|
Entschlüsselungstrojaner von Flirt-fever Hallo alle zusammen! Ich habe mir gestern abend einen Entschlüsselungstrojaner eingefangen als ich aus versehen eine Fakerechnung von flirt-fever öffnete. Heute morgen habe ich wie beschrieben Malwarebytes heruntergeladen, einen Vollscan durchgeführt und die Ergebnisse gelöscht. Allerdings habe ich es vergessen die Editor-Datei zu kopieren.:stirn: Kann man das noch nachholen oder muss ich nochmals alles scannen? Liebe Grüße Sunniemaus Ich habe es gefunden! Gott bin ich doof :headbang: Also Ergebnis von heute Morgen: Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.06.01 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 9.0.8112.16421 Mandy Apfelbaum :: MANDYAPFELBAUM [Administrator] Schutz: Aktiviert 06.06.2012 07:39:56 mbam-log-2012-06-06 (07-39-56).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 294888 Laufzeit: 4 Stunde(n), 8 Minute(n), 16 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|F20F775F (Trojan.Agent) -> Daten: C:\Users\Mandy Apfelbaum\AppData\Roaming\Ojtnqo\1D660FFCF20F775F68C2.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 4 C:\Users\Mandy Apfelbaum\AppData\Roaming\Ojtnqo\1D660FFCF20F775F68C2.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Mandy Apfelbaum\AppData\Local\Temp\yikmnluegj.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Mandy Apfelbaum\AppData\Local\Temp\liyfsiplfm.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Mandy Apfelbaum\AppData\Local\Temp\sfcrkymfwh.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Und heute Nachmittag habe ich es nochmals gemacht: Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.06.01 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 9.0.8112.16421 Mandy Apfelbaum :: MANDYAPFELBAUM [Administrator] Schutz: Aktiviert 06.06.2012 14:35:47 mbam-log-2012-06-06 (14-35-47).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 295404 Laufzeit: 2 Stunde(n), 37 Minute(n), 54 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Es sind auch keine weiteren Störungen aufgetreten. Ich kapiere das nur noch nicht ganz mit dem Decrypthelfer. Wie soll ich denn das Original finden, wenn ich noch nicht einmal die Kopie entziffern kann? :dummguck: Liebe Grüße Sunniemaus |
hi 1. lass mir immer solche verdächtigen mails zukommen, wie es geht steht in meiner signatutr. 2. http://www.trojaner-board.de/115496-...erstellen.html bitte nutze den shadow explorer. |
Hallo! Eben habe ich auf meinem Deskop zwei Dateien gefunden, die vorgestern definitiv noch nicht drauf waren. Sie nennen sich beide deskop.ini Es sind beides Editor-Dateien. 1. Datei: [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769 IconResource=%SystemRoot%\system32\imageres.dll,-183 2. Datei: [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21799 [LocalizedFileNames] Acer Registration.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Enregistrement Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Registrazione Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Registro de Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Acer Registratie.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Acer Registrierung.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Registo Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Registrering af Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Acer Rekisteröinti.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Acer-registrering.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Registrace Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Acer Εγγραφή.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Acer Regisztráció.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Rejestracja — Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Acer Kayıt.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Înregistrare Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Регистрация Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Acer ユーザー登録.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Acer 注册.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Acer 註冊.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Acer Registreerimine.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Acer Registracija.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Acer Reģistrācija.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Acer Регистрация.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 การลงทะเบียน Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Acer تسجيل.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Acer - Registrácia.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Registracija Acer.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Acer 등록.lnk=@C:\Program Files\Acer\Registration\GlobalRegistrationMUI.dll,-101 Was hat das zu bedeuten? Malwarebytes hat nichts verdächtiges mehr gefunden. Kann ich die Dateien "Suche im Internet" und "ACHTUNG-LESEN.txt" eigentlich wieder vom Deskop löschen oder müssen die noch stehen bleiben? Liebe Grüße Sunniemaus |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:04 Uhr. |
Copyright ©2000-2025, Trojaner-Board