| |
| |||||||
Log-Analyse und Auswertung: Verschlüsselungs Trojaner - XP startet nicht im abgesicherten ModusWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
15.06.2012, 17:22
| #31 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Verschlüsselungs Trojaner - XP startet nicht im abgesicherten Modus Hast schon den abgesicherten Modus mit Netzwerktreibern probiert? 
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
16.06.2012, 07:14
| #32 |
 | Verschlüsselungs Trojaner - XP startet nicht im abgesicherten Modus Hallo Arne.
__________________Klappt auch nicht. Gleiches Problem. Gruß Gabriel |
|
17.06.2012, 20:12
| #33 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Verschlüsselungs Trojaner - XP startet nicht im abgesicherten Modus Dann überspringen wir CF erstmal
__________________Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.
__________________ |
|
17.06.2012, 22:45
| #34 |
| | Verschlüsselungs Trojaner - XP startet nicht im abgesicherten Modus Hallo Arne, hier zwei erste Logs: GMER Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit quick scan 2012-06-17 23:26:44
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 IC35L040AVVA07-0 rev.VA2OA52A
Running: xd1hom0z.exe; Driver: C:\DOKUME~1\MILESD~1\LOKALE~1\Temp\uxtdypob.sys
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
Code:
ATTFilter OSAM Logfile: Gabriel Und hier das log von aswMBR Code:
ATTFilter aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-06-17 23:49:07
-----------------------------
23:49:07.947 OS Version: Windows 5.1.2600 Service Pack 2
23:49:07.947 Number of processors: 1 586 0x700
23:49:07.977 ComputerName: VOODOO UserName:
23:49:09.670 Initialize success
00:05:05.484 AVAST engine defs: 12061700
00:05:46.894 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
00:05:46.894 Disk 0 Vendor: IC35L040AVVA07-0 VA2OA52A Size: 39266MB BusType: 3
00:05:46.944 Disk 0 MBR read successfully
00:05:46.944 Disk 0 MBR scan
00:05:47.034 Disk 0 Windows XP default MBR code
00:05:47.044 Disk 0 Partition 1 80 (A) 0B FAT32 MSWIN4.1 7169 MB offset 63
00:05:47.054 Disk 0 Partition - 00 0F Extended LBA 32090 MB offset 14683410
00:05:47.064 Disk 0 Partition 2 00 0B FAT32 MSWIN4.1 5436 MB offset 14683473
00:05:47.074 Disk 0 Partition - 00 05 Extended 1341 MB offset 25816455
00:05:47.084 Disk 0 Partition 3 00 06 FAT16 MSWIN4.0 1341 MB offset 25816518
00:05:47.094 Disk 0 Partition - 00 05 Extended 1341 MB offset 39696615
00:05:47.104 Disk 0 Partition 4 00 06 FAT16 MSWIN4.0 1341 MB offset 28563633
00:05:47.104 Disk 0 Partition - 00 05 Extended 4094 MB offset 45190845
00:05:47.124 Disk 0 Partition 5 00 0B FAT32 MSWIN4.1 4094 MB offset 31310748
00:05:47.334 Disk 0 Partition - 00 05 Extended 5977 MB offset 56323890
00:05:47.354 Disk 0 Partition 6 00 0B FAT32 MSWIN4.1 5977 MB offset 39696678
00:05:47.364 Disk 0 Partition - 00 05 Extended 3396 MB offset 76951350
00:05:47.384 Disk 0 Partition 7 00 0B FAT32 MSWIN4.1 3396 MB offset 51938208
00:05:47.404 Disk 0 Partition - 00 05 Extended 6502 MB offset 96149025
00:05:47.414 Disk 0 Partition 8 00 0B FAT32 MSWIN4.1 6502 MB offset 58894353
00:05:47.424 Disk 0 Partition - 00 05 Extended 4000 MB offset 116423055
00:05:47.454 Disk 0 Partition 9 00 0B FAT32 MSWIN4.1 4000 MB offset 72212238
00:05:47.484 Disk 0 scanning sectors +80405325
