Guten Tag wie viele andere auch habe ich diesen netten Virus mir eingefangen (Verschlüsselungs-Trojaner )
habe ihn gelöscht bekommen..aber jetzt sind viele meiner Dateien Verschlüsselt
und ich habe keine Orginale mehr..von diesen..was muss ich tun um alles
wieder herstellen zu können..bitte genaue beschreibung..bin Laie..
ich danke im voraus..MfG..

Vorgehen bei Verschlüsselungstrojaner

1. Besuche diesen Link - hier findest du die derzeit verfügbaren Tools sowie die Anweisungen, wie du zu verfahren hast.
   Wenn diese Tools dir nicht helfen, gibt es momentan kein Mittel gegen die Verschlüsselung. Habe Geduld, bis die Experten einen Weg gefunden haben, sie zu beheben!
   

   Hinweis: Auch wenn der Trojaner scheinbar entfernt wurde, führe die Punkte unter diesem Link aus, um sicher zu gehen.
   Der Schädling könnte sich sonst weiter verteilen und auch andere Rechner und deren Daten innerhalb eines Netzwerks gefährden!

2. Wenn Bestandteile des Schädlings bzw. die Email, mit der er verschickt wurde, sich noch auf deinem Rechner befinden, besuche bitte diesen Link, um die Entwicklung von Gegenmaßnahmen voranzutreiben!

Mit freundlichem Gruß

Das Team von Trojaner-Board.de

Zitat:

Zitat von McGeier

Guten Tag wie viele andere auch habe ich diesen netten Virus mir eingefangen (Verschlüsselungs-Trojaner )
habe ihn gelöscht bekommen..aber jetzt sind viele meiner Dateien Verschlüsselt
und ich habe keine Orginale mehr..von diesen..was muss ich tun um alles
wieder herstellen zu können..bitte genaue beschreibung..bin Laie..
ich danke im voraus..MfG..

meine DDS.txt
.DDS Logfile:

Code: Alles auswählenAufklappen

ATTFilter

DDS (Ver_2011-08-26.01) - NTFSAMD64 
Internet Explorer: 9.0.8112.16421  BrowserJavaVersion: 1.6.0_30
Run by xxxxxx at 22:42:31 on 2012-05-22
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.8191.6498 [GMT 2:00]
.
AV: Microsoft Security Essentials *Enabled/Updated* {9765EA51-0D3C-7DFB-6091-10E4E1F341F6}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
SP: Microsoft Security Essentials *Enabled/Updated* {2C040BB5-2B06-7275-5A21-2B969A740B4B}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\nvvsvc.exe
C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
C:\Windows\system32\svchost.exe -k RPCSS
c:\Program Files\Microsoft Security Client\MsMpEng.exe
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files (x86)\Roxio\BackOnTrack\App\SaibSVC.exe
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
C:\Program Files (x86)\Roxio\BackOnTrack\App\BService.exe
C:\Program Files (x86)\D-Link\DWA-140 revB\ANIWConnService.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files (x86)\TomTom HOME 2\TomTomHOMEService.exe
C:\Program Files (x86)\TuneUp Utilities 2011\TuneUpUtilitiesService64.exe
C:\Program Files (x86)\Splashtop\Splashtop Connect Firefox Software Updater\WCUService.exe
C:\Program Files (x86)\TuneUp Utilities 2011\TuneUpUtilitiesApp64.exe
C:\Program Files\Microsoft Security Client\msseces.exe
C:\Program Files (x86)\Roxio 2012\Roxio Burn\RoxioBurnLauncher.exe
C:\Program Files (x86)\D-Link\DWA-140 revB\AirNCFG.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
C:\Program Files (x86)\Adobe\Elements 10 Organizer\PhotoshopElementsFileAgent.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\svchost.exe -k SDRSVC
C:\Windows\SysWOW64\ctfmon.exe
C:\Windows\system32\taskhost.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Users\Obama\AppData\Local\Google\Google Talk Plugin\googletalkplugin.exe
C:\Windows\sysWOW64\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\System32\svchost.exe -k swprv
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\conhost.exe
C:\Windows\SysWOW64\cscript.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://easy-google-search.blogspot.com
mWinlogon: Userinit=userinit.exe
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
BHO: DivX Plus Web Player HTML5 <video>: {326e768d-4182-46fd-9c16-1449a49795f4} - C:\Program Files (x86)\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
mRun: [<NO NAME>] 
mRun: [RoxWatchTray] "C:\Program Files (x86)\Common Files\Roxio Shared\13.0\SharedCOM\RoxWatchTray13.exe"
mRun: [Desktop Disc Tool] "C:\Program Files (x86)\Roxio 2012\Roxio Burn\RoxioBurnLauncher.exe"
mRun: [D-Link D-Link DWA-140] C:\Program Files (x86)\D-Link\DWA-140 revB\AirNCFG.exe
mPolicies-explorer: NoActiveDesktop = 1 (0x1)
mPolicies-explorer: NoActiveDesktopChanges = 1 (0x1)
mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab
TCP: DhcpNameServer = 192.168.0.1
TCP: Interfaces\{3C653C2A-39A1-461D-AC11-483FB1F45A9B} : DhcpNameServer = 192.168.0.1
TCP: Interfaces\{A88273DE-CCE8-4E1C-873F-C152099D31BE} : DhcpNameServer = 192.168.2.1
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
mASetup: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "C:\Program Files (x86)\Common Files\LightScribe\LSRunOnce.exe"
{18DF081C-E8AD-4283-A596-FA578C2EBDC3}
{326E768D-4182-46FD-9C16-1449A49795F4}
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
{DBC80044-A445-435b-BC74-9C25C1C588A9}
mRun-x64: [(Standard)] 
