Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Verschlüsselungstrojaner - nichts geht mehr

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.06.2012, 19:12   #1
Sausinator
 
Verschlüsselungstrojaner - nichts geht mehr - Standard

Verschlüsselungstrojaner - nichts geht mehr



hallo, ich poste jetzt über Mein handy, weil bei mir gar nix geht. Ich hab in den bisherigen threads nichts gefunden. Zum problem. Ich war so dumm und habe einen entsprechenden anhang geöffnet. Wenn ich jetzt starte funktioniert die taskleiste und das startmenü gar nicht. Wenn ich eine anwendung auf dem desktop starte sperrt sich der pc und der hinweis kommt das ich den trojaner habe und 100$ überweisen soll. Was kann ich tun?

Noch ergänzende Hinweise. Ich habe jetzt über einen Gaszugang auf meinem PC wieder zugriff. Mein normaler Adminzugriff geht nach wie vor nicht.
Noch ein paar Info zum Laptop. Acer Aspire 6920g mit Windows Vista.
Reicht der Gastugriff aus um den Trojaner zu entfernen?

Alt 11.06.2012, 09:37   #2
Psychotic
/// Malwareteam
 
Verschlüsselungstrojaner - nichts geht mehr - Standard

Verschlüsselungstrojaner - nichts geht mehr





Vorgehen bei Verschlüsselungstrojaner


  1. Wenn Bestandteile des Schädlings bzw. die Email, mit der er verschickt wurde, sich noch auf deinem Rechner befinden, besuche bitte diesen Link, um die Entwicklung von Gegenmaßnahmen voranzutreiben!

  2. Besuche diesen Link - hier findest du die derzeit verfügbaren Tools sowie die Anweisungen, wie du zu verfahren hast.
    Wenn diese Tools dir nicht helfen, gibt es momentan kein Mittel gegen die Verschlüsselung. Habe Geduld, bis die Experten einen Weg gefunden haben, sie zu beheben!
    Hinweis: Auch wenn der Trojaner scheinbar entfernt wurde, führe die Punkte unter diesem Link aus, um sicher zu gehen.
    Der Schädling könnte sich sonst weiter verteilen und auch andere Rechner und deren Daten innerhalb eines Netzwerks gefährden!

Mit freundlichem Gruß

Das Team von Trojaner-Board.de
__________________

__________________

Alt 11.06.2012, 21:10   #3
Sausinator
 
Verschlüsselungstrojaner - nichts geht mehr - Standard

Verschlüsselungstrojaner - nichts geht mehr



Malwarebytes Anti-Malware (Test) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.06.11.06

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
Tobias Tutzauer :: TT21182 [Administrator]

Schutz: Aktiviert

11/06/2012 17:59:01
mbam-log-2012-06-11 (17-59-01).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 427444
Laufzeit: 3 Stunde(n), 1 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|16B7D035 (Trojan.Agent.RNSGen) -> Daten: C:\Users\Tobias Tutzauer\AppData\Roaming\Szlrszlnihb\4378926016B7D0352CAC.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\Users\Tobias Tutzauer\AppData\Local\Temp\vrugvrupea.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Tobias Tutzauer\AppData\Local\Temp\zsrlzshinb.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Tobias Tutzauer\AppData\Local\Temp\rlzsrlzhin.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Tobias Tutzauer\AppData\Local\Temp\srlzsrlbhi.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Tobias Tutzauer\AppData\Local\TempDIR\BetterInstaller.exe (PUP.BundleInstaller.Somoto) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Tobias Tutzauer\Documents\Neuverlieben Mitgliedschaft.com (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Malwarebytes Anti-Malware (Test) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.04.04.08

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
Tobias Tutzauer :: TT21182 [Administrator]

Schutz: Aktiviert

10/06/2012 18:08:37
mbam-log-2012-06-10 (18-08-37).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 218835
Laufzeit: 13 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Daten: yäÓ·h̵B£8“ŽÎ5ô -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Tobias Tutzauer\AppData\Roaming\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 11/06/2012 21:15:15 - Run 1
OTL by OldTimer - Version 3.2.48.0     Folder = C:\Users\Tobias Tutzauer\Downloads
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6002.18005)
Locale: 00001809 | Country: Irland | Language: ENI | Date Format: dd/MM/yyyy
 
3.00 Gb Total Physical Memory | 1.95 Gb Available Physical Memory | 64.99% Memory free
6.20 Gb Paging File | 5.14 Gb Available in Paging File | 82.92% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 111.44 Gb Total Space | 50.20 Gb Free Space | 45.05% Space Free | Partition Type: NTFS
Drive D: | 106.40 Gb Total Space | 67.35 Gb Free Space | 63.30% Space Free | Partition Type: NTFS
 
Computer Name: TT21182 | User Name: Tobias Tutzauer | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012/06/11 21:13:56 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Users\Tobias Tutzauer\Downloads\OTL.exe
PRC - [2012/04/04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2012/04/04 15:56:38 | 000,462,408 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2012/03/28 01:14:06 | 000,138,232 | R--- | M] (Symantec Corporation) -- C:\Programme\Norton 360\Engine\6.2.1.5\ccsvchst.exe
PRC - [2009/04/11 08:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2009/04/11 08:27:28 | 000,069,120 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conime.exe
PRC - [2008/10/16 18:26:20 | 000,860,160 | ---- | M] (Intel(R) Corporation) -- C:\Programme\Intel\WiFi\bin\EvtEng.exe
PRC - [2008/10/16 17:54:34 | 000,466,944 | ---- | M] (Intel(R) Corporation) -- C:\Programme\Common Files\Intel\WirelessCommon\RegSrvc.exe
PRC - [2008/03/21 21:39:11 | 003,337,728 | ---- | M] (Arachnoid Biometrics Identification Group Corp.) -- C:\Programme\Acer\Acer Bio Protection\CompPtcVUI.exe
PRC - [2008/02/15 10:09:30 | 000,595,248 | ---- | M] (Validity Sensors, Inc.) -- C:\Windows\System32\vfsFPService.exe
PRC - [2008/02/14 16:19:18 | 000,024,576 | ---- | M] () -- C:\Programme\Acer\Empowering Technology\Service\ETService.exe
PRC - [2008/02/03 23:14:48 | 000,500,784 | ---- | M] (Egis Incorporated) -- C:\Programme\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
PRC - [2008/01/19 09:33:39 | 000,896,512 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2008/01/19 09:33:39 | 000,202,240 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnscfg.exe
PRC - [2008/01/16 19:35:02 | 000,081,504 | ---- | M] () -- C:\Programme\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
PRC - [2008/01/10 18:03:00 | 000,233,472 | ---- | M] (Acer Incorporated) -- C:\Programme\Acer\Acer VCM\RS_Service.exe
PRC - [2007/10/24 04:02:16 | 000,358,936 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe
PRC - [2007/10/24 04:02:14 | 000,178,712 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe
PRC - [2007/09/26 07:24:42 | 000,012,800 | ---- | M] (Agere Systems) -- C:\Windows\System32\agrsmsvc.exe
 
