Verschlüsselungstrojaner? Bilder etc. können nicht mehr geöffnet werden

ocrim · 25.04.2012, 23:55

Liebes Team,

ich habe mir wahrscheinlich auch den Verschlüsselungstrojaner eingefangen. Habe zwei Benutzerkonten, im Adminkonto erscheint nach wenigen Sekunden, die Aufforderung für ein Upgrade zu zahlen (wie hier bereits mehrfach gepostet). Zum Glück kann ich wenigstens auf das andere Benutzerkonto zugreifen. Alle Dokumente (Bilder, docs etc.) sehen, beispielhaft dargestellt, wie folgt aus: Bilder.exe.tfpb (wobei diese letzte vierstellige Buchstabenkombinationen von Datei zu Datei beliebig variiert).

Gmer geht leider nicht, d.h. es bricht ständig ab und muss geschlossen werden (die entsprechenden Hinweise dazu, Virenscaner aus, Häkchen richtig setzen.. habe ich beachtet).

Nachfolgend die dds.txt:

.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 9.0.8112.16421 BrowserJavaVersion: 1.6.0_22
Run by Admin at 0:13:01 on 2012-04-26
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.2046.1203 [GMT 2:00]
.
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k rpcss
C:\Windows\System32\svchost.exe -k secsvcs
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k GPSvcGroup
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files\IObit\IObit Malware Fighter\IMFsrv.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\avmwlanstick\WlanNetService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe -k bthsvcs
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe
C:\Windows\System32\svchost.exe -k WerSvcGroup
C:\Windows\system32\Dwm.exe
C:\Program Files\TuneUp Utilities 2012\TuneUpUtilitiesApp32.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Medion Info Display\MdionLCMLH.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\ehome\ehsched.exe
C:\Windows\ehome\ehRecvr.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.spiegel-online.de/
mStart Page = hxxp://de.yahoo.com
uInternet Settings,ProxyOverride = *.local;<local>
uURLSearchHooks: free-downloads.net Toolbar: {ecdee021-0d17-467f-a1ff-c7a115230949} - c:\program files\free-downloads.net\tbfree.dll
uURLSearchHooks: softonic-de3 Toolbar: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - c:\program files\softonic-de3\tbsoft.dll
uURLSearchHooks: Softonic Deutschland Toolbar: {fdd5e9bd-b7fd-4426-840e-5c7f5ee259dc} - c:\program files\softonic_deutschland\tbSoft.dll
mURLSearchHooks: free-downloads.net Toolbar: {ecdee021-0d17-467f-a1ff-c7a115230949} - c:\program files\free-downloads.net\tbfree.dll
mURLSearchHooks: softonic-de3 Toolbar: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - c:\program files\softonic-de3\tbsoft.dll
mURLSearchHooks: Softonic Deutschland Toolbar: {fdd5e9bd-b7fd-4426-840e-5c7f5ee259dc} - c:\program files\softonic_deutschland\tbSoft.dll
BHO: Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelper.dll
BHO: CescrtHlpr Object: {64182481-4f71-486b-a045-b233bd0da8fc} - c:\program files\facemoods.com\facemoods\1.4.17.7\bh\facemoods.dll
BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\program files\google\google toolbar\GoogleToolbar_32.dll
BHO: softonic-de3 Toolbar: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - c:\program files\softonic-de3\tbsoft.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
BHO: free-downloads.net Toolbar: {ecdee021-0d17-467f-a1ff-c7a115230949} - c:\program files\free-downloads.net\tbfree.dll
BHO: Softonic Deutschland Toolbar: {fdd5e9bd-b7fd-4426-840e-5c7f5ee259dc} - c:\program files\softonic_deutschland\tbSoft.dll
