Verschlüsselungs-Trojaner hat Bilddateien umbenannt und ändert vermutlich noch immer Grafiken

r23 · 20.05.2012, 14:52

Hallo,

ich bin eigentlich vorsichtig und verwende einen Virenschutz bei meinem Provider und einen installieren Virenscanner... und ich öffenen eigentlich auch nicht jeden Anhang..

Der Header der Mail

Zitat:

From - Fri May 18 09:44:38 2012
X-Account-Key: account3
X-UIDL: UID36728-1242884409
X-Mozilla-Status: 0011
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-path: <jerzywasiewicz@rogers.com>
Envelope-to: info@r23.de
Delivery-date: Fri, 18 May 2012 07:00:35 +0200
Received: from [98.139.44.174] (helo=nm20-vm0.access.bullet.mail.sp2.yahoo.com)
by www23.your-server.de with smtp (Exim 4.74)
(envelope-from <jerzywasiewicz@rogers.com>)
id 1SVFIc-0006yw-7o
for info@r23.de; Fri, 18 May 2012 07:00:35 +0200
Received: from [98.139.44.104] by nm20.access.bullet.mail.sp2.yahoo.com with NNFMP; 18 May 2012 05:00:12 -0000
Received: from [98.139.44.92] by tm9.access.bullet.mail.sp2.yahoo.com with NNFMP; 18 May 2012 05:00:12 -0000
Received: from [127.0.0.1] by omp1029.access.mail.sp2.yahoo.com with NNFMP; 18 May 2012 05:00:12 -0000
X-Yahoo-Newman-Id: 15347.2760.bm@omp1029.access.mail.sp2.yahoo.com
Received: (qmail 7785 invoked from network); 18 May 2012 05:00:11 -0000
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
s=s1024; d=rogers.com;
h=DKIM-Signature:X-Yahoo-Newman-Property:X-YMail-OSG:X-Yahoo-SMTP:Received:MIME-Version

ate:X-Priority:X-Mailer:Subject:From:To:Content-Type:Message-ID;
b=nXnaFFLT359Rtrzgta9mwkCYy6TMdTNxvB7Jwo1btHRGYqEtPB5eJYJaj+4EKmJ8Iet/xs42lC2Ux7B66g1MCvsuJEEi9hj9XxT722NlsheE3wMl1J2oY8vrc42zhanOQWPH2ND1YEvbKMLCmx9QQZSM2X4xbJE29p2OuWV2iqY= ;
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=rogers.com; s=s1024; t=1337317211; bh=4cR26xu1Q7OssL+KH1a4rbcPDObvXHqmabbD47n+kyQ=; h=X-Yahoo-Newman-Property:X-YMail-OSG:X-Yahoo-SMTP:Received:MIME-Version

ate:X-Priority:X-Mailer:Subject:From:To:Content-Type:Message-ID; b=EJmy98Fz5g7nh6fTK6JjRNBOE1vntSYm6mFgjBDUpb4Z1I+kIk28gxN5aPPgROHF3YUIffqThozH4HQzzIm/fwgd3LE8mxDcR1kRZ13x+AFbcvgsCrXLTBrw2i0Ak+wzByscnUe8vTSXA89Ky0xZ5eNDWKG6JkvREbfLJdM0Ewo=
X-Yahoo-Newman-Property: ymail-3
X-YMail-OSG: 3_D9RmIVM1leyP72yFpoVSHEQFEvpaYJbkwOxE.GFQQRYXG
hGz5fU4A9Vsyqt7x9DR_ZBvIOcI0TBiGNKh3P7E6_zUE1PU8t6DrWu0uWYMU
VD1nALKvOQTqg8v4yB9.mdHvsg8FGIGducXcL5Wf3VBZNI2NoznAHr3_USYk
ZpRx8xYybK9qQne_7ZYvfPaFCn7hnWfozalyBY.XamrISWXFv1vTRC7r5h8V
Z9Q8W7aeRVhHLcAm_3Xm4pdA65tmgz5RMO1NSgwGgfDbqPm7XGRMWAmjKzwU
rtErptOPGLTwyV0B6zCOmM3ZSu4437WGtAJIgs_a0zsxV0v2eYxsSK4uuqIM
KxTEdJYNn7NlyPZr2RlZTx8SwVE2u1_.SAXY6slTfuKw3hAV5NVqFLvodrX9
HGqYEJfQ2pNcPrKdO8LdfC_E_6p0cD81B97DvjQSKoaus_zXF5inOCwQQJPU
rGs4Hh_HGCrzrxne9yHV1WaaFUXXxiqeWUqrrJd2A4JXNA9d5bQyNzBZMew4
QYQgz8i_LFPu505dA8_gJ
X-Yahoo-SMTP: MqTzXw2swBAzT9mYTWVXSJu8HyqLrp7faCP.PbF.wtPn38w7sbY-
Received: from svr2k3.server.local (jerzywasiewicz@64.122.143.94 with login)
by smtp103.rog.mail.gq1.yahoo.com with SMTP; 17 May 2012 22:00:08 -0700 PDT
MIME-Version: 1.0
Date: Fri, 18 May 2012 00:00:06 -0500
X-Priority: 3 (Normal)
X-Mailer: MIME-tools 5.41 (Entity 5.404)
Subject: Re: Starklient Nummer 78164547 Zahlung
From: jerzywasiewicz@rogers.com
To: info@r23.de
Content-Type: multipart/mixed;
boundary="-----_chilkat_788_bd2c_36beab00.8df8da8c_.MIX"
Message-ID: <CHILKAT-MID-62872400-d084-7c39-3475-9bd6d8cfeb71@svr2k3.server.local>
X-Virus-Scanned: Clear (ClamAV 0.97.3/14931/Fri May 18 05:00:43 2012)
X-Spam-Score: 1.3 (+)
Delivered-To: dadum-info@r23.de

This is a multi-part message in MIME format.

Inhalt

Zitat:

Guten Tag sehr geehrter Kunde,

Sie haben soeben bei Pernetix.com die Premiummitgliedschaft gekauft. Die Summe in Höhe von 346,89 EUR wird in den kommenden Tagen von Ihrem Bankkonto entzogen.

Sie sind jetzt für die kommenden 18 Monate VIP-Kunde und können in voller Größe die Starangebote nutzen.

Rechnungsdaten sind aus Vorsichtsmassnahmen laut dem $ 2a, 2e BDSG, aus dem beigefügtem Anhang zu entnehmen.
Die Kündigung der Sonderdienste, ist mit der im zugefügten Ordner beigelegten Kündigung an eine Mail zu mailen.

Ihr Supportteam

Name GmbH
Culinstrasse 40
51476 Potsdam

Tel.: (+49) 013 99288538
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 9.00 bis 17.00 Uhr)
Ort: Arnis
Steuer-Id: DE793770388 Geschäftsfuehrer: Name

Da ich wegen einem nicht gekündigten Lexware Abo beim Haufeverlag bereits Porbleme in diesem Jahr hatte - wollte ich dieses Abo kündigen. Klickte auf den Anhang und erhielt eine Windwos Fehlermeldung. Bei der Meldung dachte ich oh wie doof von Dir ... eben geprüft ob auch Avast lief hxxp://www.avast.com/de-de/free-antivirus-download
und die Sache war vergessen.

Ca ein oder zwei Stunden später startete mein Rechner neu mit dem bekannten Monitor- Bild
http://www.trojaner-board.de/attachm...e-variante.png

Über einen anderen Rechner habe ich mir so ziemlich alle aktuellen Virenscanner besorgt. Besonders Lust sind diese Installationen, wo man erst ein Update sich installieren muss (dafür müsste man online gehen - funktioniert bei mir *nicht* im abgesicherten Modus) der Abgesicherte Modus mit Netzwerk startet bei mir *nicht*

Da ich über die _Lautsprecher_ höhrte, dass sich die Virendatenbank von Avast bei einem Booten aktualieserte - habe ich den Rechner erneut _abgesichert_ gestartet (wie macht man dies eigentlich richtig - ich habe hier einfach die Stromversorgung getrennt - evtl. erweitert hier eure Anleitung)

Im abgesicherten Modus
- Avast für den Start konfiguriert
- die Programme, die automatisch starten sollen geprüft und ein unbekanntes 47xxx Programm hier gelöscht.

Nach einigem hin und herr fuhr der Rechner ohne das Betrugsmonitorbild hoch. Allerdings funtkionierte der Rechner an einigen Stellen nicht richtig.

- Webbrowser konnte keine Seite öffnen
- E-Mail funktionierte
- Dateien waren verschlüsselt.

Ich stellte das System auf einen vorherigen Stand her (oder wie man dies auch immer nennt) über das Update.

Jetzt funktioniert auch der WebBrowser allerdings stimmt noch immer etwas mit den Bildern nicht.

Wenn ich Bilder in meinen Blog veröffentlichen möchte - werden die Bilder von Wordpress nicht als Bilder erkannt auch wenn ich mir origanle vom Web auf meinen Rechner lade und diese hochlade... erkennt Wordpress diese Bilder nicht.

Avast erkannte
C:\\Users\r23\AppData\Local\Temp\gdt20B1.tmp
Bedrohung: win32:Malware-gen

Malwarebytes Anti-Malware erkannte
PUB.BundleOffer.Downloader.S
C:\Users\r23\Downloads\SoftonicDownloader_fuer_liveszilla.exe

Zitat:

OTL Extras logfile created on: 20.05.2012 14:38:24 - Run 2
OTL by OldTimer - Version 3.2.43.0 Folder = C:\Users\r23\Desktop
64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

7,98 Gb Total Physical Memory | 5,56 Gb Available Physical Memory | 69,69% Memory free
15,96 Gb Paging File | 13,22 Gb Available in Paging File | 82,82% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 906,34 Gb Total Space | 612,06 Gb Free Space | 67,53% Space Free | Partition Type: NTFS
Drive D: | 4,38 Gb Total Space | 4,24 Gb Free Space | 96,93% Space Free | Partition Type: UDF
Drive H: | 1,91 Gb Total Space | 1,14 Gb Free Space | 59,52% Space Free | Partition Type: FAT

Computer Name: R23-PC | User Name: r23 | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========

========== File Associations ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html[@ = ChromeHTML] -- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.)
.url[@ = InternetShortcut] -- C:\windows\SysNative\rundll32.exe (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\windows\SysWow64\control.exe (Microsoft Corporation)
.html [@ = ChromeHTML] -- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
http [open] -- "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)
https [open] -- "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [Digital Photo Professional] -- C:\Program Files (x86)\Canon\Digital Photo Professional\DPPViewer.exe /path "%1" (CANON INC.)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [grepWin...] -- C:\Program Files\grepWin\grepWin.exe /searchpath:"%1" (hxxp://tools.tortoisesvn.net)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
http [open] -- "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)
https [open] -- "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [Digital Photo Professional] -- C:\Program Files (x86)\Canon\Digital Photo Professional\DPPViewer.exe /path "%1" (CANON INC.)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [grepWin...] -- C:\Program Files\grepWin\grepWin.exe /searchpath:"%1" (hxxp://tools.tortoisesvn.net)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01 [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0

========== Authorized Applications List ==========

========== Vista Active Open Ports Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0C595EFD-DCE7-42FF-9773-A431CDDF2CF6}" = rport=137 | protocol=17 | dir=out | app=system |
"{31B8F507-C49C-467D-BFD1-622CFF3E6DC5}" = lport=2869 | protocol=6 | dir=in | name=windows live communications platform (upnp) |
"{3621B7B2-866D-4EA1-B845-6DED4A7945B6}" = rport=445 | protocol=6 | dir=out | app=system |
"{3B75C908-6D30-4BE4-986A-09AF300CFB60}" = lport=137 | protocol=17 | dir=in | app=system |
"{3B7CBE1B-3657-44CC-9961-0FA331B87ED1}" = lport=445 | protocol=6 | dir=in | app=system |
"{435E5E6E-458E-43DB-9513-37552F78B917}" = rport=139 | protocol=6 | dir=out | app=system |
"{5031583C-BF31-49EB-9EF9-BE871C3FC190}" = rport=138 | protocol=17 | dir=out | app=system |
"{88553687-2FA1-405D-BE38-7D8BEFE141E5}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe |
"{A0640C73-71AE-4462-ABE5-1F1196C44419}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{B42582E9-A81C-4D0D-97CC-F74DFBD236B2}" = lport=1900 | protocol=17 | dir=in | name=windows live communications platform (ssdp) |
"{CC3E41CF-B1A9-42AE-B658-52CBCC21D54C}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 |
"{F071F6B3-65C6-4710-953D-92A984F0119C}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe |
"{F76F6BDA-6CBF-4A99-A02A-DB56CB479A76}" = lport=139 | protocol=6 | dir=in | app=system |
"{FC5539D8-A030-4B88-8C0E-7282377D39C5}" = lport=138 | protocol=17 | dir=in | app=system |

========== Vista Active Application Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0FAEC02F-ABEE-4E22-BCB8-04EAA5E73D2C}" = protocol=17 | dir=in | app=c:\program files (x86)\windows searchqu toolbar\datamngr\toolbar\dtuser.exe |
"{2D158F29-4101-4655-8FB4-DC64027875F7}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 |
"{65F00862-652D-48F0-8545-68C513127827}" = protocol=17 | dir=in | app=c:\users\r23\appdata\roaming\dropbox\bin\dropbox.exe |
"{7051641E-7F5D-4F0D-B8C8-1F8C48ACD922}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 |
"{771EEF6A-39AF-4FC5-9FBC-3671F1F4A7C8}" = protocol=6 | dir=in | app=c:\program files (x86)\surfoffline professional 2\so_pro.exe |
"{7D2138E7-DE4A-4297-97DF-82054D39D66D}" = protocol=17 | dir=in | app=c:\program files (x86)\surfoffline professional 2\so_pro.exe |
"{8F5E7C9B-5E5E-4304-B787-AC4FA629D528}" = dir=in | app=c:\program files (x86)\windows live\messenger\msnmsgr.exe |
"{97FA1EB3-DFA8-40B0-B860-3369BC75C1D4}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 |
"{A6904E88-2014-48D9-9D81-82B2AA70AA30}" = dir=in | app=c:\program files (x86)\windows live\contacts\wlcomm.exe |
"{B617A53E-312B-4030-9FE8-794969A34A0E}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 |
"{C361F3A9-DDA9-445B-B29B-DDBC20C92C3A}" = protocol=6 | dir=in | app=c:\users\r23\appdata\roaming\dropbox\bin\dropbox.exe |
"{DF985C13-6F0E-4AE1-8952-33682704934F}" = dir=in | app=c:\program files (x86)\windows live\mesh\moe.exe |
"{E7F35BCE-A215-4242-9E5A-B5D89931C65E}" = protocol=6 | dir=in | app=c:\program files (x86)\windows searchqu toolbar\datamngr\toolbar\dtuser.exe |
"TCP Query User{17A61D89-85E8-4C63-9B4A-853EE101B5FB}C:\program files (x86)\epson software\event manager\eeventmanager.exe" = protocol=6 | dir=in | app=c:\program files (x86)\epson software\event manager\eeventmanager.exe |
"UDP Query User{399E4755-AA2F-466B-B9CB-54CA8924905C}C:\program files (x86)\epson software\event manager\eeventmanager.exe" = protocol=17 | dir=in | app=c:\program files (x86)\epson software\event manager\eeventmanager.exe |

========== HKEY_LOCAL_MACHINE Uninstall List ==========

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{071D1BB1-EC1E-4664-88B1-9AE6CEB57764}" = grepWin x64
"{0E3DAF3D-FF69-345A-A99E-1FED304CA083}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{1111706F-666A-4037-7777-202648764D10}" = JavaFX 2.0.2 (64-bit)
"{11BA2B00-1495-47B8-BFA8-D08C605AB2CC}" = Windows Live Family Safety
"{180C8888-50F1-426B-A9DC-AB83A1989C65}" = Windows Live Language Selector
"{1ACC8FFB-9D84-4C05-A4DE-D28A9BC91698}" = Windows Live ID Sign-in Assistant
"{1FB31F44-D4D0-4D76-944A-A1A5D79FD321}" = Windows Live Family Safety
"{2222706F-666A-4037-7777-202648764D10}" = JavaFX 2.0.2 SDK (64-bit)
"{26A24AE4-039D-4CA4-87B4-2F86417002FF}" = Java(TM) 7 Update 2 (64-bit)
"{46F4D124-20E5-4D12-BE52-EC177A7A4B42}" = Lenovo Rescue System
"{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148
"{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161
"{64A3A4F4-B792-11D6-A78A-00B0D0170020}" = Java(TM) SE Development Kit 7 Update 2 (64-bit)
"{656DEEDE-F6AC-47CA-A568-A1B4E34B5760}" = Windows Live Remote Service Resources
"{847B0532-55E3-4AAF-8D7B-E3A1A7CD17E5}" = Windows Live Remote Client Resources
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8E1C4A73-489E-43EC-A5F9-0EACF5E61791}" = Pop Art Studio 6.1
"{8E34682C-8118-31F1-BC4C-98CD9675E1C2}" = Microsoft .NET Framework 4 Extended
"{95120000-00B9-0409-1000-0000000FF1CE}" = Microsoft Application Error Reporting
"{B2FE1952-0186-46c3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 268.12
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 268.12
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.10.0514
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_HDAudio.Driver" = NVIDIA HD-Audiotreiber 1.2.22.1
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{C32A0C11-B1A1-4ABC-8C1E-C1E2E3936D26}" = TortoiseSVN 1.7.5.22551 (64 bit)
"{CEA21F20-DBF4-464C-8B81-28B8508AFDDD}" = Windows Live Family Safety
"{D5876F0A-B2E9-4376-B9F5-CD47B7B8D820}" = Windows Live Remote Client Resources
"{D930AF5C-5193-4616-887D-B974CEFC4970}" = Windows Live Remote Service Resources
"{DA54F80E-261C-41A2-A855-549A144F2F59}" = Windows Live MIME IFilter
"{DF6D988A-EEA0-4277-AAB8-158E086E439B}" = Windows Live Remote Client
"{E02A6548-6FDE-40E2-8ED9-119D7D7E641F}" = Windows Live Remote Service
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit
"Artensoft Tilt Shift Generator_is1" = Artensoft Tilt Shift Generator
"Box Shot 3D" = Box Shot 3D
"EPSON S22 Series" = Druckerdeinstallation für EPSON S22 Series
"EPSON SX430 Series" = EPSON SX430 Series Printer Uninstall
"GPL Ghostscript 9.05" = GPL Ghostscript
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"nbi-nb-base-7.1.0.0.0" = NetBeans IDE 7.1
"PROSet" = Intel(R) Network Connections Drivers
"Wacom Tablet Driver" = Wacom Tablett
"WinHTTrack Website Copier_is1" = WinHTTrack Website Copier 3.44-4 (x64)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0197D136-598D-4968-BEEA-91C1B764F05D}" = Lexware buchhalter 2012
"{0217E1D1-BCEF-4A61-AF6D-F7740F65A066}" = Pivot Pro Plugin
"{02F0B8AE-7501-4333-AFBE-6BAABFEC7637}" = WISO Steuer-Sparbuch 2011
"{0481A2EA-DA1D-4D10-A7C3-F8237948F6B5}" = Messenger Companion
"{0B0F231F-CE6A-483D-AA23-77B364F75917}" = Windows Live Installer
"{0C5EC307-48E5-48D1-973B-AD5E6FFC7F44}" = PR-Gateway Desktop
"{0DEA342C-15CB-4F52-97B6-06A9C4B9C06F}" = SDK
"{11D08055-939C-432b-98C3-E072478A0CD7}" = PSE10 STI Installer
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{199E30F1-62FB-C1C0-9D05-228991760E13}" = SocialBro
"{19BA08F7-C728-469C-8A35-BFBD3633BE08}" = Windows Live Movie Maker
"{1BA1DBDC-5431-46FD-A66F-A17EB1C439EE}" = Windows Live Messenger
"{1C4DA3C4-B714-4FF2-86DD-4EA930B2E557}" = WebRotate 360 SpotEditor
"{1DDB95A4-FD7B-4517-B3F1-2BCAA96879E6}" = Windows Live Writer Resources
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1F6AB0E7-8CDD-4B93-8A23-AA9EB2FEFCE4}" = Junk Mail filter update
"{200FEC62-3C34-4D60-9CE8-EC372E01C08F}" = Windows Live SOXE Definitions
"{22D3A614-482C-444A-932C-9DA1B8ECDFD2}" = Elements 10 Organizer
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31
"{2902F983-B4C1-44BA-B85D-5C6D52E2C441}" = Windows Live Mesh ActiveX Control for Remote Connections
"{2A3FC24C-6EC0-4519-A52B-FDA4EA9B2D24}" = Windows Live Messenger
"{32F9BACF-FCD3-4B6A-AD85-255A449B6FA5}" = Roxio BackOnTrack
"{3336F667-9049-4D46-98B6-4C743EEBC5B1}" = Windows Live Photo Gallery
"{34F4D9A4-42C2-4348-BEF4-E553C84549E7}" = Windows Live Photo Gallery
"{37B33B16-2535-49E7-8990-32668708A0A3}" = Windows Live UX Platform Language Pack
"{3E29EE6C-963A-4aae-86C1-DC237C4A49FC}" = Intel(R) Rapid Storage Technology
"{3E31400D-274E-4647-916C-2CACC3741799}" = EpsonNet Print
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = Lenovo Power2Go
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{449CE12D-E2C7-4B97-B19E-55D163EA9435}" = Bing Bar
"{45970CD1-D599-47D4-938F-3E9800D54ED1}" = Lenovo Treiber- und Anwendungsinstallation
"{47FA2C44-D148-4DBC-AF60-B91934AA4842}" = Adobe AIR
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{50816F92-1652-4A7C-B9BC-48F682742C4B}" = Messenger Companion
"{5183D7AB-D09B-411F-A74E-BBAEA61C6505}" = Lenovo Eye Distance System
"{51C7AD07-C3F6-4635-8E8A-231306D810FE}" = Cisco LEAP Module
"{5442DAB8-7177-49E1-8B22-09A049EA5996}" = Renesas Electronics USB 3.0 Host Controller Driver
"{579684A4-DDD5-4CA3-9EA8-7BE7D9593DB4}" = Windows Live UX Platform Language Pack
"{5A06423A-210C-49FB-950E-CB0EB8C5CEC7}" = Roxio BackOnTrack
"{5B88ADAC-18A3-52FC-3380-639769101959}" = Fotobuchexpress24 Bestellsoftware
"{60B2315F-680F-4EB3-B8DD-CCDC86A7CCAB}" = Roxio File Backup
"{64BF0187-F3D2-498B-99EA-163AF9AE6EC9}" = Cisco EAP-FAST Module
"{65153EA5-8B6E-43B6-857B-C6E4FC25798A}" = Intel(R) Management Engine Components
"{682B3E4F-696A-42DE-A41C-4C07EA1678B4}" = Windows Live SOXE
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{78A96B4C-A643-4D0F-98C2-A8E16A6669F9}" = Windows Live Messenger Companion Core
"{816F9A97-9889-43DA-A394-7AA45DD68BA0}" = Power Dial
"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator 4.5.0
"{82D7B335-11B4-67D6-5326-563147B55AB6}" = MyFonts Order M3692229
"{83C292B7-38A5-440B-A731-07070E81A64F}" = Windows Live PIMT Platform
"{859D4022-B76D-40DE-96EF-C90CDA263F44}" = Windows Live Writer
"{8C6D6116-B724-4810-8F2D-D047E6B7D68E}" = Mesh Runtime
"{8DD46C6A-0056-4FEC-B70A-28BB16A1F11F}" = MSVCRT
"{8ED43F7E-A8F6-4898-AF11-B6158F2EDF94}" = Epson Event Manager
"{92EA4134-10D1-418A-91E1-5A0453131A38}" = Windows Live Movie Maker
"{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010
"{95EFD16D-3A38-4E7A-901A-24A92399547C}" = Lexware Elster
"{96AE7E41-E34E-47D0-AC07-1091A8127911}" = Realtek USB 2.0 Card Reader
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9D3D8C60-A55F-4123-B2B9-173F09590E16}" = REALTEK Wireless LAN Driver
"{9D56775A-93F3-44A3-8092-840E3826DE30}" = Windows Live Mail
"{9DFDD0C5-5AC1-484B-ACF8-0F3E1041750B}_is1" = AquaSoft "DiaShow 7 für YouTube"
"{9FFC4C2D-374D-482B-AA58-67282CE23695}" = AquaSoft DiaShow 7 Premium
"{A02D7029-C4EF-44C1-9FD4-C0D3CA518113}" = Epson Easy Photo Print 2
"{A0C91188-C88F-4E86-93E6-CD7C9A266649}" = Windows Live Mesh
"{A127C3C0-055E-38CF-B38F-1E85F8BBBFFE}" = Adobe Community Help
"{A586DC50-B18D-48FB-B7CC-A598200457C2}" = Acer eDisplay Management
"{A726AE06-AAA3-43D1-87E3-70F510314F04}" = Windows Live Writer
"{A841C3EB-F125-7A1E-08C5-72CFEC6E459F}" = MyFonts Order M3580436
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A9BDCA6B-3653-467B-AC83-94367DA3BFE3}" = Windows Live Photo Common
"{AAAFC670-569B-4A2F-82B4-42945E0DE3EF}" = Windows Live Writer
"{AAF454FC-82CA-4F29-AB31-6A109485E76E}" = Windows Live Writer
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Deutsch
"{ACFBE99B-6981-4513-B17E-A2683CEB9EE5}" = Windows Live Mesh
"{B113D18C-67B0-4FB7-B329-E89B66194AE6}" = Windows Live Fotogalerie
"{B1239994-A850-44E2-BED8-E70A21124E16}" = Windows Live Mail
"{B266E062-D6C5-485B-B426-51B152B041A6}" = Lenovo Tinian Fn PS/2 Keyboard Driver
"{B2D55EB8-32C5-4B43-9006-9E97DECBA178}" = Epson Easy Photo Print Plug-in for PMB(Picture Motion Browser)
"{B6EC7388-E277-4A5B-8C8F-71067A41BA64}" = TextPad 5
"{B9DB4C76-01A4-46D5-8910-F7AA6376DBAF}" = NVIDIA PhysX
"{C2AB7DC4-489E-4BE9-887A-52262FBADBE0}" = Windows Live Photo Common
"{C4C91E02-D4E2-481E-BCBA-7D90CC8D43E1}" = LiveZilla
"{C5398A89-516C-4DAF-BA07-EE7949090E56}" = Windows Live Mesh ActiveX control for remote connections
"{C66824E4-CBB3-4851-BB3F-E8CFD6350923}" = Windows Live Mail
"{C770630C-BA2F-D821-DA9E-AD3688F43513}" = MyFonts Order M3713918
"{CE95A79E-E4FC-4FFF-8A75-29F04B942FF2}" = Windows Live UX Platform
"{D0B44725-3666-492D-BEF6-587A14BD9BD9}" = MSVCRT_amd64
"{D3063097-EC84-4D21-84A4-9D852E974355}" = LVT
"{D436F577-1695-4D2F-8B44-AC76C99E0002}" = Windows Live Photo Common
"{D45240D3-B6B3-4FF9-B243-54ECE3E10066}" = Windows Live Communications Platform
"{D9ED6D06-6002-495E-A7BC-46E6AE386996}" = Lenovo Dynamic Brightness System
"{DDC8BDEE-DCAC-404D-8257-3E8D4B782467}" = Windows Live Writer Resources
"{DECDCB7C-58CC-4865-91AF-627F9798FE48}" = Windows Live Mesh
"{E09C4DB7-630C-4F06-A631-8EA7239923AF}" = D3DX10
"{E3E71D07-CD27-46CB-8448-16D4FB29AA13}" = Microsoft WSE 3.0 Runtime
"{E4E88B54-4777-4659-967A-2EED1E6AFD83}" = Windows Live Movie Maker
"{E5B21F11-6933-4E0B-A25C-7963E3C07D11}" = Windows Live Messenger
"{E8033CB5-A8DF-47B3-BDE9-1796626994C6}" = Lexware faktura+auftrag 2012
"{ED5776D5-59B4-46B7-AF81-5F2D94D7C640}" = Cisco PEAP Module
"{EE549AF9-8FAA-4584-83B2-ECF1BC9DC1FF}" = Adobe Photoshop Elements 10
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F29CBF73-C211-4616-898A-379A2679F990}" = ThemeWallpaper
"{F3C2ECAA-1B4D-4B75-9105-106B0D03EF02}" = Lexware Info Service
"{F9000000-0018-0000-0000-074957833700}" = ABBYY FineReader 9.0 Sprint
"{F95E4EE0-0C6E-4273-B6B9-91FD6F071D76}" = Windows Live Essentials
"{FD9C31B6-F572-414D-81E3-89368C97A125}_is1" = CamStudio OSS Desktop Recorder
"{FE044230-9CA5-43F7-9B58-5AC5A28A1F33}" = Windows Live Essentials
"{FE8FADB2-9BC5-4EF0-BE7E-C2B247538C62}" = AquaSoft ScreenShow 4
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"ABBYY FineReader 9.0 Sprint" = ABBYY FineReader 9.0 Sprint
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Photoshop Elements 10" = Adobe Photoshop Elements 10
"AquaSoft DiaShow 7 Premium" = AquaSoft DiaShow 7 Premium
"AquaSoft ScreenShow 4" = AquaSoft ScreenShow 4
"avast" = avast! Free Antivirus
"CANON iMAGE GATEWAY Task" = CANON iMAGE GATEWAY Task for ZoomBrowser EX
"Canon Internet Library for ZoomBrowser EX" = Canon Internet Library for ZoomBrowser EX
"chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Community Help
"com.socialbro.air" = SocialBro
"Debut" = Debut Video Capture Software
"Doxillion" = Doxillion Document Converter
"DPP" = Canon Utilities Digital Photo Professional 3.1
"EOS Utility" = Canon Utilities EOS Utility
"EPSON S22 Series Manual" = EPSON S22 Series Handbuch
"EPSON Scanner" = EPSON Scan
"EPSON SX430 Series Bog" = Benutzerhandbuch - Grundlagen EPSON SX430 Series
"EPSON SX430 Series Netg" = Netzwerkhandbuch EPSON SX430 Series
"EPSON SX430 Series Useg" = Benutzerhandbuch EPSON SX430 Series
"ExpressBurn" = Express Burn Disc Burning Software
"Eyeline" = Eyeline Video System
"FileZilla Client" = FileZilla Client 3.5.3
"Fotobuchexpress24" = Fotobuchexpress24 Bestellsoftware
"Google Chrome" = Google Chrome
"Google Desktop" = Google Desktop
"Inkscape" = Inkscape 0.48.2
"InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}" = Lenovo Power2Go
"InstallShield_{46F4D124-20E5-4D12-BE52-EC177A7A4B42}" = Lenovo Rescue System
"InstallShield_{5442DAB8-7177-49E1-8B22-09A049EA5996}" = Renesas Electronics USB 3.0 Host Controller Driver
"jZip" = jZip
"LiveZilla" = LiveZilla
"Mozilla Firefox 12.0 (x86 de)" = Mozilla Firefox 12.0 (x86 de)
"Mozilla Thunderbird 12.0.1 (x86 de)" = Mozilla Thunderbird 12.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NCH_EN Toolbar" = NCH EN Toolbar
"Notepad++" = Notepad++
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
"PhotoStitch" = Canon Utilities PhotoStitch
"Picture Style Editor" = Canon Utilities Picture Style Editor
"Prism" = Prism Video File Converter
"RAW Image Task" = Canon RAW Image Task for ZoomBrowser EX
"Scribus 1.4.0" = Scribus 1.4.0
"Searchqu Toolbar" = Windows Searchqu Toolbar
"SurfOffline Professional 2" = SurfOffline Professional 2
"VideoPad" = VideoPad Video Editor
"Wacom WebTabletPlugin for IE" = WebTablet IE Plugin
"Wacom WebTabletPlugin for Internet Explorer and Netscape" = WebTablet FB Plugin
"Wacom WebTabletPlugin for Netscape" = WebTablet Netscape Plugin
"WavePad" = WavePad Sound Editor
"WFTK" = Canon Utilities WFT-E1/E2/E3 Utility
"WinGimp-2.0_is1" = GIMP 2.6.11
"WinLiveSuite" = Windows Live Essentials
"WinMerge_is1" = WinMerge 2.12.4
"xampp" = XAMPP 1.7.7
"XnView Shell Extension_is1" = XnView Shell Extension 3.1.0 (64bits)
"XnView_is1" = XnView 1.98.5
"ZoomBrowser EX" = Canon Utilities ZoomBrowser EX

========== HKEY_CURRENT_USER Uninstall List ==========

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 10.05.2012 07:50:54 | Computer Name = r23-PC | Source = WinMgmt | ID = 10
Description =

Error - 10.05.2012 12:19:53 | Computer Name = r23-PC | Source = WinMgmt | ID = 10
Description =

Error - 11.05.2012 05:34:02 | Computer Name = r23-PC | Source = WinMgmt | ID = 10
Description =

Error - 11.05.2012 17:24:46 | Computer Name = r23-PC | Source = WinMgmt | ID = 10
Description =

Error - 12.05.2012 08:34:02 | Computer Name = r23-PC | Source = WinMgmt | ID = 10
Description =

Error - 12.05.2012 11:49:37 | Computer Name = r23-PC | Source = WinMgmt | ID = 10
Description =

Error - 13.05.2012 01:47:12 | Computer Name = r23-PC | Source = WinMgmt | ID = 10
Description =

Error - 13.05.2012 04:20:28 | Computer Name = r23-PC | Source = WinMgmt | ID = 10
Description =

Error - 13.05.2012 10:45:12 | Computer Name = r23-PC | Source = WinMgmt | ID = 10
Description =

Error - 14.05.2012 03:43:44 | Computer Name = r23-PC | Source = WinMgmt | ID = 10
Description =

[ System Events ]
Error - 18.05.2012 21:03:41 | Computer Name = r23-PC | Source = Service Control Manager | ID = 7009
Description = Das Zeitlimit (30000 ms) wurde beim Verbindungsversuch mit dem Dienst
Eyeline Video System erreicht.

Error - 18.05.2012 23:30:50 | Computer Name = r23-PC | Source = Service Control Manager | ID = 7024
Description = Der Dienst "Apache2.2" wurde mit folgendem dienstspezifischem Fehler
beendet: %%1.

Error - 19.05.2012 08:28:08 | Computer Name = r23-PC | Source = cdrom | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\CdRom0.

Error - 19.05.2012 08:28:15 | Computer Name = r23-PC | Source = cdrom | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\CdRom0.

Error - 19.05.2012 13:49:32 | Computer Name = r23-PC | Source = Service Control Manager | ID = 7024
Description = Der Dienst "Apache2.2" wurde mit folgendem dienstspezifischem Fehler
beendet: %%1.

Error - 19.05.2012 16:44:14 | Computer Name = r23-PC | Source = cdrom | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\CdRom0.

Error - 19.05.2012 16:44:20 | Computer Name = r23-PC | Source = cdrom | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\CdRom0.

Error - 19.05.2012 20:19:32 | Computer Name = r23-PC | Source = Service Control Manager | ID = 7024
Description = Der Dienst "Apache2.2" wurde mit folgendem dienstspezifischem Fehler
beendet: %%1.

Error - 20.05.2012 08:14:25 | Computer Name = r23-PC | Source = cdrom | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\CdRom0.

Error - 20.05.2012 08:14:31 | Computer Name = r23-PC | Source = cdrom | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\CdRom0.

< End of report >

RannohDecryptor von Kaspersky funktionierte nicht und sagte

HTML-Code:

01:38:54.0642 1852	Trojan-Ransom.Win32.Rannoh decryptor tool 1.1.0.0 Apr 30 2012 19:08:22
01:38:54.0907 1852	============================================================
01:38:54.0907 1852	Current date / time: 2012/05/19 01:38:54.0907
01:38:54.0907 1852	SystemInfo:
01:38:54.0907 1852	
01:38:54.0907 1852	OS Version: 6.1.7601 ServicePack: 1.0
01:38:54.0907 1852	Product type: Workstation
01:38:54.0907 1852	ComputerName: R23-PC
01:38:54.0907 1852	UserName: r23
01:38:54.0907 1852	Windows directory: C:\windows
01:38:54.0907 1852	System windows directory: C:\windows
01:38:54.0907 1852	Running under WOW64
01:38:54.0907 1852	Processor architecture: Intel x64
01:38:54.0907 1852	Number of processors: 4
01:38:54.0907 1852	Page size: 0x1000
01:38:54.0907 1852	Boot type: Normal boot
01:38:54.0907 1852	============================================================
01:38:54.0907 1852	Initialize success
01:40:25.0580 7064	Can't initialize on pair
01:40:25.0580 7064	Can't init decryptor
01:41:17.0606 7012	Deinitialize success

Über Ideen was ich noch möchten könnte würde ich sehr freuen.

cu

ralf

cosinus · 21.05.2012, 13:22

Zitat:

Malwarebytes Anti-Malware erkannte
PUB.BundleOffer.Downloader.S
C:\Users\r23\Downloads\SoftonicDownloader_fuer_liveszilla.exe

Poste doch einfach alle Logs, dann musst du auch nichts umstöndlich herausschreiben!

r23 · 21.05.2012, 16:38

Hallo,

Zitat:

Zitat von cosinus

Poste doch einfach alle Logs, dann musst du auch nichts umstöndlich herausschreiben!

ich kenne mich leider mit Malwarebytes gar nicht aus und wusste nicht, dass es eine Log Funktion geben könnte

Hier die aktuelle Log

Zitat:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.20.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
r23 :: R23-PC [Administrator]

Schutz: Aktiviert

21.05.2012 14:47:51
mbam-log-2012-05-21 (14-47-51).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 1168263
Laufzeit: 2 Stunde(n), 41 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\r23\Downloads\SoftonicDownloader_fuer_livezilla.exe (PUP.BundleOffer.Downloader.S) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

mmh...

cu

ralf

cosinus · 21.05.2012, 18:36

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Zitat:

C:\Users\r23\Downloads\SoftonicDownloader_fuer_livezilla.exe

Finger weg von Softonic!!

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen

r23 · 22.05.2012, 00:32

Zitat:

Zitat von cosinus

Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?

Vermutlich - die Logs sind allerdings nicht sagend.

Ich habe die Datei aus der Mail einfach bei virscan.org hochgeladen
und diesen Report erhalten.

hxxp://r.virscan.org/report/389923e4a3501b233ac0de80e993d3fd.html

Die Datei habe ich jetzt auch von Dr. Web prüfen lassen und danch habe ich mit

Trojan.DownLoader6.885

mein System verseucht.

Hat jemand eine Idee, wie ich die verschlüsselten Dateien retten kann?

Zitat:

Zitat von cosinus

Finger weg von Softonic!!
Im Notfall würde natürlich chip.de gehen

chip.de ging damals gar nicht, weil die dortige Version veraltet war. Und der Server vom hersteller nicht erreichbar - und andere Quellen nicht findbar.

Softonic ist zurzeit nicht mein Problem... Aber danke für den Hinweis.

cu

ralf

cosinus · 22.05.2012, 12:42

Zitat:

Vermutlich - die Logs sind allerdings nicht sagend.

Nichtssagend bedeutet keine Funde?

Zitat:

Hat jemand eine Idee, wie ich die verschlüsselten Dateien retten kann?

Fette Hinweise stehen oben genug
Es kann aber sein, dass du viel Geduld noch brauchst, weil diese Verschlüsselung noch nicht so rückgängig zu machen ist

Zuerst müssen wir eh dafür sorgen die Schädlinge runterzubekommen

Führ bitte auch ESET aus, danach sehen wir weiter:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

r23 · 23.05.2012, 02:12

Zitat:

Zitat von cosinus

Fette Hinweise stehen oben genug
Es kann aber sein, dass du viel Geduld noch brauchst, weil diese Verschlüsselung noch nicht so rückgängig zu machen ist

Meine Bilddaten konnte ich mit
ShadowExplorer - Dateien wiederherstellen

Ich denke ich werden den Rechner formatieren und neu aufbauen. Auf Viren Scanner verlasse ich mich *JETZT* nicht mehr.

Die Mail wurde von meinen Provider gescannt und die Mail wurde von meinen VirenScanner local gescannt...

Danke für die Hilfe an ALLE - hoffentlich nicht auf bald...: pfeiff:

Ralf

cosinus · 23.05.2012, 09:43

Na da haste du fettes Glück im Unglück gehabt
Über die Schattenkopie machst du aber keine Verschlüsselung rückgängig, du holst nur eine frühere Version deiner Datei wieder raus

aber wenn's den gewünschten Effekt hat

23.05.2012, 09:43	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verschlüsselungs-Trojaner hat Bilddateien umbenannt und ändert vermutlich noch immer Grafiken Na da haste du fettes Glück im Unglück gehabt Über die Schattenkopie machst du aber keine Verschlüsselung rückgängig, du holst nur eine frühere Version deiner Datei wieder raus aber wenn's den gewünschten Effekt hat __________________ Logfiles bitte immer in CODE-Tags posten

Verschlüsselungs-Trojaner hat Bilddateien umbenannt und ändert vermutlich noch immer Grafiken

Log-Analyse und Auswertung: Verschlüsselungs-Trojaner hat Bilddateien umbenannt und ändert vermutlich noch immer Grafiken