 
========== Modules (No Company Name) ==========
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - File not found [Auto | Stopped] -- C:\Acer\Mobility Center\MobilityService.exe -- (MobilityService)
SRV - [2012/05/17 22:20:10 | 000,257,696 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012/05/05 18:27:13 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012/04/04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012/03/28 01:14:06 | 000,138,232 | R--- | M] (Symantec Corporation) [Auto | Running] -- C:\Program Files\Norton 360\Engine\6.2.1.5\ccSvcHst.exe -- (N360)
SRV - [2012/01/04 14:32:36 | 000,718,888 | ---- | M] (Nokia) [On_Demand | Stopped] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2008/10/16 18:26:20 | 000,860,160 | ---- | M] (Intel(R) Corporation) [Auto | Running] -- C:\Programme\Intel\WiFi\bin\EvtEng.exe -- (EvtEng)
SRV - [2008/10/16 17:54:34 | 000,466,944 | ---- | M] (Intel(R) Corporation) [Auto | Running] -- C:\Programme\Common Files\Intel\WirelessCommon\RegSrvc.exe -- (RegSrvc)
SRV - [2008/02/15 10:09:30 | 000,595,248 | ---- | M] (Validity Sensors, Inc.) [Auto | Running] -- C:\Windows\System32\vfsFPService.exe -- (vfsFPService)
SRV - [2008/02/14 16:19:18 | 000,024,576 | ---- | M] () [Auto | Running] -- C:\Programme\Acer\Empowering Technology\Service\ETService.exe -- (ETService)
SRV - [2008/02/03 23:14:48 | 000,500,784 | ---- | M] (Egis Incorporated) [Auto | Running] -- C:\Programme\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe -- (eDataSecurity Service)
SRV - [2008/01/19 09:38:24 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2008/01/19 09:33:39 | 000,896,512 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2008/01/16 19:35:02 | 000,081,504 | ---- | M] () [Auto | Running] -- C:\Programme\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe -- (CLHNService)
SRV - [2008/01/10 18:03:00 | 000,233,472 | ---- | M] (Acer Incorporated) [Auto | Running] -- C:\Programme\Acer\Acer VCM\RS_Service.exe -- (RS_Service)
SRV - [2007/10/24 04:02:16 | 000,358,936 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe -- (IAANTMON) Intel(R)
SRV - [2007/09/26 07:24:42 | 000,012,800 | ---- | M] (Agere Systems) [Auto | Running] -- C:\Windows\System32\agrsmsvc.exe -- (AgereModemAudio)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\N360\0308000.029\SYMNDISV.SYS -- (SYMNDISV)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\N360\0308000.029\SYMFW.SYS -- (SYMFW)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RTKVHDA.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - [2012/05/31 16:40:05 | 000,376,480 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Programme\Common Files\Symantec Shared\EENGINE\eeCtrl.sys -- (eeCtrl)
DRV - [2012/05/31 16:40:05 | 000,106,656 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Programme\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys -- (EraserUtilRebootDrv)
DRV - [2012/05/16 19:32:53 | 001,589,752 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_6.0.0.145\Definitions\VirusDefs\20120610.017\NAVEX15.SYS -- (NAVEX15)
DRV - [2012/05/16 19:32:52 | 000,087,928 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_6.0.0.145\Definitions\VirusDefs\20120610.017\NAVENG.SYS -- (NAVENG)
DRV - [2012/04/28 02:18:22 | 000,368,248 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_6.0.0.145\Definitions\IPSDefs\20120608.001\IDSvix86.sys -- (IDSVix86)
DRV - [2012/04/20 17:30:20 | 000,141,944 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\SYMEVENT.SYS -- (SymEvent)
DRV - [2012/04/13 01:34:56 | 000,821,880 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_6.0.0.145\Definitions\BASHDefs\20120531.001\BHDrvx86.sys -- (BHDrvx86)
DRV - [2012/04/04 15:56:40 | 000,022,344 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\System32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2012/03/29 08:03:27 | 000,574,072 | ---- | M] (Symantec Corporation) [File_System | System | Running] -- C:\Windows\System32\drivers\N360\0602010.005\srtsp.sys -- (SRTSP)
