Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Cerber 4-5 verschüsselte Daten auf Stick

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 26.03.2017, 10:43   #1
Tinag
 
Cerber 4-5 verschüsselte Daten auf Stick - Unglücklich

Cerber 4-5 verschüsselte Daten auf Stick



Guten Morgen, bei der Arbeit auf einem Schulcomputer wurden auf meinem USB Stick alle Dateien verschlüsselt. Ein Scan ergab einen Cerber 4-5 Befall. Der Computer wurde neu aufgesetzt und ich suche eine Möglichkeit meine Daten zu entschlüsseln ,da ich kein Backup gemacht habe.

Danke für einen Hinweis

Alt 26.03.2017, 12:31   #2
Tinag
 
Cerber 4-5 verschüsselte Daten auf Stick - Standard

Cerber 4-5 verschüsselte Daten auf Stick



hier der SCAN von FrstFRST Additions Logfile:
Code:
ATTFilter
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 15-03-2017
durchgeführt von bg (26-03-2017 12:25:40)
Gestartet von C:\Users\bg\AppData\Local\Microsoft\Office\Temporay Internet Files\Temporäre Internetdateien\Content.IE5\721N1ZXJ
Windows 7 Home Premium Service Pack 1 (X64) (2010-07-09 10:45:50)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-3711390589-1506025302-1768295536-500 - Administrator - Disabled)
bg (S-1-5-21-3711390589-1506025302-1768295536-1001 - Administrator - Enabled) => C:\Users\bg
Gast (S-1-5-21-3711390589-1506025302-1768295536-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-3711390589-1506025302-1768295536-1002 - Limited - Enabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: Kaspersky Anti-Virus (Enabled - Up to date) {86367591-4BE4-AE08-2FD9-7FCB8259CD98}
AS: Kaspersky Anti-Virus (Enabled - Up to date) {3D579475-6DDE-A186-1569-44B9F9DE8725}
AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Acer Crystal Eye Webcam (HKLM-x32\...\{7760D94E-B1B5-40A0-9AA0-ABF942108755}) (Version: 5.2.11.1 - Suyin Optronics Corp)
Acer ePower Management (HKLM-x32\...\{3DB0448D-AD82-4923-B305-D001E521A964}) (Version: 5.00.3000 - Acer Incorporated)
Acer eRecovery Management (HKLM-x32\...\{7F811A54-5A09-4579-90E1-C93498E230D9}) (Version: 4.05.3005 - Acer Incorporated)
Acer Registration (HKLM-x32\...\Acer Registration) (Version: 1.02.3006 - Acer Incorporated)
Acer ScreenSaver (HKLM-x32\...\Acer Screensaver) (Version: 1.32.1209 - Acer Incorporated)
Acer Updater (HKLM-x32\...\{EE171732-BEB4-4576-887D-CB62727F01CA}) (Version: 1.01.3017 - Acer Incorporated)
Acer VCM (HKLM-x32\...\{047F790A-7A2A-4B6A-AD02-38092BA63DAC}) (Version: 4.05.3000 - Acer Incorporated)
Acrobat.com (HKLM-x32\...\{287ECFA4-719A-2143-A09B-D6A12DE54E40}) (Version: 1.6.65 - Adobe Systems Incorporated)
Adobe Flash Player 25 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 25.0.0.127 - Adobe Systems Incorporated)
Adobe Reader XI (11.0.10) - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AB0000000001}) (Version: 11.0.10 - Adobe Systems Incorporated)
Alcor Micro USB Card Reader (HKLM-x32\...\InstallShield_{5A22D889-FBDD-4AE8-86EC-089D45FC133E}) (Version: 1.2.17.05001 - Alcor Micro Corp.)
Alcor Micro USB Card Reader (x32 Version: 1.2.17.05001 - Alcor Micro Corp.) Hidden
Apple Application Support (HKLM-x32\...\{46F044A5-CE8B-4196-984E-5BD6525E361D}) (Version: 2.3.6 - Apple Inc.)
Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver (HKLM-x32\...\{3108C217-BE83-42E4-AE9E-A56A2A92E549}) (Version: 1.0.0.5 - Atheros Communications Inc.)
ClamWin Free Antivirus 0.99.1 (HKLM-x32\...\ClamWin Free Antivirus_is1) (Version:  - alch)
Compatibility Pack für 2007 Office System (HKLM-x32\...\{90120000-0020-0407-0000-0000000FF1CE}) (Version: 12.0.6612.1000 - Microsoft Corporation)
FLV Player 2.0 (build 25) (HKLM-x32\...\FLV Player) (Version: 2.0 (build 25) - Martijn de Visser)
Google Update Helper (x32 Version: 1.3.21.169 - Google Inc.) Hidden
Identity Card (HKLM-x32\...\Identity Card) (Version: 1.00.3003 - Acer Incorporated)
Intel(R) Graphics Media Accelerator Driver (HKLM\...\HDMI) (Version: 8.15.10.1892 - Intel Corporation)
Intel® Matrix Storage Manager (HKLM\...\{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}) (Version:  - Intel Corporation)
Internet-Manager (HKLM-x32\...\{27D28586-BEF1-4E06-8787-3B1FC3A41489}) (Version: 1.0.0.3 - ZTE CORPORATION)
Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217025FF}) (Version: 7.0.510 - Oracle)
Junk Mail filter update (x32 Version: 14.0.8089.726 - Microsoft Corporation) Hidden
Kaspersky Anti-Virus (HKLM-x32\...\InstallWIX_{E27B1D7B-3B34-43A2-9FC0-9828D5DF46E2}) (Version: 17.0.0.611 - Kaspersky Lab)
Kaspersky Anti-Virus (x32 Version: 17.0.0.611 - Kaspersky Lab) Hidden
Kaspersky Secure Connection (HKLM-x32\...\InstallWIX_{1CF84962-50F8-48CA-9082-B70F3A02C686}) (Version: 17.0.0.611 - Kaspersky Lab)
Kaspersky Secure Connection (x32 Version: 17.0.0.611 - Kaspersky Lab) Hidden
Launch Manager (HKLM-x32\...\LManager) (Version: 3.0.06 - Acer Inc.)
Microsoft .NET Framework 4.5.2 (Deutsch) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1031) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft .NET Framework 4.5.2 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.51209 - Microsoft Corporation)
Microsoft Office 2007 Service Pack 3 (SP3) (HKLM-x32\...\{90120000-0100-0407-0000-0000000FF1CE}_OMUI.de-de_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}) (Version:  - Microsoft)
Microsoft Office 2007 Service Pack 3 (SP3) (HKLM-x32\...\{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}) (Version:  - Microsoft)
Microsoft Office File Validation Add-In (HKLM-x32\...\{90140000-2005-0000-0000-0000000FF1CE}) (Version: 14.0.5130.5003 - Microsoft Corporation)
Microsoft Office Home and Student 2007 (HKLM-x32\...\HOMESTUDENTR) (Version: 12.0.6612.1000 - Microsoft Corporation)
Microsoft Office Language Pack 2007 - German/Deutsch (HKLM-x32\...\OMUI.de-de) (Version: 12.0.6612.1000 - Microsoft Corporation)
Microsoft Office Live Add-in 1.5 (HKLM-x32\...\{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}) (Version: 2.0.4024.1 - Microsoft Corporation)
Microsoft Office Suite Activation Assistant (HKLM-x32\...\{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}) (Version: 2.9 - Microsoft Corporation)
Microsoft Outlook Web Access S/MIME (HKLM-x32\...\{6CF08AD2-00C5-4A63-B74B-2EFFFAFEBE1A}) (Version: 6.5.7638.1 - Microsoft)
Microsoft SQL Server 2005 Compact Edition [ENU] (HKLM-x32\...\{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}) (Version: 3.1.0000 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 (HKLM-x32\...\{050d4fc8-5d48-4b8f-8972-47c82c46020f}) (Version: 12.0.30501.0 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.30501 (HKLM-x32\...\{f65db027-aff3-4070-886a-0d87064aabb1}) (Version: 12.0.30501.0 - Microsoft Corporation)
Microsoft Works (HKLM-x32\...\{39D0E034-1042-4905-BECB-5502909FCB7C}) (Version: 9.7.0621 - Microsoft Corporation)
MSVC80_x64_v2 (Version: 1.0.3.0 - Nokia) Hidden
MSVC80_x86_v2 (x32 Version: 1.0.3.0 - Nokia) Hidden
MSVC90_x64 (Version: 1.0.1.2 - Nokia) Hidden
MSVC90_x86 (x32 Version: 1.0.1.2 - Nokia) Hidden
MSXML 4.0 SP3 Parser (KB2721691) (HKLM-x32\...\{355B5AC0-CEEE-42C5-AD4D-7F3CFD806C36}) (Version: 4.30.2114.0 - Microsoft Corporation)
MSXML 4.0 SP3 Parser (KB2758694) (HKLM-x32\...\{1D95BA90-F4F8-47EC-A882-441C99D30C1E}) (Version: 4.30.2117.0 - Microsoft Corporation)
MSXML 4.0 SP3 Parser (KB973685) (HKLM-x32\...\{859DFA95-E4A6-48CD-B88E-A3E483E89B44}) (Version: 4.30.2107.0 - Microsoft Corporation)
MyWinLocker (HKLM-x32\...\{68301905-2DEA-41CE-A4D4-E8B443B099BA}) (Version: 3.1.76.0 - Egis Technology Inc.)
Nokia Connectivity Cable Driver (HKLM-x32\...\{29373274-977E-413C-A4DE-DC0F8E80C429}) (Version: 7.1.172.0 - Nokia)
Nokia Suite (HKLM-x32\...\Nokia Suite) (Version: 3.8.48.0 - Nokia)
Nokia Suite (x32 Version: 3.8.48.0 - Nokia) Hidden
PC Connectivity Solution (HKLM-x32\...\{6D01D1B1-17BD-4F10-BB11-F08F0C47D42B}) (Version: 12.0.109.0 - Nokia)
PDFCreator (HKLM-x32\...\{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}) (Version: 1.7.3 - pdfforge)
QuickTime 7 (HKLM-x32\...\{3D2CBC2C-65D4-4463-87AB-BB2C859C1F3E}) (Version: 7.76.80.95 - Apple Inc.)
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.5901 - Realtek Semiconductor Corp.)
Recuva (HKLM\...\Recuva) (Version: 1.53 - Piriform)
Skype Click to Call (HKLM-x32\...\{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}) (Version: 8.5.0.9167 - Microsoft Corporation)
Skype™ 7.0 (HKLM-x32\...\{24991BA0-F0EE-44AD-9CC8-5EC50AECF6B7}) (Version: 7.0.102 - Skype Technologies S.A.)
SpyHunter 4 (HKLM-x32\...\SpyHunter) (Version: 4.25.6.4782 - Enigma Software Group, LLC)
Synaptics Pointing Device Driver (HKLM\...\SynTPDeinstKey) (Version: 13.2.2.0 - Synaptics Incorporated)
System Requirements Lab for Intel (64-bit) (HKLM\...\{6AEC3114-709D-4CFF-9296-ECE23ED19F97}) (Version: 4.5.11.0 - Husdawg, LLC)
System Requirements Lab for Intel (HKLM-x32\...\{C7CA731B-BF9A-46D9-92CF-8A8737AE9240}) (Version: 4.5.13.0 - Husdawg, LLC)
Update for 2007 Microsoft Office System (KB967642) (HKLM-x32\...\{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{C444285D-5E4F-48A4-91DD-47AAAA68E92D}) (Version:  - Microsoft)
Update für Microsoft Office Excel 2007 Help (KB963678) (HKLM-x32\...\{90120000-0016-0407-0000-0000000FF1CE}_OMUI.de-de_{BEC163EC-7A83-48A1-BFB6-3BF47CC2F8CF}) (Version:  - Microsoft)
Update für Microsoft Office Outlook 2007 Help (KB963677) (HKLM-x32\...\{90120000-001A-0407-0000-0000000FF1CE}_OMUI.de-de_{F6828576-6F79-470D-AB50-69D1BBADBD30}) (Version:  - Microsoft)
Update für Microsoft Office Powerpoint 2007 Help (KB963669) (HKLM-x32\...\{90120000-0018-0407-0000-0000000FF1CE}_OMUI.de-de_{EA160DA3-E9B5-4D03-A518-21D306665B96}) (Version:  - Microsoft)
Update für Microsoft Office Word 2007 Help (KB963665) (HKLM-x32\...\{90120000-001B-0407-0000-0000000FF1CE}_OMUI.de-de_{38472199-D7B6-4833-A949-10E4EE6365A1}) (Version:  - Microsoft)
VLC media player (HKLM-x32\...\VLC media player) (Version: 2.1.5 - VideoLAN)
Welcome Center (HKLM-x32\...\Acer Welcome Center) (Version: 1.00.3010 - Acer Incorporated)
WIDCOMM Bluetooth Software (HKLM\...\{9E9D49A4-1DF4-4138-B7DB-5D87A893088E}) (Version: 6.2.0.9600 - Broadcom Corporation)
Windows Live Essentials (HKLM-x32\...\WinLiveSuite_Wave3) (Version: 14.0.8089.0726 - Microsoft Corporation)
Windows Phone app for desktop (HKLM-x32\...\{19773614-FC22-4ACC-AAA3-E6BDA81ACF92}) (Version: 1.1.2726.0 - Microsoft Corporation)
Windows-Treiberpaket - Nokia pccsmcfd LegacyDriver  (05/31/2012 7.1.2.0) (HKLM\...\62BBD193ADFDBB228C7E1ADB56463F5732FF7F6F) (Version: 05/31/2012 7.1.2.0 - Nokia)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {452D9505-561C-494D-A752-8D3C4E49DF22} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2017-03-14] (Adobe Systems Incorporated)
Task: {654B6710-B8BB-42C9-AB32-5E306C90C292} - System32\Tasks\{C4CB75B6-C1CD-4F98-8221-1464D7FCB477} => pcalua.exe -a "C:\Program Files (x86)\ClamWin\unins000.exe" -d "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClamWin Antivirus"
Task: {826A79A1-F741-4012-9BC7-D2279C145DE8} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\System32\browserchoice.exe 
Task: {8E260DD8-D9EE-4E20-A885-286B1B1DC7AF} - System32\Tasks\{9791F286-FB6C-46DB-86FE-272D261D9A2B} => C:\Program Files (x86)\Acer\Acer VCM\AcerVCM.exe [2009-07-11] (Acer Incorporated)
Task: {B316C642-F6A4-4F8B-AFBB-02289EDC5A50} - System32\Tasks\{83453F79-D15C-40A2-ADBF-9E776E7573C2} => C:\Program Files (x86)\Skype\Phone\Skype.exe [2014-12-11] (Skype Technologies S.A.)
Task: {EBBA50ED-5D01-4893-9BF0-3A2ADCA49598} - System32\Tasks\{146C4643-00F0-4006-8897-5946DC6C9473} => C:\Program Files (x86)\Acer\Acer VCM\AcerVCM.exe [2009-07-11] (Acer Incorporated)
Task: {ECCAC415-88AA-431F-B3E8-1DBE24E2A213} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2017-03-22] (Enigma Software Group USA, LLC.)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\Windows\Tasks\Acer Registration Data Sending.job => C:\Program Files (x86)\Acer\Registration\GREG.exe

==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2008-01-02 23:43 - 2009-12-14 20:06 - 00206072 _____ () C:\Windows\PLFSetI.exe
2014-01-01 14:13 - 2011-11-07 10:52 - 00220944 ____C () C:\Program Files (x86)\3G\Internet-Manager\Bin\dbus-daemon.exe
2014-01-01 14:13 - 2011-11-07 10:52 - 00036624 ____C () C:\Program Files (x86)\3G\Internet-Manager\Bin\db_daemon.exe
2016-06-28 01:19 - 2016-06-28 01:19 - 00865232 ____C () C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 17.0.0\kpcengine.2.3.dll
2014-01-01 14:13 - 2011-05-06 05:03 - 00594944 ____C () C:\Program Files (x86)\3G\Internet-Manager\Bin\dbus-1.dll
2014-01-01 14:13 - 2011-11-07 10:39 - 00099328 ____C () C:\Program Files (x86)\3G\Internet-Manager\Bin\itapi.dll
2014-01-01 14:13 - 2011-11-07 10:38 - 00027136 ____C () C:\Program Files (x86)\3G\Internet-Manager\Bin\log.dll
2014-01-01 14:13 - 2010-10-14 11:37 - 00971776 ____C () C:\Program Files (x86)\3G\Internet-Manager\Bin\libxml2.dll
2014-01-01 14:13 - 2010-10-14 11:37 - 00080688 ____C () C:\Program Files (x86)\3G\Internet-Manager\Bin\zlib1.dll
2014-01-01 14:13 - 2011-11-07 10:38 - 00055296 ____C () C:\Program Files (x86)\3G\Internet-Manager\Bin\coder.dll
2014-01-01 14:13 - 2011-11-07 10:39 - 00043008 ____C () C:\Program Files (x86)\3G\Internet-Manager\Bin\audio.dll
2014-01-01 14:13 - 2011-11-07 10:38 - 00035840 ____C () C:\Program Files (x86)\3G\Internet-Manager\Bin\libConfig.dll
2014-01-01 14:13 - 2011-11-07 10:43 - 00020992 ____C () C:\Program Files (x86)\3G\Internet-Manager\Bin\libctlsvr.dll
2017-03-23 17:27 - 2005-02-08 18:23 - 00979005 ____C () C:\Program Files (x86)\ClamWin\bin\python23.dll
2017-03-23 17:27 - 2004-11-20 04:27 - 00069632 ____C () C:\Program Files (x86)\ClamWin\lib\win32api.pyd
2017-03-23 17:27 - 2004-10-11 21:21 - 00094208 ____C () C:\Program Files (x86)\ClamWin\lib\pywintypes23.dll
2017-03-23 17:27 - 2004-05-25 22:18 - 00057401 ____C () C:\Program Files (x86)\ClamWin\lib\_sre.pyd
2017-03-23 17:27 - 2004-11-20 04:27 - 00086016 ____C () C:\Program Files (x86)\ClamWin\lib\win32gui.pyd
2017-03-23 17:27 - 2004-11-20 04:27 - 00024576 ____C () C:\Program Files (x86)\ClamWin\lib\win32event.pyd
2017-03-23 17:27 - 2004-11-20 04:27 - 00036864 ____C () C:\Program Files (x86)\ClamWin\lib\win32process.pyd
2017-03-23 17:27 - 2004-05-25 22:18 - 00049212 ____C () C:\Program Files (x86)\ClamWin\lib\_socket.pyd
2017-03-23 17:27 - 2004-05-25 22:18 - 00495616 ____C () C:\Program Files (x86)\ClamWin\lib\_ssl.pyd
2017-03-23 17:27 - 2004-05-25 22:20 - 00036864 ____C () C:\Program Files (x86)\ClamWin\lib\_winreg.pyd
2017-03-23 17:27 - 2004-10-11 21:22 - 00315392 ____C () C:\Program Files (x86)\ClamWin\lib\pythoncom23.dll
2017-03-23 17:27 - 2004-11-20 04:27 - 00106496 ____C () C:\Program Files (x86)\ClamWin\lib\shell.pyd
2017-03-23 17:27 - 2004-11-20 04:27 - 00065536 ____C () C:\Program Files (x86)\ClamWin\lib\win32security.pyd
2017-03-23 17:27 - 2004-01-15 15:45 - 00061440 ____C () C:\Program Files (x86)\ClamWin\lib\_ctypes.pyd
2017-03-23 17:27 - 2004-11-20 04:27 - 00077824 ____C () C:\Program Files (x86)\ClamWin\lib\win32file.pyd
2017-03-23 17:27 - 2004-11-20 04:27 - 00024576 ____C () C:\Program Files (x86)\ClamWin\lib\win32pipe.pyd
2017-03-23 17:27 - 2003-10-01 14:40 - 02240512 ____C () C:\Program Files (x86)\ClamWin\lib\wxc.pyd
2017-03-23 17:27 - 2003-10-01 12:43 - 03239936 ____C () C:\Program Files (x86)\ClamWin\lib\wxmsw24h.dll
2017-03-23 17:27 - 2003-08-10 10:14 - 00061440 ____C () C:\Program Files (x86)\ClamWin\lib\mxDateTime.pyd
2017-03-23 17:27 - 2004-05-25 22:17 - 00622651 ____C () C:\Program Files (x86)\ClamWin\lib\_bsddb.pyd
2017-03-23 17:27 - 2004-05-25 22:19 - 00045117 ____C () C:\Program Files (x86)\ClamWin\lib\datetime.pyd
2014-01-01 14:13 - 2007-09-09 17:07 - 00151552 ____C () C:\Program Files (x86)\3G\Internet-Manager\Bin\libexpat.dll
2014-01-01 14:13 - 2011-05-06 05:02 - 00341504 ____C () C:\Program Files (x86)\3G\Internet-Manager\Bin\sqlite3.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)

AlternateDataStreams: C:\ProgramData\TEMP:0B9176C0 [256]
AlternateDataStreams: C:\ProgramData\TEMP:5D7E5A8F [290]

==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\BsScanner => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\BsScanner => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"

==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)

IE trusted site: HKU\S-1-5-21-3711390589-1506025302-1768295536-1001\...\bzpflege.ch -> hxxps://webmail.bzpflege.ch

==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 04:34 - 2009-06-10 23:00 - 00000824 ____N C:\Windows\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-3711390589-1506025302-1768295536-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\bg\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.1.1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Acer VCM.lnk => C:\Windows\pss\Acer VCM.lnk.CommonStartup
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Bluetooth.lnk => C:\Windows\pss\Bluetooth.lnk.CommonStartup
MSCONFIG\startupreg: (default) => 
MSCONFIG\startupreg: Adobe ARM => "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
MSCONFIG\startupreg: APSDaemon => "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
MSCONFIG\startupreg: EgisTecLiveUpdate => "C:\Program Files (x86)\EgisTec Egis Software Update\EgisUpdate.exe"
MSCONFIG\startupreg: QuickTime Task => "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{AFD753EE-1662-4474-9094-A4248998D370}] => (Allow) C:\Program Files (x86)\Acer\Acer VCM\RS_Service.exe
FirewallRules: [{ED6742D0-7AF2-4AE5-9E22-DFC29BF28D33}] => (Allow) C:\Program Files (x86)\Acer\Acer VCM\VC.exe
FirewallRules: [{93A86FA9-8EB8-4F52-8372-16E925E230E5}] => (Allow) C:\Program Files (x86)\Common Files\Apple\Apple Application Support\WebKit2WebProcess.exe
FirewallRules: [{8C1267EA-EE27-402E-8E7B-1F6A3CABBA2C}] => (Allow) C:\Program Files (x86)\Skype\Phone\Skype.exe
FirewallRules: [{12F7D049-DB06-43AF-852B-E34287EFF20F}] => (Allow) C:\Program Files (x86)\nokia\nokia suite\nokiasuite.exe
FirewallRules: [{FCAE5016-36B0-4A4B-8DF1-5180F04FB918}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

==================== Wiederherstellungspunkte =========================

13-03-2017 20:46:06 Windows Update
14-03-2017 06:41:29 Windows Update
14-03-2017 23:48:06 Windows Update
22-03-2017 20:35:10 Windows Update
23-03-2017 03:19:16 AA11
23-03-2017 04:00:42 Windows Update
23-03-2017 07:41:32 AA11

==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (03/26/2017 12:22:22 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: CompatTelRunner.exe, Version: 10.0.14979.1011, Zeitstempel: 0x841859ac
Name des fehlerhaften Moduls: devinv.dll, Version: 10.0.14979.1011, Zeitstempel: 0x3d209c82
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00000000000166bd
ID des fehlerhaften Prozesses: 0xbc0
Startzeit der fehlerhaften Anwendung: 0x01d2a617b4be5c13
Pfad der fehlerhaften Anwendung: C:\Windows\system32\CompatTelRunner.exe
Pfad des fehlerhaften Moduls: C:\Windows\system32\devinv.dll
Berichtskennung: 19325ce0-120e-11e7-8dab-00269eeacc84

Error: (03/24/2017 10:08:07 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Programm IEXPLORE.EXE, Version 11.0.9600.18616 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: 1050

Startzeit: 01d2a4da3f89f972

Endzeit: 300

Anwendungspfad: C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE

Berichts-ID:

Error: (03/24/2017 10:07:34 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Programm IEXPLORE.EXE, Version 11.0.9600.18616 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: e2c

Startzeit: 01d2a4d9a0bf912f

Endzeit: 0

Anwendungspfad: C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE

Berichts-ID:

Error: (03/24/2017 06:13:22 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: CompatTelRunner.exe, Version: 10.0.14979.1011, Zeitstempel: 0x841859ac
Name des fehlerhaften Moduls: devinv.dll, Version: 10.0.14979.1011, Zeitstempel: 0x3d209c82
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00000000000166bd
ID des fehlerhaften Prozesses: 0x1b14
Startzeit der fehlerhaften Anwendung: 0x01d2a4b671d9005e
Pfad der fehlerhaften Anwendung: C:\Windows\system32\CompatTelRunner.exe
Pfad des fehlerhaften Moduls: C:\Windows\system32\devinv.dll
Berichtskennung: cca3dffb-10ac-11e7-8e7f-00269eeacc84

Error: (03/24/2017 05:50:23 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: LogonUI.exe, Version: 6.1.7601.17514, Zeitstempel: 0x4ce79f70
Name des fehlerhaften Moduls: COMCTL32.dll, Version: 6.10.7601.18837, Zeitstempel: 0x553a8775
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00000000000dc651
ID des fehlerhaften Prozesses: 0x1314
Startzeit der fehlerhaften Anwendung: 0x01d2a4280547a1b6
Pfad der fehlerhaften Anwendung: C:\Windows\system32\LogonUI.exe
Pfad des fehlerhaften Moduls: C:\Windows\WinSxS\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.18837_none_fa3b1e3d17594757\COMCTL32.dll
Berichtskennung: 97250387-10a9-11e7-8e7f-00269eeacc84

Error: (03/23/2017 10:04:07 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: wmprph.exe, Version: 12.0.7600.16385, Zeitstempel: 0x4a5bd018
Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel: 0x00000000
Ausnahmecode: 0xc0000005
Fehleroffset: 0x0000000000000000
ID des fehlerhaften Prozesses: 0x14c8
Startzeit der fehlerhaften Anwendung: 0x01d2a40f8696881a
Pfad der fehlerhaften Anwendung: C:\Program Files\Windows Media Player\wmprph.exe
Pfad des fehlerhaften Moduls: unknown
Berichtskennung: decfd3d6-1003-11e7-b2bb-00269eeacc84

Error: (03/23/2017 10:00:58 PM) (Source: SideBySide) (EventID: 35) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files (x86)\Windows Live\Photo Gallery\MovieMaker.Exe". Fehler in Manifest- oder Richtliniendatei "C:\Program Files (x86)\Windows Live\Photo Gallery\WLMFDS.DLL" in Zeile  8.
Die im Manifest gefundene Komponenten-ID stimmt nicht mit der ID der angeforderten Komponente überein.
Verweis: WLMFDS,processorArchitecture="AMD64",type="win32",version="1.0.0.1".
Definition: WLMFDS,processorArchitecture="x86",type="win32",version="1.0.0.1".
Verwenden Sie das Programm "sxstrace.exe" für eine detaillierte Diagnose.

Error: (03/23/2017 10:00:57 PM) (Source: SideBySide) (EventID: 35) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files (x86)\Windows Live\Photo Gallery\MovieMaker.Exe". Fehler in Manifest- oder Richtliniendatei "C:\Program Files (x86)\Windows Live\Photo Gallery\WLMFDS.DLL" in Zeile  8.
Die im Manifest gefundene Komponenten-ID stimmt nicht mit der ID der angeforderten Komponente überein.
Verweis: WLMFDS,processorArchitecture="AMD64",type="win32",version="1.0.0.1".
Definition: WLMFDS,processorArchitecture="x86",type="win32",version="1.0.0.1".
Verwenden Sie das Programm "sxstrace.exe" für eine detaillierte Diagnose.

Error: (03/23/2017 10:00:51 PM) (Source: SideBySide) (EventID: 35) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files (x86)\Windows Live\Photo Gallery\MovieMaker.exe". Fehler in Manifest- oder Richtliniendatei "C:\Program Files (x86)\Windows Live\Photo Gallery\WLMFDS.DLL" in Zeile  8.
Die im Manifest gefundene Komponenten-ID stimmt nicht mit der ID der angeforderten Komponente überein.
Verweis: WLMFDS,processorArchitecture="AMD64",type="win32",version="1.0.0.1".
Definition: WLMFDS,processorArchitecture="x86",type="win32",version="1.0.0.1".
Verwenden Sie das Programm "sxstrace.exe" für eine detaillierte Diagnose.

Error: (03/23/2017 09:46:35 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: prevhost.exe, Version: 6.1.7601.17562, Zeitstempel: 0x4d5dee89
Name des fehlerhaften Moduls: pdfprevhndlr.dll, Version: 11.0.3.37, Zeitstempel: 0x518e10a7
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00001be6
ID des fehlerhaften Prozesses: 0x1f7c
Startzeit der fehlerhaften Anwendung: 0x01d2a40d0358970c
Pfad der fehlerhaften Anwendung: C:\Windows\SysWOW64\prevhost.exe
Pfad des fehlerhaften Moduls: C:\Program Files (x86)\Adobe\Reader 11.0\Reader\pdfprevhndlr.dll
Berichtskennung: 6b61a609-1001-11e7-b2bb-00269eeacc84


Systemfehler:
=============
Error: (03/26/2017 12:24:18 PM) (Source: DCOM) (EventID: 10016) (User: bg-PC)
Description: Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-21-3711390589-1506025302-1768295536-1001) für Benutzer bg-PC\bg von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Aktivierung (Lokal) für die COM-Serveranwendung mit CLSID 
{D3DCB472-7261-43CE-924B-0704BD730D5F}
 und APPID 
{D3DCB472-7261-43CE-924B-0704BD730D5F}
 gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Error: (03/26/2017 12:24:16 PM) (Source: DCOM) (EventID: 10016) (User: bg-PC)
Description: Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-21-3711390589-1506025302-1768295536-1001) für Benutzer bg-PC\bg von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Aktivierung (Lokal) für die COM-Serveranwendung mit CLSID 
{145B4335-FE2A-4927-A040-7C35AD3180EF}
 und APPID 
{145B4335-FE2A-4927-A040-7C35AD3180EF}
 gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

Error: (03/26/2017 11:55:49 AM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: 
cdrom

Error: (03/24/2017 11:32:35 PM) (Source: DCOM) (EventID: 10010) (User: )
Description: Der Server "{F9717507-6651-4EDB-BFF7-AE615179BCCF}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Error: (03/24/2017 11:29:09 PM) (Source: Service Control Manager) (EventID: 7011) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst NlaSvc erreicht.

Error: (03/24/2017 09:18:20 PM) (Source: Service Control Manager) (EventID: 7011) (User: )
Description: Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst Wlansvc erreicht.

Error: (03/24/2017 08:19:34 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: 
cdrom

Error: (03/24/2017 08:19:20 PM) (Source: BugCheck) (EventID: 1001) (User: )
Description: Der Computer wurde nach einem schwerwiegenden Fehler neu gestartet. Der Fehlercode war: 0x00009088 (0xfffff8800417d800, 0xfffff8800417d804, 0xfffff8800417d810, 0xfffff8800417d814). Ein volles Abbild wurde gespeichert in: C:\Windows\MEMORY.DMP. Berichts-ID: 032417-28189-01.

Error: (03/24/2017 08:18:59 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎24.‎03.‎2017 um 18:31:03 unerwartet heruntergefahren.

