Hallo,

ich weiss jetyt nicht genau ob ich hier richtig bin. Ich habe das gleiche Problem wie 0705Rainer. Ich hab mir auch den Windows xp Sicherheits Trojaner eingefangen. Im Forum hab ich versucht eine Loesung fuer das Problem yu finden. Ich kann auch OTLPE starten. Was nicht funktioniert ist Malware, bin ich yu bloed. Meine Tastatur spinnt auch !!!!
Ich habe nach dem Run Scan die unten folgende Textyeilen erhalten. Bin voellig mit den Nerven runter. Mit der Bitte um Hilfe. Danke bereits vorab

OTL logfile created on: 6/1/2012 11:36:03 PM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

958.00 Mb Total Physical Memory | 632.00 Mb Available Physical Memory | 66.00% Memory free
858.00 Mb Paging File | 677.00 Mb Available in Paging File | 79.00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232.88 Gb Total Space | 190.57 Gb Free Space | 81.83% Space Free | Partition Type: NTFS
Drive H: | 3.61 Gb Total Space | 2.43 Gb Free Space | 67.46% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet004

========== Win32 Services (SafeList) ==========

SRV - File not found [Auto] -- -- (PCSpeedUpService)
SRV - File not found [On_Demand] -- -- (AppMgmt)
SRV - [2012/05/08 13:31:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012/05/08 13:31:27 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012/05/05 15:37:25 | 000,257,696 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2011/10/24 03:53:38 | 002,565,632 | ---- | M] (Deutsche Telekom AG) [Auto] -- C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe -- (Netzmanager Service)
SRV - [2009/03/31 03:39:36 | 000,233,472 | ---- | M] (Teruten) [Auto] -- C:\WINDOWS\system32\FsUsbExService.Exe -- (FsUsbExService)
SRV - [2008/04/07 03:17:30 | 000,430,592 | ---- | M] (Nokia.) [On_Demand] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2006/07/30 20:02:00 | 000,370,756 | R--- | M] (AVM Berlin) [Auto] -- C:\Programme\avmwlanstick\WLanNetService.exe -- (AVM WLAN Connection Service)
SRV - [2005/11/15 09:23:44 | 000,073,728 | ---- | M] (Hewlett-Packard Company) [Auto] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2003/07/28 06:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003/06/19 17:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- -- (wanatw) WAN Miniport (ATW)
DRV - File not found [Kernel | On_Demand] -- -- (TOMCATWAN) T-Online DynamicISDN (WDM)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

• "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
  - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
  - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
• Charakteristische Merkmale/Profilinformationen:
  - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du durch [X] oder Sternchen (*) ersetzen
• Die Systemprüfung und Bereinigung:
  - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
• Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
• Innerhalb der Betreuungszeit:
  - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
• Die Reihenfolge:
  - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
• GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
• Ansonsten unsere Forumsregeln:
  - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
• Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

Das Logfile von OTLPE nicht vollständig gepostet! Bitte versuche es nochmal

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B OTL-Logfile o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
kira

Hallo,
ich/wir (genauer gesagt ein Freund) hats geschafft den PC "wieder zum laufen" zu bringen. Windows geht wieder ganz "normal". Es sind aber alle Dateien und Links(doc,xls,jpeg, etc.) nur noch als "wirre" Buchstabenkombinationen angegeben. Hab ich die Möglichkeit die Dateien wieder in ihrer ursprünglichen Form herzustellen.

Für eure Hilfe bedanke ich mich bereits vorab.

Gruß
Jo E.

Zitat:

Zitat von somejo

Hallo,
ich/wir (genauer gesagt ein Freund) hats geschafft den PC "wieder zum laufen" zu bringen. Windows geht wieder ganz "normal". Es sind aber alle Dateien und Links(doc,xls,jpeg, etc.) nur noch als "wirre" Buchstabenkombinationen angegeben. Hab ich die Möglichkeit die Dateien wieder in ihrer ursprünglichen Form herzustellen.

Für eure Hilfe bedanke ich mich bereits vorab.

Gruß
Jo E.

Hallo.....

....ich noch mal.

Ich hab jetzt mal noch weiter gestöbert.
Mit Maleware habe ich mal den Suchlauf gestartet.
Hier das Ergebnis:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.08.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Besitzer :: PIRANHA [Administrator]

09.06.2012 01:47:02
mbam-log-2012-06-09 (01-47-02).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 208846
Laufzeit: 31 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 3
HKCU\Software\Schmidt-Pro (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 12
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer|{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Daten: ৷ෲ -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer|{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Daten: ৷ෲ -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer|{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Daten: ഐ໲ -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer|{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Daten: ഐ໲ -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{F710FA10-2031-3106-8872-93A2B5C5C620} (Trojan.Agent) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02FFAC45-0B10-5633-4296-1801F1A36678} (Trojan.Agent) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|vasja (Trojan.RansomP.Gen) -> Daten: C:\DOKUME~1\Besitzer\LOKALE~1\Temp\wpbt0.dll -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network|UID (Malware.Trace) -> Daten: PIRANHA_0013A53C -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 1
C:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Nochmals, für die Hilfe bedanke ich mich bereits vorab.

Gruß
Jo E.[/QUOTE]

Zitat:

Zitat von somejo

Ich hab jetzt mal noch weiter gestöbert.

ich/wir (genauer gesagt ein Freund) hats geschafft den PC "wieder zum laufen" zu bringen. Windows geht wieder ganz "normal".

