Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt

Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt


Log-Analyse und Auswertung: Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 10.06.2012, 17:13   #5
thebrain
 
Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt - Standard

Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt


Hallo, sorry ,
hier die LOGs von Malwarebytes

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.31.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: FREY3 [Administrator]

Schutz: Aktiviert

31.05.2012 20:34:24
mbam-log-2012-05-31 (20-34-24).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 288489
Laufzeit: 28 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
D:\Temp\ms0cfg32.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
und MWTI eScan
Code:
ATTFilter
31 Mai 2012 22:47:32 - **********************************************************31 Mai 2012 22:47:32 - eScan Antivirus und Spyware Werkzeugsatz.31 Mai 2012 22:47:32 - Copyright © MicroWorld31 Mai 2012 22:47:32 - **********************************************************31 Mai 2012 22:47:32 - Source: E:\Service\mwti\mwav.exe31 Mai 2012 22:47:32 - Version 12.0.236 (D:\TEMP\MEXETMP.EX~)31 Mai 2012 22:47:32 - Logdatei: d:\Temp\MWAV.LOG31 Mai 2012 22:47:32 - MWAV Registered: TRUE31 Mai 2012 22:47:32 - User Account: Administrator (Administrator Mode)31 Mai 2012 22:47:32 - OS Type: Windows Workstation31 Mai 2012 22:47:32 - OS: Windows XP [OS Install Date: 07 Dec 2006 10:12:30]31 Mai 2012 22:47:32 - Ver: Service Pack 3 (Build 2600)31 Mai 2012 22:47:32 - System Up Time: 1 Hour, 6 Minutes, 50 Seconds31 Mai 2012 22:47:32 - Windows Root  Folder: C:\WINDOWS31 Mai 2012 22:47:32 - Windows Sys32 Folder: C:\WINDOWS\system3231 Mai 2012 22:47:33 - DHCP NameServer: 192.168.1.131 Mai 2012 22:47:33 - Interface0 DHCPNameServer: 192.168.1.131 Mai 2012 22:47:33 - Interface0 NameServer: 192.168.2.131 Mai 2012 22:47:33 - Local Fixed Drives: c:\,d:\,e:\,f:\,h:\,i:\,j:\31 Mai 2012 22:47:33 - MWAV Mode: Scan and Clean files (for viruses, adware and spyware)31 Mai 2012 22:47:33 - [CREATED ZIP FILE: d:\temp\pinfect.zip] 31 Mai 2012 22:47:33 - ********** Die in den letzten 14 Tagen im Windows- und ROOT-Ordner erstellten/modifizierten Dateien **********31 Mai 2012 22:47:34 - C:\WINDOWS\R.COM (153600), 31-May-2012, Microsoft Corporation, Betriebssystem Microsoft® Windows®31 Mai 2012 22:47:35 - C:\WINDOWS\RegBootClean.exe (102400), 31-May-2012 [Added C:\WINDOWS\RegBootClean.exe to ZIP FILE]31 Mai 2012 22:47:35 - C:\WINDOWS\system32\eEmpty.exe (34048), 31-May-2012, MicroWorld Technologies Inc., eScan For Windows31 Mai 2012 22:47:35 - C:\WINDOWS\system32\msvcp90.dll (572928), 31-May-2012, Microsoft Corporation, Microsoft® Visual Studio® 200831 Mai 2012 22:47:35 - C:\WINDOWS\system32\msvcr90.dll (655872), 31-May-2012, Microsoft Corporation, Microsoft® Visual Studio® 200831 Mai 2012 22:47:35 - C:\WINDOWS\system32\T.COM (140800), 31-May-2012, Microsoft Corporation, Betriebssystem Microsoft® Windows®31 Mai 2012 22:47:35 - C:\WINDOWS\system32\TASKMGR.COM (140800), 31-May-2012, Microsoft Corporation, Betriebssystem Microsoft® Windows®31 Mai 2012 22:47:36 - C:\directX3.dll (86016), 13-Feb-1601 [Added C:\directX3.dll to ZIP FILE]31 Mai 2012 22:47:36 - C:\mudGE.dll (245760), 13-Feb-1601 [Added C:\mudGE.dll to ZIP FILE]31 Mai 2012 22:47:36 - C:\pluginpack.dll (315392), 13-Feb-1601 [Added C:\pluginpack.dll to ZIP FILE]31 Mai 2012 22:47:36 - C:\wtnlib.dll (397312), 13-Feb-1601 [Added C:\wtnlib.dll to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Arabic.bin (21150), 31-May-2012 [Added d:\temp\Arabic.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\avcbd32.dll (166152), 31-May-2012, BitDefender S.R.L. Bucharest, ROMANIA, BitDefender® AntiVirus31 Mai 2012 22:47:36 - d:\temp\avccore.dll (272584), 31-May-2012, BitDefender S.R.L. Bucharest, ROMANIA, BitDefender® AntiVirus31 Mai 2012 22:47:36 - d:\temp\avcuf32.dll (458008), 31-May-2012, BitDefender S.R.L. Bucharest, ROMANIA, BitDefender® AntiVirus31 Mai 2012 22:47:36 - d:\temp\avcuf64.dll (507448), 31-May-2012, BitDefender S.R.L. Bucharest, ROMANIA, BitDefender® AntiVirus31 Mai 2012 22:47:36 - d:\temp\BACKUP.10899558.mexe.com (751432), 31-May-2012, MicroWorld Technologies Inc., MicroWorld AntiVirus Toolkit Utility (MWAV)31 Mai 2012 22:47:36 - d:\temp\bdc.exe (182792), 31-May-2012, BitDefender, BitDefender Console Scanner31 Mai 2012 22:47:36 - d:\temp\bdfltlib2k.dll (231944), 31-May-2012, MicroWorld Technologies Inc., eScan for Windows31 Mai 2012 22:47:36 - d:\temp\bdnimbus.dll (85256), 31-May-2012, BitDefender, bdnimbus.dll31 Mai 2012 22:47:36 - d:\temp\clean.bat (11), 31-May-2012 [Added d:\temp\clean.bat to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Czech.bin (24504), 31-May-2012 [Added d:\temp\Czech.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Danish.bin (22970), 31-May-2012 [Added d:\temp\Danish.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\DEVCON.EXE (61184), 31-May-2012, Microsoft Corporation, Microsoft® Windows® Operating System31 Mai 2012 22:47:36 - d:\temp\Dutch.bin (25943), 31-May-2012 [Added d:\temp\Dutch.