Error: (03/24/2017 06:35:19 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: 
cdrom


==================== Speicherinformationen =========================== 

Prozessor: Intel(R) Celeron(R) CPU 743 @ 1.30GHz
Prozentuale Nutzung des RAM: 67%
Installierter physikalischer RAM: 1978.92 MB
Verfügbarer physikalischer RAM: 652.51 MB
Summe virtueller Speicher: 3957.84 MB
Verfügbarer virtueller Speicher: 2222.14 MB

==================== Laufwerke ================================

Drive c: (Acer) (Fixed) (Total:220.79 GB) (Free:107.73 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 232.9 GB) (Disk ID: DF79E00F)
Partition 1: (Not Active) - (Size=12 GB) - (Type=27)
Partition 2: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=220.8 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt ============================
         
--- --- ---
Angehängte Dateien
Dateityp: txt Addition_26-03-2017 12.27.16.txt (30,7 KB, 45x aufgerufen)
__________________


Alt 30.03.2017, 11:14   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Cerber 4-5 verschüsselte Daten auf Stick - Standard

Cerber 4-5 verschüsselte Daten auf Stick



Zitat:
Daten zu entschlüsseln ,da ich kein Backup gemacht habe.
Wer keine Backups macht handelt fahrlässig. Wir sind in erster Linie ein Bereinigungsforum und kein Entschlüsselungsforum.

Bereinigen und das entschlüsseln was ein Krypto-Trojaner verschlüsselt hat sind zwei völlig unterschiedliche Dinge!!

Ob deine Daten entschlüsselt werden können kann dir diese Seite verraten => https://id-ransomware.malwarehuntert...php?lang=de_DE

Wenn dort keine Möglichkeit aufgeführt ist hast du leider Pech gehabt. Btw hast du selbst Schuld, da kein Backup vorhanden.
__________________
__________________

Antwort

Themen zu Cerber 4-5 verschüsselte Daten auf Stick
arbeit, aufgesetzt, backup, befall, cerber, cerber4-5, dateien, daten, entschlüsseln, guten, hinweis, meinem, morgen, möglichkeit, neu, neu aufgesetzt, scan, schlüsseln, stick, suche, usb, usb stick, verschlüsselte dateien



Ähnliche Themen: Cerber 4-5 verschüsselte Daten auf Stick


  1. Ransomware Cerber V5
    Diskussionsforum - 02.03.2017 (1)
  2. Cerber Ransomware
    Plagegeister aller Art und deren Bekämpfung - 10.12.2016 (2)
  3. Cerber 4.0 Ransomware auf dem Rechner
    Log-Analyse und Auswertung - 02.11.2016 (25)
  4. Windows 8: Daten auf USB-Stick sind nun Verknüpfungen auf System32, raccoonbot.wfs
    Log-Analyse und Auswertung - 22.10.2016 (13)
  5. cerber Virus
    Log-Analyse und Auswertung - 09.09.2016 (1)
  6. .cerber Entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 18.08.2016 (3)
  7. Cerber- Befall
    Alles rund um Windows - 01.07.2016 (0)
  8. cerber Trojaner
    Plagegeister aller Art und deren Bekämpfung - 24.06.2016 (2)
  9. Cerber Ransomware
    Plagegeister aller Art und deren Bekämpfung - 08.06.2016 (10)
  10. Cerber eingefangen
    Plagegeister aller Art und deren Bekämpfung - 02.06.2016 (2)
  11. Virus auf USB-Stick - Daten beim Speichern gelöscht (?)
    Plagegeister aller Art und deren Bekämpfung - 30.11.2015 (14)
  12. Windows 7: Daten auf USB Stick werden nur noch als Verknüpfungen angezeigt
    Log-Analyse und Auswertung - 01.06.2014 (9)
  13. Trojaner namens RECYCLER auf USB- Stick: Alle Ordner gelöscht- wie bekomme ich Daten wieder?
    Log-Analyse und Auswertung - 19.10.2013 (3)
  14. Live Security Platinum Virus / Sicherung von Daten auf USB-Stick möglich?
    Plagegeister aller Art und deren Bekämpfung - 15.08.2012 (1)
  15. Stick Daten retten
    Plagegeister aller Art und deren Bekämpfung - 02.12.2011 (1)
  16. Stick mit Conficker.D verseucht, wichtige Daten drauf!
    Plagegeister aller Art und deren Bekämpfung - 22.10.2011 (4)
  17. Nicht löschbare Daten auf USB Stick
    Netzwerk und Hardware - 11.01.2004 (8)

Zum Thema Cerber 4-5 verschüsselte Daten auf Stick - Guten Morgen, bei der Arbeit auf einem Schulcomputer wurden auf meinem USB Stick alle Dateien verschlüsselt. Ein Scan ergab einen Cerber 4-5 Befall. Der Computer wurde neu aufgesetzt und ich - Cerber 4-5 verschüsselte Daten auf Stick...
Archiv
Du betrachtest: Cerber 4-5 verschüsselte Daten auf Stick auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.