Avira Support Forum

Hallo,

habe mir auch einen Erpresser-Virus eingefangen, der mein Windows blockiert hat. Er kam mit einer E-Mail, in der stand, dass ich angeblch einen PC im RTL Shop gekauft habe. Die Einzelheiten sollte man dem Anhang entnehmen, in dem leider der Virus steckte. Ich hab das zwar sofort abgebrochen und gelöscht, aber leider wohl zu spät. Es ging nichts mehr und der abgesicherte Modus war auch nicht möglich (blauer Bildschirm). Deshalb konnte ich Eure Anleitung zur Entfernung des BKA-Virus nicht befolgen
Scanne den Rechner gerade mit einer Avira Rescue CD und er hat schon zweimal den Trojaner TR/Crypt.Gypikon.A.5 gefunden und bisher 42 Warnungen oO.
Wie werde ich den Virus am besten wieder los? (Scan läuft noch) Achso, ich hab mit dem Rechner leider keine Verbindung zum Internet mehr, so dass ich kein Virenupdate machen konnte
Betriebssystem: Windows XP, Avira Free Antivirus.
Vielen Dank für Eure Hilfe!

Ergänzung: PC läuft inzwischen wieder, hab Virenupdate gemacht, neuer Virenscan läuft grad, findet denselben Virus, aber alle Daten sind blockiert

Bitte den Bericht von AVir posten.

Hier der Bericht:



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 4. Mai 2012 16:15

Es wird nach 3746077 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername :
Computername :

Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 15.02.2012 18:24:38
AVSCAN.DLL : 12.1.0.18 65744 Bytes 15.02.2012 18:24:37
LUKE.DLL : 12.1.0.19 68304 Bytes 15.02.2012 18:24:39
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15.02.2012 18:24:41
AVREG.DLL : 12.1.0.36 229128 Bytes 05.04.2012 17:26:20
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 17:35:32
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 17:29:18
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 17:29:46
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 17:29:46
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 17:29:46
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 17:29:46
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 17:29:46
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 17:29:46
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 17:29:46
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 17:29:46
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 17:29:46
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 17:29:46
VBASE014.VDF : 7.11.26.107 221696 Bytes 30.03.2012 17:27:22
VBASE015.VDF : 7.11.26.179 224768 Bytes 02.04.2012 17:26:40
VBASE016.VDF : 7.11.26.241 142336 Bytes 04.04.2012 17:30:02
VBASE017.VDF : 7.11.27.41 247808 Bytes 08.04.2012 17:26:23
VBASE018.VDF : 7.11.27.107 161280 Bytes 12.04.2012 17:26:47
VBASE019.VDF : 7.11.27.159 148992 Bytes 13.04.2012 17:26:33
VBASE020.VDF : 7.11.27.201 207360 Bytes 17.04.2012 17:26:46
VBASE021.VDF : 7.11.28.3 237568 Bytes 19.04.2012 17:29:05
VBASE022.VDF : 7.11.28.49 193536 Bytes 20.04.2012 17:26:57
VBASE023.VDF : 7.11.28.99 195072 Bytes 23.04.2012 17:26:54
VBASE024.VDF : 7.11.28.133 247808 Bytes 24.04.2012 17:26:55
VBASE025.VDF : 7.11.28.183 186880 Bytes 26.04.2012 17:28:02
VBASE026.VDF : 7.11.28.235 166400 Bytes 30.04.2012 17:27:17
VBASE027.VDF : 7.11.29.37 290816 Bytes 03.05.2012 14:11:14
VBASE028.VDF : 7.11.29.38 2048 Bytes 03.05.2012 14:11:14
VBASE029.VDF : 7.11.29.39 2048 Bytes 03.05.2012 14:11:14
VBASE030.VDF : 7.11.29.40 2048 Bytes 03.05.2012 14:11:14
VBASE031.VDF : 7.11.29.62 62464 Bytes 04.05.2012 14:11:15
Engineversion : 8.2.10.62
AEVDF.DLL : 8.1.2.2 106868 Bytes 07.11.2011 17:54:54
AESCRIPT.DLL : 8.1.4.18 455034 Bytes 26.04.2012 17:29:56
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 17:24:26
AESBX.DLL : 8.2.5.5 606579 Bytes 12.03.2012 18:29:58
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06
AEPACK.DLL : 8.2.16.12 807287 Bytes 04.05.2012 14:12:00
AEOFFICE.DLL : 8.1.2.28 201082 Bytes 26.04.2012 17:29:49
AEHEUR.DLL : 8.1.4.23 4702582 Bytes 04.05.2012 14:11:51
AEHELP.DLL : 8.1.20.0 254326 Bytes 26.04.2012 17:28:33
AEGEN.DLL : 8.1.5.28 422260 Bytes 26.04.2012 17:28:29
AEEXP.DLL : 8.1.0.35 82291 Bytes 04.05.2012 14:12:01
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 22:46:01
AECORE.DLL : 8.1.25.6 201078 Bytes 15.03.2012 18:26:14
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 19.10.2011 15:55:51
AVPREF.DLL : 12.1.0.17 51920 Bytes 19.10.2011 15:55:48
AVREP.DLL : 12.1.0.17 179408 Bytes 19.10.2011 15:55:49
AVARKT.DLL : 12.1.0.23 209360 Bytes 15.02.2012 18:24:37
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 19.10.2011 15:55:47
SQLITE3.DLL : 3.7.0.0 398288 Bytes 19.10.2011 15:56:03
AVSMTP.DLL : 12.1.0.17 62928 Bytes 19.10.2011 15:55:50
NETNT.DLL : 12.1.0.17 17104 Bytes 19.10.2011 15:55:59
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 19.10.2011 15:56:14
RCTEXT.DLL : 12.1.0.16 98512 Bytes 19.10.2011 15:56:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Freitag, 4. Mai 2012 16:15

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'Bandoo.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchAnonymizerHelper.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'DATAMN~1.EXE' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dit.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCDDaemon.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCardSvr.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '165' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\WINDOWS\system32\42F95331F4371CBF2725.exe.VIR
[FUND] Ist das Trojanische Pferd TR/Crypt.Gypikon.A.5

Die Registry wurde durchsucht ( '522' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Boot>
C:\Dokumente und Einstellungen\Kerstin Schmidt\Anwendungsdaten\Luvarlupge\20AC0FF8F4371CBF27C4.exe.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.Gypikon.A.5
C:\Dokumente und Einstellungen\Kerstin Schmidt\Lokale Einstellungen\Temp\mpmcwypykf.pre.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.Gypikon.A.5
C:\WINDOWS\system32\42F95331F4371CBF2725.exe.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.Gypikon.A.5
Beginne mit der Suche in 'D:\' <Daten>
Beginne mit der Suche in 'E:\' <Daten 2>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temp\mpmcwypykf.pre.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.Gypikon.A.5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '52b9503b.qua' verschoben!
C:\Dokumente und Einstellungen\\Anwendungsdaten\Luvarlupge\20AC0FF8F4371CBF27C4.exe.vir
[FUND] Ist das Trojanische Pferd TR/Crypt.Gypikon.A.5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55da7fdc.qua' verschoben!
Der Registrierungseintrag <HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\Debugger> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\Debugger> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path\Debugger> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\F4371CBF> wurde erfolgreich entfernt.
C:\WINDOWS\system32\42F95331F4371CBF2725.exe.VIR
[FUND] Ist das Trojanische Pferd TR/Crypt.Gypikon.A.5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '07882536.qua' verschoben!
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\F4371CBF> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1417001333-1343024091-854245398-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\F4371CBF> wurde erfolgreich repariert.


Ende des Suchlaufs: Freitag, 4. Mai 2012 17:21
Benötigte Zeit: 1:04:44 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

16506 Verzeichnisse wurden überprüft
525202 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
525198 Dateien ohne Befall
4963 Archive wurden durchsucht
0 Warnungen
3 Hinweise
558987 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

und gleich nacharbeiten - kein Virenscanner findet alles .....


****



Anleitung MALWAREBYTES -



Programmdownload:
http://download.bleepingcomputer.com/mal…/mbam-setup.exe

http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe

Installiere und Starte das Programm - Vista Windows 7 user bitte als Administrator >> Mausrechtsklick !

• Wähle die Testphase für Echtzeitscanner ab !
  
• Die Yahootoolbar ebenfalls
  

mache ein online update
Das Programm holt aktuellsten Virendefinitionen automatisch
schliesse ALLE Anwendungen - Auch deinen Browser !
auch Avira
Rechtsklick in den schirm > bei avira guard aktivieren den haken raus
und ruhe is ...... =)
..............................
Druecke Starte QUICKSCAN
Warte bis der Scan durchgelaufen ist


GANZ WICHTIG !

Nun alles entfernen (die Funde) - und das log
bitte hier ins Forum posten





Rajo




dann decrypten - das wird nett ...........

Sorry, ich Riesenidiot habe aus Versehen doch die Testversion angeklickt

Hoffe, Du kannst mit dem Log was anfangen:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.04.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Kerstin Schmidt :: KERSTIN [Administrator]

Schutz: Deaktiviert

04.05.2012 18:09:46
mbam-log-2012-05-04 (18-09-46).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 228528
Laufzeit: 4 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Kein Problem - kannst du nacher noch umstellen - es soll nur vermieden Werden das da 2 echtzeitscanner
gleichzeitig arbeiten :

sonst sehr gut . Hier:

Zitat

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

ist regedit wieder eingeschaltet - das hat Avira nicht gesehen - Kein Problem
Avira hat ja uns ( das wollte ich schon immer mal schreiben ! )

der Part ist gelaufen

ehe ichs vergess - bitte NICHT die quarantäne löschen - ! unter keinen Umständen ! danke

***

Jetzt ist noch einiges gecrypted bilder richtig ??

ich bin in 45 min wieder hier

Rajo

Falls Du mit gecryptet meinst, dass es geblockt ist, ja, steht vor allen dateien "locked" davor und lassen sich nicht mehr öffnen Nicht nur die Bilder, sondern auch Texte - alle Dateien
aber dass Du oben geschrieben hast, dass man das decrypten kann (klang zwar iwie kompliziert), macht mir Hoffnung
Ok, bis dann
UND DANKE SCHONMAL

PS hatte das schon so eingestellt, dass der Echtzeitscanner nicht läuft, ict zumindest deaktiviert

Zitat von »Rati«

Falls Du mit gecryptet meinst, dass es geblockt ist, ja, steht vor allen dateien "locked" davor und lassen sich nicht mehr öffnen

Exact - und ja es gibt hoffnung -

spätestenz 20:00 wieder hier :

kannst da noch ein OTL scan bitte machen :


Downloade OTL von hier _
http://oldtimer.geekstogo.com/OTL.exe


Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"

Klicke ins Bild zu Vergrössern .....


4. Kopiere in die Textbox ohne das Wort "Zitat"

Zitat

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
/md5start
explorer.exe
lsass.exe
svchost.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.exe /s
%APPDATA%\Adobe\Update\*.*
%APPDATA%\Update\*.*
%APPDATA%\Microsoft\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%ALLUSERSPROFILE%\*.*
%SYSTEMDRIVE%\*.*
%PROGRAMFILES%\*.*
%PROGRAMFILES%\Internet Explorer\*.*
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
%systemroot%\*. /mp /s
%systemroot%\*.exe /90
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.dll /90
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\*.exe /90
%systemroot%\system32\config\*.sav
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\assembly\tmp\*.* /S /MD5
%systemroot%\assembly\GAC_32\*.* /S /MD5
%systemroot%\assembly\GAC_64\*.* /S /MD5
CREATERESTOREPOINT
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
da diese zu groß sind mach folgendes. start programme zubehör,editor ( notepad), dort kopierst du beide rein und speicherst das neue dokument. diese dann hochladen:
www.file-upload.net
klicke auf durchsuchen, suche die datei, klicke einmal drauf, fenster schließt sich, klicke auf hochladen.
poste den download link.



Rajo

und hier isser: http://www.file-upload.net/download-4327245/otl.txt.html

schau bitte in :

C:\WINDOWS\Web\Wallpaper

ich hoffe dort sind locked-blaba.jpg. dateien -
bitte bestätigen ...................


die brauchen wir ...



Rajo

oO nein, da sind keine, nur normale Wallpaper drin oO

Das ist M*st -

bitte mal ein suche über die C:\ platte mit unterordner
nach locked-



wir brauche eine locked- Datei, die bekannt ist ...
dann sind wir die Helden und nicht die Hanswurst da

Rajo

da hat er 720 dateien gefunden, aber keine .jpg dabei oO, Du weißt nicht zufällig WELCHE wir brauchen?

Zitat von »Rati«

Du weißt nicht zufällig WELCHE wir brauchen?

das sollte egal sein - wichtig ist nur das wir eine identische ungelockte haben .

*kopfkratz * -

Rajo

öhm oh und wie bekommen wir das heraus *dummfrag*

Hmm das meiste, was er da gefunden hat, scheinen irgendwelche dateien von Internet Seiten zu sein, die ich mal besucht hab...

also ich hab vor ca. nem halben Jahr mal n backup gemacht, was ich auf der externen Festplatte habe, könnte das iwie helfen?