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\eEmpty.exe (34048), 31-May-2012, MicroWorld Technologies Inc., eScan For Windows31 Mai 2012 22:47:36 - d:\temp\encdec.dll (215816), 31-May-2012, MicroWorld Technologies Inc., eScan/MailScan/eConceal31 Mai 2012 22:47:36 - d:\temp\English.bin (22118), 31-May-2012 [Added d:\temp\English.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\erootdrv.sys (22920), 31-May-2012, MicroWorld Technologies Inc., eScan/MWAV31 Mai 2012 22:47:36 - d:\temp\Finnish.bin (23040), 31-May-2012 [Added d:\temp\Finnish.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\French.bin (27425), 31-May-2012 [Added d:\temp\French.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Greek.bin (25278), 31-May-2012 [Added d:\temp\Greek.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Hebrew.bin (19700), 31-May-2012 [Added d:\temp\Hebrew.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Hungarian.bin (26282), 31-May-2012 [Added d:\temp\Hungarian.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Japanese.bin (24523), 31-May-2012 [Added d:\temp\Japanese.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Korean.bin (20307), 31-May-2012 [Added d:\temp\Korean.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Lithuanian.bin (25712), 31-May-2012 [Added d:\temp\Lithuanian.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\mexe.com (756552), 31-May-2012, MicroWorld Technologies Inc., MicroWorld AntiVirus Toolkit Utility (MWAV)31 Mai 2012 22:47:36 - d:\temp\msvclnt.dll (274696), 31-May-2012, MicroWorld Technologies Inc., MailScan31 Mai 2012 22:47:36 - d:\temp\msvcp90.dll (572928), 31-May-2012, Microsoft Corporation, Microsoft® Visual Studio® 200831 Mai 2012 22:47:36 - d:\temp\msvcr90.dll (655872), 31-May-2012, Microsoft Corporation, Microsoft® Visual Studio® 200831 Mai 2012 22:47:36 - d:\temp\mwavdwnl.exe (843016), 31-May-2012, MicroWorld Technologies Inc., eScan31 Mai 2012 22:47:36 - d:\temp\MWAVSCAN.COM (751432), 31-May-2012, MicroWorld Technologies Inc., MicroWorld AntiVirus Toolkit Utility (MWAV)31 Mai 2012 22:47:36 - d:\temp\NEventMessages.dll (1536), 31-May-2012 [Added d:\temp\NEventMessages.dll to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Norwegian.bin (22142), 31-May-2012 [Added d:\temp\Norwegian.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\NOSEventMessages.dll (1536), 31-May-2012 [Added d:\temp\NOSEventMessages.dll to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Polish.bin (24428), 31-May-2012 [Added d:\temp\Polish.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Portuguese(Brazil).bin (25276), 31-May-2012 [Added d:\temp\Portuguese(Brazil).bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Portuguese.bin (26464), 31-May-2012 [Added d:\temp\Portuguese.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\red32.dll (11016), 31-May-2012, Microsoft Corporation, Microsoft® Windows® Operating System31 Mai 2012 22:47:36 - d:\temp\Reload.exe (183048), 31-May-2012, MicroWorld Technologies Inc., eScan for Windows31 Mai 2012 22:47:36 - d:\temp\Russian.bin (26314), 31-May-2012 [Added d:\temp\Russian.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\setpriv.exe (82184), 31-May-2012, MicroWorld Technologies Inc., eScan AntiVirus Toolkit Utility31 Mai 2012 22:47:36 - d:\temp\SimChin.bin (16540), 31-May-2012 [Added d:\temp\SimChin.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Slovenian.bin (24100), 31-May-2012 [Added d:\temp\Slovenian.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Spanish.bin (27968), 31-May-2012 [Added d:\temp\Spanish.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\SWEDISH.bin (24270), 31-May-2012 [Added d:\temp\SWEDISH.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Thai.bin (22149), 31-May-2012 [Added d:\temp\Thai.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\TradChin.bin (17090), 31-May-2012 [Added d:\temp\TradChin.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Turkish.bin (22436), 31-May-2012 [Added d:\temp\Turkish.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\unregx.exe (92936), 31-May-2012, MicroWorld Technologies Inc., MicroWorld AntiVirus Toolkit Utility31 Mai 2012 22:47:36 - d:\temp\update.bin (4), 31-May-2012 [Added d:\temp\update.