DRV - [2012/03/29 08:03:27 | 000,032,888 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\N360\0602010.005\srtspx.sys -- (SRTSPX) Symantec Real Time Storage Protection (PEL)
DRV - [2011/11/23 20:23:48 | 000,905,336 | R--- | M] (Symantec Corporation) [File_System | Boot | Running] -- C:\Windows\System32\drivers\N360\0602010.005\symefa.sys -- (SymEFA)
DRV - [2011/11/16 21:38:00 | 000,345,208 | R--- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\N360\0602010.005\symtdiv.sys -- (SYMTDIv)
DRV - [2011/11/16 21:17:48 | 000,149,624 | R--- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\N360\0602010.005\ironx86.sys -- (SymIRON)
DRV - [2011/11/04 17:59:36 | 000,132,744 | R--- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\N360\0602010.005\ccsetx86.sys -- (ccSet_N360)
DRV - [2011/11/01 11:07:26 | 000,018,176 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ccdcmb.sys -- (nmwcd)
DRV - [2011/11/01 11:07:26 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - [2011/11/01 11:07:26 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2011/11/01 11:07:24 | 000,023,168 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - [2011/08/16 00:51:40 | 000,340,088 | R--- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\N360\0602010.005\symds.sys -- (SymDS)
DRV - [2009/08/05 07:18:22 | 000,048,640 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\L1E60x86.sys -- (L1E)
DRV - [2009/04/11 06:45:24 | 000,113,664 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\rmcast.sys -- (RMCAST) RMCAST (Pgm)
DRV - [2008/11/17 08:40:22 | 003,668,480 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\NETw5v32.sys -- (NETw5v32) Intel(R)
DRV - [2008/08/26 10:26:12 | 000,018,816 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\pccsmcfd.sys -- (pccsmcfd)
DRV - [2008/03/21 21:39:03 | 000,043,184 | ---- | M] (Alfa Corporation) [File_System | Boot | Running] -- C:\Windows\System32\drivers\AlfaFF.sys -- (AlfaFF)
DRV - [2008/02/22 11:53:12 | 000,080,784 | ---- | M] (JMicron Technology Corp.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\jmcr.sys -- (JMCR)
DRV - [2008/02/15 10:09:46 | 000,040,752 | ---- | M] (Validity Sensors, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\vfs101x.sys -- (vfs101x)
DRV - [2008/02/04 10:31:00 | 008,240,800 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2008/01/29 20:53:48 | 000,041,456 | ---- | M] (Cyberlink Corp.) [Kernel | Auto | Running] -- C:\Programme\Acer Arcade Deluxe\PlayMovie\000.fcl -- ({49DE1C67-83F8-4102-99E0-C16DCC7EEC796})
DRV - [2008/01/16 19:35:08 | 000,122,368 | ---- | M] (Cyberlink Corp.) [Kernel | Auto | Running] -- C:\Programme\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\NTIPPKernel.sys -- (NTIPPKernel)
DRV - [2007/12/18 18:12:12 | 000,054,784 | ---- | M] (ITE Tech. Inc. ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\itecir.sys -- (itecir)
DRV - [2007/10/30 08:54:04 | 001,201,632 | ---- | M] (Agere Systems) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2007/09/26 14:12:22 | 002,251,776 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\NETw4v32.sys -- (NETw4v32) Intel(R)
DRV - [2007/01/26 08:32:18 | 000,069,632 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\System32\drivers\int15.sys -- (int15)
DRV - [2006/11/02 15:27:34 | 000,020,112 | ---- | M] (Dritek System Inc.) [Kernel | System | Running] -- C:\Programme\Launch Manager\DPortIO.sys -- (DritekPortIO)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Yahoo! Deutschland
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland
IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = hxxp://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = comdirect.de [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Search
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = hxxp://tbsearch.ask.com/redirect?client=ie&tb=UT2V5&o=15158&src=crm&q={searchTerms}&locale=de_DE
IE - HKCU\..\SearchScopes\{4F11ACBB-393F-4c86-A214-FF3D0D155CC3}: "URL" = hxxp://search.burn4free-toolbar.com/search?p=Q&ts=ne&w={searchTerms}&csrc=search-field
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = hxxp://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms}
IE - HKCU\..\SearchScopes\{AFBCB7E0-F91A-4951-9F31-58FEE57A25C4}: "URL" = hxxp://int.search-results.com/web?q={SEARCHTERMS}&o=15527&l=dis&prt=360&chn=retail&geo=DE&ver=5
IE - HKCU\..\SearchScopes\{BE5CC0F1-ECE8-4E61-ADFB-1CC2711B05BD}: "URL" = hxxp://de.search.yahoo.com/search?ei=utf-8&fr=chr-greentree_ie&type=971163&p={searchTerms} 
IE - HKCU\..\SearchScopes\{DECA3892-BA8F-44b8-A993-A466AD694AE4}: "URL" = hxxp://de.search.yahoo.com/search?p={searchTerms}&fr=chr-acer
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 192.168.1.9:8080
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "iMesh Web Search"
FF - prefs.js..browser.search.order.1: "iMesh Web Search"
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=971163"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: {A27F3FEF-1113-4cfb-A032-8E12D7D8EE70}:7.3.3.42
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.6
FF - prefs.js..extensions.enabledItems: bkmrksync@nokia.com:1.0.0.732
FF - prefs.js..network.proxy.backup.ftp: "192.168.1.9"
FF - prefs.js..network.proxy.backup.ftp_port: 8080
FF - prefs.js..network.proxy.backup.gopher: "192.168.1.9"
FF - prefs.js..network.proxy.backup.gopher_port: 8080
FF - prefs.js..network.proxy.backup.socks: "192.168.1.9"
FF - prefs.js..network.proxy.backup.socks_port: 8080
FF - prefs.js..network.proxy.backup.ssl: "192.168.1.9"
FF - prefs.js..network.proxy.backup.ssl_port: 8080
FF - prefs.js..network.proxy.ftp: "192.168.1.9"
FF - prefs.js..network.proxy.ftp_port: 8080
FF - prefs.js..network.proxy.gopher: "192.168.1.9"
FF - prefs.js..network.proxy.gopher_port: 8080
FF - prefs.js..network.proxy.http: "192.168.1.9"
FF - prefs.js..network.proxy.http_port: 8080
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "192.168.1.9"
FF - prefs.js..network.proxy.socks_port: 8080
FF - prefs.js..network.proxy.ssl: "192.168.1.9"
FF - prefs.js..network.proxy.ssl_port: 8080
FF - prefs.js..network.proxy.type: 0
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: D:\DivX\DivX Web Player\npdivx32.dll File not found
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0:  File not found
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Program Files\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pack.google.com/Google Updater;version=14: C:\Program Files\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll (Google)
FF - HKLM\Software\MozillaPlugins\@pages.tvunetworks.com/WebPlayer: C:\Windows\system32\TVUAx\npTVUAx.dll (TVU networks)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.46: C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.3.46: C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.46: C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetleCorePlugin,version=0.9.18: C:\Program Files\Veetle\plugins\npVeetle.dll (Veetle Inc)
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetlePlayerPlugin,version=0.9.18: C:\Program Files\Veetle\Player\npvlc.dll (Veetle Inc)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Program Files\Real\RealPlayer\browserrecord [2008/04/29 19:10:44 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\bkmrksync@nokia.com: C:\Program Files\Nokia\Nokia PC Suite 7\bkmrksync\ [2010/12/01 22:56:12 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{BBDA0591-3099-440a-AA10-41764D9DB4DB}: C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_6.0.0.145\IPSFFPlgn\ [2012/04/20 17:36:06 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{2D3F3651-74B9-4795-BDEC-6DA2F431CB62}: C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_6.0.0.145\coFFPlgn\ [2012/06/11 21:05:00 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012/05/05 18:27:13 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011/05/13 11:24:32 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\te_9.0@nokia.com: C:\Program Files\Nokia\Nokia Suite\Connectors\Thunderbird Connector\ThunderbirdExtension_9.0 [2012/02/16 19:34:11 | 000,000,000 | ---D | M]
 
