Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Win7 64, Crypto-Ransomware

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 09.02.2016, 17:40   #1
Geisteskr4nk
 

Win7 64, Crypto-Ransomware - Standard

Win7 64, Crypto-Ransomware



Guten Abend,

kurz und knapp:
Kumpel gehobenen Alters fragte heute, ob ich mir seinen Laptop anschauen kann. Hätte besser mal 'nein' gesagt, seine kurze Beschreibung sagte mir schon alles. -.-
Den Laptop hatte zuvor offensichtlich schon ein anderer Kumpel von ihm, unschwer an "Spyhunter" zu erkennen.
Was ich sonst noch sagen kann:
Der Laptop hat einen HDD-Austausch erfahren, (Moni ist nicht er)
er ist immer ohne Virenschutz im Netz unterwegs,
prinzipiell nur mit dem Internet Explorer,
er ist äusserst lernresistent was das angeht,
er möchte aber seine Bilder wieder haben.

Seine Schilderung:
Zitat:
Habe in einer Email eines Freundes aus Rumänien? (Irgend 'nen Balkan-Staat) einen Anhang angeklickt da ich dachte es ist für eine Geige, welche ich kaufen wollte. Seitdem kann ich auf meine Bilder nicht mehr zugreifen. Da stand ich solle Geld zahlen um einen Schlüssel zu bekommen. Typ xy (kann mir den Namen nicht merken) hatte ihn auch schon aber er meinte er schafft es nicht.
FRST:
Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:07-02-2016
durchgeführt von Moni (Administrator) auf ALONSO-PC (09-02-2016 16:47:51)
Gestartet von C:\Users\Moni\Desktop
Geladene Profile: Moni (Verfügbare Profile: Moni)
Platform: Windows 7 Home Premium Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: IE)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Realsil Microelectronics Inc.) C:\Program Files (x86)\Realtek\Realtek PCIE Card Reader\RIconMan.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(Synaptics Incorporated) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Google Inc.) C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbarUser_32.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2837288 2011-10-14] (Synaptics Incorporated)
HKLM-x32\...\Run: [HFALoader] => C:\Program Files (x86)\Hamster Soft\Hamster Free Archiver\HamsterArc.exe [2911744 2014-01-21] (Hamster Soft)
HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [1085656 2015-12-13] (Adobe Systems Incorporated)
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

ProxyEnable: [.DEFAULT] => Proxy ist aktiviert.
ProxyServer: [.DEFAULT] => http=127.0.0.1:50101;https=127.0.0.1:50101
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1
Tcpip\..\Interfaces\{80E76382-884C-43F6-ACBD-39E7A56FDBAB}: [DhcpNameServer] 192.168.2.1
Tcpip\..\Interfaces\{A56CF25D-4F55-4958-AEA7-31389BE54AD6}: [DhcpNameServer] 192.168.2.1

Internet Explorer:
==================
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
BHO: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll [2015-12-22] (Google Inc.)
BHO-x32: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll [2015-12-22] (Google Inc.)
Toolbar: HKLM - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll [2015-12-22] (Google Inc.)
Toolbar: HKLM-x32 - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll [2015-12-22] (Google Inc.)
Toolbar: HKU\S-1-5-21-1212754422-2891086040-1946289063-1000 -> Google Toolbar - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll [2015-12-22] (Google Inc.)

FireFox:
========
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\4.0.60310.0\npctrl.dll [2011-03-09] ( Microsoft Corporation)
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.29.5\npGoogleUpdate3.dll [2016-02-01] (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.29.5\npGoogleUpdate3.dll [2016-02-01] (Google Inc.)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll [2015-12-17] (Adobe Systems Inc.)

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 IconMan_R; C:\Program Files (x86)\Realtek\Realtek PCIE Card Reader\RIconMan.exe [1817088 2010-12-27] (Realsil Microelectronics Inc.) [Datei ist nicht signiert]
S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [1042304 2016-02-08] (Enigma Software Group USA, LLC.)
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S3 ebdrv; C:\Windows\system32\drivers\evbda.sys [3286016 2009-06-10] (Broadcom Corporation)
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-02-08] ()
S3 SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2014.SP1c\WNt500x64\Sandra.sys [X]
S3 SmbDrvI; system32\DRIVERS\Smb_driver_Intel.sys [X]

