| |
| |||||||
Log-Analyse und Auswertung: Verschlüsselungs-Trojaner "Der Computer ist für die Verletzung der Gesetze der BRD wurde blockiert"Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
09.08.2012, 23:28
| #1 |
 |  Verschlüsselungs-Trojaner "Der Computer ist für die Verletzung der Gesetze der BRD wurde blockiert" Liebe Helfer von Trojaner-Board, ich habe mir einen Trojaner eingefangen, der meinen ganzen Bildschrim verdeckt. Der Titel des Trojaners lautet "Der Computer ist für die Verleztung der Gesetze der Bundesrepublik Deutschland wurde blockiert" und ich werde aufgefordert 100 Euro an Ukash zu überweisen. Wie in Eurem Forum beschrieben (www.trojaner-board.de/69886-alle-hilfesuchenden-eroeffnung-themas-beachten.html) poste ich anbei die drei folgenden Dateien und hoffe, Ihr könnt mir weiterhelfen: - OTL.txt - EXTRAS.txt - Gmer.txt Ich verfüge über Windows XP (32 bit System). Für Eure Hilfe wäre ich Euch sehr dankbar! |
|
09.08.2012, 23:32
| #2 |
| /// Malware-holic   | Verschlüsselungs-Trojaner "Der Computer ist für die Verletzung der Gesetze der BRD wurde blockiert" hi
__________________ersetze *** im script durch nutzernamen, sonst klappt nicht viel :-) dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. Code:
ATTFilter :OTL
O4 - HKLM..\Run: [X3DAudio1_6] C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\2905\X3DAudio1_6.exe ()
O20 - HKLM Winlogon: TaskMan - (C:\Dokumente und Einstellungen\***\vpyu.exe) - File not found
O20 - HKCU Winlogon: Shell - (C:\Dokumente und Einstellungen\***\vpyu.exe) - File not found
:Files
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\2905
:Commands
[Reboot]
• Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. starte in den normalen modus. falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten! Drücke bitte die  + E Taste.
 für eine weitere analyse benötige ich mal folgendes. c:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte Trojaner-Board Upload Channel wenn dies erledigt ist, bittemelden.
__________________ |
|
10.08.2012, 14:58
| #3 |
| | Verschlüsselungs-Trojaner "Der Computer ist für die Verletzung der Gesetze der BRD wurde blockiert" Zunächst tausend Dank für Deine Hilfe und für Deine so schnelle Antwort!
__________________Ich habe versucht, die drei von Dir angeforderten Dateien via Upload Channel hochzuladen und erhielt im Anschluss folgende Meldung: Datei: mbam-log-2012-08-09 (15-57-01).txt empfangen Datei: MovedFiles.zip_2 empfangen Fehler: Die Dateien konnten nicht empfangen werden. Bitte melden Sie sich im Forum. Als ich versucht habe, die cache-Datei ein zweites Mal separat hochzuladen, habe ich keine Meldung mehr erhalten und hoffe, die Datei ist bei Euch angekommen. Ansonsten lade ich sie natürlich gerne erneut hoch. Vielen lieben Dank fürs Helfen! |
|
10.08.2012, 15:22
| #4 |
| /// Malware-holic | Verschlüsselungs-Trojaner "Der Computer ist für die Verletzung der Gesetze der BRD wurde blockiert" fhi, 1. logs im forum posten. 2. hochladen solltest du bitte moved files und den cache ordner, bitte mache dies hier: File-Upload.net - Ihr kostenloser File Hoster! und sende mir den link als private nachicht :-)
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
12.08.2012, 21:58
| #5 |
| | Verschlüsselungs-Trojaner "Der Computer ist für die Verletzung der Gesetze der BRD wurde blockiert" Vielen lieben Dank Dir fürs Helfen! Log-Inhalt ist wie folgt: Malwarebytes Anti-Malware (Test) 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.09.07 Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 8.0.6001.18702 11259655 :: LILLIFEE [Administrator] Schutz: Deaktiviert 09.08.2012 15:57:01 mbam-log-2012-08-09 (15-57-01).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 187973 Laufzeit: 6 Minute(n), 7 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 7 HKCR\CLSID\{552AAE8C-85E6-4826-A299-C47D6256DBCE} (PUP.DownloadnSave) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{552AAE8C-85E6-4826-A299-C47D6256DBCE} (PUP.DownloadnSave) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{552AAE8C-85E6-4826-A299-C47D6256DBCE} (PUP.DownloadnSave) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{552AAE8C-85E6-4826-A299-C47D6256DBCE} (PUP.DownloadnSave) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\TypeLib\{C2CF0D01-7657-48AA-98C9-AE5E64757FCC} (PUP.DownloadnSave) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\Interface\{BBA74401-6D6F-4BBD-9F65-E8623814F3BB} (PUP.DownloadnSave) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.FakeVLC) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 5 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Codecv\bhoclass.dll (PUP.DownloadnSave) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\2DB.tmp (Trojan.FakeVLC) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\setup.exe (Trojan.FakeVLC) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\3958.exe (Heuristics.Shuriken) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\6765480.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
|
13.08.2012, 14:07
| #6 | |
| /// Malware-holic | Verschlüsselungs-Trojaner "Der Computer ist für die Verletzung der Gesetze der BRD wurde blockiert" hi combofix: Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ --> Verschlüsselungs-Trojaner "Der Computer ist für die Verletzung der Gesetze der BRD wurde blockiert" |
|
14.08.2012, 09:51
| #7 |
| | Verschlüsselungs-Trojaner "Der Computer ist für die Verletzung der Gesetze der BRD wurde blockiert" Tausend Dank!!! Der Inhalt der Combofix txt Datei ist wie folgt: Combofix Logfile: Code:
ATTFilter ComboFix 12-08-13.01 - 11259655 14.08.2012 9:52.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1014.377 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\***\4.0
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\1.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\13973.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\2229.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\2260.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\412.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\a.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\b.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\c.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\d.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\e.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\f.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\g.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\h.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\i.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\j.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\k.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\l.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\m.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\n.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\o.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\p.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\q.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\r.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\s.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\t.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\u.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\v.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\w.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\wlu.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\x.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\y.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\PriceGong\Data\z.txt
c:\dokumente und einstellungen\***\Anwendungsdaten\toolplugin\toOLbar.dll
c:\dokumente und einstellungen\***\Recent\Thumbs.db
C:\install.exe
c:\programme\Incredibar.com
c:\programme\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll
c:\programme\Incredibar.com\incredibar\1.5.11.14\incredibarApp.dll
c:\programme\Incredibar.com\incredibar\1.5.11.14\incredibarEng.dll
c:\programme\Incredibar.com\incredibar\1.5.11.14\incredibarsrv.exe
c:\programme\Incredibar.com\incredibar\1.5.11.14\inCRedibartlbr.dll
c:\programme\Incredibar.com\incredibar\1.5.11.14\uninstall.exe
c:\programme\Protector by IB\ExTEnsion32.dll
C:\Thumbs.db
c:\windows\EventSystem.log
c:\windows\system32\sqlite3.dll
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-07-14 bis 2012-08-14 ))))))))))))))))))))))))))))))
.
.
2012-08-14 07:43 . 2012-08-14 07:43 29904 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{96B842A1-1F22-4645-ABE3-AAD6BD70E5BB}\MpKsl80376544.sys
2012-08-14 07:42 . 2012-08-14 07:42 56200 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{96B842A1-1F22-4645-ABE3-AAD6BD70E5BB}\offreg.dll
2012-08-14 07:17 . 2012-06-29 08:44 6891424 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{96B842A1-1F22-4645-ABE3-AAD6BD70E5BB}\mpengine.dll
2012-08-12 20:38 . 2012-06-29 08:44 6891424 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-08-10 12:02 . 2012-08-10 12:44 -------- d-----w- C:\_OTL
2012-08-09 13:55 . 2012-08-09 13:55 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2012-08-09 13:54 . 2012-08-09 13:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-08-09 13:54 . 2012-08-09 13:54 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-08-09 13:54 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-08-09 13:45 . 2012-08-09 13:45 -------- d-----w- c:\dokumente und einstellungen\***\temp
2012-08-09 13:45 . 2012-08-09 13:45 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\TeamViewer
2012-08-09 13:45 . 2012-08-09 13:45 -------- d-----w- c:\programme\TeamViewer
2012-08-09 13:10 . 2012-08-09 13:10 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\hellomoto
2012-07-30 16:56 . 2012-07-30 16:56 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Search Settings
2012-07-30 16:56 . 2012-07-30 16:56 -------- d-----w- c:\programme\Application Updater
2012-07-30 16:56 . 2012-07-30 16:56 -------- d-----w- c:\programme\pdfforge Toolbar
2012-07-30 16:56 . 2012-07-30 16:56 -------- d-----w- c:\programme\Gemeinsame Dateien\Spigot
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-05 08:32 . 2012-04-03 18:00 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-08-05 08:32 . 2011-05-24 05:24 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-13 13:55 . 2009-06-19 00:08 1866240 ----a-w- c:\windows\system32\win32k.sys
2012-06-05 15:49 . 2009-06-19 00:08 1372672 ----a-w- c:\windows\system32\msxml6.dll
2012-06-05 15:49 . 2009-06-19 00:08 1172480 ----a-w- c:\windows\system32\msxml3.dll
2012-06-04 04:32 . 2009-06-19 00:08 152576 ----a-w- c:\windows\system32\schannel.dll
2012-06-02 13:19 . 2009-08-06 18:24 18456 ----a-w- c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-08-06 18:24 15896 ----a-w- c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2009-06-18 14:21 329240 ----a-w- c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2009-06-18 14:21 219160 ----a-w- c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2009-06-18 14:21 210968 ----a-w- c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2009-08-06 18:24 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2009-08-06 18:24 15896 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2009-06-19 00:08 97304 ----a-w- c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2009-06-18 14:21 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 13:19 . 2009-06-18 14:21 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2009-08-06 18:24 23576 ----a-w- c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2009-06-18 14:21 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2009-06-18 14:21 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 13:18 . 2010-02-10 16:25 275696 ----a-w- c:\windows\system32\mucltui.dll
2012-06-02 13:18 . 2010-02-10 16:25 214256 ----a-w- c:\windows\system32\muweb.dll
2012-06-02 13:18 . 2010-02-10 16:25 18160 ----a-w- c:\windows\system32\mucltui.dll.mui
2012-05-31 13:22 . 2009-06-19 00:08 604160 ----a-w- c:\windows\system32\crypt32.dll
2012-05-16 15:07 . 2009-06-19 00:08 916992 ----a-w- c:\windows\system32\wininet.dll
2012-07-19 13:55 . 2012-04-05 08:25 136672 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54 175912 ----a-w- c:\programme\ConduitEngine\prxConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2011-01-17 14:54 175912 ----a-w- c:\programme\DVDVideoSoftTB\prxtbDVDV.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b106b661-3e1b-4015-af5c-195e909f35c6}]
2011-01-17 14:54 175912 ----a-w- c:\programme\NCH_DE\prxtbNCH_.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{b106b661-3e1b-4015-af5c-195e909f35c6}"= "c:\programme\NCH_DE\prxtbNCH_.dll" [2011-01-17 175912]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\programme\ConduitEngine\prxConduitEngine.dll" [2011-01-17 175912]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\prxtbDVDV.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{b106b661-3e1b-4015-af5c-195e909f35c6}]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{B106B661-3E1B-4015-AF5C-195E909F35C6}"= "c:\programme\NCH_DE\prxtbNCH_.dll" [2011-01-17 175912]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\prxtbDVDV.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{b106b661-3e1b-4015-af5c-195e909f35c6}]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-02-10 39408]
"XSC SIP Client"="c:\programme\sipgate X-Lite\sipgateXLite.exe" [2005-02-20 3227648]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-06-11 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-06-11 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-06-11 137752]
"AzMixerSel"="c:\programme\Realtek\Audio\Drivers\AzMixerSel.exe" [2009-05-08 53248]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2009-05-15 1512744]
"ISBMgr.exe"="c:\programme\Sony\ISB Utility\ISBMgr.exe" [2008-05-15 315392]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-06-09 254696]
"SonyPowerCfg"="c:\programme\Sony\VAIO Power Management\SPMgr.exe" [2009-03-26 217088]
"VAIO Update 4"="c:\programme\Sony\VAIO Update 4\VAIOUpdt.exe" [2008-06-11 866144]
"Switcher.exe"="c:\programme\Sony\Wireless Switch Setting Utility\Switcher.exe" [2009-05-26 552960]
"NortonOnlineBackupReminder"="c:\programme\Symantec\Norton Online Backup\Activation\NobuActivation.exe" [2009-01-16 503976]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-09-08 421888]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]
"BCSSync"="c:\programme\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"RIMBBLaunchAgent.exe"="c:\programme\Gemeinsame Dateien\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe" [2011-11-02 90448]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
"Cisco AnyConnect Secure Mobility Agent for Windows"="c:\programme\Cisco\Cisco AnyConnect Secure Mobility Client\vpnui.exe" [2011-08-03 523216]
"SearchSettings"="c:\programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe" [2012-07-26 1095560]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-12-25 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2010-12-20 519584]
.
c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2012-5-24 27112840]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2009-5-8 607584]
sipgate X-Lite.lnk - c:\programme\sipgate X-Lite\sipgateXLite.exe [2010-10-10 3227648]
VPN Client.lnk - c:\windows\Installer\{21E247D4-5E27-4BEA-AA4D-19A81203FE2A}\Icon3E5562ED7.ico [2010-3-23 6144]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
.
c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2012-5-24 27112840]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2009-03-18 07:02 73728 ----a-w- c:\windows\system32\VESWinlogon.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\sipgate X-Lite\\sipgateXLite.exe"=
"c:\\Dokumente und Einstellungen\\***\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\Microsoft Office\\Office14\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"c:\\Programme\\Research In Motion\\BlackBerry Desktop\\Rim.Desktop.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer_Service.exe"=
.
R1 MpKsl80376544;MpKsl80376544;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{96B842A1-1F22-4645-ABE3-AAD6BD70E5BB}\MpKsl80376544.sys [14.08.2012 09:43 29904]
R2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [26.07.2012 19:40 794560]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [21.04.2010 13:13 246520]
R2 Lotus Notes Diagnostics;Lotus Notes-Diagnose;c:\programme\IBM\Lotus\Notes\nsd.exe -svcinvoke -ini "c:\programme\IBM\Lotus\Notes\notes.ini" --> c:\programme\IBM\Lotus\Notes\nsd.exe -svcinvoke -ini c:\programme\IBM\Lotus\Notes\notes.ini [?]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [09.08.2012 15:54 655944]
R2 nlsX86cc;Nalpeiron Licensing Service;c:\windows\system32\NlsSrv32.exe [18.04.2011 19:34 61440]
R2 regi;regi;c:\windows\system32\drivers\regi.sys [17.04.2007 20:09 11032]
R2 uCamMonitor;CamMonitor;c:\programme\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe [19.06.2009 09:18 104960]
R2 vpnagent;Cisco AnyConnect Secure Mobility Agent;c:\programme\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe [03.08.2011 22:31 468432]
R3 5U876UVC;Sony Visual Communication Camera;c:\windows\system32\drivers\5U876.sys [18.06.2009 17:17 91776]
R3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\drivers\ArcSoftKsUFilter.sys [19.06.2009 09:18 14336]
R3 AWINDIS5;AWINDIS5 Protocol Driver;c:\windows\system32\AWINDIS5.SYS [18.06.2009 17:21 16194]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [18.06.2009 17:18 39424]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [09.08.2012 15:54 22344]
R3 osppsvc;Office Software Protection Platform;c:\programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 21:37 4640000]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [13.02.2010 21:11 135664]
S2 Protector by IB Updater;Protector by IB Updater;c:\programme\Protector by IB\ExtensionUpdaterService.exe [11.04.2012 23:55 183808]
S2 Skype C2C Service;Skype C2C Service;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Toolbars\Skype C2C Service\c2c_service.exe [05.07.2012 18:41 3048136]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [03.07.2012 13:19 160944]
S2 VCFw;VAIO Content Folder Watcher;c:\programme\Gemeinsame Dateien\Sony Shared\VAIO Content Folder Watcher\VCFw.exe [14.01.2009 13:38 5184872]
S3 acsint;acsint;c:\windows\system32\drivers\acsint.sys [26.05.2012 16:46 36624]
S3 acsmux;acsmux;c:\windows\system32\drivers\acsmux.sys [26.05.2012 16:46 46480]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [03.04.2012 20:00 250056]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [18.06.2009 17:11 1684736]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [01.08.2011 12:07 4352]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [01.08.2011 12:06 265088]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [13.02.2010 21:11 135664]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\programme\Microsoft Office\Office14\GROOVE.EXE [12.06.2011 11:15 31125880]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [11.05.2012 16:17 113120]
S3 SOHCImp;VAIO Media plus Content Importer;c:\programme\Gemeinsame Dateien\Sony Shared\SOHLib\SOHCImp.exe [19.06.2009 09:33 120104]
S3 SOHDBSvr;VAIO Media plus Database Manager;c:\programme\Gemeinsame Dateien\Sony Shared\SOHLib\SOHDBSvr.exe [19.06.2009 09:33 70952]
S3 SOHDms;VAIO Media plus Digital Media Server;c:\programme\Gemeinsame Dateien\Sony Shared\SOHLib\SOHDms.exe [19.06.2009 09:33 390440]
S3 SOHDs;VAIO Media plus Device Searcher;c:\programme\Gemeinsame Dateien\Sony Shared\SOHLib\SOHDs.exe [19.06.2009 09:33 75048]
S3 SOHPlMgr;VAIO Media plus Playlist Manager;c:\programme\Gemeinsame Dateien\Sony Shared\SOHLib\SOHPlMgr.exe [19.06.2009 09:33 91432]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - GUSVC
*NewlyCreated* - MPKSL80376544
.
Inhalt des "geplante Tasks" Ordners
.
2012-08-14 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-03 08:32]
.
2012-05-31 c:\windows\Tasks\FileCure Default.job
- c:\programme\ParetoLogic\FileCure\FileCure.exe [2010-10-12 17:21]
.
2012-08-14 c:\windows\Tasks\FileCure Startup.job
- c:\programme\ParetoLogic\FileCure\FileCure.exe [2010-10-12 17:21]
.
2012-08-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-13 19:11]
.
2012-08-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-13 19:11]
.
2012-08-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3626091299-3785047747-2420095058-1006Core.job
- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-06-29 09:48]
.
2012-08-14 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3626091299-3785047747-2420095058-1006UA.job
- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-06-29 09:48]
.
2012-08-08 c:\windows\Tasks\ParetoLogic Registration3.job
- c:\programme\Gemeinsame Dateien\ParetoLogic\UUS3\UUS3.dll [2009-08-04 18:19]
.
2012-05-13 c:\windows\Tasks\ParetoLogic Update Version3.job
- c:\programme\Gemeinsame Dateien\ParetoLogic\UUS3\Pareto_Update3.exe [2009-08-04 18:19]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = iexplore
IE: An OneNote s&enden - c:\progra~1\MICROS~3\Office14\ONBttnIE.dll/105
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\***\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~3\Office14\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} - hxxps://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab
DPF: {CC679CB8-DC4B-458B-B817-D447B3B6AC31} - hxxps://vpn.unisg.ch/CACHE/stc/1/binaries/vpnweb.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\4h4fmdd9.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Search the web
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - prefs.js: network.proxy.type - 4
FF - user.js: browser.search.selectedEngine - Search the web
FF - user.js: browser.search.order.1 - Search the web
FF - user.js: browser.search.defaultenginename - Search the web
FF - user.js: keyword.URL - hxxp://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - user.js: privacy.item.cookies - false
FF - user.js: privacy.sanitize.promptOnSanitize - false
FF - user.js: extensions.incredibar_i.newTab - false
FF - user.js: extensions.incredibar_i.tlbrSrchUrl - hxxp://mystart.Incredibar.com/?a=6R8pDePLJ1&loc=IB_TB&i=26&search=
FF - user.js: extensions.incredibar_i.id - 54a58ef00000000000000024be03c25d
FF - user.js: extensions.incredibar_i.instlDay - 15441
FF - user.js: extensions.incredibar_i.vrsn - 1.5.11.14
FF - user.js: extensions.incredibar_i.vrsni - 1.5.11.14
FF - user.js: extensions.incredibar_i.vrsnTs - 1.5.11.1423:55
FF - user.js: extensions.incredibar_i.prtnrId - Incredibar
FF - user.js: extensions.incredibar_i.prdct - incredibar
FF - user.js: extensions.incredibar_i.aflt - orgnl
FF - user.js: extensions.incredibar_i.smplGrp - none
FF - user.js: extensions.incredibar_i.tlbrId - base
FF - user.js: extensions.incredibar_i.instlRef -
FF - user.js: extensions.incredibar_i.dfltLng -
FF - user.js: extensions.incredibar_i.excTlbr - false
FF - user.js: extensions.incredibar_i.ms_url_id -
FF - user.js: extensions.incredibar_i.upn2 - 6R8pDePLJ1
FF - user.js: extensions.incredibar_i.upn2n - 92824173744707403
FF - user.js: extensions.incredibar_i.productid - 26
FF - user.js: extensions.incredibar_i.installerproductid - 26
FF - user.js: extensions.incredibar_i.did - 10650
FF - user.js: extensions.incredibar_i.ppd - 15%5F2
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
SafeBoot-MCODS
AddRemove-incredibar - c:\programme\Incredibar.com\incredibar\1.5.11.14\uninstall.exe
AddRemove-toolplugin - c:\dokume~1\TERESA~1\LOKALE~1\Temp\WZSE0.TMP\setup.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-08-14 10:20
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1500)
c:\windows\system32\VESWinlogon.dll
.
Zeit der Fertigstellung: 2012-08-14 10:29:02
ComboFix-quarantined-files.txt 2012-08-14 08:28
.
Vor Suchlauf: 13 Verzeichnis(se), 109.630.042.112 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 111.734.386.688 Bytes frei
.
- - End Of File - - 749148ED63A14E93475A5F932DDCBE6F
|
|
14.08.2012, 16:58
| #8 |
| /// Malware-holic | Verschlüsselungs-Trojaner "Der Computer ist für die Verletzung der Gesetze der BRD wurde blockiert" update bitte malwarebytes, danach komplett scan und log posten bitte
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
15.08.2012, 15:01
| #9 |
| | Verschlüsselungs-Trojaner "Der Computer ist für die Verletzung der Gesetze der BRD wurde blockiert" Wie immer vielen lieben Dank fürs Helfen!!! Soll ich die sechs von Malware gefundenen bösartigen Programme auswählen und "Auswahl entfernen" drücken? log ist wie folgt: Malwarebytes Anti-Malware (Test) 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.15.01 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 11259655 :: LILLIFEE [Administrator] Schutz: Aktiviert 15.08.2012 09:02:21 mbam-log-2012-08-15 (15-43-22).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 281861 Laufzeit: 6 Stunde(n), 5 Minute(n), 33 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 6 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Cache\f_000826 (Adware.Hotbar) -> Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Cache\f_000897 (Affiliate.Downloader) -> Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Cache\f_000733 (Trojan.FakeVLC) -> Keine Aktion durchgeführt. C:\Programme\Vlcclassic\Uninstall.exe (Trojan.FakeVLC) -> Keine Aktion durchgeführt. C:\System Volume Information\_restore{62354086-3606-4727-9272-E4B9AC8F46DE}\RP631\A0385106.dll (PUP.DownloadnSave) -> Keine Aktion durchgeführt. C:\_OTL\MovedFiles\08102012_140233\C_Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\2905\X3DAudio1_6.exe (Spyware.Zbot) -> Keine Aktion durchgeführt. (Ende) |
|
15.08.2012, 17:22
| #10 |
| /// Malware-holic | Verschlüsselungs-Trojaner "Der Computer ist für die Verletzung der Gesetze der BRD wurde blockiert" außer den hier: Vlcclassic\uninstall.exe danach: lade den CCleaner standard: CCleaner Download - CCleaner 3.21.1767 falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
15.08.2012, 20:44
| #11 |
| | Verschlüsselungs-Trojaner "Der Computer ist für die Verletzung der Gesetze der BRD wurde blockiert" Vielen lieben Dank!!! Leider kenne ich mich nicht besonders gut aus mit Computern, daher musste ich viel als "unbekannt" einstufen :-(... Anbei die Liste: 7-Zip 9.20 06.06.2012 notwendig Active@ KillDisk LSoft Technologies Inc. 06.06.2012 6.0.0 unnötig Adobe Flash Player 11 ActiveX Adobe Systems Incorporated 15.08.2012 11.3.300.271 notwendig Adobe Flash Player 11 Plugin Adobe Systems Incorporated 15.08.2012 11.3.300.271 notwendig Adobe Reader 9.2 - Deutsch Adobe Systems Incorporated 28.02.2012 163,00MB 9.2.0 notwendig Advanced Outlook Data Recovery v1.5 15.08.2012 unbekannt Amazon MP3-Downloader 1.0.9 15.08.2012 notwendig Apple Application Support Apple Inc. 04.10.2010 44,50MB 1.3.2 unnötig ArcSoft Magic-i Visual Effects 2 ArcSoft 19.06.2009 2.0.1.41 notwendig ArcSoft WebCam Companion 2 ArcSoft 19.06.2009 notwendig Atheros AR928X Wireless Network Adapter Ihr Firmenname 27.01.2012 1.00.0000 unbekannt Battery Care Function 19.06.2009 unbekannt BlackBerry Desktop Software 7.0 Research In Motion Ltd. 25.06.2012 7.0.0.59 notwendig BlackBerry Device Software Updater Research In Motion Ltd 05.04.2012 46,32MB 6.0.1.37 notwendig Canon iX6500 series Printer Driver 02.01.2012 unnötig CCleaner Piriform 24.07.2012 3.21 unbekannt Cisco AnyConnect Secure Mobility Client Cisco Systems, Inc. 26.05.2012 3.0.3054 notwendig Cisco Systems VPN Client 5.0.06.0160 Cisco Systems, Inc. 23.03.2010 13,14MB 5.0.6 notwendig Codecv Codecv 12.04.2012 unbekannt Conduit Engine Conduit Ltd. 28.04.2011 unbekannt DivX-Setup DivX, LLC 28.02.2012 2.6.1.8 unnötig Dropbox Dropbox, Inc. 05.06.2012 1.4.7 notwendig DVDVideoSoftTB Toolbar DVDVideoSoftTB 14.09.2011 6.3.3.3 unbekannt EndNote X5 Thomson Reuters 23.10.2011 75,69MB 15.0.0.5478 unnötig FreePDF (Remove only) 17.10.2010 notwendig Google Chrome Google Inc. 28.03.2010 20.0.1132.57 unnötig Google Toolbar for Internet Explorer Google Inc. 10.02.2010 7.4.3203.136 notwendig GPL Ghostscript 9.00 17.10.2010 unbekannt ICQ Toolbar ICQ 10.09.2010 3.0.0 unnötig iLivid Bandoo Media Inc. 27.02.2012 1.92.0.118480 unbekannt Intel(R) Graphics Media Accelerator Driver 21.07.2009 unbekannt Java(TM) 6 Update 29 Sun Microsystems, Inc. 19.06.2009 96,89MB 6.0.290 unbekannt Lotus Notes 8.5.1 de IBM 27.10.2010 450,00MB 8.51.9302 notwendig Malwarebytes Anti-Malware Version 1.62.0.1300 Malwarebytes Corporation 09.08.2012 1.62.0.1300 unbekannt Memory Stick Formatter Sony Corporation 19.06.2009 2.5.05090 unbekannt Microsoft .NET Framework 1.1 13.06.2012 unbekannt Microsoft .NET Framework 1.1 German Language Pack Microsoft 18.06.2009 3,02MB 1.1.4322 unbekannt Microsoft .NET Framework 2.0 Language Pack - DEU Microsoft Corporation 18.06.2009 unbekannt Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 13.06.2012 183,00MB 2.2.30729 unbekannt Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 10.05.2012 239,00MB 3.2.30729 unbekannt Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 10.05.2012 unbekannt Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Corporation 18.06.2009 1 unbekannt Microsoft Office Professional Plus 2010 Microsoft Corporation 13.07.2012 14.0.6029.1000 notwendig Microsoft Security Essentials Microsoft Corporation 01.05.2012 4.0.1526.0 unbekannt Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Corporation 18.06.2009 unbekannt Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 Microsoft Corporation 12.02.2010 0,11MB 8.0.50727.4053 unbekannt Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 16.06.2011 5,28MB 8.0.61001 unbekannt Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 Microsoft Corporation 28.04.2011 10,20MB 9.0.30729.5570 unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 Microsoft Corporation 14.09.2011 6,04MB 9.0.21022 unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 25.06.2012 9,64MB 9.0.30729 unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 18.04.2011 10,19MB 9.0.30729.4148 unbekannt Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 16.06.2011 10,20MB 9.0.30729.6161 unbekannt Mozilla Firefox 14.0.1 (x86 de) Mozilla 19.07.2012 14.0.1 notwendig Mozilla Maintenance Service Mozilla 20.07.2012 14.0.1 unbekannt MSXML 4.0 SP2 (KB954430) Microsoft Corporation 18.06.2009 2,70MB 4.20.9870.0 unbekannt MSXML 4.0 SP2 (KB973688) Microsoft Corporation 12.02.2010 2,77MB 4.20.9876.0 unbekannt NCH DE Toolbar NCH DE 28.04.2011 6.3.3.3 unbekannt Norton Online Backup aktivieren Symantec 19.06.2009 1,66MB 1.0.2046 unbekannt ParetoLogic FileCure ParetoLogic, Inc. 01.03.2011 1.1.2.0 unbekannt PDFCreator Frank Heindörfer, Philip Chinery 24.03.2010 0.9.9 unnötig pdfforge Toolbar v6.2 Spigot, Inc. 30.07.2012 17,09MB 6.2 unnötig PDFTK Builder 3.5.3 02.07.2012 unbekannt Protector by IB 2.0.0.412 IB 11.04.2012 unbekannt QuickTime Apple Inc. 04.10.2010 73,74MB 7.68.75.0 unbekannt Realtek High Definition Audio Driver Realtek Semiconductor Corp. 18.06.2009 5.10.0.5830 unbekannt RedMon - Redirection Port Monitor 17.10.2010 unbekannt ResearchSoft Direct Export Helper 23.10.2011 unbekannt Roxio Easy Media Creator 10 LJ Roxio 19.06.2009 10.1 unbekannt Security Update for Windows Search 4 - KB963093 Microsoft Corporation 18.09.2011 unbekannt Setting Utility Series 18.06.2009 unbekannt sipgate X-Lite 1105c ger Indigo Networks GmbH 10.10.2010 1105 notwendig Skype Click to Call Skype Technologies S.A. 25.07.2012 31,86MB 6.1.10441 notwendig Skype™ 5.10 Skype Technologies S.A. 23.07.2012 35,87MB 5.10.116 notwendig Sony Home Network Library Sony Corporation 19.06.2009 1.4.0.15250 unbekannt Sony Utilities DLL Sony Corporation 18.06.2009 7.0.01.03260 unbekannt Sony Visual Communication Camera Ver.1.4.230.0 RICOH 18.06.2009 1.4.230.0 unbekannt Synaptics Pointing Device Driver Synaptics Incorporated 23.07.2010 12.2.12.0 unbekannt TeamViewer 7 TeamViewer 09.08.2012 7.0.13989 unnötig trakAxPC HighAndes 18.04.2011 79,28MB 3.01.1 unbekannt VAIO Content Folder Setting Sony Corporation 19.06.2009 2.3.0.12220 notwendig VAIO Content Folder Watcher Sony Corporation 19.06.2009 1.1.0.13140 notwendig VAIO Control Center 18.06.2009 notwendig VAIO Entertainment Platform Sony Corporation 19.06.2009 3.4.0.13210 notwendig VAIO Event Service 19.06.2009 notwendig VAIO Flavored Wallpaper Sony Corporation 19.06.2009 1.0.00.04090 notwendig VAIO Media plus Sony Corporation 19.06.2009 1.4.0.15250 notwendig VAIO Media plus Opening Movie Sony Corporation 19.06.2009 1.2.0.09100 notwendig VAIO Power Management 19.06.2009 notwendig VAIO Update 4 Sony Corporation 19.06.2009 4.0.0.06110 notwendig WIDCOMM Bluetooth Software WIDCOMM, Inc. 18.06.2009 19,89MB 5.5.0.7400 unbekannt Windows Internet Explorer 8 Microsoft Corporation 28.08.2010 20090308.140743 notwendig Windows Live Anmelde-Assistent Microsoft Corporation 12.02.2010 1,93MB 5.000.818.6 unbekannt Windows Live Essentials Microsoft Corporation 19.06.2009 14.0.8050.1202 unbekannt Windows Live-Uploadtool Microsoft Corporation 19.06.2009 0,22MB 14.0.8014.1029 unbekannt Windows Media Format 11 runtime 18.06.2009 unbekannt Windows Media Player 11 18.06.2009 notwendig Windows Search 4.0 Microsoft Corporation 17.09.2011 04.00.6001.503 unbekannt WinDVD for VAIO InterVideo Inc. 19.06.2009 8.0-B9.792 unbekannt Wireless Switch Setting Utility Sony Corporation 19.06.2009 4.1.01.05260 unbekannt Wunderlist None provided 08.07.2012 44,01MB 1.2.4 notwendig |
|
15.08.2012, 21:26
| #12 |
| /// Malware-holic | Verschlüsselungs-Trojaner "Der Computer ist für die Verletzung der Gesetze der BRD wurde blockiert" deinstaliere: Active@ Adobe Flash Player alle Adobe - Adobe Flash Player installieren neueste version laden adobe reader: Adobe - Adobe Reader herunterladen - Alle Versionen haken bei mcafee security scan raus nehmen bitte auch mal den adobe reader wie folgt konfigurieren: adobe reader öffnen, bearbeiten, voreinstellungen. allgemein: nur zertifizierte zusatz module verwenden, anhaken. internet: hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc. es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht. bei javascript den haken bei java script verwenden raus nehmen bei updater, automatisch instalieren wählen. übernehmen /ok deinstaliere: Conduit DVDVideoSoftTB EndNote Google : beide auch die toolbars, toolbars sind ein zusatz risiko und haben auf nem pc nichts zu suchen :-) ICQ iLivid Java Download der kostenlosen Java-Software downloade java jre instalieren, instalieren. deinstaliere: Norton ParetoLogic PDFCreator pdfforge PDFTK ResearchSoft TeamViewer Windows Live : alle von dir nicht benutzten WinDVD öffne CCleaner analysieren starten öffne otl, bereinigen pc startet neu testen wie er läuft.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
19.08.2012, 15:25
| #13 |
| | Verschlüsselungs-Trojaner "Der Computer ist für die Verletzung der Gesetze der BRD wurde blockiert" Vielen lieben Dank!!! Ich bin all Deinen Anweisungen gefolgt. Der Computer läuft schon wieder etwas schneller, aber der "Windows-Sound" beim Hochfahren ist nach wie vor (seit ich mir den Trojaner eingefangen habe) verzerrt. Wenn ich die Dateien von meinem aktuellen Computer auf einen neuen Computer übertrage (per USB-Stick), muss ich dann Angst haben, dass ich mir dadurch auch irgendwelche Viren auf den neuen Computer übertrage? |
|
19.08.2012, 16:35
| #14 |
| /// Malware-holic | Verschlüsselungs-Trojaner "Der Computer ist für die Verletzung der Gesetze der BRD wurde blockiert" hi dazu solltest du autorun abschalten: http://www.trojaner-board.de/83238-a...sschalten.html dann gehts. willst du diesen pc durch nen neuen ersetzen oder wie?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
20.08.2012, 09:52
| #15 |
| | Verschlüsselungs-Trojaner "Der Computer ist für die Verletzung der Gesetze der BRD wurde blockiert" Vielen Dank!!! Der Ton ist leider immer noch verzerrt. Aber vielleicht ist das ohnehin unkritisch? Ich habe zwei Computer (einen zu Hause, einen für unterwegs) und übertrage manche Dateien hin und her dazwischen. Das habe ich seit dem Trojaner nicht mehr getan, weil ich Angst habe, mir dadurch Viren oder so mitzuübertragen. Daher die Frage :-). |
|
| Themen zu Verschlüsselungs-Trojaner "Der Computer ist für die Verletzung der Gesetze der BRD wurde blockiert" |
| 32 bit, bildschrim, blockiert, computer, dateien, der computer ist für die verletzung, deutschland, eingefangen, euro, folge, folgende, folgenden, forum, gefangen, gen, gesetze, helfer, hoffe, liebe, poste, system, titel, troja, trojaner-board, trojaners, weiterhelfen, windows, windows xp |
Linear-Darstellung
