Windows Update Trojaner (ukash, 256Bit AES, 100€)

mc_onan · 06.06.2012, 15:07

hallo,

der laptop meiner tante hat offensichtlich ein "kleines" malware problem, das ich für sie lösen soll. sie hat (trotz meiner eindringlichen warnung) den anhang einer email von einem ihr nicht bekannten absender geöffnet. das resultat daraus ist, dass sofort nach dem windows boot ein splash screen aufpoppt der sinngemäß folgende aussage hat: die dateien auf deinem pc wurden mit AES 256 bit verschlüsselt, wenn du wieder zugang haben möchtest zahle 100€ über ukash um den unlock code zu bekommen.

mit knoppix konnte ich verifizieren, dass die dateien nicht wirklich verschlüsselt sind.

keine der mir bekannten tastenkombinationen (strg+alt+entf, alt+f4, strg+shift+esc, win+d, win+r, alt+tab, ...) bewirken dass das fenster verschwindet. der abgesicherte modus funktioniert auch nicht mehr (sieht so aus als ob der pc versucht im abgesicherten modus zu starten, dann einen bluescreen bekommt und neu startet)

kaspersky rescue disk hat zwei dateien gefunden und gelöscht (sorry ich habe nicht gewusst, dass ihr an den dateien interessiert seid). der splash screen ist trotzdem nicht weg.

nach weiterer recherche bin ich dann auf dieses forum gestoßen und möchte nun euch trojaner-profis um hilfe bitten.

hier nun gleich mal das otl log (extra.txt ist nach dem scannen nicht erstellt worden)

Code:

ATTFilter

OTL logfile created on: 6/6/2012 12:57:25 AM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy
 
953.00 Mb Total Physical Memory | 754.00 Mb Available Physical Memory | 79.00% Memory free
852.00 Mb Paging File | 767.00 Mb Available in Paging File | 90.00% Paging File free
Paging file location(s): C:\pagefile.sys 1428 2856 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 10.00 Gb Total Space | 4.05 Gb Free Space | 40.56% Space Free | Partition Type: NTFS
Drive D: | 1.90 Gb Total Space | 1.21 Gb Free Space | 63.40% Space Free | Partition Type: FAT
Drive E: | 139.04 Gb Total Space | 138.73 Gb Free Space | 99.77% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet003
 
========== Win32 Services (SafeList) ==========
 
SRV - [2012/05/14 02:07:21 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2009/05/27 14:03:00 | 000,692,496 | ---- | M] () [Auto] -- C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe -- (cmdAgent)
SRV - [2009/03/03 08:53:08 | 000,033,176 | ---- | M] (NOS Microsystems Ltd.) [On_Demand] -- C:\Programme\NOS\bin\getPlus_HelperSvc.exe -- (getPlus(R) Helper) getPlus(R)
SRV - [2007/02/12 04:43:44 | 000,065,536 | ---- | M] (O2Micro International) [Auto] -- C:\Programme\O2Micro Flash Memory Card Driver\o2flash.exe -- (o2flash)
SRV - [2003/07/28 06:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | Auto] --  -- (SSPORT)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | Auto] --  -- (DgiVecp)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2009/05/27 14:03:02 | 000,132,640 | ---- | M] (COMODO) [File_System | System] -- C:\WINDOWS\system32\drivers\cmdguard.sys -- (cmdGuard)
DRV - [2009/05/27 14:03:02 | 000,082,080 | ---- | M] (COMODO) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\inspect.sys -- (Inspect)
DRV - [2009/05/27 14:03:02 | 000,024,096 | ---- | M] (COMODO) [Kernel | System] -- C:\WINDOWS\system32\drivers\cmdhlp.sys -- (cmdHlp)
DRV - [2009/05/27 13:55:31 | 000,611,064 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)
DRV - [2008/06/11 21:30:12 | 000,043,608 | ---- | M] (O2Micro ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\o2sd.sys -- (O2SDRDR)
DRV - [2008/05/20 20:53:00 | 004,800,000 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008/05/19 23:42:56 | 000,912,384 | R--- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\athr.sys -- (athr)
DRV - [2008/05/13 00:49:12 | 000,051,288 | ---- | M] (O2Micro ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\o2media.sys -- (O2MDRDR)
DRV - [2008/04/29 19:09:56 | 000,108,032 | R--- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\IntcHdmi.sys -- (IntcHdmiAddService) Intel(R)
DRV - [2008/04/08 12:45:42 | 001,309,504 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\athw.sys -- (AR5416)
DRV - [2008/03/19 17:26:24 | 000,175,104 | R--- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2006/12/22 14:56:44 | 000,988,800 | R--- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HSF_DPV.sys -- (HSF_DPV)
DRV - [2006/12/22 14:56:00 | 000,209,664 | R--- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys -- (HSFHWAZL)
DRV - [2006/12/22 14:55:56 | 000,730,112 | R--- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf)
DRV - [2006/06/09 12:38:24 | 000,006,909 | R--- | M] (Conexant Systems, Inc) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\UIUSYS.SYS -- (UIUSys)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://de.yahoo.com
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.yahoo.com
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\Marlene_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/sp/*hxxp://de.yahoo.com
IE - HKU\Marlene_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.yahoo.com
IE - HKU\Marlene_ON_C\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
IE - HKU\Marlene_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\Marlene_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/05/14 02:07:21 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012/02/15 06:01:33 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 12.0.1\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2012/03/08 04:44:14 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 12.0.1\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2012/02/15 05:44:25 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011/09/18 09:16:19 | 000,000,000 | ---D | M] (Click to call with Skype) -- C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2012/05/14 02:07:21 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012/02/20 05:06:14 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/02/20 05:06:14 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012/02/20 05:06:14 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012/02/20 05:06:14 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/02/20 05:06:14 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/02/20 05:06:14 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008/04/14 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (&Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (TBSB03968 Class) - {AA61DE26-FA67-4575-9033-918671094293} -  File not found
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll (Yahoo! Inc)
O3 - HKLM\..\Toolbar: (Toolbar fuer eBay) - {000E148C-F7A7-445A-9044-93BF6CE09ECB} -  File not found
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O3 - HKU\Marlene_ON_C\..\Toolbar\WebBrowser: (Toolbar fuer eBay) - {000E148C-F7A7-445A-9044-93BF6CE09ECB} -  File not found
O3 - HKU\Marlene_ON_C\..\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [AzMixerSel] C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [COMODO Internet Security] C:\Programme\COMODO\COMODO Internet Security\cfp.exe ()
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [LManager] C:\Programme\Launch Manager\LManager.exe (Dritek System Inc.)
O4 - HKLM..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe ()
O4 - HKLM..\Run: [YSearchProtection] C:\Programme\Yahoo!\Search Protection\SearchProtection.exe (Yahoo! Inc)
O4 - HKU\Marlene_ON_C..\Run: [D8344546] C:\WINDOWS\system32\F7DE18C2D83445464D5A.exe (The Code::Blocks Team)
O4 - HKU\Marlene_ON_C..\Run: [Search Protection] C:\Programme\Yahoo!\Search Protection\SearchProtection.exe (Yahoo! Inc)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Marlene_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 95
O7 - HKU\Marlene_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Marlene_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Marlene_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/05/27 13:03:11 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/06/05 15:04:55 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2012/06/04 11:08:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Samsung Printers
[2012/06/04 11:08:03 | 000,000,000 | ---D | C] -- C:\Programme\SamsungPrinterLiveUpdate
[2012/06/04 11:08:02 | 000,000,000 | ---D | C] -- C:\WINDOWS\Samsung
[2012/06/04 11:07:32 | 000,082,432 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msxml4r.dll
[2012/06/04 11:07:32 | 000,081,920 | ---- | C] (Samsung Electronics) -- C:\WINDOWS\System32\ssdevm.dll
[2012/06/04 11:07:32 | 000,049,152 | ---- | C] (Samsung Electronics) -- C:\WINDOWS\System32\ssusbpn.dll
[2012/06/04 11:07:32 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msxml4a.dll
[2012/06/04 11:07:31 | 000,021,776 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msxml2a.dll
