Moin zusammen,

wie das so ist, komme am Vatertag mittags vom Dienst und unterdessen ist die Frau Gemahlin in die Falle getappt...

"Unser" Trojaner ist offenbar von der Variante 1.140.1, d. h. die Dateinamen sind nun eine wirre Zeichenfolge. Eine befallene Datei, die ich mit dem Original vergleichen konnte (mit Windows Editor geöffnet), ist am Anfang unterschiedlich, weiter hinten jedoch wieder gleich. Entschuldigt bitte daß ich das jetzt nicht in Bits und Bytes ausdrücken kann, so gut weiß ich damit leider nicht Bescheid...

Wie stellt sich der Schaden dar: Der Trojaner kam per Mail mit einem vermeintlichen Rechnungsanhang. Die Mail ist nun nicht mehr zugänglich, weil verschlüsselt. Der Rechner lief wohl noch eine Zeit lang normal weiter, irgendwann kam das Fenster mit der Zahlungsaufforderung per Ukash. An dieser Stelle hat meine Frau nichts weiter getan und die Finger davon gelassen.

Die Maus ließ sich noch bewegen, aber die Tastatur reagierte nicht mehr (wollte mal probehalber was in eins der Eingabefelder schreiben).

Rechner ausgeschaltet und neu gestartet. Der Anmeldebildschirm, wo man das Nutzerprofil anwählen kann, erschien ganz normal, ich konnte mich mit meinem Profil anmelden. Auffällig: Mein Hintergrundbild war weg, konnte ich aber über Rechtsklick > Eigenschaften > Desktop wieder zurückholen. Vier oder fünf meiner Desktopverknüpfungen waren verschlüsselt und zerstört. Die Symbole (Bildchen) für "Arbeitsplatz", "Netzwerkumgebung" und "eigene Dateien" sind nicht mehr da, die Verknüpfungen funktionieren jedoch weiterhin.

Auf allen 4 Laufwerken (C: System, D: Programme, E: Daten, F: Backups) sind zahlreiche Dateien befallen. Auffällig: Meine Backups auf F:, erstellt mit Paragon Drive Backup, wurden, vom Zeitstempel her (08:12 Uhr) als erstes vom Trojaner bearbeitet, alles andere während der folgenden 4 Minuten.

Hauptsächlich wurden Dateien in "Dokumente und Einstellungen" verschlüsselt, allerdings auch sämtliche Ordner unserer Homebanking-Software Star-Money (was ganz besonders ärgerlich ist...).

Interessant: Dateien mit den Endungen .dat, .ini, .inf, .log, .db wurden offenbar verschont, auch innerhalb ansonsten komplett verschlüsselter Ordner.

DecryptHelper.exe und Avira Ransom File Unlocker konnten nichts ausrichten. Avast Antivirus hat (anfangs beim ersten Scan) nichts gefunden. Vom "sauberen" Laptop, auf dem Avira Antivirus installiert ist, komme ich übers Netzwerk nicht auf den befallenen Rechner (kostenlose Programmversion geht nicht mit Netzlaufwerken).

Malwarebytes war folgendermaßen fündig geworden:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.17.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
U :: UWE [Administrator]

Schutz: Aktiviert

17.05.2012 22:53:24
mbam-log-2012-05-17 (22-53-24).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 244068
Laufzeit: 10 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\F41A2BBA6C344CBC6383.exe,) Gut: (userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Dennoch bin ich mir nicht sicher, ob der Trojaner nun noch auf dem "großen" Rechner ist oder nicht. Die Festplatten auszubauen, hatte ich noch keine Zeit (und, um ehrlich zu sein, noch keine Nerven).

Ach ja, der Vollständigkeit halber: Der infizierte Rechner läuft mit Win XP SP3, zwei Benutzerkonten eingerichtet. Mit meinem kann ich halbwegs arbeiten, schreibe ich auch gerade von.

Falls zweckdienlich, kann ich gern ein paar Dateipaare (kaputt - heile) beisteuern, wenn gewünscht, wie stelle ich's am besten an?

Soweit hatte ich schon im Diskussions-Thread geschrieben, Markus riet mir daraufhin, hier ein neues Thema zu eröffnen. Ist hiermit geschehen

Inzwischen hat Avast auch was gefunden:

Code: Alles auswählenAufklappen

ATTFilter

18.05.2012 18:09:38	C:\Dokumente und Einstellungen\P****\Lokale Einstellungen\Temp\quinppsffr.pre [L] Win32:Karagany-HB [Trj] (0)
Bei Datei reparieren, Fehler aufgetreten: Die Datei wurde nicht repariert.
Datei erfolgreich in Container verschoben...
18.05.2012 18:40:53	C:\Dokumente und Einstellungen\P****\Anwendungsdaten\Fbnmertyrn\F82CB31A6C344CBCCA83.exe [L] Win32:Karagany-HB [Trj] (0)
Bei Datei reparieren, Fehler aufgetreten: Die Datei wurde nicht repariert.
Datei erfolgreich in Container verschoben...
         

und:

Code: Alles auswählenAufklappen

ATTFilter

05/19/2012 00:16
Prüfung von *STARTUP

Prüfung von C:

Datei C:\System Volume Information\_restore{268842FD-4597-4B94-8B54-D33184D66FAF}\RP2\A0000135.exe ist infiziert von Win32:Karagany-HB [Trj], In Container verschoben
Datei C:\System Volume Information\_restore{268842FD-4597-4B94-8B54-D33184D66FAF}\RP2\A0000138.exe ist infiziert von Win32:Karagany-HB [Trj], In Container verschoben
Anzahl durchsuchter Ordner: 12164
Anzahl der geprüften Dateien: 273725
Anzahl infizierter Dateien: 2
         

Und noch was aus den Avast-Logfiles ausgegraben, das sagt mir, Avast hat die Infektion offenbar mitbekommen, aber nicht verhindert?????

Code: Alles auswählenAufklappen

ATTFilter

* Start: Donnerstag, 17. Mai 2012 07:38:07
*

17.05.2012 07:38:41	Modification of: \REGISTRY\MACHINE\System\CurrentControlSet\Services\FsUsbExDisk\DeleteFlag
    By:  C:\WINDOWS\system32\FsUsbExService.Exe
    Via: C:\WINDOWS\system32\services.exe
         -> Action allowed
17.05.2012 07:44:59	Modification of: \Registry\Machine\System\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
    By:  C:\DOKUME~1\P****\LOKALE~1\Temp\trfdlamobu.pre
    Via: C:\WINDOWS\system32\ctfmon.exe
         -> Action allowed
         

und:

Code: Alles auswählenAufklappen

ATTFilter

* Start: Donnerstag, 17. Mai 2012 07:38:07
*

17.05.2012 08:13:41	hxxp://www.rousselnet.de/captcha/captcha.exe [L] Win32:Karagany-GS [Trj] (0)
         

Hab nun noch die "Anweisungen für alle Hilfesuchenden" abgearbeitet:

Defogger runtergeladen und ausgeführt. Rechner neu gestartet.

dds heruntergeladen, Internetverbindung getrennt, alle Autostart-Programme beendet, Virenschutz + Malwarebytes + Firewall deaktiviert. dds ausgeführt, dds.txt hier:

[CODE].DDS Logfile:

Code: Alles auswählenAufklappen

ATTFilter

DDS (Ver_2011-08-26.01) - NTFSx86 
Internet Explorer: 8.0.6001.18702  BrowserJavaVersion: 10.3.0
Run by U at 11:47:39 on 2012-05-19
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1791.933 [GMT 2:00]
.
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: ZoneAlarm Firewall *Disabled* 
.
============== Running Processes ===============
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
svchost.exe
C:\Programme\CheckPoint\ZAForceField\IswSvc.exe
D:\Programme\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
svchost.exe
D:\Programme\SteuertipsPC\AAVUpdateManager\aavus.exe
C:\Programme\Gemeinsame Dateien\AVerMedia\Service\AVerRemote.exe
C:\Programme\Gemeinsame Dateien\AVerMedia\Service\AVerScheduleService.exe
C:\WINDOWS\system32\FsUsbExService.Exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
D:\Programme\Nero 7\InCD\InCDsrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
D:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
D:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
D:\Programme\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\SCARDS32.EXE
D:\Programme\NETGEAR\NETGEAR Storage Central Manager Utility\Z-SANService.exe
C:\Programme\CheckPoint\ZAForceField\ForceField.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
D:\Programme\AVAST Software\Avast\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
D:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Gemeinsame Dateien\AVerMedia\AVerQuick\AVerHIDReceiver.exe
D:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = about:blank
mWinlogon: Userinit=userinit.exe,
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - d:\progra~1\micros~1\office12\GRA8E1~1.DLL
BHO: ZoneAlarm Toolbar Registrar: {8a4a36c2-0535-4d2c-bd3d-496cb7eed6e3} - c:\programme\checkpoint\zaforcefield\trustchecker\bin\TrustCheckerIEPlugin.dll
BHO: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - d:\programme\avast software\avast\aswWebRepIE.dll
BHO: Free Download Manager: {cc59e0f9-7e43-44fa-9faa-8377850bf205} - d:\programme\free download manager\iefdm2.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre7\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: ZoneAlarm Toolbar: {ee2ac4e5-b0b0-4ec6-88a9-bca1a32ab107} - c:\programme\checkpoint\zaforcefield\trustchecker\bin\TrustCheckerIEPlugin.dll
TB: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - d:\programme\avast software\avast\aswWebRepIE.dll
TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
uRun: [H/PC Connection Agent] "d:\programme\microsoft activesync\wcescomm.exe"
uRun: [TomTomHOME.exe] "d:\programme\tomtom home 2\TomTomHOMERunner.exe"
mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
mRun: [ZoneAlarm Client] "d:\programme\zone labs\zonealarm\zlclient.exe"
mRun: [ISW] "c:\programme\checkpoint\zaforcefield\ForceField.exe" /icon="hidden"
mRun: [PaperPort PTD] "c:\programme\scansoft\paperport\pptd40nt.exe"
mRun: [IndexSearch] "c:\programme\scansoft\paperport\IndexSearch.exe"
mRun: [PPort11reminder] "c:\programme\scansoft\paperport\ereg\ereg.exe" -r "c:\dokumente und einstellungen\all users\anwendungsdaten\scansoft\paperport\11\config\ereg\Ereg.ini"
mRun: [BrMfcWnd] c:\programme\brother\brmfcmon\BrMfcWnd.exe /AUTORUN
mRun: [ControlCenter3] c:\programme\brother\controlcenter3\brctrcen.exe /autorun
mRun: [StartCCC] "c:\programme\ati technologies\ati.ace\core-static\CLIStart.exe" MSRun
mRun: [NPSStartup] 
mRun: [avast] "d:\programme\avast software\avast\avastUI.exe" /nogui
mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe"
mRun: [Malwarebytes' Anti-Malware] "d:\programme\malwarebytes' anti-malware\mbamgui.exe" /starttray
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\u\startm~1\progra~1\autost~1\spamih~1.lnk - c:\programme\spamihilator\spamihilator.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\averhi~1.lnk - c:\programme\gemeinsame dateien\avermedia\averquick\AVerHIDReceiver.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\averqu~1.lnk - c:\programme\gemeinsame dateien\avermedia\averquick\AVerQuick.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\logite~1.lnk - d:\programme\logitech\setpoint\SetPoint.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\online~1.lnk - d:\programme\onlinecontrol\ocontrol.exe
IE: Alles mit FDM herunterladen - file://d:\programme\free download manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://d:\programme\free download manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://d:\programme\free download manager\dllink.htm
IE: Nach Microsoft E&xel exportieren - d:\progra~1\micros~1\office12\EXCEL.EXE/3000
IE: Videos mit FDM herunterladen - file://d:\programme\free download manager\dlfvideo.htm
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - d:\progra~1\micros~1\office12\ONBttnIE.dll
IE: {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} - d:\progra~1\micros~2\INetRepl.dll
IE: {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} - d:\progra~1\micros~2\INetRepl.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - d:\progra~1\micros~1\office12\REFIEBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-0017-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - d:\progra~1\micros~1\office12\GR99D3~1.DLL
Notify: AtiExtEvent - Ati2evxx.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - d:\progra~1\micros~1\office12\GRA8E1~1.DLL
mASetup: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "c:\programme\gemeinsame dateien\lightscribe\LSRunOnce.exe"
IFEO: taskmgr.exe - P9KDMF.EXE
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\u\anwendungsdaten\mozilla\firefox\profiles\8go2hnuv.default\
FF - component: c:\dokumente und einstellungen\u\anwendungsdaten\mozilla\firefox\profiles\8go2hnuv.default\extensions\{340c2bbc-ce74-4362-90b5-7c26312808ef}\platform\winnt_x86-msvc\components\WeaveCrypto.dll
FF - component: c:\programme\checkpoint\zaforcefield\trustchecker\components\TrustCheckerMozillaPlugin.dll
FF - component: d:\programme\free download manager\firefox\extension\components\vmsfdmff.dll
FF - plugin: c:\programme\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\programme\adobe\reader 9.0\reader\air\nppdf32.dll
FF - plugin: c:\programme\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\google\update\1.3.21.111\npGoogleUpdate3.dll
FF - plugin: c:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\java\jre6\bin\plugin2\npdeployJava1.dll
FF - plugin: c:\programme\java\jre7\bin\plugin2\npjp2.dll
FF - plugin: c:\programme\logitech\harmony remote driver\NprtHarmonyPlugin.dll
FF - plugin: c:\programme\microsoft silverlight\5.0.61118.0\npctrlui.dll
FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_2_202_235.dll
FF - plugin: d:\internet\firefox\plugins\np_gp.dll
FF - plugin: d:\multimedia\realplayer\netscape6\nppl3260.dll
FF - plugin: d:\multimedia\realplayer\netscape6\nprjplug.dll
FF - plugin: d:\multimedia\realplayer\netscape6\nprpjplug.dll
FF - plugin: d:\programme\3d-viewer-innoplus\npIno3DViewer.dll
FF - plugin: d:\programme\quicktime\plugins\npqtplugin.dll
FF - plugin: d:\programme\quicktime\plugins\npqtplugin2.dll
FF - plugin: d:\programme\quicktime\plugins\npqtplugin3.dll
FF - plugin: d:\programme\quicktime\plugins\npqtplugin4.dll
FF - plugin: d:\programme\quicktime\plugins\npqtplugin5.dll
FF - plugin: d:\programme\quicktime\plugins\npqtplugin6.dll
FF - plugin: d:\programme\quicktime\plugins\npqtplugin7.dll
FF - plugin: d:\programme\videolan\vlc\npvlc.dll
.
============= SERVICES / DRIVERS ===============
.
R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [2010-3-14 39472]
R0 TwkMs;CHIPDRIVE Maus Adapter;c:\windows\system32\drivers\TWKMS.SYS [2010-3-13 4828]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2012-2-8 612184]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2012-2-8 337880]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [2011-6-29 218688]
R1 vsdatant;vsdatant;c:\windows\system32\vsdatant.sys [2010-3-12 486280]
R2 AAV UpdateService;AAV UpdateService;d:\programme\steuertipspc\aavupdatemanager\aavus.exe [2008-10-24 128296]
R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [2007-7-27 330144]
R2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-7-27 251680]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2012-2-8 20696]
R2 avast! Antivirus;avast! Antivirus;d:\programme\avast software\avast\AvastSvc.exe [2012-2-8 44768]
R2 AVerRemote;AVerRemote;c:\programme\gemeinsame dateien\avermedia\service\AVerRemote.exe [2010-3-15 352256]
R2 AVerScheduleService;AVerScheduleService;c:\programme\gemeinsame dateien\avermedia\service\AVerScheduleService.exe [2010-3-15 405504]
R2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2010-8-29 233472]
R2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\programme\checkpoint\zaforcefield\ISWKL.sys [2009-10-14 25208]
R2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\programme\checkpoint\zaforcefield\ISWSVC.exe [2009-10-14 476528]
R2 MBAMService;MBAMService;d:\programme\malwarebytes' anti-malware\mbamservice.exe [2012-5-17 654408]
R2 Netzmanager Service;Netzmanager Infrastruktur Informationssystem Dienst;d:\programme\netzmanager\nminfrais2\Netzmanager_Service.exe [2010-11-4 9728]
R2 SFSZ;DataPlow SFS for Zetera Storage Devices;c:\windows\system32\drivers\sfsz.sys [2010-3-12 342272]
R2 TomTomHOMEService;TomTomHOMEService;d:\programme\tomtom home 2\TomTomHOMEService.exe [2012-1-23 92592]
R2 TwkPCSC;CHIPDRIVE PC/SC Drivers;c:\windows\system32\drivers\TWKPCSC.SYS [2010-3-13 11676]
R2 TWKSCARDSRV;CHIPDRIVE SCARD Service;c:\windows\SCARDS32.EXE [2010-3-13 264192]
R2 Z-SANService;Z-SAN Service;d:\programme\netgear\netgear storage central manager utility\Z-SANService.exe [2010-3-12 364603]
R3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [2010-8-29 36608]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-5-17 22344]
R3 TWKPNP;CHIPDRIVE Plug and Play driver;c:\windows\system32\drivers\TWKPNP.SYS [2010-3-13 5550]
R3 ZetBus;Zetera Virtual Bus;c:\windows\system32\drivers\ZetBus.sys [2010-3-12 15488]
S0 ZetSFD;ZetSFD;c:\windows\system32\drivers\ZetSFD.sys [2010-3-12 12800]
S2 gupdate;Google Update Service (gupdate);c:\programme\google\update\GoogleUpdate.exe [2010-5-18 136176]
S2 vsmon;TrueVector Internet Monitor;c:\windows\system32\zonelabs\vsmon.exe -service --> c:\windows\system32\zonelabs\vsmon.exe -service [?]
S3 AVerAF15DMBTH;AVerMedia A850 USB;c:\windows\system32\drivers\AVerAF15DMBTH.sys [2010-3-15 487168]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\google\update\GoogleUpdate.exe [2010-5-18 136176]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\mozilla maintenance service\maintenanceservice.exe [2012-4-28 129976]
S3 RSUSBCCID;Realtek Smartcard Reader Driver;c:\windows\system32\drivers\RtsUCcid.sys [2010-10-27 44032]
S3 RtsUIr;Realtek IR Driver;c:\windows\system32\drivers\RtsUIr.sys [2010-10-27 17536]
S3 StarMoney 7.0 OnlineUpdate;StarMoney 7.0 OnlineUpdate;d:\finanzen\starmoney 7.0\ouservice\starmoneyonlineupdate.exe --> d:\finanzen\starmoney 7.0\ouservice\StarMoneyOnlineUpdate.exe [?]
S3 TelekomNM3;Telekom Netzmanager Packet Filter Driver;d:\programme\netzmanager\nminfrais2\driver\TelekomNM3.sys [2010-9-16 35040]
S3 ZetMPD;ZetMPD;c:\windows\system32\drivers\ZetMPD.sys [2010-3-12 5120]
S4 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [2010-3-13 155136]
S4 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [2010-3-13 5248]
S4 sojubus;sojubus;c:\windows\system32\drivers\sojubus.sys [2003-10-5 123520]
S4 sojuscsi;sojuscsi;c:\windows\system32\drivers\sojuscsi.sys [2003-9-28 5504]
.
=============== Created Last 30 ================
.
2012-05-17 20:50:45	--------	d-----w-	c:\dokumente und einstellungen\u\anwendungsdaten\Malwarebytes
2012-05-17 20:50:30	--------	d-----w-	c:\dokumente und einstellungen\all users\anwendungsdaten\Malwarebytes
2012-05-17 20:50:29	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-05-10 18:36:39	--------	d-----w-	c:\dokumente und einstellungen\u\lokale einstellungen\anwendungsdaten\Babylon
2012-05-10 18:36:38	--------	d-----w-	c:\dokumente und einstellungen\u\anwendungsdaten\Babylon
2012-05-10 18:36:28	--------	d-----w-	c:\dokumente und einstellungen\u\anwendungsdaten\YourFileDownloader
2012-04-28 06:41:06	--------	d-----w-	c:\programme\Mozilla Maintenance Service
.
==================== Find3M  ====================
.
2012-05-10 11:32:10	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-10 11:32:10	419488	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-04-14 18:17:23	141312	----a-w-	c:\windows\system32\javacpl.cpl
2012-04-14 18:17:22	637848	----a-w-	c:\windows\system32\npdeployJava1.dll
2012-04-14 18:17:22	567696	----a-w-	c:\windows\system32\deployJava1.dll
2012-04-11 13:51:20	2071424	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-04-11 13:51:18	1862400	----a-w-	c:\windows\system32\win32k.sys
2012-04-11 13:51:17	2194944	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-03-07 00:15:19	41184	----a-w-	c:\windows\avastSS.scr
2012-03-07 00:03:51	612184	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2012-03-01 11:00:09	916992	----a-w-	c:\windows\system32\wininet.dll
2012-03-01 11:00:08	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-03-01 11:00:08	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-02-29 14:09:48	177664	----a-w-	c:\windows\system32\wintrust.dll
2012-02-29 14:09:48	148480	----a-w-	c:\windows\system32\imagehlp.dll
2012-02-29 12:17:40	385024	----a-w-	c:\windows\system32\html.iec
.
============= FINISH: 11:48:31,56 ===============
         

--- --- ---


attach.txt gezippt als Anhang.

Wieder Rechner neu gestartet, alle Programme incl. Virenschutz, Malwarebytes und Firewall beendet, Gmer gestartet. Hier gab's ein Problem: Man sah noch so eben, wie ein Fenster aufgeht, Einzelheiten waren nicht zu erkennen, und sofort war der Bildschirm schwarz und der Rechner startete neu. Bei einem zweiten Versuch genau dasselbe. Hier der Report der Fehlerberichterstattung:

Code: Alles auswählenAufklappen

ATTFilter

BCCode : 19     BCP1 : 00000020     BCP2 : 888750C8     BCP3 : 888758F0     
BCP4 : 1B050004     OSVer : 5_1_2600     SP : 3_0     Product : 256_1     





--------------------------------------------------------

Folgende Dateien wurden in Ihren Problembericht aufgenommen:


C:\DOKUME~1\U\LOKALE~1\Temp\WER35f7.dir00\Mini051912-02.dmp
C:\DOKUME~1\U\LOKALE~1\Temp\WER35f7.dir00\sysdata.xml
         

Die beiden benannten Dateien finde ich allerdings nicht, werden die bei Abmeldung des Benutzerkontos bzw. beim Ausschalten des Rechners gelöscht?

Soviel für heute, ist schon wieder spät geworden. Bin guter Dinge, daß mir hier kompetent weitergeholfen wird.

und Gute Nacht!

Uwe

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
• Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren) - wenn du die anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
• Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
• Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. Erschwert mir nämlich das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


Starte neu, versuche den Gmer-Scan erneut. Wenn das erneut nicht funktioniert, mach statt GMER folgendes:


aswMBR


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Hallo Marius,

zuallererst mal GANZ HERZLICHEN DANK für Deine Mühe!!!

Gmer funktioniert nach wie vor nicht, sofort nach Programmstart stürzt der Rechner ab und startet neu. Das passiert bei Anmeldung in beiden Benutzerkonten, wie auch bei Rechtsklick > Ausführen als Administrator (Win XP SP3).

Im abgesicherten Modus kann ich nicht starten, vermutlich eine Folge des Trojaners? Vielleicht hast Du einen Tip, wie ich das reparieren kann?

aswMBR hat einwandfrei funktioniert. Anbei der Inhalt der txt-Datei mit der Einstellung "Scan C". Ich habe auch noch aus jedem Benutzerkonto sowie als Administrator jeweils einen "Quickscan" gemacht, die Logs sind aber soweit ich das überflogen habe, identisch. Wenn Du die Quickscans trotzdem sehen möchtest, gib einfach Bescheid.

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-05-21 22:32:06
-----------------------------
22:32:06.328    OS Version: Windows 5.1.2600 Service Pack 3
22:32:06.328    Number of processors: 1 586 0x2F02
22:32:06.328    ComputerName: UWE  UserName: U
22:32:06.765    Initialize success
22:32:07.046    AVAST engine defs: 12052100
22:32:21.875    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
22:32:21.890    Disk 0 Vendor: SAMSUNG_SP1614N TM100-30 Size: 152627MB BusType: 3
22:32:21.890    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T1L0-c
22:32:21.890    Disk 1 Vendor: SAMSUNG_HD300LD WK100-12 Size: 286168MB BusType: 3
22:32:21.953    Disk 0 MBR read successfully
22:32:21.953    Disk 0 MBR scan
22:32:21.953    Disk 0 Windows XP default MBR code
22:32:21.953    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        58000 MB offset 63
22:32:21.984    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        94625 MB offset 118784610
22:32:22.000    Disk 0 scanning sectors +312576705
22:32:22.156    Disk 0 scanning C:\WINDOWS\system32\drivers
22:32:48.796    Service scanning
22:32:57.546    Service vsdatant C:\WINDOWS\System32\vsdatant.sys **LOCKED** 32
22:32:59.046    Modules scanning
22:33:28.687    Disk 0 trace - called modules:
22:33:28.703    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys PCIIDEX.SYS 
22:33:28.703    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89c1cab8]
22:33:28.718    3 CLASSPNP.SYS[ba108fd7] -> nt!IofCallDriver -> \Device\00000070[0x89c2cf18]
22:33:28.718    5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x89c29d98]
22:33:29.125    AVAST engine scan C:\
00:34:21.500    Scan finished successfully
06:40:35.640    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\U\Desktop\MBR.dat"
06:40:35.640    The log file has been saved successfully to "C:\Dokumente und Einstellungen\U\Desktop\aswMBR_c.txt"
         

Nochmals besten Dank, und viele Grüße

Uwe

Besuche die Seite markusg - trojaner-board.de, um den Trojaner zwecks Analyse einzusenden (NICHT deine verschlüsselten Dateien).

Danach gehts hier weiter:

Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hallo Marius,

die Mail mit dem Trojaner kann ich leider nicht einsenden, ist ja nun mal (neben vielem anderen) verschlüsselt...

ComboFix funktioniert auch nicht: Installation und Programmstart haben soweit geklappt. Malwarebytes und Avast hatte ich vorher deaktiviert. Windows Wiederherstellungskonsole wurde offenbar heruntergeladen und installiert.

ComboFix hat den Scan begonnen, im Fenster wurde der Fortschritt ordnungsgemäß angezeigt. Nach "Stufe 50" kam noch ganz kurz eine Statusmeldung, sah aus wie "Dateien löschen" oder so. Danach Absturz, schwarzer Bildschirm, Neustart. Das Ganze zwei mal nacheinander.

Die combofix.txt wurde nicht erstellt, hab sie jedenfalls nicht finden können. Erstellt wurde allerdings ein Ordner C:\Qoobox, mit u. a. einem Haufen .dat - Dateien und einem Registry-Backup. Weiter ist da ein Ordner C:\combofix. Wenn ich den mit Avast überprüfe, werden verschiedenste Dateien aufgeführt, im Windows-Explorer verbirgt sich dahinter allerdings der "Arbeitsplatz".

Viele Grüße

Uwe

Guten Morgen,

da scheinen wir ein Problem zu haben!

Lösche die vorhandene Combofix.exe, lade es erneut herunter und führe es gemäß Anleitung aus.

Hallo Marius,

funktioniert nicht - von beiden Links noch mal runtergeladen, jeweils nach "Stufe 50" schwarzer Bildschirm mit Rechner-Neustart.

Die Meldung ganz zum Schluß lautet tatsächlich "Dateien löschen".

Sieht für mich so aus, als ob der Zugriff auf irgendwas auch immer blockiert ist, womöglich die gleiche Ursache für das Scheitern von Gmer?

Noch eine Auffälligkeit, die vielleicht wichtig ist: Der Taskmanager läßt sich auf herkömmliche Art nicht starten, d. h. nicht per Strg+Alt+Entf, da tut sich gar nix. Auch nicht per Doppelklick auf die taskmgr.exe, da heißt es "Datei [Pfad]\taskmgr.exe nicht gefunden". Genauso, wenn ich eine Kopie der Datei von einem anderen Speicherort starten will, sogar von einem USB-Stick aus. Sehr merkwürdig...

Wenn ich aber eine Kopie der taskmgr.exe umbenenne, startet die umbenannte Datei per Doppelklick einwandfrei und der Taskmanager läuft wie er soll.

Vielleicht kannst Du damit ja was anfangen.

Viele Grüße

Uwe

Combofix ohne MBR-Scan

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lösche die vorhandene Combofix.exe!

Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop!

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Klicke Start-->Ausführen, schreibe combofix /nombr, klicke OK und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hallo Marius,

abgesicherter Modus geht doch auch nicht, wie oben schon erwähnt...

Zitat:

Zitat von uwenrue

Im abgesicherten Modus kann ich nicht starten, vermutlich eine Folge des Trojaners? Vielleicht hast Du einen Tip, wie ich das reparieren kann?

Weder mit noch ohne Netzwerktreiber, auch nicht mit Eingabeaufforderung.

Verdammt, die Dreckskerle machen es uns bzw. Dir offenbar nicht ganz einfach. Wäre es sinnvoll, den Rechner (Registry?) erstmal wieder so hinzubiegen, daß der abgesicherte Modus wieder funktioniert?

Das Problem haben ja wohl, wie ich gelesen habe, so einige, die den Verschlüsselungstrojaner eingefangen haben. Ob es für das Problem eine Lösung gibt, habe ich noch nicht nachgeschaut, ich will ja Dir auch nicht ins Handwerk pfuschen, sozusagen...

Ich melde mich jetzt erstmal übers Wochenende ab und wünsche Dir und natürlich auch allen anderen vom Board-Team ein super tolles Pfingstwochenende!!!

Bis näxte Woche

Uwe

dann führe CF im normalen Modus aus . starte es so, wie ich es oben beschrieben habe!

Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen