You are not logged in.

Wednesday, September 3rd 2014, 6:35am

The Avira Forum will be moved to the new platform Avira Answers soon. We'll make the transition of existing user profiles and threads as smooth as possible.
New visitors are able to log in on Avira Answers with the existing Avira account directly or sign up with a new account.

  • "Rati" started this thread

Date of registration:
Oct 17th 2008

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

1

Friday, May 4th 2012, 3:33pm

Erpresser-Virus TR/Crypt.Gypikon.A.5 gefunden - Wie werde ich den wieder los? Bitte um Hilfe!

Hallo,

habe mir auch einen Erpresser-Virus eingefangen, der mein Windows blockiert hat. :cursing: Er kam mit einer E-Mail, in der stand, dass ich angeblch einen PC im RTL Shop gekauft habe. :huh: Die Einzelheiten sollte man dem Anhang entnehmen, in dem leider der Virus steckte. Ich hab das zwar sofort abgebrochen und gelöscht, aber leider wohl zu spät. Es ging nichts mehr und der abgesicherte Modus war auch nicht möglich (blauer Bildschirm). Deshalb konnte ich Eure Anleitung zur Entfernung des BKA-Virus nicht befolgen :(
Scanne den Rechner gerade mit einer Avira Rescue CD und er hat schon zweimal den Trojaner TR/Crypt.Gypikon.A.5 gefunden und bisher 42 Warnungen oO.
Wie werde ich den Virus am besten wieder los? ?( (Scan läuft noch) Achso, ich hab mit dem Rechner leider keine Verbindung zum Internet mehr, so dass ich kein Virenupdate machen konnte :(
Betriebssystem: Windows XP, Avira Free Antivirus.
Vielen Dank für Eure Hilfe!

This post has been edited 1 times, last edit by "Rati" (May 4th 2012, 3:40pm)


  • "Rati" started this thread

Date of registration:
Oct 17th 2008

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

2

Friday, May 4th 2012, 4:31pm

Ergänzung: PC läuft inzwischen wieder, hab Virenupdate gemacht, neuer Virenscan läuft grad, findet denselben Virus, aber alle Daten sind blockiert :(

Michael_Mann

Moderator

Date of registration:
Oct 24th 2005

Version:
Avira Ultimate Protection Suite
Avira Free Unix/Linux
Avira Android Security

Operating System:
AmigaOS 3.9, Ubuntu 13.10+ & Windows XP SP3, win7 HEdit. 64b (sp1)

  • Send private message

3

Friday, May 4th 2012, 4:44pm

Bitte den Bericht von AVir posten.
Meine PCs: Amiga 1200 und WinUAE. Dafür ist Virenfreiheit garantiert.
Links: Tipps & Tricks -- HiJackThis -- Video Anleitungen
I speak german and english only

  • "Rati" started this thread

Date of registration:
Oct 17th 2008

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

4

Friday, May 4th 2012, 5:24pm

Hier der Bericht:



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 4. Mai 2012 16:15

Es wird nach 3746077 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername :
Computername :

Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 15.02.2012 18:24:38
AVSCAN.DLL : 12.1.0.18 65744 Bytes 15.02.2012 18:24:37
LUKE.DLL : 12.1.0.19 68304 Bytes 15.02.2012 18:24:39
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15.02.2012 18:24:41
AVREG.DLL : 12.1.0.36 229128 Bytes 05.04.2012 17:26:20
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 17:35:32
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 17:29:18
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 17:29:46
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 17:29:46
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 17:29:46
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 17:29:46
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 17:29:46
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 17:29:46
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 17:29:46
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 17:29:46
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 17:29:46
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 17:29:46
VBASE014.VDF : 7.11.26.107 221696 Bytes 30.03.2012 17:27:22
VBASE015.VDF : 7.11.26.179 224768 Bytes 02.04.2012 17:26:40
VBASE016.VDF : 7.11.26.241 142336 Bytes 04.04.2012 17:30:02
VBASE017.VDF : 7.11.27.41 247808 Bytes 08.04.2012 17:26:23
VBASE018.VDF : 7.11.27.107 161280 Bytes 12.04.2012 17:26:47
VBASE019.VDF : 7.11.27.159 148992 Bytes 13.04.2012 17:26:33
VBASE020.VDF : 7.11.27.201 207360 Bytes 17.04.2012 17:26:46
VBASE021.VDF : 7.11.28.3 237568 Bytes 19.04.2012 17:29:05
VBASE022.VDF : 7.11.28.49 193536 Bytes 20.04.2012 17:26:57
VBASE023.VDF : 7.11.28.99 195072 Bytes 23.04.2012 17:26:54
VBASE024.VDF : 7.11.28.133 247808 Bytes 24.04.2012 17:26:55
VBASE025.VDF : 7.11.28.183 186880 Bytes 26.04.2012 17:28:02
VBASE026.VDF : 7.11.28.235 166400 Bytes 30.04.2012 17:27:17
VBASE027.VDF : 7.11.29.37 290816 Bytes 03.05.2012 14:11:14
VBASE028.VDF : 7.11.29.38 2048 Bytes 03.05.2012 14:11:14
VBASE029.VDF : 7.11.29.39 2048 Bytes 03.05.2012 14:11:14
VBASE030.VDF : 7.11.29.40 2048 Bytes 03.05.2012 14:11:14
VBASE031.VDF : 7.11.29.62 62464 Bytes 04.05.2012 14:11:15
Engineversion : 8.2.10.62
AEVDF.DLL : 8.1.2.2 106868 Bytes 07.11.2011 17:54:54
AESCRIPT.DLL : 8.1.4.18 455034 Bytes 26.04.2012 17:29:56
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 17:24:26
AESBX.DLL : 8.2.5.5 606579 Bytes 12.03.2012 18:29:58
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06
AEPACK.DLL : 8.2.16.12 807287 Bytes 04.05.2012 14:12:00
AEOFFICE.DLL : 8.1.2.28 201082 Bytes 26.04.2012 17:29:49
AEHEUR.DLL : 8.1.4.23 4702582 Bytes 04.05.2012 14:11:51
AEHELP.DLL : 8.1.20.0 254326 Bytes 26.04.2012 17:28:33
AEGEN.DLL : 8.1.5.28 422260 Bytes 26.04.2012 17:28:29
AEEXP.DLL : 8.1.0.35 82291 Bytes 04.05.2012 14:12:01
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 22:46:01
AECORE.DLL : 8.1.25.6 201078 Bytes 15.03.2012 18:26:14
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 19.10.2011 15:55:51
AVPREF.DLL : 12.1.0.17 51920 Bytes 19.10.2011 15:55:48
AVREP.DLL : 12.1.0.17 179408 Bytes 19.10.2011 15:55:49
AVARKT.DLL : 12.1.0.23 209360 Bytes 15.02.2012 18:24:37
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 19.10.2011 15:55:47
SQLITE3.DLL : 3.7.0.0 398288 Bytes 19.10.2011 15:56:03
AVSMTP.DLL : 12.1.0.17 62928 Bytes 19.10.2011 15:55:50
NETNT.DLL : 12.1.0.17 17104 Bytes 19.10.2011 15:55:59
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 19.10.2011 15:56:14
RCTEXT.DLL : 12.1.0.16 98512 Bytes 19.10.2011 15:56:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Freitag, 4. Mai 2012 16:15

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'Bandoo.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchAnonymizerHelper.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'DATAMN~1.EXE' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dit.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCDDaemon.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCardSvr.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '165' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\WINDOWS\system32\42F95331F4371CBF2725.exe.VIR
[FUND] Ist das Trojanische Pferd TR/Crypt.Gypikon.A.5

