Zippe bitte den Ordner

Zitat:

C:\qoobox

und lade ihn im Upload-Channel hoch.

Momentan können unsere Experten kein Gegenmittel für deinen Fall entwickeln, weil der eigentliche Schädling noch zur Analyse fehlt.

Außerdem:

Custom scan mit OTL


Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo!

anbei die OTL logfles. 7-zip hat ene fehlermeldung ausgegeben beim zippen des ordners beim zugriff auf den ordner qoobox/backenv, ich lade das zip gleich rauf.

wenn sich der virus in einer email versteckt hat, finden ihn die ganzen tools dann überhaupt ? hab sie durchgeschaut aber nix verdächtiges gefunden...

danke & lg,
Hans

Hm...da kann ich auch nix sehen.

• Als die Textdatei zum ersten Mal geöffnet wurde, gab es auch andere Anzeichen für einen Schädling?
• Hat ein Antivirenprogramm angeschlagen?
• Hast du mit einem Antivirenprogramm gescannt, BEVOR du das Thema hier eröffnet hast?

Oder war diese sich öffnende Textdatei der erste und einzige Hinweis auf einen Befall?

Hallo nochmal!

bevor ich bei Euch geposted habe, habe ich einen Scan mit AntiVir gemacht, hier gab es keine funde. virenprogramm hat auch keins angeschlagen.

soll ich mal SpyBot probieren ?

das raufladen des gezippten Qoobox ordners (250 MB) hängt schon ziemlich lange, weiss nicht obs das zu Euch schafft ...

ich mach gerade einen scan mit der DesInfect CD aus der c't 9/2012,
vielleicht findet der Kaspersky was ...

danke & lg,
Hans

Hm...das Problem ist, dass er den A1-Manager als Infektion erkannt und mit in den Ordner gepackt hat.
Brech das ab, so kommen wir nicht weiter.

Spybot hilft uns hier auch nicht.

Zippe bitte alle Logfiles von Avira und hänge sie hier an den Thread an!

Hallo!

der A1-manager hat auch zum spinnen angefangen, spuckt immer fehlermeldungen aus, z.B. dass TCP/IP nicht enabled ist o.ä., spuckt auch access violations aus.

anbei die avira logs...

lg,
Hans

Deaktiviere deinen Virenscanner!
Zippe folgenden Ordner:

Zitat:

C:\Program Files (x86)\Avira\AntiVir Desktop\INFECTED

und lade ihn im Upload-Channel hoch!

Vergiss nicht, anschließend den Virenscanner wieder zu aktivieren!

Hallo!

der INFECTED ordern ist in einem anderen verzeichnis gewesen:

C:\Users\All Users\Avira\Antivir Desktop\INFECTED

habs raufgeladen.

lg,
Hans

Danke, haben wir bekommen. Bitte hab Geduld, wir müssen nun schauen, ob sich darunter der Schädling befindet. Ohne diesen können wir kein Tool dagegen entwickeln...

Hallo!

der Kaspersky hat 12 sachen gefunden.
hab versucht Euch das logfile auf den upload-channel zu stellen,
das zip hat aber 12,5 MB, weiss nicht obs durchgegangen ist,
hab keine bestätigung erhalten.

lg,
Hans

Gibt es in Antivir unter "Ereignisse" noch weitere Einträge? Wenn ja, diese Reporte bitte ebenfalls hier anhängen!
Das Kaspersky-logfile hat 12,5mb? Seltsam, sollte nur text sein. Finde heraus, ob es eine reine Logdatei gibt und füge sie uns ebenfalls hier an.

Du hast da nen ganz schön hartnäckigen Fall, das kann ich dir sagen!

Hallo!

ja, dort steht was drin:

TR/Crypt.XPACK.Gen3 etc.

ich hoffe das bringt Euch weiter!

danke & lg,
Hans

Hallo Hans,

einige der Tools sind weiterentwickelt worden - versuche es erneut mit der Entschlüsselung!

http://www.trojaner-board.de/114783-...ubersicht.html

Aber bitte nur an Dateien, von welchen du Sicherheitskopien hast!

Hallo!

habs jetzt nochmal probiert, leider ohne erfolg.

konnte auch keine neuerungen bei den tools (version) entdecken.

die meisten tools wollen immer noich ein .locked file, das hab ich nicht.

entweder es passiert gar nix (shareuncrypt, eset decrypter), oder es kommt die meldung, das die original/crypeted dateien nicht zusammenpassen.

hab auch ShadowCopy probiert, aber leider sind die ältesten export-dateien auch schon verschlüsselt ...

konntet Ihr aus den AVIRA-logs was rauslesen ?

Danke & lg,
Hans

Avira hat einige Dinge entfernt, jedoch war der Virus nicht darunter.
Wir haben gesehen, dass du avast installiert hast/hattest - hast du eventuell DAMIT den Virus entfernt?

Ohne die Dateien des Virus wird es schwer, dir zu helfen.

Noch gibt es keine Lösung für den neuen Trojaner!