Sch.... Virus hat alle meine JPGs verschlüsselt

Mach mal bitte ein LOG mit Hijackthis und kopier ihn unverändert hier her.

Hallo Schalker1904

Hier mal die Daten....
Grüße aus dem heißen Namibia

Michael




Logfile of HijackThis v1.99.1
Scan saved at 12:03:44 PM, on 12/14/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\Luehl\LOCALS~1\Temp\Temporary Directory 1 for hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.10.1:3128
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\deviceemulator.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: C:\WINDOWS\system32\jkd845jg.dll - {B5AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jkd845jg.dll (file missing)
O2 - BHO: C:\WINDOWS\system32\d4ghggf4g.dll - {B5AF0562-94F3-42BD-F434-2604812C297D} - C:\WINDOWS\system32\d4ghggf4g.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Traybar] C:\WINDOWS\lsass.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Add to Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{54210374-9113-44EA-B54C-C03B227088AD}: NameServer = 85.255.114.11,85.255.112.98
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C3AB322-7C24-443E-9F02-440B47C19F65}: NameServer = 85.255.114.11,85.255.112.98
O17 - HKLM\System\CCS\Services\Tcpip\..\{804542D8-7F8D-468A-AE06-012FB1AA52F5}: NameServer = 85.255.114.11,85.255.112.98
O17 - HKLM\System\CCS\Services\Tcpip\..\{C31506D0-9D77-402D-B8C3-513DBA2DCA87}: NameServer = 85.255.114.11,85.255.112.98
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8592714-E15A-4E35-B1BB-79CD5E58A664}: NameServer = 85.255.114.11,85.255.112.98
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.11 85.255.112.98
O17 - HKLM\System\CS1\Services\Tcpip\..\{54210374-9113-44EA-B54C-C03B227088AD}: NameServer = 85.255.114.11,85.255.112.98
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.11 85.255.112.98
O17 - HKLM\System\CS2\Services\Tcpip\..\{54210374-9113-44EA-B54C-C03B227088AD}: NameServer = 85.255.114.11,85.255.112.98
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.11 85.255.112.98
O20 - AppInit_DLLs: C:\WINDOWS\system32\svch52.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Documents\Settings\partnership.dll (file missing)
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Microsoft Inet Service - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

 

Dein Rechner wird von einem Hacker in 65029 Odessa gesteuert. Zieh am besten sofort das Kabel raus und formatier die Platte

Oder lebst du in Odessa?

GENAU , sieht BÖSE aus... Dateien ggf retten , dann formatieren !!



[N] - O2 - BHO: C:\WINDOWS\system32\jkd845jg.dll - {B5AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jkd845jg.dll (file missing)
[N] - O2 - BHO: C:\WINDOWS\system32\d4ghggf4g.dll - {B5AF0562-94F3-42BD-F434-2604812C297D} - C:\WINDOWS\system32\d4ghggf4g.dll (file missing)
[X] - O4 - HKLM\..\Run: [Traybar] C:\WINDOWS\lsass.exe
[X] - O17 - HKLM\System\CCS\Services\Tcpip\..\{54210374-9113-44EA-B54C-C03B227088AD}: NameServer = 85.255.114.11,85.255.112.98
[X] - O17 - HKLM\System\CCS\Services\Tcpip\..\{5C3AB322-7C24-443E-9F02-440B47C19F65}: NameServer = 85.255.114.11,85.255.112.98
[X] - O17 - HKLM\System\CCS\Services\Tcpip\..\{804542D8-7F8D-468A-AE06-012FB1AA52F5}: NameServer = 85.255.114.11,85.255.112.98
[X] - O17 - HKLM\System\CCS\Services\Tcpip\..\{C31506D0-9D77-402D-B8C3-513DBA2DCA87}: NameServer = 85.255.114.11,85.255.112.98
[X] - O17 - HKLM\System\CCS\Services\Tcpip\..\{E8592714-E15A-4E35-B1BB-79CD5E58A664}: NameServer = 85.255.114.11,85.255.112.98
[X] - O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.11 85.255.112.98
[X] - O17 - HKLM\System\CS1\Services\Tcpip\..\{54210374-9113-44EA-B54C-C03B227088AD}: NameServer = 85.255.114.11,85.255.112.98
[X] - O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.11 85.255.112.98
[X] - O17 - HKLM\System\CS2\Services\Tcpip\..\{54210374-9113-44EA-B54C-C03B227088AD}: NameServer = 85.255.114.11,85.255.112.98
[X] - O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.11 85.255.112.98
[?] - O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)


>>> Xp-Install<<<

Da hast du dir aber wieder viel Arbeit gemacht HCK

An Schalker1904 und HCK

Vielen Dank für die Hilfe.

Wie schon gesagt sind meine ganzen JPGs von diesem Odessahampel verschlüsselt worden. Alles konte ich retten nur die JPGs nicht und die sind wichtig. Kann man die wieder entschlüsseln?

LG aus Namibia

Michael

Schau auf den Sites der bekannten Antiviren-Hersteller.

Dort werden z.T. Entschlüsselungstools und bekannte Passwörter angeboten.

Da hast du dir aber wieder viel Arbeit gemacht HCK

mach dein rechner dicht.
sry wegen den bildern aber du willst doch wohl nicht in einem gefägnis landen.
vllt kannst du die bilder ja auf ein anderes medium brennen oder kopieren, was allerdings riskant wäre, da sich der virus evtl. mitkopiert.

@schalker

gibts irgendwo ne website wo man rausfinden kann wem eine bestimmte ip adresse gehört.


luis

 Siehe hier:

http://www.tele-tommi.de/Service/ipsuche.htm
http://www.schwarzl.at/ipcheck.html
http://www.dnswatch.info/de


google hätte dir geholfen 



gruß deniz

 
DANKE


LUIS

Kein Ding