Die Registry wurde durchsucht ( '522' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Boot>
C:\Dokumente und Einstellungen\Kerstin Schmidt\Anwendungsdaten\Luvarlupge\20AC0FF8F4371CBF27C4.exe.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.Gypikon.A.5
C:\Dokumente und Einstellungen\Kerstin Schmidt\Lokale Einstellungen\Temp\mpmcwypykf.pre.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.Gypikon.A.5
C:\WINDOWS\system32\42F95331F4371CBF2725.exe.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.Gypikon.A.5
Beginne mit der Suche in 'D:\' <Daten>
Beginne mit der Suche in 'E:\' <Daten 2>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\mpmcwypykf.pre.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.Gypikon.A.5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '52b9503b.qua' verschoben!
C:\Dokumente und Einstellungen\\Anwendungsdaten\Luvarlupge\20AC0FF8F4371CBF27C4.exe.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.Gypikon.A.5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55da7fdc.qua' verschoben!
Der Registrierungseintrag <HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\Debugger> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\Debugger> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path\Debugger> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\F4371CBF> wurde erfolgreich entfernt.
C:\WINDOWS\system32\42F95331F4371CBF2725.exe.VIR
[FUND] Ist das Trojanische Pferd TR/Crypt.Gypikon.A.5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '07882536.qua' verschoben!
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\F4371CBF> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1417001333-1343024091-854245398-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\F4371CBF> wurde erfolgreich repariert.


Ende des Suchlaufs: Freitag, 4. Mai 2012 17:21
Benötigte Zeit: 1:04:44 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

16506 Verzeichnisse wurden überprüft
525202 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
525198 Dateien ohne Befall
4963 Archive wurden durchsucht
0 Warnungen
3 Hinweise
558987 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

This post has been edited 2 times, last edit by "Michael_Mann" (May 4th 2012, 6:06pm) with the following reason: Realname entfernt


Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

5

Friday, May 4th 2012, 5:36pm


und gleich nacharbeiten - kein Virenscanner findet alles .....



****



Anleitung MALWAREBYTES -



Programmdownload:
http://download.bleepingcomputer.com/mal…/mbam-setup.exe

http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe

Installiere und Starte das Programm - Vista Windows 7 user bitte als Administrator >> Mausrechtsklick !
  • Wähle die Testphase für Echtzeitscanner ab !
  • Die Yahootoolbar ebenfalls


mache ein online update
Das Programm holt aktuellsten Virendefinitionen automatisch
schliesse ALLE Anwendungen - Auch deinen Browser !
auch Avira

Rechtsklick in den schirm > bei avira guard aktivieren den haken raus
und ruhe is ...... =)
..............................
Druecke Starte QUICKSCAN
Warte bis der Scan durchgelaufen ist


GANZ WICHTIG !

Nun alles entfernen (die Funde) - und das log
bitte hier ins Forum posten





Rajo




dann decrypten - das wird nett ...........
Telepolis
Dieses Forum dem ich lange Jahre "gedient" habe, wird bald aus unverständlichen Gründen geschlossen - Ich bleibe bis zum Schluss hier! - und mache mit Beate, Nobbi und weiteren Helfern das LICHT aus ! Ihr ALLE wart SUPER !

  • "Rati" started this thread

Date of registration:
Oct 17th 2008

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

6

Friday, May 4th 2012, 6:19pm

Sorry, ich Riesenidiot habe aus Versehen doch die Testversion angeklickt ;(

Hoffe, Du kannst mit dem Log was anfangen:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.04.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Kerstin Schmidt :: KERSTIN [Administrator]

Schutz: Deaktiviert

04.05.2012 18:09:46
mbam-log-2012-05-04 (18-09-46).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 228528
Laufzeit: 4 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

7

Friday, May 4th 2012, 6:31pm

Kein Problem - kannst du nacher noch umstellen - es soll nur vermieden Werden das da 2 echtzeitscanner
gleichzeitig arbeiten :

sonst sehr gut . Hier:

Quoted

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.


ist regedit wieder eingeschaltet - das hat Avira nicht gesehen - Kein Problem
Avira hat ja uns :thumbsup: ( das wollte ich schon immer mal schreiben ! :P )

der Part ist gelaufen

ehe ichs vergess - bitte NICHT die quarantäne löschen - ! unter keinen Umständen ! danke

***

Jetzt ist noch einiges gecrypted bilder richtig ??

ich bin in 45 min wieder hier

Rajo
Telepolis
Dieses Forum dem ich lange Jahre "gedient" habe, wird bald aus unverständlichen Gründen geschlossen - Ich bleibe bis zum Schluss hier! - und mache mit Beate, Nobbi und weiteren Helfern das LICHT aus ! Ihr ALLE wart SUPER !

  • "Rati" started this thread

Date of registration:
Oct 17th 2008

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

8

Friday, May 4th 2012, 6:36pm

Falls Du mit gecryptet meinst, dass es geblockt ist, ja, steht vor allen dateien "locked" davor und lassen sich nicht mehr öffnen ;( Nicht nur die Bilder, sondern auch Texte - alle Dateien :(
aber dass Du oben geschrieben hast, dass man das decrypten kann (klang zwar iwie kompliziert), macht mir Hoffnung ;)
Ok, bis dann
UND DANKE SCHONMAL

PS hatte das schon so eingestellt, dass der Echtzeitscanner nicht läuft, ict zumindest deaktiviert ;)

This post has been edited 1 times, last edit by "Rati" (May 4th 2012, 6:40pm)


Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

9

Friday, May 4th 2012, 6:41pm

Falls Du mit gecryptet meinst, dass es geblockt ist, ja, steht vor allen dateien "locked" davor und lassen sich nicht mehr öffnen ;(



Exact - und ja es gibt hoffnung -

spätestenz 20:00 wieder hier :

kannst da noch ein OTL scan bitte machen :


Downloade OTL von hier _
http://oldtimer.geekstogo.com/OTL.exe


Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"

Klicke ins Bild zu Vergrössern ..... :!:


4. Kopiere in die Textbox ohne das Wort "Zitat"

Quoted




netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
/md5start
explorer.exe
lsass.exe
svchost.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.exe /s
%APPDATA%\Adobe\Update\*.*
%APPDATA%\Update\*.*
%APPDATA%\Microsoft\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%ALLUSERSPROFILE%\*.*
%SYSTEMDRIVE%\*.*
%PROGRAMFILES%\*.*
%PROGRAMFILES%\Internet Explorer\*.*
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
%systemroot%\*. /mp /s
%systemroot%\*.exe /90
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.dll /90
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\*.exe /90
%systemroot%\system32\config\*.sav
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\assembly\tmp\*.* /S /MD5
%systemroot%\assembly\GAC_32\*.* /S /MD5
%systemroot%\assembly\GAC_64\*.* /S /MD5
CREATERESTOREPOINT
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs




5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
da diese zu groß sind mach folgendes. start programme zubehör,editor ( notepad), dort kopierst du beide rein und speicherst das neue dokument. diese dann hochladen:
www.file-upload.net
klicke auf durchsuchen, suche die datei, klicke einmal drauf, fenster schließt sich, klicke auf hochladen.
poste den download link.



Rajo
Telepolis
Dieses Forum dem ich lange Jahre "gedient" habe, wird bald aus unverständlichen Gründen geschlossen - Ich bleibe bis zum Schluss hier! - und mache mit Beate, Nobbi und weiteren Helfern das LICHT aus ! Ihr ALLE wart SUPER !

  • "Rati" started this thread

Date of registration:
Oct 17th 2008

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

11

Friday, May 4th 2012, 7:45pm

schau bitte in :

C:\WINDOWS\Web\Wallpaper

ich hoffe dort sind locked-blaba.jpg. dateien -
bitte bestätigen ...................


die brauchen wir ...



Rajo
Telepolis
Dieses Forum dem ich lange Jahre "gedient" habe, wird bald aus unverständlichen Gründen geschlossen - Ich bleibe bis zum Schluss hier! - und mache mit Beate, Nobbi und weiteren Helfern das LICHT aus ! Ihr ALLE wart SUPER !