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\UPDLL10.DLL (1114888), 31-May-2012, MicroWorld Technologies Inc., eScan/MailScan/MWAV31 Mai 2012 22:47:36 - d:\temp\viewtcp.exe (575752), 31-May-2012, MicroWorld Technologies Inc., ViewTCP 31 Mai 2012 22:47:36 - C:\WINDOWS\$hf_mig$, 07-Dec-2006 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\$MSI31Uninstall_KB893803v2$, 07-Dec-2006 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\$NtUninstallMSCompPackV1$, 14-Jan-2007 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\$NtUninstallWdf01009$, 06-Nov-2010 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\$NtUninstallWMFDist11$, 14-Jan-2007 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\$NtUninstallwmp11$, 14-Jan-2007 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\$NtUninstallWudf01000$, 14-Jan-2007 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\$NtUninstallWudf01009$, 06-Nov-2010 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\$NtUninstallXPSEPSCLP$, 13-May-2009 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\CSC, 07-Dec-2006 [HS] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\Fonts, 07-Dec-2006 [SR] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\ie8, 13-May-2009 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\inf, 07-Dec-2006 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\logo_1.exe, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\PIF, 05-Mar-2009 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\RUNDL132.EXE, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\VDLL.DLL, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\system32\CanonIJ Uninstaller Information, 14-Aug-2007 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\system32\dllcache, 07-Dec-2006 [HSR] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\system32\GroupPolicy, 19-Dec-2006 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\system32\Microsoft, 07-Dec-2006 [S] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\system32\runouce.exe, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - C:\Config.Msi, 09-Jun-2010 [HS] [Ordner]31 Mai 2012 22:47:36 - d:\temp\AVCBack, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - d:\temp\FtpTemp, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - d:\temp\FtpTempF, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - d:\temp\LOCK, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - d:\temp\plugins, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - d:\temp\TeamViewer, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - d:\temp\tmp0000296d, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - d:\temp\Verlauf, 10-Dec-2006 [S] [Ordner]31 Mai 2012 22:47:36 - d:\temp\WPDNSE, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - d:\temp\{D5878294-C113-43c5-A24F-FC333C52015A}, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft, 07-Dec-2006 [S] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TeamViewer, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\Anwendungsdaten, 07-Dec-2006 [HR] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\Druckumgebung, 07-Dec-2006 [H] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\IECompatCache, 09-Nov-2009 [HS] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\IETldCache, 13-May-2009 [HS] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\Lokale Einstellungen, 07-Dec-2006 [H] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\Netzwerkumgebung, 07-Dec-2006 [H] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\PrivacIE, 25-Aug-2009 [HS] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\Recent, 07-Dec-2006 [HR] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\SendTo, 07-Dec-2006 [HR] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\UserData, 07-Dec-2006 [HS] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\Vorlagen, 07-Dec-2006 [H] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ, 14-Aug-2007 [H] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft, 07-Dec-2006 [S] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{20B72E17-2772-4AD4-85B1-7F90ADB2C60A}, 10-Jul-2010 [H] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\..\Anwendungsdaten, 07-Dec-2006 [HR] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\..\DRM, 07-Dec-2006 [HS] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\..\Vorlagen, 07-Dec-2006 [H] [Ordner]31 Mai 2012 22:47:36 - C:\Programme\CanonBJ, 14-Aug-2007 [H] [Ordner]31 Mai 2012 22:47:36 - C:\Programme\WindowsUpdate, 07-Dec-2006 [H] [Ordner]31 Mai 2012 22:47:36 - C:\Programme\Gemeinsame Dateien\MicroWorld, 31-May-2012 [Ordner] 31 Mai 2012 22:47:36 - ********************************************************************************************* 31 Mai 2012 22:47:36 - Optionen für Kommandozeile angegeben: /xsign31 Mai 2012 22:47:36 - Aktuellstes  Datum der in MWAV enthaltenen Dateien: Thu Feb 23 12:07:55 2012.31 Mai 2012 22:47:36 - Plugins FileCount: 925 Sign Version: 7.4112331 Mai 2012 22:47:36 - Loading/Creating FileScan Database C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld\MWAV\ESCANDBX.MDB [Log: d:\Temp\ESCANDB.LOG]31 Mai 2012 22:47:36 - Loaded/Created FileScan Database...31 Mai 2012 22:47:36 - Loading AV Library [DB]...31 Mai 2012 22:47:37 - ArchiveScan: DISABLED31 Mai 2012 22:47:40 - AV Library Loaded [DB-DIRECT].31 Mai 2012 22:47:40 - MWAV doing self scanning...31 Mai 2012 22:47:40 - MWAV files are clean.
31 Mai 2012 22:47:47 - ArchiveScan: DISABLED
31 Mai 2012 22:47:47 - Virendatenbankdatum: 23 Feb 2012
31 Mai 2012 22:47:47 - Virendatenbankzähler: 7286098
31 Mai 2012 22:47:51 - Antiviren- und Antispywaredatenbanken werden heruntergeladen...
31 Mai 2012 22:49:02 - Es gibt nichts Neues zum Herunterladen. Ihre Aktualisierungen sind auf dem neuesten Stand.
31 Mai 2012 22:49:27 - ArchiveScan: ENABLED
 
31 Mai 2012 22:49:30 - **********************************************************
31 Mai 2012 22:49:30 - eScan Antivirus und Spyware Werkzeugsatz.
31 Mai 2012 22:49:30 - Copyright © MicroWorld
31 Mai 2012 22:49:30 - 
31 Mai 2012 22:49:30 - Support: support@escanav.com
31 Mai 2012 22:49:30 - Web: hxxp://www.escanav.com
31 Mai 2012 22:49:30 - **********************************************************
31 Mai 2012 22:49:30 - Version 12.0.236[DB] (D:\TEMP\MEXETMP.EX~)
31 Mai 2012 22:49:30 - Logdatei: d:\Temp\MWAV.LOG
31 Mai 2012 22:49:30 - User Account: Administrator (Administrator Mode)
31 Mai 2012 22:49:30 - Windows Root  Folder: C:\WINDOWS
31 Mai 2012 22:49:30 - Windows Sys32 Folder: C:\WINDOWS\system32
31 Mai 2012 22:49:30 - OS: Windows XP [OS Install Date: 07 Dec 2006 10:12:30]
31 Mai 2012 22:49:30 - Ver: Service Pack 3 (Build 2600)
31 Mai 2012 22:49:30 - Aktuellstes  Datum der in MWAV enthaltenen Dateien: Thu Feb 23 12:07:55 2012.
31 Mai 2012 22:49:30 - Plugins FileCount: 925 Sign Version: 7.41123
 
