Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.10.2012, 22:03   #1
geassy
 
Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd) - Ausrufezeichen

Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd)



Hallo,
ich habe mir gestern einen Virus(o.ä.) eingefangen als ich mein Antiviren Programm kurz aus hatte aber als ich das Programm wieder eingeschaltet habe ging der Echtzeit-Scanner nicht also habe ich versucht mit folgenden Programmen den Virus zu beseitigen dies hat aber entweder nicht geklappt(es zeigte keinen Virus an/konnte ihn nicht löschen oder ihn in Quarantäne verschieben) oder es ließ sich einfach nicht installieren obwohl ich alle Anleitungen befolgt habe ich hoffe ich habe keins vergessen:
Kaspersky
Avira
Malwarebytes
Bitdefender
Unitymedia Sicherheitspaket

bei dem installieren musste ich manchmal alle löschen daher habe ich grad keins aber als ich das letzte mal es mit Avira versucht habe hat es gar nichts angezeigt also hoffe ich dass mir hier jemand helfen kann demjenigen wäre ich auch zu GROßEM DANK verpflichtet nun komme ich zu den Berichten usw:

Malwarebytes Log:
Zitat:
Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.12.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Lehmann :: ****-PC [Administrator]

12.10.2012 19:56:28
mbam-log-2012-10-12 (19-56-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 511727
Laufzeit: 1 Stunde(n), 54 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Daten: C:\Users\****\LOCALS~1\Temp\msxvoh.cmd -> Löschen bei Neustart.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Falls mein Deutsch nicht ganz korrekt ist nehmt es mir bitte nicht übel ich bin noch auf der Schule und kann noch dazulernen ;)

Alt 13.10.2012, 00:07   #2
t'john
/// Helfer-Team
 
Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd) - Standard

Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd)





Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 4 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern mede dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
  • Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Ersetze die *** Sternchen wieder in den Benutzernamen zurück!
Code:
ATTFilter
:OTL
SRV - [2012.05.08 15:13:58 | 000,185,856 | ---- | M] () [Auto | Running] -- C:\Programme\WEB ASSISTANT\ExtensionUpdaterService.exe -- (WEB ASSISTANT Updater) 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX [2012.05.25 00:36:37 | 000,000,000 | ---D | M] 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\WEB ASSISTANT\Firefox [2012.05.25 00:36:37 | 000,000,000 | ---D | M] 
CHR - Extension: WEB ASSISTANT = C:\Users\****\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd\2.0.0.440_0\ 
O2:64bit: - BHO: (WEB ASSISTANT) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Programme\WEB ASSISTANT\Extension64.dll () 
O2 - BHO: (WEB ASSISTANT) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Programme\WEB ASSISTANT\Extension32.dll () 
O2 - BHO: (incredibar.com Helper Object) - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Program Files (x86)\incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll (Montera Technologeis LTD) 
O2 - BHO: (no name) - {EEE6C35C-6118-11DC-9C72-001320C79847} - No CLSID value found. 
O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. 
O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. 
O3 - HKLM\..\Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. 
O3 - HKLM\..\Toolbar: (incredibar Toolbar) - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files (x86)\incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll (Montera Technologeis LTD) 
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {724D43A0-0D85-11D4-9908-00400523E39A} - No CLSID value found. 
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. 
O4 - HKLM..\Run: [] File not found 
O4 - HKCU..\Run: [Akamai NetSession Interface] C:\Users\****\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc.) 
F3:64bit: - HKCU WinNT: Load - (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd) - File not found 
F3 - HKCU WinNT: Load - (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd) - File not found 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 60 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 
O8:64bit: - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found 
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab (Reg Error: Key error.) 
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. 

:Files
C:\ProgramData\*.exe
C:\ProgramData\TEMP
C:\Users\****\*.tmp
C:\Users\****\AppData\Local\{*}
C:\Users\****\AppData\Local\Temp\*.exe
C:\Users\****\AppData\LocalLow\Sun\Java\Deployment\cache
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
ipconfig /flushdns /c
:Commands
[emptytemp]
         
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

3. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.



4. Schritt
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.
__________________

__________________

Alt 13.10.2012, 02:40   #3
geassy
 
Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd) - Standard

Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd)



Danke für die ausführliche Anleitung ich werde die Log Daten anhängen wenn der Virus beseitigt ist können sie mir das sicherste kostenlose und kostenpflichtige Antivirusprogramm sagen das wär eine große Hilfe

Ich bedanke mich schon mal für die große Mühe und den Aufwand :* :* :*
__________________

Alt 14.10.2012, 12:26   #4
t'john
/// Helfer-Team
 
Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd) - Standard

Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd)



Sehr gut!

Microsoft Security Essentials - Kostenloser Virenschutz für Windows

Wie laeuft der Rechner?


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html
__________________
Mfg, t'john
Das TB unterstützen

Alt 16.10.2012, 14:13   #5
geassy
 
Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd) - Standard

Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd)



Jetzt habe ich ein neues Problem wenn ich meinen Rechner starte kommt normal Willkommen aber dann kommt ein schwarzer Bildschirm und ich kann nichts machen was nun?


Alt 17.10.2012, 12:40   #6
t'john
/// Helfer-Team
 
Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd) - Standard

Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd)



Was hast du davor gemacht?

geht der abgesicherte Modus?

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Setze oben mittig den Haken bei Scanne alle Benutzer
  • Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\*.*
%APPDATA%\*AcroIEH*.*
%APPDATA%\*.exe
%APPDATA%\*.tmp
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
--> Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd)

Alt 25.11.2012, 07:04   #7
t'john
/// Helfer-Team
 
Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd) - Standard

Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd)



Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.
__________________
Mfg, t'john
Das TB unterstützen

Antwort

Themen zu Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd)
administrator, anti-malware, autostart, dateien, deutsch, echtzeit-scanner, einfach, explorer, folge, gen, log, löschen, microsoft, nicht löschen, nichts, programm, programme, quarantäne, schule, service, software, speicher, temp, trojaner virus hilfe, verschieben, version, virus



Ähnliche Themen: Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd)


  1. TR/Agent.7375 in C:\Users\HerrTest\AppData\Local\Temp\nscA085.tmp\temp\5FT.zip
    Log-Analyse und Auswertung - 18.10.2015 (13)
  2. Mbam findet Trojan.Ransom.ED und PUP.Optional.PerformerSoft.A in C:\Windows\Temp
    Log-Analyse und Auswertung - 01.06.2014 (6)
  3. C:\Users\Helmut\AppData\Local\Temp\wpbt0.dll' enthielt einen Virus oder unerwünschtes Programm 'TR/Reveton.N.370' [trojan].
    Log-Analyse und Auswertung - 25.09.2013 (11)
  4. Trojan.Ransom.SUGen/PUM.Hijack.StartMenu/und Trojan Ransom
    Plagegeister aller Art und deren Bekämpfung - 16.04.2013 (2)
  5. Mehrere Trojaner im Temp Ordner (Trojan.Citadel.IE, Trojan.Ransom.CT, Trojan.Zlob)
    Log-Analyse und Auswertung - 14.04.2013 (7)
  6. C:\Users\***\AppData\Local\Temp\addlyrics1030.exe (Trojan.StartPage)
    Log-Analyse und Auswertung - 09.04.2013 (9)
  7. Online- Banking gesperrt! Trojan.FakeAlert.Gen & Trojan.ZbotR.Gen in (C:\Users\\AppData\Temp & C:\Users\\AppData\Roaming\Osje\rutaap.exe)
    Log-Analyse und Auswertung - 06.02.2013 (1)
  8. Ich habe ein Problem beim Starten von: C:/users/58DF/LOCALS/Temp/mslefjzz.com
    Plagegeister aller Art und deren Bekämpfung - 02.02.2013 (3)
  9. Trojan.Agent in C:\PROGRA~3\LOCALS~1\Temp\msjocoma.scr - entfernen nicht möglich?!
    Plagegeister aller Art und deren Bekämpfung - 18.11.2012 (54)
  10. Fehlermeldung bei Start "temp/install_0_msi.exe", Malewarebyte: Trojan.Agent --> svchosptd.exe & Trojan.Ransom.Gen --> ctfmon.lnk
    Plagegeister aller Art und deren Bekämpfung - 18.10.2012 (10)
  11. Fehlermeldung bei Start "temp/install_0_msi.exe"; Malewarebyte: Trojan.Ransom.Gen->ctfmon.lnk
    Log-Analyse und Auswertung - 07.10.2012 (6)
  12. Fehlermeldung bei Start "temp/install_0_msi.exe"; Malewarebyte: Trojan.Ransom.Gen
    Log-Analyse und Auswertung - 02.09.2012 (15)
  13. TR.Dropper.gen in C:\Users\Christina\AppData\Local\Temp, Trojan/Zaccess, Trojan.Agent, ...
    Log-Analyse und Auswertung - 19.06.2012 (29)
  14. /Users/Standardbenutzer/AppData/Local/Temp/kes309523.exe <<< Is the Trojan horse TR/Reveton.A.165
    Log-Analyse und Auswertung - 06.05.2012 (20)
  15. Trojan.MulDrop1.45351 in C:\Users\Darkshadow\AppData\Local\Temp\mexe.com
    Log-Analyse und Auswertung - 22.12.2011 (26)
  16. Trojan.Dropper in C:\Users\*****\AppData\Local\Temp\0.7247057717775541.exe
    Plagegeister aller Art und deren Bekämpfung - 14.01.2011 (12)
  17. 'TR/Vundo.Gen' [trojan] in 'C:\Users\Nobby\AppData\Local\Temp\spool.exe'
    Plagegeister aller Art und deren Bekämpfung - 30.11.2009 (2)

Zum Thema Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd) - Hallo, ich habe mir gestern einen Virus(o.ä.) eingefangen als ich mein Antiviren Programm kurz aus hatte aber als ich das Programm wieder eingeschaltet habe ging der Echtzeit-Scanner nicht also habe - Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd)...
Archiv
Du betrachtest: Trojan.Ransom (C:\Users\****\LOCALS~1\Temp\msxvoh.cmd) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.