Hy für starmoney brauchst du nur die datenbank
wenn die nicht verschlüsselt ist
datenbank sichern programm neuinstallieren datenbank einkopieren fertig

Gruss
J
schau bei starmony auf der webseite da steht wie es geht

Das ist hier zigfach beschrieben, lese einfach etwas mehr.

Volker

Hallo Undertaker,

danke für den tip ich werde es versuchen!
lg
Ala

Hallo hier habe ich 2 Auszüge vom scan bitte helft mir weiter ich weiß nicht wo die Orginalen Dateien sind ich habe diesen Montag meine Prüfung und brauche meine Datein wieder.


das der vom quick scan

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.07.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Sam :: SAM-VAIO [Administrator]

Schutz: Aktiviert

07.06.2012 11:19:43
mbam-log-2012-06-07 (11-19-43).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 227668
Laufzeit: 7 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{1BD7E728-9D22-2F4F-E59F-6EF3CDF19BBB} (Trojan.ZbotR.Gen) -> Daten: C:\Users\Sam\AppData\Roaming\Ybpolui\wabeum.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{D8044F22-D4E3-E208-C872-4E4574251F38} (Trojan.ZbotR.Gen) -> Daten: C:\Users\Sam\AppData\Roaming\Ugqi\hoxyla.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{69C755FF-B260-FC9A-FA8D-7889DF83F1E6} (Trojan.ZbotR.Gen) -> Daten: C:\Users\Sam\AppData\Roaming\Qaag\yzna.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 8
C:\Users\Sam\Desktop\ADLSoft_UnCompressor_v2.exe (PUP.Adware.InstallCore) -> Keine Aktion durchgeführt.
C:\Users\Sam\Downloads\SoftonicDownloader_fuer_fussball-manager-11.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
C:\Users\Sam\AppData\Roaming\Urzubnlr\8A46F01B7014F5FEE924.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\Desktop\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Temp\jar_cache3015618715334529325.tmp (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Temp\file2.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Temp\ch8l0.exe (Exploit.Drop) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Temp\ms0cfg32.exe (Exploit.Drop.CFG) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)




das der lange scan

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.07.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Sam :: SAM-VAIO [Administrator]

Schutz: Aktiviert

07.06.2012 11:27:35
mbam-log-2012-06-07 (11-27-35).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 425620
Laufzeit: 1 Stunde(n), 21 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Uncompressor (PUP.Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Program Files (x86)\Uncompressor\Uninstall\Uninstall.exe (PUP.Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Opera\Opera\cache\g_007D\opr0AVMC.tmp (PUP.Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\Local\Opera\Opera\cache\g_007D\opr0AVMQ.tmp (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Sam\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\3856fb90-5e6dac2e (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Danke für die Hilfe

Naja.. auch wenn die Daten wegen der Prüfung dringend gebraucht werden, ist ein wenig Lesen doch nicht zuviel verlangt, oder ?
Oben über den Thread steht was, das ganz wichtig...
Dann ist noch die Frage welchen Verschlüsselungskram du hast...
Steht zwar auch überall und immer wieder.. aber nur nochmal zur Sicherheit...
Hast du was mit locked im Namen, könnte eines der oben aufgeführten Tools noch helfen.
Hast du nur noch buchstabensalat mußt du wohl leider warten, ob sich noch was tut oder nicht...
Und eine möglichkeit gibts auch noch.. aber ups, die steht ja auch da oben..
ShadowExplorer kannst du auch noch probieren...

By the Way kann ich aber echt nicht nachvollziehen, wenn ihr so wichtige Daten habt, dass ihr euch die nicht 1-2 mal auf verschiedenen Medien sichert.... :confused:

Das kann durchaus sein.
Ich wollte nun die wichtigen Daten aus Starmoney in einen anderen Ordner schieben, Starmoney deinstallieren und dann alles neu machen und die Daten übernehmen.
Es gibt aber gar keine Daten mehr? Alles weg? Wie kann das denn sein?
Auch meine Steuerfälle sind komplett weg.

Was kann ich tun?

VIELEN DANK

Marion

Ja, so wollte ich es machen. Aber die Datenbanken sind weg!
Wie geht denn das?

LG Marion

Hallo Marion,

mich erwischt es auch jeden Tag.
Halbinformationen, wilde Beiträge und Lesefaulheit bombardieren mich jeden Tag.

Nun aber mal Butter bei die Fische.
Wie lange hast Du den Trojaner schon, seit Ende März?
Hier ein Auszug aus Deinem Logfile:
Was hast Du getan, um wieder in das System zu kommen?
Hast Du hier im Board individuelle Hilfe in Anspruch genommen?
Wenn nein, warum tust Du das nicht?
Hat nur einmal die Neugierde gesiegt, indem Du den Anhang einer Mail geöffnet hast?

Falls alle Dateien in der gleichen Form wie die WebpageIcons.db verschlüsselt wurden, hast Du auf jeden fall bessere Chancen die Daten zurück zu holen.

Gruß Volker

Am besten du machst erstmal Dein Thema auf und lässt Dich individuell unterstützen.

Folge dem Link unter Hinweise, ganz oben.

Kann es sein, dass die in nem versteckten Ordner liegen ?
Ich kenn Starmoney leider nicht..
Aber google mal nach Starmoney Datenbank sichern...
Hilft vielleicht

Hallo,

mich hatte es auch erwischt. Ich hatte einen Trojana der angeblich von der Gema war und ich sollte 100€ zahlen und es ging nichts mehr. Daraufhin hatte ich, bevor ich das hier alles gelesen hatte im abgesicherten Modus 3 exe Dateien die neu installiert wurden gelöscht und so kam ich dann auch wieder in den normalen Modus nur alle meine Dateien waren gesperrt. Dank des Tools DecryptHelper von Matthias konnte ich wieder alles entschlüsseln.

TAUSEND DANK AN MATTHIAS FÜR DIESES TOOL!!!!!!!!

Hallo zusammen und vielen Dank für das Super Tool Matthias!
Es hat mir sehr geholfen, allerdings hat jetzt eine Bekannte ein ähnliches Problem, den Virus habe ich wie oben beschrieben gekillt, allerdings lässt sich keines der Bilder öffnen. Keines weist auch die bekannten kryptischen Dateiendungen auf sondern heist einfach: Bild.jpg
Keines der Bilder lässt sich mit egal welchem Programm öffnen, Malwarebytes ist erfolgreich drüber gelaufen und hat nichts mehr gefunden, was kann ich noch tun um wieder Zugang zu den Bildern zu bekommen?

Grüße und vielen Dank Blume

@undertaker

Entschuldige bitte - ich habe nun sehr viel gelesen und habe auch einen extra Post aufgemacht, wie Du ja gesehen hast. Ich habe wirklich versucht alle Punkte abzuarbeiten.

Geschockt bin ich das ich den Trojaner seit März drauf haben soll.
Gemerkt hat es meine Tochter am Dienstag Abend, da erschien nämlich das Bild von der GEMA mit der Zahlungsaufforderung.
Ich habe dann am Mittwoch morgen den PC im abgesicherten Modus gestartet und das System wiederhergestellt. Damit kam ich erst mal an die Oberfläche. Seitdem lese ich mich im Thema ein.

Mittels Decrypthelper habe ich nun auch schon viele verschlüsselte Dateien weiderhergestellt - allerdings meckert Malwarebytes das dieses Programm gefährlich ist: Trojanfakealert.

Was soll ich denn nun tun? Ich fühle mich total überrollt.
Bilder, die sind mir sehr wichtig, sind fast alle zusätzlich in Webalben gesichert, Musik ist auf einer seperaten Platte, Starmoney kann ich auch neu einrichten, es nervt nur so unglaublich....

Mittels Shadowexplorer habe ich die Starmoneydaten wiedergefunden. Jepeeh! Nun also das Programm deinstallieren, neu installieren und dann die Daten wieder einfügen, wie bei SM beschrieben. Fleißarbeit aber es wird sich lohnen!

Liebe Grüße

Marion

Hallo,

leider klappt das programm bei mp3 ´s und bei avis nicht..

:(:schrei:

Vielen vielen dank für dieses program.

es hat mir schon fast verlorene bilder und videos der letzten 10 jahre wiedergebracht.:daumenhoc

echt gute arbeit.

Lade Dir mal JPEG Recovery runter.

JPEG-Recovery/

Versuche es mal mit der Professional DEMO.

Wenn es erfogreich ist, kannst Du es immer noch kaufen.

Volker

hast Du die MP3s einfach mal wieder umbenannt,
also weiß-der-geier.mp3 oder wie auch immer?

Wenn nicht tu das mal und versuche es dann abzuspielen.

