Verschlüsselungstrojaner Befall
 

Hi!

Ich habe hier den Rechner meiner Mutter - Windows XP, schlechter Zustand, nie mit Virenscanner versehen.
Sie bekam eine Mail - ich weiß nicht welche - mit einer Bußgelddrohung. Danach gings abwärts.
Die beiden festplatten besitzen nun zahlreiche kryptische Dateien im Stil: dnvvGGDljAOOddaTEEuut
Keine Endung nur Erzeugungsdatum 13.02.1601.

Habe MBAM laufen lassen und es fand diese Schadsoftware Bestandteile:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.16.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
karola :: SAUERMAN-C68F57 [Administrator]

Schutz: Aktiviert

16.06.2012 21:11:25
mbam-log-2012-06-17 (08-58-50).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 307365
Laufzeit: 1 Stunde(n), 17 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKCU\SOFTWARE\fcn (Rogue.Residue) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SudoPlanet (Adware.EGDAccess) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\System Volume Information\_restore{D79408E1-E368-42C5-85A7-134BB758A7D7}\RP1\A0001103.dll (Rogue.SudoPlanet) -> Keine Aktion durchgeführt.

(Ende)


Wie verfahre ich jetzt weiter?

Danke schon mal....

Cheers

Ein System ist nicht deswegen in schelchtem Zustand nur weil ein Virenscanner fehlt
Hunderte andere vom Verschlüsselungstrojaner befallene Opfer haben einen Virenscanner zum Infektionszeitpunkt aktiv gehabt - ein Virenscanner ist kein zuverlässiger Schutz!

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!