Hallo alle zusammen!

Ich habe mir gestern abend einen Entschlüsselungstrojaner eingefangen als ich aus versehen eine Fakerechnung von flirt-fever öffnete. Heute morgen habe ich wie beschrieben Malwarebytes heruntergeladen, einen Vollscan durchgeführt und die Ergebnisse gelöscht. Allerdings habe ich es vergessen die Editor-Datei zu kopieren.
Kann man das noch nachholen oder muss ich nochmals alles scannen?

Liebe Grüße
Sunniemaus

Ich habe es gefunden! Gott bin ich doof

Also Ergebnis von heute Morgen:


Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.06.01

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Mandy Apfelbaum :: MANDYAPFELBAUM [Administrator]

Schutz: Aktiviert

06.06.2012 07:39:56
mbam-log-2012-06-06 (07-39-56).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 294888
Laufzeit: 4 Stunde(n), 8 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|F20F775F (Trojan.Agent) -> Daten: C:\Users\Mandy Apfelbaum\AppData\Roaming\Ojtnqo\1D660FFCF20F775F68C2.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Users\Mandy Apfelbaum\AppData\Roaming\Ojtnqo\1D660FFCF20F775F68C2.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Mandy Apfelbaum\AppData\Local\Temp\yikmnluegj.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Mandy Apfelbaum\AppData\Local\Temp\liyfsiplfm.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Mandy Apfelbaum\AppData\Local\Temp\sfcrkymfwh.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Und heute Nachmittag habe ich es nochmals gemacht:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.06.01

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Mandy Apfelbaum :: MANDYAPFELBAUM [Administrator]

Schutz: Aktiviert

06.06.2012 14:35:47
mbam-log-2012-06-06 (14-35-47).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 295404
Laufzeit: 2 Stunde(n), 37 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Es sind auch keine weiteren Störungen aufgetreten.

Ich kapiere das nur noch nicht ganz mit dem Decrypthelfer. Wie soll ich denn das Original finden, wenn ich noch nicht einmal die Kopie entziffern kann?

Liebe Grüße

Sunniemaus

hi
1. lass mir immer solche verdächtigen mails zukommen, wie es geht steht in meiner signatutr.
2.
http://www.trojaner-board.de/115496-...erstellen.html
bitte nutze den shadow explorer.

Hallo! Eben habe ich auf meinem Deskop zwei Dateien gefunden, die vorgestern definitiv noch nicht drauf waren. Sie nennen sich beide deskop.ini
Es sind beides Editor-Dateien.

1. Datei:

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769
IconResource=%SystemRoot%\system32\imageres.dll,-183

2. Datei:

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21799
[LocalizedFileNames]
Acer Registration.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Enregistrement Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Registrazione Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Registro de Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Acer Registratie.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Acer Registrierung.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Registo Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Registrering af Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Acer Rekisteröinti.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Acer-registrering.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Registrace Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Acer Εγγραφή.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Acer Regisztráció.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Rejestracja — Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Acer Kayıt.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Înregistrare Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Регистрация Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Acer ユーザー登録.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Acer 注册.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Acer 註冊.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Acer Registreerimine.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Acer Registracija.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Acer Reģistrācija.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Acer Регистрация.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
การลงทะเบียน Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Acer تسجيل.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Acer - Registrácia.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Registracija Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101
Acer 등록.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101

Was hat das zu bedeuten? Malwarebytes hat nichts verdächtiges mehr gefunden.

Kann ich die Dateien "Suche im Internet" und "ACHTUNG-LESEN.txt" eigentlich wieder vom Deskop löschen oder müssen die noch stehen bleiben?

Liebe Grüße
Sunniemaus