Hallo zusammen!

Ich habe jetzt auch einen Laptop mit diesem Trojaner.

Ich habe noch keine genaue Anleitung für Vista gefunden. Was muss ich als erstes tun?

Im abgesicherten Modus lässt er sich noch starten. Wenn ich nach *locked Dateien gesucht habe hat er mir auch erst mal nur rund 15 Stück angezeigt. Aber wie werde ich ihn wieder los? Ist es derselbe Ablauf wie bei XP mit der ISO CD etc?

Danke schon im vorraus für eure Antworten... :-)

hi,

malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.04.06

Windows Vista Service Pack 1 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 7.0.6001.18000
Bea :: BEA-PC [Administrator]

Schutz: Deaktiviert

04.05.2012 22:36:26
mbam-log-2012-05-04 (22-36-26).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 348221
Laufzeit: 49 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|34DB988C (Trojan.Agent.H) -> Daten: C:\Users\Bea\AppData\Roaming\Zdphyv\E6AC66D134DB988C183C.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\Users\Bea\AppData\Roaming\Zdphyv\E6AC66D134DB988C183C.exe (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Backup\Bea\AppData\Local\Temp\Temp1_Microsoft_Office_Home_and_keygen.zip\Microsoft_Office_Home_and_keygen_by_CORE.exe (Malware.Packer.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bea\AppData\Local\Temp\bgfrkndpwh.pre (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bea\AppData\Local\Temp\rdsmqvepnu.pre (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bea\AppData\Local\Temp\sanfczovhy.pre (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bea\AppData\Local\Temp\vbglqiydpw.pre (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

so das wäre erledigt... Danke schon mal für die Anleitung...
Was muss als nächstes gemacht werden?

hi
mache ein backup deiner wichtigen dateien die verschlüsselt sind
auf ein externes laufwerk
dann entschlüsseln:
http://www.trojaner-board.de/114224-...-unlocker.html
klicke: gesammtes verzeichniss entschlüsseln
teile mir mit obs geklappt hatt

Hi

Ich glaube soviele Dateien sind gar nicht betroffen, rund 20 glaub ich von denen wir aber auch keine Originale haben. Es sind soweit ich gesehen habe keine Bilder betroffen oder Musik. Betroffene Dateien such ich doch einfach nur mit "*locked" oder?
Muss dieser Schritt gemacht werden? Weil die Dateien sind glaube ich gar nicht so wichtig. Muss ich aber mit meiner Frau zusammen noch mal prüfen, da es ihr Rechner ist.

VG

naja, woher soll ich denn wissen ob euch die dateien wichtig sind, sind doch eure :-)

nee ist ja richtig... hätt aber sein können das der Schritt zur kompletten Bereinigung nötig ist... Deswegen hatte ich nochmal gefragt :-)
Aber betroffene Dateien such ich doch einfach nur mit "*locked" oder?

nö, dann löscht die dateien, wenn ihr sie nicht braucht.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.