31 Mai 2012 22:49:30 - Vom Benutzer gewählte Optionen:
31 Mai 2012 22:49:30 - Speicherüberprüfung: Aktiviert
31 Mai 2012 22:49:30 - Überprüfung der Registrierungsdatenbank: Aktiviert
31 Mai 2012 22:49:30 - Überprüfung des Startordners: Aktiviert
31 Mai 2012 22:49:30 - Überprüfung des Systemordners: Aktiviert
31 Mai 2012 22:49:30 - Überprüfung der Dienste: Aktiviert
31 Mai 2012 22:49:30 - Scannen Spyware: Aktiviert
31 Mai 2012 22:49:30 - Scannen Archives: Aktiviert
31 Mai 2012 22:49:30 - Überprüfung der Laufwerke: Deaktiviert
31 Mai 2012 22:49:30 - Überprüfung aller Laufwerke:Aktiviert
31 Mai 2012 22:49:30 - Überprüfung der Ordner: Deaktiviert
31 Mai 2012 22:49:30 - SCAN: All_Files
31 Mai 2012 22:49:30 - MWAV Mode: Scan and Clean files (for viruses, adware and spyware)
 
31 Mai 2012 22:49:30 - DNS Records... wird gescannt
31 Mai 2012 22:49:30 - Master Boot Record (Kernel)... wird gescannt
 
31 Mai 2012 22:49:31 - ***** Speicherdateien werden gescannt *****
 
31 Mai 2012 22:49:43 - ***** Dateien der Registrierungsdatenbank werden gescannt *****
31 Mai 2012 22:49:48 - ERROR(3)!!! Invalid Entry Qqa002LVAE = C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wtupwdyr\sjozalin.exe (in key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run). Action Taken: Removing it.
31 Mai 2012 22:49:49 - ERROR(3)!!! Invalid Entry OE = C:\Programme\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (in key HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). Action Taken: Removing it.
31 Mai 2012 22:49:49 - ERROR(3)!!! Invalid Entry OE = C:\Programme\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (in key HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). Action Taken: Removing it.
 
31 Mai 2012 22:49:49 - *****  Startordner werden gescannt *****
 
31 Mai 2012 22:49:51 - ***** Dateien bezüglich Dienste werden gescannt *****
31 Mai 2012 22:49:52 - ERROR(2)!!! Invalid Entry \??\C:\WINDOWS\gdrv.sys. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\gdrv.
31 Mai 2012 22:49:52 - ERROR(2)!!! Invalid Entry \??\F:\INSTALL\GMSIPCI.SYS. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\GMSIPCI.
31 Mai 2012 22:49:54 - ERROR(2)!!! Invalid Entry \??\F:\NTACCESS.sys. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\NTACCESS.
31 Mai 2012 22:49:55 - ERROR(2)!!! Invalid Entry \??\F:\NTGLM7X.sys. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\SetupNTGLM7X.
 
