| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: decrypt instruction--kann einige dateien nicht mehr öffnenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
02.07.2014, 23:27
| #1 |
 |  decrypt instruction--kann einige dateien nicht mehr öffnen hallo leute habe schon etwas davon gehört, aber weiss nicht genau was ich machen soll. es sind viele wichtige daten (bilder ), die ich nicht mehr öffnen kann. in einigen ordnern steht jetzt dieser text jeweils als eine datei: decrypt instruction(ohne endung) decrypt instruction.html decrypt instruction.txt was kann ich tun um den trojaner/virus loszuwerden, und wie geht das mit dem entschlüsseln der befallenen dateien ? ich arbeite jeden tag mit dem rechner, brauche ihn ! danke und gruss martin |
|
02.07.2014, 23:42
| #2 | |
| /// TB-Ausbilder /// Anleitungs-Guru  |  decrypt instruction--kann einige dateien nicht mehr öffnen Hi,
__________________kannst Du mal bitte posten was da genau drinnen steht...Screenshot etc. Zitat:
__________________ |
|
02.07.2014, 23:48
| #3 |
| | decrypt instruction--kann einige dateien nicht mehr öffnen hi
__________________anbei ein bild, hoffe ich hab das richtig gemacht. das ist der komplette text, der in der .TXT steht: 4D0C633D1DE4A7138F61555FA5C40D9A Was ist mit Ihren Daten passiert? All Ihre Daten wurden mit der starken Verschlüsselung RSA-2048 mit Hilfe des Programms CryptoWall geschützt. Genaueres über das Chiffrieren mit Hilfe der RSA-2048 Schlüssel können Sie hier erfahren: hxxp://en.wikipedia.org/wiki/RSA_(cryptosystem) Was bedeutet das? Das bedeutet, dass die Struktur und die Daten innerhalb Ihrer Dateien unwiderruflich geändert wurden, Sie können sie nicht mehr benutzen, sie lesen oder öffnen, das ist dasselbe, wie wenn sie verloren wären, aber mit unserer Hilfe können Sie sie wiederherstellen. Wie ist das passiert? Speziell für Sie wurde auf unserem geheimen Server ein RSA-2048 Schlüsselpaar generiert - ein öffentlicher und ein privater. All Ihre Dateien wurden mit Hilfe des öffentlichen Schlüssels chiffriert, der an Ihr Computer per Internet übergeben wurde. Das Dechiffrieren Ihrer Dateien ist nur mit Hilfe des privaten Schlüssels und eines speziellen Programms möglich, die sich auf unserem geheimen Server befinden. Was soll ich tun? Tut uns leid, aber wenn Sie innerhalb der angegebenen Zeit nichts unternehmen, werden sich die Bedingungen zum Erhalten des privaten Schlüssels und des speziellen Programms ändern. Wenn Ihnen Ihre Daten viel bedeuten, dann raten wir Ihnen, Ihre Zeit nicht mit der Suche nach anderen Lösungen zu verschwenden, denn solche gibt es einfach nicht. Um genauere Anweisungen zu erhalten, besuchen Sie bitte unsere persönliche Web-Seite, unten sich einige Adressen aufgeführt, die zu uns führen: 1.https://kpai7ycr7jxqkilp.enter2tor.com/9v5c 2.https://kpai7ycr7jxqkilp.tor2web.org/9v5c 3.https://kpai7ycr7jxqkilp.onion.to/9v5c Wenn die Adressen aus irgendeinem Grund nicht verfügbar sind, führen Sie folgende Schritte aus: 1.Laden Sie Tor-Browser herunter und installieren Sie ihn: hxxp://www.torproject.org/projects/torbrowser.html.en 2.Starten Sie den Browser und warten Sie auf die Initialisierung. 3.Geben Sie folgendes in der Adressleiste ein: kpai7ycr7jxqkilp.onion/9v5c 4.Folgen Sie den Anweisungen auf der Web-Seite. Nützliche Information: Ihre persönliche Web-Seite: https://kpai7ycr7jxqkilp.enter2tor.com/9v5c Ihre persönliche Web-Seite (mit TOR): kpai7ycr7jxqkilp.onion/9v5c Ihr persönlicher Code (wenn Sie die Web-Seite (oder die TOR Web-Seite) direkt öffnen): 9v5c |
|
02.07.2014, 23:52
| #4 |
| /// TB-Ausbilder /// Anleitungs-Guru | decrypt instruction--kann einige dateien nicht mehr öffnen Du verwendest noch Windows XP oder? Kannst Du auch ein Bild von der HTML Seite posten bitte?
__________________ Gruß deeprybka  Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
|
04.07.2014, 14:19
| #5 |
| | decrypt instruction--kann einige dateien nicht mehr öffnen HALLO sorry, konnte mich gestern nicht melden, beruflich... infos: ja auf dem betreffenden computer ist XP drauf-ich arbeite da sehr gerne mit.dennoch- habe schon einen neunen computer gekauft mit windows 7 drauf, ich muss aber die daten alle haben, die auf dem alten XP rechner sind. daher muss der nun erstmal sauber werden. ich weiss leider auch nicht, ob der befall stärker wird oder ob das einmal passiert ist und dann steht, ist da was bekannt ?? auffallend war: wenn ich den computer gestartet habe, hat er die letzten tage immer stark auf der festplatte rumgemacht. ein blick in den task manager zeigte dass ein programm "svchost.exe" viel prozessor brauchte. den prozess habe ich dann immer manuell gestoppt, das brachte keine erwähnenswerten nachteile. ich mache das immer so, wenn da was lange auf der festplatte rumrappelt schaue ich in den takt manager, wenn da nix ist, zeihe ich immer den LAN stecker raus. hatte bisher keinen schutz auf dem comupter.habe dann vor 2 tagen kaspersky ausgespielt. seitdem macht die SVCHOST das nicht mehr. anbei die bilder von der html seite. ich habe bisher darauf verzichtet, die entsprechende internetseite aufzurufen. bin nun wieder alle paar minuten bis stunden am rechner. gruss martin |
|
04.07.2014, 14:46
| #6 |
| /// TB-Ausbilder /// Anleitungs-Guru | decrypt instruction--kann einige dateien nicht mehr öffnen Hi, also wenn da wirklich Cryptowall drauf ist, dann wars das mit Deinen Daten und Dateien. Windows XP und auch ohne Antivirusprogramm...Mutig...  Ehrlich gesagt, die deutsche Oberfläche habe ich noch nicht gesehen. Daher schauen wir mal interessehalber noch mal rein: Schritt 1 Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
Schritt 2 Downloade Dir HitmanPro  auf Deinen Desktop:HitmanPro-32 Bit Version HitmanPro-64 Bit Version
__________________ --> decrypt instruction--kann einige dateien nicht mehr öffnen |
|
04.07.2014, 18:17
| #7 |
| | decrypt instruction--kann einige dateien nicht mehr öffnen hallo nahc 4 maligem versuch: es ist nicht zu instaöllieren. immer wenn das fenster aufgeht" bitte warten bis die komponenten ...usw" bleibt der PS stecken. beim klick auf deinen link wird man weitergeleitet auf und lädt dann "WZMP_8.exe herunter" usw. aber wie gesagt, es funzt nicht. watt nü ? soll ich schritt 2 dann schon machen ? gruss martin |
|
04.07.2014, 18:25
| #8 |
| /// TB-Ausbilder /// Anleitungs-Guru | decrypt instruction--kann einige dateien nicht mehr öffnen ja mach mal
__________________ Gruß deeprybka Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
|
04.07.2014, 18:32
| #9 |
| /// TB-Ausbilder /// Anleitungs-Guru | decrypt instruction--kann einige dateien nicht mehr öffnen
__________________ Gruß deeprybka Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
|
04.07.2014, 20:03
| #10 |
| | decrypt instruction--kann einige dateien nicht mehr öffnen hi das hat denn funktioniert. hier der ausgegebene text: FRST Logfile: FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:03-07-2014
Ran by hugo (administrator) on HUGO-A69BF6D959 on 04-07-2014 20:28:30
Running from C:\i_netDownload
Platform: Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: Deutsch
(Deutschland)
Internet Explorer Version 7
Boot Mode: Normal
The only official download link for FRST:
Download link for 32-Bit version:
Downloading Farbar Recovery Scan Tool
Download link for 64-Bit Version:
Downloading Farbar Recovery Scan Tool
Download link from any site other than Bleeping Computer is unpermitted or outdated.
See tutorial for FRST:
FRST Tutorial - How to use Farbar Recovery Scan Tool - Malware Removal Guides and Tutorials
==================== Processes (Whitelisted) =================
(Deutsche Telekom AG, Marmiko IT-Solutions GmbH) C:\Programme\Gemeinsame
Dateien\Marmiko Shared\MZCCntrl.exe
(NVIDIA Corporation) C:\WINDOWS\system32\nvsvc32.exe
(Realtek Semiconductor Corp.) C:\WINDOWS\RTHDCPL.exe
() C:\WINDOWS\twain_32\FlatBed\HotKey.Exe
(Brother Industries, Ltd.) C:\Programme\Browny02\Brother\BrStMonW.exe
(Brother Industries, Ltd.) C:\Programme\Browny02\BrYNSvc.exe
(Mozilla Corporation) C:\Programme\Mozilla Firefox\firefox.exe
==================== Registry (Whitelisted) ==================
HKLM\...\Run: [NvCplDaemon] => C:\WINDOWS\system32\NvCpl.dll [8429568 2007-04-20] (NVIDIA
Corporation)
HKLM\...\Run: [nwiz] => nwiz.exe /install
HKLM\...\Run: [NvMediaCenter] => C:\WINDOWS\system32\NvMcTray.dll [81920 2007-04-20]
(NVIDIA Corporation)
HKLM\...\Run: [RTHDCPL] => C:\WINDOWS\RTHDCPL.EXE [16380416 2007-07-05] (Realtek
Semiconductor Corp.)
HKLM\...\Run: [SkyTel] => C:\WINDOWS\SkyTel.EXE [1826816 2007-06-15] (Realtek
Semiconductor Corp.)
HKLM\...\Run: [Alcmtr] => C:\WINDOWS\ALCMTR.EXE [69632 2005-05-03] (Realtek
Semiconductor Corp.)
HKLM\...\Run: [HotKey] => C:\WINDOWS\Twain_32\FlatBed\HotKey.exe [462848 2002-08-13] ()
HKLM\...\Run: [BrStsMon00] => C:\Programme\Browny02\Brother\BrStMonW.exe [2621440
2010-06-10] (Brother Industries, Ltd.)
HKLM\...\RunOnce: [VcCleanUp.exe] - C:\DOKUME~1\hugo\LOKALE~1\Temp\VcCleanUp.exe /F
C:\PROGRA~1\GEMEIN~1\SYMANT~1\LiveReg\ /RemoveAll [61440 2002-07-03] (Symantec
Corporation)
Winlogon\Notify\klogon: C:\WINDOWS\system32\klogon.dll (Kaspersky Lab ZAO)
HKU\S-1-5-21-1085031214-1409082233-839522115-1003\...\MountPoints2:
{5912937a-ca63-11de-9fe7-002197979d26} - F:\.\Kassettenrecorder.exe
Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft
Office.lnk
ShortcutTarget: Microsoft Office.lnk -> C:\Programme\Microsoft Office\Office\OSA9.EXE (No File)
==================== Internet (Whitelisted) ====================
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
MSN Deutschland: Aktuelle Nachrichten, Outlook.com Email und Skype Login.
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
Sign In
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
%SystemRoot%\system32\blank.htm
BHO: Content Blocker Plugin - {5564CC73-EFA7-4CBF-918A-5CF7FBBFFF4F} -
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus
14.0.0\IEExt\ContentBlocker\ie_content_blocker_plugin.dll (Kaspersky Lab ZAO)
BHO: Virtual Keyboard Plugin - {73455575-E40C-433C-9784-C78DC7761455} -
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus
14.0.0\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll (Kaspersky Lab ZAO)
BHO: Safe Money Plugin - {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus
14.0.0\IEExt\OnlineBanking\online_banking_bho.dll (Kaspersky Lab ZAO)
BHO: VMLoadHBO Class - {C17C7688-31D1-46D7-8C9B-5D253E4F5D5E} - C:\Dokumente und
Einstellungen\hugo\Anwendungsdaten\VMLoad\addin\VMLoad.dll (TODO: <Company name>)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} -
C:\Programme\Java\jre6\bin\jp2ssv.dll No File
BHO: URL Advisor Plugin - {E33CF602-D945-461A-83F0-819F76A199F8} -
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\IEExt\UrlAdvisor\klwtbbho.dll
(Kaspersky Lab ZAO)
Toolbar: HKCU - &Adresse - {01E04581-4EEE-11D0-BFE9-00AA005B4383} -
C:\WINDOWS\system32\browseui.dll (Microsoft Corporation)
Toolbar: HKCU - &Links - {0E5CBF21-D15F-11D0-8301-00AA005B4383} -
C:\WINDOWS\system32\SHELL32.dll (Microsoft Corporation)
Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} -
C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame
Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} -
C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame
Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} -
C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} -
C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} -
C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
FireFox:
========
FF ProfilePath: C:\Dokumente und
Einstellungen\hugo\Anwendungsdaten\Mozilla\Firefox\Profiles\aoart2mo.default
FF SearchEngineOrder.1: Ask Search
FF Homepage:
hxxp://www.search.ask.com/?tpid=CME-V7&o=APN11289&pf=&trgb=FF&p2=%5EB7J%5EYYYYY
Y%5EYY%5EDE&gct=hp&apn_ptnrs=%5EB7J&apn_dtid=%5EYYYYYY%5EYY%5EDE&apn_dbr=
ff_25.0&apn_uid=87059302-31A2-48A0-BCE3-75E985D9DC28&itbv=12.7.0.2278&doi=2013-12-10&p
sv=barid%253D207469652210804731133565690657847614758%2526cargo%253DCME%252DV7%
2526spr%253Da%2526did%253D10716%2526ppd%253D
FF user.js: detected! => C:\Dokumente und
Einstellungen\hugo\Anwendungsdaten\Mozilla\Firefox\Profiles\aoart2mo.default\user.js
FF Plugin ProgramFiles/Appdata: C:\Programme\mozilla firefox\plugins\npdeploytk.dll (Sun
Microsystems, Inc.)
FF SearchPlugin: C:\Dokumente und
Einstellungen\hugo\Anwendungsdaten\Mozilla\Firefox\Profiles\aoart2mo.default\searchplugins\ask-s
earch.xml
FF SearchPlugin: C:\Programme\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Programme\mozilla firefox\browser\searchplugins\yahoo-de.xml
FF Extension: Plus-HD-2.2 - C:\Dokumente und
Einstellungen\hugo\Anwendungsdaten\Mozilla\Firefox\Profiles\aoart2mo.default\Extensions\4fdacf00
-e9c4-4ad5-b4cf-bf9800f184f6@3685711...2a102a9(2).com [2013-12-14]
FF Extension: Google Analytics Opt-out Browser Add-on - C:\Dokumente und
Einstellungen\hugo\Anwendungsdaten\Mozilla\Firefox\Profiles\aoart2mo.default\Extensions\{6d96bb
5e-1175-4ebf-8ab5-5f56f1c79f65}.xpi [2012-12-10]
FF Extension: Adblock Plus - C:\Dokumente und
Einstellungen\hugo\Anwendungsdaten\Mozilla\Firefox\Profiles\aoart2mo.default\Extensions\{d10d0bf
8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2013-12-12]
FF Extension: VMLoad - C:\Programme\Mozilla
Firefox\extensions\{464F169E-ACE1-4C5F-A778-A433A3DABBAE} [2013-11-16]
FF HKLM\...\Firefox\Extensions: - C:\Programme\Kaspersky
Lab\Kaspersky Anti-Virus 14.0.0\FFExt\url_advisor@kaspersky.com
FF Extension: 卡巴斯基網址顧問 - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus
14.0.0\FFExt\url_advisor@kaspersky.com [2014-07-02]
FF HKLM\...\Firefox\Extensions: [virtual_keyboard@kaspersky.com] - C:\Programme\Kaspersky
Lab\Kaspersky Anti-Virus 14.0.0\FFExt\virtual_keyboard@kaspersky.com
FF Extension: 虛擬鍵盤 - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus
14.0.0\FFExt\virtual_keyboard@kaspersky.com [2014-07-02]
FF HKLM\...\Firefox\Extensions: [content_blocker@kaspersky.com] - C:\Programme\Kaspersky
Lab\Kaspersky Anti-Virus 14.0.0\FFExt\content_blocker@kaspersky.com
FF Extension: 惡意網站攔截器 - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus
14.0.0\FFExt\content_blocker@kaspersky.com [2014-07-02]
========================== Services (Whitelisted) =================
S3 aspnet_state; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [32768
2004-07-15] (Microsoft Corporation) [File not signed]
S3 AVP; C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\avp.exe [214512 2013-10-17]
(Kaspersky Lab ZAO)
R3 BrYNSvc; C:\Programme\Browny02\BrYNSvc.exe [245760 2010-01-25] (Brother Industries, Ltd.)
[File not signed]
S3 MozillaMaintenance; C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
[119408 2013-11-16] (Mozilla Foundation)
R2 MZCCntrl; C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [61440
2007-01-09] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) [File not signed]
R2 Net Driver HPZ12; C:\WINDOWS\system32\HPZinw12.dll [44032 2010-08-06] (Hewlett-Packard)
[File not signed]
R2 Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.dll [53760 2010-08-06] (Hewlett-Packard)
[File not signed]
S3 WMPNetworkSvc; C:\Programme\Windows Media Player\WMPNetwk.exe [920576 2006-11-03]
(Microsoft Corporation)
==================== Drivers (Whitelisted) ====================
R2 Aspi32; C:\WINDOWS\system32\Drivers\Aspi32.sys [17005 2002-08-14] (Adaptec) [File not
signed]
S3 dot4ufd; C:\WINDOWS\System32\DRIVERS\hppaufd0.sys [16800 2009-02-25] (HP)
R0 kl1; C:\WINDOWS\System32\DRIVERS\kl1.sys [135776 2014-07-02] (Kaspersky Lab ZAO)
R1 KLIF; C:\WINDOWS\System32\DRIVERS\klif.sys [576096 2014-07-02] (Kaspersky Lab ZAO)
R3 klim5; C:\WINDOWS\System32\DRIVERS\klim5.sys [36448 2013-04-19] (Kaspersky Lab ZAO)
R3 klkbdflt; C:\WINDOWS\System32\DRIVERS\klkbdflt.sys [24672 2014-07-02] (Kaspersky Lab
ZAO)
R3 klmouflt; C:\WINDOWS\System32\DRIVERS\klmouflt.sys [24672 2013-10-17] (Kaspersky Lab
ZAO)
R1 klpd; C:\WINDOWS\System32\DRIVERS\klpd.sys [14432 2013-04-12] (Kaspersky Lab ZAO)
R1 kltdi; C:\WINDOWS\System32\DRIVERS\kltdi.sys [45024 2013-05-14] (Kaspersky Lab ZAO)
R1 kneps; C:\WINDOWS\System32\DRIVERS\kneps.sys [144992 2014-07-02] (Kaspersky Lab
ZAO)
S3 MACNDIS5; C:\Programme\Gemeinsame Dateien\Marmiko Shared\MAcNdis5.sys [17280
2006-10-04] (Marmiko IT-Solutions GmbH) [File not signed]
R3 mf; C:\WINDOWS\System32\DRIVERS\mf.sys [63744 2008-04-13] (Microsoft Corporation)
S3 nm; C:\WINDOWS\System32\DRIVERS\NMnt.sys [40320 2008-04-13] (Microsoft Corporation)
R3 NmPar; C:\WINDOWS\System32\DRIVERS\NmPar.sys [76416 2006-10-11] (Windows (R) 2000
DDK provider) [File not signed]
R3 NVENETFD; C:\WINDOWS\System32\DRIVERS\NVENETFD.sys [58752 2007-03-06] (NVIDIA
Corporation)
R3 nvnetbus; C:\WINDOWS\System32\DRIVERS\nvnetbus.sys [19968 2007-03-06] (NVIDIA
Corporation)
S3 RL_DJIFIE2_MIDI; C:\WINDOWS\System32\drivers\rldjif2m.sys [25088 2009-04-16] (Ploytec
GmbH) [File not signed]
S3 RL_DJIFIE2_USB; C:\WINDOWS\System32\Drivers\rldjif2u.sys [371200 2009-04-16] (Ploytec
GmbH) [File not signed]
S3 RL_DJIFIE2_WDM; C:\WINDOWS\System32\drivers\rldjif2a.sys [33792 2009-04-16] (Ploytec
GmbH) [File not signed]
S4 IntelIde; No ImagePath
U5 klflt; C:\Windows\System32\Drivers\klflt.sys [93792 2014-07-02] (Kaspersky Lab ZAO)
U5 ScsiPort; C:\WINDOWS\system32\drivers\scsiport.sys [96384 2008-04-13] (Microsoft
Corporation)
U1 WS2IFSL;
==================== NetSvcs (Whitelisted) ===================
==================== One Month Created Files and Folders ========
2014-07-04 20:05 - 2014-07-04 20:05 - 00000688 _____ () C:\WINDOWS\KB888111Uninst.log
2014-07-04 17:57 - 2014-07-04 17:57 - 00000427 _____ () C:\Dokumente und
Einstellungen\hugo\Desktop\i_netDownload.lnk
2014-07-02 11:10 - 2014-07-02 11:10 - 00103670 _____ () C:\Dokumente und
Einstellungen\LocalService\Lokale
Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-1085031214-1409082233-839522
115-1003-0.dat
2014-07-02 02:39 - 2014-07-04 16:35 - 00103670 _____ () C:\Dokumente und
Einstellungen\LocalService\Lokale
Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
2014-07-02 02:32 - 2014-07-02 02:32 - 00262144 _____ () C:\WINDOWS\system32\config\elam
2014-07-02 02:32 - 2014-07-02 02:32 - 00001024 ____H ()
C:\WINDOWS\system32\config\elam.LOG
2014-07-02 00:35 - 2014-07-02 00:35 - 00000825 _____ () C:\Dokumente und Einstellungen\All
Users\Desktop\Kaspersky Anti-Virus.lnk
2014-07-02 00:35 - 2014-07-02 00:35 - 00000000 ____D () C:\Dokumente und Einstellungen\All
Users\Startmenü\Programme\Kaspersky Anti-Virus
2014-07-02 00:30 - 2014-07-04 15:59 - 00000000 ____D () C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\Kaspersky Lab
2014-07-02 00:30 - 2014-07-02 00:30 - 00000000 ____D () C:\Programme\Kaspersky Lab
2014-07-02 00:29 - 2014-07-02 01:24 - 00576096 _____ (Kaspersky Lab ZAO)
C:\WINDOWS\system32\Drivers\klif.sys
2014-07-02 00:29 - 2014-07-02 01:24 - 00093792 _____ (Kaspersky Lab ZAO)
C:\WINDOWS\system32\Drivers\klflt.sys
2014-07-02 00:19 - 2014-07-02 00:19 - 00000000 ____D () C:\Programme\Microsoft.NET
2014-07-01 23:43 - 2014-07-01 23:43 - 00000000 ____D () C:\Dokumente und
Einstellungen\hugo\Eigene Dateien\Neuer Ordner
2014-07-01 22:59 - 2014-07-01 22:59 - 00000000 ____D () C:\Dokumente und
Einstellungen\hugo\Desktop\jonischeid TDA usw
2014-06-26 15:04 - 2014-06-26 15:04 - 00008614 _____ () C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-06-26 15:04 - 2014-06-26 15:04 - 00004734 _____ () C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-06-26 15:04 - 2014-06-26 15:04 - 00000272 _____ () C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-06-26 14:59 - 2014-07-02 02:40 - 00000000 ___HD () C:\4d0c633
2014-06-18 00:18 - 2014-06-18 00:18 - 00000435 _____ () C:\Dokumente und
Einstellungen\hugo\Desktop\WGT 6-2014.lnk
2014-06-12 13:56 - 2014-06-12 13:56 - 00000000 ____D () C:\Dokumente und
Einstellungen\hugo\Desktop\bilder k200
==================== One Month Modified Files and Folders =======
2014-07-04 20:29 - 2013-12-14 16:33 - 00000000 ____D () C:\Dokumente und
Einstellungen\hugo\Lokale Einstellungen\temp
2014-07-04 20:28 - 2013-12-15 20:06 - 00000000 ____D () C:\i_netDownload
2014-07-04 20:28 - 2013-12-14 02:51 - 00000000 ____D () C:\FRST
2014-07-04 20:23 - 2009-01-06 18:21 - 00000000 ___RD () C:\Programme
2014-07-04 20:23 - 2009-01-06 18:20 - 00000000 ___RD () C:\Dokumente und Einstellungen\All
Users\Startmenü\Programme
2014-07-04 20:22 - 2013-01-06 23:55 - 00000000 ____D () C:\Programme\Mp3tag
2014-07-04 20:12 - 2013-01-05 04:13 - 00000000 __HDC () C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\~2
2014-07-04 20:12 - 2013-01-03 02:12 - 00000000 ____D () C:\Programme\Gemeinsame
Dateien\Native Instruments
2014-07-04 20:06 - 2013-01-19 01:18 - 00000000 __HDC () C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\~0
2014-07-04 20:06 - 2013-01-05 03:47 - 00000000 __HDC () C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\~1
2014-07-04 20:05 - 2014-07-04 20:05 - 00000688 _____ () C:\WINDOWS\KB888111Uninst.log
2014-07-04 20:05 - 2013-01-28 01:59 - 00000000 ____D () C:\Programme\Amazon
2014-07-04 20:05 - 2013-01-28 01:59 - 00000000 ____D () C:\Dokumente und
Einstellungen\hugo\Anwendungsdaten\Amazon
2014-07-04 20:05 - 2012-01-21 04:06 - 00075472 ____C () C:\WINDOWS\iis6.log
2014-07-04 20:05 - 2012-01-21 04:06 - 00045903 ____C () C:\WINDOWS\FaxSetup.log
2014-07-04 20:05 - 2012-01-21 04:06 - 00036586 ____C () C:\WINDOWS\ocgen.log
2014-07-04 20:05 - 2012-01-21 04:06 - 00025651 ____C () C:\WINDOWS\tsoc.log
2014-07-04 20:05 - 2012-01-21 04:06 - 00016133 ____C () C:\WINDOWS\comsetup.log
2014-07-04 20:05 - 2012-01-21 04:06 - 00011152 ____C () C:\WINDOWS\ntdtcsetup.log
2014-07-04 20:04 - 2012-12-15 15:54 - 00000000 ____D () C:\Programme\Gemeinsame
Dateien\Symantec Shared
2014-07-04 20:03 - 2009-01-06 18:34 - 01991976 _____ () C:\WINDOWS\WindowsUpdate.log
2014-07-04 20:02 - 2009-01-06 18:21 - 01090300 _____ ()
C:\WINDOWS\system32\PerfStringBackup.INI
2014-07-04 19:58 - 2009-03-30 21:10 - 00000159 _____ () C:\WINDOWS\wiadebug.log
2014-07-04 19:58 - 2009-03-30 21:10 - 00000050 _____ () C:\WINDOWS\wiaservc.log
2014-07-04 19:58 - 2009-01-06 18:42 - 00000006 ____H () C:\WINDOWS\Tasks\SA.DAT
2014-07-04 19:58 - 2004-08-04 14:00 - 00002422 _____ () C:\WINDOWS\system32\wpa.dbl
2014-07-04 19:57 - 2009-01-06 18:42 - 00032618 _____ () C:\WINDOWS\SchedLgU.Txt
2014-07-04 19:48 - 2009-01-06 18:20 - 00000000 ___RD () C:\Dokumente und Einstellungen\All
Users\Dokumente
2014-07-04 19:18 - 2009-01-06 19:34 - 00000000 ____D () C:\Programme\Mozilla Thunderbird
2014-07-04 17:57 - 2014-07-04 17:57 - 00000427 _____ () C:\Dokumente und
Einstellungen\hugo\Desktop\i_netDownload.lnk
2014-07-04 16:35 - 2014-07-02 02:39 - 00103670 _____ () C:\Dokumente und
Einstellungen\LocalService\Lokale
Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
2014-07-04 16:31 - 2009-01-06 19:11 - 00000000 ____D () C:\WINDOWS\pchealth
2014-07-04 15:59 - 2014-07-02 00:30 - 00000000 ____D () C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\Kaspersky Lab
2014-07-02 11:10 - 2014-07-02 11:10 - 00103670 _____ () C:\Dokumente und
Einstellungen\LocalService\Lokale
Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-1085031214-1409082233-839522
115-1003-0.dat
2014-07-02 02:40 - 2014-06-26 14:59 - 00000000 ___HD () C:\4d0c633
2014-07-02 02:33 - 2009-01-06 18:44 - 00000000 ___RD () C:\Dokumente und
Einstellungen\hugo\Startmenü\Programme\Autostart
2014-07-02 02:32 - 2014-07-02 02:32 - 00262144 _____ () C:\WINDOWS\system32\config\elam
2014-07-02 02:32 - 2014-07-02 02:32 - 00001024 ____H ()
C:\WINDOWS\system32\config\elam.LOG
2014-07-02 01:24 - 2014-07-02 00:29 - 00576096 _____ (Kaspersky Lab ZAO)
C:\WINDOWS\system32\Drivers\klif.sys
2014-07-02 01:24 - 2014-07-02 00:29 - 00093792 _____ (Kaspersky Lab ZAO)
C:\WINDOWS\system32\Drivers\klflt.sys
2014-07-02 01:24 - 2013-10-17 15:47 - 00135776 _____ (Kaspersky Lab ZAO)
C:\WINDOWS\system32\Drivers\kl1.sys
2014-07-02 01:24 - 2013-10-17 15:47 - 00024672 _____ (Kaspersky Lab ZAO)
C:\WINDOWS\system32\Drivers\klkbdflt.sys
2014-07-02 01:24 - 2013-06-06 17:38 - 00144992 _____ (Kaspersky Lab ZAO)
C:\WINDOWS\system32\Drivers\kneps.sys
2014-07-02 01:10 - 2009-01-06 19:14 - 00000000 ____D () C:\WINDOWS\Microsoft.NET
2014-07-02 00:35 - 2014-07-02 00:35 - 00000825 _____ () C:\Dokumente und Einstellungen\All
Users\Desktop\Kaspersky Anti-Virus.lnk
2014-07-02 00:35 - 2014-07-02 00:35 - 00000000 ____D () C:\Dokumente und Einstellungen\All
Users\Startmenü\Programme\Kaspersky Anti-Virus
2014-07-02 00:34 - 2009-03-27 01:44 - 00196830 _____ () C:\WINDOWS\setupapi.log
2014-07-02 00:30 - 2014-07-02 00:30 - 00000000 ____D () C:\Programme\Kaspersky Lab
2014-07-02 00:19 - 2014-07-02 00:19 - 00000000 ____D () C:\Programme\Microsoft.NET
2014-07-01 23:43 - 2014-07-01 23:43 - 00000000 ____D () C:\Dokumente und
Einstellungen\hugo\Eigene Dateien\Neuer Ordner
2014-07-01 23:43 - 2009-08-14 12:46 - 00000000 ____D () C:\Dokumente und
Einstellungen\hugo\Eigene Dateien\b
2014-07-01 22:59 - 2014-07-01 22:59 - 00000000 ____D () C:\Dokumente und
Einstellungen\hugo\Desktop\jonischeid TDA usw
2014-07-01 22:50 - 2009-07-10 12:39 - 00000653 _____ () C:\WINDOWS\umaxuapi.ini
2014-07-01 22:50 - 2009-07-10 12:39 - 00000016 _____ () C:\WINDOWS\Temp.ini
2014-07-01 22:50 - 2009-07-10 12:38 - 00000026 _____ () C:\WINDOWS\Debug.ini
2014-06-27 21:28 - 2010-01-09 02:47 - 00050101 ____C () C:\WINDOWS\wmsetup.log
2014-06-26 15:04 - 2014-06-26 15:04 - 00008614 _____ () C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-06-26 15:04 - 2014-06-26 15:04 - 00004734 _____ () C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-06-26 15:04 - 2014-06-26 15:04 - 00000272 _____ () C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-06-26 15:04 - 2013-11-16 02:22 - 00000000 ____D () C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\TuneUp Software
2014-06-26 15:03 - 2013-01-03 02:12 - 00000000 ____D () C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\Native Instruments
2014-06-26 15:03 - 2012-12-15 15:53 - 00000000 ____D () C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\Symantec
2014-06-26 15:03 - 2009-01-06 19:12 - 00000000 ____D () C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\T-Online
2014-06-26 15:00 - 2013-12-14 16:33 - 00040216 _____ () C:\ComboFix.txt
2014-06-26 15:00 - 2013-12-14 16:00 - 00000280 _____ () C:\Boot.bak
2014-06-26 15:00 - 2013-04-24 00:30 - 00000000 ____D () C:\BUFFALO
2014-06-23 12:59 - 2009-01-29 15:52 - 00000754 _____ () C:\WINDOWS\WORDPAD.INI
2014-06-18 00:18 - 2014-06-18 00:18 - 00000435 _____ () C:\Dokumente und
Einstellungen\hugo\Desktop\WGT 6-2014.lnk
2014-06-12 20:28 - 2010-01-10 17:27 - 00002477 _____ () C:\Dokumente und
Einstellungen\hugo\Desktop\Microsoft Word.lnk
2014-06-12 13:56 - 2014-06-12 13:56 - 00000000 ____D () C:\Dokumente und
Einstellungen\hugo\Desktop\bilder k200
Some content of TEMP:
====================
C:\Dokumente und Einstellungen\hugo\Lokale Einstellungen\temp\VcCleanUp.exe
==================== Bamital & volsnap Check =================
C:\WINDOWS\explorer.exe => File is digitally signed
C:\WINDOWS\system32\winlogon.exe => File is digitally signed
C:\WINDOWS\system32\svchost.exe => File is digitally signed
C:\WINDOWS\system32\services.exe => File is digitally signed
C:\WINDOWS\system32\User32.dll => File is digitally signed
C:\WINDOWS\system32\userinit.exe => File is digitally signed
C:\WINDOWS\system32\rpcss.dll => File is digitally signed
C:\WINDOWS\system32\Drivers\volsnap.sys => File is digitally signed
==================== End Of Log ============================
--- --- --- hi hier die andre log datei.hat auch geklappt. soll ich die gefundenen sachen löschen lassen ? gruss martin |
|
04.07.2014, 20:04
| #11 |
| /// TB-Ausbilder /// Anleitungs-Guru | decrypt instruction--kann einige dateien nicht mehr öffnen Was steht denn in der Anleitung? 
__________________ Gruß deeprybka Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
|
04.07.2014, 20:04
| #12 |
| | decrypt instruction--kann einige dateien nicht mehr öffnenCode:
ATTFilter HitmanPro 3.7.9.220
www.hitmanpro.com
Computer name . . . . : HUGO-A69BF6D959
Windows . . . . . . . : 5.1.3.2600.X86/1
User name . . . . . . : HUGO-A69BF6D959\hugo
License . . . . . . . : Free
Scan date . . . . . . : 2014-07-04 20:48:06
Scan mode . . . . . . : Normal
Scan duration . . . . : 6m 32s
Disk access mode . . : Direct disk access (SRB)
Cloud . . . . . . . . : Internet
Reboot . . . . . . . : No
Threats . . . . . . . : 1
Traces . . . . . . . : 11
Objects scanned . . . : 482.096
Files scanned . . . . : 63.699
Remnants scanned . . : 94.195 files / 324.202 keys
Malware remnants ____________________________________________________________
HKLM\SOFTWARE\Classes\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\ (Adware.MyWebSearch)
Potential Unwanted Programs _________________________________________________
browser.startup.homepage
C:\Dokumente und Einstellungen\hugo\Anwendungsdaten\Mozilla\Firefox\Profiles\aoart2mo.default\prefs.js
C:\Dokumente und Einstellungen\hugo\Anwendungsdaten\OpenCandy\ (Conduit)
C:\Dokumente und Einstellungen\hugo\Anwendungsdaten\OpenCandy\08FE39D468CC4FB8A7A3AD6B26B95A23\ (Conduit)
C:\Dokumente und Einstellungen\hugo\Anwendungsdaten\OpenCandy\08FE39D468CC4FB8A7A3AD6B26B95A23\Trial-14.0.1000.89_de-DE_1004732_DE-1.exe (Conduit)
C:\Dokumente und Einstellungen\hugo\Lokale Einstellungen\Anwendungsdaten\Mobogenie\ (Rocketfuel)
C:\Dokumente und Einstellungen\hugo\Lokale Einstellungen\Anwendungsdaten\Mobogenie\client.time (Rocketfuel)
C:\Dokumente und Einstellungen\hugo\Lokale Einstellungen\Anwendungsdaten\Mobogenie\Data\ (Rocketfuel)
C:\Dokumente und Einstellungen\hugo\Lokale Einstellungen\Anwendungsdaten\Mobogenie\Data\mobogenie_u_user_dl.mg (Rocketfuel)
C:\Dokumente und Einstellungen\hugo\Lokale Einstellungen\Anwendungsdaten\Mobogenie\mobo.uuid (Rocketfuel)
C:\Dokumente und Einstellungen\hugo\Lokale Einstellungen\Anwendungsdaten\Mobogenie\Source.mu (Rocketfuel)
|
|
04.07.2014, 20:05
| #13 |
| /// TB-Ausbilder /// Anleitungs-Guru | decrypt instruction--kann einige dateien nicht mehr öffnen Wiederhole bitte nochmal den FRST-Scan. Das sieht komisch aus. Außerdem fehlt die Addition.txt Schritt 1   Bitte starte FRST erneut, markiere auch die checkbox  und drücke auf Scan. Bitte poste mir den Inhalt der beiden Logs die erstellt werden.
__________________ Gruß deeprybka Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
|
04.07.2014, 20:05
| #14 |
| | decrypt instruction--kann einige dateien nicht mehr öffnen was meinst du mit anleitung ? meinst du damit die scan-ergebnisse ? gruss martin |
|
04.07.2014, 20:06
| #15 |
| /// TB-Ausbilder /// Anleitungs-Guru | decrypt instruction--kann einige dateien nicht mehr öffnen Liest Du nicht was ich schreibe? Steht bei Schritt 2 was von löschen?
__________________ Gruß deeprybka Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
|
| Themen zu decrypt instruction--kann einige dateien nicht mehr öffnen |
| bilder, brauche, datei, dateien, daten, decrypt, decrypt_instruction, endung, entschlüsseln, instruction, loszuwerden, nicht mehr, nicht mehr öffnen, ordner, ordnern, rechner, schlüssel, schlüsseln, troja, trojaner/virus, wichtige, wichtige daten, öffnen |
und 
und speichere die Logdatei auf Deinem Desktop.
Linear-Darstellung