  • "Rati" started this thread

Date of registration:
Oct 17th 2008

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

12

Friday, May 4th 2012, 7:48pm

oO nein, da sind keine, nur normale Wallpaper drin oO

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

13

Friday, May 4th 2012, 7:58pm

Das ist M*st -

bitte mal ein suche über die C:\ platte mit unterordner
nach locked-



wir brauche eine locked- Datei, die bekannt ist ...
dann sind wir die Helden und nicht die Hanswurst da

Rajo
Telepolis
Dieses Forum dem ich lange Jahre "gedient" habe, wird bald aus unverständlichen Gründen geschlossen - Ich bleibe bis zum Schluss hier! - und mache mit Beate, Nobbi und weiteren Helfern das LICHT aus ! Ihr ALLE wart SUPER !

  • "Rati" started this thread

Date of registration:
Oct 17th 2008

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

14

Friday, May 4th 2012, 8:02pm

da hat er 720 dateien gefunden, aber keine .jpg dabei oO, Du weißt nicht zufällig WELCHE wir brauchen?

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

15

Friday, May 4th 2012, 8:15pm

Du weißt nicht zufällig WELCHE wir brauchen?


das sollte egal sein - wichtig ist nur das wir eine identische ungelockte haben .

*kopfkratz * -

Rajo
Telepolis
Dieses Forum dem ich lange Jahre "gedient" habe, wird bald aus unverständlichen Gründen geschlossen - Ich bleibe bis zum Schluss hier! - und mache mit Beate, Nobbi und weiteren Helfern das LICHT aus ! Ihr ALLE wart SUPER !

  • "Rati" started this thread

Date of registration:
Oct 17th 2008

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

16

Friday, May 4th 2012, 8:16pm

öhm oh und wie bekommen wir das heraus *dummfrag*

Hmm das meiste, was er da gefunden hat, scheinen irgendwelche dateien von Internet Seiten zu sein, die ich mal besucht hab...

also ich hab vor ca. nem halben Jahr mal n backup gemacht, was ich auf der externen Festplatte habe, könnte das iwie helfen?

Moment mal: noch eine Frage vom Laien: Muss ich die identische ungelockte Datei selbst haben oder reicht das auch, wenn Du die hast, weil die Windows Beispielbilder, die auf dem Rechner schon vorher drauf waren , die sind jetzt auch gelocket und dazu müsste man ja identische ungelockte finden??

This post has been edited 2 times, last edit by "Rati" (May 4th 2012, 8:36pm)


Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

17

Friday, May 4th 2012, 8:35pm

hm

gibt es von denen hier noch ein original

[2012.05.02 18:42:45 | 000,218,052 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin Schmidt\Desktop\locked-36-geburtstag-7939583555033737193.png.lhnr
[2012.05.02 18:42:45 | 000,020,873 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin Schmidt\Desktop\locked-ESt2011_Schmidt_Kerstin.elfo.kcym
[2012.05.02 18:42:43 | 000,001,874 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin Schmidt\locked-Archive.rar.ycym
[2012.05.02 18:42:25 | 000,162,170 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin Schmidt\Anwendungsdaten\locked-NMM-MetaData.db.vuve
[2012.05.02 18:40:18 | 000,004,096 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\locked-000016E5.LCS.ypmy
[2012.05.02 18:31:20 | 000,095,077 | ---- | M] () -- D:\Eigene Dateien\locked-yourcertificate large.jpg.grgp
[2012.05.02 18:31:20 | 000,026,016 | ---- | M] () -- D:\Eigene Dateien\locked-yourcertificate.jpg.fnox
[2012.05.02 18:31:19 | 000,226,046 | ---- | M] () -- D:\Eigene Dateien\locked-Steuererklärung_2004_Dasi.zip.lgra
[2012.05.02 18:31:19 | 000,006,338 | ---- | M] () -- D:\Eigene Dateien\locked-Tastatur Buchstaben.gif.fpmy
[2012.05.02 18:31:19 | 000,004,352 | ---- | M] () -- D:\Eigene Dateien\locked-Tastatur Fkt+Cursortasten.gif.zrzh
[2012.05.02 18:31:19 | 000,002,636 | ---- | M] () -- D:\Eigene Dateien\locked-Tastatur Zahlenblock.gif.kyfp
[2012.05.02 18:30:35 | 001,418,076 | ---- | M] () -- D:\Eigene Dateien\locked-IMG_1385.JPG.eleg
[2012.05.02 18:30:35 | 001,026,174 | ---- | M] () -- D:\Eigene Dateien\locked-IMG_1012.JPG.rapv
[2012.05.02 18:30:33 | 000,570,226 | ---- | M] () -- D:\Eigene Dateien\locked-Expartner-zurueck_Gratis-Report.pdf.nrns
[2012.05.02 18:30:33 | 000,140,454 | ---- | M] () -- D:\Eigene Dateien\locked-ESt2010_Schmidt_Kerstin.elfo.ykwy
[2012.05.02 18:22:12 | 001,174,185 | ---- | M] () -- D:\Eigene Dateien\locked-Ebook_Ex-zurueck.pdf.pmpy
[2012.05.02 18:22:10 | 001,087,263 | ---- | M] () -- D:\Eigene Dateien\locked-DSC00511 (1).png.sbir
[2012.05.02 18:22:10 | 000,196,692 | ---- | M] () -- D:\Eigene Dateien\locked-DPE.DUS.myck
[2012.05.02 18:22:05 | 000,173,056 | ---- | M] () -- D:\Eigene Dateien\locked-DieneuenRechtschreibregeln.pps.vpar
[2012.04.30 17:29:50 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321


Das Powerpoint ding - wo bekommen wir das nochmal - hat das ein Freund / freundin geschickt ??

Spannend ...

Rajo
Telepolis
Dieses Forum dem ich lange Jahre "gedient" habe, wird bald aus unverständlichen Gründen geschlossen - Ich bleibe bis zum Schluss hier! - und mache mit Beate, Nobbi und weiteren Helfern das LICHT aus ! Ihr ALLE wart SUPER !

This post has been edited 1 times, last edit by "Rajo" (May 4th 2012, 8:39pm)


  • "Rati" started this thread

Date of registration:
Oct 17th 2008

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

18

Friday, May 4th 2012, 8:40pm

nein leider nicht, aber guck mal oben, hatte den letzten Post nochmal editiert und mom, in dem Backup müsste ja die pps auch drin sein, die is nämlich schon uralt ;)

von der mit dem 36. Geburtstag könnte ich nochmal ein Original besorgen :D

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

19

Friday, May 4th 2012, 8:43pm

Muss ich die identische ungelockte Datei selbst haben oder reicht das auch, wenn Du die hast, weil die Windows Beispielbilder, die auf dem Rechner schon vorher drauf waren , die sind jetzt auch gelocket und dazu müsste man ja identische ungelockte finden??



Ja daher frug ich doch noch den Beispielbildern

wenn die gelocked bei Dir sind haben wir gewonnen - ich habe die alle hier ungelockt -
Ich habe eben falls windows XP -

wie siehts aus ...

Rajo
Telepolis
Dieses Forum dem ich lange Jahre "gedient" habe, wird bald aus unverständlichen Gründen geschlossen - Ich bleibe bis zum Schluss hier! - und mache mit Beate, Nobbi und weiteren Helfern das LICHT aus ! Ihr ALLE wart SUPER !

  • "Rati" started this thread

Date of registration:
Oct 17th 2008

Version:
Avira Free Antivirus

Operating System:
Windows 7

  • Send private message

20

Friday, May 4th 2012, 8:44pm

ja nur die Beispielbilder sind ja nicht im Wallpaper Ordner ;)

jupp haben wir gelocked, ich könnte Dir jetzt aber auch das Original von dem 36. Geburtstagsbild bieten :D

aber egal: auf jeden Fall schon mal ein YEAH :D :thumbup: