| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Vrschlüsselungstrojaner - wie starten?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
10.05.2012, 07:28
| #1 |
| |  Vrschlüsselungstrojaner - wie starten? Hallo, ich habe hier einen PC mit Windows XP pro SP3 auf dem der Verschlüsselungstrojaner durch öffnen eines Mailanhangs aktiviert wurde. Da kein abgesicherter Modus möglich ist habe ich mir die "OTL"-CD gebrannt. Von CD startet der PC auch problemlos. Jetzt rufe ich den Scanner auf. Dann wird hier immer geschrieben ich soll den Haken bei "Automatisch Profile anderer User laden" (oder so ähnlich) weg machen. Auf welchen User soll ich das aber stellen? Standardmäßig steht der hier auf dem Nutzer "Local Services" und nicht auf dem (einzigen) eingerichteten Benutzer. Danke für die Hilfe p.s. Soll ich die Mail als sample verschicken? Noch habe ich die hier vorliegen. |
|
10.05.2012, 22:54
| #2 |
| /// Malwareteam    | Vrschlüsselungstrojaner - wie starten? Mein Name ist Marius und ich werde dir bei deinem Problem helfen. Eines vorneweg: Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist. Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
Hinweis: Wie boote ich von CD
__________________ |
|
11.05.2012, 17:05
| #3 |
| | Vrschlüsselungstrojaner - wie starten? Hallo Marius,
__________________vielen Dank für Deinen Einsatz. Ich habe OTLpe gestartet und es kam aber nur eine OTL.Txt heraus. Keine Extras.Txt OTL.Txt: OTL Logfile: Code:
ATTFilter OTL logfile created on: 5/11/2012 7:57:27 PM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 87.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 96.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298.08 Gb Total Space | 266.11 Gb Free Space | 89.27% Space Free | Partition Type: NTFS
Drive D: | 14.89 Gb Total Space | 9.44 Gb Free Space | 63.43% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
========== Win32 Services (SafeList) ==========
SRV - [2012/04/23 14:38:30 | 000,785,304 | ---- | M] (Spigot, Inc.) [Auto] -- C:\Programme\Application Updater\ApplicationUpdater.exe -- (Application Updater)
SRV - [2011/07/21 06:08:02 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/04/21 01:52:51 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2003/07/28 06:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003/06/19 17:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)
========== Driver Services (SafeList) ==========
DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - [2011/07/21 06:11:12 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/07/21 06:11:11 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011/06/13 05:03:54 | 000,306,664 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2010/04/16 08:59:44 | 001,521,544 | ---- | M] (Syntek) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\StkCMini.sys -- (StkCMini)
DRV - [2010/02/25 11:08:56 | 005,864,480 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2009/10/08 11:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/09/29 10:05:15 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2001/08/17 07:53:32 | 000,003,328 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\qv2kux.sys -- (QV2KUX)
========== Standard Registry (SafeList) ==========
========== Internet Explorer ==========
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\user1_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.witthoeft.de/
IE - HKU\user1_ON_C\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\5.6\pdfforgeToolbarIE.dll (Spigot, Inc.)
IE - HKU\user1_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
O1 HOSTS File: ([2008/04/14 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\5.6\pdfforgeToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\5.6\pdfforgeToolbarIE.dll (Spigot, Inc.)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [SearchSettings] C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
O4 - HKLM..\Run: [SfWinStartInfo] C:\Programme\SFirm\sfWinStartupInfo.exe (SFirm Hannover)
O4 - HKU\user1_ON_C..\Run: [1Y7C9I1C5ZWVZIYVINLUSP] C:\update64\1E7298122BD.exe ()
O4 - HKU\user1_ON_C..\Run: [8CB5BCC1] C:\WINDOWS\system32\09916F248CB5BCC15B47.exe (arnese esca)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Synchredible.lnk = C:\Programme\ASCOMP Software\Synchredible\synchredible.exe (ASCOMP Software GmbH)
O4 - Startup: C:\Dokumente und Einstellungen\user1\Startmenü\Programme\Autostart\Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe (sw4you, Siegfried Weckmann)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\user1_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\user1_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\user1_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O16 - DPF: {173D9E48-B527-4AA0-A929-30B446002AA8} hxxp://tsw.dyndns.tv:5400/DVRemoteAx.cab (DVRemoteControl Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011/09/28 17:26:50 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009/06/10 22:44:56 | 000,000,043 | ---- | M] () - D:\autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
========== Files/Folders - Created Within 30 Days ==========
[2012/05/07 12:23:18 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2012/05/07 05:41:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\Pnfk
[2012/05/07 05:34:00 | 000,069,120 | -H-- | C] (arnese esca) -- C:\WINDOWS\System32\09916F248CB5BCC15B47.exe
[2012/05/04 08:46:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\Search Settings
[2012/05/04 08:46:19 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Spigot
[2012/05/04 08:46:19 | 000,000,000 | ---D | C] -- C:\Programme\pdfforge Toolbar
[2012/05/04 08:46:19 | 000,000,000 | ---D | C] -- C:\Programme\Application Updater
[2012/04/25 04:24:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user1\Desktop\Homepage HTV Carina
[2012/04/22 09:00:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user1\Desktop\Horst Kerkhoff
[2012/04/17 06:31:02 | 000,000,000 | ---D | C] -- C:\Programme\MAPILab Ltd
[2012/04/17 06:31:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user1\Startmenü\Programme\MAPILab
[2012/04/17 06:30:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
========== Files - Modified Within 30 Days ==========
[2012/05/09 13:58:47 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/05/09 13:57:03 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012/05/09 13:53:43 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/05/07 09:22:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012/05/07 09:03:32 | 000,320,424 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/05/07 09:03:32 | 000,314,644 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/05/07 09:03:32 | 000,049,372 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/05/07 09:03:32 | 000,040,972 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012/05/07 05:42:32 | 611,533,824 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Eigene Dateien\Archiv - Outlook 2009.pst
[2012/05/07 05:42:32 | 188,957,696 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Eigene Dateien\Archiv - Outlook 2008.pst
[2012/05/07 05:42:32 | 000,525,312 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Eigene Dateien\Archiv - Outlook 2004.pst
[2012/05/07 05:34:00 | 000,069,120 | -H-- | M] (arnese esca) -- C:\WINDOWS\System32\09916F248CB5BCC15B47.exe
[2012/05/04 03:58:56 | 000,000,192 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Desktop\Regenradar.url
[2012/05/03 23:52:20 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh325
[2012/05/03 23:41:54 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh324
[2012/05/03 23:27:28 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323
[2012/05/03 23:26:12 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322
[2012/05/03 23:23:16 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321
[2012/05/03 23:20:38 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320
[2012/05/03 11:01:42 | 000,033,027 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Desktop\CC_RECHNUNG_32897682_B205034715_WITTHOEFTGABRIELE_MRS_04.05.2012_4E6EJL_SEITE_1.pdf
[2012/05/03 09:41:09 | 000,032,622 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Desktop\buchung-3589167-4E6EJL.mdi
[2012/05/02 10:42:00 | 000,000,126 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Desktop\Willkommen bei der Damen Tennisbundesliga.url
[2012/05/02 08:21:31 | 000,000,115 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Desktop\TennisLive.net.url
[2012/05/02 05:33:03 | 000,000,195 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Desktop\Tennis Live-Ticker, Tennis Ergebnisse, Livescore.url
[2012/05/02 05:20:21 | 000,000,195 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Desktop\ITF - International Tennis Federation.url
[2012/04/30 08:41:20 | 000,000,327 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Desktop\Galileo Petroleum.url
[2012/04/24 02:21:43 | 000,000,166 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Desktop\Google.url
[2012/04/12 21:00:41 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
========== Files Created - No Company Name ==========
[2012/05/07 05:41:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325
[2012/05/07 05:41:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012/05/07 05:41:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012/05/07 05:41:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012/05/07 05:41:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012/05/07 05:41:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320
[2012/05/03 11:01:40 | 000,033,027 | ---- | C] () -- C:\Dokumente und Einstellungen\user1\Desktop\CC_RECHNUNG_32897682_B205034715_WITTHOEFTGABRIELE_MRS_04.05.2012_4E6EJL_SEITE_1.pdf
[2012/05/03 09:41:09 | 000,032,622 | ---- | C] () -- C:\Dokumente und Einstellungen\user1\Desktop\buchung-3589167-4E6EJL.mdi
[2012/05/02 10:42:00 | 000,000,126 | ---- | C] () -- C:\Dokumente und Einstellungen\user1\Desktop\Willkommen bei der Damen Tennisbundesliga.url
[2012/05/02 08:21:31 | 000,000,115 | ---- | C] () -- C:\Dokumente und Einstellungen\user1\Desktop\TennisLive.net.url
[2012/05/02 05:32:53 | 000,000,195 | ---- | C] () -- C:\Dokumente und Einstellungen\user1\Desktop\Tennis Live-Ticker, Tennis Ergebnisse, Livescore.url
[2012/05/02 05:20:03 | 000,000,195 | ---- | C] () -- C:\Dokumente und Einstellungen\user1\Desktop\ITF - International Tennis Federation.url
[2012/04/30 08:40:49 | 000,000,327 | ---- | C] () -- C:\Dokumente und Einstellungen\user1\Desktop\Galileo Petroleum.url
[2012/02/16 06:40:23 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012/01/30 11:05:50 | 000,000,028 | ---- | C] () -- C:\WINDOWS\pdf995.ini
[2011/12/15 08:38:26 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2011/12/15 04:24:15 | 000,007,168 | ---- | C] () -- C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/11/30 10:36:53 | 000,197,648 | ---- | C] () -- C:\WINDOWS\System32\drivers\StkCSF.sys
[2011/11/30 10:36:53 | 000,084,616 | ---- | C] () -- C:\WINDOWS\StkUnist.exe
[2011/10/17 03:47:54 | 000,000,680 | ---- | C] () -- C:\WINDOWS\System32\iCMS.dat
[2011/09/30 09:48:21 | 000,051,716 | ---- | C] () -- C:\WINDOWS\System32\pdf995mon.dll
[2011/09/30 09:48:21 | 000,000,108 | ---- | C] () -- C:\WINDOWS\wpd99.drv
[2011/09/30 09:14:26 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\eSTsnmp.dll
[2011/09/30 09:13:27 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\user1\Ÿ9Ÿ9
[2011/09/30 09:07:06 | 000,178,807 | ---- | C] () -- C:\WINDOWS\hphins25.dat
[2011/09/30 09:07:06 | 000,000,879 | ---- | C] () -- C:\WINDOWS\hphmdl25.dat
[2011/09/30 08:37:30 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2011/09/28 18:15:28 | 000,982,196 | ---- | C] () -- C:\WINDOWS\System32\igkrng500.bin
[2011/09/28 18:15:27 | 000,417,344 | ---- | C] () -- C:\WINDOWS\System32\igcompkrng500.bin
[2011/09/28 18:15:22 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011/09/28 18:14:32 | 000,131,688 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011/09/28 17:28:12 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011/09/28 17:24:32 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010/09/23 09:46:34 | 000,081,936 | ---- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2008/04/14 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008/04/14 08:00:00 | 000,320,424 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008/04/14 08:00:00 | 000,314,644 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008/04/14 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008/04/14 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008/04/14 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008/04/14 08:00:00 | 000,049,372 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008/04/14 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008/04/14 08:00:00 | 000,040,972 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008/04/14 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008/04/14 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008/04/14 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008/04/14 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008/04/14 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2007/11/07 03:15:28 | 000,010,752 | ---- | C] () -- C:\WINDOWS\System32\KODJOJ_L.DLL
[2004/11/30 04:19:45 | 000,000,618 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2004/03/17 03:33:22 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004/03/17 03:32:28 | 000,004,530 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2003/02/20 11:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
========== LOP Check ==========
[2011/12/15 08:38:53 | 000,000,000 | ---D | M] -- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Application Updater
[2012/03/07 05:10:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\ASCOMP Software
[2011/10/17 03:38:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\DVRemote
[2012/04/10 06:53:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\EasyPCGate
[2012/04/03 06:16:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\HeidiSQL
[2012/04/10 06:53:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\ImagesWords
[2012/01/30 11:05:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\pdf995
[2011/12/16 06:26:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\pdfforge
[2012/05/07 05:41:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\Pnfk
[2012/05/04 08:46:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\Search Settings
[2011/09/30 10:14:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\TeamViewer
[2012/04/03 06:16:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HeidiSQL
[2012/05/06 08:03:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdf995
[2012/05/03 08:17:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SFirm
[2011/09/30 09:59:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SFirm Hannover
[2012/04/10 11:37:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp
========== Purity Check ==========
< End of report >
Besten Gruß Jonni |
|
13.05.2012, 11:41
| #4 |
| /// Malwareteam | Vrschlüsselungstrojaner - wie starten? Schritt 1: Fix mit OTLPE
Schritt 2: DDS Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. dds.com dds.scr dds.pif
Schritt 3: GMER Bitte
Schritt 4: TDSS-Killer Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop
__________________ Kein Asylrecht für Trojaner!  Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
15.05.2012, 12:17
| #5 |
| /// Malwareteam | Vrschlüsselungstrojaner - wie starten? Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
15.05.2012, 12:50
| #6 |
| | Vrschlüsselungstrojaner - wie starten? Unbedingt! Schonmal dieses: - Nach dem ich normal gebootet habe ist KEIN OTL.txt aufgetaucht. - Ich habe es bislang nicht geschafft ein Logfile von GMER zu sichern, weil sich scheinbar der Rechner an einem bestimmten Punkt immer selbst bootet. (GMER selber läuft viele Stunden) Die restlichen Logfiles schicke ich heute Abend Jonni |
|
15.05.2012, 18:26
| #7 |
| | Vrschlüsselungstrojaner - wie starten? So. Hat dann doch mit GMER geklappt. Hier also die verschiedenen Logs: dds.txt [code] .DDS Logfile: Code:
ATTFilter DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702
Run by user1 at 20:59:12 on 2012-05-14
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2013.1545 [GMT 2:00]
.
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Application Updater\ApplicationUpdater.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\svchost.exe -k hpdevmgmt
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\ASCOMP Software\Synchredible\synchredible.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
\\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.witthoeft.de/
uURLSearchHooks: pdfforge Toolbar: {b922d405-6d13-4a2b-ae89-08a030da4402} - c:\programme\pdfforge toolbar\ie\5.6\pdfforgeToolbarIE.dll
BHO: HP Print Enhancer: {0347c33e-8762-4905-bf09-768834316c61} - c:\programme\hp\digital imaging\smart web printing\hpswp_printenhancer.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: pdfforge Toolbar: {b922d405-6d13-4a2b-ae89-08a030da4402} - c:\programme\pdfforge toolbar\ie\5.6\pdfforgeToolbarIE.dll
BHO: HP Smart BHO Class: {ffffffff-cf4e-4f2b-bdc2-0e72e116a856} - c:\programme\hp\digital imaging\smart web printing\hpswp_BHO.dll
TB: pdfforge Toolbar: {b922d405-6d13-4a2b-ae89-08a030da4402} - c:\programme\pdfforge toolbar\ie\5.6\pdfforgeToolbarIE.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
mRun: [HP Software Update] c:\programme\hp\hp software update\HPWuSchd2.exe
mRun: [hpqSRMon] c:\programme\hp\digital imaging\bin\hpqSRMon.exe
mRun: [SfWinStartInfo] "c:\programme\sfirm\sfWinStartupInfo.exe"
mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe"
mRun: [<NO NAME>]
mRun: [SearchSettings] "c:\programme\gemeinsame dateien\spigot\search settings\SearchSettings.exe"
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\user1\startm~1\progra~1\autost~1\hardcopy.lnk - c:\programme\hardcopy\hardcopy.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\hpdigi~1.lnk - c:\programme\hp\digital imaging\bin\hpqtra08.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\synchr~1.lnk - c:\programme\ascomp software\synchredible\synchredible.exe
mPolicies-system: EnableLinkedConnections = 1 (0x1)
IE: Nach Microsoft &Excel exportieren - c:\progra~1\micros~2\office11\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office11\REFIEBAR.DLL
IE: {DDE87865-83C5-48c4-8357-2F5B1AA84522} - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - c:\programme\hp\digital imaging\smart web printing\hpswp_BHO.dll
DPF: {173D9E48-B527-4AA0-A929-30B446002AA8} - hxxp://tsw.dyndns.tv:5400/DVRemoteAx.cab
TCP: DhcpNameServer = 192.168.0.1
TCP: Interfaces\{0858605E-E1B8-4F23-8AC9-81D8793B19CC} : DhcpNameServer = 192.168.0.1
Notify: igfxcui - igfxdev.dll
.
============= SERVICES / DRIVERS ===============
.
R1 avgio;avgio;c:\programme\avira\antivir desktop\avgio.sys [2011-9-30 11608]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\avira\antivir desktop\sched.exe [2011-9-30 136360]
R2 AntiVirService;Avira AntiVir Guard;c:\programme\avira\antivir desktop\avguard.exe [2011-9-30 269480]
R2 Application Updater;Application Updater;c:\programme\application updater\ApplicationUpdater.exe [2012-4-23 785304]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-9-30 66616]
S2 gupdate;Google Update-Dienst (gupdate);c:\programme\google\update\GoogleUpdate.exe [2011-9-30 136176]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\google\update\GoogleUpdate.exe [2011-9-30 136176]
S3 StkCMini;Syntek AVStream USB2.0 ATV;c:\windows\system32\drivers\StkCMini.sys [2011-11-30 1521544]
.
=============== Created Last 30 ================
.
2012-05-15 02:51:39 -------- d-----w- C:\_OTL
2012-05-07 16:23:18 -------- d---a-w- C:\Kaspersky Rescue Disk 10.0
2012-05-07 09:41:30 -------- d-----w- c:\dokumente und einstellungen\user1\anwendungsdaten\Pnfk
2012-05-04 12:46:21 -------- d-----w- c:\dokumente und einstellungen\user1\anwendungsdaten\Search Settings
2012-05-04 12:46:19 -------- d-----w- c:\programme\pdfforge Toolbar
2012-05-04 12:46:19 -------- d-----w- c:\programme\gemeinsame dateien\Spigot
2012-05-04 12:46:19 -------- d-----w- c:\programme\Application Updater
2012-04-17 10:31:03 49152 ----a-r- c:\dokumente und einstellungen\user1\anwendungsdaten\microsoft\installer\{7b4174e8-fe92-4269-808a-3b8d116d9538}\NewShortcut8_7B4174E8FE924269808A3B8D116D9538.exe
2012-04-17 10:31:03 49152 ----a-r- c:\dokumente und einstellungen\user1\anwendungsdaten\microsoft\installer\{7b4174e8-fe92-4269-808a-3b8d116d9538}\NewShortcut7_7B4174E8FE924269808A3B8D116D9538.exe
2012-04-17 10:31:03 49152 ----a-r- c:\dokumente und einstellungen\user1\anwendungsdaten\microsoft\installer\{7b4174e8-fe92-4269-808a-3b8d116d9538}\NewShortcut5_7B4174E8FE924269808A3B8D116D9538_1.exe
2012-04-17 10:31:02 -------- d-----w- c:\programme\MAPILab Ltd
2012-04-17 10:30:40 -------- d-----w- c:\dokumente und einstellungen\user1\lokale einstellungen\anwendungsdaten\Downloaded Installations
.
==================== Find3M ====================
.
2012-03-01 11:00:09 916992 ----a-w- c:\windows\system32\wininet.dll
2012-03-01 11:00:08 43520 ------w- c:\windows\system32\licmgr10.dll
2012-03-01 11:00:08 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-02-29 14:09:48 177664 ----a-w- c:\windows\system32\wintrust.dll
2012-02-29 14:09:48 148480 ----a-w- c:\windows\system32\imagehlp.dll
2012-02-29 12:17:40 385024 ------w- c:\windows\system32\html.iec
.
============= FINISH: 20:59:38,54 ===============
attach.txt Code:
ATTFilter .
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft Windows XP Professional
Boot Device: \Device\HarddiskVolume1
Install Date: 28.09.2011 23:28:10
System Uptime: 14.05.2012 20:54:55 (0 hours ago)
.
Motherboard: FOXCONN | | 2A8C
Processor: Intel Pentium III Xeon-Prozessor | CPU 1 | 2599/800mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 298 GiB total, 265,844 GiB free.
D: is CDROM ()
E: is Removable
F: is Removable
.
==== Disabled Device Manager Items =============
.
Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description: SM-Bus-Controller
Device ID: PCI\VEN_8086&DEV_27DA&SUBSYS_2A8C103C&REV_01\3&11583659&0&FB
Manufacturer:
Name: SM-Bus-Controller
PNP Device ID: PCI\VEN_8086&DEV_27DA&SUBSYS_2A8C103C&REV_01\3&11583659&0&FB
Service:
.
==== System Restore Points ===================
.
RP1: 07.05.2012 14:59:52 - Systemprüfpunkt
.
==== Installed Programs ======================
.
32 Bit HP CIO Components Installer
Adobe Flash Player 11 ActiveX
Adobe Reader X (10.1.3) - Deutsch
Advanced Security for Outlook
Akademie Witthöft 1.0.0
ATI Problem Report Wizard
Avira AntiVir Personal - Free Antivirus
BufferChm
CustomerResearchQFolder
D2500
D2500_Help
DeviceDiscovery
DeviceManagementQFolder
DirSync 2.8
DJ_SF_03_D2500_ProductContext
DJ_SF_03_D2500_Software
DJ_SF_03_D2500_Software_Min
eSupportQFolder
Google Earth
Google Update Helper
GPBaseService
Hardcopy (C:\Programme\Hardcopy)
HeidiSQL 6.0
Hotfix für Windows XP (KB2570791)
Hotfix für Windows XP (KB2633952)
Hotfix für Windows XP (KB952287)
Hotfix for Windows XP (KB976002-v5)
HP Customer Participation Program 10.0
HP Deskjet D2500 Printer Driver Software 10.0 Rel .3
HP Imaging Device Functions 10.0
HP Photosmart Essential 2.5
HP Smart Web Printing
HP Solution Center 10.0
HP Update
HPProductAssistant
HPSSupply
HydraVision
iCMS
Intel(R) Graphics Media Accelerator Driver
MarketResearch
Mein CEWE FOTOBUCH
Microsoft Office Basic Edition 2003
Microsoft Office PowerPoint Viewer 2007 (German)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Pdf995
PDFCreator
pdfforge Toolbar v5.6
PSSWCORE
Realtek High Definition Audio Driver
SFirm
Shop for HP Supplies
Sicherheitsupdate für Microsoft Windows (KB2564958)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2510531)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2544521)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2559049)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2586448)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2618444)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2647516)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2675157)
Sicherheitsupdate für Windows Internet Explorer 8 (KB982381)
Sicherheitsupdate für Windows Media Player (KB2378111)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB954155)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player (KB975558)
Sicherheitsupdate für Windows Media Player (KB978695)
Sicherheitsupdate für Windows XP (KB2079403)
Sicherheitsupdate für Windows XP (KB2115168)
Sicherheitsupdate für Windows XP (KB2229593)
Sicherheitsupdate für Windows XP (KB2296011)
Sicherheitsupdate für Windows XP (KB2347290)
Sicherheitsupdate für Windows XP (KB2360937)
Sicherheitsupdate für Windows XP (KB2387149)
Sicherheitsupdate für Windows XP (KB2393802)
Sicherheitsupdate für Windows XP (KB2412687)
Sicherheitsupdate für Windows XP (KB2419632)
Sicherheitsupdate für Windows XP (KB2423089)
Sicherheitsupdate für Windows XP (KB2440591)
Sicherheitsupdate für Windows XP (KB2443105)
Sicherheitsupdate für Windows XP (KB2476490)
Sicherheitsupdate für Windows XP (KB2478960)
Sicherheitsupdate für Windows XP (KB2478971)
Sicherheitsupdate für Windows XP (KB2479943)
Sicherheitsupdate für Windows XP (KB2481109)
Sicherheitsupdate für Windows XP (KB2483185)
Sicherheitsupdate für Windows XP (KB2485663)
Sicherheitsupdate für Windows XP (KB2503665)
Sicherheitsupdate für Windows XP (KB2506212)
Sicherheitsupdate für Windows XP (KB2507618)
Sicherheitsupdate für Windows XP (KB2507938)
Sicherheitsupdate für Windows XP (KB2508272)
Sicherheitsupdate für Windows XP (KB2508429)
Sicherheitsupdate für Windows XP (KB2509553)
Sicherheitsupdate für Windows XP (KB2510581)
Sicherheitsupdate für Windows XP (KB2535512)
Sicherheitsupdate für Windows XP (KB2536276-v2)
Sicherheitsupdate für Windows XP (KB2544521)
Sicherheitsupdate für Windows XP (KB2544893-v2)
Sicherheitsupdate für Windows XP (KB2544893)
Sicherheitsupdate für Windows XP (KB2555917)
Sicherheitsupdate für Windows XP (KB2559049)
Sicherheitsupdate für Windows XP (KB2562937)
Sicherheitsupdate für Windows XP (KB2566454)
Sicherheitsupdate für Windows XP (KB2567053)
Sicherheitsupdate für Windows XP (KB2567680)
Sicherheitsupdate für Windows XP (KB2570222)
Sicherheitsupdate für Windows XP (KB2570947)
Sicherheitsupdate für Windows XP (KB2584146)
Sicherheitsupdate für Windows XP (KB2585542)
Sicherheitsupdate für Windows XP (KB2592799)
Sicherheitsupdate für Windows XP (KB2598479)
Sicherheitsupdate für Windows XP (KB2603381)
Sicherheitsupdate für Windows XP (KB2618451)
Sicherheitsupdate für Windows XP (KB2619339)
Sicherheitsupdate für Windows XP (KB2620712)
Sicherheitsupdate für Windows XP (KB2621440)
Sicherheitsupdate für Windows XP (KB2624667)
Sicherheitsupdate für Windows XP (KB2631813)
Sicherheitsupdate für Windows XP (KB2633171)
Sicherheitsupdate für Windows XP (KB2639417)
Sicherheitsupdate für Windows XP (KB2641653)
Sicherheitsupdate für Windows XP (KB2646524)
Sicherheitsupdate für Windows XP (KB2647518)
Sicherheitsupdate für Windows XP (KB2653956)
Sicherheitsupdate für Windows XP (KB2660465)
Sicherheitsupdate für Windows XP (KB2661637)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956744)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB969059)
Sicherheitsupdate für Windows XP (KB970430)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB972270)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973869)
Sicherheitsupdate für Windows XP (KB973904)
Sicherheitsupdate für Windows XP (KB974112)
Sicherheitsupdate für Windows XP (KB974318)
Sicherheitsupdate für Windows XP (KB974392)
Sicherheitsupdate für Windows XP (KB974571)
Sicherheitsupdate für Windows XP (KB975025)
Sicherheitsupdate für Windows XP (KB975467)
Sicherheitsupdate für Windows XP (KB975560)
Sicherheitsupdate für Windows XP (KB975562)
Sicherheitsupdate für Windows XP (KB975713)
Sicherheitsupdate für Windows XP (KB977816)
Sicherheitsupdate für Windows XP (KB977914)
Sicherheitsupdate für Windows XP (KB978338)
Sicherheitsupdate für Windows XP (KB978542)
Sicherheitsupdate für Windows XP (KB978601)
Sicherheitsupdate für Windows XP (KB978706)
Sicherheitsupdate für Windows XP (KB979309)
Sicherheitsupdate für Windows XP (KB979482)
Sicherheitsupdate für Windows XP (KB979687)
Sicherheitsupdate für Windows XP (KB980436)
Sicherheitsupdate für Windows XP (KB981322)
Sicherheitsupdate für Windows XP (KB981997)
Sicherheitsupdate für Windows XP (KB982132)
Sicherheitsupdate für Windows XP (KB982665)
SmartWebPrintingOC
smile 2010
SolutionCenter
Status
Synchredible v3.3
TeamViewer 6
Tennis-Park Jenfeld 1.0.1
Toolbox
Tournament 14
TrayApp
UnloadSupport
Update für Windows Internet Explorer 8 (KB2447568)
Update für Windows XP (KB2345886)
Update für Windows XP (KB2467659)
Update für Windows XP (KB2541763)
Update für Windows XP (KB2616676-v2)
Update für Windows XP (KB2641690)
Update für Windows XP (KB898461)
Update für Windows XP (KB951978)
Update für Windows XP (KB955759)
Update für Windows XP (KB968389)
Update für Windows XP (KB971029)
Update für Windows XP (KB971737)
Update für Windows XP (KB973687)
Update für Windows XP (KB973815)
USB2.0 Grabber
VideoToolkit01
WebFldrs XP
WebReg
Windows Genuine Advantage Notifications (KB905474)
Windows Internet Explorer 8
.
