Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Verschlüsselungs-Trojaner TR/Matsnu.A.55 per Email erhalten

Verschlüsselungs-Trojaner TR/Matsnu.A.55 per Email erhalten


Log-Analyse und Auswertung: Verschlüsselungs-Trojaner TR/Matsnu.A.55 per Email erhalten

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 04.05.2012, 14:11   #1
Seefuxx
 
Verschlüsselungs-Trojaner TR/Matsnu.A.55 per Email erhalten - Standard

Verschlüsselungs-Trojaner TR/Matsnu.A.55 per Email erhalten


Hallo!


Ich habe vor zwei Tagen den Verschlüsselungs-Trojaner TR/Matsnu.A.55 per Email bekommen
Mein Anti-Viren-Programm (Avira Free Antivirus) hat den Trojaner in die Quarantäne verschoben (allerdings erst, nachdem er alle meine Daten verschlüsselt hat) woraufhin ich ihn gelöscht habe.

Ich habe eure Anweisung zum Vorgehen beim Verschlüsselungs-Trojaner befolgt:


1) vollständiger Scan mit Malwarebytes Anti-Malware und Löschung alle Funde.

Report:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.02.02

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
*** :: ***-PC [Administrator]

Schutz: Aktiviert

02.05.2012 18:22:17
mbam-log-2012-05-02 (18-22-17).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 243608
Laufzeit: 4 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|F8CAD688 (Trojan.Agent.RNSGen) -> Daten: C:\Users\***\AppData\Roaming\Vstwjfulml\3440C59DF8CAD688661A.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)



2) Entschlüsselung verschlüsselter Dateien mit Avira Ransom File Unlocker und daraufhin Löschung aller "locked-files" von meinem Computer.


3) Programm defogger: Disable-Button angeklickt um Treiber gewisser Emulgatoren zu deaktivieren (nach Beendigung des Scans defogger mit "OK" beendet)


4) Programm DDS: alle laufenden Programme geschlossen und DDS gestartet, Logfiles (dds.txt und attach.txt) auf Desktop gespeichert.