mRun-x64: [RoxWatchTray] "C:\Program Files (x86)\Common Files\Roxio Shared\13.0\SharedCOM\RoxWatchTray13.exe"
mRun-x64: [Desktop Disc Tool] "C:\Program Files (x86)\Roxio 2012\Roxio Burn\RoxioBurnLauncher.exe"
mRun-x64: [D-Link D-Link DWA-140] C:\Program Files (x86)\D-Link\DWA-140 revB\AirNCFG.exe
.
================= FIREFOX ===================
.
FF - ProfilePath - C:\Users\xxxxxx\AppData\Roaming\Mozilla\Firefox\Profiles\ra0db5an.default\
FF - prefs.js: browser.startup.homepage - hxxps://www.google.de/
FF - prefs.js: keyword.URL - hxxp://www.google.com/cse?cx=partner-pub-5528014799800033:cevktqnfrvl&ie=ISO-8859-1&q=
FF - plugin: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll
FF - plugin: C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll
FF - plugin: C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll
FF - plugin: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll
FF - plugin: C:\Users\Obama\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll
FF - plugin: C:\Users\Obama\AppData\Roaming\Mozilla\plugins\npgoogletalk.dll
FF - plugin: C:\Users\Obama\AppData\Roaming\Mozilla\plugins\npgtpo3dautoplugin.dll
FF - plugin: C:\Windows\SysWOW64\Adobe\Director\np32dsw.dll
FF - plugin: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_2_202_235.dll
.
---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
FF - user.js: extensions.autoDisableScopes - 14
FF - user.js: security.csp.enable - false
.
.
============= SERVICES / DRIVERS ===============
.
R0 hotcore3;hc3ServiceName;C:\Windows\system32\DRIVERS\hotcore3.sys --> C:\Windows\system32\DRIVERS\hotcore3.sys [?]
R0 MpFilter;Microsoft Malware Protection Driver;C:\Windows\system32\DRIVERS\MpFilter.sys --> C:\Windows\system32\DRIVERS\MpFilter.sys [?]
R0 oem-drv64;OEM-SLP2.1 Driver (HPD64);C:\Windows\system32\DRIVERS\oem-drv64.sys --> C:\Windows\system32\DRIVERS\oem-drv64.sys [?]
R0 PxHlpa64;PxHlpa64;C:\Windows\system32\Drivers\PxHlpa64.sys --> C:\Windows\system32\Drivers\PxHlpa64.sys [?]
R0 Sahdad64;HDD Filter Driver;C:\Windows\system32\Drivers\Sahdad64.sys --> C:\Windows\system32\Drivers\Sahdad64.sys [?]
R0 Saibad64;Volume Filter Driver;C:\Windows\system32\Drivers\Saibad64.sys --> C:\Windows\system32\Drivers\Saibad64.sys [?]
R0 SysCow;SysCow;C:\Windows\system32\drivers\syscowad64v.sys --> C:\Windows\system32\drivers\syscowad64v.sys [?]
R1 anodlwf;ANOD Network Security Filter driver;C:\Windows\system32\DRIVERS\anodlwfx.sys --> C:\Windows\system32\DRIVERS\anodlwfx.sys [?]
R1 SaibVdAd64;Virtual Disk Driver;C:\Windows\system32\Drivers\SaibVdAd64.sys --> C:\Windows\system32\Drivers\SaibVdAd64.sys [?]
R1 vwififlt;Virtual WiFi Filter Driver;C:\Windows\system32\DRIVERS\vwififlt.sys --> C:\Windows\system32\DRIVERS\vwififlt.sys [?]
R2 9734BF6A-2DCD-40f0-BAB0-5AAFEEBE1269;Roxio SAIB Service;C:\Program Files (x86)\Roxio\BackOnTrack\App\SaibSVC.exe [2011-2-9 457200]
R2 AdobeActiveFileMonitor10.0;Adobe Active File Monitor V10;C:\Program Files (x86)\Adobe\Elements 10 Organizer\PhotoshopElementsFileAgent.exe [2011-9-14 169624]
R2 AdobeARMservice;Adobe Acrobat Update Service;C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-4-4 63928]
R2 AMD FUEL Service;AMD FUEL Service;C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2011-7-28 361984]
R2 AODDriver4.01;AODDriver4.01;C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\aoddriver2.sys [2011-6-24 55424]
R2 BOT4Service;BOT4Service;C:\Program Files (x86)\Roxio\BackOnTrack\App\BService.exe [2011-7-15 21488]
R2 D_Link_DWA-140_WPS;D_Link_DWA-140_WPS Service;C:\Program Files (x86)\D-Link\DWA-140 revB\ANIWConnService.exe [2012-5-14 53248]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2012-2-29 382272]
R2 TomTomHOMEService;TomTomHOMEService;C:\Program Files (x86)\TomTom HOME 2\TomTomHOMEService.exe [2012-4-20 92592]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;C:\Program Files (x86)\TuneUp Utilities 2011\TuneUpUtilitiesService64.exe [2011-12-13 2028864]
R2 WCUService_STC_FF;Splashtop Connect Firefox Software Updater Service;C:\Program Files (x86)\Splashtop\Splashtop Connect Firefox Software Updater\WCUService.exe [2011-3-24 493384]
R3 amdiox64;AMD IO Driver;C:\Windows\system32\DRIVERS\amdiox64.sys --> C:\Windows\system32\DRIVERS\amdiox64.sys [?]
R3 netr28ux;D-Link dnetr28u USB Extensible Wireless LAN Card Driver;C:\Windows\system32\DRIVERS\Dnetr28ux.sys --> C:\Windows\system32\DRIVERS\Dnetr28ux.sys [?]
R3 RTL8167;Realtek 8167 NT Driver;C:\Windows\system32\DRIVERS\Rt64win7.sys --> C:\Windows\system32\DRIVERS\Rt64win7.sys [?]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;C:\Program Files (x86)\TuneUp Utilities 2011\TuneUpUtilitiesDriver64.sys [2011-7-7 11856]
R3 usbfilter;AMD USB Filter Driver;C:\Windows\system32\DRIVERS\usbfilter.sys --> C:\Windows\system32\DRIVERS\usbfilter.sys [?]
R3 vwifimp;Microsoft Virtual WiFi Miniport Service;C:\Windows\system32\DRIVERS\vwifimp.sys --> C:\Windows\system32\DRIVERS\vwifimp.sys [?]
RUnknown DwProt;DwProt; [x]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-3-18 138576]
S2 Norman ZANDA;Norman ZANDA;"C:\Program Files\Norman\Npm\Bin\Zanda.exe" --> C:\Program Files\Norman\Npm\Bin\Zanda.exe [?]
S2 nvUpdatusService;NVIDIA Update Service Daemon;C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe [2012-2-21 2348352]
S2 RoxWatch12;Roxio Hard Drive Watcher 12;C:\Program Files (x86)\Common Files\Roxio Shared\13.0\SharedCOM\RoxWatch13.exe [2011-7-13 340976]
S2 SkypeUpdate;Skype Updater;C:\Program Files (x86)\Skype\Updater\Updater.exe [2012-4-5 158856]
S3 dmvsc;dmvsc;C:\Windows\system32\drivers\dmvsc.sys --> C:\Windows\system32\drivers\dmvsc.sys [?]
S3 MozillaMaintenance;Mozilla Maintenance Service;C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-4-25 129976]
S3 MSI_MSIBIOS_010507;MSI_MSIBIOS_010507;C:\Program Files (x86)\MSI\Live Update 5\msibios64_100507.sys [2012-4-28 33592]
S3 NisDrv;Microsoft Network Inspection System;C:\Windows\system32\DRIVERS\NisDrvWFP.sys --> C:\Windows\system32\DRIVERS\NisDrvWFP.sys [?]
S3 NisSrv;Microsoft-Netzwerkinspektion;C:\Program Files\Microsoft Security Client\NisSrv.exe [2012-3-26 291696]
S3 NTIOLib_1_0_4;NTIOLib_1_0_4;C:\Program Files (x86)\MSI\Live Update 5\NTIOLib_X64.sys [2012-4-28 14136]
S3 NTIOLib_1_0_6;NTIOLib_1_0_6;C:\Program Files (x86)\Setup Files\Ms7599v1F0\NTIOLib_X64.sys [2011-1-6 11888]
S3 pwdrvio;pwdrvio;\??\C:\Windows\system32\pwdrvio.sys --> C:\Windows\system32\pwdrvio.sys [?]
S3 pwdspio;pwdspio;\??\C:\Windows\system32\pwdspio.sys --> C:\Windows\system32\pwdspio.sys [?]
S3 RoxMediaDB13;RoxMediaDB13;C:\Program Files (x86)\Common Files\Roxio Shared\13.0\SharedCOM\RoxMediaDB13.exe [2011-7-13 1095664]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2012.SP2\RpcAgentSrv.exe [2012-2-7 95896]
S3 StorSvc;Speicherdienst;C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted [2009-7-14 20992]
S3 TsUsbFlt;TsUsbFlt;C:\Windows\system32\drivers\tsusbflt.sys --> C:\Windows\system32\drivers\tsusbflt.sys [?]
S3 TsUsbGD;%TsUsbGD.DeviceDesc.Generic%;C:\Windows\system32\drivers\TsUsbGD.sys --> C:\Windows\system32\drivers\TsUsbGD.sys [?]
S4 BOTService;BOTService;C:\Program Files (x86)\Roxio\BackOnTrack\Instant Restore\BOTService.exe [2011-7-14 211440]
S4 SCBackService;Splashtop Connect Service;C:\Program Files (x86)\Splashtop\Splashtop Connect\BackService.exe [2010-11-15 477000]
.
=============== Created Last 30 ================
.
2012-05-22 16:34:24	--------	d-----w-	C:\Users\xxxxx\DoctorWeb
2012-05-22 15:20:42	8955792	----a-w-	C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{BACEBD10-3428-49D7-9481-D64CA305E4A3}\mpengine.dll
2012-05-22 15:20:34	--------	d-----w-	C:\Program Files (x86)\Kroll Ontrack
2012-05-22 14:31:11	--------	d-----w-	C:\Program Files (x86)\ESET
2012-05-22 14:09:41	--------	d-----w-	C:\Users\xxxxxAppData\Roaming\QuickScan
2012-05-22 13:46:40	8955792	----a-w-	C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-05-20 16:10:50	--------	d-----w-	C:\ProgramData\MumboJumbo
2012-05-20 16:10:24	--------	d-----w-	C:\Program Files (x86)\7 Wonders - Magical Mystery Tour
2012-05-20 15:28:21	--------	d-----w-	C:\Users\xxxxxxgigaflat
2012-05-20 15:28:09	--------	d-----w-	C:\Program Files (x86)\Gigaflat
2012-05-14 09:57:32	996296	----a-w-	C:\Program Files (x86)\Mozilla Firefox\FUSB3_allOS_2.1.28.1_PV\setup.exe
2012-05-14 09:57:32	88424	----a-w-	C:\Program Files (x86)\Mozilla Firefox\FUSB3_allOS_2.1.28.1_PV\Files\x86\nusb3co.dll
2012-05-14 09:57:32	73984	----a-w-	C:\Program Files (x86)\Mozilla Firefox\FUSB3_allOS_2.1.28.1_PV\Files\x86\nusb3hub.sys
2012-05-14 09:57:32	5912435	----a-w-	C:\Program Files (x86)\Mozilla Firefox\FUSB3_allOS_2.1.28.1_PV\ISSetup.dll
2012-05-14 09:57:32	165120	----a-w-	C:\Program Files (x86)\Mozilla Firefox\FUSB3_allOS_2.1.28.1_PV\Files\x86\nusb3xhc.sys
2012-05-14 09:57:31	98664	----a-w-	C:\Program Files (x86)\Mozilla Firefox\FUSB3_allOS_2.1.28.1_PV\Files\nusb3mon.dll
2012-05-14 09:57:31	96768	----a-w-	C:\Program Files (x86)\Mozilla Firefox\FUSB3_allOS_2.1.28.1_PV\Files\x64\nusb3hub.sys
2012-05-14 09:57:31	90472	----a-w-	C:\Program Files (x86)\Mozilla Firefox\FUSB3_allOS_2.1.28.1_PV\Files\x64\nusb3co.dll
2012-05-14 09:57:31	50536	----a-w-	C:\Program Files (x86)\Mozilla Firefox\FUSB3_allOS_2.1.28.1_PV\Files\nusb3ver.dll
2012-05-14 09:57:31	319848	----a-w-	C:\Program Files (x86)\Mozilla Firefox\FUSB3_allOS_2.1.28.1_PV\Files\nusb3utl.exe
2012-05-14 09:57:31	213504	----a-w-	C:\Program Files (x86)\Mozilla Firefox\FUSB3_allOS_2.1.28.1_PV\Files\x64\nusb3xhc.sys
2012-05-14 09:57:31	115048	----a-w-	C:\Program Files (x86)\Mozilla Firefox\FUSB3_allOS_2.1.28.1_PV\Files\nusb3mon.exe
2012-05-14 09:01:44	302080	----a-w-	C:\Windows\lwd.exe
2012-05-14 09:00:28	327008	----a-w-	C:\Windows\System32\RaCoInstx.dll
2012-05-14 09:00:28	1617472	----a-w-	C:\Windows\System32\drivers\Dnetr28ux.sys
2012-05-14 09:00:27	--------	d-----w-	C:\Program Files (x86)\D-Link
2012-05-13 19:38:38	--------	d-----w-	C:\Windows\SysWow64\Adobe
2012-05-11 22:37:26	--------	d-----w-	C:\Users\xxxxxx\AppData\Roaming\avidemux
2012-05-10 16:35:10	--------	d-----w-	C:\Program Files\Paint.NET
2012-05-10 10:28:14	15872	----a-w-	C:\Windows\System32\drivers\anodlwfx.sys
2012-05-09 08:42:26	1544704	----a-w-	C:\Windows\System32\DWrite.dll
2012-05-09 08:42:26	1077248	----a-w-	C:\Windows\SysWow64\DWrite.dll
2012-05-09 08:42:25	5559664	----a-w-	C:\Windows\System32\ntoskrnl.exe
2012-05-09 08:42:24	3968368	----a-w-	C:\Windows\SysWow64\ntkrnlpa.exe
2012-05-09 08:42:24	3146240	----a-w-	C:\Windows\System32\win32k.sys
2012-05-09 08:42:23	3913072	----a-w-	C:\Windows\SysWow64\ntoskrnl.exe
2012-05-09 08:41:50	75120	----a-w-	C:\Windows\System32\drivers\partmgr.sys
2012-05-09 08:41:34	1918320	----a-w-	C:\Windows\System32\drivers\tcpip.sys
2012-05-09 08:41:33	936960	----a-w-	C:\Program Files (x86)\Common Files\Microsoft Shared\ink\journal.dll
2012-05-09 08:41:33	1732096	----a-w-	C:\Program Files\Windows Journal\NBDoc.DLL
2012-05-09 08:41:33	1367552	----a-w-	C:\Program Files\Common Files\Microsoft Shared\ink\journal.dll
2012-05-09 08:41:32	1402880	----a-w-	C:\Program Files\Windows Journal\JNWDRV.dll
2012-05-09 08:41:32	1393664	----a-w-	C:\Program Files\Windows Journal\JNTFiltr.dll
2012-05-08 23:06:38	--------	d-----w-	C:\Program Files (x86)\Wise PC Engineer
2012-05-08 11:41:00	--------	d-----w-	C:\Users\xxxxxx\AppData\Roaming\TomTom
2012-05-08 11:41:00	--------	d-----w-	C:\Users\xxxxxx\AppData\Local\TomTom
2012-05-08 11:40:55	--------	d-----w-	C:\Program Files (x86)\TomTom International B.V
2012-05-08 11:40:31	--------	d-----w-	C:\Program Files (x86)\TomTom HOME 2
2012-04-29 19:02:20	--------	d-----w-	C:\divx
2012-04-29 18:31:22	--------	d-----w-	C:\Users\xxxxxx\AppData\Roaming\Roxio Burn
2012-04-29 15:14:41	--------	d-----w-	C:\Users\xxxxxx\AppData\Local\Rovi_Corporation
2012-04-29 15:11:34	--------	d-----w-	C:\System Rollback Data
2012-04-29 15:10:09	--------	d-----w-	C:\ProgramData\Uninstall
2012-04-29 15:09:52	--------	d-----w-	C:\ProgramData\eSellerate
2012-04-29 15:08:11	27632	------w-	C:\Windows\System32\drivers\SaibVdAd64.sys
2012-04-29 15:08:11	27120	------w-	C:\Windows\System32\drivers\Sahdad64.sys
2012-04-29 15:08:11	19952	------w-	C:\Windows\System32\drivers\Saibad64.sys
2012-04-29 15:07:57	--------	d-----w-	C:\Program Files (x86)\Roxio
2012-04-29 15:05:51	--------	d-----w-	C:\Program Files\DivX
2012-04-29 15:05:45	--------	d-----w-	C:\Program Files (x86)\Common Files\DivX Shared
2012-04-29 15:05:37	--------	d-----w-	C:\ProgramData\DivX
2012-04-29 15:05:37	--------	d-----w-	C:\Program Files (x86)\DivX
2012-04-29 14:58:24	--------	d-----w-	C:\Program Files\Roxio
2012-04-29 14:57:58	--------	d-----w-	C:\Program Files (x86)\SmartSound Software
2012-04-29 14:57:57	--------	d-----w-	C:\ProgramData\SmartSound Software Inc
2012-04-29 14:57:37	--------	d-----w-	C:\Program Files (x86)\Roxio 2012
2012-04-29 14:57:35	--------	d-----w-	C:\Program Files\Roxio 2012
2012-04-29 14:57:33	53248	----a-r-	C:\Users\xxxxxx\AppData\Roaming\Microsoft\Installer\{3A9527CF-4E91-4683-A03F-F1AD022126E5}\ARPPRODUCTICON.exe
2012-04-29 14:54:01	--------	d-----w-	C:\Users\xxxxxx\AppData\Roaming\Roxio Log Files
2012-04-29 13:21:01	--------	d-----w-	C:\Users\xxxxx\AppData\Roaming\SystemUpdaterApp
2012-04-29 12:50:50	--------	d-----w-	C:\Users\xxxxx\AppData\Roaming\Wise Registry Cleaner
2012-04-29 12:50:27	--------	d-----w-	C:\Program Files (x86)\Wise
2012-04-29 09:42:57	--------	d-----w-	C:\ProgramData\LightScribe
2012-04-28 20:40:50	719872	----a-w-	C:\Windows\SysWow64\devil.dll
2012-04-28 20:40:50	70656	----a-w-	C:\Windows\SysWow64\yv12vfw.dll
2012-04-28 20:40:50	70656	----a-w-	C:\Windows\SysWow64\i420vfw.dll
2012-04-28 20:40:50	369152	----a-w-	C:\Windows\SysWow64\avisynth.dll
2012-04-28 20:40:50	32256	----a-w-	C:\Windows\SysWow64\AVSredirect.dll
2012-04-28 20:40:47	--------	d-----w-	C:\Program Files (x86)\AviSynth 2.5
2012-04-28 20:36:32	499712	----a-w-	C:\Windows\SysWow64\msvcp71.dll
2012-04-28 20:36:32	327749	----a-w-	C:\Windows\SysWow64\drvc.dll
2012-04-28 20:36:16	18816	----a-w-	C:\Windows\System32\roboot64.exe
2012-04-28 20:36:11	--------	d-----w-	C:\Users\xxxxxx\AppData\Roaming\systweak
2012-04-28 20:10:45	--------	d-----w-	C:\Users\xxxxxxx\AppData\Roaming\NeroDigital(TM)
2012-04-28 11:21:45	--------	d-----w-	C:\Users\xxxxxxx\AppData\Roaming\MSI
2012-04-28 11:14:01	--------	d-----w-	C:\Users\xxxxxx\AppData\Local\AMD
2012-04-28 11:13:40	--------	d-----w-	C:\Users\xxxxxx\AppData\Local\ATI
2012-04-28 11:08:09	--------	d-----w-	C:\Program Files (x86)\Setup Files
2012-04-28 11:07:57	--------	d-----w-	C:\Program Files (x86)\AMD APP
2012-04-28 11:06:55	--------	d-----w-	C:\ProgramData\AMD
2012-04-28 11:06:52	46136	----a-w-	C:\Windows\System32\drivers\amdiox64.sys
2012-04-28 11:06:51	--------	d-----w-	C:\Program Files\ATI Technologies
2012-04-28 11:06:39	--------	d-----w-	C:\Program Files (x86)\ATI Technologies
2012-04-28 11:06:31	16440	----a-w-	C:\Windows\System32\drivers\AtiPcie64.sys
2012-04-28 11:04:03	74272	----a-w-	C:\Windows\System32\RtNicProp64.dll
2012-04-28 11:00:33	--------	d-----w-	C:\ProgramData\Splashtop
2012-04-28 10:55:04	--------	d--h--w-	C:\ProgramData\{8533ADFA-85F0-4dc1-946A-2A0BA58E78E3}
2012-04-28 10:55:00	--------	d-----w-	C:\Users\xxxxxx\AppData\Roaming\Splashtop
2012-04-28 10:54:42	--------	d-----w-	C:\Program Files (x86)\Splashtop
2012-04-25 12:18:18	--------	d-----w-	C:\Program Files (x86)\Mozilla Maintenance Service
2012-04-25 12:18:16	157352	----a-w-	C:\Program Files (x86)\Mozilla Firefox\maintenanceservice_installer.exe
2012-04-25 12:18:16	129976	----a-w-	C:\Program Files (x86)\Mozilla Firefox\maintenanceservice.exe
.
==================== Find3M  ====================
.
2012-05-11 16:42:01	70304	----a-w-	C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
2012-05-11 16:42:01	419488	----a-w-	C:\Windows\SysWow64\FlashPlayerApp.exe
2012-03-20 18:44:12	98688	----a-w-	C:\Windows\System32\drivers\NisDrvWFP.sys
2012-03-20 18:44:12	203888	----a-w-	C:\Windows\System32\drivers\MpFilter.sys
2012-03-15 13:05:24	737280	----a-w-	C:\Windows\iun6002.exe
2012-03-01 06:46:16	23408	----a-w-	C:\Windows\System32\drivers\fs_rec.sys
2012-03-01 06:38:27	220672	----a-w-	C:\Windows\System32\wintrust.dll
2012-03-01 06:33:50	81408	----a-w-	C:\Windows\System32\imagehlp.dll
2012-03-01 06:28:47	5120	----a-w-	C:\Windows\System32\wmi.dll
2012-03-01 05:37:41	172544	----a-w-	C:\Windows\SysWow64\wintrust.dll
2012-03-01 05:33:23	159232	----a-w-	C:\Windows\SysWow64\imagehlp.dll
2012-03-01 05:29:16	5120	----a-w-	C:\Windows\SysWow64\wmi.dll
2012-02-29 21:00:22	3089728	----a-w-	C:\Windows\System32\nvsvc64.dll
2012-02-29 21:00:09	6074176	----a-w-	C:\Windows\System32\nvcpl.dll
2012-02-29 20:59:47	889664	----a-w-	C:\Windows\System32\nvvsvc.exe
2012-02-29 20:59:47	63296	----a-w-	C:\Windows\System32\nvshext.dll
2012-02-29 20:59:47	2561856	----a-w-	C:\Windows\System32\nvsvcr.dll
2012-02-29 20:59:47	118080	----a-w-	C:\Windows\System32\nvmctray.dll
2012-02-29 12:26:56	416064	----a-w-	C:\Windows\SysWow64\nvStreaming.exe
2012-02-28 06:56:48	2311168	----a-w-	C:\Windows\System32\jscript9.dll
2012-02-28 06:49:56	1390080	----a-w-	C:\Windows\System32\wininet.dll
2012-02-28 06:48:57	1493504	----a-w-	C:\Windows\System32\inetcpl.cpl
2012-02-28 06:42:55	2382848	----a-w-	C:\Windows\System32\mshtml.tlb
2012-02-28 01:18:55	1799168	----a-w-	C:\Windows\SysWow64\jscript9.dll
2012-02-28 01:11:21	1427456	----a-w-	C:\Windows\SysWow64\inetcpl.cpl
2012-02-28 01:11:07	1127424	----a-w-	C:\Windows\SysWow64\wininet.dll
2012-02-28 01:03:16	2382848	----a-w-	C:\Windows\SysWow64\mshtml.tlb
.
============= FINISH: 22:42:43,96 ===============
         

Schritt 1: aswMBR


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.



Schritt 2: TDSS-Killer (Scan)



Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Klicke Change parameters, wähle Detect TDLFS file system, klicke OK.
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Hallo..ich brauche immer noch dringend hilfe..
denn meine Daten sind immer noch verschlüsselt...Heul...
und dabeibrauche ich diese dringend...MfG

PsYcHoTiC..bitte sei nicht sauer..aber ich bin Laie..und total überfordert..
da alle meine wichtigen Bilder und Texte ( brauche ich für meine Arbeit )
immer noch verschlüsselt sind....alles drüberlaufen lassen was hier mir schrieben
wurde..Virus ist raus..soweit so gut..jetzt fehlt nur ein Tool welches mir meine
Daten zurück bringen kann

Zitat:

Zitat von McGeier

Hallo..ich brauche immer noch dringend hilfe..
denn meine Daten sind immer noch verschlüsselt...Heul...
und dabeibrauche ich diese dringend...MfG

Poste die Logdateien, die ich angefordert habe! Mach NIX anderes, wenn dir deine Daten lieb sind!

Das gewünschte als anhang hoch geladen
hoffe das ist richtig so..?

Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo hier ist das gewünschte...mfg

Womit hast du den Trojaner gelöscht? Ohne ihn bekommen wir deine Dateien nicht wieder entschlüsselt!

hallo..ich hatte doch alles hier beschrieben was ich gemacht habe
und habe dann nach anweisung alles so gemacht..und gepostet..
ausserdem habe ich den virus..auch gepostet..was soll ich denn sonst
noch machen..bitte denke daran das ich fast Laie bin..
gelöscht habe ich..mit Microsoft Security Essentials..dieser schob es in Quarantäne..
ich weiss nicht ob er dort noch ist..habe angst das zu suchen und zu öffen

Öffne MSE, wechsle auf "Verlauf" und erstelle ein Bildschirmfoto. Poste es mir hier!

Hallo..hier das Gewünschte

Schritt 1: Java update


Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 4 ) herunter laden.
• Wenn die installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
• Klicke erneut OK.

Schritt 2: MBAM


Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen. (Hinweis: Alle Festplatten anhaken!)
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Klicke auf Hauptmenü.
• Poste das untereste Logfile, dass du unter dem Reiter Logfiles findest, hier in den Thread.

Schritt 3: ESET



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset