Wildfang | 20.05.2012 14:19 | Verschlüsselungs-Trojaner blockiert meine Daten Hallo,
mich hat es auch erwischt. Alle wichtigen privaten Daten wie Bewerbungen (besonders für mich wichtig) sind verschlüsselt mit einer Buchstaben-Zahlenkombination.
Anti-Malware habe ich nach der Anleitung hier im Forum auf meinen befallenen Laptop durchlaufen lassen, aber ich bekomme die Daten trotz Decrypter nicht entschlüsselt (obwohl ich eine Referenz-Datei gefunden habe). Der Decrypter teilt mit, dass kein Schlüssel erzeugt werden kann. Aber auch der Avira Ransom File Unlocker hat nicht funktioniert.
Hier die gemachten Logfiles:
DDS.txt
.DDS Logfile: Code:
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 9.0.8112.16421 BrowserJavaVersion: 1.6.0_26
Run by Medion at 13:33:33 on 2012-05-20
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.49.1031.18.2558.853 [GMT 2:00]
.
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\Common Files\ArcSoft\esinter\Bin\eservutil.exe
C:\Program Files\Common Files\Acronis\CDP\afcdpsrv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Uniblue\RegistryBooster\rbmonitor.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\ProgramData\DatacardService\DCService.exe
C:\Windows\system32\nlssrv32.exe
C:\ProgramData\DatacardService\DCSHelper.exe
C:\Program Files\SolidDocuments\SolidPDFCreator\SPC\SolidPdfService.exe
C:\Windows\System32\nvSCPAPISvr.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files\TeamViewer\Version7\TeamViewer_Service.exe
C:\Program Files\ThreatFire\TFService.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVBg.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\System32\svchost.exe -k LocalServicePeerNet
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\ctfmon.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\conhost.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://yahoo.com/?ilc=10&fr=ydwnld-home
uDefault_Page_URL = hxxp://www.medion.com
uInternet Settings,ProxyOverride = *.local
uURLSearchHooks: H - No File
BHO: {02478D38-C3F9-4efb-9B51-7695ECA05670} - No File
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\progra~1\spybot~1\SDHelper.dll
BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
BHO: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - c:\program files\avast software\avast\aswWebRepIE.dll
BHO: Windows Live Anmelde-Hilfsprogramm: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
TB: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - c:\program files\avast software\avast\aswWebRepIE.dll
TB: {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
TB: {7E111A5C-3D11-4F56-9463-5310C3C69025} - No File
uRun: [fsm]
mRun: [RtHDVCpl] c:\program files\realtek\audio\hda\RtHDVCpl.exe -s
mRun: [RtHDVBg] c:\program files\realtek\audio\hda\RtHDVBg.exe /FORPCEE3
mRun: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
mRun: [avast] "c:\program files\avast software\avast\avastUI.exe" /nogui
mRun: [Malwarebytes' Anti-Malware] "c:\program files\malwarebytes' anti-malware\mbamgui.exe" /starttray
mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
mPolicies-system: EnableLinkedConnections = 1 (0x1)
IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~3\office12\EXCEL.EXE/3000
IE: {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-31/4
IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - c:\program files\windows live\writer\WriterBrowserExtension.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~3\office12\REFIEBAR.DLL
IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\progra~1\spybot~1\SDHelper.dll
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://active.macromedia.com/flash/cabs/swflash.cab
TCP: DhcpNameServer = 192.168.178.1
TCP: Interfaces\{67AAA7DF-1D7E-4390-AFEE-F55612221693} : DhcpNameServer = 192.168.178.1
TCP: Interfaces\{67AAA7DF-1D7E-4390-AFEE-F55612221693}\64259445A51224F6870264F6E60275C414E40273137303 : DhcpNameServer = 192.168.178.1
TCP: Interfaces\{67AAA7DF-1D7E-4390-AFEE-F55612221693}\64279647A71224F6870264F6E60275C414E40273137303 : DhcpNameServer = 192.168.178.1
TCP: Interfaces\{67AAA7DF-1D7E-4390-AFEE-F55612221693}\75966496D2255607561647562713 : DhcpNameServer = 192.168.178.1
Hosts: 127.0.0.1 www.spywareinfo.com
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\medion\appdata\roaming\mozilla\firefox\profiles\qfugxny2.default\
FF - prefs.js: browser.search.selectedEngine - foxsearch
FF - prefs.js: browser.startup.homepage - hxxp://www.opel-cabrio-society.de/
FF - prefs.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - plugin: c:\program files\adobe\reader 9.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\microsoft silverlight\4.1.10329.0\npctrlui.dll
FF - plugin: c:\program files\microsoft\office live\npOLW.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npPDFXCviewNPPlugin.dll
FF - plugin: c:\program files\tracker software\pdf viewer\npPDFXCviewNPPlugin.dll
FF - plugin: c:\program files\windows live\photo gallery\NPWLPG.dll
FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_2_202_235.dll
.
---- FIREFOX POLICIES ----
FF - user.js: browser.search.selectedEngine - foxsearch
FF - user.js: browser.search.order.1 - foxsearch
FF - user.js: browser.search.defaultenginename - foxsearch
FF - user.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - user.js: privacy.item.cookies - false
FF - user.js: privacy.sanitize.promptOnSanitize - false
FF - user.js: yahoo.ytff.general.dontshowhpoffer - true
============= SERVICES / DRIVERS ===============
.
R0 AVG Anti-Rootkit;AVG Anti-Rootkit;c:\windows\system32\drivers\avgarkt.sys [2007-1-31 5632]
R0 tdrpman273;Acronis Try&Decide and Restore Points filter (build 273);c:\windows\system32\drivers\tdrpm273.sys [2011-6-29 752128]
R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2010-1-14 51984]
R0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys [2010-1-14 59664]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2011-6-27 612184]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2011-6-27 337880]
R1 AvgArCln;Avg Anti-Rootkit Clean Driver;c:\windows\system32\drivers\AvgArCln.sys [2011-12-11 3968]
R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\drivers\vwififlt.sys [2009-7-14 48128]
R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2009/11/13 09:48:57];c:\program files\cyberlink\powerdvd9\000.fcl [2009-8-5 87536]
R2 ADExchange;ArcSoft Exchange Service;c:\program files\common files\arcsoft\esinter\bin\eservutil.exe [2011-10-26 37280]
R2 afcdpsrv;Acronis Nonstop Backup-Dienst;c:\program files\common files\acronis\cdp\afcdpsrv.exe [2011-6-29 3246040]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2011-6-27 20696]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-6-27 57688]
R2 avast! Antivirus;avast! Antivirus;c:\program files\avast software\avast\AvastSvc.exe [2012-3-19 44768]
R2 DCService.exe;DCService.exe;c:\programdata\datacardservice\DCService.exe [2010-5-8 229376]
R2 MBAMService;MBAMService;c:\program files\malwarebytes' anti-malware\mbamservice.exe [2012-5-20 654408]
R2 nlsX86cc;Nalpeiron Licensing Service;c:\windows\system32\nlssrv32.exe [2010-11-26 64512]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files\spybot - search & destroy\SDWinSec.exe [2011-8-8 1153368]
R2 SPDFCreatorReadSpool;SolidPDFCreatorReadSpool;c:\program files\soliddocuments\solidpdfcreator\spc\SolidPdfService.exe [2011-10-3 180552]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\windows\system32\nvSCPAPISvr.exe [2009-10-7 239720]
R2 TeamViewer7;TeamViewer 7;c:\program files\teamviewer\version7\TeamViewer_Service.exe [2012-1-19 2983808]
R2 ThreatFire;ThreatFire;c:\program files\threatfire\tfservice.exe service --> c:\program files\threatfire\TFService.exe service [?]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [2011-6-29 167968]
R3 huawei_enumerator;huawei_enumerator;c:\windows\system32\drivers\ew_jubusenum.sys [2011-9-28 63616]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-5-20 22344]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2009-11-10 66080]
R3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\drivers\rtl8192se.sys [2010-4-1 1009184]
R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2010-1-14 33552]
R3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\drivers\vwifimp.sys [2009-7-14 14336]
R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\drivers\WSDPrint.sys [2009-7-14 17920]
R3 WSDScan;WSD-Scanunterstützung durch UMB;c:\windows\system32\drivers\WSDScan.sys [2009-7-14 20480]
R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [2009-12-7 13720]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\macromed\flash\FlashPlayerUpdateService.exe [2012-3-29 257696]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-14 229888]
S3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\drivers\ssudbus.sys [2011-9-26 77624]
S3 ew_hwusbdev;Huawei MobileBroadband USB PNP Device;c:\windows\system32\drivers\ew_hwusbdev.sys [2011-9-28 101504]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [2011-9-28 204800]
S3 ivusb;Initio Driver for USB Default Controller;c:\windows\system32\drivers\ivusb.sys [2010-7-29 25112]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\mozilla maintenance service\maintenanceservice.exe [2012-3-17 113120]
S3 NxpCap;CTX capture service;c:\windows\system32\drivers\NxpCap.sys [2009-11-10 1488096]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\drivers\ss_bbus.sys [2011-8-3 98432]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\drivers\ss_bmdfl.sys [2011-8-3 14848]
S3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\drivers\ss_bmdm.sys [2011-8-3 123648]
S3 ssudmdm;SAMSUNG Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\drivers\ssudmdm.sys [2011-9-26 181432]
S3 ssudserd;SAMSUNG Mobile USB Diagnostic Serial Port(DEVGURU Ver.);c:\windows\system32\drivers\ssudserd.sys [2011-9-26 181432]
S3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\TsUsbFlt.sys [2011-6-30 52224]
S3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\wat\WatAdminSvc.exe [2012-3-11 1343400]
.
=============== Created Last 30 ================
.
2012-05-20 02:30:03 -------- d-----w- c:\users\medion\appdata\roaming\Malwarebytes
2012-05-20 02:29:53 -------- d-----w- c:\programdata\Malwarebytes
2012-05-20 02:29:52 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-05-20 02:29:52 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-05-20 01:22:45 387584 ----a-w- c:\users\medion\rescue2usb.exe
2012-05-19 01:17:56 -------- d-----w- c:\users\medion\fontconfig
2012-05-19 00:37:13 105016 ----atw- c:\users\medion\appdata\roaming\microsoft\~DFK35a43b.tmp
2012-05-19 00:35:05 -------- d-----w- c:\users\medion\appdata\roaming\Apowersoft
2012-05-19 00:34:48 -------- d-----w- c:\program files\Apowersoft
2012-05-17 13:59:05 -------- d-----w- c:\program files\Defraggler
2012-05-15 18:07:54 6734704 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{3fa9844e-9d48-48be-90b7-28e6d08b02f0}\mpengine.dll
2012-05-10 20:11:12 936960 ----a-w- c:\program files\common files\microsoft shared\ink\journal.dll
2012-05-10 20:11:11 1221632 ----a-w- c:\program files\windows journal\NBDoc.DLL
2012-05-10 20:11:10 989184 ----a-w- c:\program files\windows journal\JNTFiltr.dll
2012-05-10 20:11:09 969216 ----a-w- c:\program files\windows journal\JNWDRV.dll
2012-05-10 20:11:06 1291632 ----a-w- c:\windows\system32\drivers\tcpip.sys
2012-05-10 20:10:59 3968368 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-05-10 20:10:58 3913072 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-05-10 20:10:57 2343424 ----a-w- c:\windows\system32\win32k.sys
2012-05-10 20:10:04 56176 ----a-w- c:\windows\system32\drivers\partmgr.sys
2012-05-10 20:10:02 1077248 ----a-w- c:\windows\system32\DWrite.dll
2012-04-28 09:37:27 770384 ----a-w- c:\program files\mozilla firefox\msvcr100.dll
2012-04-28 09:37:27 421200 ----a-w- c:\program files\mozilla firefox\msvcp100.dll
.
==================== Find3M ====================
.
2012-05-05 13:51:28 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-05 13:51:28 419488 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-03-07 00:15:19 41184 ----a-w- c:\windows\avastSS.scr
2012-03-07 00:03:51 612184 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2012-03-07 00:02:14 44376 ----a-w- c:\windows\system32\drivers\aswRdr2.sys
2012-03-07 00:01:48 57688 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2012-03-01 05:46:57 19824 ----a-w- c:\windows\system32\drivers\fs_rec.sys
2012-03-01 05:37:41 172544 ----a-w- c:\windows\system32\wintrust.dll
2012-03-01 05:33:23 159232 ----a-w- c:\windows\system32\imagehlp.dll
2012-03-01 05:29:16 5120 ----a-w- c:\windows\system32\wmi.dll
2012-02-28 01:18:55 1799168 ----a-w- c:\windows\system32\jscript9.dll
2012-02-28 01:11:21 1427456 ----a-w- c:\windows\system32\inetcpl.cpl
2012-02-28 01:11:07 1127424 ----a-w- c:\windows\system32\wininet.dll
2012-02-28 01:03:16 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2012-02-27 16:49:11 0 ----a-w- c:\programdata\xml2A00.tmp
2012-02-27 16:49:11 0 ----a-w- c:\programdata\xml29EF.tmp
2012-02-27 16:49:11 0 ----a-w- c:\programdata\xml29EE.tmp
2012-02-27 16:49:09 0 ----a-w- c:\programdata\xml2349.tmp
2012-02-23 08:18:36 237072 ------w- c:\windows\system32\MpSigStub.exe
.
============= FINISH: 13:37:35,37 =============== --- --- ---
Die Mail mit dem Trojaner habe ich noch auf dem GMX-Server. Sehr geehrte Kundin, sehr geehrter Kunde Frau (hier steht mein kompletter Name), unser Logistikpartner hat Ihr Paket mit der Auftrags-ID 39430612886 zur Lieferung an Hermes Versand übergeben. Im Anhangsordner befindet sich die Abrechnung und die Zustelladresse als Druck-Datei. Sie dürfen die Rechnungsbestätigung jederzeit selbständig über den online Shop abrufen. Folgende Angaben werden abgefragt: - E-Mail-Adresse und die Bestellnummer oder - die Auftrags-Nr. und die Geräte-Id Auftragsnummer: 67506704213 Geräte Serien-Nr.: 94214823904 Buchungssumme: 136,20 Euro Ihre Bestellung ist hiermit fertiggestellt. Mit freundlichen Grüßen Ihr Kundendienst ________________ Naeta Technik Online-Handel mit Sitz in Hamburg Vorstand: Helmut Vogel, Maria Hofer Aufsichtsratsvorsitzender: Dieter Huber Amtsgericht: München 49413
Wer kann mir helfen?
LG Wildfang
Hab jetzt auch das Eset-Logfile (dauerte paar Stunden) Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=778d7e67fa81b54cb8620934b0af686b
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-20 08:38:34
# local_time=2012-05-20 10:38:34 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=2560 16777215 100 0 0 0 0 0
# compatibility_mode=5893 16776574 100 94 417174 89157239 0 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=420637
# found=20
# cleaned=0
# scan_time=20265
C:\Pixo SE_GAOD_Setup.msi Win32/Adware.Linkular.AB application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe Win32/Toolbar.Widgi application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\Uniblue\RegistryBooster\Launcher.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\Uniblue\RegistryBooster\rbmonitor.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\Uniblue\RegistryBooster\rbnotifier.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\Uniblue\RegistryBooster\rb_move_serial.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\Uniblue\RegistryBooster\rb_ubm.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Program Files\Uniblue\RegistryBooster\registrybooster.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Medion\AppData\Roaming\Uniblue\RegistryBooster\_temp\ub.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Medion\Desktop\Downloads\registrybooster.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Medion\Desktop\Downloads\slow-pcfighter_Web.exe a variant of Win32/SlowPCfighter application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Medion\Desktop\Downloads\speedupmypc.exe Win32/SpeedUpMyPC application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Medion\Desktop\Downloads\Programme\SoftonicDownloader60958.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Medion\Desktop\Downloads\Programme\SoftonicDownloader68456.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Medion\Desktop\Downloads\Programme\SoftonicDownloader_fuer_windows-7-wallpaper-pack.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Medion\Downloads\cnet_PhotoZoomPro4_zip.exe a variant of Win32/InstallCore.D application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Medion\Downloads\cnet_solidpdfcreator_free_exe.exe a variant of Win32/InstallCore.D application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Medion\Downloads\PDFCreator-1_2_3_setup.exe Win32/Toolbar.Widgi application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Medion\Downloads\YouTubeDownloaderSetup33.exe a variant of Win32/Toolbar.Widgi application (unable to clean) 00000000000000000000000000000000 I
${Memory} Win32/RegistryBooster application 00000000000000000000000000000000 I So, da keiner der Decrypter bei mir funktioniert hatte, um die Daten wieder zu entschlüsseln, habe ich den ShadowExplorer 0.8 erfolgreich bemüht.
Die exportierten Dateien habe ich auf eine externe Festplatte kopiert. Die verschlüsselten Daten habe ich in einem Extra-Ordner gesichert (verschoben) und die dadurch fehlenden Daten durch die exportierten Daten ersetzt. Sämtliche verschlüsselte Ordner und Daten habe ich auf diese Weise mit den exportierten Daten ersetzt.
Beim Firefox habe ich die Einstellungen, Lesezeichen und Darstellung, wie vor dem Trojaner-Befall. Genauso bin ich beim Thunderbird vorgegangen und habe somit alle Profile, Einstellungen und Emails, wie vor dem Befall.
Ich hoffe, dass das jetzt alles war. |