[2011/01/25 22:44:54 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Tobias Tutzauer\AppData\Roaming\mozilla\Extensions
[2012/06/03 23:18:33 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Tobias Tutzauer\AppData\Roaming\mozilla\Firefox\Profiles\b44wy462.default\extensions
[2010/06/29 18:16:43 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Tobias Tutzauer\AppData\Roaming\mozilla\Firefox\Profiles\b44wy462.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011/08/16 01:07:30 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\Tobias Tutzauer\AppData\Roaming\mozilla\Firefox\Profiles\b44wy462.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2011/08/20 15:24:35 | 000,000,000 | ---D | M] (TVU Web Player) -- C:\Users\Tobias Tutzauer\AppData\Roaming\mozilla\Firefox\Profiles\b44wy462.default\extensions\firefox@tvunetworks.com
[2011/12/19 21:18:20 | 000,000,933 | ---- | M] () -- C:\Users\Tobias Tutzauer\AppData\Roaming\Mozilla\Firefox\Profiles\b44wy462.default\searchplugins\11-suche.xml
[2009/10/11 20:47:36 | 000,002,257 | ---- | M] () -- C:\Users\Tobias Tutzauer\AppData\Roaming\Mozilla\Firefox\Profiles\b44wy462.default\searchplugins\askcom.xml
[2011/12/19 21:18:20 | 000,002,419 | ---- | M] () -- C:\Users\Tobias Tutzauer\AppData\Roaming\Mozilla\Firefox\Profiles\b44wy462.default\searchplugins\englische-ergebnisse.xml
[2011/12/19 21:18:20 | 000,010,525 | ---- | M] () -- C:\Users\Tobias Tutzauer\AppData\Roaming\Mozilla\Firefox\Profiles\b44wy462.default\searchplugins\gmx-suche.xml
[2010/09/02 10:09:28 | 000,002,486 | ---- | M] () -- C:\Users\Tobias Tutzauer\AppData\Roaming\Mozilla\Firefox\Profiles\b44wy462.default\searchplugins\iMeshWebSearch.xml
[2011/12/19 21:18:20 | 000,002,457 | ---- | M] () -- C:\Users\Tobias Tutzauer\AppData\Roaming\Mozilla\Firefox\Profiles\b44wy462.default\searchplugins\lastminute.xml
[2011/05/27 22:15:38 | 000,002,448 | ---- | M] () -- C:\Users\Tobias Tutzauer\AppData\Roaming\Mozilla\Firefox\Profiles\b44wy462.default\searchplugins\safesearch.xml
[2011/09/10 17:09:49 | 000,001,565 | ---- | M] () -- C:\Users\Tobias Tutzauer\AppData\Roaming\Mozilla\Firefox\Profiles\b44wy462.default\searchplugins\web-search.xml
[2011/12/19 21:18:20 | 000,005,508 | ---- | M] () -- C:\Users\Tobias Tutzauer\AppData\Roaming\Mozilla\Firefox\Profiles\b44wy462.default\searchplugins\webde-suche.xml
[2011/11/23 19:51:27 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012/01/07 17:46:26 | 000,634,964 | ---- | M] () (No name found) -- C:\USERS\TOBIAS TUTZAUER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\B44WY462.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
[2012/05/05 18:27:13 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2009/03/31 22:47:26 | 000,324,976 | ---- | M] (Symantec Corporation) -- C:\Program Files\mozilla firefox\components\coFFPlgn.dll
[2010/09/15 04:50:38 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
[2012/02/13 18:07:11 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/02/13 18:07:11 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012/02/13 18:07:11 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2010/09/02 10:09:28 | 000,002,486 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\iMeshWebSearch.xml
[2012/02/13 18:07:11 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/02/13 18:07:11 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/02/13 18:07:11 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006/09/18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - No CLSID value found.
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (Norton Identity Protection) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton 360\Engine\6.2.1.5\coieplg.dll (Symantec Corporation)
O2 - BHO: (Norton Vulnerability Protection) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton 360\Engine\6.2.1.5\ips\ipsbho.dll (Symantec Corporation)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll (Google Inc.)
O2 - BHO: (Burn4Free Toolbar Helper) - {D187A56B-A33F-4CBE-9D77-459FC0BAE012} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll ()
O3 - HKLM\..\Toolbar: (no name) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Burn4Free Toolbar) - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll ()
O3 - HKLM\..\Toolbar: (Acer eDataSecurity Management) - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Programme\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll (Egis Incorporated.)
O3 - HKLM\..\Toolbar: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton 360\Engine\6.2.1.5\coieplg.dll (Symantec Corporation)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (Acer eDataSecurity Management) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - C:\Programme\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll (Egis Incorporated.)
O3 - HKCU\..\Toolbar\WebBrowser: (Burn4Free Toolbar) - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - C:\Programme\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll ()