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-02-09 16:47 - 2016-02-09 16:48 - 00006741 _____ C:\Users\Moni\Desktop\FRST.txt
2016-02-09 16:47 - 2016-02-09 16:47 - 00000000 ____D C:\FRST
2016-02-09 16:33 - 2016-02-09 16:33 - 02370560 _____ (Farbar) C:\Users\Moni\Desktop\FRST64.exe
2016-02-09 16:04 - 2016-02-09 16:04 - 00000000 ____D C:\pics
2016-02-08 18:22 - 2016-02-08 18:22 - 04952408 _____ C:\Users\Moni\Downloads\Aktivaciya-SPYHUNTER.zip.html.exe
2016-02-08 17:31 - 2016-02-08 17:31 - 00001087 _____ C:\Users\Moni\Desktop\SpyHunter.lnk
2016-02-08 17:31 - 2016-02-08 17:31 - 00000000 ____D C:\Users\Moni\AppData\Roaming\Enigma Software Group
2016-02-08 17:31 - 2016-02-08 17:31 - 00000000 ____D C:\sh4ldr
2016-02-08 17:30 - 2016-02-08 17:30 - 00022704 _____ C:\Windows\system32\Drivers\EsgScanner.sys
2016-02-08 17:30 - 2016-02-08 17:30 - 00000000 ____D C:\Program Files\Enigma Software Group
2016-02-08 17:29 - 2016-02-08 17:30 - 03286400 _____ (Enigma Software Group USA, LLC.) C:\Users\Moni\Downloads\SpyHunter-Installer (1).exe
2016-02-08 16:52 - 2016-02-08 16:52 - 03286400 _____ (Enigma Software Group USA, LLC.) C:\SpyHunter-Installer.exe
2016-02-08 14:01 - 2016-02-08 18:31 - 00406166 _____ C:\Windows\ntbtlog.txt
2016-02-08 14:00 - 2016-02-08 14:05 - 03286400 _____ (Enigma Software Group USA, LLC.) C:\Users\Moni\Downloads\SpyHunter-Installer.exe
2016-02-08 13:22 - 2016-02-08 13:41 - 00000000 ____D C:\Users\Moni\Doctor Web
2016-02-08 13:20 - 2016-02-08 13:21 - 182792848 _____ C:\Users\Moni\Downloads\ojaci3zf.exe
2016-02-07 18:17 - 2016-02-07 18:21 - 00012607 _____ C:\Users\Public\HELP_RECOVER_instructions+bcu.html
2016-02-07 18:17 - 2016-02-07 18:21 - 00012607 _____ C:\Users\Public\Downloads\HELP_RECOVER_instructions+bcu.html
2016-02-07 18:17 - 2016-02-07 18:21 - 00012607 _____ C:\Users\Moni\HELP_RECOVER_instructions+bcu.html
2016-02-07 18:17 - 2016-02-07 18:21 - 00002107 _____ C:\Users\Public\HELP_RECOVER_instructions+bcu.txt
2016-02-07 18:17 - 2016-02-07 18:21 - 00002107 _____ C:\Users\Public\Downloads\HELP_RECOVER_instructions+bcu.txt
2016-02-07 18:17 - 2016-02-07 18:21 - 00002107 _____ C:\Users\Moni\HELP_RECOVER_instructions+bcu.txt
2016-02-07 18:16 - 2016-02-07 18:21 - 00012607 _____ C:\Users\Moni\Downloads\HELP_RECOVER_instructions+bcu.html
2016-02-07 18:16 - 2016-02-07 18:21 - 00012607 _____ C:\Users\Moni\Documents\HELP_RECOVER_instructions+bcu.html
2016-02-07 18:16 - 2016-02-07 18:21 - 00012607 _____ C:\Users\Moni\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HELP_RECOVER_instructions+bcu.html
