Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 01.05.2012, 08:50   #1
Klemo
 
Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung - Standard

Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung



Hallo zusammen,

mein Schwiegervater hat sich den Verschlüsselungstrojaner eingefangen (der aber anscheinend nichts verschlüsselt hat?) und ich darf das jetzt ausbaden..
Er hat eine Mail "Urheberrechtsverletzung" erhalten und den Anhang "Mahnung.zip" geöffnet

Was ich bisher gemacht habe:
Der Rechner lies sich nicht in den abgesicherten Modus bringen und Malwarebytes konnte ich im per LiveWindows nicht ans Laufen bringen (Update ging immer schief). Darum habe ich per LiveCD die Registry die Struktur des infizieten PCs geladen und die Einträge in Run entfernt, den Eintrag in Winlogon\Userinit korrigiert, die Einträge in Policies\System (disabletaskmgr, usw.) entfernt und die infizierte Exe entfernt.
--> damit lies sich der PC wieder starten

Probleme danach:
regedit, msconfig und taskmanager gesperrt, kryptsiches PopUp vor Windows Anmeldung (kann mit OK weggeklickt werden)

Scan mit Malwarebytes fand 2 HiJacks von regedit und msconfig
--> behoben, regedit und msconfig funktionieren wieder

Aktueller Stand
Rechner läuft, noch keine verschlüsselten Dateien entdeckt, Taskmanager funktioniert nicht und das kryptische PopUp kommt vor der Anmeldung

DDS
Code:
ATTFilter
.
DDS (Ver_2011-08-26.01) - NTFSx86 
Internet Explorer: 8.0.6001.18702
Run by Stefan at 21:49:47 on 2012-04-30
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3326.2718 [GMT 2:00]
.
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe -k hpdevmgmt
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Programme\Nero\Update\NASvc.exe
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe
C:\Dokumente und Einstellungen\Stefan\Desktop\Defogger.exe
C:\Programme\Internet Explorer\iexplore.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.de/
BHO: HP Print Enhancer: {0347c33e-8762-4905-bf09-768834316c61} - c:\programme\hp\digital imaging\smart web printing\hpswp_printenhancer.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: DriveLetterAccess: {5ca3d70e-1895-11cf-8e15-001234567890} - c:\windows\system32\dla\DLASHX_W.DLL
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
BHO: HP Smart BHO Class: {ffffffff-cf4e-4f2b-bdc2-0e72e116a856} - c:\programme\hp\digital imaging\smart web printing\hpswp_BHO.dll
TB: {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\micros~2\office10\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {DDE87865-83C5-48c4-8357-2F5B1AA84522} - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - c:\programme\hp\digital imaging\smart web printing\hpswp_BHO.dll
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://windowsupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1320448195703
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
TCP: DhcpNameServer = 192.168.0.1
TCP: Interfaces\{98444632-D784-4907-B51F-706F509EFC27} : DhcpNameServer = 192.168.0.1
Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - c:\programme\gemeinsame dateien\microsoft shared\web folders\PKMCDO.DLL
Notify: AtiExtEvent - Ati2evxx.dll
Notify: LBTWlgn - c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
mASetup: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "c:\programme\gemeinsame dateien\lightscribe\LSRunOnce.exe"
IFEO: taskmgr.exe - P9KDMF.EXE
.
============= SERVICES / DRIVERS ===============
.
R0 NBVol;Nero Backup Volume Filter Driver;c:\windows\system32\drivers\NBVol.sys [2011-12-18 56496]
R0 NBVolUp;Nero Backup Volume Upper Filter Driver;c:\windows\system32\drivers\NBVolUp.sys [2011-12-18 12464]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-11-5 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\avira\antivir desktop\sched.exe [2011-11-5 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\programme\avira\antivir desktop\avguard.exe [2011-11-5 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-11-5 74640]
R2 MBAMService;MBAMService;c:\programme\malwarebytes' anti-malware\mbamservice.exe [2012-4-30 654408]
R2 NAUpdate;@c:\programme\nero\update\nasvc.exe,-200;c:\programme\nero\update\NASvc.exe [2011-7-22 690472]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-4-30 22344]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\magix\common\database\bin\fbserver.exe [2011-11-30 1527900]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
.
=============== Created Last 30 ================
.
2012-04-30 21:20:53	7367912	----a-w-	C:\mbam-rules.exe
2012-04-30 17:42:49	--------	d-----w-	c:\dokumente und einstellungen\stefan\anwendungsdaten\Malwarebytes
2012-04-30 17:42:45	--------	d-----w-	c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes
2012-04-30 17:42:44	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-04-30 17:42:44	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-04-30 16:01:06	--------	d-----w-	c:\windows\system32\NtmsData
2012-04-29 16:57:19	10063000	----a-w-	C:\mbam-setup-1.61.0.1400.exe
2012-04-15 11:14:03	49152	----a-w-	c:\windows\system32\E_DCINST.DLL
2012-04-15 11:14:03	34304	----a-w-	c:\windows\system32\E_FBCHACE.DLL
2012-04-15 11:14:02	79679	----a-w-	c:\windows\system32\E_FLMACE.DLL
2012-04-15 11:14:02	64000	----a-w-	c:\windows\system32\E_FBCBACE.DLL
2012-04-14 11:42:08	46080	----a-w-	c:\windows\system32\escimgd.dll
2012-04-14 11:42:08	29696	----a-w-	c:\windows\system32\escwiad.dll
2012-04-14 11:42:08	22016	----a-w-	c:\windows\system32\esccmd.dll
2012-04-14 11:42:08	--------	d-----w-	c:\programme\epson
.
==================== Find3M  ====================
.
2012-03-22 19:12:12	4435968	----a-w-	c:\windows\system32\GPhotos.scr
2012-03-01 11:00:09	916992	----a-w-	c:\windows\system32\wininet.dll
2012-03-01 11:00:08	43520	------w-	c:\windows\system32\licmgr10.dll
2012-03-01 11:00:08	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-02-29 14:09:48	177664	----a-w-	c:\windows\system32\wintrust.dll
2012-02-29 14:09:48	148480	----a-w-	c:\windows\system32\imagehlp.dll
2012-02-29 12:17:40	385024	------w-	c:\windows\system32\html.iec
2012-02-03 09:57:08	1860224	----a-w-	c:\windows\system32\win32k.sys
.
============= FINISH: 21:50:20,35 ===============
         
Weitere Logs von DDS, Gmer und OTL sind angehängt.

Vielen Dank für jede Hilfe!

Alt 01.05.2012, 10:26   #2
markusg
/// Malware-holic
 
Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung - Standard

Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung



hi,
was heißt cryptisches popup, was steht drinn?
kommt ihr noch an die mail(s)
wenn du die mail über ein mail programm erhalten hast.
öffne diese, datei speichern unter, dort als datei typ zb
.eml
wählen.
mail an:
http://markusg.trojaner-board.de
senden, und die so eben gespeicherte datei anhängen.
wenn du über ein web mailer gehst, bzw dessen internet seite, sag mir mal welchen bitte.
__________________

__________________

Alt 01.05.2012, 11:25   #3
Klemo
 
Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung - Standard

Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung



Hallo,

die Mail lässt sich über seinen 1und1 Account nicht schicken, da ein Trojaner erkannt wird :-)
Kann ich dir die Datei irgendwo hochladen?

Zum PopUp:
Vor der Windows Anmeldung ist der Bildschirm komplett schwarz, es ist nur ein Fenster mit einem OK Button und einem kryptsichen Text zu sehen. Bei Strg+Alt+Entf ist für einen Bruchteil der Windows-Anmeldebildschirm zu sehen, dann wieder das Fenster.

Den Text zeigt mir das Notepad als "ƈꜨʖǨbranch" an...
Einen Screenshot kann ich nicht machen, da läuft der Dienst noch nicht.

Grüße
Klemo
__________________

Alt 01.05.2012, 18:00   #4
markusg
/// Malware-holic
 
Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung - Standard

Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung



wenn mal wieder solche mails aufschlagen, bitte weiterleiten
vllt hast du durch dein eigenmächtiges handeln das system beschädigt.
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 01.05.2012, 18:28   #5
Klemo
 
Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung - Standard

Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung



Hallo,

ComboFix ist durchgelaufen, nach Neustart ist das PopUp weg und der Taskmanager wieder verfügbar - schonmal vielen Dank dafür.

Hier noch das Logfile
Code:
ATTFilter
ComboFix 12-05-01.02 - Stefan 01.05.2012  19:11:07.1.4 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3326.2688 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Stefan\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\1.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\10.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\1121.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\11823.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\11833.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\11923.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\1707.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\1728.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\2229.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\2260.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\2486.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\2501.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\3387.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\3644.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\371.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\3721.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\41.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\4394.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\4489.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\4612.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\4909.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\5191.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\5255.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\5355.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\5374.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\5952.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\6634.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\6645.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\6669.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\8006.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\8124.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\8250.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\83.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\8310.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\947.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\9514.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\a.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\b.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\c.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\d.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\e.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\f.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\g.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\h.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\i.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\j.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\k.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\l.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\m.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\n.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\o.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\p.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\q.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\r.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\s.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\t.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\u.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\v.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\w.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\wlu.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\x.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\y.txt
c:\dokumente und einstellungen\Stefan\Anwendungsdaten\PriceGong\Data\z.txt
c:\dokumente und einstellungen\Stefan\Recent\Thumbs.db
c:\windows\system32\dllcache\dlimport.exe
c:\windows\system32\SET46.tmp
c:\windows\system32\SET47.tmp
c:\windows\system32\Thumbs.db
c:\windows\system32\winsh320
c:\windows\system32\winsh321
c:\windows\system32\winsh322
c:\windows\system32\winsh323
c:\windows\system32\winsh324
c:\windows\system32\winsh325
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-04-01 bis 2012-05-01  ))))))))))))))))))))))))))))))
.
.
2012-04-30 21:20 . 2012-04-30 18:18 7367912 ----a-w- C:\mbam-rules.exe
2012-04-30 17:42 . 2012-04-30 17:42 -------- d-----w- c:\dokumente und einstellungen\Stefan\Anwendungsdaten\Malwarebytes
2012-04-30 17:42 . 2012-04-30 17:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-04-30 17:42 . 2012-04-30 17:42 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-04-30 17:42 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-04-30 16:01 . 2012-04-30 18:38 -------- d-----w- c:\windows\system32\NtmsData
2012-04-29 16:57 . 2012-04-29 15:35 10063000 ----a-w- C:\mbam-setup-1.61.0.1400.exe
2012-04-15 18:02 . 2012-04-15 18:02 -------- d-----w- c:\dokumente und einstellungen\Stefan\Anwendungsdaten\EPSON
2012-04-15 11:14 . 2004-09-10 20:12 49152 ----a-w- c:\windows\system32\E_DCINST.DLL
2012-04-15 11:14 . 2000-06-07 01:01 34304 ----a-w- c:\windows\system32\E_FBCHACE.DLL
2012-04-15 11:14 . 2004-11-25 05:07 79679 ----a-w- c:\windows\system32\E_FLMACE.DLL
2012-04-15 11:14 . 2003-05-21 02:27 64000 ----a-w- c:\windows\system32\E_FBCBACE.DLL
2012-04-14 11:42 . 2012-04-14 11:42 -------- d-----w- c:\programme\epson
2012-04-14 11:42 . 2005-02-24 22:00 46080 ----a-w- c:\windows\system32\escimgd.dll
2012-04-14 11:42 . 2005-02-24 22:00 29696 ----a-w- c:\windows\system32\escwiad.dll
2012-04-14 11:42 . 2005-02-24 22:00 22016 ----a-w- c:\windows\system32\esccmd.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-22 19:12 . 2012-03-22 19:12 4435968 ----a-w- c:\windows\system32\GPhotos.scr
2012-03-01 11:00 . 2004-08-04 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2012-03-01 11:00 . 2004-08-04 12:00 43520 ------w- c:\windows\system32\licmgr10.dll
2012-03-01 11:00 . 2004-08-04 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-02-29 14:09 . 2004-08-04 12:00 177664 ----a-w- c:\windows\system32\wintrust.dll
2012-02-29 14:09 . 2004-08-04 12:00 148480 ----a-w- c:\windows\system32\imagehlp.dll
2012-02-29 12:17 . 2004-08-04 12:00 385024 ------w- c:\windows\system32\html.iec
2012-02-15 11:19 . 2011-11-05 06:36 137416 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-02-03 09:57 . 2005-10-06 03:08 1860224 ----a-w- c:\windows\system32\win32k.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-10-19 258512]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk
backup=c:\windows\pss\Logitech SetPoint.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-02 09:07 843712 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2012-03-27 12:41 37296 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 17:43 69632 ----a-w- c:\windows\Alcmtr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
2006-09-25 08:12 90112 ----a-w- c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2011-10-19 15:55 258512 ----a-w- c:\programme\Avira\AntiVir Desktop\avgnt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:22 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DLA]
2006-06-13 04:20 127036 ----a-w- c:\windows\system32\DLA\DLACTRLW.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX3800 Series]
2005-02-08 04:00 98304 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATIACE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2011-05-10 01:41 49208 ----a-w- c:\programme\HP\HP Software Update\hpwuschd2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpqSRMon]
2008-08-20 09:54 150016 ----a-w- c:\programme\HP\Digital Imaging\bin\HpqSRmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
2008-02-29 02:12 76304 ----a-w- c:\windows\KHALMNPR.Exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
2008-12-06 22:21 2387968 ----a-w- c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCameraAssistant]
2005-12-07 09:26 489472 ----a-w- c:\programme\Logitech\Video\CameraAssistant.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCameraService(E)]
2004-11-01 16:22 262144 ----a-w- c:\windows\system32\ElkCtrl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideo[inspector]]
2005-12-07 09:33 73728 ----a-w- c:\programme\Logitech\Video\InstallHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
2005-12-09 14:32 225280 ----a-w- c:\windows\system32\LVCOMSX.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware]
2012-04-04 13:56 462408 ----a-w- c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBAgent]
2011-07-15 17:47 1485096 ----a-w- c:\programme\Nero\Nero 11\Nero BackItUp\NBAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-09-06 14:09 413696 ----a-w- c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2008-01-09 14:25 16859648 ----a-w- c:\windows\RTHDCPL.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2011-10-13 08:27 17351304 ----a-r- c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Standby]
2010-05-17 16:03 105632 ----a-w- c:\programme\Gemeinsame Dateien\Corel\Standby\Standby.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-06-09 12:06 254696 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrayServer]
2008-01-30 12:07 90112 ----a-w- c:\programme\MAGIX\Filme_auf_DVD_7\Trayserver.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\IncrediMail\\Bin\\IncMail.exe"=
"c:\\Programme\\IncrediMail\\Bin\\ImApp.exe"=
"c:\\Programme\\IncrediMail\\Bin\\ImpCnt.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Pinnacle\\Studio 11\\programs\\RM.exe"=
"c:\\Programme\\Pinnacle\\Studio 11\\programs\\Studio.exe"=
"c:\\Programme\\Pinnacle\\Studio 11\\programs\\PMSRegisterFile.exe"=
"c:\\Programme\\Pinnacle\\Studio 11\\programs\\umi.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
.
R0 NBVol;Nero Backup Volume Filter Driver;c:\windows\system32\drivers\NBVol.sys [18.12.2011 11:17 56496]
R0 NBVolUp;Nero Backup Volume Upper Filter Driver;c:\windows\system32\drivers\NBVolUp.sys [18.12.2011 11:17 12464]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [05.11.2011 08:36 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [05.11.2011 08:36 86224]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [30.04.2012 19:42 654408]
R2 NAUpdate;@c:\programme\Nero\Update\NASvc.exe,-200;c:\programme\Nero\Update\NASvc.exe [22.07.2011 15:26 690472]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [30.04.2012 19:42 22344]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 14:16 130384]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [30.11.2011 00:12 1527900]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 14:16 753504]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ    Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ    hpqcxs08 hpqddsvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-12-06 22:18 451872 ----a-w- c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-05-01 c:\windows\Tasks\User_Feed_Synchronization-{14C83713-6739-4F51-874C-AEA3467C070F}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
MSConfigStartUp-Magentic - c:\progra~1\Magentic\bin\Magentic.exe
MSConfigStartUp-RDReminder - c:\programme\DrCleanUp\drCleanup.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-05-01 19:15
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(780)
c:\windows\system32\Ati2evxx.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll
.
Zeit der Fertigstellung: 2012-05-01  19:17:01
ComboFix-quarantined-files.txt  2012-05-01 17:16
.
Vor Suchlauf: 9 Verzeichnis(se), 431.059.468.288 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 431.295.340.544 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 3C134D3B9E4DE09EE989B8C3164CAC1D
         
Wie gesagt: die Mail habe ich auch noch, wenn du mir sagst wie ich sie dir irgendwo hochladen kann, mach ich das natürlich.

Vielen Dank
Klemo


Alt 02.05.2012, 12:18   #6
markusg
/// Malware-holic
 
Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung - Standard

Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung



sind noch files verschlüsselt?
mache ein backup deiner wichtigen dateien die verschlüsselt sind
auf ein externes laufwerk
dann entschlüsseln:
http://www.trojaner-board.de/114224-...-unlocker.html
gesammtes verzeichniss entschlüsseln
teile mir mit obs geklappt hatt
__________________
--> Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung

Alt 02.05.2012, 17:27   #7
Klemo
 
Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung - Standard

Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung



Hallo,

wie im ersten Beitrag bereits erwähnt, sind überhaupt keine Dateien verschlüsselt worden, obwohl im Fenster stand: "Sie haben sich mit einem Windows Verschlüsselungs Trojaner infiziert"

Wenn Interesse an der Mail besteht bitte sagen wie ich dir die schicken kann. Mail wird vom Provider abgewiesen.


Grüße
Klemo

Alt 02.05.2012, 17:30   #8
markusg
/// Malware-holic
 
Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung - Standard

Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung



hi
wie das geht, steht ja oben, das kann man dann bei zukünftigen mails machen.
poste mal alle bisher erstellten Malwarebytes logs bitte.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 02.05.2012, 19:24   #9
Klemo
 
Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung - Standard

Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung



Hallo,

habs gerade nochmal laufen lassen, hier alle Malwarebytes Logs...

Gruß
Klemo

Alt 03.05.2012, 16:35   #10
markusg
/// Malware-holic
 
Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung - Standard

Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung



sieht gut aus, noch probleme festzustellen?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 03.05.2012, 17:06   #11
Klemo
 
Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung - Standard

Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung



Keine Probleme mehr aufgetreten...
Sind wir dann fertig?

Vielen, vielen Dank für die Hilfe!!

Alt 03.05.2012, 19:53   #12
markusg
/// Malware-holic
 
Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung - Standard

Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung



hi
lade den CCleaner standard:
CCleaner Download - CCleaner 3.18.1707
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 03.05.2012, 21:05   #13
Klemo
 
Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung - Standard

Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung



Hi,

hier die Liste.

Man muss dazu wissen, dass mein Schwiegervater sehr viele mit Fimbearbeitung/Photobearbeitung arbeitet, darum sind sehr viele Programme wie Magix Filme auf DVD, Pinnacle Studio, Fotobuch und und und dabei, die man ihm nicht nehmen kann. Darum sind auch Brennprogramme mehrfach vorhanden, da manche Programme wieder ihr eigenes Brennprogramm dabei haben...



Code:
ATTFilter
7-Zip 9.20		03.05.2012										--> notwendig
Adobe Flash Player 11 ActiveX	Adobe Systems Incorporated	03.05.2012		11.1.102.55		--> notwendig
Adobe Reader 9.5.1 - Deutsch	Adobe Systems Incorporated	12.04.2012	120,2MB	9.5.1			--> notwendig
ATI - Dienstprogramm zur Deinstallation der Software		03.05.2012		6.14.10.1021		--> notwendig
ATI Catalyst Control Center		05.11.2011	209MB	1.2.2735.37383					--> notwendig
ATI Display Driver		02.05.2012		8.49-080409a-063306C-Dell				--> notwendig
Audials	RapidSolution Software AG	22.11.2011	292MB	8.0.54900.0					--> notwendig
Audials TV	RapidSolution Software AG	22.11.2011	2,07MB	1.3.10803.300				--> notwendig
Avira Free Antivirus	Avira	03.05.2012		12.0.0.898						--> notwendig
BIAS SoundSoap PE 2.1	BIAS Inc	05.11.2011	11,8MB	2.1.1						--> notwendig
CCleaner	Piriform	03.05.2012		3.18							--> notwendig
COMPUTERBILD Tipps und Tricks zu Word	COMPUTERBILD	11.01.2012		1.00.0000			--> notwendig
Corel VideoStudio Pro X3	Corel Corporation	02.05.2012		1.6.2.36			--> notwendig
Dell Resource CD	Ihr Firmenname	04.11.2011	3,04MB	1.00.0000					--> notwendig
DesignPro 5	Avery Dennison	05.11.2011		5.0.1056						--> notwendig
DesignPro 5	Avery Dennison	21.01.2012		5.5.708							--> notwendig
EPSON Scan		03.05.2012										--> notwendig
EPSON-Drucker-Software		03.05.2012									--> notwendig
Firebird SQL Server - MAGIX Edition	MAGIX AG	29.11.2011		2.0.1.13			--> notwendig
Foto Paradies		03.05.2012										--> notwendig
High Definition Audio - KB888111	Microsoft Corporation			20040219.000000			--> notwendig
HP Customer Participation Program 12.0	HP	03.05.2012		12.0					--> unnötig
HP Imaging Device Functions 12.0	HP	03.05.2012		12.0					--> notwendig
HP Photosmart C5300 All-In-One Driver Software 12.0 Rel .4	HP	03.05.2012		12.0		--> notwendig
HP Photosmart Essential 3.5	HP	03.05.2012		3.5						--> notwendig
HP Smart Web Printing	HP	03.05.2012		4.05							--> notwendig
HP Solution Center 12.0	HP	03.05.2012		12.0							--> notwendig
HP Update	Hewlett-Packard	06.11.2011	3,98MB	5.003.001.001						--> unbekannt
IncrediMail 2.0	IncrediMail Ltd.	03.05.2012		6.2.9.5109					--> notwendig (leider!!)
Intel(R) PRO Network Connections 12.1.12.0	Intel	04.11.2011						--> notwendig
J2SE Runtime Environment 5.0 Update 6	Sun Microsystems, Inc.	04.11.2011	152,3MB	1.5.0.60		--> notwendig
Java(TM) 6 Update 29	Oracle	05.11.2011	91,1MB	6.0.290							--> notwendig
LightScribe System Software  1.17.90.1	LightScribe	18.12.2011	53,8MB	1.17.90.1			--> notwendig
Logitech QuickCam-Software	Logitech, Inc.	03.05.2012		9.50.0000				--> notwendig
Logitech SetPoint	Logitech	08.03.2012		4.60						--> notwendig
Logitech® Camera-Treiber		02.05.2012								--> notwendig
MAGIX Filme auf DVD 7 7.0.3.0 (D)	MAGIX AG	04.12.2011		7.0.3.0				--> notwendig
MAGIX Goya burnR 1.3.1.3 (D)	MAGIX AG	04.12.2011		1.3.1.3					--> notwendig
MAGIX Online Druck Service 2.3.2.0 (D)	MAGIX AG	04.12.2011		2.3.2.0				--> notwendig
MAGIX Screenshare 4.3.6.1987 (D)	MAGIX AG	04.12.2011		4.3.6.1987			--> unnötig
Malwarebytes Anti-Malware Version 1.61.0.1400	Malwarebytes Corporation	30.04.2012		1.61.0.1400	--> notwendig/unnötig
Microsoft .NET Framework 1.1		11.04.2012								--> notwendig
Microsoft .NET Framework 1.1 German Language Pack	Microsoft	04.11.2011	3,02MB	1.1.4322	--> notwendig
Microsoft .NET Framework 2.0 Service Pack 2	Microsoft Corporation	11.04.2012	535MB	2.2.30729	--> notwendig
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU	Microsoft Corporation	05.11.2011	6,30MB	2.2.30729	--> notwendig
Microsoft .NET Framework 3.0 Service Pack 2	Microsoft Corporation	06.11.2011	209MB	3.2.30729			--> notwendig
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU	Microsoft Corporation	05.11.2011	37,5MB	3.2.30729	--> notwendig
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU	Microsoft Corporation	02.05.2012					--> notwendig
Microsoft .NET Framework 3.5 SP1	Microsoft Corporation	11.01.2012							--> notwendig
Microsoft .NET Framework 4 Client Profile	Microsoft Corporation	03.05.2012		4.0.30319			--> notwendig
Microsoft Compression Client Pack 1.0 for Windows XP	Microsoft Corporation	12.11.2011		1			--> unbekannt
Microsoft Office XP Professional mit FrontPage	Microsoft Corporation	05.11.2011	171,7MB	10.0.2701.0			--> notwendig
Microsoft User-Mode Driver Framework Feature Pack 1.0	Microsoft Corporation	05.11.2011					--> unbekannt
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	18.12.2011	5,25MB	8.0.59193			--> notwendig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729	Microsoft Corporation	05.11.2011	10,3MB	9.0.30729	--> notwendig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17	Microsoft Corporation	05.11.2011	10,3MB	9.0.30729	--> notwendig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148	Microsoft Corporation	18.12.2011	9,55MB	9.0.30729.4148	--> notwendig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161	Microsoft Corporation	22.11.2011	10,2MB	9.0.30729.6161	--> notwendig
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219	Microsoft Corporation	05.11.2011	11,1MB	10.0.40219	--> notwendig
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket	Microsoft Corporation	03.05.2012				--> unbekannt
Mozilla Thunderbird 11.0.1 (x86 de)	Mozilla	03.05.2012		11.0.1							--> notwendig
MSXML 4.0 SP2 (KB954430)	Microsoft Corporation	06.11.2011	1,42MB	4.20.9870.0					--> unbekannt
MSXML 4.0 SP2 (KB973688)	Microsoft Corporation	06.11.2011	2,77MB	4.20.9876.0					--> unbekannt
Nero 11	Nero AG	18.12.2011	2.219MB	11.0.10100										--> notwendig
Nero Backup Drivers	Nero AG	18.12.2011	79,00KB	1.0.10000.1.0								--> unbekannt
Office-Bibliothek 4.1		03.05.2012											--> unbekannt
Photo Notifier and Animation Creator	IncrediMail Ltd.	05.11.2011		1.0.0.1009				--> unnötig
Picasa 3	Google, Inc.	03.05.2012		3.8									--> notwendig
Pinnacle Instant DVD Recorder		02.05.2012		2.00.088							--> notwendig
QuickTime	Apple Inc.	05.11.2011	87,7MB	7.55.90.70								--> notwendig
Realtek High Definition Audio Driver	Realtek Semiconductor Corp.	04.11.2011		5.10.0.5548			--> notwendig
Shop for HP Supplies	HP	03.05.2012		12									--> unnötig
Sicherheitsupdate für Windows Media Encoder (KB2447961)	Microsoft Corporation	06.11.2011					--> notwendig
Skype™ 5.5	Skype Technologies S.A.	05.11.2011	17,0MB	5.5.124								--> notwendig
SmartSound Common Data	SmartSound Software Inc.	05.11.2011		1.1.0						--> notwendig
SmartSound Quicktracks 5	SmartSound Software Inc.	05.11.2011		5.1.6					--> notwendig
Sonic UDF Reader	Sonic Solutions	05.11.2011	2,68MB	5.2.1								--> unbekannt
Sony Picture Utility	Sony Corporation	05.11.2011		3.2.00.05260						--> notwendig
Studio 11	Pinnacle Systems	05.11.2011		11.0								--> notwendig
Studio 11 Bonus DVD	Pinnacle Systems	05.11.2011		11.0.0.0						--> notwendig
Studio Ultimate	Pinnacle Systems	05.11.2011		11.00.0013							--> notwendig
VLC media player 1.1.11	VideoLAN	03.05.2012		1.1.11								--> notwendig
Windows Feature Pack for Storage (32-bit) - IMAPI update for Blu-Ray	Microsoft Corporation	05.11.2011		1.0	--> unbekannt
Windows Genuine Advantage Validation Tool (KB892130)	Microsoft Corporation	04.11.2011					--> notwendig
Windows Internet Explorer 8	Microsoft Corporation	04.11.2011		20090308.140743					--> notwendig
Windows Management Framework Core	Microsoft Corporation	03.05.2012							--> unbekannt
Windows Media Encoder 9 Series		05.11.2011										--> notwendig
Windows Media Format 11 runtime		03.05.2012										--> notwendig
Windows Media Player 11		03.05.2012											--> notwendig
Windows Search 4.0	Microsoft Corporation	03.05.2012		04.00.6001.503						--> unnötig
Windows XP Service Pack 3	Microsoft Corporation	04.11.2011		20080414.031514
Windows-Treiberpaket - eMPIA Technology (USB28xxBGA) Media  (07/20/2006 4.6.0720.0)	eMPIA Technology	03.05.2012		07/20/2006 4.6.0720.0		--> unbekannt
Windows-Treiberpaket - eMPIA Technology Inc, (emAudio) MEDIA  (08/31/2007 5.7.0831.0)	eMPIA Technology Inc,	03.05.2012		08/31/2007 5.7.0831.0		--> unbekannt
         

Alt 04.05.2012, 12:07   #14
markusg
/// Malware-holic
 
Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung - Standard

Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung



deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
IncrediMail : die leute sammeln nutzerdaten, das ding muss weg und gegen was richtiges eingetauscht werden, thunderbird, windows live mail, alles besser als dieser misst.
Java
Download der kostenlosen Java-Software
downloade java jre, instalieren

deinstaliere:

öffne CCleaner ccleaner starten, pc neustarten, testen wie der pc läuft.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 04.05.2012, 19:22   #15
Klemo
 
Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung - Standard

Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung



Hi,

Flash, Acrobat und Java aktualisiert, CCleaner gestartet --> Rechner läuft soweit stabil
Incredimal rede ich ihm noch aus

Nochmal: Danke für die Hilfe, werde den PC morgen zurück bringen

Grüße
Klemo

Antwort

Themen zu Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung
adobe, antivir, avira, dateien, desktop, disabletaskmgr, einstellungen, excel, exe, explorer, gesperrt, helper, home, infizierte, mahnung.zip, malwarebytes, messenger, pdf, plug-in, popup, programme, registry, svchost, system, taskmanager, taskmanager gesperrt, windows xp, winlogon




Ähnliche Themen: Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung


  1. mein pc gesperrt, nach der anmeldung
    Log-Analyse und Auswertung - 05.02.2015 (1)
  2. Weißer Bildschirm nach Anmeldung, kein abgesicherter Modus, kein Taskmanager
    Log-Analyse und Auswertung - 09.07.2013 (13)
  3. Verschlüsselungs Trojaner mit Microsoft Tool fehlerhaft entfernt
    Plagegeister aller Art und deren Bekämpfung - 20.08.2012 (1)
  4. Windows Verschlüsselungs Trojaner entfernt aber die Dateien sind verschlüsselt!
    Plagegeister aller Art und deren Bekämpfung - 09.08.2012 (25)
  5. Ukash: WinXP gesperrt, Taskmanager gesperrt (Driveby Download mit IE)
    Plagegeister aller Art und deren Bekämpfung - 20.06.2012 (5)
  6. Windows Update Trojaner erfolgreich entfernt, viele Dateien sind gesperrt, was nun ?
    Log-Analyse und Auswertung - 16.06.2012 (3)
  7. war mit Verschlüsselungs-Trojaner infiziert - sicher entfernt?
    Plagegeister aller Art und deren Bekämpfung - 11.06.2012 (3)
  8. Alle Daten durch Windows-Verschlüsselungs Trojaner gesperrt/verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (5)
  9. Verschlüsselungs-Trojaner entfernt - Dateien noch verschlüsselt
    Log-Analyse und Auswertung - 01.06.2012 (1)
  10. Windows-Verschlüsselungs-Trojaner- XP gesperrt
    Plagegeister aller Art und deren Bekämpfung - 11.05.2012 (5)
  11. Verschlüsselungs-Trojaner auf XP SP3 entfernt, aber USB/Geraete werden nicht erkannt
    Plagegeister aller Art und deren Bekämpfung - 07.05.2012 (1)
  12. Windows-Verschlüsselungs-Trojaner entfernt - Daten sind verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 03.05.2012 (7)
  13. GVU Trojaner entfernt, Desktop, TaskManager und RegEdit noch deaktiviert.
    Plagegeister aller Art und deren Bekämpfung - 24.04.2012 (30)
  14. 50 € Trojaner Schwarzer Bilfschirm Rote Schrift Bildschirm gesperrt Taskmanager gesperrt
    Log-Analyse und Auswertung - 05.02.2012 (11)
  15. Taskmanager/Regedit gesperrt
    Log-Analyse und Auswertung - 30.08.2009 (6)
  16. Taskmanager und registry gesperrt
    Log-Analyse und Auswertung - 03.07.2006 (9)
  17. Taskmanager gesperrt
    Plagegeister aller Art und deren Bekämpfung - 11.08.2005 (2)

Zum Thema Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung - Hallo zusammen, mein Schwiegervater hat sich den Verschlüsselungstrojaner eingefangen (der aber anscheinend nichts verschlüsselt hat?) und ich darf das jetzt ausbaden.. Er hat eine Mail "Urheberrechtsverletzung" erhalten und den Anhang - Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung...
Archiv
Du betrachtest: Verschlüsselungs-Trojaner entfernt --> TaskManager gesperrt und kryptisches PopUp vor Anmeldung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.