| |
| |||||||
Log-Analyse und Auswertung: Entschlüsseln von Bilder und Open Office Dateien nach Befall mit VerschlüsselungstroyanerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
26.09.2012, 12:30
| #1 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Entschlüsseln von Bilder und Open Office Dateien nach Befall mit Verschlüsselungstroyaner Bitte mal den aktuellen adwCleaner runterladen, also die alte adwcleaner löschen und neu runterladen adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren Downloade Dir bitte AdwCleaner auf deinen Desktop. Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
30.09.2012, 21:11
| #2 |
 | Entschlüsseln von Bilder und Open Office Dateien nach Befall mit Verschlüsselungstroyaner Hallo, neue Version habe ich heruntergeladen und dann gescannt. Hier das Ergebnis. Danke im voraus für das Feedback dazu.
__________________Code:
ATTFilter # AdwCleaner v2.003 - Datei am 09/30/2012 um 22:07:54 erstellt
# Aktualisiert am 23/09/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Admin - FSC2008
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Admin\Desktop\adwcleaner.exe
# Option [Suche]
**** [Dienste] ****
***** [Dateien / Ordner] *****
***** [Registrierungsdatenbank] *****
Schlüssel Gefunden : HKCU\Software\Ask.com.tmp
***** [Internet Browser] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Die Registrierungsdatenbank ist sauber.
-\\ Opera v12.0.1467.0
Datei : C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Opera\Opera\operaprefs.ini
[OK] Die Datei ist sauber.
Datei : C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Opera\Opera\operaprefs.ini
[OK] Die Datei ist sauber.
Datei : C:\Dokumente und Einstellungen\PC_XP\Anwendungsdaten\Opera\Opera\operaprefs.ini
[OK] Die Datei ist sauber.
Datei : C:\Dokumente und Einstellungen\Thimo\Anwendungsdaten\Opera\Opera\operaprefs.ini
[OK] Die Datei ist sauber.
Datei : C:\Dokumente und Einstellungen\Janika\Anwendungsdaten\Opera\Opera\operaprefs.ini
[OK] Die Datei ist sauber.
*************************
AdwCleaner[R1].txt - [14544 octets] - [17/09/2012 22:42:17]
AdwCleaner[S1].txt - [14719 octets] - [21/09/2012 23:00:27]
AdwCleaner[S2].txt - [1994 octets] - [25/09/2012 21:25:11]
AdwCleaner[R2].txt - [1442 octets] - [30/09/2012 22:07:54]
########## EOF - C:\AdwCleaner[R2].txt - [1502 octets] ##########
|
|
01.10.2012, 13:05
| #3 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Entschlüsseln von Bilder und Open Office Dateien nach Befall mit Verschlüsselungstroyaner adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen
__________________
__________________ |
|
01.10.2012, 21:09
| #4 |
| | Entschlüsseln von Bilder und Open Office Dateien nach Befall mit Verschlüsselungstroyaner Hallo, hier das gewünschte Log-file: Code:
ATTFilter # AdwCleaner v2.003 - Datei am 10/01/2012 um 22:07:38 erstellt
# Aktualisiert am 23/09/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Admin - FSC2008
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Admin\Desktop\adwcleaner.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
***** [Registrierungsdatenbank] *****
Schlüssel Gelöscht : HKCU\Software\Ask.com.tmp
***** [Internet Browser] *****
-\\ Internet Explorer v8.0.6001.18702
Wiederhergestellt : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
-\\ Opera v12.0.1467.0
Datei : C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Opera\Opera\operaprefs.ini
[OK] Die Datei ist sauber.
Datei : C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Opera\Opera\operaprefs.ini
[OK] Die Datei ist sauber.
Datei : C:\Dokumente und Einstellungen\PC_XP\Anwendungsdaten\Opera\Opera\operaprefs.ini
[OK] Die Datei ist sauber.
Datei : C:\Dokumente und Einstellungen\Thimo\Anwendungsdaten\Opera\Opera\operaprefs.ini
[OK] Die Datei ist sauber.
Datei : C:\Dokumente und Einstellungen\Janika\Anwendungsdaten\Opera\Opera\operaprefs.ini
[OK] Die Datei ist sauber.
