Hallo nochmal,

habe nun den ersten Punkt wie beschrieben durchgeführt, mit der Anti-Malware.

Das ist nun dabei rausgekommen. Ich hab keine Ahnung, was das bedeutet.
Jedenfalls wurden viele bösartigen Dateien gelöscht.
Ich soll das Ergebnis mitteilen, ist das richtig?
Morgen probiere ich das Entschlüsseln der Word-Dateien. Mal schauen.

LG
Regina



Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.18.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Regina Gottschlich :: MEINLAPTOP [Administrator]

19.05.2012 00:15:07
mbam-log-2012-05-19 (00-15-07).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 272264
Laufzeit: 2 Stunde(n), 45 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 9
HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKCR\FunWebProductsInstaller.Start.1 (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKCR\FunWebProductsInstaller.Start (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\FunWebProducts (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 5
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\6CB683FE8CEADD423506.exe,) Gut: (userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 4
C:\Programme\FunWebProducts (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
C:\Programme\FunWebProducts\Installr (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
C:\Programme\FunWebProducts\Installr\1.bin (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
C:\Programme\FunWebProducts\Installr\2.bin (PUP.MyWebSearch) -> Keine Aktion durchgeführt.

Infizierte Dateien: 9
C:\Dokumente und Einstellungen\Regina Gottschlich\Eigene Dateien\Downloads\SoftonicDownloader_fuer_malwarebytes-anti-malware (1).exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Regina Gottschlich\Eigene Dateien\Downloads\SoftonicDownloader_fuer_malwarebytes-anti-malware.exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt.
C:\Programme\FunWebProducts\Installr\1.bin\NPFUNWEB.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt.
C:\Programme\FunWebProducts\Installr\2.bin\NPFUNWEB.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{79CF2C47-7C1F-4F55-919E-F88A822ADA89}\RP50\A0012942.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{79CF2C47-7C1F-4F55-919E-F88A822ADA89}\RP50\A0012943.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{79CF2C47-7C1F-4F55-919E-F88A822ADA89}\RP50\A0012944.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{79CF2C47-7C1F-4F55-919E-F88A822ADA89}\RP50\A0012945.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt.
C:\Programme\Freecorder\tbFre1.dll (Adware.Shopper) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

guten morgen,
habe mir auch diesen virus eingefangen



hier mal eine anmerkung:
ein fotoordner
deckblatt= 000000.jpg - jetzt AdfoLjOdTTuqNVoLjOd
umbenannt in 000000.jpg - kann nicht geöffnet werden, defekte datei
in diesem ordner befinden sich die dateien al-000.jpg - al-119.jpg
die verschlüsselungen sind sowas von "konfus", nichts weisst auf eine gemeinsamkeit hin
gestern hat der it-fachmann von der telekom "malwarebites" installiert und durchlaufen lassen = ok. eben habe ich es nochmal getan = 4 inf. dateien.

ein wort noch an die vollpfosten, die diesen trojaner versandt haben:
ich bin eine alte frau und habe alle erinnerungsfotos verloren, könnt ihr mit eurem wissen nichts nutzvolles tun?

@Goldy Hallo , ich hatte das gleiche Problem meine Bilder waren auch mit diesem "komischen Buchstabensalat" versehen. Ich habe daraufhin einfach mal ".jpg" hinten angehängt. Die Bilder waren dadurch wieder lesbar. Dann habe ich sie mit einem Programm mit dem man komplette Ordnerinhalte nach bestimmten Kriterien umbennen kann umbenannt z.B.: vorher: AgfdshccgvzZh jetzt April20111, April20112, April20113 usw. Bilder sind soweit alle wieder brauchbar und den Rechner werde ich neu aufsetzen. Vielleicht hilft´s Dir ja auch.
Gruß
polodriver