Es sind aber alle Dateien und Links(doc,xls,jpeg, etc.) nur noch als "wirre" Buchstabenkombinationen angegeben. Hab ich die Möglichkeit die Dateien wieder in ihrer ursprünglichen Form herzustellen.

mal ehrlich, willst du die Chance verpassen um die verschlüsselten Daten wiederherstellen zu können? dann mach weiter so!
zur Erinnerung:

Zitat:

Innerhalb der Betreuungszeit:
- ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.

zur Info:

Zitat:

Achtung!:
Keine Löschaktion vornehmen, sonst kann der Vorgang der Entschlüsselung der Daten im negativen Sinne beeinflussen bzw. beeinträchtigen!
Schon gelöschte Objekte dürfen nicht vom System (Festplatte) endgültig verbannen!

bei XP sieht sowieso eher schlecht aus!
Wir sind intensiv mit der Lösung beschäftigt, wird das aber noch einige Zeit in Anspruch nehmen. Bisher leider kein Schema entdecken können, wie die Virenprogrammierern mit den Daten umgegangen sind (vlt einfach nur gestört und umbenannt?). Leider mußt du damit rechnen, diese Änderung vlt so gut wie nie rückgängig zu machen können.
Zwar stehen versch. Entschlüsselungsprogramme von namhaften Virenprogramm Herstellern uns zur Verfügung, allerdings waren bisher alle Versuche erfolglos

► Da sieht man wieder einmal wie wichtig ist, um die regelmäßige Sicherung ihrer wichtigen Dateien zu kümmern bzw extern sichern. am besten 2x an verschiedenen Orten sichern! (externe Festplatte, USB-Stick, CD/DVD)!
- Externe Datenträger NUR bei Bedarf anschließen, also NICHT an den PC permanent anschließen!

beantworte mir bitte folgende Fragen:
► Welche Art und Weise wurden die Daten (Eigene Dateien wie Bilder, Dokumente, Musik etc) bereits verschlüsselt? Kannst Du ein Beispiel nennen? Dateiändung wurden zugefügt (z.B "locked- .wxyz"), oder nach einem Zufallsprinzip besteht ein Dateiname aus Groß und Kleinbuchstaben (wie z.B QsEEUTODXNVqyssQ)?
Nämlich manche Varianten lassen sich entschlüsseln, andere wieder leider nicht..

Hallo,
ja, nein, natürlich will ich die Chance nicht verpassen die Daten zu retten !!!
Der "ganze Mist" mit dem Trojaner ließ mir einfach keine Ruhe!!!!

Zu deiner Frage:
Alle Dateien bzw. Dateinamen (doc,xls.jpeg, etc....) wurden in sinnlose Buchstabenkombinationen aus Groß - und Kleinbuchstaben umgewandelt.
Davon betroffen sind auch meine Links/Verknüpfungen fürs Intenet.
(hier ein Beispiel für einen "Dateinamen" : EdeJxEdsJxEdeJxEdsJ oder dATrLdAarLdATr)

Bis bald, Gruß

Jo E.

Zitat:

Zitat von kira

mal ehrlich, willst du die Chance verpassen um die verschlüsselten Daten wiederherstellen zu können? dann mach weiter so!
zur Erinnerung:


zur Info:



bei XP sieht sowieso eher schlecht aus!
Wir sind intensiv mit der Lösung beschäftigt, wird das aber noch einige Zeit in Anspruch nehmen. Bisher leider kein Schema entdecken können, wie die Virenprogrammierern mit den Daten umgegangen sind (vlt einfach nur gestört und umbenannt?). Leider mußt du damit rechnen, diese Änderung vlt so gut wie nie rückgängig zu machen können.
Zwar stehen versch. Entschlüsselungsprogramme von namhaften Virenprogramm Herstellern uns zur Verfügung, allerdings waren bisher alle Versuche erfolglos

► Da sieht man wieder einmal wie wichtig ist, um die regelmäßige Sicherung ihrer wichtigen Dateien zu kümmern bzw extern sichern. am besten 2x an verschiedenen Orten sichern! (externe Festplatte, USB-Stick, CD/DVD)!
- Externe Datenträger NUR bei Bedarf anschließen, also NICHT an den PC permanent anschließen!

beantworte mir bitte folgende Fragen:
► Welche Art und Weise wurden die Daten (Eigene Dateien wie Bilder, Dokumente, Musik etc) bereits verschlüsselt? Kannst Du ein Beispiel nennen? Dateiändung wurden zugefügt (z.B "locked- .wxyz"), oder nach einem Zufallsprinzip besteht ein Dateiname aus Groß und Kleinbuchstaben (wie z.B QsEEUTODXNVqyssQ)?
Nämlich manche Varianten lassen sich entschlüsseln, andere wieder leider nicht..

habe es befürchtet...
Ich habe leider eine schlechte Nachricht für Dich:
Diese Art der Verschlüsselung ist momentan nicht reparierbar!


Also kommen folgende Möglichkeiten in Frage:
1.
Wenn die Daten Dir wichtig sind:
Die einzige Möglichkeit deine Daten zu retten ist (wenn schon dann irgendwann):
Festplatte ausbauen (also aufheben in den aktuellen Zustand) nicht mehr etwas löschen, ändern! eine neue Festplatte kaufen und einbauen, Windows drauf installieren damit Du am PC arbeiten kannst!
Die befallene Platte auf Seite legen und warten solange, bis es eine Lösung gibt

2.
kannst Du dann die hier vorgeschlagenen Methoden ausprobieren (Rechner vom Internet und Netzwerk trennen):
-> Outlook reparieren
-> So reparieren Sie beschädigte Word-Dokumente
-> unter dem Titel: Weitere Lösungsansätze

3.
Wenn Dir die Daten nicht wichtig sind, so kann ich Dir eher empfehlen die Festplatte formatieren und Windows neu einrichten