11 15:50:40 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322
[2012/05/11 15:50:32 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321
[2012/05/11 15:50:22 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320
[2012/05/06 03:12:54 | 000,419,488 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2012/05/06 03:12:54 | 000,070,304 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2012/05/22 13:59:11 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325
[2012/05/22 13:59:11 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012/05/22 13:59:11 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012/05/22 13:59:11 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012/05/22 13:59:11 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012/05/22 13:59:11 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320
[2012/02/28 13:32:30 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011/07/25 13:32:22 | 000,000,051 | ---- | C] () -- C:\WINDOWS\WWWBATCH.INI
[2011/07/18 09:32:44 | 000,520,192 | ---- | C] () -- C:\WINDOWS\System32\ati2sgag.exe
[2011/04/22 14:09:09 | 000,001,940 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\{96C87F53-AC72-4604-A9CC-186A49F17F3C}.ini
[2011/04/02 13:57:00 | 000,000,010 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2008/12/21 14:21:13 | 000,000,193 | ---- | C] () -- C:\WINDOWS\hppsapp.INI
[2007/07/31 13:16:33 | 000,004,608 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007/07/14 16:00:33 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2007/07/12 15:59:29 | 000,049,152 | ---- | C] () -- C:\WINDOWS\unP500Z.dll
[2007/06/28 16:43:46 | 000,398,848 | ---- | C] () -- C:\WINDOWS\01SETU32.EXE
[2007/06/28 16:43:46 | 000,153,088 | ---- | C] () -- C:\WINDOWS\SWE_SUP.DLL
[2007/06/28 16:43:46 | 000,153,088 | ---- | C] () -- C:\WINDOWS\NOR_SUP.DLL
[2007/06/28 16:43:46 | 000,007,267 | ---- | C] () -- C:\WINDOWS\LANGUAGE.INI
[2007/06/28 16:43:45 | 000,185,555 | ---- | C] () -- C:\WINDOWS\CHS_SUP.DLL
[2007/06/28 16:43:45 | 000,155,648 | ---- | C] () -- C:\WINDOWS\GER_SUP.DLL
[2007/06/28 16:43:45 | 000,155,648 | ---- | C] () -- C:\WINDOWS\FRE_SUP.DLL
[2007/06/28 16:43:45 | 000,155,136 | ---- | C] () -- C:\WINDOWS\SPA_SUP.DLL
[2007/06/28 16:43:45 | 000,155,136 | ---- | C] () -- C:\WINDOWS\POR_SUP.DLL
[2007/06/28 16:43:45 | 000,155,136 | ---- | C] () -- C:\WINDOWS\DUT_SUP.DLL
[2007/06/28 16:43:45 | 000,153,088 | ---- | C] () -- C:\WINDOWS\UK__SUP.DLL
[2007/06/28 16:43:45 | 000,153,088 | ---- | C] () -- C:\WINDOWS\FIN_SUP.DLL
[2007/06/28 16:43:45 | 000,153,088 | ---- | C] () -- C:\WINDOWS\ENG_SUP.DLL
[2007/06/28 16:43:45 | 000,153,088 | ---- | C] () -- C:\WINDOWS\DAN_SUP.DLL
[2007/06/28 16:43:45 | 000,144,896 | ---- | C] () -- C:\WINDOWS\CHT_SUP.DLL
[2007/06/28 16:43:44 | 000,155,136 | ---- | C] () -- C:\WINDOWS\ITA_SUP.DLL
[2007/06/28 15:57:20 | 000,000,130 | ---- | C] () -- C:\WINDOWS\01winver.ini
[2007/04/01 09:25:49 | 000,095,232 | ---- | C] () -- C:\WINDOWS\System32\Lfkodak.dll
[2007/04/01 09:25:48 | 000,306,688 | ---- | C] () -- C:\WINDOWS\System32\Lffpx7.dll
[2007/03/18 04:50:47 | 000,001,273 | ---- | C] () -- C:\WINDOWS\mozver.dat
[2007/03/16 15:41:51 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2007/03/15 15:26:29 | 000,000,000 | ---- | C] () -- C:\WINDOWS\mtstack.INI
[2007/03/15 15:26:28 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\mtstack.exe
[2007/03/13 11:39:55 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll
[2007/03/13 11:39:50 | 000,004,331 | ---- | C] () -- C:\WINDOWS\mixerdef.ini
[2007/03/13 11:39:01 | 000,000,249 | ---- | C] () -- C:\WINDOWS\CMISETUP.INI
[2007/03/11 08:08:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2007/03/11 07:42:12 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2007/03/08 16:43:43 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2007/03/08 16:34:10 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2006/04/28 16:05:14 | 000,127,614 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2002/12/31 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2002/12/31 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2002/12/31 08:00:00 | 000,448,898 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2002/12/31 08:00:00 | 000,432,784 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2002/12/31 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2002/12/31 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2002/12/31 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2002/12/31 08:00:00 | 000,080,338 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2002/12/31 08:00:00 | 000,067,740 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2002/12/31 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2002/12/31 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2002/12/31 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2002/12/31 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2002/12/31 08:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2002/12/31 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2002/12/31 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2001/01/01 21:47:39 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2001/01/01 21:44:29 | 000,320,336 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT

========== LOP Check ==========

[2011/01/02 07:45:05 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\.#
[2011/07/20 15:34:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\conkeror.mozdev.org
[2011/07/20 15:34:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\lingDIALOG
[2012/05/20 03:28:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Pgelel
[2009/02/23 09:00:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV
[2011/05/27 14:24:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HotSpot Manager
[2009/11/09 14:59:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Netzmanager
[2009/11/09 17:35:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
[2009/11/15 04:23:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{7B6BA59A-FB0E-4499-8536-A7420338BF3B}
[2012/05/30 13:23:03 | 000,000,230 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

========== Purity Check ==========


< End of report >

Alt 31.05.2012, 09:31   #2
kira
/// Helfer-Team
 
sie haben sich mit einem windows verschlüsselungs trojaner infiziert - Standard

sie haben sich mit einem windows verschlüsselungs trojaner infiziert



Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Zitat:
  • "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
    - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
    - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
  • Charakteristische Merkmale/Profilinformationen:
    - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du durch [X] oder Sternchen (*) ersetzen
  • Die Systemprüfung und Bereinigung:
    - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
  • Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
  • Innerhalb der Betreuungszeit:
    - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
  • Die Reihenfolge:
    - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
  • GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
  • Ansonsten unsere Forumsregeln:
    - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
  • Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen
► Weißt Du vlt welche Art und Weise wurden die Daten bereits verschlüsselt? Kannst Du ein Beispiel nennen? Dateiändung wurden zugefügt (z.B "locked- .wxyz"), oder nach einem Zufallsprinzip besteht ein Dateiname aus Groß und Kleinbuchstaben (wie z.B QsEEUTODXNVqyssQ)?

gruß
kira
__________________

__________________

Antwort

Themen zu sie haben sich mit einem windows verschlüsselungs trojaner infiziert
adobe, antivir, avira, avira searchfree toolbar, bho, desktop, disabletaskmgr, downloader, einstellungen, error, excel, explorer, file, firefox, flash player, format, homepage, hotspot, infiziert, logfile, mozilla, photoshop, plug-in, realtek, registry, scan, trojaner, windows, windows xp



Ähnliche Themen: sie haben sich mit einem windows verschlüsselungs trojaner infiziert


  1. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Plagegeister aller Art und deren Bekämpfung - 28.06.2012 (1)
  2. Sie haben sich mit einem Windows Verschlüsselungs Trojaner infiziert.
    Log-Analyse und Auswertung - 18.06.2012 (9)
  3. OTL.txt ""sie haben sich mit einem windows-verschlüsselungs trojaner infiziert", ich bitte um hilfe.
    Log-Analyse und Auswertung - 10.06.2012 (3)
  4. Windows XP: "Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert."
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (2)
  5. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert. XP
    Alles rund um Windows - 10.06.2012 (2)
  6. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 31.05.2012 (1)
  7. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 28.05.2012 (15)
  8. Sie haben sich mit einem Windows Verschlüsselungs Trojaner infiziert. PC reinigen.
    Log-Analyse und Auswertung - 23.05.2012 (9)
  9. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 17.05.2012 (2)
  10. sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 11.05.2012 (27)
  11. Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 100€ Paysafe
    Log-Analyse und Auswertung - 05.05.2012 (11)
  12. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 04.05.2012 (15)
  13. Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash
    Log-Analyse und Auswertung - 04.05.2012 (9)
  14. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Plagegeister aller Art und deren Bekämpfung - 01.05.2012 (9)
  15. Sie haben sich mit einem windows-verschlüsselungs trojaner infiziert
    Plagegeister aller Art und deren Bekämpfung - 27.04.2012 (7)
  16. Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert uKash
    Log-Analyse und Auswertung - 27.04.2012 (1)
  17. Sie haben sich mit einen Windows-Verschlüsselungs-Trojaner infiziert.
    Plagegeister aller Art und deren Bekämpfung - 27.04.2012 (10)

Zum Thema sie haben sich mit einem windows verschlüsselungs trojaner infiziert - Hallo zusammen, habe mich jetzt bereits seit ein paar Stunden hier im Board über das aktuelle Thema eingelesen... wäre euch sehr dankbar wenn mir jemand zur folgenden OTL eine fix - sie haben sich mit einem windows verschlüsselungs trojaner infiziert...
Archiv
Du betrachtest: sie haben sich mit einem windows verschlüsselungs trojaner infiziert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.