Trojaner-Board - Windows Verschlüsselungs-Trojaner...kein Systemzugriff...kein abgesichter Modus

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows Verschlüsselungs-Trojaner...kein Systemzugriff...kein abgesichter Modus (https://www.trojaner-board.de/117992-windows-verschluesselungs-trojaner-kein-systemzugriff-kein-abgesichter-modus.html)

Windows Verschlüsselungs-Trojaner...kein Systemzugriff...kein abgesichter Modus

Hallo zusammen,

Ich habe seit 2 Tagen einen Windows Verschlüsselungs-Trojaner auf meinem Rechner.
Wie der da drauf kommt ist mir nicht klar, da ich Mails grundsätzlich mit dem Smartphone abrufe.

Ich habe keinen Zugriff auf das System und wenn ich den Rechner im abgesichteren Modus hochfahre, startet sich dieser nach einem kurzen Bluescreen von alleine neu.

Das unbootbare System habe ich bereits mit OTLPE Netgework gescannt und die OTL.txt als Anhang eingefügt. Das Logfile Extras.txt wurde bei mir nicht erstellt.

Ich hoffe Ihr könnt mir weiterhelfen.

Gruß

FrischesGras

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL

O4 - HKLM..\Run: [WinampAgent] C:\Eigene Programme\Winamp\winampa.exe ()

O4 - HKU\*****_ON_C..\Run: [C08D41CB] C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\Dqyv\lsqmxkre.exe ()

O4 - HKU\*****_ON_C..\Run: [qeze.exe] C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Lokoo\qeze.exe ()

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\*****_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\*****_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

O7 - HKU\*****_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1

O7 - HKU\*****_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O9 - Extra 'Tools' menuitem : My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\Wazap\ie_kikin.dll (kikin)

[2009/03/22 13:12:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Kikin

[2012/05/06 14:43:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Lokoo

[2012/06/22 11:18:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Ofvo

[2007/12/30 12:10:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Search Settings

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Danke für die hilfreiche Antwort.

Zitat:

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\WinampAgent deleted successfully.
C:\Eigene Programme\Winamp\winampa.exe moved successfully.
Registry value HKEY_USERS\Steffen_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\C08D41CB deleted successfully.
C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\Dqyv\lsqmxkre.exe moved successfully.
Registry value HKEY_USERS\Steffen_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\qeze.exe deleted successfully.
C:\Dokumente und Einstellungen\Steffen\Anwendungsdaten\Lokoo\qeze.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\Steffen_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\Steffen_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
Registry value HKEY_USERS\Steffen_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_USERS\Steffen_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{0F7195C2-6713-4d93-A1BC-DA5FA33F0A65}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0F7195C2-6713-4d93-A1BC-DA5FA33F0A65}\ not found.
C:\Programme\Wazap\ie_kikin.dll moved successfully.
C:\Dokumente und Einstellungen\Steffen\Anwendungsdaten\Kikin folder moved successfully.
C:\Dokumente und Einstellungen\Steffen\Anwendungsdaten\Lokoo folder moved successfully.
C:\Dokumente und Einstellungen\Steffen\Anwendungsdaten\Ofvo folder moved successfully.
C:\Dokumente und Einstellungen\Steffen\Anwendungsdaten\Search Settings\kb125\temp folder moved successfully.
C:\Dokumente und Einstellungen\Steffen\Anwendungsdaten\Search Settings\kb125\res folder moved successfully.
C:\Dokumente und Einstellungen\Steffen\Anwendungsdaten\Search Settings\kb125 folder moved successfully.
C:\Dokumente und Einstellungen\Steffen\Anwendungsdaten\Search Settings folder moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTLPE by OldTimer - Version 3.1.48.0 log created on 06292012_224229

Die gezippte Datei hab ich hochgeladen!

Bis jetzt läuft auch wieder alles einwandfrei, habe noch keine verschlüsselte Datei gefunden.

