Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   wieder Dateien verschlüsselt Windows XP (https://www.trojaner-board.de/114088-dateien-verschluesselt-windows-xp.html)

baumschubser 25.04.2012 18:58
wieder Dateien verschlüsselt Windows XP
 
Hi,

zuallererst einmal bin ich neu und brauche dringend Hilfe. Nehmt also bitte Rücksicht falls ich unwissend eine Regel verletzen sollte.

Zum Problem:

Ich hab hier einen Kundenrechner stehen (Win XP Pro SP3 32Bit), der Kunde kann nicht mehr auf Dateien zugreifen. F-Secure ist installiert, hat aber bei einem eventuellen Download (Email-Anhang?) keine Warnmeldung gegeben. Der Kunde hat laut seiner Aussage auch nichts verdächtiges geöffnet^^

Los gings heute Morgen damit daß trotz korrekter TCP/IP-Einstellungen kein Internetzugriff mehr möglich war. Nach Festlegung von IP, DNS usw. war Zugriff wieder da. Seit heute Mittag sind viele Dateien "verschlüsselt", soll heißen daß z.B. Word-Dateien alle das Präfix "locked-" vor dem eigentlichen Dateinamen haben und nach der normalen Dateiendung noch eine zusätzliche, anscheinend zufällig generierte Endung aus vier Buchstaben. Umbenennen ist möglich, bringt aber kein Ergebnis.

Zusätzlich sind aus Fritzfax alle Faxe verschwunden, T-Online 6 Email läßt sich mit Verweis auf eine beschädigte Datenbank auch nicht mehr starten.

Bisher durchgeführte Schritte:

Scan der Platte an zweitem, sauberen Rechner mit aktuellem Anti-Malware und aktuellem G-Data --> kein Ergebnis

Scan der Platte im Kundenrechner mit heruntergeladener Testversion von Anti-Malware --> kein Ergebnis

Erwähnenswert ist vllt. noch, daß sich die Spracheinstellungen und auch das Aussehen der F-Secure Maske verändert haben.

Rechner läßt sich im normalen Modus starten, im abgesicherten jedoch nicht (Reboot).

Der Kunde braucht morgen Früh dringend einen Anhang aus einer Email. Gibt es eine Chance, da dran zu kommen?

Ich bin für jede Hilfe dankbar.

Sebastian

markusg 25.04.2012 19:12
warscheinlich nicht, guck mal ob du die dateien des kunden öffnen kannst, bilder, dokumente etc.

baumschubser 25.04.2012 19:18
Hi, danke für die schnelle Antwort.

mp3s z.B. lassen sich im Media Player auch ohne Umbenennen öffnen. Bilder werden mir ebenfalls angezeigt. Wenn ich aber versuche ein Word-Dokument zu öffnen, werde ich nach der gewünschten Zeichencodierung gefragt. Egal welche ich auswähle, ich bekomme nur 3 oder 4 kryptische Zeichen zu sehen. Dabei ist es egal, ob ich die Datei umbenenne oder nicht und auch ob ich sie auf einem anderen Rechner öffne.

Speichert T-Online die empfangenen Mails als .bin? Da hab ich einen Ordner vorliegen. Wenn ja, gibt es irgendeine Möglichkeit die in ein anderes Programm einzulesen?

Danke

markusg 25.04.2012 19:25
kann ich dir leider nicht sagen.
währe aber kein mir bekanntes mail format.
wegen der entschlüsselungsmöglichkeiten, wenn es denn welche gibt, habe ich mich erkundigt, antwort steht noch aus.

baumschubser 25.04.2012 19:27
das hab ich in den anderen themen schon gesehen, anscheinend ein nettes kleines biest^^ mir kommt nur komisch vor, daß ich und laut seiner aussage auch der kunde keinerlei anzeige von wegen "sie haben sich infiziert" bekommen haben. oder sind da schon wieder mehrere derivate unterwegs...

markusg 26.04.2012 11:39
ich kenne bisher nur 3 variannten, wobei die dritte erst heute aufgetreten ist, eig müsste es ne fake meldung geben
wenn du solche mails in die hand bekommst, wäre es nett, diese zu speichern und an
http://markusg.trojaner-board.de
zu senden, nicht nur weiterleiten, sondern richtig speichern und anhängen, damit man den kompletten mail header sehen kann.
kann evtl. bei anzeigen helfen.
updates zum entschlüsseln gibts noch nicht, wird aber gearbeitet.

baumschubser 26.04.2012 12:52
ich kann dir leider weder die ursprüngliche mail noch den virennamen liefern, den hat der kunde schon "vorschnell" entfernt... was ich hab ist die t-online binary mit der infizierten signatur, zumindest laut meinem g-data. die kann ich dir gern schicken wenn du da was mit tun kannst.

so wie es scheint hab ich gerade die "originale" virale zip gefunden, kannst du da was mit tun?

markusg 26.04.2012 16:37
jepp
Trojaner-Board Upload Channel
hier mal hochladen bitte

baumschubser 26.04.2012 17:46
soeben passiert

markusg 27.04.2012 12:29
ok.
bitte tool aus post 61 testen
http://www.trojaner-board.de/114115-...oftware-7.html

baumschubser 27.04.2012 15:31
funktioniert bestens, super arbeit.

vielen dank für deine / eure unterstützung :)

markusg 27.04.2012 18:20
ok, wir müssen uns den pc noch ansehen:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

baumschubser 30.04.2012 13:08
sorry am WE hab ich pause gemacht ;) ich hab gerade die infizierte sicherung wiederhergestellt und mit anti-malware bereinigt, in der version von letzter woche hatte ich schon zu viel rumgespielt... combofix wird nun angeworfen, ich poste das log sobald er durch ist

suchlauf ist durch, hier das logfile:

Combofix Logfile:
Code:
ComboFix 12-04-31.02 - Admin 30.04.2012  14:25:10.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3575.3022 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\ComboFix.exe
AV: Computer Security *Enabled/Updated* {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: Computer Security *Enabled* {D4747503-0346-49EB-9262-997542F79BF4}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Admin\Eigene Dateien\~WRL3617.tmp
c:\dokumente und einstellungen\Admin\Favoriten\locked-MSN.url.reyf
c:\dokumente und einstellungen\Admin\Favoriten\locked-Radiostationsübersicht.url.rmbp
c:\windows\IsUn0407.exe
c:\windows\system32\winsh320
c:\windows\system32\winsh321
c:\windows\system32\winsh322
c:\windows\system32\winsh323
c:\windows\system32\winsh324
c:\windows\system32\winsh325
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-03-28 bis 2012-04-30  ))))))))))))))))))))))))))))))
.
.
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-25 12:20 . 2012-02-15 08:11        70304        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-01 11:00 . 2008-04-14 05:52        916992        ----a-w-        c:\windows\system32\wininet.dll
2012-03-01 11:00 . 2008-04-14 05:53        1469440        ------w-        c:\windows\system32\inetcpl.cpl
2012-03-01 11:00 . 2008-04-14 05:52        43520        ------w-        c:\windows\system32\licmgr10.dll
2012-02-29 14:09 . 2008-04-14 05:52        177664        ----a-w-        c:\windows\system32\wintrust.dll
2012-02-29 14:09 . 2008-04-14 05:52        148480        ----a-w-        c:\windows\system32\imagehlp.dll
2012-02-29 12:17 . 2008-04-14 05:25        385024        ------w-        c:\windows\system32\html.iec
2012-02-29 09:36 . 2012-02-29 09:36        4771184        ----a-w-        c:\windows\system32\LxXtreme100.dll
2012-02-29 09:36 . 2012-02-29 09:36        104304        ----a-w-        c:\windows\system32\LxUISettingsN100.dll
2012-02-29 09:36 . 2012-02-29 09:36        25968        ----a-w-        c:\windows\system32\LxTPSW100.dll
2012-02-29 09:36 . 2012-02-29 09:36        1334640        ----a-w-        c:\windows\system32\LxTool100.dll
2012-02-29 09:36 . 2012-02-29 09:36        63344        ----a-w-        c:\windows\system32\LxPXTree100.dll
2012-02-29 09:36 . 2012-02-29 09:36        111472        ----a-w-        c:\windows\system32\LxODBC100.dll
2012-02-29 09:36 . 2012-02-29 09:36        127344        ----a-w-        c:\windows\system32\LxMail100.dll
2012-02-29 09:36 . 2012-02-29 09:36        200048        ----a-w-        c:\windows\system32\LxDBAL100.dll
2012-02-29 09:36 . 2012-02-29 09:36        76656        ----a-w-        c:\windows\system32\LxDAO100.dll
2012-02-29 09:36 . 2012-02-29 09:36        49520        ----a-w-        c:\windows\system32\LXCurr100.dll
2012-02-29 09:36 . 2012-02-29 09:36        67952        ----a-w-        c:\windows\system32\LxCI12.dll
2012-02-29 09:35 . 2012-02-29 09:35        193904        ----a-w-        c:\windows\system32\LxBasics100.dll
2012-02-27 09:41 . 2012-02-27 09:41        202240        ----a-w-        c:\windows\system32\LXPrnUtil10.dll
2012-02-27 09:41 . 2012-02-27 09:41        133632        ----a-w-        c:\windows\system32\LXReportManage.ocx
2012-02-27 09:40 . 2012-02-27 09:40        304128        ----a-w-        c:\windows\system32\LxDNT100.dll
2012-02-27 09:38 . 2012-02-27 09:38        133120        ----a-w-        c:\windows\system32\LxDNTvmc100.dll
2012-02-27 09:38 . 2012-02-27 09:38        69120        ----a-w-        c:\windows\system32\LxDNTvm100.dll
2012-02-15 10:01 . 2012-02-06 19:32        4547944        ----a-w-        c:\windows\system32\usbaaplrc.dll
2012-02-15 10:01 . 2012-02-06 19:32        43520        ----a-w-        c:\windows\system32\drivers\usbaapl.sys
2012-02-14 10:09 . 2012-02-14 10:09        1070352        ----a-w-        c:\windows\system32\MSCOMCTL.OCX
2012-02-09 07:33 . 2007-04-27 15:01        10752        ----a-w-        c:\windows\system32\KOBJAJ_L.DLL
2012-02-06 18:34 . 2012-02-06 18:34        73728        ----a-w-        c:\windows\system32\javacpl.cpl
2012-02-06 18:34 . 2012-02-06 18:34        423656        ----a-w-        c:\windows\system32\deployJava1.dll
2012-02-06 17:05 . 2012-02-06 17:05        42672        ----a-w-        c:\windows\system32\drivers\fsbts.sys
2012-02-06 16:50 . 2012-02-06 16:50        315392        ----a-w-        c:\windows\HideWin.exe
2012-02-03 09:57 . 2008-04-14 05:23        1860224        ----a-w-        c:\windows\system32\win32k.sys
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-06-13 16871936]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-12-12 143360]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-12-12 172032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-12-12 143360]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2011-07-31 189808]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2012-03-27 421736]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
FRITZ!fax.lnk - c:\programme\FRITZ!\FriFax32.exe [2012-2-6 1504568]
ISDNWatch.lnk - c:\programme\FRITZ!\IWatch.exe [2012-2-6 341304]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F-Secure Hoster]
2011-12-14 11:25        160424        ----a-w-        c:\programme\F-Secure\fshoster32.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F-Secure Manager]
2011-12-19 03:28        310936        ----a-w-        c:\programme\F-Secure\apps\ComputerSecurity\Common\FSM32.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware]
2012-04-04 13:56        462408        ----a-w-        c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"MBAMService"=2 (0x2)
"FSMA"=3 (0x3)
"FSORSPClient"=2 (0x2)
"fshoster"=2 (0x2)
"FSDFWD"=3 (0x3)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [06.02.2012 19:05 42672]
R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [06.02.2012 19:04 82872]
R1 F-Secure HIPS;F-Secure HIPS Driver;c:\programme\F-Secure\apps\ComputerSecurity\HIPS\drivers\fshs.sys [26.03.2012 13:44 72920]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [06.02.2012 20:51 61440]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [25.03.4811 02:50 37568]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [25.03.4811 02:50 444416]
R3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\drivers\NETFRITZ.SYS [06.02.2012 20:20 334640]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 14:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [25.04.2012 14:10 136176]
S2 Lexware_Professional_Datenbank;Lexware Professional Datenbank;c:\programme\Sybase\SQL Anywhere 9\win32\dbsrv9.exe -hvLexware_Professional_Datenbank --> c:\programme\Sybase\SQL Anywhere 9\win32\dbsrv9.exe -hvLexware_Professional_Datenbank [?]
S2 StumbleUponUpdater;StumbleUpon Updater;c:\dokumente und einstellungen\Admin\Anwendungsdaten\StumbleUpon\IE\StumbleUponUpdater.exe [22.11.2011 10:59 18432]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [25.04.2012 14:09 253088]
S3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\programme\F-Secure\apps\ComputerSecurity\Anti-Virus\minifilter\fsgk.sys [06.02.2012 19:04 148632]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [25.04.2012 14:10 136176]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [06.02.2012 20:51 17280]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [30.04.2012 10:26 22344]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [06.02.2012 20:51 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [06.02.2012 20:51 19200]
S3 osppsvc;Office Software Protection Platform;c:\programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 22:37 4640000]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 14:16 753504]
S4 fshoster;F-Secure Dll Hoster;c:\programme\F-Secure\fshoster32.exe -hosterid:0 --> c:\programme\F-Secure\fshoster32.exe -hosterid:0 [?]
S4 FSORSPClient;F-Secure ORSP Client;c:\programme\F-Secure\apps\CCF_Reputation\fsorsp.exe [12.12.2011 12:27 61120]
S4 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [30.04.2012 10:26 654408]
.
Inhalt des "geplante Tasks" Ordners
.
2012-04-30 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-25 12:20]
.
2012-04-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57]
.
2012-04-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-04-25 12:10]
.
2012-04-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-04-25 12:10]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
LSP: c:\programme\F-Secure\apps\OnlineSafety\FSCC\fscclsp2.dll
TCP: Interfaces\{38A6E7D6-CAB3-4D0E-B982-9B6DC8B843AF}: NameServer = 192.168.2.1
TCP: Interfaces\{3C685D06-370B-4BC6-A6D9-76102BFFB9A4}: NameServer = 192.168.120.252,192.168.120.253
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{DB616CFF-D989-48A8-9C85-E2A8D56AB2CA} - c:\dokumente und einstellungen\Admin\Anwendungsdaten\StumbleUpon\IE\StumbleUpon.dll
AddRemove-ElsterFormular 13.0.0.8086u - c:\dokumente und einstellungen\All Users\Anwendungsdaten\elsterformular\setup\uninstall.exe
AddRemove-Firefox Browser - c:\dokumente und einstellungen\Admin\Eigene Dateien\Firefox Browser\uninstall.exe
AddRemove-FRITZ! 2.0 - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-04-30 14:27
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fshoster]
"ImagePath"="c:\programme\F-Secure\fshoster32.exe -hosterid:0"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\F-Secure\My Services Agent\Protected]
@Denied: ) (Everyone)
"AgentIdentifier"="87689e64-7883-4d33-b37c-b8b82b71e59f"
"AuthorizationCode"="Li-sOhApkWZ8aZHRjmsJOoRqbzBZfB3XWlH8vSIX0pr6Wp3jlaxV0w"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(924)
c:\programme\F-Secure\apps\OnlineSafety\FSCC\fscclsp2.dll
.
Zeit der Fertigstellung: 2012-04-30  14:29:01
ComboFix-quarantined-files.txt  2012-04-30 12:29
.
Vor Suchlauf: 9 Verzeichnis(se), 135.283.429.376 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 136.389.693.440 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /noexecute=alwaysoff
.
- - End Of File - - 78861874DDCDDF79A156D4BA97D66502
--- --- ---

markusg 30.04.2012 17:26
wo ist das log der bereinigung?

baumschubser 30.04.2012 17:54
sorry, da ist es:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.30.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Admin :: STEFFEN [Administrator]

Schutz: Aktiviert

30.04.2012 10:27:53
mbam-log-2012-04-30 (10-27-53).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 250469
Laufzeit: 48 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\dhgposacxb.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:39 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27