| |
| |||||||
Log-Analyse und Auswertung: Nach Virus (EXP/MS04-028.JPEG.A) lassen sich Bilder, OpenOffice-Dokumente usw. nicht mehr öffnenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
14.07.2012, 17:19
| #1 |
| |  Nach Virus (EXP/MS04-028.JPEG.A) lassen sich Bilder, OpenOffice-Dokumente usw. nicht mehr öffnen Ich sitze hier am Laptop meiner Schwiegereltern. Die hatten da vor kurzem einen Virus drauf, woraufhin der Laptop eine Zeit lang nicht mehr hochgefahren ist. Kurz darauf ging es jedoch wieder. Ich habe dann im Nachhinein einen Viren-check mit Antivir gemacht und einen Virus in Quarantäne verschoben: Die Datei 'C:\Users\HIERSTANDEINNAME\AppData\Local\Temp\~PIFD76.tmp' enthielt einen Virus oder unerwünschtes Programm 'EXP/MS04-028.JPEG.A' [exploit]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56e86187.qua' verschoben! Der Laptop funktioniert im Moment wieder ohne erkennbare Probleme, lediglich alle Bilder und OpenOffice Dokumente, die vor Infizierung auf dem Laptop waren lassen sich nicht mehr öffnen. Als Dateityp steht da einfach nur "Datei". Ich habe dann gegoogelt und bin hier gelandet wo man öfter was findet wo beschrieben wird, was man machen muss falls die Dateien Namen wie locked-<DATEINAME>.<ENDUNG>.wxyz haben. Das ist hier jedoch nicht der Fall. Die Dateinamen wurden in zufällig wirkende Buchstaben und Zahlenkombinationen geändert. Beispiel: DoerxOTtpvjQeVlgE Bei manchen Bildern werden die Miniaturansichten noch angezeigt, bei anderen nicht. Die Dateien haben schätzungsweise immer noch die selbe Größe wie vorher (Bild zB 1,44 MB). Ich würde die Bilder und verloren gegangenen OpenOffice Dateien gerne retten. Gibt es dafür eine Möglichkeit? Ich hoffe ich habe das Problem ausreichend beschrieben und entschuldige mich schon mal im Voraus dafür falls das nicht so sein sollte. Bin jederzeit bereit, weitere benötigte Informationen zur Verfügung zu stellen. OTL Log file: OTL logfile created on: 21.07.2012 17:14:14 - Run 1 OTL by OldTimer - Version 3.2.54.0 Folder = C:\Users\HIERSTEHT EINNAME\Desktop Windows Vista Business Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,96 Gb Total Physical Memory | 1,04 Gb Available Physical Memory | 53,06% Memory free 4,16 Gb Paging File | 3,02 Gb Available in Paging File | 72,63% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 50,00 Gb Total Space | 9,55 Gb Free Space | 19,10% Space Free | Partition Type: NTFS Drive D: | 97,04 Gb Total Space | 82,96 Gb Free Space | 85,50% Space Free | Partition Type: NTFS Computer Name: HIER STEHT EIN NAME-PC | User Name: HIER STEHT EIN NAME | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.07.21 17:10:57 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Users\Monika\Desktop\OTL.exe PRC - [2012.05.12 17:43:46 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe PRC - [2012.05.12 17:43:42 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe PRC - [2012.05.12 17:43:42 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\avshadow.exe PRC - [2012.05.12 17:43:41 | 000,348,624 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe PRC - [2012.02.22 07:57:02 | 003,508,624 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Program Files\Samsung\Kies\KiesTrayAgent.exe PRC - [2010.09.27 11:58:24 | 001,528,616 | ---- | M] (Cisco Systems, Inc.) -- C:\Users\HIERSTEHTEINNAME\Desktop\eva\vpn\cvpnd.exe PRC - [2010.05.28 08:25:04 | 000,233,472 | ---- | M] (Teruten) -- C:\Windows\System32\FsUsbExService.Exe PRC - [2009.10.20 14:59:18 | 000,111,928 | R--- | M] (SweetIM Technologies Ltd.) -- C:\Program Files\SweetIM\Messenger\SweetIM.exe PRC - [2009.08.19 10:32:24 | 007,418,368 | ---- | M] (OpenOffice.org) -- C:\Program Files\OpenOffice.org 3\program\soffice.bin PRC - [2009.08.19 10:32:20 | 007,424,000 | ---- | M] (OpenOffice.org) -- C:\Program Files\OpenOffice.org 3\program\soffice.exe PRC - [2009.06.12 12:04:43 | 000,253,952 | ---- | M] (Huawei Technologies Co., Ltd.) -- C:\Program Files\T-Mobile\web'n'walk Manager\DataCardMonitor.exe PRC - [2009.06.01 22:20:12 | 000,222,968 | ---- | M] () -- C:\Program Files\ICQ6Toolbar\ICQ Service.exe PRC - [2008.12.18 13:21:16 | 000,341,264 | ---- | M] (Fujitsu Siemens Computers) -- C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe PRC - [2008.10.29 08:29:41 | 002,927,104 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe PRC - [2008.06.19 11:42:12 | 000,857,544 | ---- | M] () -- C:\Program Files\T-Mobile\web'n'walk Manager\WTGU.exe PRC - [2008.03.26 13:21:30 | 005,369,856 | ---- | M] (Realtek Semiconductor) -- C:\Windows\RtHDVCpl.exe PRC - [2008.01.21 04:24:41 | 000,069,120 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conime.exe PRC - [2008.01.21 04:23:59 | 001,008,184 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Windows Defender\MSASCui.exe PRC - [2007.07.26 23:56:44 | 000,192,512 | ---- | M] (Wistron) -- C:\Program Files\Launch Manager\HotkeyApp.exe PRC - [2006.11.18 05:45:26 | 000,118,784 | ---- | M] (Wistron Corp.) -- C:\Program Files\Launch Manager\WisLMSvc.exe ========== Modules (No Company Name) ========== MOD - [2009.08.19 10:28:46 | 000,139,264 | ---- | M] () -- C:\Program Files\OpenOffice.org 3\Basis\program\NSLDAP32V50.dll MOD - [2009.08.18 15:54:22 | 000,970,752 | ---- | M] () -- C:\Program Files\OpenOffice.org 3\program\libxml2.dll MOD - [2009.08.16 17:06:02 | 000,141,312 | ---- | M] () -- C:\Program Files\WinRAR\rarext.dll MOD - [2009.04.16 13:03:22 | 000,166,400 | ---- | M] () -- C:\Program Files\OpenOffice.org 3\Basis\program\libxslt.dll MOD - [2008.06.19 14:15:12 | 000,741,376 | ---- | M] () -- C:\Program Files\T-Mobile\web'n'walk Manager\UpgraderGer.dll MOD - [2008.06.19 11:42:12 | 000,857,544 | ---- | M] () -- C:\Program Files\T-Mobile\web'n'walk Manager\WTGU.exe ========== Win32 Services (SafeList) ========== SRV - [2012.06.26 20:40:10 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012.05.12 17:43:46 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.05.12 17:43:42 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2010.09.27 11:58:24 | 001,528,616 | ---- | M] (Cisco Systems, Inc.) [Auto | Running] -- C:\Users\HIERSTEHTEINNAME\Desktop\eva\vpn\cvpnd.exe -- (CVPND) SRV - [2010.05.28 08:25:04 | 000,233,472 | ---- | M] (Teruten) [Auto | Running] -- C:\Windows\System32\FsUsbExService.Exe -- (FsUsbExService) SRV - [2009.06.01 22:20:12 | 000,222,968 | ---- | M] () [Auto | Running] -- C:\Program Files\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service) SRV - [2008.12.18 13:21:16 | 000,341,264 | ---- | M] (Fujitsu Siemens Computers) [Auto | Running] -- C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe -- (TestHandler) SRV - [2008.01.21 04:23:59 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\mpsvc.dll -- (WinDefend) SRV - [2006.11.18 05:45:26 | 000,118,784 | ---- | M] (Wistron Corp.) [On_Demand | Running] -- C:\Program Files\Launch Manager\WisLMSvc.exe -- (WisLMSvc) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp) DRV - [2012.05.12 17:43:48 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb) DRV - [2012.05.12 17:43:48 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt) DRV - [2011.10.11 15:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr) DRV - [2011.07.26 17:26:44 | 000,020,032 | ---- | M] (Devguru Co., Ltd) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\dgderdrv.sys -- (dgderdrv) DRV - [2010.09.27 11:56:00 | 000,308,859 | ---- | M] (Cisco Systems, Inc.) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\CVPNDRVA.sys -- (CVPNDRVA) DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2010.05.28 08:25:04 | 000,036,608 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\FsUsbExDisk.Sys -- (FsUsbExDisk) DRV - [2010.04.27 04:25:20 | 000,123,648 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\sscemdm.sys -- (sscemdm) DRV - [2010.04.27 04:25:20 | 000,100,352 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssceserd.sys -- (ssceserd) SAMSUNG Mobile Modem Diagnostic Serial Port V2 (WDM) DRV - [2010.04.27 04:25:20 | 000,098,560 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\sscebus.sys -- (sscebus) SAMSUNG USB Composite Device V2 driver (WDM) DRV - [2010.04.27 04:25:20 | 000,014,848 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\sscemdfl.sys -- (sscemdfl) DRV - [2008.11.16 18:39:44 | 000,131,984 | ---- | M] (Deterministic Networks, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\dne2000.sys -- (DNE) DRV - [2008.06.30 19:56:12 | 000,917,504 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\athr.sys -- (athr) DRV - [2008.05.08 20:52:22 | 000,018,816 | ---- | M] (Bytemobile, Inc.) [Kernel | System | Running] -- C:\Windows\System32\drivers\tcpipBM.sys -- (tcpipBM) DRV - [2008.04.17 15:42:10 | 000,101,632 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ewusbmdm.sys -- (hwdatacard) DRV - [2008.04.11 17:55:04 | 000,084,240 | ---- | M] (JMicron Technology Corp.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\jmcr.sys -- (JMCR) DRV - [2008.02.14 14:56:02 | 000,118,784 | ---- | M] (Realtek Corporation ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Rtlh86.sys -- (RTL8169) DRV - [2007.01.18 20:28:02 | 000,005,275 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\CVirtA.sys -- (CVirtA) DRV - [2003.04.28 20:27:06 | 000,009,867 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\drivers\HOTKEY.sys -- (Hotkey) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.fujitsu-siemens.com/index2 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://home.sweetim.com IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.fujitsu-siemens.com/index2 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://home.sweetim.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1 IE - HKCU\..\URLSearchHook: - No CLSID value found IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (ICQ) IE - HKCU\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.) IE - HKCU\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = hxxp://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll () FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.06.26 20:40:11 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.06.17 21:59:25 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.06.26 20:40:11 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.06.17 21:59:25 | 000,000,000 | ---D | M] [2009.08.30 14:27:19 | 000,000,000 | ---D | M] (No name found) -- C:\Users\HIERSTEHTEINNAME\AppData\Roaming\mozilla\Extensions [2012.06.11 16:48:46 | 000,000,000 | ---D | M] (No name found) -- C:\Users\HIERSTEHTEINNAME\AppData\Roaming\mozilla\Firefox\Profiles\xc9i8j4n.default\extensions [2012.06.03 19:29:59 | 000,000,944 | ---- | M] () -- C:\Users\HIERSTEHTEINNAME\AppData\Roaming\Mozilla\Firefox\Profiles\xc9i8j4n.default\searchplugins\duDUDgLgXGovqGe [2010.01.12 17:48:13 | 000,003,915 | ---- | M] () -- C:\Users\HIERSTEHTEINNAME\AppData\Roaming\Mozilla\Firefox\Profiles\xc9i8j4n.default\searchplugins\jXOVJVnNnQdEOEJ [2011.11.10 21:58:57 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\mozilla firefox\extensions [2009.08.30 18:30:57 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Program Files\mozilla firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} [2009.09.03 03:01:23 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION [2012.06.26 20:40:11 | 000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll [2011.02.02 21:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll [2012.06.26 20:40:08 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.06.26 20:40:08 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml [2012.06.26 20:40:08 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml [2012.06.26 20:40:08 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml [2012.06.26 20:40:08 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml [2012.06.26 20:40:08 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (ICQ) O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O3 - HKCU\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe File not found O4 - HKLM..\Run: [DataCardMonitor] C:\Program Files\T-Mobile\web'n'walk Manager\DataCardMonitor.exe (Huawei Technologies Co., Ltd.) O4 - HKLM..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe (Wistron) O4 - HKLM..\Run: [KiesTrayAgent] C:\Program Files\Samsung\Kies\KiesTrayAgent.exe (Samsung Electronics Co., Ltd.) O4 - HKLM..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe File not found O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor) O4 - HKLM..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.) O4 - HKLM..\Run: [Wbutton] C:\Program Files\Launch Manager\WButton.exe File not found O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) O4 - HKCU..\Run: [0CC9FDF9] C:\Users\Monika\AppData\Roaming\Fpimuzqln\2CB5614D0CC9FDF97900.exe File not found O4 - HKCU..\Run: [KiesHelper] C:\Program Files\Samsung\Kies\KiesHelper.exe (Samsung) O4 - HKCU..\Run: [KiesPDLR] C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe () O4 - HKCU..\Run: [Updater shortcut] C:\Program Files\T-Mobile\web'n'walk Manager\WTGU.exe () O4 - HKCU..\RunOnce: [FlashPlayerUpdate] C:\Windows\System32\Macromed\Flash\FlashUtil32_11_2_202_235_Plugin.exe (Adobe Systems Incorporated) O4 - Startup: C:\Users\Monika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: E&xport to Microsoft Excel - res://c:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 File not found O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files\ICQ7.2\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Program Files\ICQ7.2\ICQ.exe (ICQ, LLC.) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL (Microsoft Corporation) O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Bonjour\mdnsNSP.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Bonjour\mdnsNSP.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files\Bonjour\mdnsNSP.dll File not found O13 - gopher Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 217.237.150.51 217.237.148.22 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{67C1DF4D-77D4-444E-A74A-EC9798C3DFD3}: DhcpNameServer = 217.237.150.51 217.237.148.22 O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation) O24 - Desktop WallPaper: C:\Users\HIERSTEHTEINNAME\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg O24 - Desktop BackupWallPaper: C:\Users\HIERSTEHTEINNAME\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O33 - MountPoints2\{2086d836-5736-11de-98d2-001f1605f808}\Shell - "" = AutoRun O33 - MountPoints2\{2086d836-5736-11de-98d2-001f1605f808}\Shell\AutoRun\command - "" = E:\AutoRun.exe O33 - MountPoints2\{2086d86c-5736-11de-98d2-001f1605f808}\Shell - "" = AutoRun O33 - MountPoints2\{2086d86c-5736-11de-98d2-001f1605f808}\Shell\AutoRun\command - "" = E:\AutoRun.exe O33 - MountPoints2\{af6523a0-5cbe-11de-aa45-001f1605f808}\Shell - "" = AutoRun O33 - MountPoints2\{af6523a0-5cbe-11de-aa45-001f1605f808}\Shell\AutoRun\command - "" = E:\AutoRun.exe O33 - MountPoints2\{af6523a1-5cbe-11de-aa45-001f1605f808}\Shell - "" = AutoRun O33 - MountPoints2\{af6523a1-5cbe-11de-aa45-001f1605f808}\Shell\AutoRun\command - "" = E:\AutoRun.exe O33 - MountPoints2\{bac7a879-6c04-11df-b323-001f1605f808}\Shell - "" = AutoRun O33 - MountPoints2\{bac7a879-6c04-11df-b323-001f1605f808}\Shell\AutoRun\command - "" = E:\AutoRun.exe O33 - MountPoints2\{bac7a87b-6c04-11df-b323-001f1605f808}\Shell - "" = AutoRun O33 - MountPoints2\{bac7a87b-6c04-11df-b323-001f1605f808}\Shell\AutoRun\command - "" = E:\AutoRun.exe O33 - MountPoints2\{e6f74e6f-5910-11df-9e2c-001f1605f808}\Shell\AutoRun\command - "" = E:\Jobrocket-starten.exe O33 - MountPoints2\E\Shell - "" = AutoRun O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\AutoRun.exe O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.07.21 17:10:49 | 000,596,480 | ---- | C] (OldTimer Tools) -- C:\Users\HIERSTEHTEINNAME\Desktop\OTL.exe ========== Files - Modified Within 30 Days ========== [2012.07.21 17:12:38 | 000,008,255 | ---- | M] () -- C:\Users\Monika\Desktop\Tronjaner Board Anleitung.odt [2012.07.21 17:10:57 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Users\Monika\Desktop\OTL.exe [2012.07.21 17:10:00 | 000,000,000 | ---- | M] () -- C:\Users\Monika\defogger_reenable [2012.07.21 17:03:00 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 [2012.07.21 17:03:00 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 [2012.07.14 15:11:09 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2012.07.14 15:11:03 | 2104,397,824 | -HS- | M] () -- C:\hiberfil.sys [2012.06.23 21:40:17 | 000,030,513 | ---- | M] () -- C:\Users\HIERSTEHTEINNAME\Documents\E-mail Adressen von der freizeitparkgruppebliesen.odt ========== Files Created - No Company Name ========== [2012.07.21 17:12:35 | 000,008,255 | ---- | C] () -- C:\Users\HIERSTEHTEINNAME\Desktop\Tronjaner Board Anleitung.odt [2012.07.21 17:10:00 | 000,000,000 | ---- | C] () -- C:\Users\HIERSTEHTEINNAME\defogger_reenable [2012.06.23 21:40:15 | 000,030,513 | ---- | C] () -- C:\Users\HIERSTEHTEINNAME\Documents\E-mail Adressen von der freizeitparkgruppebliesen.odt [2011.09.15 11:23:46 | 000,110,592 | ---- | C] () -- C:\Windows\System32\FsUsbExDevice.Dll [2011.09.15 11:23:46 | 000,036,608 | ---- | C] () -- C:\Windows\System32\FsUsbExDisk.Sys [2011.07.26 17:26:48 | 000,030,568 | ---- | C] () -- C:\Windows\MusiccityDownload.exe [2011.07.26 17:26:46 | 000,974,848 | ---- | C] () -- C:\Windows\System32\cis-2.4.dll [2011.07.26 17:26:46 | 000,081,920 | ---- | C] () -- C:\Windows\System32\issacapi_bs-2.3.dll [2011.07.26 17:26:46 | 000,065,536 | ---- | C] () -- C:\Windows\System32\issacapi_pe-2.3.dll [2011.07.26 17:26:46 | 000,057,344 | ---- | C] () -- C:\Windows\System32\issacapi_se-2.3.dll [2011.03.09 16:56:58 | 000,000,680 | ---- | C] () -- C:\Users\HIERSTEHTEINNAME\AppData\Local\d3d9caps.dat [2010.09.27 12:03:08 | 000,201,512 | ---- | C] () -- C:\Windows\System32\vpnapi.dll [2010.08.25 20:30:02 | 000,439,308 | ---- | C] () -- C:\Windows\System32\igcompkrng500.bin [2010.08.25 20:30:00 | 000,982,240 | ---- | C] () -- C:\Windows\System32\igkrng500.bin [2010.08.25 20:30:00 | 000,092,356 | ---- | C] () -- C:\Windows\System32\igfcg500m.bin [2010.08.25 19:59:08 | 000,004,096 | ---- | C] ( ) -- C:\Windows\System32\IGFXDEVLib.dll [2010.08.25 19:57:00 | 000,000,151 | ---- | C] () -- C:\Windows\System32\GfxUI.exe.config [2010.08.25 19:52:00 | 000,208,896 | ---- | C] () -- C:\Windows\System32\iglhsip32.dll [2010.08.25 19:52:00 | 000,143,360 | ---- | C] () -- C:\Windows\System32\iglhcp32.dll [2009.06.19 14:08:30 | 000,022,016 | ---- | C] () -- C:\Users\HIERSTEHTEINNAME\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [1601.02.13 10:28:18 | 026,897,948 | ---- | C] () -- C:\Users\HIERSTEHTEINNAME\TafsOjEsGfOEqs [1601.02.13 10:28:18 | 000,024,064 | ---- | C] () -- C:\Users\HIERSTEHTEINNAME\AppData\Roaming\pfLsoxgsqTQfveoDgs ========== LOP Check ========== [2012.06.05 20:15:56 | 000,000,000 | ---D | M] -- C:\Users\HIERSTEHTEINNAME\AppData\Roaming\.minecraft [2012.06.16 17:52:29 | 000,000,000 | ---D | M] -- C:\Users\HIERSTEHTEINNAME\AppData\Roaming\Aipersun333 [2009.06.12 12:04:55 | 000,000,000 | ---D | M] -- C:\Users\HIERSTEHTEINNAME\AppData\Roaming\Bytemobile [2012.06.09 19:35:18 | 000,000,000 | ---D | M] -- C:\Users\HIERSTEHTEINNAME\AppData\Roaming\Fpimuzqln [2012.07.07 19:06:48 | 000,000,000 | ---D | M] -- C:\Users\HIERSTEHTEINNAME\AppData\Roaming\HCM Updater [2012.06.05 20:17:31 | 000,000,000 | ---D | M] -- C:\Users\HIERSTEHTEINNAME\AppData\Roaming\ICQ [2012.06.03 12:00:55 | 000,000,000 | ---D | M] -- C:\Users\HIERSTEHTEINNAME\AppData\Roaming\Jzvtipysg [2009.10.20 12:02:47 | 000,000,000 | ---D | M] -- C:\Users\HIERSTEHTEINNAME\AppData\Roaming\OpenOffice.org [2009.11.08 17:40:47 | 000,000,000 | ---D | M] -- C:\Users\HIERSTEHTEINNAME\AppData\Roaming\PeerNetworking [2011.09.15 11:49:03 | 000,000,000 | ---D | M] -- C:\Users\HIERSTEHTEINNAME\AppData\Roaming\Samsung [2012.07.14 11:33:57 | 000,032,530 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT ========== Purity Check ========== < End of report > |
|
16.07.2012, 18:38
| #2 |
| /// Malware-holic   | Nach Virus (EXP/MS04-028.JPEG.A) lassen sich Bilder, OpenOffice-Dokumente usw. nicht mehr öffnen hi
__________________wieso werden keine windows updates gemacht? bitte mal shadow explorer testen: http://www.trojaner-board.de/115496-...erstellen.html
__________________ |
|
16.07.2012, 18:55
| #3 |
| | Nach Virus (EXP/MS04-028.JPEG.A) lassen sich Bilder, OpenOffice-Dokumente usw. nicht mehr öffnen Vielen Dank für die Antwort!
__________________Habe im Moment leider nur am Wochenende Zugang zu besagtem Laptop und werde den Shadow Explorer dann mal testen und mich dann wieder melden. Keine Ahnung warum meine Schwiegereltern keine Windows-Updates machen, werde da am Wochenende mal die automatische Update Funktion einschalten. |
|
18.07.2012, 21:05
| #4 |
| /// Malware-holic | Nach Virus (EXP/MS04-028.JPEG.A) lassen sich Bilder, OpenOffice-Dokumente usw. nicht mehr öffnen das wäre schon mal n anfang :-)
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
| Themen zu Nach Virus (EXP/MS04-028.JPEG.A) lassen sich Bilder, OpenOffice-Dokumente usw. nicht mehr öffnen |
| antivir, avira, bereit, bho, bonjour, dateien lassen sich nicht öffnen, defender, e-mail, excel, explorer, file, firefox, hotkey.sys, launch, log, log file, logfile, mozilla, nicht mehr öffnen, opera, plug-in, port, programm, realtek, registry, scan, searchscopes, software, sweetim, t-mobile, temp, tronjaner, virus, vista |
Linear-Darstellung