dds.txt-Logfile:
.DDS Logfile:
DDS Logfile:
DDS Logfile:
Code:
ATTFilter
DDS (Ver_2011-08-26.01) - NTFSx86 
Internet Explorer: 9.0.8112.16421  BrowserJavaVersion: 1.6.0_31
Run by *** at 22:48:48 on 2012-05-02
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.3033.1725 [GMT 1:00]
.
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\System32\svchost.exe -k NetworkService
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\Juniper Networks\Common Files\dsNcService.exe
C:\Windows\System32\svchost.exe -k HPZ12
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\svchost.exe -k bthsvcs
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\System32\rundll32.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\System32\svchost.exe -k LocalServicePeerNet
C:\Windows\system32\DllHost.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\conhost.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
uURLSearchHooks: H - No File
BHO: Adobe PDF Reader Link Helper: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\adobe acrobat 7.0\activex\AcroIEHelper.dll
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre6\bin\ssv.dll
BHO: Windows Live ID Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Adobe PDF Conversion Toolbar Helper: {ae7cd045-e861-484f-8273-0445ee161910} - c:\program files\adobe\adobe acrobat 7.0\acrobat\AcroIEFavClient.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
TB: Adobe PDF: {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\program files\adobe\adobe acrobat 7.0\acrobat\AcroIEFavClient.dll
TB: {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
EB: Adobe PDF: {182ec0be-5110-49c8-a062-beb1d02a220b} - c:\program files\adobe\adobe acrobat 7.0\acrobat\AcroIEFavClient.dll
mRun: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mRun: [Malwarebytes' Anti-Malware] "c:\program files\malwarebytes' anti-malware\mbamgui.exe" /starttray
StartupFolder: c:\users\***~1\appdata\roaming\micros~1\windows\startm~1\programs\startup\dropbox.lnk - c:\users\***\appdata\roaming\dropbox\bin\Dropbox.exe
mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\program files\adobe\adobe acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\program files\adobe\adobe acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\program files\adobe\adobe acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\program files\adobe\adobe acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Free YouTube Download - c:\users\***\appdata\roaming\dvdvideosoftiehelpers\freeyoutubedownload.htm
IE: In Adobe PDF konvertieren - c:\program files\adobe\adobe acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\program files\adobe\adobe acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\program files\adobe\adobe acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\program files\adobe\adobe acrobat 7.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~2\office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} - hxxps://juniper.net/dana-cached/sc/JuniperSetupClient.cab
TCP: DhcpNameServer = 192.168.0.1
TCP: Interfaces\{97EB3648-0571-4DE4-9EE2-88D2DC8720C5} : DhcpNameServer = 192.168.0.1
TCP: Interfaces\{97EB3648-0571-4DE4-9EE2-88D2DC8720C5}\244584572633D234356325 : DhcpNameServer = 192.168.1.254
TCP: Interfaces\{97EB3648-0571-4DE4-9EE2-88D2DC8720C5}\5416379724F687D2141454435333 : DhcpNameServer = 192.168.2.1
TCP: Interfaces\{97EB3648-0571-4DE4-9EE2-88D2DC8720C5}\5416379724F687D2636434635363 : DhcpNameServer = 192.168.2.1
TCP: Interfaces\{97EB3648-0571-4DE4-9EE2-88D2DC8720C5}\5416379724F687D2935434445383 : DhcpNameServer = 192.168.2.1
TCP: Interfaces\{97EB3648-0571-4DE4-9EE2-88D2DC8720C5}\55E6966756273796479702F66602D416E636865637475627 : DhcpNameServer = 130.88.13.7 130.88.200.6 130.88.203.7
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\program files\microsoft office\office12\GrooveSystemServices.dll
Notify: igfxcui - igfxdev.dll
SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\***\appdata\roaming\mozilla\firefox\profiles\r87j4akz.default\
FF - plugin: c:\program files\adobe\adobe acrobat 7.0\acrobat\browser\nppdf32.dll
FF - plugin: c:\program files\cambridgesoft\chemoffice2006\chem3d\npChem3DPlugin.dll
FF - plugin: c:\program files\cambridgesoft\chemoffice2006\chemdraw\NPCDP32.DLL
FF - plugin: c:\program files\google\picasa3\npPicasa3.dll
FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\java\jre6\bin\plugin2\npdeployJava1.dll
FF - plugin: c:\program files\java\jre6\bin\plugin2\npjp2.dll
FF - plugin: c:\program files\microsoft silverlight\4.1.10111.0\npctrlui.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll
FF - plugin: c:\programme\java\jre6\bin\new_plugin\npjp2.dll
.
============= SERVICES / DRIVERS ===============
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2012-3-17 36000]
R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\drivers\vwififlt.sys [2009-7-14 48128]
R2 AntiVirSchedulerService;Avira Planer;c:\program files\avira\antivir desktop\sched.exe [2012-3-17 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\program files\avira\antivir desktop\avguard.exe [2012-3-17 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2012-3-17 74640]
R2 MBAMService;MBAMService;c:\program files\malwarebytes' anti-malware\mbamservice.exe [2012-5-2 654408]
R3 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [2011-2-11 218688]
R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y6232.sys [2009-6-12 221912]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-5-2 22344]
R3 NETw5s32;Intel(R) Wireless WiFi Link der Serie 5000 Adaptertreiber für Windows 7 32-Bit;c:\windows\system32\drivers\NETw5s32.sys [2010-3-17 6758912]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-13 229888]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\mozilla maintenance service\maintenanceservice.exe [2012-4-27 129976]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\drivers\netw5v32.sys [2009-6-10 4231168]
S3 StorSvc;Speicherdienst;c:\windows\system32\svchost.exe -k LocalSystemNetworkRestricted [2009-7-14 20992]
S3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\TsUsbFlt.sys [2011-2-24 52224]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\drivers\vwifimp.sys [2009-7-14 14336]
S3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\wat\WatAdminSvc.exe [2011-1-2 1343400]
.
=============== Created Last 30 ================
.
2012-05-02 20:44:59	42776	----a-w-	c:\programdata\microsoft\ehome\packages\mceclientux\dsm\StartResources.dll
2012-05-02 20:44:59	42776	----a-w-	c:\programdata\microsoft\ehome\packages\mceclientux\dsm-2\StartResources.dll
2012-05-02 20:44:58	2300696	----a-w-	c:\programdata\microsoft\ehome\packages\mceclientux\updateablemarkup\markup.dll
2012-05-02 20:44:58	2300696	----a-w-	c:\programdata\microsoft\ehome\packages\mceclientux\updateablemarkup-2\markup.dll
2012-05-02 20:44:58	1220416	----a-w-	c:\programdata\microsoft\ehome\packages\mcespotlight\mcespotlight\SpotlightResources.dll
2012-05-02 20:44:58	1113408	----a-w-	c:\programdata\microsoft\ehome\packages\mcespotlight\mcespotlight-2\SpotlightResources.dll
2012-05-02 20:12:51	3584	----a-w-	c:\users\***\appdata\roaming\microsoft\installer\{121634b0-2f4a-11d3-ada3-00c04f52dd53}\Icon386ED4E3.exe
2012-05-02 20:12:51	15256	----a-w-	c:\users\***\appdata\roaming\microsoft\identitycrl\production\ppcrlconfig.dll
2012-05-02 11:10:02	--------	d-----w-	c:\users\***\appdata\roaming\Malwarebytes
2012-05-02 11:09:41	--------	d-----w-	c:\programdata\Malwarebytes
2012-05-02 11:09:39	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-05-02 11:09:39	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-05-02 06:58:12	--------	d-----w-	c:\users\***\appdata\roaming\Vstwjfulml
2012-04-27 15:06:37	--------	d-----w-	c:\program files\Mozilla Maintenance Service
2012-04-27 15:06:36	157352	----a-w-	c:\program files\mozilla firefox\maintenanceservice_installer.exe
2012-04-27 15:06:36	129976	----a-w-	c:\program files\mozilla firefox\maintenanceservice.exe
2012-04-25 11:07:29	--------	d-----r-	c:\users\***\Dropbox
2012-04-25 11:02:48	--------	d-----w-	c:\users\***\appdata\roaming\Dropbox
2012-04-15 17:51:38	--------	d-----w-	c:\programdata\YTD YouTube Downloader & Converter
2012-04-11 10:50:16	5120	----a-w-	c:\windows\system32\wmi.dll
2012-04-11 10:50:16	19824	----a-w-	c:\windows\system32\drivers\fs_rec.sys
2012-04-11 10:50:16	172544	----a-w-	c:\windows\system32\wintrust.dll
2012-04-11 10:50:16	159232	----a-w-	c:\windows\system32\imagehlp.dll
2012-04-11 10:49:52	3968368	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-04-11 10:49:51	3913072	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-04-09 16:00:13	--------	d-----w-	c:\program files\Rosetta Stone
2012-04-04 09:29:15	476904	----a-w-	c:\program files\mozilla firefox\plugins\npdeployJava1.dll
.
==================== Find3M  ====================
.
2012-04-04 09:29:08	472808	----a-w-	c:\windows\system32\deployJava1.dll
2012-03-22 19:12:12	4435968	----a-w-	c:\windows\system32\GPhotos.scr
2012-02-28 01:18:55	1799168	----a-w-	c:\windows\system32\jscript9.dll
2012-02-28 01:11:21	1427456	----a-w-	c:\windows\system32\inetcpl.cpl
2012-02-28 01:11:07	1127424	----a-w-	c:\windows\system32\wininet.dll
2012-02-28 01:03:16	2382848	----a-w-	c:\windows\system32\mshtml.tlb
2012-02-17 05:34:22	826880	----a-w-	c:\windows\system32\rdpcore.dll
2012-02-17 04:14:08	183808	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-02-17 04:13:22	24576	----a-w-	c:\windows\system32\drivers\tdtcp.sys
2012-02-10 05:38:43	1077248	----a-w-	c:\windows\system32\DWrite.dll
2012-02-07 09:02:40	1070352	----a-w-	c:\windows\system32\MSCOMCTL.OCX
2012-02-03 03:54:27	2343424	----a-w-	c:\windows\system32\win32k.sys
.
============= FINISH: 22:50:02,21 ===============
[/CODE]
--- --- ---

--- --- ---
--- --- ---


attach.txt-Logfile:

.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft Windows 7 Professional
Boot Device: \Device\HarddiskVolume2
Install Date: 29.12.2010 17:01:59
System Uptime: 02.05.2012 18:30:12 (4 hours ago)
.
Motherboard: SAMSUNG ELECTRONICS CO., LTD. | | P560
Processor: Intel(R) Core(TM)2 Duo CPU P8700 @ 2.53GHz | U2E1 | 785/mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 223 GiB total, 103,453 GiB free.
.
==== Disabled Device Manager Items =============
.
Class GUID: {4d36e972-e325-11ce-bfc1-08002be10318}
Description: Bluetooth-Gerät (PAN)
Device ID: BTH\MS_BTHPAN\6&18972C2B&0&2
Manufacturer: Microsoft
Name: Bluetooth-Gerät (PAN)
PNP Device ID: BTH\MS_BTHPAN\6&18972C2B&0&2
Service: BthPan
.
Class GUID: {4d36e972-e325-11ce-bfc1-08002be10318}
Description: Microsoft-Adapter für Miniports virtueller WiFis
Device ID: {5D624F94-8850-40C3-A3FA-A4FD2080BAF3}\VWIFIMP\5&2C63D655&0&01
Manufacturer: Microsoft
Name: Microsoft-Adapter für Miniports virtueller WiFis
PNP Device ID: {5D624F94-8850-40C3-A3FA-A4FD2080BAF3}\VWIFIMP\5&2C63D655&0&01
Service: vwifimp
.
Class GUID: {4d36e972-e325-11ce-bfc1-08002be10318}
Description: Cisco Systems VPN Adapter
Device ID: ROOT\NET\0000
Manufacturer: Cisco Systems
Name: Cisco Systems VPN Adapter
PNP Device ID: ROOT\NET\0000
Service: CVirtA
.
==== System Restore Points ===================
.
No restore point in system.
.
==== Installed Programs ======================
.
Update for Microsoft Office 2007 (KB2508958)
Adobe Acrobat 7.0 Professional - English, Français, Deutsch
Adobe Bridge 1.0
Adobe Common File Installer
Adobe Creative Suite 2
Adobe Flash Player ActiveX
Adobe Help Center 1.0
Adobe InDesign CS2
Adobe Photoshop CS2
Adobe Stock Photos 1.0
Apple Application Support
Apple Mobile Device Support
Apple Software Update
Avira Free Antivirus
Bonjour
CambridgeSoft ChemOffice Ultra 2006
CCleaner
Cisco Systems VPN Client 5.0.06.0160
D3DX10
DAEMON Tools Lite
Dropbox
ElsterFormular
EndNote X4
FileZilla Client 3.5.3
Free M4a to MP3 Converter 7.0
HP Color LaserJet 3600 (02/27/2007 61.063.461.41)
Intel PROSet Wireless
Intel(R) Network Connections Drivers
Intel(R) PROSet/Wireless WiFi-Software
iTunes
Java Auto Updater
Java(TM) 6 Update 31
Juniper Networks Network Connect 6.5.0
Juniper Networks Network Connect 7.0.0
Juniper Networks Setup Client
Juniper Networks Setup Client Activex Control
Malwarebytes Anti-Malware Version 1.61.0.1400
MestReC 4.9.9
Microsoft .NET Framework 1.1
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Client Profile DEU Language Pack
Microsoft Application Error Reporting
Microsoft Office 2007 Service Pack 3 (SP3)
Microsoft Office Access MUI (German) 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Groove MUI (German) 2007
Microsoft Office InfoPath MUI (German) 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft Silverlight
Microsoft Sync Framework 2.0 Core Components (x86) ENU
Microsoft Sync Framework 2.0 Provider Services (x86) ENU
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
Mozilla Firefox 12.0 (x86 de)
Mozilla Maintenance Service
Mozilla Thunderbird 10.0.2 (x86 de)
MSVCRT
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
Picasa 3
QuickTime
Realtek High Definition Audio Driver
ResearchSoft Direct Export Helper
RICOH R5U8xx Media Driver ver.3.62.02
Rosetta Stone Version 3
Security Update for CAPICOM (KB931906)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368)
Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2518870)
Security Update for Microsoft Office 2007 suites (KB2596785) 32-Bit Edition
Security Update for Microsoft Office 2007 suites (KB2596871) 32-Bit Edition
Security Update for Microsoft Office 2007 suites (KB2598041) 32-Bit Edition
Security Update for Microsoft Office PowerPoint 2007 (KB2596764) 32-Bit Edition
Security Update for Microsoft Office PowerPoint 2007 (KB2596912) 32-Bit Edition
Security Update for Microsoft Office Publisher 2007 (KB2596705) 32-Bit Edition
sipgate X-Lite 1105c ger
Skype™ 5.0
Suite Specific
Synaptics Pointing Device Driver
SyncToy 2.1 (x86)
Update für Microsoft Office Excel 2007 Help (KB963678)
Update für Microsoft Office Outlook 2007 Help (KB963677)
Update für Microsoft Office Powerpoint 2007 Help (KB963669)
Update für Microsoft Office Word 2007 Help (KB963665)
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217)
Update for Microsoft Office 2007 suites (KB2596651) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2596789) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2598306) 32-Bit Edition
Update for Microsoft Office Excel 2007 (KB2596596) 32-Bit Edition
VCRedistSetup
VLC media player 1.1.5
Windows Live Communications Platform
Windows Live Essentials
Windows Live ID Sign-in Assistant
Windows Live Installer
Windows Live Messenger
Windows Live Photo Common
Windows Live PIMT Platform
Windows Live SOXE
Windows Live SOXE Definitions
Windows Live UX Platform
Windows Live UX Platform Language Pack
WinRAR 4.10 (32-Bit)
YTD YouTube Downloader & Converter 3.6
.
==== End Of File ===========================



5) Programm Gmer (ich besitze ein 32 bit System): alle Viren-Scanner deaktiviert, Netzwerk/Internet-Verbindungen getrennt, Haken bei IAT/EAT und show all entfernt, Scan gestartet. Nachdem Scan beendet war, Logfile unter Gmer.tst auf Desktop gespeichert und GMER mit "OK" beendet.

Gmer-logfile:GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-05-04 07:17:05
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 ST9250315AS rev.0001SDM1
Running: s8wtiksi.exe; Driver: C:\Users\***~1\AppData\Local\Temp\kxldypow.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           ntoskrnl.exe!ZwSaveKey + 13BD                                                                    830749D9 1 Byte  [06]
.text           ntoskrnl.exe!KiDispatchInterrupt + 5A2                                                           83094512 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           autochk.exe                                                                                      002911D2 1 Byte  [65]
.text           autochk.exe                                                                                      002911D2 3 Bytes  [65, 00, 72]
.text           autochk.exe                                                                                      002911D6 1 Byte  [73]
.text           autochk.exe                                                                                      002911D6 3 Bytes  [73, 00, 5C] {JAE 0x2; POP ESP}
.text           autochk.exe                                                                                      002911DA 1 Byte  [56]
.text           ...                                                                                              

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                          Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                          Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                           rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\00000058                                                                halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                           fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                           rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

Device          \Driver\BTHUSB \Device\00000087                                                                  bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\00265edc19fb                      
Reg             HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\00265edc19fb@001ff3e3a71f         0xF7 0x4A 0xA9 0x15 ...
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\00265edc19fb (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\00265edc19fb@001ff3e3a71f             0xF7 0x4A 0xA9 0x15 ...

---- EOF - GMER 1.0.15 ----
--- --- ---





Kann mir bitte jemand weiterhelfen, welche Schritte ich als nächstes unternehmen muss, dass mein Computer wieder absolut sauber ist?


