Ich habe leider diesen blöden Anhang in der bekannten mail von Flirt Fever geöffnet.
Zuerst konnte ich meinen Laptop mit Windows 7 nicht mehr starten.
Habe nun per CD Boot im gesicherten Modus gestartet.
Im normalen Modus kommt nun immer diese Aufforderung zum bezahlen (Windows Verschlüsselungs blablabla...
Habe jetzt wie bereits schon mehrfach hier beschrieben das Program Anti Malware laufen lassen. Dieser hat auch etwas gefunden. Habe diese wie beschrieben auch in Quarantäne geschoben.
Doch was nun?? Wie gehts weiter? Kann mir jemand helfen??

hi.
kommst du wieder in den normalen modus?
falls ja:
1. öffne malwarebytes,logdateien poste alle berichte.
2. lies bitte den hinweis in meiner signatur, sende die mail an mich.
3. versuche den shadow explorer:
http://www.trojaner-board.de/115496-...erstellen.html

Malwarebytes Anti-Malware (Test) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.06.07.02

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Timo :: ACERLAPTOP [Administrator]

Schutz: Deaktiviert

07.06.2012 08:52:39
mbam-log-2012-06-07 (08-52-39).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 752885
Laufzeit: 2 Stunde(n), 6 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|70567FB1 (Trojan.Agent) -> Daten: C:\Users\Timo\AppData\Roaming\Stgqarfbp\3788271E70567FB15874.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Timo\AppData\Roaming\Stgqarfbp\3788271E70567FB15874.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Das war der erste Bericht und nun der zweite:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.06.07.02

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Timo :: ACERLAPTOP [Administrator]

Schutz: Deaktiviert

07.06.2012 08:52:39
mbam-log-2012-06-07 (10-59-46).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 752885
Laufzeit: 2 Stunde(n), 6 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|70567FB1 (Trojan.Agent) -> Daten: C:\Users\Timo\AppData\Roaming\Stgqarfbp\3788271E70567FB15874.exe -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Timo\AppData\Roaming\Stgqarfbp\3788271E70567FB15874.exe (Trojan.Agent) -> Keine Aktion durchgeführt.

(Ende)

Ich habe bisher noch nicht versucht den Laptop normal zu starten.
Das werde ich gleich mal versuchen.

hier steht, keine aktion durchgefürt,
du musst also evtl. erneut scannen und funde löschen

Habe hier zwei Berichte gepostet.
Im oberen bereich steht:


Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.06.07.02

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Timo :: ACERLAPTOP [Administrator]

Schutz: Deaktiviert

07.06.2012 08:52:39
mbam-log-2012-06-07 (08-52-39).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 752885
Laufzeit: 2 Stunde(n), 6 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|70567FB1 (Trojan.Agent) -> Daten: C:\Users\Timo\AppData\Roaming\Stgqarfbp\3788271E70567FB15874.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Timo\AppData\Roaming\Stgqarfbp\3788271E70567FB15874.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Habe nun den Laptop normal starten können.

Auch den Shadowexplorer habe ich runtergeladen.
Was soll dieser bewirken.
Meine Dateien sind alle da. Läuft alles.
Ist das Problem nun gelöst???