[2012/06/04 11:06:16 | 000,000,000 | ---D | C] -- C:\Programme\Samsung
[2012/06/04 11:03:30 | 000,151,552 | ---- | C] (SS) -- C:\WINDOWS\System32\ssp6mci.exe
[2012/06/04 11:03:29 | 000,065,536 | ---- | C] (SS) -- C:\WINDOWS\System32\ssp6mci.dll
[2012/05/21 04:34:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Marlene\Desktop\Unterlagen pdf
[2012/05/20 12:07:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Ojnqoftd
[2012/05/20 12:07:29 | 000,034,477 | -H-- | C] (The Code::Blocks Team) -- C:\WINDOWS\System32\F7DE18C2D83445464D5A.exe
[2012/05/20 12:07:08 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2012/05/14 02:07:23 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Maintenance Service
[2012/05/14 02:07:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla
[2012/05/12 08:18:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Marlene\Lokale Einstellungen\Anwendungsdaten\FreePDF_XP
[2012/05/12 08:17:51 | 000,000,000 | ---D | C] -- C:\Programme\FreePDF_XP
[2012/05/12 08:17:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\FreePDF
[2012/05/12 08:17:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\FreePDF
[2012/05/12 08:17:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ghostscript
[2012/05/12 08:17:19 | 000,000,000 | ---D | C] -- C:\Programme\gs
[2012/05/07 04:53:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Marlene\Desktop\Bewerbungsunterlagen original
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/06/05 16:59:13 | 001,391,408 | ---- | M] () -- C:\WINDOWS\System32\drivers\sfi.dat
[2012/06/05 16:59:12 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/06/05 16:44:55 | 000,320,332 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/06/05 16:44:55 | 000,314,706 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/06/05 16:44:55 | 000,049,372 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/06/05 16:44:55 | 000,041,034 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012/06/04 11:08:05 | 000,000,276 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SAMSUNG Dr.Printer.url
[2012/06/04 11:08:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Samsung Printers
[2012/06/04 10:25:02 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/05/31 02:17:16 | 000,030,710 | ---- | M] () -- C:\Dokumente und Einstellungen\Marlene\Desktop\Bescheid.pdf
[2012/05/20 12:14:22 | 000,001,039 | ---- | M] () -- C:\WINDOWS\cdplayer.ini
[2012/05/20 12:07:29 | 000,034,477 | -H-- | M] (The Code::Blocks Team) -- C:\WINDOWS\System32\F7DE18C2D83445464D5A.exe
[2012/05/12 08:17:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\FreePDF
[2012/05/12 08:17:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ghostscript
[2012/05/11 15:50:50 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323
[2012/05/11 15:50:40 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322
[2012/05/11 15:50:32 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321
[2012/05/11 15:50:22 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/06/04 14:38:07 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325
[2012/06/04 14:38:07 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012/06/04 14:38:07 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012/06/04 14:38:07 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012/06/04 14:38:07 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012/06/04 14:38:06 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320
[2012/06/04 11:08:05 | 000,000,276 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SAMSUNG Dr.Printer.url
[2012/06/04 11:08:04 | 000,482,408 | ---- | C] () -- C:\WINDOWS\ssndii.exe
[2012/06/04 11:03:29 | 000,026,624 | ---- | C] () -- C:\WINDOWS\System32\ssp6ml3.dll
[2012/06/04 11:03:29 | 000,000,361 | ---- | C] () -- C:\WINDOWS\System32\ssp6ml3.smt
[2012/05/31 02:17:14 | 000,030,710 | ---- | C] () -- C:\Dokumente und Einstellungen\Marlene\Desktop\Bescheid.pdf
[2012/05/12 08:17:52 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2012/05/12 08:17:52 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\unredmon.exe
[2011/02/13 06:12:58 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2009/06/23 15:40:49 | 000,005,632 | ---- | C] () -- C:\Dokumente und Einstellungen\Marlene\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/05/27 15:41:28 | 000,001,039 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2009/05/27 14:55:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2009/05/27 14:05:13 | 001,391,408 | ---- | C] () -- C:\WINDOWS\System32\drivers\sfi.dat
[2009/05/27 14:03:07 | 000,168,208 | ---- | C] () -- C:\WINDOWS\System32\guard32.dll
[2009/05/27 13:58:48 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009/05/27 13:52:29 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009/05/27 13:51:13 | 000,188,200 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009/05/27 13:22:59 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2009/05/27 13:22:48 | 000,000,520 | R--- | C] () -- C:\WINDOWS\System32\drivers\RTEQEX1.dat
[2009/05/27 13:22:48 | 000,000,520 | R--- | C] () -- C:\WINDOWS\System32\drivers\RTEQEX0.dat
[2009/05/27 13:22:48 | 000,000,008 | R--- | C] () -- C:\WINDOWS\System32\drivers\rtkhdaud.dat
[2009/05/27 13:21:19 | 000,147,456 | R--- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4957.dll
[2009/05/27 13:21:18 | 001,991,464 | R--- | C] () -- C:\WINDOWS\System32\igkrng500.bin
[2009/05/27 13:21:18 | 000,432,400 | R--- | C] () -- C:\WINDOWS\System32\igcompkrng500.bin
[2009/05/27 13:05:22 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2009/05/27 13:00:01 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008/04/14 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2008/04/14 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008/04/14 08:00:00 | 000,320,332 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008/04/14 08:00:00 | 000,314,706 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008/04/14 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008/04/14 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008/04/14 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008/04/14 08:00:00 | 000,049,372 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008/04/14 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008/04/14 08:00:00 | 000,041,034 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008/04/14 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008/04/14 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008/04/14 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008/04/14 08:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2008/04/14 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008/04/14 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003/02/20 11:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
 
========== LOP Check ==========
 
[2011/02/07 13:58:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Babylon
[2009/05/27 13:49:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Desktopicon
[2012/05/12 08:17:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\FreePDF
[2010/01/29 15:22:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\mquadr.at
[2012/05/20 12:07:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Ojnqoftd
[2010/11/03 13:52:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Thunderbird
[2009/05/27 13:49:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Toolbars
[2011/02/07 13:58:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Babylon
[2010/02/02 14:52:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM
[2010/02/02 14:49:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail
[2010/01/29 15:22:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\m2backup
[2010/01/29 15:22:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mquadr.at
[2010/01/29 14:38:22 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{121AD2BC-C528-40F6-AA74-A5E1962657DF}
[2010/01/29 14:37:59 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{7FDC9DDA-8828-4A49-A615-2E0A4EE0F0E2}
[2010/01/29 14:30:58 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D692DF95-0D76-4FE0-9096-9B56DEAE4205}
[2010/01/29 14:31:11 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{DEC678D1-B2BE-43DD-B123-21503011D8C9}
 
========== Purity Check ==========
 
 
< End of report >

tia für eure hilfe,

peter

cosinus · 08.06.2012, 14:01

Zitat:

mit knoppix konnte ich verifizieren, dass die dateien nicht wirklich verschlüsselt sind

Was soll diese Aussage uns mitteilen? Nicht wirklich heißt

a) nein sie sind nicht verschlüsselt
b) sie sind verschlüsselt
c) sie sind kaputtgewürfelt
d) irgendeine Kombination von a), b) und/oder c) und zusätzlich die Dateinamen zerwürfelt?

mc_onan · 08.06.2012, 14:12

ich habe einige bilddateien öffnen können und diese waren nicht verschlüsselt und sahen vollständig aus. ich habe aber nicht alle dateien ausprobiert.

cosinus · 08.06.2012, 14:15

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O4 - HKLM..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe ()
O4 - HKLM..\Run: [YSearchProtection] C:\Programme\Yahoo!\Search Protection\SearchProtection.exe (Yahoo! Inc)
O4 - HKU\Marlene_ON_C..\Run: [D8344546] C:\WINDOWS\system32\F7DE18C2D83445464D5A.exe (The Code::Blocks Team)
O4 - HKU\Marlene_ON_C..\Run: [Search Protection] C:\Programme\Yahoo!\Search Protection\SearchProtection.exe (Yahoo! Inc)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Marlene_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 95
O7 - HKU\Marlene_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Marlene_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Marlene_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/05/27 13:03:11 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
[2012/05/20 12:07:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Ojnqoftd
[2012/05/20 12:07:29 | 000,034,477 | -H-- | C] (The Code::Blocks Team) -- C:\WINDOWS\System32\F7DE18C2D83445464D5A.exe
:Files
C:\WINDOWS\System32\F7DE18C2D83445464D5A.exe
C:\WINDOWS\System32\winsh32?
C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Babylon
C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Ojnqoftd
C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Toolbars
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

mc_onan · 12.06.2012, 20:14

zuerst möchte ich mich für die rasche hilfe bedanken! der laptop funktioniert wieder. jetzt habe ich gerade zwei mal (beim ersten mal war ich nicht angemeldet) versucht den quarantäne container von otl im upload channel hochzuladen. beide male kam folgende fehlermeldung