2016-02-07 18:16 - 2016-02-07 18:21 - 00012607 _____ C:\Users\Moni\AppData\Roaming\Microsoft\Windows\Start Menu\HELP_RECOVER_instructions+bcu.html
2016-02-07 18:16 - 2016-02-07 18:21 - 00012607 _____ C:\Users\Moni\AppData\HELP_RECOVER_instructions+bcu.html
2016-02-07 18:16 - 2016-02-07 18:21 - 00002107 _____ C:\Users\Moni\Downloads\HELP_RECOVER_instructions+bcu.txt
2016-02-07 18:16 - 2016-02-07 18:21 - 00002107 _____ C:\Users\Moni\Documents\HELP_RECOVER_instructions+bcu.txt
2016-02-07 18:16 - 2016-02-07 18:21 - 00002107 _____ C:\Users\Moni\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HELP_RECOVER_instructions+bcu.txt
2016-02-07 18:16 - 2016-02-07 18:21 - 00002107 _____ C:\Users\Moni\AppData\Roaming\Microsoft\Windows\Start Menu\HELP_RECOVER_instructions+bcu.txt
2016-02-07 18:16 - 2016-02-07 18:21 - 00002107 _____ C:\Users\Moni\AppData\HELP_RECOVER_instructions+bcu.txt
2016-02-07 18:15 - 2016-02-07 18:21 - 00012607 _____ C:\Users\Moni\AppData\LocalLow\HELP_RECOVER_instructions+bcu.html
2016-02-07 18:15 - 2016-02-07 18:21 - 00002107 _____ C:\Users\Moni\AppData\LocalLow\HELP_RECOVER_instructions+bcu.txt
2016-02-07 18:10 - 2016-02-07 18:21 - 00012607 _____ C:\Users\Public\Documents\HELP_RECOVER_instructions+bcu.html
2016-02-07 18:10 - 2016-02-07 18:21 - 00012607 _____ C:\Users\Moni\AppData\Roaming\HELP_RECOVER_instructions+bcu.html
2016-02-07 18:10 - 2016-02-07 18:21 - 00002107 _____ C:\Users\Public\Documents\HELP_RECOVER_instructions+bcu.txt
2016-02-07 18:10 - 2016-02-07 18:21 - 00002107 _____ C:\Users\Moni\AppData\Roaming\HELP_RECOVER_instructions+bcu.txt
2016-02-07 18:10 - 2016-02-07 18:20 - 00012607 _____ C:\Users\Moni\AppData\Local\HELP_RECOVER_instructions+bcu.html
2016-02-07 18:10 - 2016-02-07 18:20 - 00002107 _____ C:\Users\Moni\AppData\Local\HELP_RECOVER_instructions+bcu.txt
2016-02-07 18:10 - 2016-02-07 18:17 - 00012607 _____ C:\Users\Moni\AppData\Local\Apps\HELP_RECOVER_instructions+bcu.html
2016-02-07 18:10 - 2016-02-07 18:17 - 00002107 _____ C:\Users\Moni\AppData\Local\Apps\HELP_RECOVER_instructions+bcu.txt
2016-02-07 18:10 - 2016-02-07 18:10 - 00012607 _____ C:\ProgramData\HELP_RECOVER_instructions+bcu.html
2016-02-07 18:10 - 2016-02-07 18:10 - 00002107 _____ C:\ProgramData\HELP_RECOVER_instructions+bcu.txt
2016-02-07 18:09 - 2016-02-07 18:09 - 00272384 _____ (AdTrustMedia) C:\Users\Moni\AppData\Roaming\exwwbyr.exe
2016-02-07 18:08 - 2016-02-07 18:08 - 00000253 _____ C:\Users\Moni\Documents\recover_file_bnndbxiqa.txt

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-02-09 16:45 - 2014-05-04 21:03 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2016-02-09 16:38 - 2011-04-12 08:43 - 00698926 _____ C:\Windows\system32\perfh007.dat
2016-02-09 16:38 - 2011-04-12 08:43 - 00149034 _____ C:\Windows\system32\perfc007.dat
2016-02-09 16:38 - 2009-07-14 06:13 - 01618320 _____ C:\Windows\system32\PerfStringBackup.INI
2016-02-09 16:38 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\inf
2016-02-09 16:36 - 2009-07-14 05:45 - 00028320 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2016-02-09 16:36 - 2009-07-14 05:45 - 00028320 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2016-02-09 16:02 - 2015-05-31 14:57 - 00001110 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2016-02-09 15:56 - 2015-05-31 14:57 - 00001106 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2016-02-09 15:56 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-02-08 23:27 - 2014-04-10 19:51 - 00000000 ____D C:\Users\Moni
2016-02-08 13:14 - 2015-11-22 19:06 - 00000000 ____D C:\Users\Moni\AppData\Roaming\BOM
2016-02-08 13:14 - 2015-11-22 19:06 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Biet-O-Matic
2016-02-07 18:17 - 2011-04-12 08:54 - 00000000 ___RD C:\Users\Public\Recorded TV
2016-02-07 18:17 - 2009-07-14 04:20 - 00000000 __RHD C:\Users\Public\Libraries
2016-02-07 18:16 - 2015-05-06 20:41 - 00504640 _____ C:\Users\Moni\Downloads\standard_mietvertrag_nicht_weg.rtf.micro
2016-02-07 18:16 - 2015-02-05 14:29 - 00000000 ____D C:\Users\Moni\AppData\Roaming\OpenOffice
2016-02-07 18:16 - 2014-12-29 16:08 - 00000000 ____D C:\Users\Moni\Desktop\Verkauf Münsterstr.11
2016-02-07 18:16 - 2014-05-24 16:26 - 00000000 ____D C:\Users\Moni\AppData\Roaming\Skype
2016-02-07 18:16 - 2014-04-11 20:06 - 00000000 ____D C:\Users\Moni\AppData\Roaming\Synaptics
2016-02-07 18:15 - 2015-02-05 14:24 - 00000000 ____D C:\Users\Moni\AppData\Roaming\dlg
2016-02-07 18:15 - 2014-05-24 16:26 - 00000000 ____D C:\Users\Moni\AppData\Local\Skype
2016-02-07 18:15 - 2014-05-04 21:03 - 00000000 ____D C:\Users\Moni\AppData\Roaming\Macromedia
2016-02-07 18:15 - 2014-05-04 13:05 - 00000000 ____D C:\Users\Moni\AppData\LocalLow\Adobe
2016-02-07 18:15 - 2014-05-04 12:55 - 00000000 ____D C:\Users\Moni\AppData\Roaming\Google
2016-02-07 18:15 - 2014-04-29 06:58 - 00000000 ____D C:\Users\Moni\AppData\Local\Microsoft Games
2016-02-07 18:15 - 2014-04-27 11:05 - 00000000 ____D C:\Users\Moni\AppData\Roaming\HamsterSoft
2016-02-07 18:15 - 2014-04-26 20:41 - 00000000 ____D C:\Users\Moni\AppData\Roaming\driveridentifier
2016-02-07 18:15 - 2014-04-26 18:45 - 00000000 __SHD C:\Users\Moni\AppData\LocalLow\EmieUserList
2016-02-07 18:15 - 2014-04-26 18:44 - 00000000 __SHD C:\Users\Moni\AppData\LocalLow\EmieSiteList
2016-02-07 18:15 - 2014-04-26 18:43 - 00000000 ____D C:\Users\Moni\AppData\Roaming\Adobe
2016-02-07 18:15 - 2014-04-26 15:52 - 00000000 ____D C:\Users\Moni\AppData\Roaming\DRPSu
2016-02-07 18:15 - 2014-04-11 19:36 - 00000000 ____D C:\Users\Moni\AppData\Roaming\BatteryBar
2016-02-07 18:15 - 2014-04-10 19:51 - 00000000 ____D C:\Users\Moni\AppData\Roaming\Media Center Programs
2016-02-07 18:15 - 2014-04-10 19:51 - 00000000 ____D C:\Users\Moni\AppData\Local\VirtualStore
2016-02-07 18:10 - 2015-05-31 14:57 - 00000000 ____D C:\ProgramData\Google
2016-02-07 18:10 - 2015-05-26 09:53 - 00000000 ____D C:\ProgramData\Synaptics
2016-02-07 18:10 - 2015-05-26 08:57 - 00000000 __SHD C:\Users\Moni\AppData\Local\EmieBrowserModeList
2016-02-07 18:10 - 2014-05-24 16:26 - 00000000 ____D C:\ProgramData\Skype
2016-02-07 18:10 - 2014-05-04 13:02 - 00000000 ____D C:\ProgramData\Adobe
2016-02-07 18:10 - 2014-05-04 13:01 - 00000000 ____D C:\Users\Moni\AppData\Local\Adobe
2016-02-07 18:10 - 2014-05-04 12:49 - 00000000 ____D C:\Users\Moni\AppData\Local\Google
2016-02-07 18:10 - 2014-05-04 12:49 - 00000000 ____D C:\Users\Moni\AppData\Local\Deployment
2016-02-07 18:10 - 2014-05-04 12:49 - 00000000 ____D C:\Users\Moni\AppData\Local\Apps\2.0
2016-02-07 18:10 - 2014-04-27 09:44 - 00000000 ____D C:\swsetup
2016-02-07 18:10 - 2014-04-26 18:44 - 00000000 __SHD C:\Users\Moni\AppData\Local\EmieUserList
2016-02-07 18:10 - 2014-04-26 18:44 - 00000000 __SHD C:\Users\Moni\AppData\Local\EmieSiteList
2016-02-07 18:10 - 2014-04-26 17:59 - 00000000 ____D C:\Intel
2016-02-07 18:08 - 2015-05-26 10:09 - 00000000 ____D C:\AdwCleaner
2016-02-01 22:57 - 2015-05-31 14:57 - 00004106 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskMachineUA
2016-02-01 22:57 - 2015-05-31 14:57 - 00003854 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskMachineCore
2016-01-27 07:31 - 2014-05-04 13:03 - 00002441 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader XI.lnk
2016-01-22 04:05 - 2014-12-24 19:50 - 00003886 _____ C:\Windows\System32\Tasks\Adobe Acrobat Update Task
2016-01-20 17:45 - 2014-05-04 21:03 - 00796864 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2016-01-20 17:45 - 2014-05-04 21:03 - 00142528 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2016-01-20 17:45 - 2014-05-04 21:03 - 00003822 _____ C:\Windows\System32\Tasks\Adobe Flash Player Updater