*************************
AdwCleaner[R1].txt - [14544 octets] - [17/09/2012 22:42:17]
AdwCleaner[S1].txt - [14719 octets] - [21/09/2012 23:00:27]
AdwCleaner[S2].txt - [1994 octets] - [25/09/2012 21:25:11]
AdwCleaner[R2].txt - [1571 octets] - [30/09/2012 22:07:54]
AdwCleaner[S4].txt - [1551 octets] - [01/10/2012 22:07:38]
########## EOF - C:\AdwCleaner[S4].txt - [1611 octets] ##########
|
|
02.10.2012, 14:39
| #5 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Entschlüsseln von Bilder und Open Office Dateien nach Befall mit Verschlüsselungstroyaner Hätte da mal zwei Fragen bevor es weiter geht (wir sind noch nicht fertig!) 1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden? (geht hier nicht um Entschlüsselung, wenn wir hier durch sind kannst du dich mal an die ganz oben stehenden Hinweise halten)
__________________ Logfiles bitte immer in CODE-Tags posten |
|
03.10.2012, 20:47
| #6 |
| | Entschlüsseln von Bilder und Open Office Dateien nach Befall mit Verschlüsselungstroyaner Ich kann bei Windows keine Probleme feststellen und vermisse nichts im Startmenü. Leere Ordner sind kaum zu finden mit Ausnahme Z.B.: C:\WINDOWS\addins C:\WINDOWS\assembly\download C:\WINDOWS\Config C:\WINDOWS\Connection Wizard C:\WINDOWS\ie7updates C:\WINDOWS\ie8updates In z.B. den Verzeichnisen: C:\WINDOWS\RegisteredPackages C:\WINDOWS\Registration C:\WINDOWS\system32\DRVSTORE sind verschlüsselte Dateien |
|
03.10.2012, 21:20
| #7 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Entschlüsseln von Bilder und Open Office Dateien nach Befall mit Verschlüsselungstroyaner Es geht doch nicht um leere Ordner im Dateisystem, sondern nur in Startmenü Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.
Code:
ATTFilter netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
__________________ Logfiles bitte immer in CODE-Tags posten |
|
14.10.2012, 21:51
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Entschlüsseln von Bilder und Open Office Dateien nach Befall mit Verschlüsselungstroyaner Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
IE - HKU\S-1-5-21-365834445-929669516-2900444686-1005\..\SearchScopes\{22BC8290-1000-42F8-9DD7-2F3265C8A856}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10395&src=crm&q={searchTerms}&locale=de_DE&apn_ptnrs=^ABT&apn_dtid=^YYYYYY^YY^DE&apn_uid=4bd02865-a834-4781-82db-89e21e99fe1d&apn_sauid=AB342972-5ECC-47A6-A5EB-4E9A8C798BF1
IE - HKU\S-1-5-21-365834445-929669516-2900444686-1005\..\SearchScopes\{3758B3CF-9394-45A7-9D20-FA9C6D11FED9}: "URL" = http://go.1und1.de/suchbox/1und1suche?su={searchTerms}
IE - HKU\S-1-5-21-365834445-929669516-2900444686-1005\..\SearchScopes\{5A8FD167-EA18-4E5F-A693-68C16EEADEAF}: "URL" = http://go.1und1.de/suchbox/amazon?tag=1und1icon-21&field-keywords={searchTerms}
:Files
C:\Dokumente und Einstellungen\Thimo\Anwendungsdaten\.#
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[resethosts]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
19.10.2012, 22:51
| #9 |
| | Entschlüsseln von Bilder und Open Office Dateien nach Befall mit Verschlüsselungstroyaner Musste Malwaresys deinstallieren sonst wäre es nicht gegangen: Code:
ATTFilter All processes killed
========== OTL ==========
Registry key HKEY_USERS\S-1-5-21-365834445-929669516-2900444686-1005\Software\Microsoft\Internet Explorer\SearchScopes\{22BC8290-1000-42F8-9DD7-2F3265C8A856}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22BC8290-1000-42F8-9DD7-2F3265C8A856}\ not found.
Registry key HKEY_USERS\S-1-5-21-365834445-929669516-2900444686-1005\Software\Microsoft\Internet Explorer\SearchScopes\{3758B3CF-9394-45A7-9D20-FA9C6D11FED9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3758B3CF-9394-45A7-9D20-FA9C6D11FED9}\ not found.