31 Mai 2012 22:49:57 - ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****
31 Mai 2012 22:49:58 - Signaturen der Spionageprogramme werden aus einer neuen auswärtigen Datenbank geladen [Name: d:\Temp\spydb.avs, Größe: 982467]...
31 Mai 2012 22:49:58 - Indexed Spyware Databases Successfully Created...
 
31 Mai 2012 22:50:42 - System found infected with combo Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{03C4C5F4-1893-444C-B8D8-002F0034DA92})! Action taken: Einträge entfernt.
31 Mai 2012 22:50:43 - Offending Folder found: C:\WINDOWS\system32\Fonts
31 Mai 2012 22:50:43 - Deltree of Folder C:\WINDOWS\system32\Fonts...
31 Mai 2012 22:50:44 - Objekt "KidControl Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.

31 Mai 2012 22:50:44 - Offending file found: C:\WINDOWS\system32\objsafe.tlb
31 Mai 2012 22:50:44 - System found infected with roings Spyware/Adware (objsafe.tlb)! Action taken: Datei gelöscht.
31 Mai 2012 22:50:44 - Objekt "roings Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

31 Mai 2012 22:50:50 - Offending file found: C:\WINDOWS\system32\UNACE.DLL
31 Mai 2012 22:50:50 - System found infected with zipitpro Spyware/Adware (UNACE.DLL)! Action taken: Datei gelöscht.
31 Mai 2012 22:50:50 - Objekt "zipitpro Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

31 Mai 2012 22:50:50 - Offending file found: C:\WINDOWS\system32\WinSys.exe
31 Mai 2012 22:50:50 - System found infected with combo Spyware/Adware (WinSys.exe)! Action taken: Datei gelöscht.
31 Mai 2012 22:50:55 - Offending Registry Entry found: HKUS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
31 Mai 2012 22:50:55 - System found infected with combo Spyware/Adware (HKUS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects)! Action taken: Einträge entfernt.
 
31 Mai 2012 22:50:56 - ***** Dateien der Registrierungsdatenbank werden gescannt *****
31 Mai 2012 22:50:58 - Clearing Temporary sub-folders as Spyware/Adware found in system...
31 Mai 2012 22:51:11 - Few files will be deleted *ONLY* on reboot...
31 Mai 2012 22:51:12 - ** Value in HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\main/Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
31 Mai 2012 22:51:12 - ** Value in HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main/Start Page = about:blank
 
31 Mai 2012 22:51:12 - ***** System32-Ordner werden gescannt *****
 
 
 
31 Mai 2012 22:52:42 - ***** Alle Laufwerke werden gescannt *****
31 Mai 2012 22:52:43 - ***** C:,D:,E:,F:,H:,I:,J: ***** 
31 Mai 2012 22:52:43 - Laufwerk C:\ wird gescannt ...
31 Mai 2012 22:53:14 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterAntiVirusDisableNotify.zip konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
31 Mai 2012 22:53:14 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterFirewallDisableNotify.zip konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
31 Mai 2012 22:53:14 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterUpdateDisableNotify.zip konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
31 Mai 2012 22:53:52 - Datei C:\Dokumente und Einstellungen\karl\Favoriten\Einkaufen\??????? ?????????? ? ?????-???????????. ????????? ??????? «?????».url wird gescannt
31 Mai 2012 22:53:52 - ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\karl\Favoriten\Einkaufen\??????? ?????????? ? ?????-???????????. ????????? ??????? «?????».url
31 Mai 2012 22:57:23 - ScanFile (C:\Programme\Sierra On-Line\Sutil32.exe) took 7625 ms
31 Mai 2012 22:58:17 - Datei C:\System Volume Information\_restore{8F35748F-5570-48F5-BF1F-EC7869E79E37}\RP1627\A0260880.exe wird gescannt

31 Mai 2012 22:58:17 - Datei C:\System Volume Information\_restore{8F35748F-5570-48F5-BF1F-EC7869E79E37}\RP1627\A0260880.exe ist durch den Virus "TrojanES.Dropper (ES)" infiziert!  Maßnahme ergriffen: Datei umbenannt.
Danke für die Hinweise. Meine Daten sind auf DVD und externer HDD.
Wie oben geschrieben, hat es einen Bekannten erwischt. Er hat WinXP, daher greift Shadow Explorer leider nicht.
Hoffe er hat nun begriffen, welchen Sinn eine Datensicherung macht.
Habe Ihm dringend geraten, Anzeige gegen unbekannt zu stellen.