TB: {0124123D-61B4-456f-AF86-78C53A0790C5} - No File
TB: free-downloads.net Toolbar: {ecdee021-0d17-467f-a1ff-c7a115230949} - c:\program files\free-downloads.net\tbfree.dll
TB: softonic-de3 Toolbar: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - c:\program files\softonic-de3\tbsoft.dll
TB: Softonic Deutschland Toolbar: {fdd5e9bd-b7fd-4426-840e-5c7f5ee259dc} - c:\program files\softonic_deutschland\tbSoft.dll
TB: &TerraTec Home Cinema: {ad6e6555-fb2c-47d4-8339-3e2965509877} - c:\progra~1\terratec\terrat~1\THCDES~1.DLL
TB: facemoods Toolbar: {db4e9724-f518-4dfd-9c7c-78b52103cab9} - c:\program files\facemoods.com\facemoods\1.4.17.7\facemoodsTlbr.dll
TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\program files\google\google toolbar\GoogleToolbar_32.dll
TB: {855F3B16-6D32-4FE6-8A56-BBB695989046} - No File
uRun: [swg] "c:\program files\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"
uRun: [MobileDocuments] c:\program files\common files\apple\internet services\ubd.exe
uRun: [Advanced SystemCare 5] "c:\program files\iobit\advanced systemcare 5\ASCTray.exe" /AutoStart
uRun: [Realtecdriver] c:\users\admin\appdata\roaming\realtec\Realtecdriver.exe
uRun: [74C07DBE] c:\users\admin\appdata\roaming\gmiux\032E4E9274C07DBE9DC4.exe
mRun: [RtHDVCpl] RtHDVCpl.exe
mRun: [NvSvc] RUNDLL32.EXE c:\windows\system32\nvsvc.dll,nvsvcStart
mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
mRun: [MedionVFD] "c:\program files\medion info display\MdionLCMLH.exe"
mRun: [AppleSyncNotifier] c:\program files\common files\apple\mobile device support\AppleSyncNotifier.exe
mRun: [Malwarebytes' Anti-Malware (reboot)] "c:\program files\malwarebytes' anti-malware\mbam.exe" /runcleanupscript
mRun: [facemoods] "c:\program files\facemoods.com\facemoods\1.4.17.7\facemoodssrv.exe" /md I
mRun: [APSDaemon] "c:\program files\common files\apple\apple application support\APSDaemon.exe"
mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Google Sidewiki... - c:\program files\google\google toolbar\component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\micros~2\office10\EXCEL.EXE/3000
IE: {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\program files\pokerstars.net\PokerStarsUpdate.exe
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
TCP: Interfaces\{9397F9CD-91C9-4E71-8916-DE70E17DEDAA} : DhcpNameServer = 139.7.30.126 139.7.30.125
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\logitech\desktop messenger\8876480\program\GAPlugProtocol-8876480.dll
Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - c:\program files\common files\microsoft shared\web folders\PKMCDO.DLL
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL
mASetup: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "c:\program files\common files\lightscribe\LSRunOnce.exe"
IFEO: image file execution options - "c:\program files\tuneup utilities 2012\TUAutoReactivator32.exe"
IFEO: asc.exe - "c:\program files\tuneup utilities 2012\TUAutoReactivator32.exe"
IFEO: ldmconf.exe - "c:\program files\tuneup utilities 2012\TUAutoReactivator32.exe"
IFEO: lws.exe - "c:\program files\tuneup utilities 2012\TUAutoReactivator32.exe"
IFEO: mobileconnect.exe - "c:\program files\tuneup utilities 2012\TUAutoReactivator32.exe"
.
Note: multiple IFEO entries found. Please refer to Attach.txt
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\admin\appdata\roaming\mozilla\firefox\profiles\dh63i6la.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2292731&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://spiegel.de
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2292731&q=
FF - component: c:\users\admin\appdata\roaming\mozilla\firefox\profiles\dh63i6la.default\extensions\engine@conduit.com\components\RadioWMPCoreGecko19.dll
FF - component: c:\users\admin\appdata\roaming\mozilla\firefox\profiles\dh63i6la.default\extensions\ffxtlbr@facemoods.com\components\FFHst.dll
FF - plugin: c:\program files\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\google\google updater\2.4.2432.1652\npCIDetect14.dll
FF - plugin: c:\program files\google\picasa3\npPicasa2.dll
FF - plugin: c:\program files\google\picasa3\npPicasa3.dll
FF - plugin: c:\program files\google\update\1.3.21.111\npGoogleUpdate3.dll
FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll
FF - plugin: c:\program files\viewpoint\viewpoint experience technology\npViewpoint.dll
.
============= SERVICES / DRIVERS ===============
.
R0 SmartDefragDriver;SmartDefragDriver;c:\windows\system32\drivers\SmartDefragDriver.sys [2011-8-13 16184]
R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2007-2-7 17920]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2012-4-7 36000]
R2 ACEDRV08;ACEDRV08;c:\windows\system32\drivers\ACEDRV08.sys [2007-5-14 108768]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\ACEDRV11.sys [2010-2-24 185472]
R2 AntiVirSchedulerService;Avira Planer;c:\program files\avira\antivir desktop\sched.exe [2012-4-7 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\program files\avira\antivir desktop\avguard.exe [2012-4-7 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2012-4-7 74640]
R2 FontCache;Windows-Dienst für Schriftartencache;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [2008-6-6 21504]
R2 IMFservice;IMF Service;c:\program files\iobit\iobit malware fighter\IMFsrv.exe [2011-8-13 821080]
R2 MBAMService;MBAMService;c:\program files\malwarebytes' anti-malware\mbamservice.exe [2011-8-14 366152]
R2 StarWindServiceAE;StarWind AE Service;c:\program files\alcohol soft\alcohol 120\starwind\StarWindServiceAE.exe [2007-5-28 275968]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\tuneup utilities 2012\TuneUpUtilitiesService32.exe [2012-4-5 1529152]
R2 vpnagent;Cisco AnyConnect VPN Agent;c:\program files\cisco\cisco anyconnect vpn client\vpnagent.exe [2010-8-16 592120]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2007-8-9 265088]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-8-14 22216]
R3 MODRC;Cinergy HT USB XE IR Service;c:\windows\system32\drivers\modrc.sys [2008-1-3 13056]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\tuneup utilities 2012\TuneUpUtilitiesDriver32.sys [2012-2-9 10064]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 gupdate;Google Update Service (gupdate);c:\program files\google\update\GoogleUpdate.exe [2010-1-4 135664]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2008-1-3 4352]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\google\update\GoogleUpdate.exe [2010-1-4 135664]
S3 Hiptop;Hiptop;c:\windows\system32\drivers\Hiptop.sys [2007-9-25 109600]
S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\drivers\netaapl.sys [2011-5-10 18432]
S3 RegFilter;RegFilter;c:\program files\iobit\iobit malware fighter\drivers\wlh_x86\RegFilter.sys [2011-8-13 30600]
S3 UrlFilter;UrlFilter;c:\program files\iobit\iobit malware fighter\drivers\wlh_x86\UrlFilter.sys [2011-8-13 19280]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
S4 AdvancedSystemCareService5;Advanced SystemCare Service 5;c:\program files\iobit\advanced systemcare 5\ASCService.exe [2012-4-20 913752]
S4 FileMonitor;FileMonitor;c:\program files\iobit\iobit malware fighter\drivers\wlh_x86\FileMonitor.sys [2011-8-13 18768]
S4 VMCService;Vodafone Mobile Connect Service;c:\program files\vodafone\vodafone mobile connect\bin\VMCService.exe [2008-7-4 14336]
.
=============== Created Last 30 ================
.
2012-04-25 13:40:07 56200 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{a01c1dd4-b9c1-4228-b739-ea6e4b8bb4ca}\offreg.dll
2012-04-25 06:30:00 -------- d--h--w- c:\programdata\Common Files
2012-04-25 05:39:35 6734704 ----a-w- c:\programdata\microsoft\windows defender\definition updates\{a01c1dd4-b9c1-4228-b739-ea6e4b8bb4ca}\mpengine.dll
2012-04-25 05:38:29 -------- d-----w- c:\users\admin\appdata\roaming\Gmiux
2012-04-25 05:38:21 -------- d-----w- c:\users\admin\appdata\roaming\Realtec
2012-04-20 11:14:52 21312 ----a-w- c:\windows\system32\authuitu.dll
2012-04-20 11:14:45 28992 ----a-w- c:\windows\system32\uxtuneup.dll
2012-04-20 11:09:24 31552 ----a-w- c:\windows\system32\TURegOpt.exe
2012-04-20 11:08:27 -------- d-----w- c:\program files\TuneUp Utilities 2012
2012-04-20 11:05:43 -------- d-sh--w- c:\programdata\{32364CEA-7855-4A3C-B674-53D8E9B97936}
2012-04-17 15:11:57 5120 ----a-w- c:\windows\system32\wmi.dll
2012-04-17 15:11:56 172032 ----a-w- c:\windows\system32\wintrust.dll
2012-04-17 15:11:56 157696 ----a-w- c:\windows\system32\imagehlp.dll
2012-04-17 15:11:56 12800 ----a-w- c:\windows\system32\drivers\fs_rec.sys
2012-04-17 15:11:44 3602816 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-04-17 15:11:44 3550080 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-04-17 14:56:15 592824 ----a-w- c:\program files\mozilla firefox\gkmedias.dll
2012-04-17 14:56:15 44472 ----a-w- c:\program files\mozilla firefox\mozglue.dll
2012-04-13 14:06:17 2409784 ----a-w- c:\program files\windows mail\OESpamFilter.dat
2012-04-07 17:09:43 -------- d-----w- c:\users\admin\appdata\roaming\Avira
2012-04-07 17:03:56 74640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-04-07 17:03:56 36000 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2012-04-07 17:03:49 -------- d-----w- c:\programdata\Avira
2012-04-07 17:03:49 -------- d-----w- c:\program files\Avira
.
==================== Find3M ====================
.
2012-02-28 01:18:55 1799168 ----a-w- c:\windows\system32\jscript9.dll
2012-02-28 01:11:21 1427456 ----a-w- c:\windows\system32\inetcpl.cpl
2012-02-28 01:11:07 1127424 ----a-w- c:\windows\system32\wininet.dll
2012-02-28 01:03:16 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2012-02-23 08:18:36 237072 ------w- c:\windows\system32\MpSigStub.exe
2012-02-14 15:45:30 219648 ----a-w- c:\windows\system32\d3d10_1core.dll
2012-02-14 15:45:30 160768 ----a-w- c:\windows\system32\d3d10_1.dll
2012-02-13 14:12:08 1172480 ----a-w- c:\windows\system32\d3d10warp.dll
2012-02-13 13:47:57 683008 ----a-w- c:\windows\system32\d2d1.dll
2012-02-13 13:44:40 1068544 ----a-w- c:\windows\system32\DWrite.dll
2012-02-02 15:16:25 2044416 ----a-w- c:\windows\system32\win32k.sys
2006-05-19 21:27:56 1228416 ----a-w- c:\program files\oleco.exe
2007-03-09 07:12:32 27648 --sha-w- c:\windows\system32\AVSredirect.dll
.
============= FINISH: 0:13:23,96 ===============

Und noch die attach.txt:

.
DDS (Ver_2011-08-26.01)
.
Microsoft® Windows Vista™ Home Premium
Boot Device: \Device\HarddiskVolume1
Install Date: 03.04.2007 18:59:12
System Uptime: 25.04.2012 22:09:35 (2 hours ago)
.
Motherboard: MICRO-STAR INTERNATIONAL CO., LTD | | MS-7318
Processor: Intel(R) Core(TM)2 CPU 6600 @ 2.40GHz | Socket 775 | 2400/266mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 387 GiB total, 259,687 GiB free.
D: is FIXED (NTFS) - 29 GiB total, 29,245 GiB free.
E: is CDROM ()
F: is CDROM ()
H: is FIXED (NTFS) - 49 GiB total, 11,596 GiB free.
I: is Removable
J: is Removable
K: is Removable
.
==== Disabled Device Manager Items =============
.
Class GUID: {4d36e972-e325-11ce-bfc1-08002be10318}
Description: Cisco AnyConnect VPN Virtual Miniport Adapter for Windows
Device ID: ROOT\NET\0001
Manufacturer: Cisco Systems
Name: Cisco AnyConnect VPN Virtual Miniport Adapter for Windows
PNP Device ID: ROOT\NET\0001
Service: vpnva
.
==== System Restore Points ===================
.
RP151: 19.02.2012 15:24:43 - Windows Update
RP152: 19.02.2012 18:00:11 - Windows Update
RP153: 21.02.2012 12:31:34 - Geplanter Prüfpunkt
RP154: 21.02.2012 22:00:23 - Windows Update
RP155: 22.02.2012 18:00:26 - Windows Update
RP156: 23.02.2012 14:20:17 - Geplanter Prüfpunkt
RP157: 24.02.2012 10:55:55 - Windows Update
RP158: 25.02.2012 14:23:26 - Geplanter Prüfpunkt
RP159: 03.03.2012 12:53:07 - Windows Update
RP160: 03.03.2012 18:00:10 - Windows Update
RP161: 18.03.2012 12:18:38 - Windows Update
RP162: 20.03.2012 07:03:03 - Windows Update
RP163: 20.03.2012 21:13:56 - Windows Update
RP164: 07.04.2012 19:08:43 - Windows Update
RP165: 13.04.2012 16:05:35 - Windows Update
RP166: 17.04.2012 16:59:39 - Windows Update
RP167: 17.04.2012 17:18:27 - Windows Update
RP168: 20.04.2012 12:54:56 - Windows Update
RP169: 20.04.2012 13:05:54 - TuneUp Utilities 2011 wird entfernt
RP170: 20.04.2012 13:08:02 - TuneUp Utilities 2012 wird installiert
RP172: 20.04.2012 13:58:31 - Entfernt SA304x Device Manager
RP174: 20.04.2012 13:59:21 - Entfernt SA304x Media Converter
RP176: 20.04.2012 13:59:53 - Entfernt WLAN Monitor
RP178: 20.04.2012 14:00:21 - Entfernt WLAN Quick Starter
RP179: 25.04.2012 07:38:05 - Windows Update
.
==== Image File Execution Options =============
.
IFEO: image file execution options - "C:\Program Files\TuneUp Utilities 2012\TUAutoReactivator32.exe"
IFEO: asc.exe - "C:\Program Files\TuneUp Utilities 2012\TUAutoReactivator32.exe"
IFEO: ldmconf.exe - "C:\Program Files\TuneUp Utilities 2012\TUAutoReactivator32.exe"
IFEO: lws.exe - "C:\Program Files\TuneUp Utilities 2012\TUAutoReactivator32.exe"
IFEO: mobileconnect.exe - "C:\Program Files\TuneUp Utilities 2012\TUAutoReactivator32.exe"
IFEO: pictureviewer.exe - "C:\Program Files\TuneUp Utilities 2012\TUAutoReactivator32.exe"
IFEO: quicktimeplayer.exe - "C:\Program Files\TuneUp Utilities 2012\TUAutoReactivator32.exe"
IFEO: r1puninst.exe - "C:\Program Files\TuneUp Utilities 2012\TUAutoReactivator32.exe"
IFEO: realplay.exe - "C:\Program Files\TuneUp Utilities 2012\TUAutoReactivator32.exe"
IFEO: rnxproc.exe - "C:\Program Files\TuneUp Utilities 2012\TUAutoReactivator32.exe"
IFEO: safari.exe - "C:\Program Files\TuneUp Utilities 2012\TUAutoReactivator32.exe"
IFEO: skype.exe - "C:\Program Files\TuneUp Utilities 2012\TUAutoReactivator32.exe"
IFEO: suc12_uninstal.exe - "C:\Program Files\TuneUp Utilities 2012\TUAutoReactivator32.exe"
IFEO: toolbox.exe - "C:\Program Files\TuneUp Utilities 2012\TUAutoReactivator32.exe"
IFEO: turboboost.exe - "C:\Program Files\TuneUp Utilities 2012\TUAutoReactivator32.exe"
IFEO: unins000.exe - "C:\Program Files\TuneUp Utilities 2012\TUAutoReactivator32.exe"
.
==== Installed Programs ======================
.
7-Zip 9.20
A New Beginning SdJ
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 8.3.0 - Deutsch
Advanced SystemCare 5
Apple Application Support
Apple Mobile Device Support
Apple Software Update
ArcSoft PhotoStudio 5.5
Avira Free Antivirus
AVM FRITZ!WLAN
Bonjour
Brother HL-2035
Bus Simulator 2008
CCleaner
Cisco AnyConnect VPN Client
Compatibility Pack für 2007 Office System
concept/design onlineTV 3
CutePDF Writer 2.7
DirectX for Managed Code Update (Summer 2004)
DivX Codec
DivX Converter
DivX Player
DivX Web Player
ElsterFormular 2007/2008
ElsterFormular für Privatanwender
ESET Online Scanner v3
Facemoods Toolbar
FLV Player
Fraunhofer MP3 Codec Pro 1.263
free-downloads.net Toolbar
Freeware PDF Unlocker
Game Booster
GEAR 32bit Driver Installer
GIMP 2.6.6
Google Earth
Google Toolbar for Internet Explorer
Google Update Helper
Google Updater
Hex-Editor MX
High-Definition Video Playback 10
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
iCloud
IObit Malware Fighter
iTunes
Java Auto Updater
Java(TM) 6 Update 22
Java(TM) 6 Update 4
Java(TM) 6 Update 5
JDownloader 0.9
Jump Player
LightScribe System Software
Logitech Desktop Messenger
Logitech Vid
Logitech Webcam Software
Logitech Webcam Software-Treiberpaket
Lohnsteuer 2009
Malwarebytes' Anti-Malware Version 1.51.2.1300
Medion Info Display (MCE)
Microsoft .NET Compact Framework 2.0 SP1
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Client Profile DEU Language Pack
Microsoft Office PowerPoint Viewer 2007 (German)
Microsoft Office XP Professional mit FrontPage
Microsoft Plus! Dancer LE
Microsoft Primary Interoperability Assemblies 2005
Microsoft Train Simulator
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
Microsoft WSE 3.0 Runtime
MillionenQuiz (mit VB6 RunTime)
MobileMe Control Panel
Monkey Island™ Special Edition Collection
Mozilla Firefox 11.0 (x86 de)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB941833)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
Nature Theme 2 Nature
Nero 10 Menu TemplatePack Basic
Nero 10 Movie ThemePack Basic
Nero BackItUp 10 Help (CHM)
Nero BurningROM 10 Help (CHM)
Nero BurnRights 10 Help (CHM)
Nero Control Center 10
Nero ControlCenter 10 Help (CHM)
Nero Core Components 10
Nero CoverDesigner 10 Help (CHM)
Nero DiscCopyGadget 10 Help (CHM)
Nero DiscSpeed 10 Help (CHM)
Nero Dolby Files 10
Nero Express 10 Help (CHM)
Nero InfoTool 10 Help (CHM)
Nero MediaHub 10 Help (CHM)
Nero Multimedia Suite 10
Nero Recode 10 Help (CHM)
Nero RescueAgent 10 Help (CHM)
Nero SoundTrax 10 Help (CHM)
Nero StartSmart 10 Help (CHM)
Nero Vision 10 Help (CHM)
Nero WaveEditor 10 Help (CHM)
neroxml
NVIDIA Drivers
NVIDIA PhysX
OpenAL
pdfFactory Pro
pdfsam
Picasa 3
Platform
PokerStars.net
PowerDVD
ProtectDisc Driver, Version 11
QuickTime
RealPlayer
Realtek High Definition Audio Driver
RTC Client API v1.2
Runaway 2 Patch 1.1
SA304x Media Converter
Safari
ScummVM 0.8.2
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2657424)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368)
Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2518870)
Shockwave
Skype web features
Skype™ 4.1
Smart Defrag 2
softonic-de3 Toolbar
Softonic_Deutschland Toolbar
Souptoys
TerraTec Home Cinema
Text-To-Speech-Runtime
TuneUp Utilities 2012
TuneUp Utilities Language Pack (de-DE)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217)
VIA Plattform-Geräte-Manager
VideoLAN VLC media player 0.8.6i
Viewpoint Media Player
VobSub 2.32 All
Vodafone Mobile Connect Lite
Westwood Shared Internet Components
Winamp (remove only)
WinRAR Archivierer
.
==== End Of File ===========================

Besten Dank für die Unterstützung!!!

markusg · 26.04.2012, 12:03

hi
kommst du noch an die mail rann?
wenn ja, nutzt du ein mail programm, welches?
oder einen web mailer, dann sage mir welchen

ocrim · 26.04.2012, 12:14

Hallo,

sry an die E-Mail komm ich wohl nicht mehr ran.

Danke schonmal für euren Einsatz, verfolge die Einträge und Diskussionen mit großem Interesse

markusg · 26.04.2012, 20:03

wieso nicht, wo ist die mail gespeichert, bzw was hast du mit ihr gemacht?

ocrim · 26.04.2012, 20:48

Guten Abend,

die e-mail war auf web.de account und wurde leider per Internetzugang über einen anderen Rechner gelöscht (auch der Papierkorb). Nützt der Absender was???

markusg · 27.04.2012, 15:15

ne,
wir entschlüsseln erst mal deine files:
http://www.trojaner-board.de/114224-...-unlocker.html
bitte mach ein backup der verschlüsselten dateien.

ocrim · 28.04.2012, 07:49

Guten Morgen,

nachdem ich einen Scan mit Malwarebytes gemacht habe und die infizierten Objekte gelöscht habe, kann ich nun auch wieder auf das passwortgeschützte Benutzerkonto zugreifen. Nachfolgend das Log:

alwarebytes Anti-Malware (Test) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.04.28.01

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Admin :: JB007 [Administrator]

Schutz: Deaktiviert

28.04.2012 08:24:58
mbam-log-2012-04-28 (08-24-58).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 210957
Laufzeit: 4 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Realtecdriver (Malware.Gen) -> Daten: C:\Users\Admin\AppData\Roaming\Realtec\Realtecdriver.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|74C07DBE (Malware.Gen) -> Daten: C:\Users\Admin\AppData\Roaming\Gmiux\032E4E9274C07DBE9DC4.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 7
C:\Users\Admin\AppData\Roaming\Realtec\Realtecdriver.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Admin\AppData\Roaming\Gmiux\032E4E9274C07DBE9DC4.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Admin\AppData\Local\temp\dhkrxusygj.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Admin\AppData\Local\temp\foptikdrms.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Admin\AppData\Local\temp\gswhxaiyej.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Admin\AppData\Local\temp\llhpaxuzyr.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Admin\AppData\Local\temp\rxzmfajhyn.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Soweit schon mal Danke, hat sich ja auch in Bezug auf die Entschlüsselung der Dateien einiges hier im Forum getan.

Würde dann zunächst den Avira Ransom File Unlocker probieren.

Viele Grüße

markusg · 30.04.2012, 15:35

hi, lief das mit dem unlocker?

26.04.2012, 12:03	#2
markusg /// Malware-holic	Verschlüsselungstrojaner? Bilder etc. können nicht mehr geöffnet werden hi kommst du noch an die mail rann? wenn ja, nutzt du ein mail programm, welches? oder einen web mailer, dann sage mir welchen __________________ __________________

27.04.2012, 15:15	#6
markusg /// Malware-holic	Verschlüsselungstrojaner? Bilder etc. können nicht mehr geöffnet werden ne, wir entschlüsseln erst mal deine files: http://www.trojaner-board.de/114224-...-unlocker.html bitte mach ein backup der verschlüsselten dateien. __________________ --> Verschlüsselungstrojaner? Bilder etc. können nicht mehr geöffnet werden

30.04.2012, 15:35	#8
markusg /// Malware-holic	Verschlüsselungstrojaner? Bilder etc. können nicht mehr geöffnet werden hi, lief das mit dem unlocker? __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

Verschlüsselungstrojaner? Bilder etc. können nicht mehr geöffnet werden

Plagegeister aller Art und deren Bekämpfung: Verschlüsselungstrojaner? Bilder etc. können nicht mehr geöffnet werden