Moment mal: noch eine Frage vom Laien: Muss ich die identische ungelockte Datei selbst haben oder reicht das auch, wenn Du die hast, weil die Windows Beispielbilder, die auf dem Rechner schon vorher drauf waren , die sind jetzt auch gelocket und dazu müsste man ja identische ungelockte finden??

hm

gibt es von denen hier noch ein original

[2012.05.02 18:42:45 | 000,218,052 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin Schmidt\Desktop\locked-36-geburtstag-7939583555033737193.png.lhnr
[2012.05.02 18:42:45 | 000,020,873 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin Schmidt\Desktop\locked-ESt2011_Schmidt_Kerstin.elfo.kcym
[2012.05.02 18:42:43 | 000,001,874 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin Schmidt\locked-Archive.rar.ycym
[2012.05.02 18:42:25 | 000,162,170 | ---- | M] () -- C:\Dokumente und Einstellungen\Kerstin Schmidt\Anwendungsdaten\locked-NMM-MetaData.db.vuve
[2012.05.02 18:40:18 | 000,004,096 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\locked-000016E5.LCS.ypmy
[2012.05.02 18:31:20 | 000,095,077 | ---- | M] () -- D:\Eigene Dateien\locked-yourcertificate large.jpg.grgp
[2012.05.02 18:31:20 | 000,026,016 | ---- | M] () -- D:\Eigene Dateien\locked-yourcertificate.jpg.fnox
[2012.05.02 18:31:19 | 000,226,046 | ---- | M] () -- D:\Eigene Dateien\locked-Steuererklärung_2004_Dasi.zip.lgra
[2012.05.02 18:31:19 | 000,006,338 | ---- | M] () -- D:\Eigene Dateien\locked-Tastatur Buchstaben.gif.fpmy
[2012.05.02 18:31:19 | 000,004,352 | ---- | M] () -- D:\Eigene Dateien\locked-Tastatur Fkt+Cursortasten.gif.zrzh
[2012.05.02 18:31:19 | 000,002,636 | ---- | M] () -- D:\Eigene Dateien\locked-Tastatur Zahlenblock.gif.kyfp
[2012.05.02 18:30:35 | 001,418,076 | ---- | M] () -- D:\Eigene Dateien\locked-IMG_1385.JPG.eleg
[2012.05.02 18:30:35 | 001,026,174 | ---- | M] () -- D:\Eigene Dateien\locked-IMG_1012.JPG.rapv
[2012.05.02 18:30:33 | 000,570,226 | ---- | M] () -- D:\Eigene Dateien\locked-Expartner-zurueck_Gratis-Report.pdf.nrns
[2012.05.02 18:30:33 | 000,140,454 | ---- | M] () -- D:\Eigene Dateien\locked-ESt2010_Schmidt_Kerstin.elfo.ykwy
[2012.05.02 18:22:12 | 001,174,185 | ---- | M] () -- D:\Eigene Dateien\locked-Ebook_Ex-zurueck.pdf.pmpy
[2012.05.02 18:22:10 | 001,087,263 | ---- | M] () -- D:\Eigene Dateien\locked-DSC00511 (1).png.sbir
[2012.05.02 18:22:10 | 000,196,692 | ---- | M] () -- D:\Eigene Dateien\locked-DPE.DUS.myck
[2012.05.02 18:22:05 | 000,173,056 | ---- | M] () -- D:\Eigene Dateien\locked-DieneuenRechtschreibregeln.pps.vpar
[2012.04.30 17:29:50 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321


Das Powerpoint ding - wo bekommen wir das nochmal - hat das ein Freund / freundin geschickt ??

Spannend ...

Rajo

nein leider nicht, aber guck mal oben, hatte den letzten Post nochmal editiert und mom, in dem Backup müsste ja die pps auch drin sein, die is nämlich schon uralt

von der mit dem 36. Geburtstag könnte ich nochmal ein Original besorgen

Zitat von »Rati«

Muss ich die identische ungelockte Datei selbst haben oder reicht das auch, wenn Du die hast, weil die Windows Beispielbilder, die auf dem Rechner schon vorher drauf waren , die sind jetzt auch gelocket und dazu müsste man ja identische ungelockte finden??

Ja daher frug ich doch noch den Beispielbildern

wenn die gelocked bei Dir sind haben wir gewonnen - ich habe die alle hier ungelockt -
Ich habe eben falls windows XP -

wie siehts aus ...

Rajo

ja nur die Beispielbilder sind ja nicht im Wallpaper Ordner

jupp haben wir gelocked, ich könnte Dir jetzt aber auch das Original von dem 36. Geburtstagsbild bieten

aber egal: auf jeden Fall schon mal ein YEAH