==== End Of File ===========================
GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-05-15 19:18:09
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-6 WDC_WD3200AAJS-60Z0A0 rev.03.03E03
Running: mv952ouj.exe; Driver: C:\DOKUME~1\user1\LOKALE~1\Temp\ugrdqpow.sys
---- System - GMER 1.0.15 ----
SSDT BA762224 ZwClose
SSDT BA7621DE ZwCreateKey
SSDT BA76222E ZwCreateSection
SSDT BA7621D4 ZwCreateThread
SSDT BA7621E3 ZwDeleteKey
SSDT BA7621ED ZwDeleteValueKey
SSDT BA76221F ZwDuplicateObject
SSDT BA7621F2 ZwLoadKey
SSDT BA7621C0 ZwOpenProcess
SSDT BA7621C5 ZwOpenThread
SSDT BA7621FC ZwReplaceKey
SSDT BA7621F7 ZwRestoreKey
SSDT BA762233 ZwSetContextThread
SSDT BA7621E8 ZwSetValueKey
SSDT BA7621CF ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2FB8 80504870 4 Bytes CALL 930ABE96
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\ASCOMP Software\Synchredible\synchredible.exe[2008] kernel32.dll!CreateThread + 1A 7C8106F1 4 Bytes CALL 004653DD C:\Programme\ASCOMP Software\Synchredible\synchredible.exe (Backup & Synchronisation/ASCOMP Software GmbH)
.text C:\Programme\ASCOMP Software\Synchredible\synchredible.exe[2008] USER32.dll!SetScrollInfo 7E369056 8 Bytes JMP 02890000
.text C:\Programme\ASCOMP Software\Synchredible\synchredible.exe[2008] USER32.dll!SetScrollPos 7E37F750 8 Bytes JMP 028901CA
.text C:\Programme\ASCOMP Software\Synchredible\synchredible.exe[2008] USER32.dll!SetScrollRange 7E37F99B 8 Bytes JMP 028900D9
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
TDSSKiller-Log Code:
ATTFilter 05:17:09.0484 0868 TDSS rootkit removing tool 2.7.34.0 May 2 2012 09:59:18
05:17:09.0656 0868 ============================================================
05:17:09.0656 0868 Current date / time: 2012/05/15 05:17:09.0656
05:17:09.0656 0868 SystemInfo:
05:17:09.0656 0868
05:17:09.0656 0868 OS Version: 5.1.2600 ServicePack: 3.0
05:17:09.0656 0868 Product type: Workstation
05:17:09.0656 0868 ComputerName: KAI-AMD
05:17:09.0656 0868 UserName: user1
05:17:09.0656 0868 Windows directory: C:\WINDOWS
05:17:09.0656 0868 System windows directory: C:\WINDOWS
05:17:09.0656 0868 Processor architecture: Intel x86
05:17:09.0656 0868 Number of processors: 2
05:17:09.0656 0868 Page size: 0x1000
05:17:09.0656 0868 Boot type: Normal boot
05:17:09.0656 0868 ============================================================
05:17:10.0718 0868 Drive \Device\Harddisk0\DR0 - Size: 0x4A85D56000 (298.09 Gb), SectorSize: 0x200, Cylinders: 0x9801, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
05:17:10.0718 0868 Drive \Device\Harddisk1\DR6 - Size: 0x3BA300000 (14.91 Gb), SectorSize: 0x200, Cylinders: 0x79A, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W'
05:17:10.0734 0868 ============================================================
05:17:10.0734 0868 \Device\Harddisk0\DR0:
05:17:10.0734 0868 MBR partitions:
05:17:10.0734 0868 \Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x254297C1
05:17:10.0734 0868 \Device\Harddisk1\DR6:
05:17:10.0734 0868 MBR partitions:
05:17:10.0734 0868 \Device\Harddisk1\DR6\Partition0: MBR, Type 0xC, StartLBA 0x800, BlocksNum 0x1DD0000
05:17:10.0734 0868 ============================================================
05:17:10.0734 0868 C: <-> \Device\Harddisk0\DR0\Partition0
05:17:10.0734 0868 ============================================================
05:17:10.0734 0868 Initialize success
05:17:10.0734 0868 ============================================================
05:17:46.0703 3188 ============================================================
05:17:46.0703 3188 Scan started
05:17:46.0703 3188 Mode: Manual;
05:17:46.0703 3188 ============================================================
05:17:46.0859 3188 Abiosdsk - ok
05:17:46.0859 3188 abp480n5 - ok
05:17:46.0906 3188 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
05:17:46.0906 3188 ACPI - ok
05:17:46.0937 3188 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
05:17:46.0937 3188 ACPIEC - ok
05:17:46.0937 3188 adpu160m - ok
05:17:46.0984 3188 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
05:17:47.0000 3188 aec - ok
05:17:47.0031 3188 AFD (1e44bc1e83d8fd2305f8d452db109cf9) C:\WINDOWS\System32\drivers\afd.sys
05:17:47.0046 3188 AFD - ok
05:17:47.0046 3188 Aha154x - ok
05:17:47.0046 3188 aic78u2 - ok
05:17:47.0046 3188 aic78xx - ok
05:17:47.0093 3188 Alerter (738d80cc01d7bc7584be917b7f544394) C:\WINDOWS\system32\alrsvc.dll
05:17:47.0093 3188 Alerter - ok
05:17:47.0109 3188 ALG (190cd73d4984f94d823f9444980513e5) C:\WINDOWS\System32\alg.exe
05:17:47.0109 3188 ALG - ok
05:17:47.0109 3188 AliIde - ok
05:17:47.0125 3188 amsint - ok
05:17:47.0218 3188 AntiVirSchedulerService (c27d46b06d340293670450fce9dfb166) C:\Programme\Avira\AntiVir Desktop\sched.exe
05:17:47.0218 3188 AntiVirSchedulerService - ok
05:17:47.0250 3188 AntiVirService (72d90e56563165984224493069c69ed4) C:\Programme\Avira\AntiVir Desktop\avguard.exe
05:17:47.0250 3188 AntiVirService - ok
05:17:47.0328 3188 Application Updater (f4c5530d92fa7f9a41c19edfc4c51bd4) C:\Programme\Application Updater\ApplicationUpdater.exe
05:17:47.0328 3188 Application Updater - ok
05:17:47.0375 3188 AppMgmt (d45960be52c3c610d361977057f98c54) C:\WINDOWS\System32\appmgmts.dll
05:17:47.0375 3188 AppMgmt - ok
05:17:47.0375 3188 asc - ok
05:17:47.0390 3188 asc3350p - ok
05:17:47.0390 3188 asc3550 - ok
05:17:47.0421 3188 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
05:17:47.0421 3188 AsyncMac - ok
05:17:47.0468 3188 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
05:17:47.0468 3188 atapi - ok
05:17:47.0468 3188 Atdisk - ok
05:17:47.0515 3188 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
05:17:47.0515 3188 Atmarpc - ok
05:17:47.0546 3188 AudioSrv (58ed0d5452df7be732193e7999c6b9a4) C:\WINDOWS\System32\audiosrv.dll
05:17:47.0546 3188 AudioSrv - ok
05:17:47.0593 3188 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
05:17:47.0593 3188 audstub - ok
05:17:47.0687 3188 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
05:17:47.0687 3188 avgio - ok
05:17:47.0687 3188 avgntflt (1e4114685de1ffa9675e09c6a1fb3f4b) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
05:17:47.0687 3188 avgntflt - ok
05:17:47.0703 3188 avipbb (0f78d3dae6dedd99ae54c9491c62adf2) C:\WINDOWS\system32\DRIVERS\avipbb.sys
05:17:47.0703 3188 avipbb - ok
05:17:47.0750 3188 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
05:17:47.0750 3188 Beep - ok
05:17:47.0812 3188 BITS (d6f603772a789bb3228f310d650b8bd1) C:\WINDOWS\system32\qmgr.dll
05:17:47.0828 3188 BITS - ok
05:17:47.0875 3188 Browser (b42057f06bbb98b31876c0b3f2b54e33) C:\WINDOWS\System32\browser.dll
05:17:47.0875 3188 Browser - ok
05:17:47.0890 3188 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
05:17:47.0906 3188 cbidf2k - ok
05:17:47.0937 3188 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
05:17:47.0937 3188 CCDECODE - ok
05:17:47.0937 3188 cd20xrnt - ok
05:17:47.0968 3188 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
05:17:47.0968 3188 Cdaudio - ok
05:17:47.0984 3188 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
05:17:47.0984 3188 Cdfs - ok
05:17:48.0031 3188 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
05:17:48.0031 3188 Cdrom - ok
05:17:48.0031 3188 Changer - ok
05:17:48.0062 3188 CiSvc (28e3040d1f1ca2008cd6b29dfebc9a5e) C:\WINDOWS\system32\cisvc.exe
05:17:48.0062 3188 CiSvc - ok
05:17:48.0078 3188 ClipSrv (778a30ed3c134eb7e406afc407e9997d) C:\WINDOWS\system32\clipsrv.exe
05:17:48.0078 3188 ClipSrv - ok
05:17:48.0078 3188 CmdIde - ok
05:17:48.0078 3188 COMSysApp - ok
05:17:48.0093 3188 Cpqarray - ok
05:17:48.0125 3188 CryptSvc (611f824e5c703a5a899f84c5f1699e4d) C:\WINDOWS\System32\cryptsvc.dll
05:17:48.0125 3188 CryptSvc - ok
05:17:48.0125 3188 dac2w2k - ok
05:17:48.0125 3188 dac960nt - ok
05:17:48.0187 3188 DcomLaunch (3127afbf2c1ed0ab14a1bbb7aaecb85b) C:\WINDOWS\system32\rpcss.dll
05:17:48.0187 3188 DcomLaunch - ok
05:17:48.0234 3188 Dhcp (c29a1c9b75ba38fa37f8c44405dec360) C:\WINDOWS\System32\dhcpcsvc.dll
05:17:48.0250 3188 Dhcp - ok
05:17:48.0265 3188 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
05:17:48.0265 3188 Disk - ok
05:17:48.0265 3188 dmadmin - ok
05:17:48.0328 3188 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
05:17:48.0343 3188 dmboot - ok
05:17:48.0359 3188 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
05:17:48.0359 3188 dmio - ok
05:17:48.0359 3188 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
05:17:48.0375 3188 dmload - ok
05:17:48.0390 3188 dmserver (25c83ffbba13b554eb6d59a9b2e2ee78) C:\WINDOWS\System32\dmserver.dll
05:17:48.0390 3188 dmserver - ok
05:17:48.0437 3188 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
05:17:48.0437 3188 DMusic - ok
05:17:48.0484 3188 Dnscache (407f3227ac618fd1ca54b335b083de07) C:\WINDOWS\System32\dnsrslvr.dll
05:17:48.0484 3188 Dnscache - ok
05:17:48.0515 3188 Dot3svc (676e36c4ff5bcea1900f44182b9723e6) C:\WINDOWS\System32\dot3svc.dll
05:17:48.0531 3188 Dot3svc - ok
05:17:48.0531 3188 dpti2o - ok
05:17:48.0546 3188 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
05:17:48.0546 3188 drmkaud - ok
05:17:48.0562 3188 EapHost (4e4f2fddab0a0736d7671134dcce91fb) C:\WINDOWS\System32\eapsvc.dll
05:17:48.0562 3188 EapHost - ok
05:17:48.0562 3188 ERSvc (877c18558d70587aa7823a1a308ac96b) C:\WINDOWS\System32\ersvc.dll
05:17:48.0562 3188 ERSvc - ok
05:17:48.0609 3188 Eventlog (a3edbe9053889fb24ab22492472b39dc) C:\WINDOWS\system32\services.exe
05:17:48.0609 3188 Eventlog - ok
05:17:48.0640 3188 EventSystem (af4f6b5739d18ca7972ab53e091cbc74) C:\WINDOWS\system32\es.dll