Vielen Dank schon mal für eure Hilfe!!!!!!!!
Seefuxx
Geändert von Seefuxx (04.05.2012 um 14:26 Uhr)

 

Themen zu Verschlüsselungs-Trojaner TR/Matsnu.A.55 per Email erhalten
32 bit, 4d36e972-e325-11ce-bfc1-08002be10318, adobe, antivirus, avira, bonjour, computer, cpu, dateisystem, daten verschlüsselt, defender, desktop, downloader, email, error, explorer, firefox, flash player, heuristiks/extra, heuristiks/shuriken, locker, mozilla, mp3, office 2007, photoshop, picasa, plug-in, registry, rundll, scan, software, svchost.exe, temp, tr/matsnu.a., trojan.agent.rnsgen, verschlüsselungs-trojaner tr/matsnu.a.55, vista, vista 32 bit, youtube downloader


« windows-Verschlüsselungsvirus | Verschlüsselungstrojaner der nächste Betroffene »


Ähnliche Themen: Verschlüsselungs-Trojaner TR/Matsnu.A.55 per Email erhalten


  1. Email von einer Bekannten erhalten mit fragwürdigem Link, sie hat jedoch keine Email verschickt.
    Plagegeister aller Art und deren Bekämpfung - 11.07.2014 (3)
  2. FAX.SCR per Email erhalten....
    Plagegeister aller Art und deren Bekämpfung - 21.06.2014 (8)
  3. TR/Matsnu.A.66 im Email Anhang (geöffnet)
    Log-Analyse und Auswertung - 07.10.2013 (19)
  4. Email Anhang mit TR/Matsnu.EB.132 geöffnet
    Plagegeister aller Art und deren Bekämpfung - 02.04.2013 (16)
  5. Trojan.Matsnu.1 - Tool für Verschlüsselungs-Trojaner
    Diskussionsforum - 18.02.2013 (45)
  6. Verschlüsselungstrojaner TR/Matsnu.EB.24 per Email erhalten + 3 Erkennungsmuster Exploits EXP/JAVA.N
    Log-Analyse und Auswertung - 16.07.2012 (11)
  7. Verschlüsselungs Trojaner TR/Matsnu.EB.32, Dateien verschlüsselt
    Log-Analyse und Auswertung - 14.07.2012 (5)
  8. Verschlüsselungs Trojaner -email FlirtFever Rechnung
    Plagegeister aller Art und deren Bekämpfung - 12.06.2012 (1)
  9. Windows Verschlüsselungs Trojaner TR/Matsnu.A.6 ACHTUNG PC nicht im abgesicherten Modus starten
    Plagegeister aller Art und deren Bekämpfung - 01.06.2012 (4)
  10. Neue Verschlüsselungs-Trojaner Trojan.Matsnu.10, Packer.ModifiedUPX
    Plagegeister aller Art und deren Bekämpfung - 01.06.2012 (1)
  11. verschlüsselungs-trojaner über email anhang eingefangen
    Log-Analyse und Auswertung - 30.05.2012 (2)
  12. Windows Verschlüsselungs Trojaner TR/Matsnu.EB.3
    Plagegeister aller Art und deren Bekämpfung - 29.05.2012 (1)
  13. Verschlüsselungs-Trojaner (Trojan.Matsnu.1) unter Windows XP - Abgesicherter Modus nicht moeglich
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (5)
  14. Windows - Verschlüsselungs Trojaner trojan.matsnu.1
    Plagegeister aller Art und deren Bekämpfung - 04.05.2012 (1)
  15. Windows-Verschlüsselungs-Trojaner Schritt 3 (Trojan.Matsnu.1)
    Log-Analyse und Auswertung - 03.05.2012 (6)
  16. Windows Verschlüsselungs Trojaner über Email
    Log-Analyse und Auswertung - 02.05.2012 (16)
  17. Verschlüsselungs-Trojaner in der Email !
    Plagegeister aller Art und deren Bekämpfung - 28.04.2012 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Verschlüsselungs-Trojaner TR/Matsnu.A.55 per Email erhalten - Hallo! Ich habe vor zwei Tagen den Verschlüsselungs-Trojaner TR/Matsnu.A.55 per Email bekommen Mein Anti-Viren-Programm (Avira Free Antivirus) hat den Trojaner in die Quarantäne verschoben (allerdings erst, nachdem er alle meine - Verschlüsselungs-Trojaner TR/Matsnu.A.55 per Email erhalten...
Archiv
Du betrachtest: Verschlüsselungs-Trojaner TR/Matsnu.A.55 per Email erhalten auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131