| |
| |||||||
Log-Analyse und Auswertung: Smart HDD Stecke fest nach Punkt 1 in Eurer Anleitung: Vorgehen beim Verschlüsselungs-TrojanerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
16.09.2012, 14:10
| #1 |
 |  Smart HDD Stecke fest nach Punkt 1 in Eurer Anleitung: Vorgehen beim Verschlüsselungs-Trojaner Hallo Ihr! Ich habe die Anweisungen unter Punkt 1 (1. Starte einen vollständigen Scan mit Anleitung: Malwarebytes Anti-Malware - Funde bitte in Quarantäne und nichts löschen befolgt) den Scan gemacht und die betroffenen Dateien entfernt, danach einen Neustart. Mit Punkt 2 komme ich nicht weiter, weil seit dem Neustart auch keine Möglichkeit mehr besteht, ins Internet zu gehen, daher kann ich mit dem betroffenen Computer nichts laden (Es ist ein IBM T43). Könnt Ihr mir bitte weiterhelfen? Vielen Dank!!! Ich habemittlerweile einen Weg gefunden, wieder ins Internet zugehen und daher nun alle Anweisungen unter Punkt 2 befolgt. Hier die OTLOTL Logfile: Code:
ATTFilter OTL logfile created on: 16.09.2012 15:31:00 - Run 1 OTL by OldTimer - Version 3.2.61.5 Folder = C:\Dokumente und Einstellungen\Administrator\Desktop Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1014,40 Mb Total Physical Memory | 535,86 Mb Available Physical Memory | 52,83% Memory free 1,08 Gb Paging File | 0,55 Gb Available in Paging File | 50,99% Paging File free Paging file location(s): C:\pagefile.sys 192 384 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 32,55 Gb Total Space | 1,92 Gb Free Space | 5,91% Space Free | Partition Type: FAT32 Drive D: | 25,11 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS Computer Name: IBM-67B32170FAC | User Name: Administrator | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.09.15 23:56:44 | 000,600,064 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe PRC - [2012.09.07 17:04:46 | 000,676,936 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe PRC - [2012.09.07 17:04:46 | 000,399,432 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe PRC - [2009.08.07 22:18:14 | 000,185,089 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2009.06.05 11:48:14 | 000,144,712 | -H-- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe PRC - [2009.05.13 16:48:20 | 000,108,289 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2009.03.02 13:08:44 | 000,209,153 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2008.04.08 17:49:18 | 000,671,796 | -H-- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) -- C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe PRC - [2007.07.26 16:55:16 | 000,483,393 | -H-- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe PRC - [2007.03.16 11:45:30 | 000,063,712 | -H-- | M] (Adobe Systems Incorporated) -- C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe PRC - [2007.01.09 17:16:12 | 000,061,440 | -H-- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe PRC - [2005.04.27 11:09:46 | 000,385,024 | -H-- | M] () -- C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe PRC - [2005.04.27 09:53:08 | 000,090,112 | -H-- | M] (IBM Corp.) -- C:\IBMTOOLS\utils\ibmprc.exe PRC - [2005.04.04 12:43:32 | 000,094,208 | -H-- | M] () -- C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe PRC - [2005.03.24 16:20:34 | 000,086,016 | -H-- | M] (IBM Corporation) -- C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe PRC - [2004.11.08 11:17:56 | 000,110,592 | -H-- | M] (Synaptics, Inc.) -- C:\Programme\Synaptics\SynTP\SynTPLpr.exe PRC - [2004.10.14 09:11:10 | 001,388,544 | -H-- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe PRC - [2004.09.06 16:03:52 | 000,077,824 | -H-- | M] () -- C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe PRC - [2004.08.24 12:29:58 | 000,176,768 | -H-- | M] (Symantec Corporation) -- C:\Programme\Norton AntiVirus\navapsvc.exe PRC - [2004.08.24 11:35:00 | 000,164,984 | -H-- | M] (Symantec Corporation) -- C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe PRC - [2004.08.24 11:33:52 | 000,197,752 | -H-- | M] (Symantec Corporation) -- C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe PRC - [2004.08.24 11:33:26 | 000,058,488 | -H-- | M] (Symantec Corporation) -- C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe PRC - [2004.08.18 02:44:56 | 000,046,208 | -H-- | M] (Symantec Corporation) -- C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe PRC - [2004.08.06 02:10:00 | 000,442,368 | -H-- | M] (IBM) -- C:\Programme\IBM\Messages By IBM\ibmmessages.exe PRC - [2004.08.04 05:00:00 | 001,035,264 | -H-- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2004.07.14 16:01:12 | 000,397,312 | -H-- | M] (T-Systems Nova, Berkom) -- C:\Programme\T-DSL SpeedManager\SpeedMgr.exe PRC - [2004.07.14 16:00:44 | 000,147,456 | -H-- | M] (T-Systems Nova, Berkom) -- C:\Programme\T-DSL SpeedManager\TSMSvc.exe PRC - [2003.08.22 02:01:00 | 000,229,376 | -H-- | M] (IBM Corporation) -- C:\Programme\ThinkPad\UltraNav-Assistent\UNavTray.exe PRC - [2003.07.11 18:19:22 | 000,032,768 | -H-- | M] () -- C:\WINDOWS\system32\TpKmpSvc.exe PRC - [2002.09.20 14:50:10 | 000,045,056 | -H-- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe ========== Modules (No Company Name) ========== MOD - [2009.09.05 01:54:38 | 000,180,224 | -H-- | M] () -- C:\Programme\QuickTime\QTSystem\QTCF.dll MOD - [2009.09.04 23:15:06 | 000,067,872 | -H-- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\zlib1.dll MOD - [2009.09.04 23:14:56 | 000,120,096 | -H-- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\objc.dll MOD - [2009.09.04 23:14:44 | 000,039,712 | -H-- | M] () -- C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\ASL.dll MOD - [2009.01.28 16:03:50 | 000,326,401 | -H-- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2005.04.27 11:09:46 | 000,385,024 | -H-- | M] () -- C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe MOD - [2005.04.27 09:53:10 | 000,045,056 | -H-- | M] () -- C:\WINDOWS\system32\pwdmon.dll MOD - [2005.04.05 15:02:26 | 000,081,920 | -H-- | M] () -- C:\Programme\ThinkPad\TpShocks\MUI\0407\TpShocks.dll MOD - [2005.04.04 12:43:32 | 000,094,208 | -H-- | M] () -- C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe MOD - [2005.03.23 02:11:00 | 000,036,864 | -H-- | M] () -- C:\Programme\ThinkPad\Utilities\GR\EZMAPRES.DLL MOD - [2004.09.06 16:03:52 | 000,077,824 | -H-- | M] () -- C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe MOD - [2004.08.17 12:28:12 | 000,225,280 | -H-- | M] () -- C:\Programme\ThinkPad\PkgMgr\HOTKEY\tpfnf7.dll MOD - [2004.08.12 20:11:26 | 000,024,576 | -H-- | M] () -- C:\WINDOWS\system32\tphklock.dll MOD - [2004.03.23 00:33:30 | 000,176,128 | -H-- | M] () -- C:\Programme\IBM\Messages By IBM\AcpPollingEngine.dll MOD - [2004.01.09 06:10:32 | 000,143,360 | -H-- | M] () -- C:\WINDOWS\system32\AIBMRUNL.dll MOD - [2003.07.11 18:19:22 | 000,032,768 | -H-- | M] () -- C:\WINDOWS\system32\TpKmpSvc.exe MOD - [2003.07.03 23:49:30 | 000,024,576 | -H-- | M] () -- C:\Programme\ThinkPad\PkgMgr\HOTKEY_2\tphk_2k.dll ========== Services (SafeList) ========== SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\system32\PsaSrv.exe -- (PsaSrv) SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ) SRV - [2012.09.07 17:04:46 | 000,676,936 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2012.09.07 17:04:46 | 000,399,432 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler) SRV - [2012.08.02 19:02:32 | 000,113,120 | -H-- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2009.08.07 22:18:14 | 000,185,089 | -H-- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2009.06.05 11:48:14 | 000,144,712 | -H-- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe -- (Apple Mobile Device) SRV - [2009.05.13 16:48:20 | 000,108,289 | -H-- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2007.01.09 17:16:12 | 000,061,440 | -H-- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe -- (MZCCntrl) SRV - [2005.11.14 01:06:04 | 000,069,632 | -H-- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe -- (IDriverT) SRV - [2005.04.27 11:09:46 | 000,385,024 | -H-- | M] () [Auto | Running] -- C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe -- (IBM Rapid Restore Ultra Service) SRV - [2004.08.24 17:31:58 | 000,066,688 | -H-- | M] (Symantec Corporation) [Auto | Stopped] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe -- (SBService) SRV - [2004.08.24 12:29:58 | 000,176,768 | -H-- | M] (Symantec Corporation) [Auto | Running] -- C:\Programme\Norton AntiVirus\navapsvc.exe -- (navapsvc) SRV - [2004.08.24 11:35:00 | 000,164,984 | -H-- | M] (Symantec Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe -- (ccSetMgr) SRV - [2004.08.24 11:34:38 | 000,078,968 | -H-- | M] (Symantec Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe -- (ccPwdSvc) SRV - [2004.08.24 11:33:52 | 000,197,752 | -H-- | M] (Symantec Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe -- (ccEvtMgr) SRV - [2004.08.18 02:44:56 | 000,046,208 | -H-- | M] (Symantec Corporation) [Auto | Running] -- C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe -- (NPFMntor) SRV - [2004.08.13 14:00:44 | 000,206,048 | -H-- | M] (Symantec Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe -- (SNDSrvc) SRV - [2004.08.11 00:46:56 | 000,483,328 | -H-- | M] (Microsoft Corporation) [On_Demand | Stopped] -- c:\Programme\Windows Media Connect\mswmccds.exe -- (WmcCds) SRV - [2004.08.10 21:50:42 | 000,028,160 | -H-- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Windows Media Connect\mswmcls.exe -- (WmcCdsLs) SRV - [2004.07.23 14:47:22 | 000,197,864 | -H-- | M] (Symantec Corporation) [On_Demand | Stopped] -- C:\Programme\Norton AntiVirus\SAVScan.exe -- (SAVScan) SRV - [2004.07.21 11:24:04 | 000,173,160 | -H-- | M] (Symantec Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe -- (SPBBCSvc) SRV - [2004.07.14 16:00:44 | 000,147,456 | -H-- | M] (T-Systems Nova, Berkom) [On_Demand | Running] -- C:\Programme\T-DSL SpeedManager\TSMSvc.exe -- (TSMService) SRV - [2003.07.11 18:19:22 | 000,032,768 | -H-- | M] () [Auto | Running] -- C:\WINDOWS\system32\TpKmpSvc.exe -- (TpKmpSVC) SRV - [2002.09.20 14:50:10 | 000,045,056 | -H-- | M] (Analog Devices, Inc.) [Auto | Running] -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- (SoundMAX Agent Service (default) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - [2009.12.09 12:44:18 | 000,056,816 | -H-- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2009.07.21 21:16:00 | 000,063,616 | -H-- | M] (IBM) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\ibmfilter.sys -- (IBMFilter) DRV - [2009.07.21 21:13:08 | 000,013,184 | -H-- | M] (IBM Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\psadd.sys -- (psadd) DRV - [2009.05.11 10:12:22 | 000,028,520 | -H-- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.03.30 10:33:04 | 000,096,104 | -H-- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2009.02.13 12:35:02 | 000,011,608 | -H-- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2006.10.04 09:14:26 | 000,017,280 | -H-- | M] (Marmiko IT-Solutions GmbH) [Kernel | On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MAcNdis5.sys -- (MACNDIS5) DRV - [2005.05.17 02:34:00 | 000,007,168 | -H-- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\TSMAPIP.SYS -- (TSMAPIP) DRV - [2005.05.04 02:00:00 | 000,632,000 | -H-- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\20050504.016\NAVEX15.SYS -- (NAVEX15) DRV - [2005.05.04 02:00:00 | 000,073,760 | -H-- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\VirusDefs\20050504.016\NAVENG.SYS -- (NAVENG) DRV - [2005.04.21 16:44:54 | 000,014,336 | -H-- | M] (National Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nsctpm11.sys -- (TPM11) DRV - [2005.03.17 16:30:10 | 000,132,608 | -H-- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k) DRV - [2005.02.14 08:00:10 | 003,255,168 | -H-- | M] (Intel® Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\w29n51.sys -- (w29n51) DRV - [2005.02.01 17:00:42 | 000,012,416 | -H-- | M] (Windows (R) 2000 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\PcdrNdisuio.sys -- (PcdrNdisuio) DRV - [2005.01.21 01:40:00 | 000,014,848 | -H-- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SMAPINT.SYS -- (Smapint) DRV - [2005.01.21 01:40:00 | 000,009,340 | -H-- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\TDSMAPI.SYS -- (TDSMAPI) DRV - [2004.12.02 16:14:44 | 000,014,208 | -H-- | M] (IBM Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\TPDiskPM.sys -- (TPDiskPM) DRV - [2004.12.02 15:54:12 | 000,006,016 | -H-- | M] (IBM Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\TPInput.sys -- (TPInput) DRV - [2004.11.10 16:47:30 | 000,200,448 | -H-- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSFHWICH.sys -- (HSFHWICH) DRV - [2004.11.10 16:46:24 | 000,685,184 | -H-- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf) DRV - [2004.11.10 16:45:50 | 001,041,664 | -H-- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_DP.sys -- (HSF_DP) DRV - [2004.10.15 10:20:04 | 000,011,354 | -H-- | M] (Intel Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\s24trans.sys -- (s24trans) DRV - [2004.08.13 14:00:24 | 000,266,368 | -H-- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\symtdi.sys -- (SYMTDI) DRV - [2004.08.13 14:00:22 | 000,025,824 | -H-- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\symredrv.sys -- (SYMREDRV) DRV - [2004.08.09 14:59:00 | 000,103,952 | -H-- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Programme\Symantec\SYMEVENT.SYS -- (SymEvent) DRV - [2004.07.23 14:47:24 | 000,049,808 | -H-- | M] (Symantec Corporation) [Kernel | Auto | Running] -- C:\Programme\Norton AntiVirus\Savrtpel.sys -- (SAVRTPEL) DRV - [2004.07.23 14:47:22 | 000,335,504 | -H-- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Programme\Norton AntiVirus\savrt.sys -- (SAVRT) DRV - [2004.07.21 11:24:02 | 000,341,096 | -H-- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCDrv.sys -- (SPBBCDrv) DRV - [2004.03.11 17:44:26 | 000,009,696 | -H-- | M] (T-Systems Nova GmbH) [Kernel | On_Demand | Running] -- C:\Programme\T-DSL SpeedManager\TNPACKET.SYS -- (TNPacket) DRV - [2000.10.15 18:38:54 | 000,016,068 | -H-- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\Programme\T-DSL SpeedManager\PCANDIS5.SYS -- (PCANDIS5) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/" FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.6.5.200812101546 FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll () FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009.07.21 21:29:08 | 000,000,000 | -H-D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2009.07.21 21:29:08 | 000,000,000 | -H-D | M] [2009.07.21 21:29:22 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions [2009.07.21 21:29:22 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\mqyliig7.default\extensions [2009.07.21 21:29:08 | 000,000,000 | -H-D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2009.07.21 21:29:12 | 000,000,000 | -H-D | M] (Yahoo! Toolbar) -- C:\Programme\Mozilla Firefox\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} [2012.08.02 19:02:32 | 000,136,672 | -H-- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2012.06.10 10:38:36 | 000,001,105 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml [2012.06.10 10:38:36 | 000,001,178 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012.06.10 10:38:36 | 000,006,805 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012.06.10 10:38:36 | 000,001,153 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012.06.10 10:38:36 | 000,002,252 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012.06.10 10:38:36 | 000,001,392 | -H-- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml O1 HOSTS File: ([2004.08.04 05:00:00 | 000,000,820 | -H-- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll (Sonic Solutions) O2 - BHO: (CNavExtBho Class) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NAVShExt.dll (Symantec Corporation) O3 - HKLM\..\Toolbar: (Norton AntiVirus) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NAVShExt.dll (Symantec Corporation) O3 - HKCU\..\Toolbar\ShellBrowser: (Norton AntiVirus) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NAVShExt.dll (Symantec Corporation) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Adobe Photo Downloader] C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe (Symantec Corporation) O4 - HKLM..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\\ibmmessages.exe () O4 - HKLM..\Run: [IBMPRC] C:\IBMTOOLS\utils\ibmprc.exe (IBM Corp.) O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [NAV CfgWiz] C:\Programme\Norton AntiVirus\CfgWiz.exe (Symantec Corporation) O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe (Analog Devices, Inc.) O4 - HKLM..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe (Symantec Corporation) O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.) O4 - HKLM..\Run: [T-DSL SpeedMgr] C:\Programme\T-DSL SpeedManager\SpeedMgr.exe (T-Systems Nova, Berkom) O4 - HKLM..\Run: [TP4EX] C:\WINDOWS\System32\TP4EX.exe (IBM Corporation) O4 - HKLM..\Run: [TPHOTKEY] C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe () O4 - HKLM..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe (IBM Corp.) O4 - HKLM..\Run: [UpdateManager] C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe (Sonic Solutions) O4 - HKCU..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe (IBM) O4 - HKCU..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra 'Tools' menuitem : IBM Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found O9 - Extra Button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe () O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} https://munldm01.mwe.com/iNotes6W.cab (iNotes6 Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/products/plugin/1.4.2/jinstall-142-win.cab (Java Plug-in 1.4.2) O16 - DPF: {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/1.4.2/jinstall-142-win.cab (Java Plug-in 1.4.2) O16 - DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} https://juniper.net/dana-cached/sc/JuniperSetupClient.cab (JuniperSetupClientControl Class) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\igfxcui: DllName - (igfxsrvc.dll) - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation) O20 - Winlogon\Notify\tphotkey: DllName - (tphklock.dll) - C:\WINDOWS\System32\tphklock.dll () O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.07.21 20:44:50 | 000,003,010 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O36 - AppCertDlls: expahost - (C:\WINDOWS\system32\boot_fmt.dll) - File not found O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.09.16 15:28:44 | 000,600,064 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe [2012.09.16 14:51:19 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent [2012.09.16 14:18:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes [2012.09.16 14:18:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2012.09.16 14:18:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2012.09.16 14:18:33 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2012.09.15 22:17:38 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\File Recovery [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.09.16 15:26:48 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable [2012.09.16 15:22:12 | 000,002,163 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Safari.lnk [2012.09.16 14:54:06 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.09.16 14:54:04 | 1063,747,584 | -HS- | M] () -- C:\hiberfil.sys [2012.09.16 14:18:42 | 000,000,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.09.15 23:56:44 | 000,600,064 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe [2012.09.15 22:17:48 | 000,000,160 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-CYy2GAtDutAL7dr [2012.09.15 22:17:48 | 000,000,144 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-CYy2GAtDutAL7d [2012.09.15 22:17:40 | 000,000,762 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\File_Recovery.lnk [2012.09.15 22:17:40 | 000,000,368 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CYy2GAtDutAL7d [2012.09.15 11:27:28 | 000,001,170 | -H-- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.09.12 18:14:04 | 000,000,276 | -H-- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.09.16 15:26:47 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable [2012.09.16 15:24:31 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Defogger.exe [2012.09.16 14:18:40 | 000,000,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.09.15 22:17:46 | 000,000,160 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-CYy2GAtDutAL7dr [2012.09.15 22:17:46 | 000,000,144 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\-CYy2GAtDutAL7d [2012.09.15 22:17:39 | 000,000,762 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\File_Recovery.lnk [2012.09.15 22:17:33 | 000,000,368 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CYy2GAtDutAL7d [2012.05.25 16:49:46 | 000,003,584 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011.01.11 13:22:45 | 000,000,108 | -H-- | C] () -- C:\WINDOWS\ChssBase.ini [2009.07.21 21:04:12 | 000,000,146 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat ========== LOP Check ========== [2009.07.21 21:08:56 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ibm [2009.07.21 21:35:22 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-DSL SpeedManager [2009.07.21 22:15:16 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} [2009.07.31 21:05:00 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fotobuch.de AG [2009.10.17 15:13:42 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD} [2011.02.25 20:38:44 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Juniper Networks [2009.07.21 21:06:04 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\IBM [2009.07.21 21:35:30 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\T-DSL SpeedManager [2009.07.21 22:21:16 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Q-Dir [2009.07.31 21:05:00 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\fotobuch.de AG [2009.07.31 23:45:22 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Leadertech [2009.08.01 14:35:42 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Panasonic [2009.11.25 19:29:10 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InterVideo [2009.12.22 18:11:36 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Juniper Networks [2011.01.11 12:04:56 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ChessBase ========== Purity Check ========== < End of report > txt Hier die Extras.txtOTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 16.09.2012 15:31:00 - Run 1
OTL by OldTimer - Version 3.2.61.5 Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1014,40 Mb Total Physical Memory | 535,86 Mb Available Physical Memory | 52,83% Memory free
1,08 Gb Paging File | 0,55 Gb Available in Paging File | 50,99% Paging File free
Paging file location(s): C:\pagefile.sys 192 384 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 32,55 Gb Total Space | 1,92 Gb Free Space | 5,91% Space Free | Partition Type: FAT32
Drive D: | 25,11 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Computer Name: IBM-67B32170FAC | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = htmlfile] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome
htmlfile [opennew] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
"DisableMonitoring" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\fotobuch.de AG\Designer 2.0\Designer.exe" = C:\Programme\fotobuch.de AG\Designer 2.0\Designer.exe:*:Designer.exe -- ()
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour
"{0830FBE8-A848-4A37-BF62-D89CB3EF0F60}" = Fritz 8
"{0873B1A3-00A9-40D6-BACE-3DB4BC5DA840}" = IBM SATA Power Management Driver
"{09DA4F91-2A09-4232-AB8C-6BC740096DE3}" = Sonic Update Manager
"{0C34B801-6AEC-4667-B053-03A67E2D0415}" = Apple Application Support
"{1007F41F-7D69-468E-8017-3849A5A973C2}" = IBM ThinkVantage Technologies Welcome Message
"{1206EF92-2E83-4859-ACCB-2048C3CB7DA6}" = IBM DLA
"{1297C681-92D7-40EF-93BF-03F66EC5105C}" = Dienstprogramm 'IBM ThinkPad EasyEject'
"{2111B23F-7FDA-4A41-8309-E5A1663CA296}" = Dienstprogramm 'IBM ThinkPad-Tastaturanpassung'
"{228F6876-A313-40A3-91C0-C3CBE6997D09}" = Symantec
"{23FB368F-1399-4EAC-817C-4B83ECBE3D83}" = mProSafe
"{28DA872A-0848-48CF-B749-19A198157A2A}" = mDriver
"{2908F0CB-C1D4-447F-97A2-CFC135C9F8D4}" = Internet Worm Protection
"{295C31E5-3F91-498E-9623-DA24D2FA2B6A}" = T-Online WLAN-Access Finder
"{2CDCCE7E-55D5-40CC-AEA0-ABA54713501F}" = LUMIX Simple Viewer
"{2DA85B02-13C0-4E6D-9A76-22E6B3DD0CB2}" = SymNet
"{34EEB1F5-E939-40A1-A6BA-957282A4B2C8}" = Norton AntiVirus Help
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{5B25274F-088A-4A24-AE12-4AEE9278025A}" = SILKYPIX Developer Studio 2.0 SE
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6CE96A14-61E2-48CC-837E-22710A953ADE}" = IBM Themes
"{6DE13770-01B7-4366-8DA6-48237793F445}" = VoiceOver Kit
"{6DE14BE4-6F04-4935-8ABD-A0A19FE2E55A}" = mCore
"{72806716-7088-41B2-8FA6-717A2A164DAB}" = IBM System für aktiven Festplattenschutz
"{77772678-817F-4401-9301-ED1D01A8DA56}" = SPBBC
"{82512BC9-BD5D-4C50-BE4D-B98E7DF78687}" = IBM ThinkPad-UltraNav-Assistent
"{8745DEAB-1126-42F5-9585-C66D5497B47B}" = EMEA Wallpaper
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver for Mobile
"{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}" = mPfMgr
"{8F55B163-7B42-42A3-9307-C7FCB9655225}" = PC-Doctor for Windows
"{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}" = InterVideo WinDVD
"{9541FED0-327F-4DF0-8B96-EF57EF622F19}" = IBM RecordNow!
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9A9DBEBC-C800-4776-A970-D76D6AA405B1}" = PHOTOfunSTUDIO -viewer-
"{9CC89556-3578-48DD-8408-04E66EBEF401}" = mXML
"{A429C2AE-EBF1-4F81-A221-1C115CAADDAD}" = QuickTime
"{A654A805-41D9-40C7-AA46-4AF04F044D61}" = Adobe® Photoshop® Album Starter Edition 3.2
"{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}" = Apple Mobile Device Support
"{AC76BA86-7AD7-1031-7B44-A70000000000}" = Adobe Reader 7.0 - Deutsch
"{C6F5B6CF-609C-428E-876F-CA83176C021B}" = Norton AntiVirus 2005
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{D327AFC9-7BAA-473A-8319-6EB7A0D40138}" = Symantec Script Blocking Installer
"{DA34FE93-5DC5-48E0-ACC8-A5389E05BB51}" = iTunes
"{DC367608-64A7-4BF7-92F4-8BAA25BA02DB}" = ccCommon
"{E56D39F8-2A9F-44B4-B068-A72E45A073E6}" = Safari
"{E5EE9939-259F-4DE2-8023-5C49E16A4F43}" = Norton AntiVirus Parent MSI
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{E922961C-6DB6-41DE-9FEA-426DF3E9F81C}" = IBM 32-bit Runtime Environment for Java 2, v1.4.2
"{EA664480-3844-11D5-8C25-444553540000}" = Funktion "IBM TrackPoint-Eingabehilfen"
"{EC6AF20D-4376-4070-BEE4-D3A0DFF7E140}" = Access IBM
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}" = mMHouse
"{F413B3A4-EE5D-457C-BAE5-6E58D9589ED5}" = Access IBM Message Center
"{F64306A5-4C32-41bb-B153-53986527FAB4}" = Norton WMI Update
"{F6869CD2-3DB4-476D-A4C7-B3AE7C3ACF7B}" = Windows Media Connect
"{FC081D4D-DF1B-4CF1-B530-027E4118D846}" = IBM ThinkPad-Konfiguration
"{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}" = mWlsSafe
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe® Photoshop® Album Starter Edition 3.2" = Adobe® Photoshop® Album Starter Edition 3.2
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CNXT_MODEM_PCI_VEN_8086&DEV_24C6&SUBSYS_05591014" = IBM Integrated 56K Modem
"Designer 2.0_is1" = Designer 2.0
"InstallShield_{5B25274F-088A-4A24-AE12-4AEE9278025A}" = SILKYPIX Developer Studio 2.0 SE
"InstallShield_{8F55B163-7B42-42A3-9307-C7FCB9655225}" = PC-Doctor for Windows
"InstallShield_{E922961C-6DB6-41DE-9FEA-426DF3E9F81C}" = IBM 32-bit Runtime Environment for Java 2, v1.4.2
"Juniper_Setup_Client Activex Control" = Juniper Networks Setup Client Activex Control
"LiveReg" = LiveReg (Symantec Corporation)
"LiveUpdate" = LiveUpdate 2.5 (Symantec Corporation)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.65.0.1400
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Mozilla Firefox 14.0.1 (x86 de)" = Mozilla Firefox 14.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"Power Management Driver" = IBM ThinkPad Power Management Driver
"Presentation Director" = IBM ThinkPad 'Präsentationsdirektor'
"ProInst" = Intel(R) PROSet/Wireless Software
"Q-Dir" = Q-Dir
"SymSetup.{C6F5B6CF-609C-428E-876F-CA83176C021B}" = Norton AntiVirus 2005 (Symantec Corporation)
"SynTPDeinstKey" = IBM ThinkPad UltraNav Driver
"TDSLSM" = T-DSL SpeedManager
"ThinkPad FullScreen Magnifier" = ThinkPad FullScreen Magnifier
"ThinkPadSoftwareInstaller" = Software Installer
"VLC media player" = VLC media player 1.0.0
"Windows Media Connect" = Windows Media Connect
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows Media Player" = Windows Media Player 10
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Juniper_Setup_Client" = Juniper Networks Setup Client
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 23.05.2012 03:12:07 | Computer Name = IBM-67B32170FAC | Source = ESENT | ID = 490
Description = svchost (1372) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
Error - 23.05.2012 03:12:07 | Computer Name = IBM-67B32170FAC | Source = ESENT | ID = 470
Description = Catalog Database (1372) Datenbank C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
wurde teilweise angehängt. Anhängungsstufe: 3. Fehler: -1032.
Error - 31.05.2012 11:47:41 | Computer Name = IBM-67B32170FAC | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 09.06.2012 12:26:31 | Computer Name = IBM-67B32170FAC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung svchost.exe, Version 5.1.2600.2180, fehlgeschlagenes
Modul ntdll.dll, Version 5.1.2600.2180, Fehleradresse 0x00018fea.
Error - 14.06.2012 11:44:43 | Computer Name = IBM-67B32170FAC | Source = ESENT | ID = 490
Description = svchost (1372) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
Error - 23.06.2012 11:49:59 | Computer Name = IBM-67B32170FAC | Source = ESENT | ID = 490
Description = svchost (1372) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
Error - 23.06.2012 11:50:17 | Computer Name = IBM-67B32170FAC | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 15.09.2012 16:56:59 | Computer Name = IBM-67B32170FAC | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 15.09.2012 16:56:59 | Computer Name = IBM-67B32170FAC | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 16.09.2012 09:22:04 | Computer Name = IBM-67B32170FAC | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung Safari.exe, Version 4.531.9.1, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
[ System Events ]
Error - 12.09.2012 17:08:18 | Computer Name = IBM-67B32170FAC | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.
Error - 12.09.2012 17:08:20 | Computer Name = IBM-67B32170FAC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
beendet: %%5
Error - 15.09.2012 05:27:41 | Computer Name = IBM-67B32170FAC | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.
Error - 15.09.2012 05:27:44 | Computer Name = IBM-67B32170FAC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
beendet: %%5
Error - 15.09.2012 16:16:26 | Computer Name = IBM-67B32170FAC | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.
Error - 15.09.2012 16:16:28 | Computer Name = IBM-67B32170FAC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
beendet: %%5
Error - 16.09.2012 07:29:20 | Computer Name = IBM-67B32170FAC | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.
Error - 16.09.2012 07:29:21 | Computer Name = IBM-67B32170FAC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
beendet: %%5
Error - 16.09.2012 08:54:28 | Computer Name = IBM-67B32170FAC | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.
Error - 16.09.2012 08:54:31 | Computer Name = IBM-67B32170FAC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
beendet: %%5
< End of report >
gmer.txt ist leer, da steht nichts drin. ErR gab allerdings während des scanversuchs immer wieder die Meldung, dass der Zugriff nicht möglich sei, weil schon von etwas anderem zugefriffen wird, also vielleicht habe ich da auch etwas falsch gemacht. Ich würde mich sehr freuen, wenn mir jemand sagen kann, was ich jetzt machen soll. Diese Fehlermeldungen sind zwar weg, ich kann aber immer noch fast keine Programme und keine einzige Datei sehen. Wenn noch andere Informationen gebraucht werden, bitte sagt mir Bescheid, ich war noch nie auf einem solchen Forum und hatte auch noch nie einen Virus oder vergleicbares, kenn mich also echt nicht gut aus. Danke!!! |
|
17.09.2012, 13:30
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Smart HDD Stecke fest nach Punkt 1 in Eurer Anleitung: Vorgehen beim Verschlüsselungs-TrojanerZitat:
__________________ |
|
17.09.2012, 13:46
| #3 |
| | Smart HDD Stecke fest nach Punkt 1 in Eurer Anleitung: Vorgehen beim Verschlüsselungs-Trojaner Hallo, danke für Deine Nachricht. Sorry, das was fehlte, meinst Du das hier? Ich hoffe, das ist, was Du brauchst! Vielen Dank!
__________________Malwarebytes Anti-Malware (Test) 1.65.0.1400 www.malwarebytes.org Datenbank Version: v2012.09.16.04 Windows XP Service Pack 2 x86 FAT32 Internet Explorer 6.0.2900.2180 Administrator :: IBM-67B32170FAC [Administrator] Schutz: Aktiviert 16.09.2012 14:21:00 mbam-log-2012-09-16 (14-21-00).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 181421 Laufzeit: 7 Minute(n), 21 Sekunde(n) Infizierte Speicherprozesse: 2 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GTBcNbQjStdClQ.exe (Backdoor.Agent.RCGen) -> 2112 -> Löschen bei Neustart. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CYy2GAtDutAL7d.exe (Backdoor.Agent.RCGen) -> 2284 -> Löschen bei Neustart. Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 2 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|GTBcNbQjStdClQ.exe (Backdoor.Agent.RCGen) -> Daten: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GTBcNbQjStdClQ.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|CYy2GAtDutAL7d (Backdoor.Agent.RCGen) -> Daten: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CYy2GAtDutAL7d.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 6 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GTBcNbQjStdClQ.exe (Backdoor.Agent.RCGen) -> Löschen bei Neustart. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CYy2GAtDutAL7d.exe (Backdoor.Agent.RCGen) -> Löschen bei Neustart. (Ende) |
|
17.09.2012, 14:18
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Smart HDD Stecke fest nach Punkt 1 in Eurer Anleitung: Vorgehen beim Verschlüsselungs-TrojanerCode:
ATTFilter Windows XP Service Pack 2 x86 FAT32
Internet Explorer 6.0.2900.2180
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
17.09.2012, 15:16
| #5 |
| | Smart HDD Stecke fest nach Punkt 1 in Eurer Anleitung: Vorgehen beim Verschlüsselungs-Trojaner Ich weiss nicht, ob das als plausibler Grund durchgeht, aber ich würde sagen, es liegt daran, dass ich mich absolut nicht damit auskenne und immer wenn ich jemanden gefragt habe, ob er mir mal helfen kann, hiess es :"Ja, kein Problem" und dann haben diese selbsternannten Experten irgendwas rumgemacht und hinterher war es noch schlimmer. Dann hab ich aufgegeben und es so gelassen und versucht, mit dem zurecht zu kommen, was funktioniert. Und jetzt funktionierte dann eben gar nichts mehr... |
|
17.09.2012, 19:38
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Smart HDD Stecke fest nach Punkt 1 in Eurer Anleitung: Vorgehen beim Verschlüsselungs-Trojaner Na das muss später unbedingt geändert werden Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
__________________ --> Smart HDD Stecke fest nach Punkt 1 in Eurer Anleitung: Vorgehen beim Verschlüsselungs-Trojaner |
|
18.09.2012, 09:08
| #7 |
| | Smart HDD Stecke fest nach Punkt 1 in Eurer Anleitung: Vorgehen beim Verschlüsselungs-Trojaner Vielen Dank für Deine Hilfe!!! Jetzt ist allerdings folgendes passiert. Ich wollte mich hinsetzen und Deine Anweisungen durchführen, aber seit heute morgen sehe ich nur ein geöffnetes Fenster, welches behauptet, mein Rechner sei von der Bundespolizei gesperrt und ich müsse erst Geld bezahlen, damit der wieder entsperrt wird. Ich kann das Fenster nicht schließen und auch sonst nichts machen. Was jetzt??? Das gehört vermutlich auch zu dem Problem, oder? Ich mache einfach am Besten nichts, bis ich wieder von Dir höre... Danke und LG! |
|
19.09.2012, 11:24
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Smart HDD Stecke fest nach Punkt 1 in Eurer Anleitung: Vorgehen beim Verschlüsselungs-Trojaner Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung? Wenn ja, dann mach MBAM und ESET in diesem Modus Abgesicherter Modus zur Bereinigung
__________________ Logfiles bitte immer in CODE-Tags posten |
|
19.09.2012, 15:40
| #9 |
| | Smart HDD Stecke fest nach Punkt 1 in Eurer Anleitung: Vorgehen beim Verschlüsselungs-Trojaner So, ein Zwischenbericht: Ich bin in den abgesicheren Modus gekommen, aber bevor ich Malware aktualisieren konnte, war das Polizeifenster wieder da. Ich habe es dann einfach noch dreimal versucht und dann ging es plötzlich. Ich habe dann den Vollscan gemacht. Es wurden wieder infizierte Dateien gefunden, die ich in Quarantäne gestellt habe. Es öffnete sich dann ein Fenster mit dem Log mit ordentlich viel Text. Ich habe alles markiert und kopiert, aber dann verlangte der Computer nach einem Neustart und danach konnte ich den kopierten Log nicht mehr einfügen. Alle malwarelogs, die ich unter Logdateien in malware gefunden habe, sind hier: Code:
ATTFilter 2012/09/19 14:23:01 +0200 IBM-67B32170FAC Administrator MESSAGE Executing scheduled update: Daily
Code:
ATTFilter 2012/09/18 10:43:39 +0200 IBM-67B32170FAC Administrator MESSAGE Executing scheduled update: Daily
2012/09/18 10:43:49 +0200 IBM-67B32170FAC Administrator MESSAGE Scheduled update executed successfully: database updated from version v2012.09.17.05 to version v2012.09.17.10
2012/09/18 10:43:49 +0200 IBM-67B32170FAC Administrator MESSAGE Scheduled update executed successfully: database updated from version v2012.09.17.05 to version v2012.09.17.10 Code:
ATTFilter 2012/09/18 10:43:39 +0200 IBM-67B32170FAC Administrator MESSAGE Executing scheduled update: Daily
2012/09/18 10:43:49 +0200 IBM-67B32170FAC Administrator MESSAGE Scheduled update executed successfully: database updated from version v2012.09.17.05 to version v2012.09.17.10
2012/09/16 14:19:12 +0200 IBM-67B32170FAC Administrator MESSAGE Starting protection
2012/09/16 14:19:12 +0200 IBM-67B32170FAC Administrator MESSAGE Protection started successfully
2012/09/16 14:19:12 +0200 IBM-67B32170FAC Administrator MESSAGE Starting IP protection
2012/09/16 14:19:20 +0200 IBM-67B32170FAC Administrator MESSAGE IP Protection started successfully
2012/09/16 14:19:21 +0200 IBM-67B32170FAC Administrator MESSAGE Executing scheduled update: Daily
2012/09/16 14:19:49 +0200 IBM-67B32170FAC Administrator MESSAGE Starting database refresh
2012/09/16 14:19:49 +0200 IBM-67B32170FAC Administrator MESSAGE Stopping IP protection
2012/09/16 14:19:49 +0200 IBM-67B32170FAC Administrator MESSAGE IP Protection stopped successfully
2012/09/16 14:19:56 +0200 IBM-67B32170FAC Administrator MESSAGE Database refreshed successfully
2012/09/16 14:19:56 +0200 IBM-67B32170FAC Administrator MESSAGE Starting IP protection
2012/09/16 14:20:08 +0200 IBM-67B32170FAC Administrator MESSAGE IP Protection started successfully
2012/09/16 14:20:23 +0200 IBM-67B32170FAC Administrator MESSAGE Database already up-to-date
2012/09/16 14:52:20 +0200 IBM-67B32170FAC Administrator IP-BLOCK 94.102.51.151 (Type: outgoing)
2012/09/16 14:54:37 +0200 IBM-67B32170FAC Administrator MESSAGE Starting protection
2012/09/16 14:54:37 +0200 IBM-67B32170FAC Administrator MESSAGE Protection started successfully
2012/09/16 14:54:37 +0200 IBM-67B32170FAC Administrator MESSAGE Starting IP protection
2012/09/16 14:54:47 +0200 IBM-67B32170FAC Administrator MESSAGE IP Protection started successfully
2012/09/16 14:57:36 +0200 IBM-67B32170FAC Administrator IP-BLOCK 94.102.51.152 (Type: outgoing)
2012/09/16 14:57:39 +0200 IBM-67B32170FAC Administrator IP-BLOCK 94.102.51.152 (Type: outgoing)
2012/09/16 14:57:45 +0200 IBM-67B32170FAC Administrator IP-BLOCK 94.102.51.152 (Type: outgoing)
2012/09/16 14:57:57 +0200 IBM-67B32170FAC Administrator IP-BLOCK 94.102.51.152 (Type: outgoing)
2012/09/16 14:58:00 +0200 IBM-67B32170FAC Administrator IP-BLOCK 94.102.51.152 (Type: outgoing)
2012/09/16 14:58:06 +0200 IBM-67B32170FAC Administrator IP-BLOCK 94.102.51.152 (Type: outgoing)
2012/09/16 14:58:18 +0200 IBM-67B32170FAC Administrator IP-BLOCK 94.102.51.152 (Type: outgoing)
2012/09/16 14:58:21 +0200 IBM-67B32170FAC Administrator IP-BLOCK 94.102.51.152 (Type: outgoing)
2012/09/16 14:58:27 +0200 IBM-67B32170FAC Administrator IP-BLOCK 94.102.51.152 (Type: outgoing)
2012/09/16 14:58:39 +0200 IBM-67B32170FAC Administrator IP-BLOCK 94.102.51.152 (Type: outgoing)
2012/09/16 14:58:42 +0200 IBM-67B32170FAC Administrator IP-BLOCK 94.102.51.152 (Type: outgoing)
2012/09/16 14:58:48 +0200 IBM-67B32170FAC Administrator IP-BLOCK 94.102.51.152 (Type: outgoing)
2012/09/16 14:59:08 +0200 IBM-67B32170FAC Administrator IP-BLOCK 193.169.86.56 (Type: outgoing)
2012/09/16 14:59:11 +0200 IBM-67B32170FAC Administrator IP-BLOCK 193.169.86.56 (Type: outgoing)
2012/09/16 14:59:17 +0200 IBM-67B32170FAC Administrator IP-BLOCK 193.169.86.56 (Type: outgoing)
2012/09/16 14:59:29 +0200 IBM-67B32170FAC Administrator IP-BLOCK 193.169.86.56 (Type: outgoing)
2012/09/16 14:59:32 +0200 IBM-67B32170FAC Administrator IP-BLOCK 193.169.86.56 (Type: outgoing)
2012/09/16 14:59:38 +0200 IBM-67B32170FAC Administrator IP-BLOCK 193.169.86.56 (Type: outgoing)
2012/09/16 14:59:50 +0200 IBM-67B32170FAC Administrator IP-BLOCK 193.169.86.56 (Type: outgoing)
2012/09/16 14:59:53 +0200 IBM-67B32170FAC Administrator IP-BLOCK 193.169.86.56 (Type: outgoing)
2012/09/16 14:59:59 +0200 IBM-67B32170FAC Administrator IP-BLOCK 193.169.86.56 (Type: outgoing)
2012/09/16 15:00:11 +0200 IBM-67B32170FAC Administrator IP-BLOCK 193.169.86.56 (Type: outgoing)
2012/09/16 15:00:14 +0200 IBM-67B32170FAC Administrator IP-BLOCK 193.169.86.56 (Type: outgoing)
2012/09/16 15:00:20 +0200 IBM-67B32170FAC Administrator IP-BLOCK 193.169.86.56 (Type: outgoing)
2012/09/16 15:20:32 +0200 IBM-67B32170FAC Administrator IP-BLOCK 82.98.86.163 (Type: outgoing)
2012/09/16 15:20:35 +0200 IBM-67B32170FAC Administrator IP-BLOCK 82.98.86.163 (Type: outgoing)
2012/09/16 15:20:41 +0200 IBM-67B32170FAC Administrator IP-BLOCK 82.98.86.163 (Type: outgoing)
2012/09/16 15:20:52 +0200 IBM-67B32170FAC Administrator IP-BLOCK 82.98.86.163 (Type: outgoing)
2012/09/16 15:20:55 +0200 IBM-67B32170FAC Administrator IP-BLOCK 82.98.86.163 (Type: outgoing)
2012/09/16 15:21:01 +0200 IBM-67B32170FAC Administrator IP-BLOCK 82.98.86.163 (Type: outgoing)
Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.65.0.1400 www.malwarebytes.org Datenbank Version: v2012.09.19.07 Windows XP Service Pack 2 x86 FAT32 (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 6.0.2900.2180 Administrator :: IBM-67B32170FAC [Administrator] Schutz: Deaktiviert 19.09.2012 14:46:18 mbam-log-2012-09-19 (14-46-18).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 225129 Laufzeit: 10 Minute(n), 27 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|scdshkcddupnbty (Trojan.Agent.H) -> Daten: C:\WINDOWS\scdshkcd.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 4 C:\WINDOWS\scdshkcd.exe (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\scdshkcd.exe (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Administrator\ms.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP287\A0031871.exe (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.65.0.1400 www.malwarebytes.org Datenbank Version: v2012.09.19.07 Windows XP Service Pack 2 x86 FAT32 (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 6.0.2900.2180 Administrator :: IBM-67B32170FAC [Administrator] Schutz: Deaktiviert 19.09.2012 14:46:18 mbam-log-2012-09-19 (14-46-18).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 225129 Laufzeit: 10 Minute(n), 27 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|scdshkcddupnbty (Trojan.Agent.H) -> Daten: C:\WINDOWS\scdshkcd.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 4 C:\WINDOWS\scdshkcd.exe (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\scdshkcd.exe (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Administrator\ms.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP287\A0031871.exe (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.65.0.1400 www.malwarebytes.org Datenbank Version: v2012.09.16.04 Windows XP Service Pack 2 x86 FAT32 Internet Explorer 6.0.2900.2180 Administrator :: IBM-67B32170FAC [Administrator] Schutz: Aktiviert 16.09.2012 14:21:00 mbam-log-2012-09-16 (14-21-00).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 181421 Laufzeit: 7 Minute(n), 21 Sekunde(n) Infizierte Speicherprozesse: 2 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GTBcNbQjStdClQ.exe (Backdoor.Agent.RCGen) -> 2112 -> Löschen bei Neustart. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CYy2GAtDutAL7d.exe (Backdoor.Agent.RCGen) -> 2284 -> Löschen bei Neustart. Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 2 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|GTBcNbQjStdClQ.exe (Backdoor.Agent.RCGen) -> Daten: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GTBcNbQjStdClQ.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|CYy2GAtDutAL7d (Backdoor.Agent.RCGen) -> Daten: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CYy2GAtDutAL7d.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 6 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GTBcNbQjStdClQ.exe (Backdoor.Agent.RCGen) -> Löschen bei Neustart. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CYy2GAtDutAL7d.exe (Backdoor.Agent.RCGen) -> Löschen bei Neustart. (Ende) Code:
ATTFilter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\npdattwvdjicirn\main.html HTML/Ransom.B trojan
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP287\A0033872.exe Win32/Weelsof.B trojan
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP287\A0033873.exe Win32/Weelsof.B trojan
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP287\A0033874.EXE Win32/Weelsof.B trojan
Soll ich jetzt malware und ESET einfach nochmal mit eingeschalteter externer Speicherplatte wiederholen? Sorry für den Fehler, den ich gemacht habe! (Zur Info: Ich hatte sie allerdings auch seit Wochen nicht mehr an den Computer angeschlossen, also zu einer Zeit, als ich dieses Problem zumindest noch nicht erkennbar hatte.) Ach, und was vl auch noch wichtig ist, die einzige Möglchkeit, mit der ich ins Internet komme, ist Safari, Internet Eplorer und Firefox sind gar nicht mehr sichtbar, seit das Problem aufgetaucht ist. Vielen, vielen Dank!!! |
|
19.09.2012, 16:28
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Smart HDD Stecke fest nach Punkt 1 in Eurer Anleitung: Vorgehen beim Verschlüsselungs-Trojaner Ja wie in meiner Anleitung steht sollst du natürlich auch die externen Platten usw. anschließen und mitscannen lassen!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
19.09.2012, 18:43
| #11 |
| | Smart HDD Stecke fest nach Punkt 1 in Eurer Anleitung: Vorgehen beim Verschlüsselungs-Trojaner Also hier nochmal die logs von den Scans inkl. externer Festplatte, beide scnas haben wieder infizierte Dateien angezeigt: maleware Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.65.0.1400 www.malwarebytes.org Datenbank Version: v2012.09.19.09 Windows XP Service Pack 2 x86 FAT32 (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 6.0.2900.2180 Administrator :: IBM-67B32170FAC [Administrator] Schutz: Deaktiviert 19.09.2012 18:39:09 mbam-log-2012-09-19 (18-39-09).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 274811 Laufzeit: 15 Minute(n), Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP287\A0033872.exe (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP287\A0033873.exe (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP287\A0033874.EXE (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\npdattwvdjicirn\main.html HTML/Ransom.B trojan
|
|
20.09.2012, 10:28
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Smart HDD Stecke fest nach Punkt 1 in Eurer Anleitung: Vorgehen beim Verschlüsselungs-Trojaner adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren Downloade Dir bitte AdwCleaner auf deinen Desktop. Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.09.2012, 13:48
| #13 |
| | Smart HDD Stecke fest nach Punkt 1 in Eurer Anleitung: Vorgehen beim Verschlüsselungs-Trojaner Hallo, hier die Logdatei vom adwcleaner: Code:
ATTFilter # AdwCleaner v2.002 - Datei am 09/20/2012 um 14:45:38 erstellt
# Aktualisiert am 16/09/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 2 (32 bits)
# Benutzer : Administrator - IBM-67B32170FAC
# Bootmodus : Abgesicherter Modus mit Netzwerkunterstützung
# Ausgeführt unter : C:\Dokumente und Einstellungen\Administrator\Desktop\adwcleaner.exe
# Option [Suche]
**** [Dienste] ****
***** [Dateien / Ordner] *****
***** [Registrierungsdatenbank] *****
***** [Internet Browser] *****
-\\ Internet Explorer v6.0.2900.2180
[OK] Die Registrierungsdatenbank ist sauber.
*************************
AdwCleaner[R1].txt - [645 octets] - [20/09/2012 14:45:38]
########## EOF - C:\AdwCleaner[R1].txt - [704 octets] ##########
|
|
20.09.2012, 19:35
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Smart HDD Stecke fest nach Punkt 1 in Eurer Anleitung: Vorgehen beim Verschlüsselungs-Trojaner Hätte da mal zwei Fragen bevor es weiter geht (wir sind noch nicht fertig!) 1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.09.2012, 07:00
| #15 |
| | Smart HDD Stecke fest nach Punkt 1 in Eurer Anleitung: Vorgehen beim Verschlüsselungs-Trojaner Guten Morgen, zu Deinen Fragen: 1) Ich kann wieder im normalen Modus hochfahren. Allerdings gibt es weiterhin keine Programme und Dateien ausser denen, die ich installiert habe, seit ich hier bin (maleware etc.) 2) Im Startmenü ist unter "alle Programme" nur maleware und auch in den Dateiordnern ist nichts zu finden, lediglich die Angabe in der linken Spalte, es gäbe versteckte Dateien. Sichtbar sind gar keine. Hoffe, die Antworten machen so Sinn. Noch zu Info: Als ich den Computer runtergefahren habe, um zu testen, ob er im normalen Modus wieder hochfährt, bekam ich die Meldung von adwcleaner, dass noch nichts gelöscht sei und ich erst auf "löschen" klicken muss, es sei denn, ich wurde aufgefordert, nur zu suchen. Da Du in deiner Anweisung nur von "suchen" gesprochen hast, habe ich diese Meldung nur mit "ok" bestätigt, aber anschließend nichts gelöscht, sondern runtergefahren. Ich hoffe, das war so richtig. |
|
| Themen zu Smart HDD Stecke fest nach Punkt 1 in Eurer Anleitung: Vorgehen beim Verschlüsselungs-Trojaner |
| anleitung, anti-malware, compu, computer, dateien, entfernt, funde, gen, inter, interne, internet, laden, leitung, lenovo, löschen, malwarebytes, möglichkeit, national, nicht möglich, nichts, ntdll.dll, plug-in, punkt, quarantäne, scan, smart, starte, vollständige, vorgehen, weiterhelfen |
Linear-Darstellung