05:17:48.0640 3188 EventSystem - ok
05:17:48.0671 3188 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
05:17:48.0671 3188 Fastfat - ok
05:17:48.0718 3188 FastUserSwitchingCompatibility (2db7d303c36ddd055215052f118e8e75) C:\WINDOWS\System32\shsvcs.dll
05:17:48.0718 3188 FastUserSwitchingCompatibility - ok
05:17:48.0734 3188 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
05:17:48.0734 3188 Fdc - ok
05:17:48.0750 3188 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
05:17:48.0750 3188 Fips - ok
05:17:48.0750 3188 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
05:17:48.0750 3188 Flpydisk - ok
05:17:48.0796 3188 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
05:17:48.0796 3188 FltMgr - ok
05:17:48.0828 3188 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
05:17:48.0828 3188 Fs_Rec - ok
05:17:48.0843 3188 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
05:17:48.0843 3188 Ftdisk - ok
05:17:48.0859 3188 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
05:17:48.0859 3188 Gpc - ok
05:17:48.0984 3188 gupdate (f02a533f517eb38333cb12a9e8963773) C:\Programme\Google\Update\GoogleUpdate.exe
05:17:48.0984 3188 gupdate - ok
05:17:48.0984 3188 gupdatem (f02a533f517eb38333cb12a9e8963773) C:\Programme\Google\Update\GoogleUpdate.exe
05:17:48.0984 3188 gupdatem - ok
05:17:49.0031 3188 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
05:17:49.0031 3188 HDAudBus - ok
05:17:49.0062 3188 helpsvc (cb66bf85bf599befd6c6a57c2e20357f) C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll
05:17:49.0062 3188 helpsvc - ok
05:17:49.0078 3188 HidServ (b35da85e60c0103f2e4104532da2f12b) C:\WINDOWS\System32\hidserv.dll
05:17:49.0078 3188 HidServ - ok
05:17:49.0109 3188 hidusb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
05:17:49.0109 3188 hidusb - ok
05:17:49.0140 3188 hkmsvc (ed29f14101523a6e0e808107405d452c) C:\WINDOWS\System32\kmsvc.dll
05:17:49.0140 3188 hkmsvc - ok
05:17:49.0140 3188 hpn - ok
05:17:49.0218 3188 hpqcxs08 (f50f7984fdd151edd8a70a8dbd9e2a44) C:\Programme\HP\Digital Imaging\bin\hpqcxs08.dll
05:17:49.0218 3188 hpqcxs08 - ok
05:17:49.0234 3188 hpqddsvc (df446ba625cc441617843e87798ce048) C:\Programme\HP\Digital Imaging\bin\hpqddsvc.dll
05:17:49.0234 3188 hpqddsvc - ok
05:17:49.0281 3188 HPZid412 (d03d10f7ded688fecf50f8fbf1ea9b8a) C:\WINDOWS\system32\DRIVERS\HPZid412.sys
05:17:49.0281 3188 HPZid412 - ok
05:17:49.0281 3188 HPZipr12 (89f41658929393487b6b7d13c8528ce3) C:\WINDOWS\system32\DRIVERS\HPZipr12.sys
05:17:49.0281 3188 HPZipr12 - ok
05:17:49.0328 3188 HPZius12 (abcb05ccdbf03000354b9553820e39f8) C:\WINDOWS\system32\DRIVERS\HPZius12.sys
05:17:49.0328 3188 HPZius12 - ok
05:17:49.0375 3188 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
05:17:49.0375 3188 HTTP - ok
05:17:49.0406 3188 HTTPFilter (9e4adb854cebcfb81a4b36718feecd16) C:\WINDOWS\System32\w3ssl.dll
05:17:49.0406 3188 HTTPFilter - ok
05:17:49.0406 3188 i2omgmt - ok
05:17:49.0421 3188 i2omp - ok
05:17:49.0453 3188 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\drivers\i8042prt.sys
05:17:49.0453 3188 i8042prt - ok
05:17:49.0781 3188 ialm (ff2dc7b4f16cb9c72619fc12c0fb4c51) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
05:17:49.0906 3188 ialm - ok
05:17:50.0000 3188 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
05:17:50.0000 3188 Imapi - ok
05:17:50.0046 3188 ImapiService (d4b413aa210c21e46aedd2ba5b68d38e) C:\WINDOWS\system32\imapi.exe
05:17:50.0046 3188 ImapiService - ok
05:17:50.0062 3188 ini910u - ok
05:17:50.0375 3188 IntcAzAudAddService (991f90d02ec0ec6a425e1c0b1d822562) C:\WINDOWS\system32\drivers\RtkHDAud.sys
05:17:50.0406 3188 IntcAzAudAddService - ok
05:17:50.0468 3188 IntelIde - ok
05:17:50.0531 3188 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
05:17:50.0531 3188 intelppm - ok
05:17:50.0562 3188 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
05:17:50.0562 3188 Ip6Fw - ok
05:17:50.0578 3188 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
05:17:50.0578 3188 IpFilterDriver - ok
05:17:50.0578 3188 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
05:17:50.0593 3188 IpInIp - ok
05:17:50.0625 3188 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
05:17:50.0625 3188 IpNat - ok
05:17:50.0656 3188 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
05:17:50.0656 3188 IPSec - ok
05:17:50.0687 3188 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
05:17:50.0687 3188 IRENUM - ok
05:17:50.0718 3188 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
05:17:50.0718 3188 isapnp - ok
05:17:50.0734 3188 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
05:17:50.0734 3188 Kbdclass - ok
05:17:50.0734 3188 kbdhid (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
05:17:50.0734 3188 kbdhid - ok
05:17:50.0796 3188 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
05:17:50.0812 3188 kmixer - ok
05:17:50.0828 3188 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
05:17:50.0828 3188 KSecDD - ok
05:17:50.0859 3188 LanmanServer (2bbdcb79900990f0716dfcb714e72de7) C:\WINDOWS\System32\srvsvc.dll
05:17:50.0859 3188 LanmanServer - ok
05:17:50.0906 3188 lanmanworkstation (1869b14b06b44b44af70548e1ea3303f) C:\WINDOWS\System32\wkssvc.dll
05:17:50.0906 3188 lanmanworkstation - ok
05:17:50.0906 3188 lbrtfdc - ok
05:17:50.0953 3188 LmHosts (636714b7d43c8d0c80449123fd266920) C:\WINDOWS\System32\lmhsvc.dll
05:17:50.0953 3188 LmHosts - ok
05:17:51.0046 3188 MDM (11f714f85530a2bd134074dc30e99fca) C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
05:17:51.0046 3188 MDM - ok
05:17:51.0078 3188 Messenger (b7550a7107281d170ce85524b1488c98) C:\WINDOWS\System32\msgsvc.dll
05:17:51.0078 3188 Messenger - ok
05:17:51.0109 3188 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
05:17:51.0109 3188 mnmdd - ok
05:17:51.0125 3188 mnmsrvc (c2f1d365fd96791b037ee504868065d3) C:\WINDOWS\system32\mnmsrvc.exe
05:17:51.0125 3188 mnmsrvc - ok
05:17:51.0156 3188 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
05:17:51.0156 3188 Modem - ok
05:17:51.0187 3188 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
05:17:51.0187 3188 Mouclass - ok
05:17:51.0187 3188 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
05:17:51.0187 3188 mouhid - ok
05:17:51.0203 3188 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
05:17:51.0203 3188 MountMgr - ok
05:17:51.0218 3188 mraid35x - ok
05:17:51.0218 3188 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
05:17:51.0218 3188 MRxDAV - ok
05:17:51.0281 3188 MRxSmb (7d304a5eb4344ebeeab53a2fe3ffb9f0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
05:17:51.0281 3188 MRxSmb - ok
05:17:51.0312 3188 MSDTC (35a031af38c55f92d28aa03ee9f12cc9) C:\WINDOWS\system32\msdtc.exe
05:17:51.0312 3188 MSDTC - ok
05:17:51.0328 3188 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
05:17:51.0328 3188 Msfs - ok
05:17:51.0328 3188 MSIServer - ok
05:17:51.0343 3188 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
05:17:51.0343 3188 MSKSSRV - ok
05:17:51.0359 3188 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
05:17:51.0359 3188 MSPCLOCK - ok
05:17:51.0359 3188 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
05:17:51.0359 3188 MSPQM - ok
05:17:51.0390 3188 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
05:17:51.0390 3188 mssmbios - ok
05:17:51.0421 3188 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
05:17:51.0421 3188 MSTEE - ok
05:17:51.0437 3188 Mup (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
05:17:51.0437 3188 Mup - ok
05:17:51.0468 3188 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
05:17:51.0468 3188 NABTSFEC - ok
05:17:51.0500 3188 napagent (46bb15ae2ac7d025d6d2567b876817bd) C:\WINDOWS\System32\qagentrt.dll
05:17:51.0515 3188 napagent - ok
05:17:51.0562 3188 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
05:17:51.0562 3188 NDIS - ok
05:17:51.0609 3188 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
05:17:51.0609 3188 NdisIP - ok
05:17:51.0640 3188 NdisTapi (0109c4f3850dfbab279542515386ae22) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
05:17:51.0656 3188 NdisTapi - ok
05:17:51.0687 3188 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
05:17:51.0687 3188 Ndisuio - ok
05:17:51.0718 3188 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
05:17:51.0718 3188 NdisWan - ok
05:17:51.0750 3188 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
05:17:51.0750 3188 NDProxy - ok
05:17:51.0796 3188 Net Driver HPZ12 (51c6d8bfbd4ea5b62a1ba7f4469250d3) C:\WINDOWS\system32\HPZinw12.dll
05:17:51.0796 3188 Net Driver HPZ12 - ok
05:17:51.0843 3188 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
05:17:51.0843 3188 NetBIOS - ok
05:17:51.0843 3188 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
05:17:51.0859 3188 NetBT - ok
05:17:51.0890 3188 NetDDE (8ace4251bffd09ce75679fe940e996cc) C:\WINDOWS\system32\netdde.exe
05:17:51.0906 3188 NetDDE - ok
05:17:51.0906 3188 NetDDEdsdm (8ace4251bffd09ce75679fe940e996cc) C:\WINDOWS\system32\netdde.exe
05:17:51.0906 3188 NetDDEdsdm - ok
05:17:51.0937 3188 Netlogon (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
05:17:51.0937 3188 Netlogon - ok
05:17:51.0953 3188 Netman (e6d88f1f6745bf00b57e7855a2ab696c) C:\WINDOWS\System32\netman.dll
05:17:51.0953 3188 Netman - ok
05:17:52.0000 3188 Nla (f1b67b6b0751ae0e6e964b02821206a3) C:\WINDOWS\System32\mswsock.dll
05:17:52.0000 3188 Nla - ok
05:17:52.0000 3188 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
05:17:52.0000 3188 Npfs - ok
05:17:52.0046 3188 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
05:17:52.0046 3188 Ntfs - ok
05:17:52.0046 3188 NtLmSsp (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
05:17:52.0062 3188 NtLmSsp - ok
05:17:52.0093 3188 NtmsSvc (56af4064996fa5bac9c449b1514b4770) C:\WINDOWS\system32\ntmssvc.dll
05:17:52.0109 3188 NtmsSvc - ok
05:17:52.0140 3188 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
05:17:52.0140 3188 Null - ok
05:17:52.0171 3188 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
05:17:52.0171 3188 NwlnkFlt - ok
05:17:52.0171 3188 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
05:17:52.0171 3188 NwlnkFwd - ok
05:17:52.0250 3188 ose (7a56cf3e3f12e8af599963b16f50fb6a) C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
05:17:52.0250 3188 ose - ok
05:17:52.0281 3188 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\drivers\Parport.sys
05:17:52.0281 3188 Parport - ok
05:17:52.0296 3188 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
05:17:52.0296 3188 PartMgr - ok
05:17:52.0328 3188 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
05:17:52.0328 3188 ParVdm - ok
05:17:52.0328 3188 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
05:17:52.0328 3188 PCI - ok
05:17:52.0343 3188 PCIDump - ok
05:17:52.0343 3188 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
05:17:52.0343 3188 PCIIde - ok
05:17:52.0375 3188 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
05:17:52.0375 3188 Pcmcia - ok
05:17:52.0375 3188 PDCOMP - ok
05:17:52.0375 3188 PDFRAME - ok
05:17:52.0390 3188 PDRELI - ok
05:17:52.0390 3188 PDRFRAME - ok
05:17:52.0390 3188 perc2 - ok
05:17:52.0406 3188 perc2hib - ok
05:17:52.0453 3188 PlugPlay (a3edbe9053889fb24ab22492472b39dc) C:\WINDOWS\system32\services.exe
05:17:52.0453 3188 PlugPlay - ok
05:17:52.0484 3188 Pml Driver HPZ12 (79834aa2fbf9fe81eebb229024f6f7fc) C:\WINDOWS\system32\HPZipm12.dll
05:17:52.0500 3188 Pml Driver HPZ12 - ok
05:17:52.0500 3188 PolicyAgent (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
05:17:52.0500 3188 PolicyAgent - ok
05:17:52.0531 3188 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
05:17:52.0531 3188 PptpMiniport - ok
05:17:52.0546 3188 ProtectedStorage (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
05:17:52.0546 3188 ProtectedStorage - ok
05:17:52.0546 3188 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
05:17:52.0546 3188 PSched - ok
05:17:52.0562 3188 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
05:17:52.0562 3188 Ptilink - ok
05:17:52.0562 3188 ql1080 - ok
05:17:52.0562 3188 Ql10wnt - ok
05:17:52.0562 3188 ql12160 - ok
05:17:52.0578 3188 ql1240 - ok
05:17:52.0578 3188 ql1280 - ok
05:17:52.0609 3188 QV2KUX (0087f01d35a65b32393cc8bba46ee4a6) C:\WINDOWS\system32\DRIVERS\qv2kux.sys
05:17:52.0609 3188 QV2KUX - ok
05:17:52.0640 3188 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
05:17:52.0640 3188 RasAcd - ok
05:17:52.0671 3188 RasAuto (f5ba6caccdb66c8f048e867563203246) C:\WINDOWS\System32\rasauto.dll
05:17:52.0671 3188 RasAuto - ok
05:17:52.0703 3188 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
05:17:52.0703 3188 Rasl2tp - ok
05:17:52.0718 3188 RasMan (f9a7b66ea345726edb5862a46b1eccd5) C:\WINDOWS\System32\rasmans.dll
05:17:52.0734 3188 RasMan - ok
05:17:52.0734 3188 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
05:17:52.0734 3188 RasPppoe - ok
05:17:52.0734 3188 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
05:17:52.0734 3188 Raspti - ok
05:17:52.0750 3188 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
05:17:52.0750 3188 Rdbss - ok
05:17:52.0765 3188 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
05:17:52.0765 3188 RDPCDD - ok
05:17:52.0796 3188 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
05:17:52.0796 3188 rdpdr - ok
05:17:52.0843 3188 RDPWD (5b3055daa788bd688594d2f5981f2a83) C:\WINDOWS\system32\drivers\RDPWD.sys
05:17:52.0843 3188 RDPWD - ok
05:17:52.0875 3188 RDSessMgr (263af18af0f3db99f574c95f284ccec9) C:\WINDOWS\system32\sessmgr.exe
05:17:52.0921 3188 RDSessMgr - ok
05:17:52.0953 3188 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
05:17:52.0953 3188 redbook - ok
05:17:52.0984 3188 RemoteAccess (0e97ec96d6942ceec2d188cc2eb69a01) C:\WINDOWS\System32\mprdim.dll
05:17:52.0984 3188 RemoteAccess - ok
05:17:53.0015 3188 RemoteRegistry (e4cd1f3d84e1c2ca0b8cf7501e201593) C:\WINDOWS\system32\regsvc.dll
05:17:53.0015 3188 RemoteRegistry - ok
05:17:53.0062 3188 RpcLocator (2a02e21867497df20b8fc95631395169) C:\WINDOWS\system32\locator.exe
05:17:53.0062 3188 RpcLocator - ok
05:17:53.0109 3188 RpcSs (3127afbf2c1ed0ab14a1bbb7aaecb85b) C:\WINDOWS\system32\rpcss.dll
05:17:53.0109 3188 RpcSs - ok
05:17:53.0140 3188 RSVP (4bdd71b4b521521499dfd14735c4f398) C:\WINDOWS\system32\rsvp.exe
05:17:53.0156 3188 RSVP - ok
05:17:53.0203 3188 RTLE8023xp (41fa2d39c227073a448aa7000b636280) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
05:17:53.0203 3188 RTLE8023xp - ok
05:17:53.0250 3188 SamSs (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
05:17:53.0250 3188 SamSs - ok
05:17:53.0265 3188 SCardSvr (dcec079fad95d36c8dd5cb6d779dfe32) C:\WINDOWS\System32\SCardSvr.exe
05:17:53.0281 3188 SCardSvr - ok
05:17:53.0312 3188 Schedule (a050194a44d7fa8d7186ed2f4e8367ae) C:\WINDOWS\system32\schedsvc.dll
05:17:53.0312 3188 Schedule - ok
05:17:53.0343 3188 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
05:17:53.0343 3188 Secdrv - ok
05:17:53.0375 3188 seclogon (bee4cfd1d48c23b44cf4b974b0b79b2b) C:\WINDOWS\System32\seclogon.dll
05:17:53.0375 3188 seclogon - ok
05:17:53.0390 3188 SENS (2aac9b6ed9eddffb721d6452e34d67e3) C:\WINDOWS\system32\sens.dll
05:17:53.0390 3188 SENS - ok
05:17:53.0421 3188 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\drivers\Serial.sys
05:17:53.0421 3188 Serial - ok
05:17:53.0437 3188 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
05:17:53.0437 3188 Sfloppy - ok
05:17:53.0500 3188 SharedAccess (cad058d5f8b889a87ca3eb3cf624dcef) C:\WINDOWS\System32\ipnathlp.dll
05:17:53.0500 3188 SharedAccess - ok
05:17:53.0546 3188 ShellHWDetection (2db7d303c36ddd055215052f118e8e75) C:\WINDOWS\System32\shsvcs.dll
05:17:53.0546 3188 ShellHWDetection - ok
05:17:53.0546 3188 Simbad - ok
05:17:53.0593 3188 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
05:17:53.0593 3188 SLIP - ok
05:17:53.0593 3188 Sparrow - ok
05:17:53.0640 3188 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
05:17:53.0640 3188 splitter - ok
05:17:53.0687 3188 Spooler (60784f891563fb1b767f70117fc2428f) C:\WINDOWS\system32\spoolsv.exe
05:17:53.0687 3188 Spooler - ok
05:17:53.0734 3188 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
05:17:53.0734 3188 sr - ok
05:17:53.0750 3188 srservice (fe77a85495065f3ad59c5c65b6c54182) C:\WINDOWS\system32\srsvc.dll
05:17:53.0750 3188 srservice - ok
05:17:53.0781 3188 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
05:17:53.0781 3188 Srv - ok
05:17:53.0812 3188 SSDPSRV (4df5b05dfaec29e13e1ed6f6ee12c500) C:\WINDOWS\System32\ssdpsrv.dll
05:17:53.0812 3188 SSDPSRV - ok
05:17:53.0859 3188 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
05:17:53.0859 3188 ssmdrv - ok
05:17:53.0921 3188 stisvc (bc2c5985611c5356b24aeb370953ded9) C:\WINDOWS\system32\wiaservc.dll
05:17:53.0921 3188 stisvc - ok
05:17:54.0031 3188 StkCMini (36565318396a9d0a880687d1bb9c7f79) C:\WINDOWS\system32\Drivers\StkCMini.sys
05:17:54.0046 3188 StkCMini - ok
05:17:54.0078 3188 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
05:17:54.0078 3188 streamip - ok
05:17:54.0109 3188 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
05:17:54.0109 3188 swenum - ok
05:17:54.0156 3188 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
05:17:54.0156 3188 swmidi - ok
05:17:54.0156 3188 SwPrv - ok
05:17:54.0156 3188 symc810 - ok
05:17:54.0171 3188 symc8xx - ok
05:17:54.0171 3188 sym_hi - ok
05:17:54.0171 3188 sym_u3 - ok
05:17:54.0234 3188 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
05:17:54.0234 3188 sysaudio - ok
05:17:54.0265 3188 SysmonLog (2903fffa2523926d6219428040dce6b9) C:\WINDOWS\system32\smlogsvc.exe
05:17:54.0265 3188 SysmonLog - ok
05:17:54.0312 3188 TapiSrv (05903cac4b98908d55ea5774775b382e) C:\WINDOWS\System32\tapisrv.dll
05:17:54.0312 3188 TapiSrv - ok
05:17:54.0359 3188 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
05:17:54.0359 3188 Tcpip - ok
05:17:54.0406 3188 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
05:17:54.0406 3188 TDPIPE - ok
05:17:54.0406 3188 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
05:17:54.0421 3188 TDTCP - ok
05:17:54.0453 3188 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
05:17:54.0453 3188 TermDD - ok
05:17:54.0500 3188 TermService (b7de02c863d8f5a005a7bf375375a6a4) C:\WINDOWS\System32\termsrv.dll
05:17:54.0500 3188 TermService - ok
05:17:54.0562 3188 Themes (2db7d303c36ddd055215052f118e8e75) C:\WINDOWS\System32\shsvcs.dll
05:17:54.0562 3188 Themes - ok
05:17:54.0593 3188 TlntSvr (03681a1ce77f51586903869a5ab1deab) C:\WINDOWS\system32\tlntsvr.exe
05:17:54.0593 3188 TlntSvr - ok
05:17:54.0609 3188 TosIde - ok
05:17:54.0640 3188 TrkWks (626504572b175867f30f3215c04b3e2f) C:\WINDOWS\system32\trkwks.dll
05:17:54.0640 3188 TrkWks - ok
05:17:54.0671 3188 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
05:17:54.0671 3188 Udfs - ok
05:17:54.0671 3188 ultra - ok
05:17:54.0718 3188 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
05:17:54.0734 3188 Update - ok
05:17:54.0765 3188 upnphost (1dfd8975d8c89214b98d9387c1125b49) C:\WINDOWS\System32\upnphost.dll
05:17:54.0781 3188 upnphost - ok
05:17:54.0781 3188 UPS (9b11e6118958e63e1fef129466e2bda7) C:\WINDOWS\System32\ups.exe
05:17:54.0781 3188 UPS - ok
05:17:54.0812 3188 usbaudio (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
05:17:54.0812 3188 usbaudio - ok
05:17:54.0843 3188 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
05:17:54.0843 3188 usbccgp - ok
05:17:54.0859 3188 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
05:17:54.0859 3188 usbehci - ok
05:17:54.0859 3188 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
05:17:54.0859 3188 usbhub - ok
05:17:54.0890 3188 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
05:17:54.0890 3188 usbprint - ok
05:17:54.0906 3188 usbstor (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
05:17:54.0906 3188 usbstor - ok
05:17:54.0921 3188 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
05:17:54.0921 3188 usbuhci - ok
05:17:54.0953 3188 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
05:17:54.0953 3188 VgaSave - ok
05:17:54.0968 3188 ViaIde - ok
05:17:55.0000 3188 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
05:17:55.0000 3188 VolSnap - ok
05:17:55.0031 3188 VSS (68f106273be29e7b7ef8266977268e78) C:\WINDOWS\System32\vssvc.exe
05:17:55.0046 3188 VSS - ok
05:17:55.0078 3188 W32Time (7b353059e665f8b7ad2bbeaef597cf45) C:\WINDOWS\system32\w32time.dll
05:17:55.0093 3188 W32Time - ok
05:17:55.0109 3188 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
05:17:55.0109 3188 Wanarp - ok
05:17:55.0109 3188 WDICA - ok
05:17:55.0156 3188 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
05:17:55.0156 3188 wdmaud - ok
05:17:55.0171 3188 WebClient (81727c9873e3905a2ffc1ebd07265002) C:\WINDOWS\System32\webclnt.dll
05:17:55.0171 3188 WebClient - ok
05:17:55.0265 3188 winmgmt (6f3f3973d97714cc5f906a19fe883729) C:\WINDOWS\system32\wbem\WMIsvc.dll
05:17:55.0265 3188 winmgmt - ok
05:17:55.0312 3188 WmdmPmSN (6e18978b749f0696a774de3f2cb142dd) C:\WINDOWS\system32\mspmsnsv.dll
05:17:55.0312 3188 WmdmPmSN - ok
05:17:55.0375 3188 Wmi (ffa4d901d46d07a5bab2d8307fbb51a6) C:\WINDOWS\System32\advapi32.dll
05:17:55.0390 3188 Wmi - ok
05:17:55.0421 3188 WmiAcpi (c42584fd66ce9e17403aebca199f7bdb) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
05:17:55.0421 3188 WmiAcpi - ok
05:17:55.0468 3188 WmiApSrv (93908111ba57a6e60ec2fa2de202105c) C:\WINDOWS\system32\wbem\wmiapsrv.exe
05:17:55.0468 3188 WmiApSrv - ok
05:17:55.0515 3188 wscsvc (300b3e84faf1a5c1f791c159ba28035d) C:\WINDOWS\system32\wscsvc.dll
05:17:55.0515 3188 wscsvc - ok
05:17:55.0546 3188 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
05:17:55.0546 3188 WSTCODEC - ok
05:17:55.0562 3188 wuauserv (7b4fe05202aa6bf9f4dfd0e6a0d8a085) C:\WINDOWS\system32\wuauserv.dll
05:17:55.0562 3188 wuauserv - ok
05:17:55.0609 3188 WZCSVC (c4f109c005f6725162d2d12ca751e4a7) C:\WINDOWS\System32\wzcsvc.dll
05:17:55.0609 3188 WZCSVC - ok
05:17:55.0656 3188 xmlprov (0ada34871a2e1cd2caafed1237a47750) C:\WINDOWS\System32\xmlprov.dll
05:17:55.0656 3188 xmlprov - ok
05:17:55.0687 3188 MBR (0x1B8) (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
05:17:55.0875 3188 \Device\Harddisk0\DR0 - ok
05:17:55.0875 3188 MBR (0x1B8) (08b26729634452d0c2889c002b1bb97c) \Device\Harddisk1\DR6
05:17:56.0593 3188 \Device\Harddisk1\DR6 - ok
05:17:56.0593 3188 Boot (0x1200) (cf58d2bf681277f731fd2eccc12fc1ca) \Device\Harddisk0\DR0\Partition0
05:17:56.0593 3188 \Device\Harddisk0\DR0\Partition0 - ok
05:17:56.0593 3188 Boot (0x1200) (4359f8c41a1437362e9d7834ecd0cbf1) \Device\Harddisk1\DR6\Partition0
05:17:56.0593 3188 \Device\Harddisk1\DR6\Partition0 - ok
05:17:56.0609 3188 ============================================================
05:17:56.0609 3188 Scan finished
05:17:56.0609 3188 ============================================================
05:17:56.0609 0512 Detected object count: 0
05:17:56.0609 0512 Actual detected object count: 0
05:19:48.0343 3992 Deinitialize success
|
|
15.05.2012, 21:48
| #8 |
| /// Malwareteam | Vrschlüsselungstrojaner - wie starten? Combofix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
15.05.2012, 23:27
| #9 |
| | Vrschlüsselungstrojaner - wie starten? combofix-log Combofix Logfile: Code:
ATTFilter ComboFix 12-05-15.04 - user1 16.05.2012 0:12.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2013.1463 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\user1\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\1903124msHTMLEdit.html
c:\dokumente und einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\1967616msHTMLEdit.html
c:\dokumente und einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\1967616rmpStyle.css
c:\dokumente und einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\2753222msHTMLEdit.html
c:\dokumente und einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\2753222rmpStyle.css
c:\dokumente und einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\7538970msHTMLEdit.html
c:\dokumente und einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\7538970rmpStyle.css
c:\dokumente und einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\853976msHTMLEdit.html
c:\dokumente und einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\853976rmpStyle.css
c:\dokumente und einstellungen\user1\WINDOWS
c:\windows\unin0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-04-15 bis 2012-05-15 ))))))))))))))))))))))))))))))
.
.
2012-05-15 02:52 . 2012-05-15 02:52 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2012-05-15 02:51 . 2012-05-15 02:51 -------- d-----w- C:\_OTL
2012-05-15 02:48 . 2012-05-15 02:48 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien
2012-05-07 16:23 . 2012-05-07 17:45 -------- d---a-w- C:\Kaspersky Rescue Disk 10.0
2012-05-07 09:41 . 2012-05-07 09:41 -------- d-----w- c:\dokumente und einstellungen\user1\Anwendungsdaten\Pnfk
2012-05-04 12:46 . 2012-05-04 12:46 -------- d-----w- c:\dokumente und einstellungen\user1\Anwendungsdaten\Search Settings
2012-05-04 12:46 . 2012-05-04 12:46 -------- d-----w- c:\programme\pdfforge Toolbar
2012-05-04 12:46 . 2012-05-04 12:46 -------- d-----w- c:\programme\Gemeinsame Dateien\Spigot
2012-05-04 12:46 . 2012-05-04 12:46 -------- d-----w- c:\programme\Application Updater
2012-04-17 10:31 . 2012-04-17 10:31 49152 ----a-r- c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{7B4174E8-FE92-4269-808A-3B8D116D9538}\NewShortcut8_7B4174E8FE924269808A3B8D116D9538.exe
2012-04-17 10:31 . 2012-04-17 10:31 49152 ----a-r- c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{7B4174E8-FE92-4269-808A-3B8D116D9538}\NewShortcut7_7B4174E8FE924269808A3B8D116D9538.exe
2012-04-17 10:31 . 2012-04-17 10:31 49152 ----a-r- c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{7B4174E8-FE92-4269-808A-3B8D116D9538}\NewShortcut5_7B4174E8FE924269808A3B8D116D9538_1.exe
2012-04-17 10:31 . 2012-04-17 10:31 -------- d-----w- c:\programme\MAPILab Ltd
2012-04-17 10:30 . 2012-04-17 10:30 -------- d-----w- c:\dokumente und einstellungen\user1\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-11 13:51 . 2008-04-14 07:30 2029056 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-04-11 13:51 . 2008-04-14 12:00 2150912 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-04-11 13:51 . 2008-04-14 12:00 1862400 ----a-w- c:\windows\system32\win32k.sys
2012-03-01 11:00 . 2008-04-14 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2012-03-01 11:00 . 2008-04-14 12:00 43520 ------w- c:\windows\system32\licmgr10.dll
2012-03-01 11:00 . 2008-04-14 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-02-29 14:09 . 2008-04-14 12:00 177664 ----a-w- c:\windows\system32\wintrust.dll
2012-02-29 14:09 . 2008-04-14 12:00 148480 ----a-w- c:\windows\system32\imagehlp.dll
2012-02-29 12:17 . 2008-04-14 12:00 385024 ------w- c:\windows\system32\html.iec
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2010-02-25 18791456]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-09-28 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-09-28 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-09-28 142872]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"hpqSRMon"="c:\programme\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]
"SfWinStartInfo"="c:\programme\SFirm\sfWinStartupInfo.exe" [2010-12-20 128392]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"SearchSettings"="c:\programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe" [2012-04-23 983904]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\user1\Startmenü\Programme\Autostart\
Hardcopy.LNK - c:\programme\Hardcopy\hardcopy.exe [2012-4-10 3537920]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
Synchredible.lnk - c:\programme\ASCOMP Software\Synchredible\synchredible.exe [2012-3-7 6551856]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLinkedConnections"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=
"c:\\Programme\\Akademie Witthöft\\IpaAkademie.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.09.2011 14:49 136360]
R2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [23.04.2012 20:38 785304]
S2 gupdate;Google Update-Dienst (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [30.09.2011 17:02 136176]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [30.09.2011 17:02 136176]
S3 StkCMini;Syntek AVStream USB2.0 ATV;c:\windows\system32\drivers\StkCMini.sys [30.11.2011 16:36 1521544]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 04844544
*NewlyCreated* - 22959014
*Deregistered* - 04844544
*Deregistered* - 22959014
*Deregistered* - ugrdqpow
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2012-05-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-09-30 15:02]
.
2012-05-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-09-30 15:02]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.witthoeft.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.1
DPF: {173D9E48-B527-4AA0-A929-30B446002AA8} - hxxp://tsw.dyndns.tv:5400/DVRemoteAx.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-05-16 00:16
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-05-16 00:17:04
ComboFix-quarantined-files.txt 2012-05-15 22:17
.
Vor Suchlauf: 12 Verzeichnis(se), 285.734.051.840 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 287.244.283.904 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 4B48848FEFE3A95805E5BB9343758924
|
|
16.05.2012, 06:50
| #10 |
| /// Malwareteam | Vrschlüsselungstrojaner - wie starten? CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code:
ATTFilter DIRLOOK::
c:\dokumente und einstellungen\user1\Anwendungsdaten\Pnfk
Wichtig:
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
16.05.2012, 16:53
| #11 |
| | Vrschlüsselungstrojaner - wie starten? So, auch das. Combofix hatte ich mir von "BleepingComputer" herunter geladen. Beim Start hat mich Combofix gefragt, ob eine neue Version geladen werden soll. Mangels Internetverbindung am betreffenden PC habe ich "Nein" gesagt. Hier das Logfile: combofix.txt Combofix Logfile: Code:
ATTFilter ComboFix 12-05-16.01 - user1 16.05.2012 17:43:52.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2013.1499 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\user1\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: e:\tools_apps\AntiMalware\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-04-16 bis 2012-05-16 ))))))))))))))))))))))))))))))
.
.
2012-05-15 02:52 . 2012-05-15 02:52 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2012-05-15 02:51 . 2012-05-15 02:51 -------- d-----w- C:\_OTL
2012-05-15 02:48 . 2012-05-15 02:48 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien
2012-05-07 16:23 . 2012-05-07 17:45 -------- d---a-w- C:\Kaspersky Rescue Disk 10.0
2012-05-07 09:41 . 2012-05-07 09:41 -------- d-----w- c:\dokumente und einstellungen\user1\Anwendungsdaten\Pnfk
2012-05-04 12:46 . 2012-05-04 12:46 -------- d-----w- c:\dokumente und einstellungen\user1\Anwendungsdaten\Search Settings
2012-05-04 12:46 . 2012-05-04 12:46 -------- d-----w- c:\programme\pdfforge Toolbar
2012-05-04 12:46 . 2012-05-04 12:46 -------- d-----w- c:\programme\Gemeinsame Dateien\Spigot
2012-05-04 12:46 . 2012-05-04 12:46 -------- d-----w- c:\programme\Application Updater
2012-04-17 10:31 . 2012-04-17 10:31 49152 ----a-r- c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{7B4174E8-FE92-4269-808A-3B8D116D9538}\NewShortcut8_7B4174E8FE924269808A3B8D116D9538.exe
2012-04-17 10:31 . 2012-04-17 10:31 49152 ----a-r- c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{7B4174E8-FE92-4269-808A-3B8D116D9538}\NewShortcut7_7B4174E8FE924269808A3B8D116D9538.exe
2012-04-17 10:31 . 2012-04-17 10:31 49152 ----a-r- c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{7B4174E8-FE92-4269-808A-3B8D116D9538}\NewShortcut5_7B4174E8FE924269808A3B8D116D9538_1.exe
2012-04-17 10:31 . 2012-04-17 10:31 -------- d-----w- c:\programme\MAPILab Ltd
2012-04-17 10:30 . 2012-04-17 10:30 -------- d-----w- c:\dokumente und einstellungen\user1\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-11 13:51 . 2008-04-14 07:30 2029056 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-04-11 13:51 . 2008-04-14 12:00 2150912 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-04-11 13:51 . 2008-04-14 12:00 1862400 ----a-w- c:\windows\system32\win32k.sys
2012-03-01 11:00 . 2008-04-14 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2012-03-01 11:00 . 2008-04-14 12:00 43520 ------w- c:\windows\system32\licmgr10.dll
2012-03-01 11:00 . 2008-04-14 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-02-29 14:09 . 2008-04-14 12:00 177664 ----a-w- c:\windows\system32\wintrust.dll
2012-02-29 14:09 . 2008-04-14 12:00 148480 ----a-w- c:\windows\system32\imagehlp.dll
2012-02-29 12:17 . 2008-04-14 12:00 385024 ------w- c:\windows\system32\html.iec
.
.
(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\dokumente und einstellungen\user1\Anwendungsdaten\Pnfk ----
.
2012-05-07 09:41 . 2012-05-07 09:41 69120 ---ha-w- c:\dokumente und einstellungen\user1\Anwendungsdaten\Pnfk\52861A738CB5BCC17C40.exe
.
.
((((((((((((((((((((((((((((( SnapShot@2012-05-15_22.16.06 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-14 12:00 . 2012-05-15 01:21 40972 c:\windows\system32\perfc009.dat
+ 2008-04-14 12:00 . 2012-05-16 15:40 40972 c:\windows\system32\perfc009.dat
- 2008-04-14 12:00 . 2012-05-15 01:21 49372 c:\windows\system32\perfc007.dat
+ 2008-04-14 12:00 . 2012-05-16 15:40 49372 c:\windows\system32\perfc007.dat
+ 2008-04-14 12:00 . 2012-05-16 15:40 314644 c:\windows\system32\perfh009.dat
- 2008-04-14 12:00 . 2012-05-15 01:21 314644 c:\windows\system32\perfh009.dat
+ 2008-04-14 12:00 . 2012-05-16 15:40 320424 c:\windows\system32\perfh007.dat
- 2008-04-14 12:00 . 2012-05-15 01:21 320424 c:\windows\system32\perfh007.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2010-02-25 18791456]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-09-28 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-09-28 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-09-28 142872]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"hpqSRMon"="c:\programme\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]
"SfWinStartInfo"="c:\programme\SFirm\sfWinStartupInfo.exe" [2010-12-20 128392]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"SearchSettings"="c:\programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe" [2012-04-23 983904]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\user1\Startmenü\Programme\Autostart\
Hardcopy.LNK - c:\programme\Hardcopy\hardcopy.exe [2012-4-10 3537920]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
Synchredible.lnk - c:\programme\ASCOMP Software\Synchredible\synchredible.exe [2012-3-7 6551856]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLinkedConnections"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=
"c:\\Programme\\Akademie Witthöft\\IpaAkademie.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.09.2011 14:49 136360]
R2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [23.04.2012 20:38 785304]
S2 gupdate;Google Update-Dienst (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [30.09.2011 17:02 136176]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [30.09.2011 17:02 136176]
S3 StkCMini;Syntek AVStream USB2.0 ATV;c:\windows\system32\drivers\StkCMini.sys [30.11.2011 16:36 1521544]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2012-05-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-09-30 15:02]
.
2012-05-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-09-30 15:02]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.witthoeft.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.1
DPF: {173D9E48-B527-4AA0-A929-30B446002AA8} - hxxp://tsw.dyndns.tv:5400/DVRemoteAx.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-05-16 17:47
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(1396)
c:\programme\Hardcopy\HcDLL2_36_Win32.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2012-05-16 17:48:38
ComboFix-quarantined-files.txt 2012-05-16 15:48
ComboFix2.txt 2012-05-15 22:17
.
Vor Suchlauf: 15 Verzeichnis(se), 287.223.533.568 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 287.212.478.464 Bytes frei
.
- - End Of File - - F47BFC6FA050529286342CBDC50A374A
|
|
21.05.2012, 07:16
| #12 |
| /// Malwareteam | Vrschlüsselungstrojaner - wie starten? Schritt 1: CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code:
ATTFilter FOLDER::
C:\dokumente und einstellungen\user1\Anwendungsdaten\Pnfk
CLEARJAVACACHE::
Wichtig:
Schritt 2: MBAM Downloade Dir bitte Malwarebytes
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
22.05.2012, 13:14
| #13 |
| /// Malwareteam | Vrschlüsselungstrojaner - wie starten? Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
23.05.2012, 06:34
| #14 |
| | Vrschlüsselungstrojaner - wie starten? Guten Morgen, der PC hat eine neue Festplatte mit einem frischen System bekommen. Vielen Dank für Deine Hilfe. |
|
23.05.2012, 06:43
| #15 |
| /// Malwareteam | Vrschlüsselungstrojaner - wie starten? Dieses Thema scheint erledigt und wurde aus meinen Abos gelöscht. Solltest du das Thema erneut brauchen, schicke mir bitte eine PM. Jeder andere bitte hier klicken und ein eigenes Thema erstellen!
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
| Themen zu Vrschlüsselungstrojaner - wie starten? |
| abgesicherter, abgesicherter modus möglich, aktiviert, anderer, automatisch, einzige, einzigen, haken, kein abgesicherter modus möglich, laden, local, modus, nutzer, profile, scan, scanner, services, sp3, starte, starten, startet, stelle, verschicken, verschlüsselungs, veschlüsselungstrojaner boot-cd, windows, windows xp, öffnen |
Hybrid-Darstellung
