|
Log-Analyse und Auswertung: wieder Dateien verschlüsselt Windows XPWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
25.04.2012, 18:58 | #1 |
| wieder Dateien verschlüsselt Windows XP Hi, zuallererst einmal bin ich neu und brauche dringend Hilfe. Nehmt also bitte Rücksicht falls ich unwissend eine Regel verletzen sollte. Zum Problem: Ich hab hier einen Kundenrechner stehen (Win XP Pro SP3 32Bit), der Kunde kann nicht mehr auf Dateien zugreifen. F-Secure ist installiert, hat aber bei einem eventuellen Download (Email-Anhang?) keine Warnmeldung gegeben. Der Kunde hat laut seiner Aussage auch nichts verdächtiges geöffnet^^ Los gings heute Morgen damit daß trotz korrekter TCP/IP-Einstellungen kein Internetzugriff mehr möglich war. Nach Festlegung von IP, DNS usw. war Zugriff wieder da. Seit heute Mittag sind viele Dateien "verschlüsselt", soll heißen daß z.B. Word-Dateien alle das Präfix "locked-" vor dem eigentlichen Dateinamen haben und nach der normalen Dateiendung noch eine zusätzliche, anscheinend zufällig generierte Endung aus vier Buchstaben. Umbenennen ist möglich, bringt aber kein Ergebnis. Zusätzlich sind aus Fritzfax alle Faxe verschwunden, T-Online 6 Email läßt sich mit Verweis auf eine beschädigte Datenbank auch nicht mehr starten. Bisher durchgeführte Schritte: Scan der Platte an zweitem, sauberen Rechner mit aktuellem Anti-Malware und aktuellem G-Data --> kein Ergebnis Scan der Platte im Kundenrechner mit heruntergeladener Testversion von Anti-Malware --> kein Ergebnis Erwähnenswert ist vllt. noch, daß sich die Spracheinstellungen und auch das Aussehen der F-Secure Maske verändert haben. Rechner läßt sich im normalen Modus starten, im abgesicherten jedoch nicht (Reboot). Der Kunde braucht morgen Früh dringend einen Anhang aus einer Email. Gibt es eine Chance, da dran zu kommen? Ich bin für jede Hilfe dankbar. Sebastian |
25.04.2012, 19:12 | #2 |
/// Malware-holic | wieder Dateien verschlüsselt Windows XP warscheinlich nicht, guck mal ob du die dateien des kunden öffnen kannst, bilder, dokumente etc.
__________________
__________________ |
25.04.2012, 19:18 | #3 |
| wieder Dateien verschlüsselt Windows XP Hi, danke für die schnelle Antwort.
__________________mp3s z.B. lassen sich im Media Player auch ohne Umbenennen öffnen. Bilder werden mir ebenfalls angezeigt. Wenn ich aber versuche ein Word-Dokument zu öffnen, werde ich nach der gewünschten Zeichencodierung gefragt. Egal welche ich auswähle, ich bekomme nur 3 oder 4 kryptische Zeichen zu sehen. Dabei ist es egal, ob ich die Datei umbenenne oder nicht und auch ob ich sie auf einem anderen Rechner öffne. Speichert T-Online die empfangenen Mails als .bin? Da hab ich einen Ordner vorliegen. Wenn ja, gibt es irgendeine Möglichkeit die in ein anderes Programm einzulesen? Danke |
25.04.2012, 19:25 | #4 |
/// Malware-holic | wieder Dateien verschlüsselt Windows XP kann ich dir leider nicht sagen. währe aber kein mir bekanntes mail format. wegen der entschlüsselungsmöglichkeiten, wenn es denn welche gibt, habe ich mich erkundigt, antwort steht noch aus.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
25.04.2012, 19:27 | #5 |
| wieder Dateien verschlüsselt Windows XP das hab ich in den anderen themen schon gesehen, anscheinend ein nettes kleines biest^^ mir kommt nur komisch vor, daß ich und laut seiner aussage auch der kunde keinerlei anzeige von wegen "sie haben sich infiziert" bekommen haben. oder sind da schon wieder mehrere derivate unterwegs... |
26.04.2012, 11:39 | #6 |
/// Malware-holic | wieder Dateien verschlüsselt Windows XP ich kenne bisher nur 3 variannten, wobei die dritte erst heute aufgetreten ist, eig müsste es ne fake meldung geben wenn du solche mails in die hand bekommst, wäre es nett, diese zu speichern und an http://markusg.trojaner-board.de zu senden, nicht nur weiterleiten, sondern richtig speichern und anhängen, damit man den kompletten mail header sehen kann. kann evtl. bei anzeigen helfen. updates zum entschlüsseln gibts noch nicht, wird aber gearbeitet.
__________________ --> wieder Dateien verschlüsselt Windows XP |
26.04.2012, 12:52 | #7 |
| wieder Dateien verschlüsselt Windows XP ich kann dir leider weder die ursprüngliche mail noch den virennamen liefern, den hat der kunde schon "vorschnell" entfernt... was ich hab ist die t-online binary mit der infizierten signatur, zumindest laut meinem g-data. die kann ich dir gern schicken wenn du da was mit tun kannst. so wie es scheint hab ich gerade die "originale" virale zip gefunden, kannst du da was mit tun? |
26.04.2012, 16:37 | #8 |
/// Malware-holic | wieder Dateien verschlüsselt Windows XP
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
26.04.2012, 17:46 | #9 |
| wieder Dateien verschlüsselt Windows XP soeben passiert |
27.04.2012, 12:29 | #10 |
/// Malware-holic | wieder Dateien verschlüsselt Windows XP
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
27.04.2012, 15:31 | #11 |
| wieder Dateien verschlüsselt Windows XP funktioniert bestens, super arbeit. vielen dank für deine / eure unterstützung |
27.04.2012, 18:20 | #12 | |
/// Malware-holic | wieder Dateien verschlüsselt Windows XP ok, wir müssen uns den pc noch ansehen: Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
30.04.2012, 13:08 | #13 |
| wieder Dateien verschlüsselt Windows XP sorry am WE hab ich pause gemacht ich hab gerade die infizierte sicherung wiederhergestellt und mit Anti-Malware bereinigt, in der version von letzter woche hatte ich schon zu viel rumgespielt... combofix wird nun angeworfen, ich poste das log sobald er durch ist suchlauf ist durch, hier das logfile: Combofix Logfile: Code:
ATTFilter ComboFix 12-04-31.02 - Admin 30.04.2012 14:25:10.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3575.3022 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\ComboFix.exe AV: Computer Security *Enabled/Updated* {E7512ED5-4245-4B4D-AF3A-382D3F313F15} FW: Computer Security *Enabled* {D4747503-0346-49EB-9262-997542F79BF4} . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\dokumente und einstellungen\Admin\Eigene Dateien\~WRL3617.tmp c:\dokumente und einstellungen\Admin\Favoriten\locked-MSN.url.reyf c:\dokumente und einstellungen\Admin\Favoriten\locked-Radiostationsübersicht.url.rmbp c:\windows\IsUn0407.exe c:\windows\system32\winsh320 c:\windows\system32\winsh321 c:\windows\system32\winsh322 c:\windows\system32\winsh323 c:\windows\system32\winsh324 c:\windows\system32\winsh325 . . ((((((((((((((((((((((( Dateien erstellt von 2012-03-28 bis 2012-04-30 )))))))))))))))))))))))))))))) . . . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-04-25 12:20 . 2012-02-15 08:11 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2012-03-01 11:00 . 2008-04-14 05:52 916992 ----a-w- c:\windows\system32\wininet.dll 2012-03-01 11:00 . 2008-04-14 05:53 1469440 ------w- c:\windows\system32\inetcpl.cpl 2012-03-01 11:00 . 2008-04-14 05:52 43520 ------w- c:\windows\system32\licmgr10.dll 2012-02-29 14:09 . 2008-04-14 05:52 177664 ----a-w- c:\windows\system32\wintrust.dll 2012-02-29 14:09 . 2008-04-14 05:52 148480 ----a-w- c:\windows\system32\imagehlp.dll 2012-02-29 12:17 . 2008-04-14 05:25 385024 ------w- c:\windows\system32\html.iec 2012-02-29 09:36 . 2012-02-29 09:36 4771184 ----a-w- c:\windows\system32\LxXtreme100.dll 2012-02-29 09:36 . 2012-02-29 09:36 104304 ----a-w- c:\windows\system32\LxUISettingsN100.dll 2012-02-29 09:36 . 2012-02-29 09:36 25968 ----a-w- c:\windows\system32\LxTPSW100.dll 2012-02-29 09:36 . 2012-02-29 09:36 1334640 ----a-w- c:\windows\system32\LxTool100.dll 2012-02-29 09:36 . 2012-02-29 09:36 63344 ----a-w- c:\windows\system32\LxPXTree100.dll 2012-02-29 09:36 . 2012-02-29 09:36 111472 ----a-w- c:\windows\system32\LxODBC100.dll 2012-02-29 09:36 . 2012-02-29 09:36 127344 ----a-w- c:\windows\system32\LxMail100.dll 2012-02-29 09:36 . 2012-02-29 09:36 200048 ----a-w- c:\windows\system32\LxDBAL100.dll 2012-02-29 09:36 . 2012-02-29 09:36 76656 ----a-w- c:\windows\system32\LxDAO100.dll 2012-02-29 09:36 . 2012-02-29 09:36 49520 ----a-w- c:\windows\system32\LXCurr100.dll 2012-02-29 09:36 . 2012-02-29 09:36 67952 ----a-w- c:\windows\system32\LxCI12.dll 2012-02-29 09:35 . 2012-02-29 09:35 193904 ----a-w- c:\windows\system32\LxBasics100.dll 2012-02-27 09:41 . 2012-02-27 09:41 202240 ----a-w- c:\windows\system32\LXPrnUtil10.dll 2012-02-27 09:41 . 2012-02-27 09:41 133632 ----a-w- c:\windows\system32\LXReportManage.ocx 2012-02-27 09:40 . 2012-02-27 09:40 304128 ----a-w- c:\windows\system32\LxDNT100.dll 2012-02-27 09:38 . 2012-02-27 09:38 133120 ----a-w- c:\windows\system32\LxDNTvmc100.dll 2012-02-27 09:38 . 2012-02-27 09:38 69120 ----a-w- c:\windows\system32\LxDNTvm100.dll 2012-02-15 10:01 . 2012-02-06 19:32 4547944 ----a-w- c:\windows\system32\usbaaplrc.dll 2012-02-15 10:01 . 2012-02-06 19:32 43520 ----a-w- c:\windows\system32\drivers\usbaapl.sys 2012-02-14 10:09 . 2012-02-14 10:09 1070352 ----a-w- c:\windows\system32\MSCOMCTL.OCX 2012-02-09 07:33 . 2007-04-27 15:01 10752 ----a-w- c:\windows\system32\KOBJAJ_L.DLL 2012-02-06 18:34 . 2012-02-06 18:34 73728 ----a-w- c:\windows\system32\javacpl.cpl 2012-02-06 18:34 . 2012-02-06 18:34 423656 ----a-w- c:\windows\system32\deployJava1.dll 2012-02-06 17:05 . 2012-02-06 17:05 42672 ----a-w- c:\windows\system32\drivers\fsbts.sys 2012-02-06 16:50 . 2012-02-06 16:50 315392 ----a-w- c:\windows\HideWin.exe 2012-02-03 09:57 . 2008-04-14 05:23 1860224 ----a-w- c:\windows\system32\win32k.sys . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2008-06-13 16871936] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-12-12 143360] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-12-12 172032] "Persistence"="c:\windows\system32\igfxpers.exe" [2008-12-12 143360] "LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2011-07-31 189808] "APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2012-03-27 421736] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ FRITZ!fax.lnk - c:\programme\FRITZ!\FriFax32.exe [2012-2-6 1504568] ISDNWatch.lnk - c:\programme\FRITZ!\IWatch.exe [2012-2-6 341304] . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F-Secure Hoster] 2011-12-14 11:25 160424 ----a-w- c:\programme\F-Secure\fshoster32.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F-Secure Manager] 2011-12-19 03:28 310936 ----a-w- c:\programme\F-Secure\apps\ComputerSecurity\Common\FSM32.EXE . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware] 2012-04-04 13:56 462408 ----a-w- c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "MBAMService"=2 (0x2) "FSMA"=3 (0x3) "FSORSPClient"=2 (0x2) "fshoster"=2 (0x2) "FSDFWD"=3 (0x3) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) . R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [06.02.2012 19:05 42672] R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [06.02.2012 19:04 82872] R1 F-Secure HIPS;F-Secure HIPS Driver;c:\programme\F-Secure\apps\ComputerSecurity\HIPS\drivers\fshs.sys [26.03.2012 13:44 72920] R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [06.02.2012 20:51 61440] R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [25.03.4811 02:50 37568] R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [25.03.4811 02:50 444416] R3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\drivers\NETFRITZ.SYS [06.02.2012 20:20 334640] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 14:16 130384] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [25.04.2012 14:10 136176] S2 Lexware_Professional_Datenbank;Lexware Professional Datenbank;c:\programme\Sybase\SQL Anywhere 9\win32\dbsrv9.exe -hvLexware_Professional_Datenbank --> c:\programme\Sybase\SQL Anywhere 9\win32\dbsrv9.exe -hvLexware_Professional_Datenbank [?] S2 StumbleUponUpdater;StumbleUpon Updater;c:\dokumente und einstellungen\Admin\Anwendungsdaten\StumbleUpon\IE\StumbleUponUpdater.exe [22.11.2011 10:59 18432] S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [25.04.2012 14:09 253088] S3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\programme\F-Secure\apps\ComputerSecurity\Anti-Virus\minifilter\fsgk.sys [06.02.2012 19:04 148632] S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [25.04.2012 14:10 136176] S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [06.02.2012 20:51 17280] S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [30.04.2012 10:26 22344] S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [06.02.2012 20:51 17152] S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [06.02.2012 20:51 19200] S3 osppsvc;Office Software Protection Platform;c:\programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 22:37 4640000] S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 14:16 753504] S4 fshoster;F-Secure Dll Hoster;c:\programme\F-Secure\fshoster32.exe -hosterid:0 --> c:\programme\F-Secure\fshoster32.exe -hosterid:0 [?] S4 FSORSPClient;F-Secure ORSP Client;c:\programme\F-Secure\apps\CCF_Reputation\fsorsp.exe [12.12.2011 12:27 61120] S4 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [30.04.2012 10:26 654408] . Inhalt des "geplante Tasks" Ordners . 2012-04-30 c:\windows\Tasks\Adobe Flash Player Updater.job - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-25 12:20] . 2012-04-20 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57] . 2012-04-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2012-04-25 12:10] . 2012-04-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2012-04-25 12:10] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uInternet Settings,ProxyOverride = *.local IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105 IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000 LSP: c:\programme\F-Secure\apps\OnlineSafety\FSCC\fscclsp2.dll TCP: Interfaces\{38A6E7D6-CAB3-4D0E-B982-9B6DC8B843AF}: NameServer = 192.168.2.1 TCP: Interfaces\{3C685D06-370B-4BC6-A6D9-76102BFFB9A4}: NameServer = 192.168.120.252,192.168.120.253 . - - - - Entfernte verwaiste Registrierungseinträge - - - - . BHO-{DB616CFF-D989-48A8-9C85-E2A8D56AB2CA} - c:\dokumente und einstellungen\Admin\Anwendungsdaten\StumbleUpon\IE\StumbleUpon.dll AddRemove-ElsterFormular 13.0.0.8086u - c:\dokumente und einstellungen\All Users\Anwendungsdaten\elsterformular\setup\uninstall.exe AddRemove-Firefox Browser - c:\dokumente und einstellungen\Admin\Eigene Dateien\Firefox Browser\uninstall.exe AddRemove-FRITZ! 2.0 - c:\windows\IsUn0407.exe . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2012-04-30 14:27 Windows 5.1.2600 Service Pack 3 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fshoster] "ImagePath"="c:\programme\F-Secure\fshoster32.exe -hosterid:0" . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\software\F-Secure\My Services Agent\Protected] @Denied: ) (Everyone) "AgentIdentifier"="87689e64-7883-4d33-b37c-b8b82b71e59f" "AuthorizationCode"="Li-sOhApkWZ8aZHRjmsJOoRqbzBZfB3XWlH8vSIX0pr6Wp3jlaxV0w" . [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*] "7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'lsass.exe'(924) c:\programme\F-Secure\apps\OnlineSafety\FSCC\fscclsp2.dll . Zeit der Fertigstellung: 2012-04-30 14:29:01 ComboFix-quarantined-files.txt 2012-04-30 12:29 . Vor Suchlauf: 9 Verzeichnis(se), 135.283.429.376 Bytes frei Nach Suchlauf: 11 Verzeichnis(se), 136.389.693.440 Bytes frei . WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /noexecute=alwaysoff . - - End Of File - - 78861874DDCDDF79A156D4BA97D66502 |
30.04.2012, 17:26 | #14 |
/// Malware-holic | wieder Dateien verschlüsselt Windows XP wo ist das log der bereinigung?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
30.04.2012, 17:54 | #15 |
| wieder Dateien verschlüsselt Windows XP sorry, da ist es: Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.04.30.03 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Admin :: STEFFEN [Administrator] Schutz: Aktiviert 30.04.2012 10:27:53 mbam-log-2012-04-30 (10-27-53).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 250469 Laufzeit: 48 Minute(n), 52 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 2 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\dhgposacxb.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
Themen zu wieder Dateien verschlüsselt Windows XP |
anti-malware, brauche, dateien, dateien verschlüsselt, dns, download, dringend, g-data, kein internetzugriff, kunde, meldung, neu, nicht mehr, problem, reboot, rechner, sp3, testversion, verschwunden, version, warnmeldung, win, win xp, win xp pro, windows, windows xp, zufällig, zugriff |