Trojaner-Board - Verschlüsselungs-Trojaner (Trojan.Matsnu.1) unter Windows XP

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Verschlüsselungs-Trojaner (Trojan.Matsnu.1) unter Windows XP - Abgesicherter Modus nicht moeglich (https://www.trojaner-board.de/114768-verschluesselungs-trojaner-trojan-matsnu-1-windows-xp-abgesicherter-modus-moeglich.html)

Verschlüsselungs-Trojaner (Trojan.Matsnu.1) unter Windows XP - Abgesicherter Modus nicht moeglich

Hallo an das Trojaner - Board,

mein Vater hat sich auf seinem Rechner den Verschlüsselungs-Trojaner (Trojan.Matsnu.1) eingefangen.

Da es mir nicht moeglich war Malwarebytes Anti-Malware aus dem abgesicherten Modus heraus zu starten habe ich mich an diese Anleitung (http://www.trojaner-board.de/114720-...atsnu-1-a.html) gehalten um OTL von einer CD zu starten.

Ich habe nun das OTL Logfile und hoffe ihr koennt mir weiterhelfen.

Vielen Dank schonmal im Vorraus.

Beste Gruese,
Kevin

hi
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code:

:OTL

O4 - HKU\Frank_ON_C..\Run: [54BAE4DB] C:\WINDOWS\system32\3F73A19354BAE4DB50C2.exe (Sally Beauty Supply is the largest retailer)

O4 - HKU\Administrator_ON_C..\Run: [54BAE4DB] C:\WINDOWS\system32\3F73A19354BAE4DB50C2.exe (Sally Beauty Supply is the largest retailer)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\3F73A19354BAE4DB50C2.exe) - C:\WINDOWS\system32\3F73A19354BAE4DB50C2.exe (Sally Beauty Supply is the largest retailer)

O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found

O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found

[2012/05/04 13:47:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Qjqxndjt

:Files

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Danke für die schnelle Antwort.
Ich habe den fix laufen lassen und das System neu gestartet. Windows startet normal.

Hier das OTL Logfile. Bin mir jedoch nicht sicher ob es ein neues ist.

Beste Grüße,
Kevin

das ist doch schon mal was :-)
kommst du an die infektionsquelle, meist eine mail:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.

auch zukünftig, mails von fremden, mit anhang, an mich weiterleiten.

Hallo,

mein Vater nutzt Outlook 2007 und das bietet anscheinend nicht an, eine e-mail als .eml abzuspeichern. Gibt es eine alternative?

Ist das System jetzt sauber oder muss ich weitere schritte unternehmen?

Beste Grüße
Kevin

dann leite die mail mal weiter, dass müsste aber gehen.