Verschlüsselungstrojaner

cosinus · 11.06.2012, 15:41

Zitat:

und ich kann Euer ZIP.Programm nicht herunterladen.

Wieso "unser" ZIP-Programm das TB hat doch kein eigenes ZIP-Programm erstellt!
Nimm 7zip oder WinRAR!

paule11 · 12.06.2012, 18:10

Hallo TrojanerBoard,
hier die "gezipte OTL.EXE" Bezeichnungder Datei nicht richtig.Bin aber zufrieden, da es endlich funktioniert hat (nach längerem probieren) die Datei zu komprimieren.
Danke für Euere Geduld
Paule

paule11 · 12.06.2012, 19:09

Hallo Trojaner Board,
habe gerade mit Malwarebytes eine Scan durchgeführt und er hat folgendes gefunden.
Habe eigentlich seit meinem Problem KEIN mir unbekanntes Mail geöffnet, alle sofort gelöscht.
MfG
paule11

cosinus · 12.06.2012, 22:02

Zitat:

SRV - (N360) -- C:\Program Files\Norton 360\Engine\6.2.1.5\ccSvcHst.exe (Symantec Corporation)
SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirFirewallService) -- C:\Program Files\Avira\AntiVir Desktop\avfwsvc.exe (Avira Operations GmbH & Co. KG)

Willst du dein System in die Knie zwingen? Man kann doch nicht Norton360 und AntiVir parallel betreiben! Deinstalliere einen der beiden, am besten Norton!

Max. Malwarebytes kann man zu einem installierten Virenscanner benutzen.
(die anderen Scanner die ich hier in der Bereinigung/Analyse verwende kommen den anderen auch nichts ins Gehege)

paule11 · 14.06.2012, 18:20

Hallo,
Danke für den Hin(Ver)weis,
habe Norton360 gelöscht.
Paule11

cosinus · 15.06.2012, 11:48

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Setze oben mittig den Haken bei Scanne alle Benutzer
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

paule11 · 17.06.2012, 12:37

Hallo Trojaner Board.
erst malö von hier Danke für Euere Hilfe, ausdauer um mir zu helfen. Habe OTL gestartet und wieder die Info erhalten.Out of Memory.Unten in der Infozeile wurde angezeigu: Manual File Scan - Getting folder structure. Dann war Ende.
Was heist eigentlich " keine Hilfe per PN:
Danke
Paule11

cosinus · 18.06.2012, 09:00

PN=Private Nachricht

Probier den OTL-CustomScan bitte mal im abgesicherten Modus aus

paule11 · 19.06.2012, 18:18

Hallo Trojaner Board,

habe einen neuen OTL-Scan durchgeführt.Ist zu groß und bekomme diesen nur als Zip Datei gepostet.

Erstmal
Danke
Paule11

cosinus · 19.06.2012, 23:14

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
IE - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=109986&tt=171011_prot&babsrc=HP_ss&mntrId=422cd4650000000000000015835015af
IE - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
IE - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\..\URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files\MyAshampoo\prxtbMyA0.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=109986&tt=171011_prot&babsrc=SP_ss&mntrId=422cd4650000000000000015835015af
IE - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://tbsearch.ask.com/redirect?client=ie&tb=NRO&o=101917&src=crm&q={searchTerms}&locale=de_DE
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://www.web.de/"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=109986&tt=171011_prot&babsrc=KW_ss&mntrId=422cd4650000000000000015835015af&q="
FF - user.js - File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ocr@babylon.com: C:\Program Files\Babylon\Babylon-Pro\Plugins\ocr@babylon.com [2012.04.01 13:18:15 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\adapter@babylontc.com: C:\Program Files\Babylon\Babylon-Pro\TC\adapter@babylontc.com [2012.04.01 13:18:15 | 000,000,000 | ---D | M]
[2012.04.29 12:11:29 | 000,000,000 | ---D | M] (Click&amp;Clean) -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\pj1hyd81.tarnfox\extensions\clickclean@hotcleaner.com
[2012.05.19 14:27:14 | 000,000,000 | ---D | M] ("I Want This") -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\pj1hyd81.tarnfox\extensions\crossriderapp2258@crossrider.com
[2012.06.02 18:15:05 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\qjz1gcck.default\extensions
[2012.05.19 14:27:13 | 000,000,000 | ---D | M] ("I Want This") -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\qjz1gcck.default\extensions\crossriderapp2258@crossrider.com
[2011.12.25 15:57:32 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\qjz1gcck.default\extensions\ffxtlbr@babylon.com
[2012.05.12 15:36:38 | 000,000,000 | ---D | M] ("Ask Toolbar") -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\qjz1gcck.default\extensions\toolbar@ask.com
[2009.10.20 10:47:24 | 000,002,256 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\djxnfNsQTODXNsuaO
[2011.11.03 19:57:54 | 000,002,419 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\DvXrsUAxnfyqtoUAGLVqt
[2011.11.07 13:37:58 | 000,000,923 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\glVytoUjLVqtEUvXN
[2011.11.03 19:57:54 | 000,000,933 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\JJLJJLjlljllxUD
[2011.11.03 19:57:54 | 000,010,525 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\odGLfqtETglJpruaglvp
[2010.10.20 20:57:28 | 000,005,550 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\oDvXNsuODJXNesodAxnf
[2011.11.03 19:57:54 | 000,002,457 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\qtodAGLVytoUAGLfytE
[2012.05.19 14:27:02 | 000,002,354 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O2 - BHO: (Babylon IE plugin) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.)
O2 - BHO: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files\MyAshampoo\prxtbMyA0.dll (Conduit Ltd.)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files\MyAshampoo\prxtbMyA0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\..\Toolbar\WebBrowser: (MyAshampoo Toolbar) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - C:\Program Files\MyAshampoo\prxtbMyA0.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 181
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0
O7 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 67108251
O7 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 247
O7 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 0
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2005.11.17 16:06:10 | 000,000,069 | -H-- | M] () - E:\autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2009.03.30 12:32:46 | 000,000,288 | ---- | M] () - G:\Autorun.inf -- [ NTFS ]
O33 - MountPoints2\{0006390b-06b4-11e1-9fb1-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{00063912-06b4-11e1-9fb1-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{0a7c0dbc-4c9e-11e1-b80e-8cf2f02cb628}\Shell - "" = AutoRun
O33 - MountPoints2\{0c1c2393-2252-11e0-8228-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{100d4ecf-23d1-11e1-b0fc-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{100d4ed2-23d1-11e1-b0fc-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{3249c581-aa19-11e1-abaa-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{3249c581-aa19-11e1-abaa-00a0d1a41db2}\Shell\AutoRun\command - "" = E:\SealOne.exe
O33 - MountPoints2\{6f93e73c-2427-11e1-bcbf-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{6f93e73f-2427-11e1-bcbf-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{84d0b483-74e5-11e1-95f6-c1709df6c37e}\Shell - "" = AutoRun
O33 - MountPoints2\{96cda11e-1135-11e0-9042-9e7ea5844deb}\Shell\AutoRun\command - "" = H:\fscommand\LS_Start_Launch.cmd
O33 - MountPoints2\{96cda11e-1135-11e0-9042-9e7ea5844deb}\Shell\Launcher\command - "" = H:\fscommand\LS_Start_Launch.cmd
O33 - MountPoints2\{9e286fc6-27ea-11e1-b944-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{fd3b5308-27ec-11e1-9ad3-00a0d1a41db2}\Shell - "" = AutoRun
O34 - HKLM BootExecute: (autocheck autochk /r \??\K:)
O34 - HKLM BootExecute: (autocheck autochk /r \??\J:)
O34 - HKLM BootExecute: (autocheck autochk /r \??\I:)
O34 - HKLM BootExecute: (autocheck autochk /r \??\G:)
O34 - HKLM BootExecute: (autocheck autochk /r \??\F:)
O34 - HKLM BootExecute: (autocheck autochk /r \??\E:)
O34 - HKLM BootExecute: (autocheck autochk /r \??\J:)
O34 - HKLM BootExecute: (autocheck autochk /r \??\G:)
O34 - HKLM BootExecute: (autocheck autochk /r \??\E:)
O34 - HKLM BootExecute: (autocheck autochk /p \??\F:)
[2011.12.07 18:08:25 | 000,000,000 | ---- | C] () -- C:\Users\Brockhoff\AppData\Local\gAxvXjlJnVNssX
[2011.11.27 19:41:09 | 000,000,201 | ---- | C] () -- C:\Program Files\0LK6D98M.bat
[2011.11.23 20:42:15 | 000,000,000 | ---- | C] () -- C:\Users\Brockhoff\AppData\Local\sEOGyQUlnNsavfsoOG
[2012.05.19 15:38:41 | 000,000,000 | ---D | M] -- C:\Users\Brockhoff\AppData\Roaming\Babylon
[2012.05.16 19:09:53 | 000,000,000 | ---D | M] -- C:\Users\Brockhoff\AppData\Roaming\Wjngc
[2012.05.19 15:38:23 | 000,000,000 | ---D | M] -- C:\Users\Brockhoff\AppData\Roaming\Wvixyps
@Alternate Data Stream - 185 bytes -> C:\ProgramData\TEMP:CAEDBDA6
@Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:DBC416F8
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

paule11 · 20.06.2012, 20:40

Halloo Trojanerboard,
habe nach der neuesten Angebe von Cosinus OTL neu gestartet. Mit dem neuen Text in Custom Scan/Fixes kopiert (mit :OTL), dann *Fix* gedrückt. Es wurde kein Logfile geöffnet, sondern der Bildschirm zeigte einen Moment verschobenes Zeilenmischmasch,dann den "Blue Screen" dann startete win7 neu. Keine Datei gefunden _OTL zum posten.
Paule11

cosinus · 21.06.2012, 10:39

Starte Windows neu im abgesicherten Modus (mit Netzwerktreibern nach Möglichkeit), manchmal hakt das Fixen mit OTL im normalen Modus aber sehr oft funktioniert der Fix im abgesicherte Modus.

paule11 · 23.06.2012, 21:27

Hallo Trojaner Board,
Danke für Eure Antwort, vom 20.06.2012
habe nach der Angabe von Cosinus einen Otl-Fix mit dem einkopierten Text durchgeführt.
Nach Problemen,ohne Virenscanner, einmal im Abgesicherten Modus ohne Netzwerkteiber und anderes mal mit Netzwerktreiber.
Ergebnis:Jedesmal BlueScreen PC startet neu, kein nach dem FIXEN Button OK.
Z.Zt. bin ich bis ca. 30.06. nicht aktiv.
Danke
Paule11

cosinus · 24.06.2012, 16:40

Probier es bitte nochmal mit diesem Script:

Code:

ATTFilter

:OTL
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://www.web.de/"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=109986&tt=171011_prot&babsrc=KW_ss&mntrId=422cd4650000000000000015835015af&q="
FF - user.js - File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ocr@babylon.com: C:\Program Files\Babylon\Babylon-Pro\Plugins\ocr@babylon.com [2012.04.01 13:18:15 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\adapter@babylontc.com: C:\Program Files\Babylon\Babylon-Pro\TC\adapter@babylontc.com [2012.04.01 13:18:15 | 000,000,000 | ---D | M]
[2012.04.29 12:11:29 | 000,000,000 | ---D | M] (Click&amp;Clean) -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\pj1hyd81.tarnfox\extensions\clickclean@hotcleaner.com
[2012.05.19 14:27:14 | 000,000,000 | ---D | M] ("I Want This") -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\pj1hyd81.tarnfox\extensions\crossriderapp2258@crossrider.com
[2012.06.02 18:15:05 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\qjz1gcck.default\extensions
[2012.05.19 14:27:13 | 000,000,000 | ---D | M] ("I Want This") -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\qjz1gcck.default\extensions\crossriderapp2258@crossrider.com
[2011.12.25 15:57:32 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\qjz1gcck.default\extensions\ffxtlbr@babylon.com
[2012.05.12 15:36:38 | 000,000,000 | ---D | M] ("Ask Toolbar") -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\qjz1gcck.default\extensions\toolbar@ask.com
[2009.10.20 10:47:24 | 000,002,256 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\djxnfNsQTODXNsuaO
[2011.11.03 19:57:54 | 000,002,419 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\DvXrsUAxnfyqtoUAGLVqt
[2011.11.07 13:37:58 | 000,000,923 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\glVytoUjLVqtEUvXN
[2011.11.03 19:57:54 | 000,000,933 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\JJLJJLjlljllxUD
[2011.11.03 19:57:54 | 000,010,525 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\odGLfqtETglJpruaglvp
[2010.10.20 20:57:28 | 000,005,550 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\oDvXNsuODJXNesodAxnf
[2011.11.03 19:57:54 | 000,002,457 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\qtodAGLVytoUAGLfytE
[2012.05.19 14:27:02 | 000,002,354 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O2 - BHO: (Babylon IE plugin) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.)
O2 - BHO: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files\MyAshampoo\prxtbMyA0.dll (Conduit Ltd.)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files\MyAshampoo\prxtbMyA0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\..\Toolbar\WebBrowser: (MyAshampoo Toolbar) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - C:\Program Files\MyAshampoo\prxtbMyA0.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 181
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0
O7 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 67108251
O7 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 247
O7 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 0
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2005.11.17 16:06:10 | 000,000,069 | -H-- | M] () - E:\autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2009.03.30 12:32:46 | 000,000,288 | ---- | M] () - G:\Autorun.inf -- [ NTFS ]
O33 - MountPoints2\{0006390b-06b4-11e1-9fb1-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{00063912-06b4-11e1-9fb1-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{0a7c0dbc-4c9e-11e1-b80e-8cf2f02cb628}\Shell - "" = AutoRun
O33 - MountPoints2\{0c1c2393-2252-11e0-8228-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{100d4ecf-23d1-11e1-b0fc-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{100d4ed2-23d1-11e1-b0fc-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{3249c581-aa19-11e1-abaa-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{3249c581-aa19-11e1-abaa-00a0d1a41db2}\Shell\AutoRun\command - "" = E:\SealOne.exe
O33 - MountPoints2\{6f93e73c-2427-11e1-bcbf-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{6f93e73f-2427-11e1-bcbf-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{84d0b483-74e5-11e1-95f6-c1709df6c37e}\Shell - "" = AutoRun
O33 - MountPoints2\{96cda11e-1135-11e0-9042-9e7ea5844deb}\Shell\AutoRun\command - "" = H:\fscommand\LS_Start_Launch.cmd
O33 - MountPoints2\{96cda11e-1135-11e0-9042-9e7ea5844deb}\Shell\Launcher\command - "" = H:\fscommand\LS_Start_Launch.cmd
O33 - MountPoints2\{9e286fc6-27ea-11e1-b944-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{fd3b5308-27ec-11e1-9ad3-00a0d1a41db2}\Shell - "" = AutoRun
O34 - HKLM BootExecute: (autocheck autochk /r \??\K:)
O34 - HKLM BootExecute: (autocheck autochk /r \??\J:)
O34 - HKLM BootExecute: (autocheck autochk /r \??\I:)
O34 - HKLM BootExecute: (autocheck autochk /r \??\G:)
O34 - HKLM BootExecute: (autocheck autochk /r \??\F:)
O34 - HKLM BootExecute: (autocheck autochk /r \??\E:)
O34 - HKLM BootExecute: (autocheck autochk /r \??\J:)
O34 - HKLM BootExecute: (autocheck autochk /r \??\G:)
O34 - HKLM BootExecute: (autocheck autochk /r \??\E:)
O34 - HKLM BootExecute: (autocheck autochk /p \??\F:)
[2011.12.07 18:08:25 | 000,000,000 | ---- | C] () -- C:\Users\Brockhoff\AppData\Local\gAxvXjlJnVNssX
[2011.11.27 19:41:09 | 000,000,201 | ---- | C] () -- C:\Program Files\0LK6D98M.bat
[2011.11.23 20:42:15 | 000,000,000 | ---- | C] () -- C:\Users\Brockhoff\AppData\Local\sEOGyQUlnNsavfsoOG
[2012.05.19 15:38:41 | 000,000,000 | ---D | M] -- C:\Users\Brockhoff\AppData\Roaming\Babylon
[2012.05.16 19:09:53 | 000,000,000 | ---D | M] -- C:\Users\Brockhoff\AppData\Roaming\Wjngc
[2012.05.19 15:38:23 | 000,000,000 | ---D | M] -- C:\Users\Brockhoff\AppData\Roaming\Wvixyps
@Alternate Data Stream - 185 bytes -> C:\ProgramData\TEMP:CAEDBDA6
@Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:DBC416F8
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]

paule11 · 01.07.2012, 10:38

Hallo Trojaner-Board,
hier bin ich wieder und habe nach dem neuesten Code von Cosinus einen OTL Scan durchgeführt.
OTL.TXT ist angehängt. Allerdings hat es mit anklicken des Button "FIX" nicht funktioniert. Bildschirm wurde Blue Screen.
Erst mal Danke
Paule11

18.06.2012, 09:00	#23
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verschlüsselungstrojaner PN=Private Nachricht Probier den OTL-CustomScan bitte mal im abgesicherten Modus aus __________________ Logfiles bitte immer in CODE-Tags posten

21.06.2012, 10:39	#27
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verschlüsselungstrojaner Starte Windows neu im abgesicherten Modus (mit Netzwerktreibern nach Möglichkeit), manchmal hakt das Fixen mit OTL im normalen Modus aber sehr oft funktioniert der Fix im abgesicherte Modus. __________________ Logfiles bitte immer in CODE-Tags posten

Verschlüsselungstrojaner

Log-Analyse und Auswertung: Verschlüsselungstrojaner