| |
| |||||||
Log-Analyse und Auswertung: Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor AnmeldungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
01.05.2012, 08:50
| #1 |
| |  Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung Hallo zusammen, mein Schwiegervater hat sich den Verschlüsselungstrojaner eingefangen (der aber anscheinend nichts verschlüsselt hat?) und ich darf das jetzt ausbaden.. Er hat eine Mail "Urheberrechtsverletzung" erhalten und den Anhang "Mahnung.zip" geöffnet  Was ich bisher gemacht habe: Der Rechner lies sich nicht in den abgesicherten Modus bringen und Malwarebytes konnte ich im per LiveWindows nicht ans Laufen bringen (Update ging immer schief). Darum habe ich per LiveCD die Registry die Struktur des infizieten PCs geladen und die Einträge in Run entfernt, den Eintrag in Winlogon\Userinit korrigiert, die Einträge in Policies\System (disabletaskmgr, usw.) entfernt und die infizierte Exe entfernt. --> damit lies sich der PC wieder starten Probleme danach: regedit, msconfig und taskmanager gesperrt, kryptsiches PopUp vor Windows Anmeldung (kann mit OK weggeklickt werden) Scan mit Malwarebytes fand 2 HiJacks von regedit und msconfig --> behoben, regedit und msconfig funktionieren wieder Aktueller Stand Rechner läuft, noch keine verschlüsselten Dateien entdeckt, Taskmanager funktioniert nicht und das kryptische PopUp kommt vor der Anmeldung DDS Code:
ATTFilter .
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702
Run by Stefan at 21:49:47 on 2012-04-30
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.3326.2718 [GMT 2:00]
.
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe -k hpdevmgmt
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Programme\Nero\Update\NASvc.exe
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe
C:\Dokumente und Einstellungen\Stefan\Desktop\Defogger.exe
C:\Programme\Internet Explorer\iexplore.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.de/
BHO: HP Print Enhancer: {0347c33e-8762-4905-bf09-768834316c61} - c:\programme\hp\digital imaging\smart web printing\hpswp_printenhancer.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: DriveLetterAccess: {5ca3d70e-1895-11cf-8e15-001234567890} - c:\windows\system32\dla\DLASHX_W.DLL
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
BHO: HP Smart BHO Class: {ffffffff-cf4e-4f2b-bdc2-0e72e116a856} - c:\programme\hp\digital imaging\smart web printing\hpswp_BHO.dll
TB: {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\micros~2\office10\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {DDE87865-83C5-48c4-8357-2F5B1AA84522} - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - c:\programme\hp\digital imaging\smart web printing\hpswp_BHO.dll
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://windowsupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1320448195703
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
TCP: DhcpNameServer = 192.168.0.1
TCP: Interfaces\{98444632-D784-4907-B51F-706F509EFC27} : DhcpNameServer = 192.168.0.1
Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - c:\programme\gemeinsame dateien\microsoft shared\web folders\PKMCDO.DLL
Notify: AtiExtEvent - Ati2evxx.dll
Notify: LBTWlgn - c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
mASetup: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "c:\programme\gemeinsame dateien\lightscribe\LSRunOnce.exe"
IFEO: taskmgr.exe - P9KDMF.EXE
.
============= SERVICES / DRIVERS ===============
.
R0 NBVol;Nero Backup Volume Filter Driver;c:\windows\system32\drivers\NBVol.sys [2011-12-18 56496]
R0 NBVolUp;Nero Backup Volume Upper Filter Driver;c:\windows\system32\drivers\NBVolUp.sys [2011-12-18 12464]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-11-5 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\avira\antivir desktop\sched.exe [2011-11-5 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\programme\avira\antivir desktop\avguard.exe [2011-11-5 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-11-5 74640]
R2 MBAMService;MBAMService;c:\programme\malwarebytes' anti-malware\mbamservice.exe [2012-4-30 654408]
R2 NAUpdate;@c:\programme\nero\update\nasvc.exe,-200;c:\programme\nero\update\NASvc.exe [2011-7-22 690472]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-4-30 22344]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\magix\common\database\bin\fbserver.exe [2011-11-30 1527900]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
.
=============== Created Last 30 ================
.
2012-04-30 21:20:53 7367912 ----a-w- C:\mbam-rules.exe
2012-04-30 17:42:49 -------- d-----w- c:\dokumente und einstellungen\stefan\anwendungsdaten\Malwarebytes
2012-04-30 17:42:45 -------- d-----w- c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes
2012-04-30 17:42:44 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-04-30 17:42:44 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-04-30 16:01:06 -------- d-----w- c:\windows\system32\NtmsData
2012-04-29 16:57:19 10063000 ----a-w- C:\mbam-setup-1.61.0.1400.exe
2012-04-15 11:14:03 49152 ----a-w- c:\windows\system32\E_DCINST.DLL
2012-04-15 11:14:03 34304 ----a-w- c:\windows\system32\E_FBCHACE.DLL
2012-04-15 11:14:02 79679 ----a-w- c:\windows\system32\E_FLMACE.DLL
2012-04-15 11:14:02 64000 ----a-w- c:\windows\system32\E_FBCBACE.DLL
2012-04-14 11:42:08 46080 ----a-w- c:\windows\system32\escimgd.dll
2012-04-14 11:42:08 29696 ----a-w- c:\windows\system32\escwiad.dll
2012-04-14 11:42:08 22016 ----a-w- c:\windows\system32\esccmd.dll
2012-04-14 11:42:08 -------- d-----w- c:\programme\epson
.
==================== Find3M ====================
.
2012-03-22 19:12:12 4435968 ----a-w- c:\windows\system32\GPhotos.scr
2012-03-01 11:00:09 916992 ----a-w- c:\windows\system32\wininet.dll
2012-03-01 11:00:08 43520 ------w- c:\windows\system32\licmgr10.dll
2012-03-01 11:00:08 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-02-29 14:09:48 177664 ----a-w- c:\windows\system32\wintrust.dll
2012-02-29 14:09:48 148480 ----a-w- c:\windows\system32\imagehlp.dll
2012-02-29 12:17:40 385024 ------w- c:\windows\system32\html.iec
2012-02-03 09:57:08 1860224 ----a-w- c:\windows\system32\win32k.sys
.
============= FINISH: 21:50:20,35 ===============
Vielen Dank für jede Hilfe! |
| Themen zu Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung |
| adobe, antivir, avira, dateien, desktop, disabletaskmgr, einstellungen, excel, exe, explorer, gesperrt, helper, home, infizierte, mahnung.zip, malwarebytes, messenger, pdf, plug-in, popup, programme, registry, svchost, system, taskmanager, taskmanager gesperrt, windows xp, winlogon |
Baum-Darstellung