Registry key HKEY_USERS\S-1-5-21-365834445-929669516-2900444686-1005\Software\Microsoft\Internet Explorer\SearchScopes\{5A8FD167-EA18-4E5F-A693-68C16EEADEAF}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5A8FD167-EA18-4E5F-A693-68C16EEADEAF}\ not found.
========== FILES ==========
C:\Dokumente und Einstellungen\Thimo\Anwendungsdaten\.# folder moved successfully.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Auflösungscache wurde geleert.
C:\Dokumente und Einstellungen\Admin\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\Admin\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: Admin
->Temp folder emptied: 56660760 bytes
->Temporary Internet Files folder emptied: 8156312 bytes
->Java cache emptied: 0 bytes
->Opera cache emptied: 240 bytes
->Flash cache emptied: 506 bytes
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: Internet
->Temp folder emptied: 2907566 bytes
->Temporary Internet Files folder emptied: 144019733 bytes
->Flash cache emptied: 291 bytes
User: Janika
->Temp folder emptied: 56645417 bytes
->Temporary Internet Files folder emptied: 8581102 bytes
->Java cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Opera cache emptied: 240 bytes
->Flash cache emptied: 487 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1701342 bytes
->Flash cache emptied: 886 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: PC
->Temp folder emptied: 609360 bytes
->Temporary Internet Files folder emptied: 1090612 bytes
->Opera cache emptied: 240 bytes
->Flash cache emptied: 291 bytes
User: PC_XP
->Temp folder emptied: 678584 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Opera cache emptied: 240 bytes
->Flash cache emptied: 291 bytes
User: Thimo
->Temp folder emptied: 28512770 bytes
->Temporary Internet Files folder emptied: 255890613 bytes
->Java cache emptied: 0 bytes
->Opera cache emptied: 240 bytes
->Flash cache emptied: 9926 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 3132295 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16162471 bytes
RecycleBin emptied: 2248550 bytes
Total Files Cleaned = 560,00 mb
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
OTL by OldTimer - Version 3.2.69.0 log created on 10192012_232250
Files\Folders moved on Reboot...
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
|
|
21.10.2012, 11:53
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Entschlüsseln von Bilder und Open Office Dateien nach Befall mit Verschlüsselungstroyaner Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm! Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs. Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
18.11.2012, 22:33
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Entschlüsseln von Bilder und Open Office Dateien nach Befall mit Verschlüsselungstroyaner Bitte nun Logs mit GMER (<<< klick für Anleitung) und aswMBR (Anleitung etwas weiter unten) erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur aswMBR aus. aswMBR-Download => aswMBR.exe - speichere die Datei auf deinem Desktop.
Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.12.2012, 22:35
| #12 |
| | Entschlüsseln von Bilder und Open Office Dateien nach Befall mit Verschlüsselungstroyaner Hallo, hier zunächst das von GMER gernerierte Log File: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-12-20 07:36:51
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5 ST3160815AS rev.3.AAA
Running: c0scy4vt.exe; Driver: C:\DOKUME~1\Admin\LOKALE~1\Temp\fwldypob.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwAssignProcessToJobObject [0xB37A34B0]
SSDT B877A914 ZwClose
SSDT B877A8CE ZwCreateKey
SSDT B877A91E ZwCreateSection
SSDT B877A8C4 ZwCreateThread
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwDebugActiveProcess [0xB37A3AB0]
SSDT B877A8D3 ZwDeleteKey
SSDT B877A8DD ZwDeleteValueKey
SSDT B877A90F ZwDuplicateObject
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwLoadDriver [0xB37A38B0]
SSDT B877A8E2 ZwLoadKey
SSDT B877A8B0 ZwOpenProcess
SSDT B877A8B5 ZwOpenThread
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwProtectVirtualMemory [0xB37A3570]
SSDT B877A937 ZwQueryValueKey
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwQueueApcThread [0xB37A3630]
SSDT B877A8EC ZwReplaceKey
SSDT B877A928 ZwRequestWaitReplyPort
SSDT B877A8E7 ZwRestoreKey
SSDT B877A923 ZwSetContextThread
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetInformationThread [0xB37A34F0]
SSDT B877A92D ZwSetSecurityObject
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSetSystemInformation [0xB37A3870]
SSDT B877A8D8 ZwSetValueKey
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSuspendProcess [0xB37A33B0]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwSuspendThread [0xB37A3430]
SSDT B877A932 ZwSystemDebugControl
SSDT B877A8BF ZwTerminateProcess
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwTerminateThread [0xB37A3470]
SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) ZwWriteVirtualMemory [0xB37A35F0]
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2FD0 805048C8 12 Bytes [B0, 33, 7A, B3, 30, 34, 7A, ...]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB65C83C0, 0x9B091A, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1816] kernel32.dll!SetUnhandledExceptionFilter 7C8449CD 4 Bytes [C2, 04, 00, 00]
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\Explorer.EXE[2988] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00C42F20] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[2988] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00C42C90] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[2988] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00C42CF0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\WINDOWS\Explorer.EXE[2988] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00C42CC0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Logitech\Logitech WebCam Software\LWS.exe[3164] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [00F22F20] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Logitech\Logitech WebCam Software\LWS.exe[3164] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [00F22C90] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Logitech\Logitech WebCam Software\LWS.exe[3164] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [00F22CF0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Logitech\Logitech WebCam Software\LWS.exe[3164] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [00F22CC0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Logitech\Logitech Vid\vid.exe[3460] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [01BA2F20] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Logitech\Logitech Vid\vid.exe[3460] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [01BA2C90] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Logitech\Logitech Vid\vid.exe[3460] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [01BA2CF0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT C:\Programme\Logitech\Logitech Vid\vid.exe[3460] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [01BA2CC0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\@P_:}@í\f\0\x2dc#d\6\fïµ\0ú.1}\xbd/1}\xa0o:}xì\f\0X_:}h\v ????????????????????@???????????????????????????????????????????????!??L?!This program cannot be run in DOS mode. $????????w{???????????????x??
---- EOF - GMER 1.0.15 ----
Nachfolgend das von aswMBR generierte File: Code:
ATTFilter aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2012-12-20 07:50:06
-----------------------------
07:50:06.562 OS Version: Windows 5.1.2600 Service Pack 3
07:50:06.562 Number of processors: 2 586 0x6B01
07:50:06.562 ComputerName: FSC2008 UserName: Admin
07:50:07.109 Initialize success
07:53:36.234 AVAST engine defs: 12121901
07:55:16.234 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5
07:55:16.265 Disk 0 Vendor: ST3160815AS 3.AAA Size: 152627MB BusType: 3
07:55:16.265 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP5T0L0-26
07:55:16.281 Disk 1 Vendor: ST3320620AS 3.AAK Size: 305245MB BusType: 3
07:55:16.296 Disk 0 MBR read successfully
07:55:16.312 Disk 0 MBR scan
07:55:16.375 Disk 0 Windows XP default MBR code
07:55:16.375 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 75775 MB offset 63
07:55:16.421 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 76850 MB offset 155187900
07:55:16.468 Disk 0 scanning sectors +312576705
07:55:16.687 Disk 0 scanning C:\WINDOWS\system32\drivers
07:55:51.359 Service scanning
07:56:27.437 Modules scanning
07:57:03.812 Disk 0 trace - called modules:
07:57:03.843 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
07:57:03.843 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a662ab8]
07:57:03.843 3 CLASSPNP.SYS[b80e8fd7] -> nt!IofCallDriver -> \Device\00000065[0x8a6a4f18]
07:57:03.843 5 ACPI.sys[b7f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-5[0x8a69ed98]
07:57:04.234 AVAST engine scan C:\WINDOWS
07:57:21.984 AVAST engine scan C:\WINDOWS\system32
08:03:00.062 AVAST engine scan C:\WINDOWS\system32\drivers
08:03:45.015 AVAST engine scan C:\Dokumente und Einstellungen\Admin
08:06:31.796 AVAST engine scan C:\Dokumente und Einstellungen\All Users
08:10:05.156 Scan finished successfully
22:28:50.796 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Admin\Desktop\MBR.dat"
22:28:50.796 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Admin\Desktop\aswMBR.txt"
|
|
20.12.2012, 22:46
| #13 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Entschlüsseln von Bilder und Open Office Dateien nach Befall mit Verschlüsselungstroyaner Wieso hast du dir schon wieder wochenlang Zeit gelassen bist du die Logs erstellst?!  Bei so langen Zeitabständen macht eine Bereinigung keinen Sinn mehr, man müsste ja fast schon immer wieder von vorn anfangen  Probieren wir einfach mal weiterzumachen Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
Textbox von OTL - wenn OTL auf deutsch ist wird sie mit 
beschriftet
.
Hybrid-Darstellung