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2016-02-07 18:09 - 2016-02-07 18:09 - 0272384 _____ (AdTrustMedia) C:\Users\Moni\AppData\Roaming\exwwbyr.exe
2016-02-07 18:10 - 2016-02-07 18:21 - 0012607 _____ () C:\Users\Moni\AppData\Roaming\HELP_RECOVER_instructions+bcu.html
2016-02-07 18:10 - 2016-02-07 18:21 - 0068630 _____ () C:\Users\Moni\AppData\Roaming\HELP_RECOVER_instructions+bcu.png
2016-02-07 18:10 - 2016-02-07 18:21 - 0002107 _____ () C:\Users\Moni\AppData\Roaming\HELP_RECOVER_instructions+bcu.txt
2016-02-07 18:16 - 2016-02-07 18:21 - 0012607 _____ () C:\Users\Moni\AppData\Roaming\Microsoft\HELP_RECOVER_instructions+bcu.html
2016-02-07 18:16 - 2016-02-07 18:21 - 0068630 _____ () C:\Users\Moni\AppData\Roaming\Microsoft\HELP_RECOVER_instructions+bcu.png
2016-02-07 18:16 - 2016-02-07 18:21 - 0002107 _____ () C:\Users\Moni\AppData\Roaming\Microsoft\HELP_RECOVER_instructions+bcu.txt
2016-02-07 18:10 - 2016-02-07 18:20 - 0012607 _____ () C:\Users\Moni\AppData\Local\HELP_RECOVER_instructions+bcu.html
2016-02-07 18:10 - 2016-02-07 18:20 - 0068630 _____ () C:\Users\Moni\AppData\Local\HELP_RECOVER_instructions+bcu.png
2016-02-07 18:10 - 2016-02-07 18:20 - 0002107 _____ () C:\Users\Moni\AppData\Local\HELP_RECOVER_instructions+bcu.txt
2014-04-27 11:05 - 2013-09-19 00:54 - 0000036 _____ () C:\Users\Moni\AppData\Local\installLang.ini
2015-12-31 23:22 - 2015-12-31 23:22 - 0000000 _____ () C:\Users\Moni\AppData\Local\{725C2782-2E42-49D1-A221-128D6D8768B4}
2016-02-07 18:10 - 2016-02-07 18:10 - 0012607 _____ () C:\ProgramData\HELP_RECOVER_instructions+bcu.html
2016-02-07 18:10 - 2016-02-07 18:10 - 0068630 _____ () C:\ProgramData\HELP_RECOVER_instructions+bcu.png
2016-02-07 18:10 - 2016-02-07 18:10 - 0002107 _____ () C:\ProgramData\HELP_RECOVER_instructions+bcu.txt

==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert


LastRegBack: 2016-01-30 13:14

==================== Ende von FRST.txt ============================
         
FRST Adition:
Code:
ATTFilter
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:07-02-2016
durchgeführt von Moni (2016-02-09 16:49:12)
Gestartet von C:\Users\Moni\Desktop
Windows 7 Home Premium Service Pack 1 (X64) (2014-04-10 18:51:07)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-1212754422-2891086040-1946289063-500 - Administrator - Disabled)
Gast (S-1-5-21-1212754422-2891086040-1946289063-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-1212754422-2891086040-1946289063-1002 - Limited - Enabled)
Moni (S-1-5-21-1212754422-2891086040-1946289063-1000 - Administrator - Enabled) => C:\Users\Moni

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Adobe Flash Player 20 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 20.0.0.286 - Adobe Systems Incorporated)
Adobe Reader XI (11.0.14) - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AB0000000001}) (Version: 11.0.14 - Adobe Systems Incorporated)
CCleaner (HKLM\...\CCleaner) (Version: 4.15 - Piriform)
Google Toolbar for Internet Explorer (HKLM-x32\...\{2318C2B1-4965-11d4-9B18-009027A5CD4F}) (Version: 7.5.7210.1528 - Google Inc.)
Google Toolbar for Internet Explorer (x32 Version: 1.0.0 - Google Inc.) Hidden
Google Update Helper (x32 Version: 1.3.25.11 - Google Inc.) Hidden
Google Update Helper (x32 Version: 1.3.29.5 - Google Inc.) Hidden
Hamster Free Archiver 3.0.0.39 (HKLM-x32\...\Hamster Free Archiver_is1) (Version: 3.0.0.39 - HamsterSoft)
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 9.17.10.3347 - Intel Corporation)
Microsoft .NET Framework 4.5.2 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft Silverlight (HKLM-x32\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 4.0.60310.0 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
OpenOffice 4.1.1 (HKLM-x32\...\{ACD0FFF9-6B35-43C1-82DB-9FF6990E8602}) (Version: 4.11.9775 - Apache Software Foundation)
Realtek Ethernet Controller Driver (HKLM-x32\...\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}) (Version: 7.42.304.2011 - Realtek)
Realtek PCIE Card Reader (HKLM-x32\...\{C1594429-8296-4652-BF54-9DBE4932A44C}) (Version: 6.1.7600.77 - Realtek Semiconductor Corp.)
Skype™ 6.16 (HKLM-x32\...\{7A3C7E05-EE37-47D6-99E1-2EB05A3DA3F7}) (Version: 6.16.105 - Skype Technologies S.A.)
SpyHunter 4 (HKLM-x32\...\SpyHunter) (Version: 4.21.18.4608 - Enigma Software Group, LLC)
Synaptics TouchPad Driver (HKLM\...\SynTPDeinstKey) (Version: 15.3.29.0 - Synaptics Incorporated)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {0D7D6E4F-AF71-4777-866A-E42CDFA39BB5} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-05-31] (Google Inc.)
Task: {1A6C6AFC-B990-4984-BF03-F98220B004F2} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2016-01-20] (Adobe Systems Incorporated)
Task: {7F47AE86-4036-4EEB-8767-6B88713EC54F} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-12-13] (Adobe Systems Incorporated)
Task: {D6FDD215-29D3-4E72-95C8-B351FC26C538} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-05-31] (Google Inc.)
Task: {DC1B45CF-1C54-4B90-AF55-8B90985F255D} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2014-06-24] (Piriform Ltd)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2014-01-29 22:02 - 2014-01-29 22:02 - 00094208 _____ () C:\Windows\System32\IccLibDll_x64.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 03:34 - 2009-06-10 22:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-1212754422-2891086040-1946289063-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Moni\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: Datenträger ist nicht mit dem Internet verbunden.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{7082921A-1BFD-4ADA-9B87-BAACD64E4375}] => (Allow) C:\Program Files (x86)\Skype\Phone\Skype.exe

==================== Wiederherstellungspunkte =========================

22-10-2015 14:11:45 Windows Update
01-11-2015 16:45:18 Geplanter Prüfpunkt
09-11-2015 06:48:49 Geplanter Prüfpunkt
18-11-2015 19:49:34 Geplanter Prüfpunkt
25-11-2015 21:38:28 Geplanter Prüfpunkt
03-12-2015 22:45:53 Geplanter Prüfpunkt
12-12-2015 14:06:47 Geplanter Prüfpunkt
20-12-2015 18:56:23 Geplanter Prüfpunkt
28-12-2015 19:45:22 Geplanter Prüfpunkt
04-01-2016 21:54:13 Geplanter Prüfpunkt
27-01-2016 17:47:55 Geplanter Prüfpunkt
03-02-2016 21:39:41 Geplanter Prüfpunkt

==================== Fehlerhafte Geräte im Gerätemanager =============

Name: Generic Bluetooth Adapter
Description: Generic Bluetooth Adapter
Class Guid: {e0cbf06c-cd8b-4647-bb8a-263b43f0f974}
Manufacturer: GenericAdapter
Service: BTHUSB
Problem: : Windows has stopped this device because it has reported problems. (Code 43)
Resolution: One of the drivers controlling the device notified the operating system that the device failed in some manner. For more information about how to diagnose the problem, see the hardware documentation. 


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (02/09/2016 03:57:53 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/09/2016 12:10:59 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/09/2016 07:02:03 AM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/08/2016 09:20:57 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/08/2016 05:27:21 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/08/2016 05:08:23 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/08/2016 05:05:21 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/08/2016 02:06:21 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/08/2016 02:03:52 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (02/08/2016 01:45:32 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


Systemfehler:
=============
Error: (02/09/2016 03:56:11 PM) (Source: BTHUSB) (EventID: 17) (User: )
Description: Der lokale Bluetooth-Adapter ist aus einem unbekannten Grund fehlgeschlagen und wird nicht verwendet. Der Treiber wurde entladen.

Error: (02/09/2016 12:09:17 PM) (Source: BTHUSB) (EventID: 17) (User: )
Description: Der lokale Bluetooth-Adapter ist aus einem unbekannten Grund fehlgeschlagen und wird nicht verwendet. Der Treiber wurde entladen.

Error: (02/09/2016 07:00:21 AM) (Source: BTHUSB) (EventID: 17) (User: )
Description: Der lokale Bluetooth-Adapter ist aus einem unbekannten Grund fehlgeschlagen und wird nicht verwendet. Der Treiber wurde entladen.

Error: (02/08/2016 10:03:11 PM) (Source: Schannel) (EventID: 4120) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung generiert: 43. Der interne Fehlerstatus lautet: 252.

Error: (02/08/2016 10:01:58 PM) (Source: Schannel) (EventID: 4120) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung generiert: 43. Der interne Fehlerstatus lautet: 252.

Error: (02/08/2016 10:00:33 PM) (Source: Schannel) (EventID: 4120) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung generiert: 43. Der interne Fehlerstatus lautet: 252.

Error: (02/08/2016 09:59:11 PM) (Source: Schannel) (EventID: 4120) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung generiert: 43. Der interne Fehlerstatus lautet: 252.

Error: (02/08/2016 09:59:10 PM) (Source: Schannel) (EventID: 4120) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung generiert: 43. Der interne Fehlerstatus lautet: 252.

Error: (02/08/2016 09:59:09 PM) (Source: Schannel) (EventID: 4120) (User: NT-AUTORITÄT)
Description: Es wurde eine schwerwiegende Warnung generiert: 43. Der interne Fehlerstatus lautet: 252.

Error: (02/08/2016 09:19:17 PM) (Source: BTHUSB) (EventID: 17) (User: )
Description: Der lokale Bluetooth-Adapter ist aus einem unbekannten Grund fehlgeschlagen und wird nicht verwendet. Der Treiber wurde entladen.


==================== Speicherinformationen =========================== 

Prozessor: Intel(R) Celeron(R) CPU B800 @ 1.50GHz
Prozentuale Nutzung des RAM: 38%
Installierter physikalischer RAM: 1899.86 MB
Verfügbarer physikalischer RAM: 1159.28 MB
Summe virtueller Speicher: 3799.72 MB
Verfügbarer virtueller Speicher: 2915.5 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:297.99 GB) (Free:265.98 GB) NTFS
Drive e: (HITMANPRO) (Removable) (Total:7.53 GB) (Free:6.58 GB) FAT32

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 298.1 GB) (Disk ID: CE32745F)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=298 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 7.5 GB) (Disk ID: BCECA8FE)
Partition 1: (Active) - (Size=7.5 GB) - (Type=0B)

==================== Ende von Addition.txt ============================
         
Weitere Logs habe ich leider keine. :-/


Gruß,
Geisteskr4nk
__________________
NICHTS kann mich aufhalten!
- mist, 'ne Kindersicherung

Alt 10.02.2016, 13:16   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win7 64, Crypto-Ransomware - Standard

Win7 64, Crypto-Ransomware



Haben seine Dateien nun die Endung .micro? Wenn ja hat er leider Pech gehabt ohne Backup. Wenn überhaupt helfen nur die Schattenkopien.

Verschlüsselungs-Trojaner TeslaCrypt 2 geknackt; Kriminelle rüsten nach | heise Security

Zitat:
Zitat von heise.de
Wer allerdings bereits den Nachfolger TeslaCrypt 3 erwischt hat, schaut in die Röhre. Der erstellt Dateien mit den Endungen xxx, .ttt, oder .micro – und die lassen sich derzeit nicht retten.
__________________

__________________

Alt 10.02.2016, 13:41   #3
Geisteskr4nk
 

Win7 64, Crypto-Ransomware - Standard

Win7 64, Crypto-Ransomware



Hallo Cosinus,

japp, sind leider .micro, angeblich RSA 4096.

Danke für die Links, dort gerade gelesen.
Öhm, was soll ich sagen, so zahlt sich seine Resistenz endlich mal aus und ich hab ein Grinsen im Gesicht, wenn ich ihn ihm wieder vorbei bring. xD
Schade drum, aber was solls.

Ich hoffe auf einen gesunden Lerneffekt.

Gruß,
Geisteskr4nk
__________________
__________________

Alt 10.02.2016, 13:43   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win7 64, Crypto-Ransomware - Standard

Win7 64, Crypto-Ransomware



Naja, mit Virenscanner hätte er sich den Scheiß wohl auch eingebrockt. Nur wirklich gute Scanner erkennen solche ransoms durch die Verhaltenserkennung.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.02.2016, 13:53   #5
Geisteskr4nk
 

Win7 64, Crypto-Ransomware - Standard

Win7 64, Crypto-Ransomware



Naja, heute erst in meinen Spammails dumm rum geklickt und musste lachen, Virenschutz ist da nicht mal nötig, einfach nur etwas Hirn.

Finde es "schade" dass sich die Leute trotz mehrmaligem Hinweisen nicht mit der Materie beschäftigen oder im dreisten Fall: Es sogar verweigern.
(Fast wie der Balg welchen ich 2013 hatte, welcher auch hier behandelt wurde)

Werde ihn unverändert zurück geben, mit erneutem Hinweis.


Gruß,
Geisteskr4nk

__________________
NICHTS kann mich aufhalten!
- mist, 'ne Kindersicherung

Alt 10.02.2016, 13:55   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win7 64, Crypto-Ransomware - Standard

Win7 64, Crypto-Ransomware



Du wirst nicht glauben wie viele da kramphaft versuchen jeden Anhang zu öffnen. Es ist einfach nicht zu fassen, dass diese uralte Verbreitungsmethode per E-Mail immer noch so effizient ist.

Naja, wer halt nicht aufpasst bekommt die Quittung...
__________________
--> Win7 64, Crypto-Ransomware

Alt 10.02.2016, 14:17   #7
Geisteskr4nk
 

Win7 64, Crypto-Ransomware - Standard

Win7 64, Crypto-Ransomware



Finde es immer wieder faszinierend und erschreckend zugleich dass es immer noch so viele gibt.
Selbst einfache Anwendungen wie z.B. NoScript werden konsequent verweigert, Firefox u.Ä. ebenfalls, sowieso und erst recht.

Kann man machen nix, muss man lassen gehn.

Ich danke nochmals und wünsche weiterhin gutes Gelingen
__________________
NICHTS kann mich aufhalten!
- mist, 'ne Kindersicherung

Geändert von Geisteskr4nk (10.02.2016 um 14:23 Uhr)

Antwort

Themen zu Win7 64, Crypto-Ransomware
adobe, cpu, defender, dnsapi.dll, email, esgscanner.sys, explorer, failed, firewall, flash player, geld, google, home, internet, internet explorer, prozesse, realtek, registry, scan, schutz, services.exe, software, svchost.exe, system, warnung, windows, winlogon.exe



Ähnliche Themen: Win7 64, Crypto-Ransomware


  1. Crypto Wars: NSA-Chef wirbt für Verschlüsselung
    Nachrichten - 22.01.2016 (0)
  2. hallo habe mir unter win7 64 bit nen crypto trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 20.12.2015 (12)
  3. FRST-Analyse nach Crypto-Tool-Removal
    Log-Analyse und Auswertung - 12.11.2015 (3)
  4. Crypto Trojaner hat Dateien teilweise verschlüsselt
    Überwachung, Datenschutz und Spam - 09.11.2015 (6)
  5. Crypto Wars 3.0: Obama will Verschlüsselung nicht per Gesetz schwächen
    Nachrichten - 09.10.2015 (0)
  6. Crypto Wars: Indische Regierung kippt Entschlüsselungs-Gesetz
    Nachrichten - 22.09.2015 (0)
  7. Crypto Wars: Obamas Entscheidung zu Zwangs-Hintertüren erwartet
    Nachrichten - 17.09.2015 (0)
  8. Crypto Wll 3.0 und bestimmt noch mehr auf Netbook
    Plagegeister aller Art und deren Bekämpfung - 27.05.2015 (5)
  9. Crypto Wars: Apple, Google und Co. protestieren gegen Hintertüren
    Nachrichten - 19.05.2015 (0)
  10. Crypto Wars 3.0: Erneuter Streit um Quellen-TKÜ
    Nachrichten - 30.01.2015 (0)
  11. Crypto-Wars 3.0: Scharfe Kritik an Forderungen zur Schwächung von Verschlüsselung
    Nachrichten - 22.01.2015 (0)
  12. Crypto Locker Entschluesselung funktioniert nicht bei allen?
    Diskussionsforum - 14.08.2014 (4)
  13. Crypto Locker entschluesseln
    Mülltonne - 09.08.2014 (15)
  14. Win7 ransomware wgsdgsdgdsgsd.dll, Win32/Reveton!lnk (runctf.lnk), Trojan.Ransom.Win32.Foreign.AMN (A)
    Plagegeister aller Art und deren Bekämpfung - 30.12.2012 (9)
  15. Microsoft veröffentlicht Fix für Crypto-Patch
    Nachrichten - 30.10.2009 (0)
  16. Microsoft\Crypto\RSA\S-1-5-18
    Plagegeister aller Art und deren Bekämpfung - 14.01.2008 (0)
  17. Trojan.Crypto
    Plagegeister aller Art und deren Bekämpfung - 12.08.2007 (4)

Zum Thema Win7 64, Crypto-Ransomware - Guten Abend, kurz und knapp: Kumpel gehobenen Alters fragte heute, ob ich mir seinen Laptop anschauen kann. Hätte besser mal 'nein' gesagt, seine kurze Beschreibung sagte mir schon alles. -.- - Win7 64, Crypto-Ransomware...
Archiv
Du betrachtest: Win7 64, Crypto-Ransomware auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.