00:05:47.545 Disk 0 scanning C:\WINDOWS\system32\drivers
00:06:03.087 Service scanning
00:06:57.916 Modules scanning
00:07:25.185 Disk 0 trace - called modules:
00:07:25.205 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
00:07:25.215 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x82fd8ab8]
00:07:25.225 3 CLASSPNP.SYS[f756f05b] -> nt!IofCallDriver -> \Device\0000005c[0x82f979e8]
00:07:25.235 5 ACPI.sys[f74e4620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x82f7a940]
00:07:25.946 AVAST engine scan C:\WINDOWS
00:07:33.267 AVAST engine scan C:\WINDOWS\system32
00:10:58.702 AVAST engine scan C:\WINDOWS\system32\drivers
00:11:26.432 AVAST engine scan C:\Dokumente und Einstellungen\miles davis
00:13:08.659 AVAST engine scan C:\Dokumente und Einstellungen\All Users
00:13:19.835 Scan finished successfully
00:29:06.456 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\miles davis\Desktop\MBR.dat"
00:29:06.456 The log file has been saved successfully to "C:\Dokumente und Einstellungen\miles davis\Desktop\aswMBR.txt"
|
|
18.06.2012, 10:48
| #35 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Verschlüsselungs Trojaner - XP startet nicht im abgesicherten Modus Partition nach NTFS konvertieren: 1) Start, Ausführen, cmd eintippen und ok
__________________ Logfiles bitte immer in CODE-Tags posten |
|
18.06.2012, 18:03
| #36 |
| | Verschlüsselungs Trojaner - XP startet nicht im abgesicherten Modus Hallo Arne, so - ist konvertiert. Gruß Gabriel |
|
18.06.2012, 21:15
| #37 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Verschlüsselungs Trojaner - XP startet nicht im abgesicherten Modus Ok. Ich würde dir wirklich noch raten an den Partitionen was zu ändern, aber letzteendes musst du das entscheiden. Ich halte viele kleine Partitionen für zu unflexibel und man kanhin n den Speicherplatz der ohnerel. kleinen Platte mit 40GB nicht effektiv genug verwenden. Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
19.06.2012, 00:55
| #38 |
| | Verschlüsselungs Trojaner - XP startet nicht im abgesicherten Modus Hallo Arne, hier die Logs: Malwarebytes Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.18.07 Windows XP Service Pack 2 x86 FAT32 Internet Explorer 6.0.2900.2180 miles davis :: VOODOO [Administrator] Schutz: Aktiviert 18.06.2012 22:49:45 mbam-log-2012-06-18 (22-49-45).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 228984 Laufzeit: 42 Minute(n), 2 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com
Generated 06/19/2012 at 01:39 AM
Application Version : 5.0.1150
Core Rules Database Version : 8757
Trace Rules Database Version: 6569
Scan type : Complete Scan
Total Scan Time : 01:49:55
Operating System Information
Windows XP Professional 32-bit, Service Pack 2 (Build 5.01.2600)
Administrator
Memory items scanned : 443
Memory threats detected : 0
Registry items scanned : 32995
Registry threats detected : 0
File items scanned : 107524
File threats detected : 376
Adware.Tracking Cookie
Rogue.Agent/Gen-Nullo[DLL]
C:\WINDOWS\SYSTEM32\KBDRO098M.DLL
Gabriel |
|
19.06.2012, 08:30
| #39 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Verschlüsselungs Trojaner - XP startet nicht im abgesicherten ModusZitat:
System ansonsten soweit in Ordnung? Wenn ja unbedingt jetzt an die Updates denken!
Achte beim Setup des IE8 wieder dadrauf, dass vorher möglichst alle Programme beendet und der Virenscanner deaktiviert wurde. Im Setup selbst bitte nicht an dem Verbesserungsprogramm teilnehmen (oder wie MS das nennt) und auch KEINE Updates über das Setup installieren. Die installieren wir später, ich sag dir dann wie. Melde dich wenn der IE8 drauf ist.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.06.2012, 09:00
| #40 |
| | Verschlüsselungs Trojaner - XP startet nicht im abgesicherten Modus Hallo Arne, SP3 hab ich jetzt drauf - mußte danach erstmal zwei große andere Programme deinstallieren, weil der Speichre auf c: fast verbraucht war. Ich arbeite in der Regel mit Mozilla Firefox als Browser. Meinst du, ich sollte trotzdem IE8 installieren? Bzw. würdest du generell eher IE8 als Firefox benutzen? Internet Explorer war bei mir früher eher instabil. Ich hab allerdings einfach auch ne echt alte Maschine mit wenig Speicher und ziemlich geringer Rechenleistung. Gruß Gabriel |
|
20.06.2012, 10:09
| #41 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Verschlüsselungs Trojaner - XP startet nicht im abgesicherten ModusZitat:
Zitat:
 Wegen der Verschlüsselung: Obige Hinweise beachten Da sind mittlerweile 8 Tools, musst du ausprobieren Man darf aber keine falschen Hoffnungen machen. Mittlerweile sieht es finster aus => Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt Für die Zukunft unbedingt mal das Backup-Konzept überdenken! Denkanstoß hier => http://www.trojaner-board.de/115678-...r-backups.html Abgesehen davon wären wir aber durch Entfern bitte noch nichts aus der Quarantäne, die schädlichen Dateien, Ordner etc die wir gelöscht haben, liegen noch als Sicherheitskopie in diversen Ordner wie Qoobox oder _OTL/MovedFiles - die werden evtl. noch für eine Entschlüsselung benötigt Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Adobe - Andere Version des Adobe Flash Player installieren Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
22.06.2012, 07:58
| #42 |
| | Verschlüsselungs Trojaner - XP startet nicht im abgesicherten Modus Hallo Arne, neben XP SP3 hab ich jetzt IE8 drauf und die Updates installiert. Nu ist erstmal meine System-Partition C: komplett voll. Ich hatte da noch zwei Programme recht große Programme drauf, die ich nicht brauche und die runtergeschmissen, aber der Speicherplatz (6,98 GB) reicht einfach nicht. Also müsste ich wohl, damit überhaupt auf C: irgendwas geht, erstmal die Partition vergrößern. Partitionieren hab ich bislang mit Partition Magic gemacht. Ist das gut oder gibt es passendere Lösungen? Und: hast du ne Idee, wie groß die Systempartition sein müßte, damit sie ungefähr reicht? Die Festplatte ist halt nur 40GB groß - ist einfach eine alte Maschine, die bislang gereicht hat. Nur für die neueste XP Version mit allen Updates scheint es ziemlich eng zu werden. Gruß Gabriel |
|
22.06.2012, 10:47
| #43 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Verschlüsselungs Trojaner - XP startet nicht im abgesicherten ModusZitat:
Ich schlage vor du sicherst erst mal alles, dann löscht du alle Partitionen außer C: Danach hast du einen großen unzugeordneten Bereich. Mit zB sowas wie GParted kannst du diesen Bereich Laufwerk C: zuordnen GParted ist auf der kostenlosen Live-CD PartedMagic enthalten => http://filepony.de/download-parted_magic/ 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Verschlüsselungs Trojaner - XP startet nicht im abgesicherten Modus |
| antivir, aus mail, avira, bho, browser, cdburnerxp, conduit, desktop, disabletaskmgr, dsl, error, firefox, flash player, format, google, helper, internet, kein internet, launch, logfile, mozilla, mp3, nicht erkennt, plug-in, realtek, registry, safer networking, scan, software, system, trojaner, verschlüsselungstrojaner windows xp, windows, wlan-stick |
Linear-Darstellung