Außer auf dem Desktop war ein Textdokument mit folgendem Text: :pfui:

Zitat:

Sehr geehrte Damen und Herren,
anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: software-update@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.
mfG Ihr Security Team

Gruß

FrischesGras

Bitte jetzt routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Quikscan

Code:

 Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.07.05.02
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Steffen :: STEFFENERB [Administrator]
 

05.07.2012 09:39:53

mbam-log-2012-07-05 (09-39-53).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 199374

Laufzeit: 6 Minute(n), 39 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 13

HKCR\CLSID\{5C00A371-2011-4AF3-97C8-6CE66AA744CB} (PUP.Dealio.TB) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\Dealio.DealioSearch.1 (PUP.Dealio.TB) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\Dealio.DealioSearch (PUP.Dealio.TB) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\TypeLib\{4C1E5902-FE99-4591-8582-2A2605462857} (PUP.Dealio.TB) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\Interface\{03C390E8-B836-4B82-8D56-1BFDDC06AE8A} (PUP.Dealio.TB) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\CLSID\{6A87B991-A31F-4130-AE72-6D0C294BF082} (PUP.Dealio.TB) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\Dealio.DealioBHO.1 (PUP.Dealio.TB) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\Dealio.DealioBHO (PUP.Dealio.TB) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6A87B991-A31F-4130-AE72-6D0C294BF082} (PUP.Dealio.TB) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6A87B991-A31F-4130-AE72-6D0C294BF082} (PUP.Dealio.TB) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6A87B991-A31F-4130-AE72-6D0C294BF082} (PUP.Dealio.TB) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Registrierungswerte: 2

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\PROGRAMME\DEALIO\DEALIOAU.EXE (PUP.Dealio.TB) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|au (PUP.Dealio.TB) -> Daten: C:\Programme\Dealio\DealioAU.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 1

C:\portwexexe.exe (Trojan.SpyEyes.WC) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Dateien: 5

C:\Programme\Dealio\DealioAU.exe (PUP.Dealio.TB) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Programme\Dealio\kb125\Dealio.dll (PUP.Dealio.TB) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\is-M3F8K.tmp\dealio.exe (PUP.Dealio.TB) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\portwexexe.exe\config.bin (Trojan.SpyEyes.WC) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\portwexexe.exe\portwexexe.exe (Trojan.SpyEyes.WC) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Vollscan

Code:

 Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.07.05.02
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Steffen :: STEFFENERB [Administrator]
 

05.07.2012 11:57:29

mbam-log-2012-07-05 (11-57-29).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 344489

Laufzeit: 1 Stunde(n), 29 Minute(n), 6 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 12

C:\Dokumente und Einstellungen\Steffen\Desktop\ADOBE\Quark Xpress 6 Multilanguage For Windows With Serial\Quark.XPress.v6.build.1341._FOR_WINDOWS_WITH.SERIAL\QuarkXPress60 Win 1341\Serial + Crack\Quark.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Steffen\Desktop\ADOBE\Quark Xpress 6 Multilanguage For Windows With Serial\Quark.XPress.v6.build.1341._FOR_WINDOWS_WITH.SERIAL\QuarkXPress60 Win 1341\Serial + Crack\Quark1.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AJARM12R\contacts[1].exe (Trojan.Zbot.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EZOZZ4L4\az3[1].exe (Spyware.Passwords.XGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EZOZZ4L4\index[1] (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Eigene Programme\Alcohol Soft\Alcohol 120\Patch.exe (RiskWare.Tool.HCK) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Eigene Programme\funny\Verschiedenes\Langeweile1_1.exe (PUP.Joke.Langeweile) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\_OTL\MovedFiles\06292012_224229\C_Dokumente und Einstellungen\Steffen\Anwendungsdaten\Lokoo\qeze.exe (Trojan.Zbot.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.

D:\Installationen\Alkohol 120% Installation\Alcohol.120%.v1.9.5.3105-BetaMaster\Patch.exe (RiskWare.Tool.HCK) -> Erfolgreich gelöscht und in Quarantäne gestellt.

D:\Installationen\Alkohol 120% Installation\Alcohol.120%.v1.9.5.3105-BetaMaster\WarezFaw-NFO.exe (Trojan.Dropper) -> Erfolgreich gelöscht und in Quarantäne gestellt.