Volker

Die verschlüsselten Dateien sehen wie folgt aus:

[...] OsDQpOsvTrlupgevarluX [...]

Das verwendete Betriebssystem ist Microsoft Windows XP. Ich habe nun einen Original Datei gefunden. Falls ich das Decrypt Tool benutzte, kommt leider immer die Fehlermeldung, dass kein Schlüssel erzeug werden konnte.

Vielen Dank im Voraus

Für dein XP funktioniert der ShadowExplorer leider nicht, und für diese Verschlüsselungs-Version funktionieren die Decrypter normalerweise nicht.
Deine einzige Möglichkeit derzeit sind die JPG-Recovery Tools.
Gruß DevilTH

@DevilTH: Und wie sieht es mit anderen Dateien aus? Gibt es da eine Möglichkeit?

Noch viel schlechter :(
Wenn du genau weißt welcher Dateityp die ursprüngliche Datei war, kannst du bei mp3-Dateien mal die entsprechende Endung ranhängen. Es gab aber nur wenige Leute wo dass richtig funzte.

Also .jpg kann man aufjedenfall wiederherstellen? Auf dem System sind sehr viele Rechnungen etc. und andere Dokumente drauf.

Moin,

habe einen Kunden der hat sich den Verschlüsselungstrojaner eingefangen und keine Datensicherung. Habe es dann mit den Beispielbildern versucht und einen schlüssel generiert aber funktioniert nicht. Scheint aber auch unterschiedlich verschlüsselt zu sein. Mal sind die Dateinamen nur zahlen 27367409827 mal Buchstaben und Zahlenkobis D3Fds§f2 mal sind es die normalen Dateinamen aber die gehen nicht auf kommt immer nur Datei ist beschädigt. Habe dem Kunden auch schon gesagt die alle weg sind. Aber eigentlich interessiert mich ob ich es evtl hinbekommen die wiederherzustellen.

MFG

Simon

Ja JPG werden gerade sehr erfolgreich wieder hergestellt. Schau mal ab da http://www.trojaner-board.de/115183-...tml#post841998
Bei den anderen Dateitypen wird noch nach Lösungen gesucht, da immer die Header und Marker des Dateikopfes verschlüsselt werden.

Hallo Simon,

bei Vista und Win7 bekommst du mit ShadowExplorer meist die Dateien wieder hergestellt. Bei XP leider nicht.
Die Trojaner- Schreiber sind sehr fleißig: zuerst hatten sie nur ein locked im Dateinamen und eine relativ simple verschlüsselung. Jetzt ändert sich alle paar Tage das Muster. Zahlen sind vollkommen neu für mich :(
Gruß DevilTH

Hallo Simon,
läuft das System des Kunden schon wieder und wenn ja, hast Du das wiederhergestellt?
Hast Du Zugriff auf die Mail mit Anhang?

Wenn wir vom gleichen Übeltäter sprechen, dann wäre der Dropper sehr wichtig.
Verschlüsselungen in der von Dir beschriebenen Form sind neu.

Die bisherigen Verschlüsselungen hatten entweder den Präfix locked- oder der dateiname bestand aus Alphanumerischen zeichen ohne Extension.
Das was Du beschreibst ist neu.

Volker

Hallo

Ich hab jetzt mal das Programm ShadowExplorer ausprobiert und ich konnte alle meine Fotos Videos und mp3 wiederherstellen.

ich muß mich auch bei Trojaner-Board herzlich bedanken

Gruß

kann mir jemand den Pfad und ev. Dateinamen-extension für systemwiederherstellung nennen? war-ist bei mir aktiviert, aber Wiederherstellungspunkte waren gelöscht,konnte aber keine Dateien finden. will nun mit recover diese suchen. vermute dass durch den Trojaner ausgeführte chkdsk welches viele Dateien geändert hat einiges am System hin war. nach Win-reparatur und reg-clean läuft nun auch Office 2007 mit Registrierung wieder.

C:\Windows\System32\Restore

danke. und komisch. in dem pfad finde ich im explorer nur eine *.txt vom 12.01.2011 1kb
über die systemherstelung von win finde ich wenigstens die aktuellen von gestern heute.
hatte versucht das system mit ERNT 1.1j was ja bei jeden Start ne sicherung anlegt zurück zu holen, finzt aber wohl nur bedingt, sodass win halbwegs läuft.

sollte der eigentliche ordner für die wiederherstellung nicht system volumen information sein?

Ich glaube fast, das der Dateianfang bei der neuen Variante des Trojaners mit "Zufallszeichen" überschrieben wird, welche aus Hardwareeigenschaften oder bestimmten Vorgängen gewonnen wird. Ein wirkliches entschlüsseln ist ja für den Programmierer der Schadsoftware nicht erforderlich (oder wer glaubt daran, das sich das Problem nach Zahlung löst? ;-)).

Somit wird es für diese neue Version wohl gar keine Möglichkeit der Entschlüsselung geben.

Oder gibts es doch noch einen Ansatz den Algorithmus zu erkennen?

Zu Satz1) warum dann die Datei .$02 im Temp?

Zu Satz2) der Inhalt der Datei .$02

Es gibt nur noch keinen Ansatz die $02 zu entschlüsseln.
Der Schlüssel ist nicht mehr auf dem Rechner,
er wurde vom Virus an den C&C Server der Gangster übermittelt.

Wie erfolgt denn die Übermittlung? Ggf. Schlüssel abfangen (sofern ungesichert übertragen)?

Ich habe bisher nur das Schadprogramm und verschlüsselte Dateien. Praxistest mit Monitoring hab ich noch nicht gemacht, aber ihr doch sicherlich schon ;-)....

@SvenS,

Ja, dem Virus wurde tief in den Rectus gesehen.
Das Ergebnis steht beispielsweise hier:

http://www.trojaner-board.de/115183-...tml#post842502

oder hier ein Zitat eines Antimalwaregurus:

Gruß Volker

Danke Volker

Hallo,

hab meinen Trojaner dank Eurer Hilfe runter, aber mein Excel, Word und Bilddateien sind immer noch verschlüsselt. Habe es mit Euren Programmen gemacht, aber ich bekomm es nicht hin.

Hab im Netz das Programm Recovery Toolbox for Excel gefunden, als Shareware. Wer hat das Original um mir weiterzuhelfen? DANKE

@Morky

Wie schaut die Verschlüsselung aus? Buchstaben ohne Dateiformat ?

Huhu,

ich hatte auch einen Trojaner den ich löschen konnte! Allerdings sind alle Dateien verschlüsselt und können nicht geöffnet werden. Teilweise haben sie noch ihren Namen, teilweise son Buchstabenkauderwelsch, aber es fehlen immer die Dateianhänge wie jpg,doc etc.

Habe den Decrypt Helper runtergeladen, sowie die Windows Beispielbilder, aber er gibt mir immer die Fehlermeldung, dass das Format nicht gleich wäre.

anschließend habe ich von meiner Externen Festplatte ein Bild rüber gezogen. Da bekomme ich eine Fehlermeldung, dass kein Schlüssel regeneriert werden kann.

Weiß jmd was ich falsch mache?!?!?:heulen:

Naja..
Lesen wäre fast ein Anfang...

Wenn du kein locked in den Dateinamen hast, hast du im moment kaum eine Chance..
Wenn du Win7 oder Vista hast, könntest du mal ShadowExplorer ausprobieren.
Ist aber auch alles schon 100000000e male hier erklärt worden...
Und steht auch direkt über dem Thread....

Sorry ich bin in soetwas Laie.
...und froh, dass ich anhand der Forenbeiträge erstmal den Trjaner losgeworden bin.

Du hast recht... in den Dateien steht tatsächlich kein locked.
Ich schaue mal wie ich mit dem ShadowExplorer klar komme.

Danke ersteinmal!:applaus:

Habe jetzt den Shadow Explorer ausprobieren wollen, aber es geht leider nicht.
Bei meinem Laufwerk D zeigt er keine Dateien an und bei Laufwerk C zeigt er sie zwar an, aber mit dem Wiederherstellungspunkt von heute. Der Trojaner hat die Dateien aber schon gestern zerstört und das exportieren klappt auch nicht.

Gibt es eine andere Möglichkeit die Dateien zu entschlüsseln oder sollte das ein Zeichen sein, die Festplatte zu formatieren und alles neu zu machen?!

