unbekannter Verschlüsselungs-Trojaner auf Speicherkarte

jalu · 06.01.2013, 17:08

Hallo!

Im Sommer war ich in Mittelamerika unterwegs. Mit im Gepäck: Meine Digitalkamera und ein Dutzend Speicherkarten. Allerdings ohne Laptop, sodass ich hin und wieder in einem Internetcafé die Fotos auf dem Computer betrachtete.
Als ich dann in El Salvador eine der Speicherkarten in einen Computer steckte und nach dem Anschauen wieder entfernte und in die Kamera steckte, gab die Kamera folgende Fehlermeldung:

"Kein Bild vorhanden"

Ich hatte aber keines der Bilder gelöscht. Bei meiner Kamera gibt es im Menü einen Reiter "Speicherkarte Formatieren".
Dort wird angezeigt, dass 15 Gbyte von 15 Gbyte auf der Speicherkarte belegt sind. Die Bilder müssten also eigentlich noch drauf sein!

Zur Speicherkarte:
Transcend SD HC, Class 10, 16 Gbyte

In einem anderen Internetcafé schloss ich die Kamera an einem PC an und öffnete die Speicherkarte. Leider kann ich mich nicht mehr genau an die Namen der Ordner erinnern, die ich dort vorfand, es waren jedoch eindeutig andere also sonst.
Es waren auch keine Bilddateien zu sehen, nur Ordner und mir unbekannte Dateien
Die Ordnerstruktur hat sich also vollständig verändert.

Ich nehme an, dass sich noch alle Bilder/Videos auf der Speicherkarte befinden und es irgendein Weg gibt diese wiederherzustellen.
Ich habe mich allerdings noch nicht getraut, die Speicherkarte mit meinem eigenen Computer zu verbinden, da ich eine Infizierung des gesamtem Rechners befürchte.

In anderen Foren berichten andere Leute, die auch in Zentralamerika unterwegs waren, von einem ähnlichen Problem.

Ich war wohl ein bisschen zu leichtsinnig...
Vielleicht gibt es Hoffnung, dass ich nach so langer Zeit doch noch in den Genuß der Fotos komme.
Über Lösungsansätze würde ich mich daher riesig freuen!

Vielen Dank schonmal!

markusg · 06.01.2013, 17:11

Hi,
ich würd niemals ein Gerät in nem Internet Kafee an einen der PC's anschließen, noch E-Mails abrufen... Woher soll man wissen, wie gut diese Geräte abgesichert sind.
Vor allem schließe das Teil nirgendwo mehr an, du verbreitest damit Schadsoftware auf andere PC's.
Wie sind die Dateinamen verändert worden, wirre Zeichenfolgen oder wie genau?
haben sie Endungen?

jalu · 06.01.2013, 17:23

Vielen Dank für die rasche Antwort!
Keine Sorge, ich habe den nirgendwo mehr angeschlossen und bin auch nicht mehr so naiv.

Es müssen zu dem Zeitpunkt vor der Infizierung wohl an die 1000 Bilder auf der Karte gewesen sein.
Nach der Infizierung waren es jedoch lediglich ein oder zwei Ordner, in denen sich meiner Erinnerung nach zwei oder drei dateien befanden.
Ich kann aber nicht sagen, welche Endung sie hatten.
Es waren auch keine versteckten Dateien auf der Karte.
Doch auch Windows zeigte an, dass sie nahezu vollständig belegt sei.

Kann man die Karte nicht irgendwie in einer Art "Sandbox" öffnen?

markusg · 06.01.2013, 17:24

Hi, du sagst waren, hast du die gelöscht oder wie?

jalu · 06.01.2013, 17:39

Hallo!
Nein, gelöscht habe ich nichts!

Ich habe die Speicherkarte mit dem Computer verbunden und konnte alle Bilder anschauen. Dann habe ich noch ein paar der Bilder per E-Mail an Freunde verschickt und nach etwa einer halben Stunde die Speicherkarte wieder entfernt.
Als ich die Karte wieder in die Kamera steckte, war auf einmal kein Bild mehr darauf.

Irgendeinen Virus/Trojaner hat die Bilder "unsichtbar" wohl unsichtbar gemacht und neue Ordner auf der Sepicherkarte erzeugt, die mit den eugentlichen aber nichts mehr zu tun hatten.

Die neu angelegten Ordner müssten sich also immernoch auf der Speicherkarte befinden.
Habe deine Frage zunächst falsch verstanden.
Tut mir Leid!

markusg · 06.01.2013, 19:28

Hi,
hab noch eine Frage, sorry, wenn du die Karte am PC betreibst, kommst du noch an die Bilder?

jalu · 06.01.2013, 19:47

Als ich die Karte damals an einen anderen PC in einem anderen Internetcafe angeschlossen habe, konnte ich keines der Bilder mehr sehen.

Ich hab damals alles mögliche ausprobiert, kam aber nicht an die Bilder ran...

Ich hoffe, dass ich deine Frage damit beantwortet habe
Liebe Grüße

markusg · 06.01.2013, 19:49

Hi,
autorun aus:
http://www.trojaner-board.de/83238-a...sschalten.html
Stick anschließen.
combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

jalu · 06.01.2013, 20:41

Bittesehr:

Combofix Logfile:

Code:

ATTFilter

ComboFix 13-01-05.01 - Jannis 06.01.2013  20:15:50.1.2 - x86
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.2046.918 [GMT 1:00]
ausgeführt von:: c:\users\Jannis\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *Disabled/Updated* {C3113FBF-4BCB-4461-D78D-6EDFEC9593E5}
FW: Kaspersky Internet Security *Disabled* {FB2ABE9A-01A4-4539-FCD2-C7EA1246D49E}
SP: Kaspersky Internet Security *Disabled/Updated* {7870DE5B-6DF1-4BEF-ED3D-55AD9712D958}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\EBLib.dll
c:\users\Jannis\AppData\Local\Microsoft\Windows\Temporary Internet Files\{408C697C-26C2-436D-9990-BDD5C34E4EF7}.xps
c:\users\Jannis\AppData\Local\Microsoft\Windows\Temporary Internet Files\PMH439B.tmp
c:\windows\IsUn0407.exe
c:\windows\WindowsUpdate.log
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-12-06 bis 2013-01-06  ))))))))))))))))))))))))))))))
.
.
2013-01-06 19:27 . 2013-01-06 19:27	--------	d-----w-	c:\users\UpdatusUser\AppData\Local\temp
2013-01-06 19:27 . 2013-01-06 19:27	--------	d-----w-	c:\users\Einar\AppData\Local\temp
2013-01-06 19:27 . 2013-01-06 19:31	--------	d-----w-	c:\users\Jannis\AppData\Local\temp
2013-01-06 19:27 . 2013-01-06 19:27	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-01-06 19:27 . 2013-01-06 19:27	--------	d-----w-	c:\users\Susanne\AppData\Local\temp
2013-01-05 18:20 . 2012-11-08 18:00	6812136	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{3682AA8C-3B69-4FCE-A474-DC494737C2E3}\mpengine.dll
2012-12-25 20:00 . 2012-12-25 20:00	--------	d-----w-	c:\users\Susanne\AppData\Local\Macromedia
2012-12-21 22:32 . 2012-12-16 14:13	295424	----a-w-	c:\windows\system32\atmfd.dll
2012-12-21 22:32 . 2012-12-16 14:13	34304	----a-w-	c:\windows\system32\atmlib.dll
2012-12-15 15:32 . 2012-12-17 00:00	--------	d-----w-	c:\programdata\tmp
2012-12-15 15:32 . 2012-12-17 00:01	--------	d-----w-	c:\programdata\hps
2012-12-15 15:24 . 2012-12-15 15:24	--------	d-----w-	c:\program files\Saturn Fotoservice
2012-12-14 18:52 . 2012-10-04 16:40	4096	---ha-w-	c:\windows\system32\api-ms-win-core-localization-l1-1-0.dll
2012-12-14 18:52 . 2012-10-04 16:40	3584	---ha-w-	c:\windows\system32\api-ms-win-core-heap-l1-1-0.dll
2012-12-14 18:52 . 2012-10-04 16:40	3072	---ha-w-	c:\windows\system32\api-ms-win-core-console-l1-1-0.dll
2012-12-14 18:52 . 2012-10-04 14:41	6144	---ha-w-	c:\windows\system32\api-ms-win-security-base-l1-1-0.dll
2012-12-14 18:52 . 2012-10-04 14:41	4608	---ha-w-	c:\windows\system32\api-ms-win-core-threadpool-l1-1-0.dll
2012-12-14 18:52 . 2012-10-04 14:41	3584	---ha-w-	c:\windows\system32\api-ms-win-core-xstate-l1-1-0.dll
2012-12-14 18:52 . 2012-10-04 14:41	3072	---ha-w-	c:\windows\system32\api-ms-win-core-util-l1-1-0.dll
2012-12-14 18:52 . 2012-11-02 05:11	376832	----a-w-	c:\windows\system32\dpnet.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-11-24 00:02 . 2012-10-30 11:06	697272	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-11-24 00:02 . 2011-12-12 15:15	73656	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-11-22 02:56 . 2012-12-14 18:53	2345984	----a-w-	c:\windows\system32\win32k.sys
2012-11-15 17:09 . 2012-06-08 09:38	43608	----a-w-	c:\windows\system32\drivers\kltdi.sys
2012-11-09 04:42 . 2012-12-14 18:52	2048	----a-w-	c:\windows\system32\tzres.dll
2012-10-16 07:39 . 2012-11-28 17:25	561664	----a-w-	c:\windows\apppatch\AcLayers.dll
2012-10-12 16:47 . 2012-07-25 12:53	25944	----a-w-	c:\windows\system32\drivers\klmouflt.sys
2012-10-12 16:47 . 2012-05-25 17:38	25944	----a-w-	c:\windows\system32\drivers\klkbdflt.sys
2012-10-12 06:34 . 2012-10-31 12:48	86528	----a-w-	c:\windows\system32\pdfcmon.dll
2012-10-09 17:40 . 2012-11-17 16:15	44032	----a-w-	c:\windows\system32\dhcpcsvc6.dll
2012-10-09 17:40 . 2012-11-17 16:15	193536	----a-w-	c:\windows\system32\dhcpcore6.dll
2012-12-08 19:33 . 2012-12-08 19:33	262112	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-06-30 04:19	94208	----a-w-	c:\users\Jannis\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-06-30 04:19	94208	----a-w-	c:\users\Jannis\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-06-30 04:19	94208	----a-w-	c:\users\Jannis\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spotify Web Helper"="c:\users\Jannis\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2012-11-14 1199576]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-06-20 1316136]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2009-11-01 2508104]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe" [2012-11-15 356376]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-11 919008]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2010-1-26 110592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Bluetooth Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth Monitor.lnk
backup=c:\windows\pss\Bluetooth Monitor.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^Users^Jannis^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Dropbox.lnk]
path=c:\users\Jannis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnk.Startup
backupExtension=.Startup
.
[HKLM\~\startupfolder\C:^Users^Jannis^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\users\Jannis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AirPort Base Station Agent]
2009-02-27 11:39	753664	----a-w-	c:\program files\AirPort\APAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Akamai NetSession Interface]
2012-08-10 16:59	4440896	----a-w-	c:\users\Jannis\AppData\Local\Akamai\netsession_win.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]
2012-08-27 20:32	59280	----a-w-	c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camera Assistant Software]
2007-04-10 15:40	413696	----a-w-	c:\program files\Camera Assistant Software for Toshiba\traybar.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CeEKEY]
2007-07-06 05:49	651264	----a-w-	c:\program files\TOSHIBA\E-KEY\CeEKey.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IJNetworkScanUtility]
2009-09-28 16:56	140640	----a-w-	c:\program files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2012-09-09 22:30	421776	----a-w-	c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Vid]
2011-01-13 02:01	6129496	----a-w-	c:\program files\Logitech\Vid HD\Vid.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LWS]
2011-03-01 21:14	190808	----a-w-	c:\program files\Logitech\LWS\Webcam Software\LWS.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2011-07-05 16:36	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spotify]
2012-11-14 20:44	7880664	----a-w-	c:\users\Jannis\AppData\Roaming\Spotify\spotify.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spotify Web Helper]
2012-11-14 20:44	1199576	----a-w-	c:\users\Jannis\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-04-08 10:59	254696	----a-w-	c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 WSDScan;WSD-Scanunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDScan.sys [x]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [x]
S1 kltdi;kltdi;c:\windows\system32\DRIVERS\kltdi.sys [x]
S1 kneps;kneps;c:\windows\system32\DRIVERS\kneps.sys [x]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [x]
S2 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [x]
S2 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\SeaPort.EXE [x]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [x]
S2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [x]
S2 TeamViewer6;TeamViewer 6;c:\program files\TeamViewer\Version6\TeamViewer_Service.exe [x]
S2 UMVPFSrv;UMVPFSrv;c:\program files\Common Files\logishrd\LVMVFM\UMVPFSrv.exe [x]
S3 klkbdflt;Kaspersky Lab KLKBDFLT;c:\windows\system32\DRIVERS\klkbdflt.sys [x]
S3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\DRIVERS\klmouflt.sys [x]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [x]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
S3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\DRIVERS\teamviewervpn.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai	REG_MULTI_SZ   	Akamai
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local;127.0.0.1:9421;<local>
IE: An OneNote s&enden - c:\progra~1\MICROS~1\Office14\ONBttnIE.dll/105
IE: Free YouTube to DVD Converter - c:\users\Jannis\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetodvdconverter.htm
IE: Hinzufügen zu Anti-Banner - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2013\ie_banner_deny.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~1\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Jannis\AppData\Roaming\Mozilla\Firefox\Profiles\z5jfr50v.default\
FF - prefs.js: keyword.URL - hxxp://www.google.de/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - ExtSQL: 2012-11-24 01:15; info@youtube-mp3.org; c:\users\Jannis\AppData\Roaming\Mozilla\Firefox\Profiles\z5jfr50v.default\extensions\info@youtube-mp3.org.xpi
FF - ExtSQL: 2012-11-24 01:19; youtubemp3podcaster@jeremy.d.gregorio.com; c:\users\Jannis\AppData\Roaming\Mozilla\Firefox\Profiles\z5jfr50v.default\extensions\youtubemp3podcaster@jeremy.d.gregorio.com
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Adobe Photoshop 7.0 - c:\windows\ISUN0407.EXE
AddRemove-Free Video to DVD Converter_is1 - c:\program files\Common Files\DVDVideoSoft\Uninstall.exe
AddRemove-Free YouTube to DVD Converter_is1 - c:\program files\Common Files\DVDVideoSoft\Uninstall.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Akamai]
"ServiceDll"="c:\program files\common files\akamai/netsession_win_ce5ba24.dll"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(6880)
c:\users\Jannis\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
c:\program files\Microsoft Virtual PC\VPCShExH.DLL
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\NVIDIA Corporation\Display\nvxdsync.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\taskhost.exe
c:\program files\NVIDIA Corporation\Display\nvtray.exe
c:\windows\System32\WUDFHost.exe
c:\windows\system32\conhost.exe
c:\windows\System32\WUDFHost.exe
c:\windows\System32\rundll32.exe
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-01-06  20:37:58 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-01-06 19:37
.
Vor Suchlauf: 8.080.867.328 Bytes frei
Nach Suchlauf: 9.436.848.128 Bytes frei
.
- - End Of File - - 860E03277F57C5B9C76B8348707814C0

--- --- ---

markusg · 07.01.2013, 18:10

Hi
entweder einkopieren, oder anhängen.
noch mal eine Frage:
sind deine original ordner auf den sticks umbenannt? wirre zeichenfolgen also zb?
haben die Dateien in den Ordnern noch ändungen?
öffne mal Computer, extras ordner optionen, ansicht.
Versteckte dateien und ordner einblenden, haken rein.
Dateinamenerweiterung bei bekannten... ausblenden haken raus.
Geschützte Systemdateien einblenden, haken rein, nachfrage bestätigen, dann übernemen ok.
dann erst auf den Stick zugreifen

jalu · 10.01.2013, 01:44

Hallo Markus,

zunächst einmal tausend Dank für dein Engagement! Ich bin bedingt durch meine Arbeit leider erst vor zwei Stunden wieder nach Hause gekommen.
Und habe nun deine Schritte befolgt.

Da mein, in den Laptop eingebauter, Kartenleser streikt, hatte ich die Speicherkarte beim ersten Mal in die Kamera gesteckt und diese per USB-Kabel mit dem Rechner verbunden.
Da mir das im Nachhinein als dumm erschien, habe ich mir dieses Mal ein Kartenleser von einem Freund geborgt und damit die Speicherkarte gelesen.

Ich lies die Speicherkarte routinemäßig von Kaspersky überprüfen. Das Programm wurde fündig:

Trojan-Dropper.Win 32.VB.bkbz

Kasperky löschte die Datei (siehe Anhang "Kaspersky Bericht").

Du hast mich gefragt, wie es auf der Speicherkarte aussieht.
Dazu das angehängte Bild "Ordnerstruktur Speicherkarte".
Die Ordner ´DCIM´und ´MISC´ werden immer von der Kamera angelegt. Nur der Ordner ´RECYCLER´ ist neu.
Ich konnte tatsächlich alle Bilder anschauen, was mich bereits sehr gefreut hat.

Was mich jedoch ein bisschen beunruhigt sind Ordner mit dem Namen ´$RECYCLE.BIN´, die es seit dem ersten Mal "anschließen" auf jedem Laufwerk gibt und die, meines Erachtens, vorher nicht da waren.
Siehe Anhang "Data (D)"; "Data (E)"

Nun frage ich mich, ob sich mein Rechner doch infiziert hat, weil ich die Speicherkarte über den Umweg der Kamera angeschlossen habe.
Ich habe eine 2TByte große ext. Festplatte, die ich vorsorglich bereits vor dem ersten Anschluss der Speicherkarte abgesteckt habe. Allerdings hat meine Mutter die Festplatte während meiner Abwesenheit wieder mit dem Computer verbunden, da sie das Kabel mit dem Kabel der Maus verwechselt hat. Sollte mein Computer also infiziert sein, ist es wahrscheinlich auch meine Festplatte. Aber darüber weißt du sicherlich besser bescheid!

Da ich die Speicherkarte anders angeschlossen habe, als beim ersten Mal, habe ich nochmals Combofix laufen lassen, vielleicht hilft es dir ja:

Combofix Logfile:

Code:

ATTFilter

ComboFix 13-01-05.01 - Jannis 10.01.2013   1:03.2.2 - x86
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.2046.1196 [GMT 1:00]
ausgeführt von:: c:\users\Jannis\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *Disabled/Updated* {C3113FBF-4BCB-4461-D78D-6EDFEC9593E5}
FW: Kaspersky Internet Security *Disabled* {FB2ABE9A-01A4-4539-FCD2-C7EA1246D49E}
SP: Kaspersky Internet Security *Disabled/Updated* {7870DE5B-6DF1-4BEF-ED3D-55AD9712D958}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-12-10 bis 2013-01-10  ))))))))))))))))))))))))))))))
.
.
2013-01-10 00:15 . 2013-01-10 00:15	--------	d-----w-	c:\users\UpdatusUser\AppData\Local\temp
2013-01-10 00:15 . 2013-01-10 00:15	--------	d-----w-	c:\users\Susanne\AppData\Local\temp
2013-01-10 00:15 . 2013-01-10 00:15	--------	d-----w-	c:\users\Pa\AppData\Local\temp
2013-01-10 00:15 . 2013-01-10 00:15	--------	d-----w-	c:\users\Einar\AppData\Local\temp
2013-01-10 00:15 . 2013-01-10 00:15	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-01-08 22:44 . 2012-12-07 10:46	43520	----a-w-	c:\windows\system32\csrr.rs
2013-01-08 22:43 . 2012-11-20 04:51	220160	----a-w-	c:\windows\system32\ncrypt.dll
2013-01-08 22:43 . 2012-11-23 02:48	49152	----a-w-	c:\windows\system32\taskhost.exe
2013-01-08 22:41 . 2012-11-08 18:00	6812136	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{B84BB2FD-621A-4CFD-BCDF-58399174377B}\mpengine.dll
2013-01-06 19:27 . 2013-01-10 00:15	--------	d-----w-	c:\users\Jannis\AppData\Local\temp
2012-12-25 20:00 . 2012-12-25 20:00	--------	d-----w-	c:\users\Susanne\AppData\Local\Macromedia
2012-12-21 22:32 . 2012-12-16 14:13	295424	----a-w-	c:\windows\system32\atmfd.dll
2012-12-21 22:32 . 2012-12-16 14:13	34304	----a-w-	c:\windows\system32\atmlib.dll
2012-12-15 15:32 . 2012-12-17 00:00	--------	d-----w-	c:\programdata\tmp
2012-12-15 15:32 . 2012-12-17 00:01	--------	d-----w-	c:\programdata\hps
2012-12-15 15:24 . 2012-12-15 15:24	--------	d-----w-	c:\program files\Saturn Fotoservice
2012-12-14 18:52 . 2012-11-02 05:11	376832	----a-w-	c:\windows\system32\dpnet.dll
2012-12-14 18:52 . 2012-11-09 04:42	2048	----a-w-	c:\windows\system32\tzres.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-11-24 00:02 . 2012-10-30 11:06	697272	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-11-24 00:02 . 2011-12-12 15:15	73656	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-11-15 17:09 . 2012-06-08 09:38	43608	----a-w-	c:\windows\system32\drivers\kltdi.sys
2012-10-16 07:39 . 2012-11-28 17:25	561664	----a-w-	c:\windows\apppatch\AcLayers.dll
2012-10-12 16:47 . 2012-07-25 12:53	25944	----a-w-	c:\windows\system32\drivers\klmouflt.sys
2012-10-12 16:47 . 2012-05-25 17:38	25944	----a-w-	c:\windows\system32\drivers\klkbdflt.sys
2012-10-12 06:34 . 2012-10-31 12:48	86528	----a-w-	c:\windows\system32\pdfcmon.dll
2012-12-08 19:33 . 2012-12-08 19:33	262112	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-06-30 04:19	94208	----a-w-	c:\users\Jannis\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-06-30 04:19	94208	----a-w-	c:\users\Jannis\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-06-30 04:19	94208	----a-w-	c:\users\Jannis\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spotify Web Helper"="c:\users\Jannis\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2012-11-14 1199576]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-06-20 1316136]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2009-11-01 2508104]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe" [2012-11-15 356376]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-11 919008]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2010-1-26 110592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Bluetooth Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth Monitor.lnk
backup=c:\windows\pss\Bluetooth Monitor.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^Users^Jannis^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Dropbox.lnk]
path=c:\users\Jannis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnk.Startup
backupExtension=.Startup
.
[HKLM\~\startupfolder\C:^Users^Jannis^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\users\Jannis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AirPort Base Station Agent]
2009-02-27 11:39	753664	----a-w-	c:\program files\AirPort\APAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Akamai NetSession Interface]
2012-08-10 16:59	4440896	----a-w-	c:\users\Jannis\AppData\Local\Akamai\netsession_win.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]
2012-08-27 20:32	59280	----a-w-	c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camera Assistant Software]
2007-04-10 15:40	413696	----a-w-	c:\program files\Camera Assistant Software for Toshiba\traybar.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CeEKEY]
2007-07-06 05:49	651264	----a-w-	c:\program files\TOSHIBA\E-KEY\CeEKey.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IJNetworkScanUtility]
2009-09-28 16:56	140640	----a-w-	c:\program files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2012-09-09 22:30	421776	----a-w-	c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Vid]
2011-01-13 02:01	6129496	----a-w-	c:\program files\Logitech\Vid HD\Vid.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LWS]
2011-03-01 21:14	190808	----a-w-	c:\program files\Logitech\LWS\Webcam Software\LWS.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2011-07-05 16:36	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spotify]
2012-11-14 20:44	7880664	----a-w-	c:\users\Jannis\AppData\Roaming\Spotify\spotify.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spotify Web Helper]
2012-11-14 20:44	1199576	----a-w-	c:\users\Jannis\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-04-08 10:59	254696	----a-w-	c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
R2 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [x]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 WSDScan;WSD-Scanunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDScan.sys [x]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [x]
S1 kltdi;kltdi;c:\windows\system32\DRIVERS\kltdi.sys [x]
S1 kneps;kneps;c:\windows\system32\DRIVERS\kneps.sys [x]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [x]
S2 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\SeaPort.EXE [x]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [x]
S2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [x]
S2 TeamViewer6;TeamViewer 6;c:\program files\TeamViewer\Version6\TeamViewer_Service.exe [x]
S2 UMVPFSrv;UMVPFSrv;c:\program files\Common Files\logishrd\LVMVFM\UMVPFSrv.exe [x]
S3 klkbdflt;Kaspersky Lab KLKBDFLT;c:\windows\system32\DRIVERS\klkbdflt.sys [x]
S3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\DRIVERS\klmouflt.sys [x]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [x]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
S3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\DRIVERS\teamviewervpn.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai	REG_MULTI_SZ   	Akamai
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local;127.0.0.1:9421;<local>
IE: An OneNote s&enden - c:\progra~1\MICROS~1\Office14\ONBttnIE.dll/105
IE: Free YouTube to DVD Converter - c:\users\Jannis\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetodvdconverter.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~1\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Jannis\AppData\Roaming\Mozilla\Firefox\Profiles\z5jfr50v.default\
FF - prefs.js: keyword.URL - hxxp://www.google.de/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - ExtSQL: 2012-11-24 01:15; info@youtube-mp3.org; c:\users\Jannis\AppData\Roaming\Mozilla\Firefox\Profiles\z5jfr50v.default\extensions\info@youtube-mp3.org.xpi
FF - ExtSQL: 2012-11-24 01:19; youtubemp3podcaster@jeremy.d.gregorio.com; c:\users\Jannis\AppData\Roaming\Mozilla\Firefox\Profiles\z5jfr50v.default\extensions\youtubemp3podcaster@jeremy.d.gregorio.com
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Akamai]
"ServiceDll"="c:\program files\common files\akamai/netsession_win_ce5ba24.dll"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(2060)
c:\users\Jannis\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
Zeit der Fertigstellung: 2013-01-10  01:17:09
ComboFix-quarantined-files.txt  2013-01-10 00:17
ComboFix2.txt  2013-01-06 19:38
.
Vor Suchlauf: 9.270.640.640 Bytes frei
Nach Suchlauf: 9.594.839.040 Bytes frei
.
- - End Of File - - 6BE29CCCC784E9627C8A3E026DF7E59B

--- --- ---

markusg · 10.01.2013, 14:50

Hi
dann kopiere mal die Bilder auf den PC und formatiere die Karte.

jalu · 17.01.2013, 01:30

Hallo Markus,

hat alles ein bisschen gedauert.
Die Speicherkarte konnte nach dem Löschen des Trojaners nicht mehr geöffnet werden.

"Sie müssen den Datenträger formatieren, bevor Sie ihn verwenden können".

Mithilfe von Testdisk konnte ich das Dateisystem (Fat 32) vorübergehend wiederherstellen. Vorher probierte ich allerdings zahlreiche andere Programme aus, deswegen hats solange gedauert.

Ich habe nun 959 Dateien auf meine Festplatte kopiert und die Speicherkarte formatiert.

Ich werd aber aus den Dateinamen nicht schlau (siehe angehängtes Bild).
Ich kann nur ein Bruchteil der Bilder und eine Handvoll Videos öffnen.
Bei allen anderen bekomme ich eine Fehlermeldung:

"Das Dateiformat wird nicht unterstützt"

Also, wie solls weitergehen?
Liebe Grüße zu später Stunde

markusg · 17.01.2013, 15:29

bitte lesen:
http://www.trojaner-board.de/115551-...e-version.html
evtl. kannst du noch was retten.

06.01.2013, 17:24	#4
markusg /// Malware-holic	unbekannter Verschlüsselungs-Trojaner auf Speicherkarte Hi, du sagst waren, hast du die gelöscht oder wie? __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

06.01.2013, 19:28	#6
markusg /// Malware-holic	unbekannter Verschlüsselungs-Trojaner auf Speicherkarte Hi, hab noch eine Frage, sorry, wenn du die Karte am PC betreibst, kommst du noch an die Bilder? __________________ --> unbekannter Verschlüsselungs-Trojaner auf Speicherkarte

unbekannter Verschlüsselungs-Trojaner auf Speicherkarte

Plagegeister aller Art und deren Bekämpfung: unbekannter Verschlüsselungs-Trojaner auf Speicherkarte