Win XP Verschlüsselungs Trojaner

seelaender · 17.07.2012, 10:50

Hallo Boarders

wie ich gemerkt habe, bin ich nicht der einzige mit dem Problem.

Erstmal herzlichen Dank für die bereits kommentierten Beiträge, haben mir ein bischen Mut gegeben.

Natürlich habe ich die empfohlenen Schritte bereits ausgeführt, hier nun meine Situation:

WIN XP (32)
keine locked-Dateien sondern Kauderwelsch
Malwarebytes ausgeführt
OTL.txt erstellt

Freue mich über Eure Mitteilungen
Gruss Mat

markusg · 17.07.2012, 16:44

hi
und wo ist der Malwarebytes bericht?

öffne malwarebytes, berichte, poste alle logs mit funden

seelaender · 18.07.2012, 06:49

hier noch der Malewarebytes Bericht

markusg · 19.07.2012, 19:47

sind das alle Malwarebytes logs?
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

ATTFilter

:OTL
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found

 :Files
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

seelaender · 13.08.2012, 14:17

matthiasAll processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ deleted successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: admin

User: Administrator

User: YYY

User: All Users

User: Default User
->Flash cache emptied: 56475 bytes

User: XXX
->Flash cache emptied: 57618 bytes

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0.00 mb

[EMPTYTEMP]

User: admin
->Temp folder emptied: 587578 bytes
->Temporary Internet Files folder emptied: 109447 bytes

User: Administrator
->Temp folder emptied: 98326280 bytes
->Temporary Internet Files folder emptied: 7347428 bytes

User: YYY
->Temp folder emptied: 587578 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Flash cache emptied: 0 bytes

User: XXX
->Temp folder emptied: 86280454 bytes
->Temporary Internet Files folder emptied: 138592404 bytes
->Java cache emptied: 18264874 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 32768 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 240171 bytes
RecycleBin emptied: 64614 bytes

Total Files Cleaned = 334.00 mb

OTL by OldTimer - Version 3.2.54.0 log created on 08132012_145206

Files\Folders moved on Reboot...
C:\WINDOWS\temp\Perflib_Perfdata_6ec.dat moved successfully.

PendingFileRenameOperations files...
File C:\WINDOWS\temp\Perflib_Perfdata_6ec.dat not found!

Registry entries deleted on Reboot...

seelaender · 06.09.2012, 10:32

Habe ich genügend gemacht, oder fehlt Dir noch was?

markusg · 06.09.2012, 10:38

ogott, das nächste mal ne kurze pm an mich, so lange musst du nicht waten, habs übersehen, sorry!
gibts bei dir verschlüsselte daten?

seelaender · 12.09.2012, 16:53

kein Promlem, war noch in den Ferien und hatte wenig Zeit mich dem Problem zu widmen.

Ja habe noch jede Menge verschlüsselter Daten. Wie gesagt, vielleicht habe ich noch nicht alle Schritte unternommen gemäss Deiner Anleitung.

markusg · 12.09.2012, 17:10

dann mal lesen:
http://www.trojaner-board.de/116851-...tml#post851585

17.07.2012, 16:44	#2
markusg /// Malware-holic	Win XP Verschlüsselungs Trojaner hi und wo ist der Malwarebytes bericht? öffne malwarebytes, berichte, poste alle logs mit funden __________________ __________________

12.09.2012, 17:10	#9
markusg /// Malware-holic	Win XP Verschlüsselungs Trojaner dann mal lesen: http://www.trojaner-board.de/116851-...tml#post851585 __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

Win XP Verschlüsselungs Trojaner

Plagegeister aller Art und deren Bekämpfung: Win XP Verschlüsselungs Trojaner