Code:

ATTFilter

Datei: MovedFiles.zip_1 empfangen
Datei: mbam-log-2012-06-10 (13-10-58).txt empfangen
Datei: OTL_FIX_LOG.txt empfangen

Fehler: Die Dateien konnten nicht empfangen werden. Bitte melden Sie sich im Forum.

hier zumindest mal der inhalt des otl fix logs und des Malwarebytes scans:

Code:

ATTFilter

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Samsung PanelMgr deleted successfully.
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\YSearchProtection deleted successfully.
C:\Programme\Yahoo!\Search Protection\SearchProtection.exe moved successfully.
Registry value HKEY_USERS\Marlene_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\D8344546 deleted successfully.
C:\WINDOWS\system32\F7DE18C2D83445464D5A.exe moved successfully.
Registry value HKEY_USERS\Marlene_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Search Protection deleted successfully.
File C:\Programme\Yahoo!\Search Protection\SearchProtection.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\Marlene_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\Marlene_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
Registry value HKEY_USERS\Marlene_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_USERS\Marlene_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_USERS\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
File move failed. X:\AUTORUN.INF scheduled to be moved on reboot.
C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Ojnqoftd folder moved successfully.
File C:\WINDOWS\System32\F7DE18C2D83445464D5A.exe not found.
========== FILES ==========
File\Folder C:\WINDOWS\System32\F7DE18C2D83445464D5A.exe not found.
C:\WINDOWS\System32\winsh320 moved successfully.
C:\WINDOWS\System32\winsh321 moved successfully.
C:\WINDOWS\System32\winsh322 moved successfully.
C:\WINDOWS\System32\winsh323 moved successfully.
C:\WINDOWS\System32\winsh324 moved successfully.
C:\WINDOWS\System32\winsh325 moved successfully.
C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Babylon folder moved successfully.
File\Folder C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Ojnqoftd not found.
C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Toolbars\Toolbar fuer eBay folder moved successfully.
C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Toolbars folder moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 06102012_141715

Files\Folders moved on Reboot...
File\Folder X:\AUTORUN.INF not found!

Registry entries deleted on Reboot...

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.10.01

Windows XP Service Pack 3 x86 FAT
Internet Explorer 6.0.2900.5512
Marlene :: MARLENE-E1C72D8 [Administrator]

Schutz: Aktiviert

10.06.2012 12:43:27
mbam-log-2012-06-10 (13-10-58).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 217019
Laufzeit: 23 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Marlene\Lokale Einstellungen\Temp\jnqojnqojn.pre (Trojan.Ransom) -> Keine Aktion durchgeführt.
C:\_OTL\MovedFiles\06102012_141715\C_Dokumente und Einstellungen\Marlene\Anwendungsdaten\Ojnqoftd\9DE86CDCD8344546BBC4.exe (Trojan.Ransom) -> Keine Aktion durchgeführt.
C:\_OTL\MovedFiles\06102012_141715\C_WINDOWS\system32\F7DE18C2D83445464D5A.exe (Trojan.Ransom) -> Keine Aktion durchgeführt.

(Ende)

nochmals danke und lg,
peter

cosinus · 12.06.2012, 22:17

Deine ZIP ist wohl zu groß. Lads hier mal hoch => File-Upload.net - Ihr kostenloser File Hoster!
und verlink das ganze hier

12.06.2012, 22:17	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Windows Update Trojaner (ukash, 256Bit AES, 100€) Deine ZIP ist wohl zu groß. Lads hier mal hoch => File-Upload.net - Ihr kostenloser File Hoster! und verlink das ganze hier __________________ --> Windows Update Trojaner (ukash, 256Bit AES, 100€)

Windows Update Trojaner (ukash, 256Bit AES, 100€)

Plagegeister aller Art und deren Bekämpfung: Windows Update Trojaner (ukash, 256Bit AES, 100€)