Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/Dldr.Vidlo.A.18 - Dateien beschädigt (https://www.trojaner-board.de/120148-tr-dldr-vidlo-a-18-dateien-beschaedigt.html)

eXtremeTK 22.07.2012 21:01
TR/Dldr.Vidlo.A.18 - Dateien beschädigt
 
"Guten" Abend!

Wir haben leider auf dem PC meiner Freundin alle beschädigte Dateien.
AntiVir hat den Trojaner "TR/Dldr.Vidlo.A.18" diagnostiert, in Quarantäne verschoben und dann gelöscht.

Es lassen sich .jpg, .doc usw. nicht mehr öffen. Man bekommt immer die Fehlermeldung, dass die Dateien beschädigt seien.

Malwarebytes findet leider nichts mehr. Daher ist das LOG auch extrem kurz und es stehen keinerlei Infos darin.

Mit ShadowExplorer konnten wir alle Daten auf Laufwerk C wiederherstellen.
Nur leider liegen die Daten auf Laufwerk D! Dort war die Wiederherstellungsfunktion nicht eingeschaltet.

Wie kann man nun vorgehen um die Daten wieder zu bekommen.
Dort liegen auch Arbeitsmaterialien, extrem viele Bilder, Bewerbungen etc. pp.


Brauche da wirklich dringend Hilfe :eek:

Beste Grüße
Tobias (der selbst auf seinem PC auch gerade 3 Viren mit Malwarebytes entdeckt hat :lmaa: )

Guten Morgen!

Es hat sich herausgestellt, dass im Mai 2012 bereits weitere Trojaner auf dem PC waren.
Der TR/Crypt.XPACK.Gen5 sowie der TR/Matsun.A.65

Vllt. hilft dies ja noch!

Gruss
Tobias

cosinus 25.07.2012 13:40
Ohne die Logs von Malwarebytes und Co wird das hier nichts. :glaskugel:
Alles von Malwarebytes (und evtl. anderen Scannern) muss hier gepostet werden.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

eXtremeTK 29.07.2012 10:16
Morgen,

anbei alle alle möglichen Logs die ich gefunden habe.
Malwarebytes hat keine Bedrohung mehr gefunden. Denke AntiVir hatte bereits alles gelöscht.


AntiVir Logdateien

11.05.2012
Code:
In der Datei 'C:\Windows\winsxs\Temp\PendingRenames\98ee8be4a52fcd01c50a00000003c80b.wow64_microsoft-windows-p..installerandprintui_31bf3856ad364e35_6.1.7601.17514_none_3eceef6140ec9728_puiobj.dll_343adf45'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen5' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Nochmal 11.05.2012
Code:
In der Datei 'C:\Windows\winsxs\Temp\PendingRenames\98ee8be4a52fcd01c50a00000003c80b.wow64_microsoft-windows-p..installerandprintui_31bf3856ad364e35_6.1.7601.17514_none_3eceef6140ec9728_puiobj.dll_343adf45'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen5' [trojan] gefunden.
Ausgeführte Aktion: Übergeben an Scanner
11.05.2012
Code:
In der Datei 'C:\Windows\winsxs\Temp\PendingRenames\8318694aa62fcd01590b00000003c80b.wow64_microsoft-windows-p..installerandprintui_31bf3856ad364e35_6.1.7601.17514_none_3eceef6140ec9728_puiobj.dll_343adf45'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen5' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
11.05.2012
Code:
In der Datei 'C:\Windows\winsxs\Temp\PendingRenames\8318694aa62fcd01590b00000003c80b.wow64_microsoft-windows-p..installerandprintui_31bf3856ad364e35_6.1.7601.17514_none_3eceef6140ec9728_puiobj.dll_343adf45'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen5' [trojan] gefunden.
Ausgeführte Aktion: Übergeben an Scanner
12.06.2012
Code:
Die Datei 'C:\Users\Anni\AppData\Local\Microsoft\Outlook\Outlook.pst'
enthielt einen Virus oder unerwünschtes Programm 'TR/Matsnu.A.65' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ignoriert.

15.07.2012
Code:
In der Datei 'C:\Users\Anni\AppData\Local\Temp\Fxjoxjox\ckwfyjejm.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Vidlo.A.18' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
17.07.2012
Code:
In der Datei 'C:\Users\Anni\AppData\Local\Temp\jonqdftxqj.pre'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Vidlo.A.18' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
17.07.2012
Code:
In der Datei 'C:\Users\Anni\AppData\Local\Temp\jonqdftxqj.pre'
wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Vidlo.A.18' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
17.07.2012
Code:
Die Datei 'C:\Users\Anni\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\CMBIIZL7\Nachricht.zip'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Vidlo.A.18' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d554fac.qua' verschoben!
17.07.2012
Code:
Die Datei 'C:\Users\Anni\AppData\Local\Temp\jonqdftxqj.pre'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Vidlo.A.18' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55d96005.qua' verschoben!
17.07.2012
Code:
Die Datei 'C:\Users\Anni\AppData\Local\Temp\Fxjoxjox\ckwfyjejm.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Vidlo.A.18' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1f1e154e.qua' verschoben!

Malwarebytes:

Code:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.22.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Anni :: ANNI-PC [Administrator]

22.07.2012 20:02:55
mbam-log-2012-07-22 (20-02-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 363913
Laufzeit: 1 Stunde(n), 36 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Code:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.04.08

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus)
Internet Explorer 9.0.8112.16421
Anni :: ANNI-PC [Administrator]

Schutz: Deaktiviert

23.07.2012 10:06:52
mbam-log-2012-07-23 (10-06-52).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 197951
Laufzeit: 3 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Code:
Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.23.04

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Anni :: ANNI-PC [Administrator]

Schutz: Deaktiviert

23.07.2012 10:18:02
mbam-log-2012-07-23 (10-18-02).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 193725
Laufzeit: 3 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

cosinus 29.07.2012 17:11
Führ bitte auch ESET aus, danach sehen wir weiter.

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
  • Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen
  • Dein Anti-Virus-Programm während des Scans deaktivieren.

    Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
    • Firefox-User:
      Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
    • IE-User:
      müssen das Installieren eines ActiveX Elements erlauben.
  • Setze den einen Haken bei Yes, i accept the Terms of Use.
  • Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
  • Warte bis die Komponenten herunter geladen wurden.
  • Setze einen Haken bei "Scan archives".
  • Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
  • http://img707.imageshack.us/img707/687/starteg.jpg drücken.
  • Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.
Wenn der Scan beendet wurde
  • Klicke Finish.
  • Browser schließen.
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Code:
"%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"
Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Code:
"%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"
Poste nun den Inhalt der log.txt.

eXtremeTK 29.07.2012 22:38
Code:
ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=733ef13bf963ea4cb92cbf5718a7227b
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2012-07-29 09:14:14
# local_time=2012-07-29 11:14:14 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 8907677 8907677 0 0
# compatibility_mode=5893 16776574 66 85 2431818 95222779 0 0
# compatibility_mode=8192 67108863 100 0 609317 609317 0 0
# scanned=181871
# found=0
# cleaned=0
# scan_time=3524

cosinus 30.07.2012 08:55
adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:37 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131