Dass die Entschlüsselung schwierig bis unmöglich wird, war mir klar. Hatte den Beitrag in DelphiPraxis schon gelesen.
Werde sein System per Snapshot archivieren.
Es geht mir nur darum, ob nun alle Malware entdeckt wurde, ggf. noch ein Anhaltspunkt bzgl. des Schadmechanismus zu entdecken ist.

Ansonsten ist dann eine Reparaturinstallation oder Neuinstallation fällig.

Grüsse und Danke.


 

Themen zu Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt
administrator, alternate, anfänger, aufruf, dateien, dateiname, dateinamen, direkt, dokumente, dr.web, einstellungen, entfernt, entschlüsseln, erkannt, exe, gen, google earth, hallo zusammen, installierte, malware, malwarebytes, plug-in, rechte, registry, searchscopes, source, tools, urlaub, windows internet, winxp, zusammen


« alle Datendateien und Photos werden nicht mehr erkannt | wie Bildschrim ensprerren (Verschlüsselungs-Trojaner) »


Ähnliche Themen: Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt


  1. Bundestrojaner - Dateien verschlüsselt - aber nicht die locked Version
    Log-Analyse und Auswertung - 15.10.2012 (1)
  2. Dateien vom Verschlüsselungstrojaner umbenannt und verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 04.10.2012 (1)
  3. Dateien verschlüsselt nach verschlüsselungstrojaner
    Plagegeister aller Art und deren Bekämpfung - 17.09.2012 (1)
  4. Windows Verschlüsselungs Trojaner entfernt aber die Dateien sind verschlüsselt!
    Plagegeister aller Art und deren Bekämpfung - 09.08.2012 (25)
  5. ransom.ez entfernt, Einige Dateien sind verschlüsselt, Tools haben nicht geholfen.
    Plagegeister aller Art und deren Bekämpfung - 22.07.2012 (2)
  6. Bundespolizeivirus aber Dateien nicht verschlüsselt
    Log-Analyse und Auswertung - 04.07.2012 (13)
  7. Dateien sind verschlüsselt, aber nicht umbenannt.
    Plagegeister aller Art und deren Bekämpfung - 04.07.2012 (1)
  8. Verschlüsselungstrojaner ohne "Locked"/ Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (1)
  9. Dateien bleiben Verschlüsselt "Windows Update Verschlüsselungstrojaner"
    Plagegeister aller Art und deren Bekämpfung - 14.06.2012 (1)
  10. Verschlüsselungstrojaner: System auf früheren Zeitpunkt wiederhergestellt, aber Dateien weg!
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  11. Verschlüsselungstrojaner wurde entfernt aber die Dateien können nicht geöffnet werden
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (5)
  12. UKash - Dateien verschlüsselt, aber NICHT "locked" oder wirre Namen
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (3)
  13. (xpost) neuer Verschlüsselungstrojaner mit teils unveränderten aber trotzdem verschlüsselten Dateien
    Mülltonne - 07.06.2012 (3)
  14. win32/matsnu - Dateien nicht umbenannt aber verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (2)
  15. VerschlüsselungsTrojaner entfernt, Dateien immernoch verschlüsselt
    Log-Analyse und Auswertung - 01.06.2012 (1)
  16. Verschlüsselungs-Trojaner entfernt - Dateien noch verschlüsselt
    Log-Analyse und Auswertung - 01.06.2012 (1)
  17. Welche Dateien verschlüsselt der Verschlüsselungstrojaner?
    Plagegeister aller Art und deren Bekämpfung - 03.05.2012 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt - Hallo, sorry , hier die LOGs von Malwarebytes Code: Alles auswählen Aufklappen ATTFilter Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.05.31.05 Windows XP Service Pack 3 x86 NTFS Internet Explorer - Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt...
Archiv
Du betrachtest: Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132