D:\Installationen\Crack-Down 22 Installation (einfach ziehen)\CrackDown.exe (CrackTool.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

D:\Installationen\Defrag V.8 Installation\OODefrag8ProfessionalGer\OODefrag8ProfessionalGer@funtorrent.dl.am\O&O.exe (Riskware.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

ESET

Code:

 ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=a52795f1f8a88b4abfffc6660593ed9b

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-07-05 09:33:16

# local_time=2012-07-05 11:33:16 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=4096 16777195 100 0 0 0 0 0

# compatibility_mode=8192 67108863 100 0 170 170 0 0

# scanned=150977

# found=15

# cleaned=0

# scan_time=5702

C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8L6705QN\index[1].pdf        JS/Kryptik.BH trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AJARM12R\contacts[1].exe        Win32/Spy.Zbot.YW trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EZOZZ4L4\az3[1].exe        a variant of Win32/Kryptik.IPI trojan (unable to clean)        00000000000000000000000000000000        I

C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EZOZZ4L4\index[1]        probably a variant of Win32/Agent.FQNSCFM trojan (unable to clean)        00000000000000000000000000000000        I

C:\Eigene Programme\funny\Verschiedenes\Langeweile1_1.exe        probably a variant of Win32/Agent.KPOGGEN trojan (unable to clean)        00000000000000000000000000000000        I

C:\Programme\Everest Poker\cstart-tmp.exe        a variant of Win32/Casino application (unable to clean)        00000000000000000000000000000000        I

C:\Programme\Everest Poker\cstart.exe        a variant of Win32/Casino application (unable to clean)        00000000000000000000000000000000        I

C:\Programme\Everest Poker\Everest Poker.exe        a variant of Win32/Casino application (unable to clean)        00000000000000000000000000000000        I

C:\_OTL\MovedFiles.rar        multiple threats (unable to clean)        00000000000000000000000000000000        I

C:\_OTL\MovedFiles\06292012_224229\C_Dokumente und Einstellungen\Steffen\Anwendungsdaten\Lokoo\qeze.exe        Win32/Spy.Zbot.YW trojan (unable to clean)        00000000000000000000000000000000        I

C:\_OTL\MovedFiles\06292012_224229\C_Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\Dqyv\lsqmxkre.exe        a variant of Win32/Kryptik.AHRZ trojan (unable to clean)        00000000000000000000000000000000        I

D:\Installationen\Crack-Down 22 Installation (einfach ziehen)\CrackDown.exe        Win32/Delf.NXV trojan (unable to clean)        00000000000000000000000000000000        I

D:\Installationen\Crack-Down 22 Installation (einfach ziehen)\CrackDown22.zip        Win32/Delf.NXV trojan (unable to clean)        00000000000000000000000000000000        I

D:\Installationen\FLV Converter  Installation\setup19_freeflvconverter.exe        Win32/Toolbar.Widgi application (unable to clean)        00000000000000000000000000000000        I

D:\Installationen\Poker Indikator Installation\setup.exe        probably a variant of Win32/Agent.IRFJROG trojan (unable to clean)        00000000000000000000000000000000        I

Code:

C:\Dokumente und Einstellungen\Steffen\Desktop\ADOBE\Quark Xpress 6 Multilanguage For Windows With Serial\Quark.XPress.v6.build.1341._FOR_WINDOWS_WITH.SERIAL\QuarkXPress60 Win 1341\Serial + Crack\Quark.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Steffen\Desktop\ADOBE\Quark Xpress 6 Multilanguage For Windows With Serial\Quark.XPress.v6.build.1341._FOR_WINDOWS_WITH.SERIAL\QuarkXPress60 Win 1341\Serial + Crack\Quark1.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Eigene Programme\Alcohol Soft\Alcohol 120\Patch.exe (RiskWare.Tool.HCK) -> Erfolgreich gelöscht und in Quarantäne gestellt.

D:\Installationen\Alkohol 120% Installation\Alcohol.120%.v1.9.5.3105-BetaMaster\Patch.exe (RiskWare.Tool.HCK) -> Erfolgreich gelöscht und in Quarantäne gestellt.

D:\Installationen\Alkohol 120% Installation\Alcohol.120%.v1.9.5.3105-BetaMaster\WarezFaw-NFO.exe (Trojan.Dropper) -> Erfolgreich gelöscht und in Quarantäne gestellt.

D:\Installationen\Crack-Down 22 Installation (einfach ziehen)\CrackDown.exe (CrackTool.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

D:\Installationen\Defrag V.8 Installation\OODefrag8ProfessionalGer\OODefrag8ProfessionalGer@funtorrent.dl.am\O&O.exe (Riskware.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.

:pfui:

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials

:pfeiff:... als schüler bzw. student kann man sich halt nicht alles kaufen

trotzdem danke für die hilfe bisher.

Wenn man sich das nicht kaufen kann, muss man halt eben Alternativen nutzen
Wenn du dir einen Ferrari nicht leisten kannst, klaust du ihn dann auch? :pfeiff: