Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Verschlüsselungs-Trojaner (https://www.trojaner-board.de/116591-verschluesselungs-trojaner.html)

rkaninke 05.06.2012 21:22
Verschlüsselungs-Trojaner
 
Hallo allerseits,

ich verfasse diesen Beitrag, da sich mein Vater den Verschlüsselungs-Trojaner eingefangen hat. Kurz nach dem Systemstart kommt das bekannte Bild mit der Aufforderung, Geld per paysafecard code zu überweisen. Nach kurzer Suche habe ich dieses Forum entdeckt und bitte nun um Hilfe beim Versuch das lästige Programm wieder loszuwerden.

Zum Stand der Dinge: der Rechner funktioniert im abgesicherten Modus samt Netzwerktreibern. Ich habe Malwarebytes' Anti-Malware durchlaufen lassen und die betroffenen Dateien in die Quarantäne verschoben. Allerdings bin ich mir nicht sicher, was als nächstes zu tun ist.

Noch kurz zur Quelle der Infektion: mein Vater hat eine zip-Datei, die er als Anhang bekommen hat, geöffnet. Leider habe ich im Moment keine Kopie, schicke sie euch aber zu, sobald ich rankomme.

Vielen Dank im Vorraus,

Rüdiger

Hier noch die Logdateien der verschiedenen Tools:

Defogger:
Code:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 20:03 on 03/06/2012 (Administrator)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
OTL
Code:
OTL logfile created on: 03.06.2012 20:04:15 - Run 1
OTL by OldTimer - Version 3.2.46.0    Folder = C:\Diagnose Tools
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511,48 Mb Total Physical Memory | 367,59 Mb Available Physical Memory | 71,87% Memory free
1,22 Gb Paging File | 1,11 Gb Available in Paging File | 90,83% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 55,34 Gb Free Space | 74,26% Space Free | Partition Type: NTFS
 
Computer Name: WERNER-PC | User Name: Administrator | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.06.03 19:47:08 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Diagnose Tools\OTL.exe
PRC - [2012.03.26 17:03:40 | 000,011,552 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\MsMpEng.exe
PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.04.04 07:53:56 | 000,301,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
MOD - [2011.05.28 23:04:56 | 000,140,288 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2012.03.26 17:03:40 | 000,011,552 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Programme\Microsoft Security Client\MsMpEng.exe -- (MsMpSvc)
SRV - [2008.07.29 19:16:38 | 000,132,096 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe -- (NetTcpPortSharing)
SRV - [2008.04.14 07:52:56 | 000,114,176 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\netdde.exe -- (NetDDEdsdm)
SRV - [2008.04.14 07:52:56 | 000,114,176 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\netdde.exe -- (NetDDE)
SRV - [2008.04.14 07:52:40 | 000,033,280 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\clipsrv.exe -- (ClipSrv)
SRV - [2008.04.14 07:52:18 | 000,033,792 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\msgsvc.dll -- (Messenger)
SRV - [2008.04.14 07:52:16 | 000,053,248 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\mprdim.dll -- (RemoteAccess)
SRV - [2008.04.14 07:52:08 | 000,017,408 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\alrsvc.dll -- (Alerter)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Backup\backup\Treiber (Ruediger)\AIDA 32\aida32.sys -- (AIDA32Driver)
DRV - [2008.04.14 07:32:18 | 000,120,576 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\pcmcia.sys -- (Pcmcia)
DRV - [2008.04.14 07:28:20 | 000,154,112 | ---- | M] (Microsoft Corp., Veritas Software) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\dmio.sys -- (dmio)
DRV - [2008.04.14 07:28:14 | 000,800,384 | ---- | M] (Microsoft Corp., Veritas Software) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\dmboot.sys -- (dmboot)
DRV - [2008.04.14 00:15:30 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2007.05.14 10:26:10 | 000,508,288 | ---- | M] (PixArt Imaging Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\PFC027.SYS -- (PAC207)
DRV - [2007.05.09 17:03:38 | 000,503,680 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\rt2870.sys -- (rt2870)
DRV - [2004.08.04 07:31:32 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rtl8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)
DRV - [2002.11.18 15:51:40 | 000,377,358 | ---- | M] (C-Media Inc) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\cmaudio.sys -- (cmpci) C-Media PCI Audio Driver (WDM)
DRV - [2001.08.18 14:00:00 | 000,013,952 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\cbidf2k.sys -- (cbidf2k)
DRV - [2001.08.18 14:00:00 | 000,012,160 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\acpiec.sys -- (ACPIEC)
DRV - [2001.08.18 14:00:00 | 000,005,888 | ---- | M] (Microsoft Corp., Veritas Software.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\dmload.sys -- (dmload)
DRV - [2001.08.17 15:00:04 | 000,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\msmpu401.sys -- (ms_mpu401)
DRV - [2001.08.17 13:14:24 | 000,444,416 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2001.08.17 13:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
 
 
O1 HOSTS File: ([2001.08.18 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [C-Media Mixer] C:\WINDOWS\mixer.exe (C-Media Electronic Inc. (www.cmedia.com.tw))
O4 - HKLM..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe (PixArt Imaging Incorporation)
O4 - HKLM..\Run: [MSC] c:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [SfWinStartInfo] C:\Programme\Sfirm32\sfWinStartupInfo.exe (BIVG Hannover)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe (Ralink Technology, Corp.)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1310906185997 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1310919230906 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1C7941DB-888A-4D07-85CA-23B3CB3DCFEB}: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.07.17 13:21:43 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.06.03 20:00:43 | 000,000,000 | ---D | C] -- C:\Diagnose Tools
[2012.06.03 19:59:26 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\IETldCache
[2012.06.03 19:59:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2012.06.03 19:58:59 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft
[2012.06.03 19:58:59 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
[2012.06.03 19:58:59 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\Cookies
[2012.06.03 19:58:59 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
[2012.06.03 19:58:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop
[2012.06.03 19:58:58 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\SendTo
[2012.06.03 19:58:58 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Zubehör
[2012.06.03 19:58:58 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü
[2012.06.03 19:58:58 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart
[2012.06.03 19:58:58 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Vorlagen
[2012.06.03 19:58:58 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent
[2012.06.03 19:58:58 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
[2012.06.03 19:58:58 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
[2012.06.03 19:58:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Favoriten
[2012.05.22 18:32:26 | 000,000,000 | ---D | C] -- C:\5ebf3fee0261e59672978e4c269f81
[2012.05.22 14:43:10 | 000,000,000 | ---D | C] -- C:\f78d82e0153d6fda4a01781d3c21d980
[9 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.06.03 20:00:18 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2012.06.03 19:59:03 | 000,013,002 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.06.03 19:58:32 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.06.03 19:57:00 | 000,000,230 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2012.06.03 16:32:13 | 000,000,386 | -H-- | M] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2012.06.03 16:32:05 | 000,000,358 | -H-- | M] () -- C:\WINDOWS\tasks\MpIdleTask.job
[2012.05.21 17:59:55 | 000,000,422 | ---- | M] () -- C:\WINDOWS\easap1.ini
[2012.05.21 17:53:20 | 000,000,322 | ---- | M] () -- C:\WINDOWS\devk.ini
[2012.05.21 17:51:27 | 000,000,282 | ---- | M] () -- C:\WINDOWS\SFIRM32.INI
[2012.05.11 15:06:44 | 000,127,704 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.05.11 13:12:13 | 000,448,898 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.05.11 13:12:13 | 000,432,784 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.05.11 13:12:13 | 000,080,338 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.05.11 13:12:13 | 000,067,740 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.05.11 13:02:39 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[9 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.06.03 20:00:18 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2012.06.03 19:58:59 | 000,001,599 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Remoteunterstützung.lnk
[2012.06.03 19:58:59 | 000,000,772 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Windows Media Player.lnk
[2012.02.16 19:28:56 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.08.30 02:46:05 | 000,000,314 | ---- | C] () -- C:\WINDOWS\System32\Remover.ini
[2011.08.22 15:26:16 | 000,000,422 | ---- | C] () -- C:\WINDOWS\easap1.ini
[2011.08.22 15:26:16 | 000,000,322 | ---- | C] () -- C:\WINDOWS\devk.ini
[2011.07.24 16:56:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011.07.20 21:17:27 | 000,000,258 | ---- | C] () -- C:\WINDOWS\lexstat.ini
[2011.07.20 20:40:15 | 000,000,282 | ---- | C] () -- C:\WINDOWS\SFIRM32.INI
[2011.07.20 17:27:36 | 000,000,085 | ---- | C] () -- C:\WINDOWS\SFSTINF.INI
[2011.07.20 17:27:36 | 000,000,035 | ---- | C] () -- C:\WINDOWS\SF32GL.INI
[2011.07.17 19:40:24 | 000,451,072 | ---- | C] () -- C:\WINDOWS\System32\ISSRemoveSP.exe
[2011.07.17 19:01:46 | 000,000,025 | ---- | C] () -- C:\WINDOWS\mixerdef.ini
[2011.07.17 14:57:50 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2011.07.17 14:10:30 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011.07.17 14:08:56 | 000,127,704 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.07.17 13:26:20 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011.07.17 13:17:45 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
 
========== LOP Check ==========
 
[2011.11.23 19:38:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask
[2011.08.29 03:58:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
[2011.08.17 06:00:00 | 000,000,424 | ---- | M] () -- C:\WINDOWS\Tasks\DriverNavigator Scheduled Scan.job
[2012.06.03 16:32:05 | 000,000,358 | -H-- | M] () -- C:\WINDOWS\Tasks\MpIdleTask.job
[2012.06.03 19:57:00 | 000,000,230 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
 
========== Purity Check ==========
 
 

< End of report >
Gmer
Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-06-04 21:52:24
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD800AB-00CBA1 rev.04.07B04
Running: g9sofiuf.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\uflyqpog.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                                                                                                                                                                                        fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                                                                                                                                                                                                                                                                          malicious Win32:MBRoot code @ sector 156280323
Disk            \Device\Harddisk0\DR0                                                                                                                                                                                                                                                                          PE file @ sector 156280345

---- Files - GMER 1.0.15 ----

File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\VistaX64                0 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\VistaX64\net8192su.cat  14367 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\VistaX64\net8192su.inf  28759 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\VistaX64\rtl8192su.sys  628840 bytes executable
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\VistaX86                0 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\VistaX86\net8192su.cat  14367 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\VistaX86\net8192su.inf  28719 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\VistaX86\rtl8192su.sys  541800 bytes executable
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\Win2K                  0 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\Win2K\net8192su.cat    16181 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\Win2K\net8192su.inf    22773 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\Win2K\rtl8192su.sys    606056 bytes executable
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\Win7X64                0 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\Win7X64\net8192su.cat  16174 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\Win7X64\net8192su.inf  32956 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\Win7X64\rtl8192su.sys  694376 bytes executable
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\Win7X86                0 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\Win7X86\net8192su.cat  16174 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\Win7X86\net8192su.inf  32916 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\Win7X86\rtl8192su.sys  602728 bytes executable
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\WinX64                  0 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\WinX64\net8192su.cat    14499 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\WinX64\net8192su.inf    28012 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\WinX64\rtl8192su.sys    776296 bytes executable
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\WinXP                  0 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\WinXP\net8192su.cat    16181 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\WinXP\net8192su.inf    27972 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\88_91_92_SU_Driver\WinXP\rtl8192su.sys    606056 bytes executable
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\Release notes\ISS_Release.txt              58125 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\Release notes\Release_92SU.txt            6974 bytes
File            C:\Dokumente und Einstellungen\Rüdiger\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für DN-7053-2_driver_win-2K-XP-Vista-7-1086.37_20101115.zip\RTL8188_8191_8192_SU_WindowsDriver_1086.37.1105.2010.F0049_12.P0406_UI_1.00.0175_VistaXP_V44.L\Release notes\Utility_Release.txt          61367 bytes

---- EOF - GMER 1.0.15 ----
Malwarebytes' Anti-Malware
Code:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.05.06

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.18702
Administrator :: WERNER-PC [Administrator]

05.06.2012 20:37:44
mbam-log-2012-06-05 (20-37-44).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 293992
Laufzeit: 1 Stunde(n), 13 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Saberz.r01 (Trojan.SpyEyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\Werner\Anwendungsdaten\Cpykymfwc\20CE1D4218B873F37152.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Werner\Lokale Einstellungen\Temp\rapulraveg.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

markusg 07.06.2012 19:55
hi
1. gibts verschlüsselte daten?
2. macht dein vater onlinebanking, einkäufe sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches
an dem pc?

rkaninke 07.06.2012 20:30
Hi markusg,

danke für die Antwort ;)

1. Ja, es gibt sehr viele Dateien, die verschlüsselt wurden. Außerdem wurden sie alle mit einem zufällig erstellten Namen versehen.

2. Er regelt keinerlei Zahlungsverkehr über diesen Computer ab. Allerdings pflegt er eine Liste der Mitglieder eines Vereins auf diesem Rechner, welche auch sensible Daten wie Kontoinformationen enthält :/ Sie wird benutzt um die Beitragszahlungen zu erfassen - ist also quasi beruflich.

rkaninke 09.06.2012 13:00
Hi,

mittlerweile hatte ich Zugriff auf das AOL Konto meines Vaters und konnte die betroffene Mail einsehen. Allerdings konnte ich keine Funktion finden, um bei AOL die Mail als .eml zu speichern. Der Versuch, die Mail an eine Trashmail Adresse weiterzuleiten, um sie so speichern zu können, ist gescheitert. AOL erkennt jetzt, dass der Anhang ein Virus ist :applaus:

Ich habe den Quelltext der Mail als Textdatei gespeichert. Die zip Datei aus dem Anhang habe ich heruntergeladen und in ein 7zip Archiv gesteckt. Kann ich dir das so zukommen lassen?

Grüße,

Rüdiger


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:13 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131