Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: wieder Dateien verschlüsselt Windows XP

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 25.04.2012, 18:58   #1
baumschubser
 
wieder Dateien verschlüsselt Windows XP - Standard

wieder Dateien verschlüsselt Windows XP



Hi,

zuallererst einmal bin ich neu und brauche dringend Hilfe. Nehmt also bitte Rücksicht falls ich unwissend eine Regel verletzen sollte.

Zum Problem:

Ich hab hier einen Kundenrechner stehen (Win XP Pro SP3 32Bit), der Kunde kann nicht mehr auf Dateien zugreifen. F-Secure ist installiert, hat aber bei einem eventuellen Download (Email-Anhang?) keine Warnmeldung gegeben. Der Kunde hat laut seiner Aussage auch nichts verdächtiges geöffnet^^

Los gings heute Morgen damit daß trotz korrekter TCP/IP-Einstellungen kein Internetzugriff mehr möglich war. Nach Festlegung von IP, DNS usw. war Zugriff wieder da. Seit heute Mittag sind viele Dateien "verschlüsselt", soll heißen daß z.B. Word-Dateien alle das Präfix "locked-" vor dem eigentlichen Dateinamen haben und nach der normalen Dateiendung noch eine zusätzliche, anscheinend zufällig generierte Endung aus vier Buchstaben. Umbenennen ist möglich, bringt aber kein Ergebnis.

Zusätzlich sind aus Fritzfax alle Faxe verschwunden, T-Online 6 Email läßt sich mit Verweis auf eine beschädigte Datenbank auch nicht mehr starten.

Bisher durchgeführte Schritte:

Scan der Platte an zweitem, sauberen Rechner mit aktuellem Anti-Malware und aktuellem G-Data --> kein Ergebnis

Scan der Platte im Kundenrechner mit heruntergeladener Testversion von Anti-Malware --> kein Ergebnis

Erwähnenswert ist vllt. noch, daß sich die Spracheinstellungen und auch das Aussehen der F-Secure Maske verändert haben.

Rechner läßt sich im normalen Modus starten, im abgesicherten jedoch nicht (Reboot).

Der Kunde braucht morgen Früh dringend einen Anhang aus einer Email. Gibt es eine Chance, da dran zu kommen?

Ich bin für jede Hilfe dankbar.

Sebastian

Alt 25.04.2012, 19:12   #2
markusg
/// Malware-holic
 
wieder Dateien verschlüsselt Windows XP - Standard

wieder Dateien verschlüsselt Windows XP



warscheinlich nicht, guck mal ob du die dateien des kunden öffnen kannst, bilder, dokumente etc.
__________________

__________________

Alt 25.04.2012, 19:18   #3
baumschubser
 
wieder Dateien verschlüsselt Windows XP - Standard

wieder Dateien verschlüsselt Windows XP



Hi, danke für die schnelle Antwort.

mp3s z.B. lassen sich im Media Player auch ohne Umbenennen öffnen. Bilder werden mir ebenfalls angezeigt. Wenn ich aber versuche ein Word-Dokument zu öffnen, werde ich nach der gewünschten Zeichencodierung gefragt. Egal welche ich auswähle, ich bekomme nur 3 oder 4 kryptische Zeichen zu sehen. Dabei ist es egal, ob ich die Datei umbenenne oder nicht und auch ob ich sie auf einem anderen Rechner öffne.

Speichert T-Online die empfangenen Mails als .bin? Da hab ich einen Ordner vorliegen. Wenn ja, gibt es irgendeine Möglichkeit die in ein anderes Programm einzulesen?

Danke
__________________

Alt 25.04.2012, 19:25   #4
markusg
/// Malware-holic
 
wieder Dateien verschlüsselt Windows XP - Standard

wieder Dateien verschlüsselt Windows XP



kann ich dir leider nicht sagen.
währe aber kein mir bekanntes mail format.
wegen der entschlüsselungsmöglichkeiten, wenn es denn welche gibt, habe ich mich erkundigt, antwort steht noch aus.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 25.04.2012, 19:27   #5
baumschubser
 
wieder Dateien verschlüsselt Windows XP - Standard

wieder Dateien verschlüsselt Windows XP



das hab ich in den anderen themen schon gesehen, anscheinend ein nettes kleines biest^^ mir kommt nur komisch vor, daß ich und laut seiner aussage auch der kunde keinerlei anzeige von wegen "sie haben sich infiziert" bekommen haben. oder sind da schon wieder mehrere derivate unterwegs...


Alt 26.04.2012, 11:39   #6
markusg
/// Malware-holic
 
wieder Dateien verschlüsselt Windows XP - Standard

wieder Dateien verschlüsselt Windows XP



ich kenne bisher nur 3 variannten, wobei die dritte erst heute aufgetreten ist, eig müsste es ne fake meldung geben
wenn du solche mails in die hand bekommst, wäre es nett, diese zu speichern und an
http://markusg.trojaner-board.de
zu senden, nicht nur weiterleiten, sondern richtig speichern und anhängen, damit man den kompletten mail header sehen kann.
kann evtl. bei anzeigen helfen.
updates zum entschlüsseln gibts noch nicht, wird aber gearbeitet.
__________________
--> wieder Dateien verschlüsselt Windows XP

Alt 26.04.2012, 12:52   #7
baumschubser
 
wieder Dateien verschlüsselt Windows XP - Standard

wieder Dateien verschlüsselt Windows XP



ich kann dir leider weder die ursprüngliche mail noch den virennamen liefern, den hat der kunde schon "vorschnell" entfernt... was ich hab ist die t-online binary mit der infizierten signatur, zumindest laut meinem g-data. die kann ich dir gern schicken wenn du da was mit tun kannst.

so wie es scheint hab ich gerade die "originale" virale zip gefunden, kannst du da was mit tun?

Alt 26.04.2012, 16:37   #8
markusg
/// Malware-holic
 
wieder Dateien verschlüsselt Windows XP - Standard

wieder Dateien verschlüsselt Windows XP



jepp
Trojaner-Board Upload Channel
hier mal hochladen bitte
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 26.04.2012, 17:46   #9
baumschubser
 
wieder Dateien verschlüsselt Windows XP - Standard

wieder Dateien verschlüsselt Windows XP



soeben passiert

Alt 27.04.2012, 12:29   #10
markusg
/// Malware-holic
 
wieder Dateien verschlüsselt Windows XP - Standard

wieder Dateien verschlüsselt Windows XP



ok.
bitte tool aus post 61 testen
http://www.trojaner-board.de/114115-...oftware-7.html
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 27.04.2012, 15:31   #11
baumschubser
 
wieder Dateien verschlüsselt Windows XP - Standard

wieder Dateien verschlüsselt Windows XP



funktioniert bestens, super arbeit.

vielen dank für deine / eure unterstützung

Alt 27.04.2012, 18:20   #12
markusg
/// Malware-holic
 
wieder Dateien verschlüsselt Windows XP - Standard

wieder Dateien verschlüsselt Windows XP



ok, wir müssen uns den pc noch ansehen:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 30.04.2012, 13:08   #13
baumschubser
 
wieder Dateien verschlüsselt Windows XP - Standard

wieder Dateien verschlüsselt Windows XP



sorry am WE hab ich pause gemacht ich hab gerade die infizierte sicherung wiederhergestellt und mit Anti-Malware bereinigt, in der version von letzter woche hatte ich schon zu viel rumgespielt... combofix wird nun angeworfen, ich poste das log sobald er durch ist

suchlauf ist durch, hier das logfile:

Combofix Logfile:
Code:
ATTFilter
ComboFix 12-04-31.02 - Admin 30.04.2012  14:25:10.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3575.3022 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\ComboFix.exe
AV: Computer Security *Enabled/Updated* {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: Computer Security *Enabled* {D4747503-0346-49EB-9262-997542F79BF4}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Admin\Eigene Dateien\~WRL3617.tmp
c:\dokumente und einstellungen\Admin\Favoriten\locked-MSN.url.reyf
c:\dokumente und einstellungen\Admin\Favoriten\locked-Radiostationsübersicht.url.rmbp
c:\windows\IsUn0407.exe
c:\windows\system32\winsh320
c:\windows\system32\winsh321
c:\windows\system32\winsh322
c:\windows\system32\winsh323
c:\windows\system32\winsh324
c:\windows\system32\winsh325
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-03-28 bis 2012-04-30  ))))))))))))))))))))))))))))))
.
.
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-25 12:20 . 2012-02-15 08:11	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-01 11:00 . 2008-04-14 05:52	916992	----a-w-	c:\windows\system32\wininet.dll
2012-03-01 11:00 . 2008-04-14 05:53	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-03-01 11:00 . 2008-04-14 05:52	43520	------w-	c:\windows\system32\licmgr10.dll
2012-02-29 14:09 . 2008-04-14 05:52	177664	----a-w-	c:\windows\system32\wintrust.dll
2012-02-29 14:09 . 2008-04-14 05:52	148480	----a-w-	c:\windows\system32\imagehlp.dll
2012-02-29 12:17 . 2008-04-14 05:25	385024	------w-	c:\windows\system32\html.iec
2012-02-29 09:36 . 2012-02-29 09:36	4771184	----a-w-	c:\windows\system32\LxXtreme100.dll
2012-02-29 09:36 . 2012-02-29 09:36	104304	----a-w-	c:\windows\system32\LxUISettingsN100.dll
2012-02-29 09:36 . 2012-02-29 09:36	25968	----a-w-	c:\windows\system32\LxTPSW100.dll
2012-02-29 09:36 . 2012-02-29 09:36	1334640	----a-w-	c:\windows\system32\LxTool100.dll
2012-02-29 09:36 . 2012-02-29 09:36	63344	----a-w-	c:\windows\system32\LxPXTree100.dll
2012-02-29 09:36 . 2012-02-29 09:36	111472	----a-w-	c:\windows\system32\LxODBC100.dll
2012-02-29 09:36 . 2012-02-29 09:36	127344	----a-w-	c:\windows\system32\LxMail100.dll
2012-02-29 09:36 . 2012-02-29 09:36	200048	----a-w-	c:\windows\system32\LxDBAL100.dll
2012-02-29 09:36 . 2012-02-29 09:36	76656	----a-w-	c:\windows\system32\LxDAO100.dll
2012-02-29 09:36 . 2012-02-29 09:36	49520	----a-w-	c:\windows\system32\LXCurr100.dll
2012-02-29 09:36 . 2012-02-29 09:36	67952	----a-w-	c:\windows\system32\LxCI12.dll
2012-02-29 09:35 . 2012-02-29 09:35	193904	----a-w-	c:\windows\system32\LxBasics100.dll
2012-02-27 09:41 . 2012-02-27 09:41	202240	----a-w-	c:\windows\system32\LXPrnUtil10.dll
2012-02-27 09:41 . 2012-02-27 09:41	133632	----a-w-	c:\windows\system32\LXReportManage.ocx
2012-02-27 09:40 . 2012-02-27 09:40	304128	----a-w-	c:\windows\system32\LxDNT100.dll
2012-02-27 09:38 . 2012-02-27 09:38	133120	----a-w-	c:\windows\system32\LxDNTvmc100.dll
2012-02-27 09:38 . 2012-02-27 09:38	69120	----a-w-	c:\windows\system32\LxDNTvm100.dll
2012-02-15 10:01 . 2012-02-06 19:32	4547944	----a-w-	c:\windows\system32\usbaaplrc.dll
2012-02-15 10:01 . 2012-02-06 19:32	43520	----a-w-	c:\windows\system32\drivers\usbaapl.sys
2012-02-14 10:09 . 2012-02-14 10:09	1070352	----a-w-	c:\windows\system32\MSCOMCTL.OCX
2012-02-09 07:33 . 2007-04-27 15:01	10752	----a-w-	c:\windows\system32\KOBJAJ_L.DLL
2012-02-06 18:34 . 2012-02-06 18:34	73728	----a-w-	c:\windows\system32\javacpl.cpl
2012-02-06 18:34 . 2012-02-06 18:34	423656	----a-w-	c:\windows\system32\deployJava1.dll
2012-02-06 17:05 . 2012-02-06 17:05	42672	----a-w-	c:\windows\system32\drivers\fsbts.sys
2012-02-06 16:50 . 2012-02-06 16:50	315392	----a-w-	c:\windows\HideWin.exe
2012-02-03 09:57 . 2008-04-14 05:23	1860224	----a-w-	c:\windows\system32\win32k.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-06-13 16871936]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-12-12 143360]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-12-12 172032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-12-12 143360]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2011-07-31 189808]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2012-03-27 421736]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
FRITZ!fax.lnk - c:\programme\FRITZ!\FriFax32.exe [2012-2-6 1504568]
ISDNWatch.lnk - c:\programme\FRITZ!\IWatch.exe [2012-2-6 341304]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F-Secure Hoster]
2011-12-14 11:25	160424	----a-w-	c:\programme\F-Secure\fshoster32.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F-Secure Manager]
2011-12-19 03:28	310936	----a-w-	c:\programme\F-Secure\apps\ComputerSecurity\Common\FSM32.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware]
2012-04-04 13:56	462408	----a-w-	c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"MBAMService"=2 (0x2)
"FSMA"=3 (0x3)
"FSORSPClient"=2 (0x2)
"fshoster"=2 (0x2)
"FSDFWD"=3 (0x3)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [06.02.2012 19:05 42672]
R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [06.02.2012 19:04 82872]
R1 F-Secure HIPS;F-Secure HIPS Driver;c:\programme\F-Secure\apps\ComputerSecurity\HIPS\drivers\fshs.sys [26.03.2012 13:44 72920]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [06.02.2012 20:51 61440]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [25.03.4811 02:50 37568]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [25.03.4811 02:50 444416]
R3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\drivers\NETFRITZ.SYS [06.02.2012 20:20 334640]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 14:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [25.04.2012 14:10 136176]
S2 Lexware_Professional_Datenbank;Lexware Professional Datenbank;c:\programme\Sybase\SQL Anywhere 9\win32\dbsrv9.exe -hvLexware_Professional_Datenbank --> c:\programme\Sybase\SQL Anywhere 9\win32\dbsrv9.exe -hvLexware_Professional_Datenbank [?]
S2 StumbleUponUpdater;StumbleUpon Updater;c:\dokumente und einstellungen\Admin\Anwendungsdaten\StumbleUpon\IE\StumbleUponUpdater.exe [22.11.2011 10:59 18432]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [25.04.2012 14:09 253088]
S3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\programme\F-Secure\apps\ComputerSecurity\Anti-Virus\minifilter\fsgk.sys [06.02.2012 19:04 148632]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [25.04.2012 14:10 136176]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [06.02.2012 20:51 17280]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [30.04.2012 10:26 22344]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [06.02.2012 20:51 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [06.02.2012 20:51 19200]
S3 osppsvc;Office Software Protection Platform;c:\programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 22:37 4640000]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 14:16 753504]
S4 fshoster;F-Secure Dll Hoster;c:\programme\F-Secure\fshoster32.exe -hosterid:0 --> c:\programme\F-Secure\fshoster32.exe -hosterid:0 [?]
S4 FSORSPClient;F-Secure ORSP Client;c:\programme\F-Secure\apps\CCF_Reputation\fsorsp.exe [12.12.2011 12:27 61120]
S4 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [30.04.2012 10:26 654408]
.
Inhalt des "geplante Tasks" Ordners
.
2012-04-30 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-25 12:20]
.
2012-04-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57]
.
2012-04-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-04-25 12:10]
.
2012-04-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-04-25 12:10]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
LSP: c:\programme\F-Secure\apps\OnlineSafety\FSCC\fscclsp2.dll
TCP: Interfaces\{38A6E7D6-CAB3-4D0E-B982-9B6DC8B843AF}: NameServer = 192.168.2.1
TCP: Interfaces\{3C685D06-370B-4BC6-A6D9-76102BFFB9A4}: NameServer = 192.168.120.252,192.168.120.253
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{DB616CFF-D989-48A8-9C85-E2A8D56AB2CA} - c:\dokumente und einstellungen\Admin\Anwendungsdaten\StumbleUpon\IE\StumbleUpon.dll
AddRemove-ElsterFormular 13.0.0.8086u - c:\dokumente und einstellungen\All Users\Anwendungsdaten\elsterformular\setup\uninstall.exe
AddRemove-Firefox Browser - c:\dokumente und einstellungen\Admin\Eigene Dateien\Firefox Browser\uninstall.exe
AddRemove-FRITZ! 2.0 - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-04-30 14:27
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fshoster]
"ImagePath"="c:\programme\F-Secure\fshoster32.exe -hosterid:0"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\F-Secure\My Services Agent\Protected]
@Denied: ) (Everyone)
"AgentIdentifier"="87689e64-7883-4d33-b37c-b8b82b71e59f"
"AuthorizationCode"="Li-sOhApkWZ8aZHRjmsJOoRqbzBZfB3XWlH8vSIX0pr6Wp3jlaxV0w"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(924)
c:\programme\F-Secure\apps\OnlineSafety\FSCC\fscclsp2.dll
.
Zeit der Fertigstellung: 2012-04-30  14:29:01
ComboFix-quarantined-files.txt  2012-04-30 12:29
.
Vor Suchlauf: 9 Verzeichnis(se), 135.283.429.376 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 136.389.693.440 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /noexecute=alwaysoff
.
- - End Of File - - 78861874DDCDDF79A156D4BA97D66502
         
--- --- ---

Alt 30.04.2012, 17:26   #14
markusg
/// Malware-holic
 
wieder Dateien verschlüsselt Windows XP - Standard

wieder Dateien verschlüsselt Windows XP



wo ist das log der bereinigung?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 30.04.2012, 17:54   #15
baumschubser
 
wieder Dateien verschlüsselt Windows XP - Standard

wieder Dateien verschlüsselt Windows XP



sorry, da ist es:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.30.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Admin :: STEFFEN [Administrator]

Schutz: Aktiviert

30.04.2012 10:27:53
mbam-log-2012-04-30 (10-27-53).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 250469
Laufzeit: 48 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\dhgposacxb.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Antwort

Themen zu wieder Dateien verschlüsselt Windows XP
anti-malware, brauche, dateien, dateien verschlüsselt, dns, download, dringend, g-data, kein internetzugriff, kunde, meldung, neu, nicht mehr, problem, reboot, rechner, sp3, testversion, verschwunden, version, warnmeldung, win, win xp, win xp pro, windows, windows xp, zufällig, zugriff




Ähnliche Themen: wieder Dateien verschlüsselt Windows XP


  1. Chimera Malware Opfer - alle Dateien verschlüsselt - wie kann das wieder entschlüsselt werden?
    Log-Analyse und Auswertung - 03.11.2015 (6)
  2. Chimera Malware Opfer - alle Dateien verschlüsselt - wie kann das wieder entschlüsselt werden?
    Log-Analyse und Auswertung - 30.10.2015 (4)
  3. PDF und Doc Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 15.10.2015 (7)
  4. Windows Vista Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 25.09.2015 (7)
  5. XTBL - Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 29.07.2015 (4)
  6. Win 7: Dateien verschlüsselt
    Log-Analyse und Auswertung - 15.02.2015 (9)
  7. PC gehackt und Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 20.01.2015 (8)
  8. Windows XP: Email Zip Attachment und danach Dateien verschlüsselt
    Log-Analyse und Auswertung - 05.10.2014 (9)
  9. BKA 14.1 Dateien Verschlüsselt
    Log-Analyse und Auswertung - 16.10.2012 (1)
  10. Windows Verschlüsselungs Trojaner entfernt aber die Dateien sind verschlüsselt!
    Plagegeister aller Art und deren Bekämpfung - 09.08.2012 (25)
  11. Bild-Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 19.07.2012 (5)
  12. BAK Trojaner - System wieder zurückgestellt jedoch Dateien immer noch verschlüsselt
    Diskussionsforum - 12.07.2012 (1)
  13. Dateien bleiben Verschlüsselt "Windows Update Verschlüsselungstrojaner"
    Plagegeister aller Art und deren Bekämpfung - 14.06.2012 (1)
  14. Windows Update Virus, Nach Beseitigung bleiben eigene Dateien und Fotos verschlüsselt!
    Log-Analyse und Auswertung - 24.05.2012 (1)
  15. Eigene Dateien Verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 23.05.2012 (8)
  16. alle doc-Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 22.05.2012 (7)
  17. Trojaner Dateien verschlüsselt
    Log-Analyse und Auswertung - 15.05.2012 (12)

Zum Thema wieder Dateien verschlüsselt Windows XP - Hi, zuallererst einmal bin ich neu und brauche dringend Hilfe. Nehmt also bitte Rücksicht falls ich unwissend eine Regel verletzen sollte. Zum Problem: Ich hab hier einen Kundenrechner stehen (Win - wieder Dateien verschlüsselt Windows XP...
Archiv
Du betrachtest: wieder Dateien verschlüsselt Windows XP auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.