Sind die datein ohne locked verschlüsselt ? Also so DgsWhdfgF ungefähr ? Dann schau mal hier: hxxp://www.trojaner-board.de/115551-reparaturanleitungen-dateien-verschluesselungstrojaner-12-kb-neue-version-2.html

Hallo,

mit eurer Hilfe habe ich den Trojaner entfernt und kann wieder auf Windows zugreifen - Gott sei dank ! Jetzt habe ich noch das Problem, das verschiedene Bilder verschlüsselt zu sein scheinen sprich ohne Dateiendung und ein kauderwelsch aus klein und groß Buchstaben. Kann jemand helfen ? Ich habe es schon mit DecryptHelper probiert, komme aber nicht zurecht. Ich sehe sind schon über 50 Seiten..*duck*

Gruß
Patrick

ja genau sie sind ohne locked verschlüsselt. ich habe den buchstaben-kauderwelsch und einige dateien, wie zb meine bilder haben ihren namen behalten lassen sich aber trotzdem nicht öffnen. danke für den link, aber ich habe das bereits ausprobiert. ich habe zwar eingestellt, dass schattenkopien erstellt werden, aber die größe für den speicherplatz war unten nicht angegeben:headbang: Danke dri trotzdem

ich brauche leider noch andere ideen, um die dateien zu retten?!??!? Danke!

so langsam kotzt mich das echt an...
es gibt wirklich nix brauchbares dagegen.
habe seid Tagen nicht mehr mit meiner Freundin geredet die mir das ganze eingebrockt hat. man kann sich doch nicht zig Terabyte an Festplatten kaufen, nur um seine Dateien zu sichern....:headbang:

Du hast doch schon Dein persönliches Hilfethema gestartet.
Warte erstmal ab und mache nix unüberlegtes.

Gib nicht Deiner Freundin die Schuld, suche zuerst bei Dir.
Wer 15 Jahre Daten ansammelt und kein Backup hat, kann sich auch gleich auf ein Pulverfaß setzen.
Es muß ja nicht der Trojaner sein, kann ja auch die Platte crashen.

Also ruhig, einen trinken, runterkommen und die Freundih in den Arm nehmen.
Möglicherweise leidet die mehr als Du und braucht Trost.

Volker

Hallo
Ein Freund hat sich den Verschlüsselungsvirus eingefangen und bin beider Suche auf diesen Eintrag gestossen. Ziemlich lange der Thread und viele Informationen. Den Trojaner habe ich entfernt aber die Daten konnte ich noch nicht entschlüsseln. Ich habe es mit der Version 0.5.3 der Decrypt.exe probiert, doch leider kein Erfolg. Meldung: "Es konnte kein Schlüssel erzeugt werden". Ich habe die Beispielmusik als Anhang im Original und Verschlüsselt angehängt. Vielleicht könnte das wer checken ob das eine neue Version ist oder ob ich einen Fehler gemacht habe.
Wäre Euch dankbar.
Liebe Grüsse

@ robi1a
Solang der Thread auch ist, hast du überhaupt was drin gelesen ?
Oder auch mal auf das geachtet, was über dem Thread steht ?
Nur mal so nachfrag...
Wenn nicht, solltest du das vielleicht noch tun..
Aber da dies wohl nicht klappen wird, den ansonsten hättest du deine Frage erst gar nicht gestellt, du hast die neuere Version.
die alte ist mit "locked" im Namen.
Und, da ich denke dieses hast du auch nicht gelesen, ansonsten hättest du geschrieben, welches Windows du hast, probier mal, sofern da Windows 7 oder Vista auf dem PC ist, den ShadowExplorer.-..

Und sorry für den Text.. aber auf jeder Seite die gleiche Frage, nur weil die Leute einfach nicht lesen ?
Echt schlimm....

Sorry, kann ich verstehen aber 95 Seiten liest man nicht so einfach runter. Ich habe den "Überschrift-Text" schon gelesen aber mich halt nur auf den DecryptHelper konzentriert. Mit lesen und ausprobieren habe ich die Alternativen übersehen. Aber Danke für den Hinweis, werde dem folgen.

Hallo! Habe gerade versucht, den Schlüssel zu erzeugen, aber leider Fehlanzeige. Wird wahrscheinlich eine neue Variante sein. Werde jetzt mal abwarten, was ihr noch Neues auf den Weg bringt. Vorab schon mal lieben Dank für eure Arbeit. Ich glaube der Zeitaufwand dafür ist gewaltig. Also vielen Dank und weiter so.....

Wie sehen denn die verschlüsselten Dateien aus?

ich habe die locked dateien auf meinem rechner, am ende 4 versch. buchstaben. hab hier die 3 vista beispielbilder runtergeladen und mit der version 0.5.3 decrypthelper versucht den schlüssel zu erzeugen. Meldung die erscheint: schlüssel konnte nicht erstellt werden. Woran liegt das???

Hab die vista cd nach weiteren bildern oder musik durchsucht aber nichts gefunden.

@ hwkbrem und HalbesGB
Habt ihr mal probiert mit dem ShadowExplorer zu arbeiten ?

Ich habe auch das Problem und nichts von allem hat geholfen.
Ich nutze Windows 7 ulti.
Die Dateien sehen ganz normal aus ohne irgendwelche merkwürdigen Namen oder Endungen .... nur das wenn ich sie öffne entweder es nicht geöffnet werden kann oder wenn es sich öffnet nur kauderwelsch da steht.
Desweiteren habe ich das Problem das mehrere Programme ihren Dienst versagen und jetzt kommt das härteste für mich wenn ich mit Word /Excel etc. etwas schreibe, abspeicher, schließe und neu aufmache alles verschlüsselt ist , obwohl der Trojaner komplett entfernt ist .......
Naja bei mir ist wohl Hopfen und Malz verloren warte jetzt nur noch auf meine Recovery Discs und formatiere dann halt meine Festplatte komplett.

Aber nen dickes Lob von mir an euch für die harte Arbeit.

PS.: Leider kann ich den Trojaner nicht mehr euch senden , da ich die Email schon komplett gelöscht habe........ tut mir sehr leid :headbang::headbang:

Die Beispielbilder müssen bitgenau gleich sein.
Überlege mal, wo sich noch andere Dateien, persönliche, verstecken könnten, die auch als locked- vorliegen.
Beispielsweise Fotos, die Du verschickt hast.
Dateien auf Sticks oder CDs, vielleicht auch auf dem Handx.
Wo immer Du was auftreiben kannst, erhöht die Chancen.
Ansonsten wie von @seeadler vorgeschlagen.

Volker

@ seeadler, nee das muss doch mit dem decrypthelper doch auch funktionieren oder nicht? bei mir erscheint ein fenster: schlüssel konnte nicht bestimmt werden. kann bitte jmd beispiel musik für vista hochladen oder so was in der richtung?

moin moin chiller,
hast Du die Möglichkeit zu testen, ob die bei Dir erzeugten Dateien auf einem andern Rechner korrekt angezeigt werden und ob Dateien von anderen Rechnern bei Dir normal geöffnet und dann beim Speichern verschlüsselt werden?

Wäre gut, wenn Du das mal testen könntest.
Volker

Schon probiert sie lassen sich auf einem anderen Rechner zwar öffnen aber mit kauderwelsch und wenn ich versuche von anderen Rechner die "normale " Datei zu öffnen kommt ne Fehlermeldung -,- ich schätze mal da is mein Word im Eimer -,-

Scheint so.
Wenn Du auf die Daten verzichten kannst, wäre Neuinstallation die schnellste Variante

Auf die Daten ja ... aber ich hatte damals Probleme mit der Installation der Treiber für meinen Drucker und auf der HP der Hersteller des Drucker gibt es keine Hilfe dazu und ich wollte ungerne alles neu hindeickseln bzw. mir nen neuen Drucker kaufen -,-
Aber hilft halt nix muss wohl dadurch -,-
Beim nächsten mal werde ich anders an so nen Trojaner ran gehen ......
ma sehen ob das was ich vorhabe funkt :) *böse grinsen *

Wünsche schon mal eine Gute Nacht und man hört sich demnächst wieder :):crazy::crazy::crazy:

ofice lässt sich doch reparieren. systemsteuerung- programme und funktionen auf office-optionen-reparieren. und falls man office neu registrieren soll: einfach unter c:\prog data\microsoft\data\ OPA12.bak vorsichtshalber kopieren und dann umbenennen in OPA12.dat. also die alte *.dat ersetzen. hat bei mir geholfen....

HalbesGB
aber wenn das eine nicht funktioniert, kann man dann nicht mal das andere ausprobieren ?

es hat geklappt, ich hatte auf der externen festplatte noch ne datei die gepasst hat. ist ein schönes tool muss man sagen. alle datein scheinen wieder ok zu sein. jetzt muss ich mir noch beibringen wie ich das system neu aufsetze, passt zwar nicht zum thema aber ich frage ich warum man die service packs runterladen soll bevor man ins internet geht. Weiss man denn schon wie man sich vor solchen viren schützen kann?

@HalbesGB

Am besten regelmässige Backups machen. Das Backupmedium vom PC trennen, wenn es nicht benötigt wird. Nie Emailanhänge oder Links unbedacht folgen/öffnen. Regelmäßige Updates des Systems. Aktuellen Browser verwenden. Ggf. Sandbox verwenden.

Das sollte auf jedem Startbildschirm von Betriebssystemen stehen, damit es alle User wissen :)

PS: Updates der AddOns (Flashplayer, Java, Acrobat Reader etc.) würde ich noch mit erwähnen

Hi, hab auch das Problem mit der Wiederherstellung der verschlüsselten Dateien.
Den decrypt Helper in der Version 0.5.3 hab ich installiert und auch
mit mehreren Original und verschlüsselten Dateien probiert, leider kommt immer
die Meldung "Schlüssel konnte nicht erzeugt werden" , obwohl die Dateien übereinstimmen.
Gibt es schon wieder eine neue Version des Trojaners ? oder was kann ich noch tun. Die Datei heisst bei mir "Vertrag.zip" (77 kb) Wer kann helfen ? Gruß roger

Deine Angaben sind zu wenig... Welches Betriebssystem, welche Verschlüsselungsversion (DfghjdkFG oder Bild101-locked.jpgxzwa)
Der HellseherThread ist grad geschlossen ;)
Gruß DevilTH

@DevilTH
Der Klugscheißer Fred ist aber anscheinend geöffnet:pfeiff:
Sorry das musste raus

@roger17
Sende deinen Virus wie im Themenkopf beschrieben an das Support Team!!
Momentan gibt es nur Hilfe für die locked Version.
Falls du wie schon bestimmt 1000mal im Fred beschrieben Vista oder Win7 benutzt, kannst du probieren mithilfe des Shadow Explorers die Dateien wiederher zu stellen.

Gruß
Stefan

P.S: Kopf hoch. Es kann nur besser werden

Hallo,

bin das erste mal in einem Forum und benötige dringend Hilfe!!!! :-(
Hab heute einen Verschlüsselungs-Trojaner durch das öffnen eines Anhangs in einem E-mail eingefangen. DerMicrosoft Support konnte mir zwar bezüglich des Viruses helfen, aber leider nicht alle meine nun verschlüsselten Dateien wiederherzustellen. Was kann ich tun. Ich habe von Microsoft den Link zu diesen Forum bekommen und es auch mit den DescryptHelper probiert, aber das geht leider auch nicht, da ich nur noch verschlüsselte Dateien habe und keine Originale.
Kann man da etwas tun? Hiiiiiilfeeee??

Hallo Anna,
Ich gehe mal davon aus, dass Deine verschlüsselten Dateien entweder so aussehen (RTghVBRTZGHtz) oder ganz normal aber trotzdem verschlüsselt.
Was hast Du denn für ein Betriebssystem auf dem Rechner?
Wenn Win7 oder Vista, dann lade Dir den Shadow Explorer von hier runter und installiere das Programm.
Nach dem Start des Programms klicke oben links auf das PullDown-Element und wähle C:
Der Shadowexplorer wird Dir nun auflisten, ob es Schattenkopien Deiner Dateien gibt.
Wenn ja, dann kannst Du diese Dateien wiederherstellen, indem Du eine Schattenkopie mit einem Datum nimmst, das vor dem Datum liegt, an dem Du Den Rechner infiziert hast.

Wenn der Shadow Explorer nichts anzeigt, wenn es also keine Kopien gibt, dann sehen wir weiter.

Volker

Hallo Volker,

danke für die rasche Antwort :-)

Ja meine Dateien sehen in etwa so aus: yyyxEUUGfLxfny, sind also total verschlüsselt und ich habe keine Originaldateien mehr :-(
Mein Betriebssystem: windows 7, home premium.

hast du eine Idee was ich machen kann?
lg
Ria

hallo DeviTH,
tschuldigung, stecke da auch nich so drin und weis nicht,was dabei alles wichtig ist.
wäre schön wenn wir Sachsen ein bißchen hellsehen könnten......
hab XP drauf und die Daten sehen so aus DfghjdkFG , jede Datei natürlich anders.
Wäre es sinnvoll, wenn ich die mail mit dem zip Anhang schicke ?
Gruß roger

Hallo Roger17,

meine Dateien sehen in etwa so aus: yyyxEUUGfLxfny, sind also total verschlüsselt und ich habe keine Originaldateien mehr :-(
Mein Betriebssystem: windows 7, home premium.

hast du eine Idee was ich machen kann?
lg
Ria

Ria,
reicht Dir die Idee mit dem Shadow Explorer nicht für's Erste, oder hast Du das schon probiert? :confused:


Volker

@roger17,
um welche Dateien geht es denn bei Dir, also auf welche möchtest Du nicht verzichten?

Volker

hallo Anna1, bin der falsche Roger , du musst an @roger17 posten, kann dir auch nicht weiterhelfen.
Gruß

@roger17
Bei XP hast du wohl ein Problem..
ABer zumindest für Bilder könntest du evt. das mal testen:
hxxp://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf-54.html#post840582

hi, wäre das einen Versuch wert?:
die betroffenen Dateien auf einen PC kopieren der windows 7 hat
und dann mit dem decrypt helper versuchen ?
roger17

Ich kriege noch ne Krise.

@Undertaker
Mal nen Beruhigungstee reich :D

@roger17
Was meinst, wenn das so einfach wäre, würde sowas nicht als Lösungsvorschlag oben stehen ? Nur mal so als Denkanstoß in den Raum werf...

Hallo,

Ich möchte auch mal Feedback abgeben. Erstmal ein fettes :dankeschoen: an alle, die hier mithelfen. Ich habe mich in den letzten beiden Tagen durch so ziemlich alle Threads und Seiten durchgehangelt. Ich hoffe, dass wir bald eine verbindliche Lösung finden.

Ich habe derzeit einen PC von einem Bekannten hier und er sagte nur "Ich glaub ich hab nen Virus". Ich (seit über 15 Jahren in allen möglichen Wassern gebaden was PCs angeht) dachte mir zunächst "dann bring mal vorbei", dann werd ich alles retten, was zu retten ist, System neu aufsetzen, fertig...Pustekuchen!

Was bitte ist das für ein mieses Teil, dieser Verschlüsselungs-Trojaner? Mit sowas hatte ich es bisher noch nicht zu tun. Nun aber mal konkret:

Der Rechner fährt hoch, man sieht kurz den Windows XP Pro Desktop, und dann nur noch dass bekannte Fensterchen mit bekannter Meldung und den 2 Textfeldern. Als ich versuchte, den abgesicherten Modus zu starten, gabs einen Reset während des hochfahrens. Also nix mit abgesicherter Modus. Witzigerweise habe ich beim ersten Versuch des Neustarts, aufgrund der Sperrung durch den Trojaner, kurz den PowerButton gedrückt. Statt Herunterzufahren schloss sich lediglich das TrojanerFenster und ich war in der Lage, den PC "normal" zu benutzen. Allerdings nur um festzustellen, dass alle Dateien, die sich in den Eigenen Dateien befinden, eine unsortierte Anreihung von Buchstaben als Dateinamen tragen und keine Dateiendung mehr besitzen.

Dann fingen meine Recherchen an und ich bin hier gelandet.
Bei mir handelt es sich scheinbar um die neueste Variante des Trojaners. Keine Dateiendung, kein "locked" im Filename, Dateiinhalt ist verschlüsselt.

Ich möchte euch so gern helfen. Ich habe schon nach der Quell-Email gesucht, kann aber nix finden. Sagt mir, was ich tun kann, um irgendwie beizutragen, dass wir das gefixt bekommen.

Ich weiß nicht,ob es hilft, aber ich habe hier schon einmal die verschlüsselte XP-Version des Beispielbildes "Blaue Berge.jpg" angehangen. Was kann ich noch tun?


PS: Da ich die Datei nicht hochladen konnte (ich wollte sie nicht zippen oder raren wegen möglicher Veränderung bei Komprimierung) habe ich hier einen Link zur Datei: hxxp://ronforum.t15.org/JAADDGGJJooTTddOOqqe

Bitte helft mir, euch zu helfen ;)

Danke schonmal und alles Gute.

@stewpit,
den Rechner hast Du wieder sauber und abschließend nochmal gescannt?

Bei den Dateien sieht es moms garnicht gut aus.
Bis auf herkömmliche Recovertools, die partiell und selektiv helfen, gibt es kein Rezept.

Volker

Trojaner solllte entfernt sein. Logs aller möglicher Programme deuten darauf hin, dass das System wieder sauber ist. Was die Dateien angeht, warte ich einfach mal ab, wie sich das hier entwickelt. Irgendwann wird es eine Lösung geben.

Hallo Leuts,
ich sehe schon man ist nicht allein ;-)

meine Tochter hat auf Facebook eine Rechnung über 800€ bekommen und musste unbedingt den Anhang öffnen!!! Das gewisse Verzeichnis "Effgxualajg"
mit der bösen Daten habt ihr schon!! Übermittelt von "baertl86@XXX"

Verschlüsselt sind sämtliche Verzeichnisse von meiner Tochter von Musik Doc bis Musik bis Spiele alles Kryptisch!! Der "DecryptHelper von Matthias" hat leider keinen passenden Schlüssel gefunden! Org Daten sind da, aber es kratzt am Gemüt, wenn alles Verschlüsselt bleiben sollte!! Ich hoffe doch es wird an der Entschlüsselung gearbeitet; Ihr seit doch helle Köpfe!!

Gruß B@ldur

Hallo,
also ich hoffe auch auf eine baldige Möglichkeit der Hilfe, hab hier grad nen Rechner von nem Kumpel steht und er hat schon vorher durch ne andre "Blödheit" 2000 (!!) Bilder verloren, wohlgemerkt nicht durch Virus oder Trojaner.
Staune immer wieder das so viele Leute offenbar das Wort Datensicherung noch nie gehört zu haben scheinen. Bei mir bringt hier auch grad keines der Tools was, ist wohl die neue Variante des "Mistkerls", Vorfall war am letzten Mittwoch.

Ich, naja eher der Kumpel, baut auf Euch :-)

Gruß

Mit DecryptHelper 0.5.3 erhalte ich die Fehlermeldung "Der Schlüssel konnte nicht erzeugt werden".

Leider sind diverse Beispieldateien nicht mehr vorhanden, allerdings ein PDF zu dem ich ein altes Backup habe und anhand der Dateigröße sehe, dass es die richtige Datei ist (Dateinamen sind ja unkenntlich gemacht).

Was mach' ich hier falsch?

Du übersiehst, dass diese acht Tools bei Dir nicht helfen.

Volker

Danke erst einmal Untertaker und Sven.S. Ich komme jetzt sowieso nicht weiter, da der befallene Rechner in Espelsibirsk steht, und ich hier in Bremen bin. Habe die verschlüsselten Dateien zwar auf meinem Rechner abe ich fahre XP und dort ist Win7 drauf. Ich habe mir die Lösung auch einfacher vorgestellt. Meine Bekannte hat mir am vergangenen Wochenende den Rechner mitgebracht und dazu eine Menge DVD´s vom Hersteller PB. Die waren aber alle blank. Dann habe ich mir den Waschzettel von PB angesehen und da steht als erstes "fertigen Sie erst die WiederherstellungsDVD´s".
Das sagen sie einmal einer 56 jahre alten Frau, die das erste mal vor einen PC sitzt!
Zum 2. ist dort Norten noch nicht installiert, sondern nur der Link auf die Norten Seite.
Alles natürlich nicht gemacht. Aber zur Zeit läuft der PC, der Trojaner ist weg und mit den verschlüsselten Bilddateien warten wir jetzt erst einmal ab. Eine Frage habe ich aber noch. Meine aktive Rechnerzeit liegt noch so bei DOS 6.0 und Windows 3.11. Gibt es noch so etwas wie einen "Diskettenmonitor"? Dank euch nochmal allen
MfG Hans

Kann ja auch nicht. Das Tool ist für die älteren Versionen des Trojaners. Ich wette deine Dateien haben kein "locked-" im Dateinamen. Nur dann geht das.

@stewpit,
wie @Harry2o schon sagte:
"(Dateinamen sind ja unkenntlich gemacht)".

Oder hier.

Volker

Genau so ist es Versuchen wir also uns in Geduld :abklatsch:

Und hoffen auf eine Lösung

Gruß

hallo matkuni,
leider klappt die Entschlüsselung bei mir nicht mit dem decrypter 0.5.03.exe, trotz gleicher Dateien . "...der Schlüssel konnte nicht erzeugt werden" ... leider . Hab noch xp drauf und der Trojaner hat dieses Format OrgJgvgrgNuNJNurgvJQN ohne zusätzliche Bezeichnung od. Endungen.
Was kann ich noch tun, oder ist das wieder eine neue Variante ??
roger17

Na, jetzt ist die Kriese bei Volker wohl perfekt :-)

Hallo nochmal

wenn bei der neuen Verschlüsselungsvariante Daten benötigt werden, ich könnte "Verschlüsselte <--> Org Daten" zur Verfügung stellen

Jo thx für die Klarheit, dann wohl warten.

Auch wenn diese Tatsache (mit den nicht-locked Versionen) paarmal in diesen 100 Thread-Seiten erwähnt ist, bin ich vorhin in den Anleitungen nicht über die Klarheit gestolpert.
Wenn ich z.B. nur Kauderwelsch-Dateinamen sehe, wie soll ich dann "(Bei locked Versionen) - Wir arbeiten an einer Lösung!" interpretieren können :)?

Trotzdem danke für die bisherige Hilfe und zukünftige :)

Grüße

@Harry20,
Du hast Recht.
Anfangs war nicht abzusehen, welche Evolution der Trojaner macht, er hat uns ja alle überrannt.
Für die, die neu dazu kommen, ist das ohne Lektüre der Themen schwer zu erkennen.
Ich werde mal mit einem Admin reden, inwieweit man die Hinweise präzisieren kann.

Volker

Genau!!!!!
Aber wer Antworten auf seine Posts ignoriert und zur Beratungsresistenz neigt, dem antworte ich nimmer.

Volker

Seit gestern ist mein Rechner auch infiziert. Über eine email, in deren Anhang eine Datei ( ZIP ) angehängt war. Angeblich eine Rechnung über ca. 8000 €...
Nun gut. Der ominöse Hinweis erschien und mein Rechner war blockiert. Hane dann im abgesicherten Modus Antivir laufen lassen. Insgesamt wurden 9 Viren gefunden. Diese hab ich gelöscht und der PC fuhr wieder hoch. Aber jetzt sind sämtliche Dateien verschlüsselt und keines der hier angegeben Progs kann die Dateien decodieren.
Nun hoffe ich , daß sich jemand von Euch meiner erbarmt und mir helfen kann.
Liebe Grüße
Hansi

hallo miteinander...

also dieser trojaner ist mit abstand das fieseste was ich bis jetzt erlebt habt...da wird es in nächster zeit aber richtig abgehen...meiner freundin ist das heute in der früh passiert..trojaner mit neuer verschlüsselung...ich hoffe das das problem jemand löst, scheint aber schwer lösbar...wenn man bedenkt, das die wenigsten backups machen...viel spass ihr firmen und privaten..diese verbrecher gehören eingesperrt...system neu aufgesetzt, die daten mal auf eis legen und hoffen das jemand das löst...wenn jemand dateien oder sonstiges braucht, bescheid geben...

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 11. Juni 2012 23:08

Es wird nach 3814721 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Abgesicherter Modus
Benutzername : Hans-Peter
Computername : HANS-PETER-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 17:41:08
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 17:41:08
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 17:41:11
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 17:41:12
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 21:30:10
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 22:23:34
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 04:38:07
VBASE005.VDF : 7.11.29.136 2166272 Bytes 10.05.2012 21:29:40
VBASE006.VDF : 7.11.29.137 2048 Bytes 10.05.2012 21:29:41
VBASE007.VDF : 7.11.29.138 2048 Bytes 10.05.2012 21:29:41
VBASE008.VDF : 7.11.29.139 2048 Bytes 10.05.2012 21:29:41
VBASE009.VDF : 7.11.29.140 2048 Bytes 10.05.2012 21:29:41
VBASE010.VDF : 7.11.29.141 2048 Bytes 10.05.2012 21:29:41
VBASE011.VDF : 7.11.29.142 2048 Bytes 10.05.2012 21:29:41
VBASE012.VDF : 7.11.29.143 2048 Bytes 10.05.2012 21:29:41
VBASE013.VDF : 7.11.29.144 2048 Bytes 10.05.2012 21:29:41
VBASE014.VDF : 7.11.30.3 198144 Bytes 14.05.2012 04:40:37
VBASE015.VDF : 7.11.30.69 186368 Bytes 17.05.2012 20:47:32
VBASE016.VDF : 7.11.30.143 223744 Bytes 21.05.2012 19:25:10
VBASE017.VDF : 7.11.30.207 287744 Bytes 23.05.2012 04:50:44
VBASE018.VDF : 7.11.31.57 188416 Bytes 28.05.2012 06:20:31
VBASE019.VDF : 7.11.31.111 214528 Bytes 30.05.2012 06:39:42
VBASE020.VDF : 7.11.31.151 116736 Bytes 31.05.2012 07:23:24
VBASE021.VDF : 7.11.31.205 134144 Bytes 03.06.2012 16:46:08
VBASE022.VDF : 7.11.32.9 169472 Bytes 05.06.2012 19:33:12
VBASE023.VDF : 7.11.32.85 155648 Bytes 08.06.2012 22:06:29
VBASE024.VDF : 7.11.32.86 2048 Bytes 08.06.2012 22:06:29
VBASE025.VDF : 7.11.32.87 2048 Bytes 08.06.2012 22:06:29
VBASE026.VDF : 7.11.32.88 2048 Bytes 08.06.2012 22:06:29
VBASE027.VDF : 7.11.32.89 2048 Bytes 08.06.2012 22:06:30
VBASE028.VDF : 7.11.32.90 2048 Bytes 08.06.2012 22:06:30
VBASE029.VDF : 7.11.32.91 2048 Bytes 08.06.2012 22:06:30
VBASE030.VDF : 7.11.32.92 2048 Bytes 08.06.2012 22:06:30
VBASE031.VDF : 7.11.32.118 78336 Bytes 11.06.2012 05:27:50
Engineversion : 8.2.10.80
AEVDF.DLL : 8.1.2.8 106867 Bytes 02.06.2012 07:23:26
AESCRIPT.DLL : 8.1.4.24 450939 Bytes 01.06.2012 07:23:37
AESCN.DLL : 8.1.8.2 131444 Bytes 12.03.2012 22:23:58
AESBX.DLL : 8.2.5.10 606580 Bytes 31.05.2012 06:40:06
AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 07:55:37
AEPACK.DLL : 8.2.16.16 807288 Bytes 31.05.2012 06:40:03
AEOFFICE.DLL : 8.1.2.28 201082 Bytes 27.04.2012 17:01:27
AEHEUR.DLL : 8.1.4.36 4874615 Bytes 01.06.2012 07:23:36
AEHELP.DLL : 8.1.21.0 254326 Bytes 10.05.2012 21:29:50
AEGEN.DLL : 8.1.5.28 422260 Bytes 27.04.2012 17:00:23
AEEXP.DLL : 8.1.0.44 82293 Bytes 31.05.2012 06:40:07
AEEMU.DLL : 8.1.3.0 393589 Bytes 31.01.2012 07:55:34
AECORE.DLL : 8.1.25.10 201080 Bytes 01.06.2012 07:23:29
AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 07:55:33
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 17:41:06
AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 17:41:08
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 17:41:12
AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 17:41:07
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 17:41:08
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 17:41:11
AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 17:41:09
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 17:41:11
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 17:41:06
RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 17:41:06

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Montag, 11. Juni 2012 23:08

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'AWSC.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '112' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Program Files (x86)\FreeArc\uninst.exe
[WARNUNG] Unerwartetes Dateiende erreicht
Die Registry wurde durchsucht ( '3257' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:'
C:\Alle Seck\JJspXTaJJsXTAuJspTv
[WARNUNG] Der Archivheader ist defekt
C:\Alle Seck\LjynEtVqLUyEdV
[WARNUNG] Der Archivheader ist defekt
C:\Alle Seck\nGqfEyVUsAyfEt
[WARNUNG] Der Archivheader ist defekt
C:\Alle Seck\tnxyVAEtfUqGjUs
[WARNUNG] Der Archivheader ist defekt
C:\Alle Seck\tVdLAdtEqVULGyfdVE
[WARNUNG] Der Archivheader ist defekt
C:\Alle Seck\Quartalsabrechnung.pps\joxUofGAVndqfLAVqLA
[WARNUNG] Der Archivheader ist defekt
C:\jailbreak\EyjsxdqAtGUGxsndtL
[WARNUNG] Der Archivheader ist defekt
C:\jailbreak\EyjtxUqAsGdGxtLUsLd
[WARNUNG] Der Archivheader ist defekt
C:\jailbreak\fGtVUsnEfEtdoVjsVA
[WARNUNG] Der Archivheader ist defekt
C:\jailbreak\GGOgEDDtsoNxsttN
[WARNUNG] Der Archivheader ist defekt
C:\jailbreak\gTNpgTslTpXuuXDa
[WARNUNG] Der Archivheader ist defekt
C:\jailbreak\nqpstdOOuQOtsOunpe
[WARNUNG] Der Archivheader ist defekt
C:\Marley\GxvvjAXsxsvNrsessjAss
[WARNUNG] Der Archivheader ist defekt
C:\Program Files\WinRAR\rarnew.dat
[WARNUNG] Das Archiv ist unbekannt oder defekt
C:\Program Files (x86)\AOL 9.0 VR\Jiti\viewpoint.exe
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
C:\Program Files (x86)\FreeArc\uninst.exe
[WARNUNG] Unerwartetes Dateiende erreicht
C:\ProgramData\AOL Downloads\waol_de\0.4327.52.1\comps\vwpt\Vwpt.exe
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar1.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar10.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar100.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar101.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar102.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar103.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar104.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar105.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar106.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar107.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar108.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar109.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar11.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar12.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar13.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar14.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar15.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar16.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar17.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar18.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar19.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar20.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar21.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar22.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar23.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar24.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar25.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar26.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar27.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar28.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar29.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar3.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar30.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar31.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar32.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar33.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar34.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar35.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar36.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar37.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar38.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar39.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar4.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar40.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar41.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar42.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar43.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar44.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar45.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar46.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar47.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar48.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar49.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar5.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar50.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar51.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar52.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar53.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar54.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar55.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar56.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar57.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar58.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar59.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar6.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar60.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar61.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar62.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar63.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar64.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar65.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar66.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar67.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar68.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar69.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar7.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar70.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar71.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar72.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar73.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar74.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar75.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar76.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar77.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar78.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar79.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar8.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar80.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar81.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar82.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar83.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar84.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar85.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar86.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar87.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar88.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar89.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar9.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar90.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar91.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar92.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar93.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar94.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar95.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar96.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar97.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar98.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar99.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Hans-Peter\avira_free_antivirus_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Hans-Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27\538383db-1f23346d
[0] Archivtyp: ZIP
--> ER.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.CM
--> Inc.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
--> c.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
--> a.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.HE
--> t.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3544.CF
C:\Users\Hans-Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42\b9d26ea-59634365
[0] Archivtyp: ZIP
--> xmltree/alpina.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Coniz.Gen
--> xmltree/kolibra.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Coniz.Gen
--> xmltree/umbro.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840
C:\Users\Hans-Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\7bf8a0f9-522ad6b7
[0] Archivtyp: ZIP
--> morale.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3544

Beginne mit der Desinfektion:
C:\Users\Hans-Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\7bf8a0f9-522ad6b7
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3544
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5670c737.qua' verschoben!
C:\Users\Hans-Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42\b9d26ea-59634365
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ee1e8cf.qua' verschoben!
C:\Users\Hans-Peter\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27\538383db-1f23346d
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3544.CF
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1c8ab229.qua' verschoben!


Ende des Suchlaufs: Montag, 11. Juni 2012 23:41
Benötigte Zeit: 32:46 Minute(n)

Der Suchlauf wurde abgebrochen!

30938 Verzeichnisse wurden überprüft
421245 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
421236 Dateien ohne Befall
1560 Archive wurden durchsucht
129 Warnungen
3 Hinweise

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 11. Juni 2012 23:43

Es wird nach 3814721 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Abgesicherter Modus
Benutzername : Hans-Peter
Computername : HANS-PETER-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 17:41:08
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 17:41:08
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 17:41:11
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 17:41:12
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 21:30:10
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 22:23:34
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 04:38:07
VBASE005.VDF : 7.11.29.136 2166272 Bytes 10.05.2012 21:29:40
VBASE006.VDF : 7.11.29.137 2048 Bytes 10.05.2012 21:29:41
VBASE007.VDF : 7.11.29.138 2048 Bytes 10.05.2012 21:29:41
VBASE008.VDF : 7.11.29.139 2048 Bytes 10.05.2012 21:29:41
VBASE009.VDF : 7.11.29.140 2048 Bytes 10.05.2012 21:29:41
VBASE010.VDF : 7.11.29.141 2048 Bytes 10.05.2012 21:29:41
VBASE011.VDF : 7.11.29.142 2048 Bytes 10.05.2012 21:29:41
VBASE012.VDF : 7.11.29.143 2048 Bytes 10.05.2012 21:29:41
VBASE013.VDF : 7.11.29.144 2048 Bytes 10.05.2012 21:29:41
VBASE014.VDF : 7.11.30.3 198144 Bytes 14.05.2012 04:40:37
VBASE015.VDF : 7.11.30.69 186368 Bytes 17.05.2012 20:47:32
VBASE016.VDF : 7.11.30.143 223744 Bytes 21.05.2012 19:25:10
VBASE017.VDF : 7.11.30.207 287744 Bytes 23.05.2012 04:50:44
VBASE018.VDF : 7.11.31.57 188416 Bytes 28.05.2012 06:20:31
VBASE019.VDF : 7.11.31.111 214528 Bytes 30.05.2012 06:39:42
VBASE020.VDF : 7.11.31.151 116736 Bytes 31.05.2012 07:23:24
VBASE021.VDF : 7.11.31.205 134144 Bytes 03.06.2012 16:46:08
VBASE022.VDF : 7.11.32.9 169472 Bytes 05.06.2012 19:33:12
VBASE023.VDF : 7.11.32.85 155648 Bytes 08.06.2012 22:06:29
VBASE024.VDF : 7.11.32.86 2048 Bytes 08.06.2012 22:06:29
VBASE025.VDF : 7.11.32.87 2048 Bytes 08.06.2012 22:06:29
VBASE026.VDF : 7.11.32.88 2048 Bytes 08.06.2012 22:06:29
VBASE027.VDF : 7.11.32.89 2048 Bytes 08.06.2012 22:06:30
VBASE028.VDF : 7.11.32.90 2048 Bytes 08.06.2012 22:06:30
VBASE029.VDF : 7.11.32.91 2048 Bytes 08.06.2012 22:06:30
VBASE030.VDF : 7.11.32.92 2048 Bytes 08.06.2012 22:06:30
VBASE031.VDF : 7.11.32.118 78336 Bytes 11.06.2012 05:27:50
Engineversion : 8.2.10.80
AEVDF.DLL : 8.1.2.8 106867 Bytes 02.06.2012 07:23:26
AESCRIPT.DLL : 8.1.4.24 450939 Bytes 01.06.2012 07:23:37
AESCN.DLL : 8.1.8.2 131444 Bytes 12.03.2012 22:23:58
AESBX.DLL : 8.2.5.10 606580 Bytes 31.05.2012 06:40:06
AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 07:55:37
AEPACK.DLL : 8.2.16.16 807288 Bytes 31.05.2012 06:40:03
AEOFFICE.DLL : 8.1.2.28 201082 Bytes 27.04.2012 17:01:27
AEHEUR.DLL : 8.1.4.36 4874615 Bytes 01.06.2012 07:23:36
AEHELP.DLL : 8.1.21.0 254326 Bytes 10.05.2012 21:29:50
AEGEN.DLL : 8.1.5.28 422260 Bytes 27.04.2012 17:00:23
AEEXP.DLL : 8.1.0.44 82293 Bytes 31.05.2012 06:40:07
AEEMU.DLL : 8.1.3.0 393589 Bytes 31.01.2012 07:55:34
AECORE.DLL : 8.1.25.10 201080 Bytes 01.06.2012 07:23:29
AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 07:55:33
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 17:41:06
AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 17:41:08
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 17:41:12
AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 17:41:07
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 17:41:08
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 17:41:11
AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 17:41:09
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 17:41:11
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 17:41:06
RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 17:41:06

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Montag, 11. Juni 2012 23:43

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '126' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'AWSC.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '112' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Program Files (x86)\FreeArc\uninst.exe
[WARNUNG] Unerwartetes Dateiende erreicht
Die Registry wurde durchsucht ( '3257' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:'
C:\Alle Seck\JJspXTaJJsXTAuJspTv
[WARNUNG] Der Archivheader ist defekt
C:\Alle Seck\LjynEtVqLUyEdV
[WARNUNG] Der Archivheader ist defekt
C:\Alle Seck\nGqfEyVUsAyfEt
[WARNUNG] Der Archivheader ist defekt
C:\Alle Seck\tnxyVAEtfUqGjUs
[WARNUNG] Der Archivheader ist defekt
C:\Alle Seck\tVdLAdtEqVULGyfdVE
[WARNUNG] Der Archivheader ist defekt
C:\Alle Seck\Quartalsabrechnung.pps\joxUofGAVndqfLAVqLA
[WARNUNG] Der Archivheader ist defekt
C:\jailbreak\EyjsxdqAtGUGxsndtL
[WARNUNG] Der Archivheader ist defekt
C:\jailbreak\EyjtxUqAsGdGxtLUsLd
[WARNUNG] Der Archivheader ist defekt
C:\jailbreak\fGtVUsnEfEtdoVjsVA
[WARNUNG] Der Archivheader ist defekt
C:\jailbreak\GGOgEDDtsoNxsttN
[WARNUNG] Der Archivheader ist defekt
C:\jailbreak\gTNpgTslTpXuuXDa
[WARNUNG] Der Archivheader ist defekt
C:\jailbreak\nqpstdOOuQOtsOunpe
[WARNUNG] Der Archivheader ist defekt
C:\Marley\GxvvjAXsxsvNrsessjAss
[WARNUNG] Der Archivheader ist defekt
C:\Program Files\WinRAR\rarnew.dat
[WARNUNG] Das Archiv ist unbekannt oder defekt
C:\Program Files (x86)\AOL 9.0 VR\Jiti\viewpoint.exe
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
C:\Program Files (x86)\FreeArc\uninst.exe
[WARNUNG] Unerwartetes Dateiende erreicht
C:\ProgramData\AOL Downloads\waol_de\0.4327.52.1\comps\vwpt\Vwpt.exe
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar1.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar10.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar100.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar101.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar102.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar103.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar104.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar105.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar106.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar107.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar108.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar109.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar11.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar12.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar13.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar14.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar15.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar16.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar17.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar18.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar19.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar2.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar20.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar21.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar22.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar23.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar24.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar25.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar26.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar27.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar28.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar29.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar3.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar30.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar31.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar32.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar33.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar34.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar35.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar36.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar37.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar38.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar39.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar4.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar40.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar41.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar42.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar43.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar44.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar45.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar46.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar47.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar48.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar49.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar5.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar50.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar51.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar52.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar53.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar54.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar55.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar56.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar57.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar58.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar59.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar6.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar60.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar61.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar62.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar63.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar64.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar65.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar66.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar67.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar68.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar69.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar7.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar70.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar71.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar72.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar73.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar74.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar75.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar76.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar77.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar78.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar79.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar8.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar80.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar81.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar82.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar83.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar84.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar85.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar86.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar87.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar88.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar89.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar9.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar90.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar91.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar92.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar93.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar94.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar95.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar96.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar97.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar98.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\BabylonToolbar99.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Hans-Peter\avira_free_antivirus_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Hans-Peter\Desktop\install_flashplayer110.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Hans-Peter\Desktop\kontakte\2011-2-16 19-27-55.antc
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Hans-Peter\Desktop\SMS\2011-2-16 19-25-25.ants
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Hans-Peter\Documents\07.06.2012.zip
[0] Archivtyp: ZIP
--> Auszug 07.06.2012 .com
[FUND] Ist das Trojanische Pferd TR/Matsnu.A.67
C:\Users\Hans-Peter\Downloads\eMule\Temp\012.part
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Hans-Peter\Music\iTunes\iTunes Media\Mobile Applications\AnimatedEmotionEmojiProFree 2.8.5.ipa
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Hans-Peter\Music\iTunes\iTunes Media\Mobile Applications\Combat Skies 1.1.ipa
[WARNUNG] Die Datei ist kennwortgeschützt

Beginne mit der Desinfektion:
C:\Users\Hans-Peter\Documents\07.06.2012.zip
[FUND] Ist das Trojanische Pferd TR/Matsnu.A.67
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55d16600.qua' verschoben!


Ende des Suchlaufs: Dienstag, 12. Juni 2012 06:22
Benötigte Zeit: 1:40:25 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

53789 Verzeichnisse wurden überprüft
919332 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
919331 Dateien ohne Befall
3275 Archive wurden durchsucht
135 Warnungen
1 Hinweise

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 13. Juni 2012 01:01

Es wird nach 3830154 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Home Premium
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HANS-PETER-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 08.05.2012 17:41:08
AVSCAN.DLL : 12.3.0.15 66256 Bytes 08.05.2012 17:41:08
LUKE.DLL : 12.3.0.15 68304 Bytes 08.05.2012 17:41:11
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08.05.2012 17:41:12
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 21:30:10
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 22:23:34
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 04:38:07
VBASE005.VDF : 7.11.29.136 2166272 Bytes 10.05.2012 21:29:40
VBASE006.VDF : 7.11.29.137 2048 Bytes 10.05.2012 21:29:41
VBASE007.VDF : 7.11.29.138 2048 Bytes 10.05.2012 21:29:41
VBASE008.VDF : 7.11.29.139 2048 Bytes 10.05.2012 21:29:41
VBASE009.VDF : 7.11.29.140 2048 Bytes 10.05.2012 21:29:41
VBASE010.VDF : 7.11.29.141 2048 Bytes 10.05.2012 21:29:41
VBASE011.VDF : 7.11.29.142 2048 Bytes 10.05.2012 21:29:41
VBASE012.VDF : 7.11.29.143 2048 Bytes 10.05.2012 21:29:41
VBASE013.VDF : 7.11.29.144 2048 Bytes 10.05.2012 21:29:41
VBASE014.VDF : 7.11.30.3 198144 Bytes 14.05.2012 04:40:37
VBASE015.VDF : 7.11.30.69 186368 Bytes 17.05.2012 20:47:32
VBASE016.VDF : 7.11.30.143 223744 Bytes 21.05.2012 19:25:10
VBASE017.VDF : 7.11.30.207 287744 Bytes 23.05.2012 04:50:44
VBASE018.VDF : 7.11.31.57 188416 Bytes 28.05.2012 06:20:31
VBASE019.VDF : 7.11.31.111 214528 Bytes 30.05.2012 06:39:42
VBASE020.VDF : 7.11.31.151 116736 Bytes 31.05.2012 07:23:24
VBASE021.VDF : 7.11.31.205 134144 Bytes 03.06.2012 16:46:08
VBASE022.VDF : 7.11.32.9 169472 Bytes 05.06.2012 19:33:12
VBASE023.VDF : 7.11.32.85 155648 Bytes 08.06.2012 22:06:29
VBASE024.VDF : 7.11.32.133 127488 Bytes 11.06.2012 04:59:33
VBASE025.VDF : 7.11.32.134 2048 Bytes 11.06.2012 04:59:33
VBASE026.VDF : 7.11.32.135 2048 Bytes 11.06.2012 04:59:33
VBASE027.VDF : 7.11.32.136 2048 Bytes 11.06.2012 04:59:33
VBASE028.VDF : 7.11.32.137 2048 Bytes 11.06.2012 04:59:33
VBASE029.VDF : 7.11.32.138 2048 Bytes 11.06.2012 04:59:33
VBASE030.VDF : 7.11.32.139 2048 Bytes 11.06.2012 04:59:34
VBASE031.VDF : 7.11.32.166 182272 Bytes 12.06.2012 16:53:15
Engineversion : 8.2.10.80
AEVDF.DLL : 8.1.2.8 106867 Bytes 02.06.2012 07:23:26
AESCRIPT.DLL : 8.1.4.24 450939 Bytes 01.06.2012 07:23:37
AESCN.DLL : 8.1.8.2 131444 Bytes 12.03.2012 22:23:58
AESBX.DLL : 8.2.5.10 606580 Bytes 31.05.2012 06:40:06
AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 07:55:37
AEPACK.DLL : 8.2.16.16 807288 Bytes 31.05.2012 06:40:03
AEOFFICE.DLL : 8.1.2.28 201082 Bytes 27.04.2012 17:01:27
AEHEUR.DLL : 8.1.4.36 4874615 Bytes 01.06.2012 07:23:36
AEHELP.DLL : 8.1.21.0 254326 Bytes 10.05.2012 21:29:50
AEGEN.DLL : 8.1.5.28 422260 Bytes 27.04.2012 17:00:23
AEEXP.DLL : 8.1.0.44 82293 Bytes 31.05.2012 06:40:07
AEEMU.DLL : 8.1.3.0 393589 Bytes 31.01.2012 07:55:34
AECORE.DLL : 8.1.25.10 201080 Bytes 01.06.2012 07:23:29
AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 07:55:33
AVWINLL.DLL : 12.3.0.15 27344 Bytes 08.05.2012 17:41:06
AVPREF.DLL : 12.3.0.15 51920 Bytes 08.05.2012 17:41:08
AVREP.DLL : 12.3.0.15 179208 Bytes 08.05.2012 17:41:12
AVARKT.DLL : 12.3.0.15 211408 Bytes 08.05.2012 17:41:07
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 08.05.2012 17:41:08
SQLITE3.DLL : 3.7.0.1 398288 Bytes 08.05.2012 17:41:11
AVSMTP.DLL : 12.3.0.15 63440 Bytes 08.05.2012 17:41:09
NETNT.DLL : 12.3.0.15 17104 Bytes 08.05.2012 17:41:11
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 08.05.2012 17:41:06
RCTEXT.DLL : 12.3.0.15 98512 Bytes 08.05.2012 17:41:06

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4fd7c437\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Mittwoch, 13. Juni 2012 01:01

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'opera.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aoltpsd3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclRSSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Com4QLBEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqToaster.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'shellmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'distnoted.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqWmiEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuschd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aolsoftware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QLBCTRL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'waol.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PCSuite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ubd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ManyCam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LightScribeControlPanel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InstStub.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWinSec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WTGService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccSvcHst.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPDrvMntSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOLAcsd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Program Files (x86)\ACD Systems\ACDSee\8.0\patch.exe'
C:\Program Files (x86)\ACD Systems\ACDSee\8.0\patch.exe
[FUND] Ist das Trojanische Pferd TR/Agent.47104.L
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '553867f3.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 13. Juni 2012 01:02
Benötigte Zeit: 00:51 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
46 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
45 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise

@holzhupe64,
warum kannst Du Dich nicht an die Regeln halten und müllst das ganze Thema zu?
Was wollen wir mit Deinem Scan, hier im Diskussionsforum?

Oben steht:
Diskussionsforum: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches. Störer werden "sanft aus dem Raum begleitet"

Lösche das Zeug wieder raus.

Volker

Oh sorry!!!! Das war nicht meine böse Absicht!!! Wenn Du mir verrätst, wo ichs löschen kann, mach ich das sofort!

Ist der Button EDITIEREN neben ZITIEREN schon weg?
Dann isses zu spät und wir müssen mit diesem Handtuch an Text leben.

Ja, der ist leider schon weg....

@ Undertaker..
Wenn du mit den Admins zwecks umgestaltung des oberen "Anhängsles" sprichst, hätte ich folgenden Vorschlag:
-Für Dateien, die mit "locked" im Dateinamen verschlüsselt sind, könnt er es mit einem der 8 Tools probieren
-Für Dateien, die kein Locked im Dateinamen haben, sieht es im moment schlecht aus.
Bei Windows7 und Windows Vista könnt ihr ShadowExplorer probieren, bei XP leider nicht.
Und dann evt. da noch die Verlinkung auf die Bildrettung die auch im Thread aufgeführt wird...

Aber da ja alle Leute sich die mühe machen, und Lesen, kann man das wahrscheinlich auch ganz weg lassen, dürfte den gleichen effekt haben...

@holzhupe...
Dann auch für dich nochmal..
Welche Verschlüsselung hast du ?
Mit oder ohne Locked ?
Hast du schon probiert mit ShadowExplorer zu arbeiten ?

@HWKBREM
Siehe holzhupe
@Harry2o
Siehe oben (sofern du Vista oder Win7 hast)
@roger17
http://www.trojaner-board.de/115183-...tml#post840582 mal testen

Ich habe die Variante ohne " Locked" auf Windows 7. Shadow Explorer habe ich nicht getestet. Ich habe schon versucht mich durch das Forum zu lesen, aber habe als Dummuser und Neuling noch einige Schwierigkeiten. ( Nicht mit dem Lesen, eher mit der Struktur des Forums) Sorry!

Das habe ich schon, der Kopf ist abgeändert.
Die Tools sind nicht mehr so auffällig und Punkt 3 ist Datenrettung, etwas fetter.

und

Zwecklos, roger17 liest keine Antworten.

Volker