O4 - HKLM..\Run: [eRecoveryService]  File not found
O4 - HKLM..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: []  File not found
O4 - HKCU..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run:  = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableStatusMessages = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 0
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Tobias Tutzauer\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: Quick-Launching Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Programme\Acer\Acer Bio Protection\PwdBank.exe ()
O9 - Extra 'Tools' menuitem : Quick-Launching Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Programme\Acer\Acer Bio Protection\PwdBank.exe ()
O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe (PokerStars)
O9 - Extra Button: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Programs\PartyGaming\PartyGammon\RunBackGammon.exe File not found
O9 - Extra 'Tools' menuitem : PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Programs\PartyGaming\PartyGammon\RunBackGammon.exe File not found
O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe ()
O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe ()
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O13 - gopher Prefix: missing
O16 - DPF: {6E718D87-6909-4FCE-92D4-EDCB2F725727} hxxp://www.navigram.com/engine/v1026/Navigram.cab (Navigram Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{50987521-4C59-4C18-9F0B-5E0A8E98F3D4}: DhcpNameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{9F4CB8F4-2B33-4E61-99FE-E3D789B06B17}: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - c:\Programme\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Common Files\microsoft shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AWinNotifyVitaKey MC3000: DllName - (C:\Program Files\Acer\Acer Bio Protection\WinNotify.dll) - C:\Programme\Acer\Acer Bio Protection\WinNotify.dll (Arachnoid Biometrics Identification Group Corp.)
O24 - Desktop WallPaper: C:\Users\Tobias Tutzauer\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O24 - Desktop BackupWallPaper: C:\Users\Tobias Tutzauer\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{a5ca312d-507f-11df-9bb6-00a0d1a40f6e}\Shell\AutoRun\command - "" = E:\Launcher.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/06/11 18:31:50 | 000,000,000 | ---D | C] -- C:\ProgramData\WindowsSearch
[2012/06/10 18:07:00 | 000,000,000 | ---D | C] -- C:\Users\Tobias Tutzauer\AppData\Roaming\Malwarebytes
[2012/06/10 18:06:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012/06/10 18:06:53 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012/06/10 18:06:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012/06/10 18:06:52 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2012/06/10 17:13:42 | 000,000,000 | ---D | C] -- C:\Users\Tobias Tutzauer\AppData\Roaming\Szlrszlnihb
[2012/05/18 18:26:28 | 000,000,000 | ---D | C] -- C:\Users\Tobias Tutzauer\Documents\Kontoauszüge VoBa
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/06/11 21:21:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012/06/11 21:19:00 | 000,000,438 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{77639853-E56A-42D7-B25E-CAC22FB43667}.job
[2012/06/11 21:10:48 | 000,633,286 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012/06/11 21:10:48 | 000,597,512 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012/06/11 21:10:48 | 000,104,748 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012/06/11 21:10:47 | 000,129,592 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012/06/11 21:05:20 | 000,069,921 | ---- | M] () -- C:\Users\Tobias Tutzauer\AppData\Roaming\nvModes.001
[2012/06/11 21:05:06 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012/06/11 21:05:06 | 000,000,000 | ---- | M] () -- C:\Windows\System32\LogConfigTemp.xml
[2012/06/11 21:04:42 | 000,003,296 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012/06/11 21:04:42 | 000,003,296 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012/06/11 21:04:30 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012/06/11 21:03:03 | 000,000,012 | ---- | M] () -- C:\Windows\bthservsdp.dat
[2012/06/11 20:57:13 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012/06/11 18:43:17 | 000,000,000 | ---- | M] () -- C:\Users\Tobias Tutzauer\defogger_reenable
[2012/06/10 18:06:54 | 000,000,910 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012/06/09 10:38:00 | 000,001,052 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job
[2012/06/04 19:02:30 | 002,434,521 | ---- | M] () -- C:\Windows\System32\drivers\N360\0602010.005\Cat.DB
[2012/06/04 18:36:52 | 000,295,288 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012/05/23 23:53:21 | 407,203,163 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2012/05/23 21:18:21 | 000,002,043 | ---- | M] () -- C:\Users\Public\Desktop\Norton 360.lnk
[2012/05/23 21:16:56 | 000,008,942 | ---- | M] () -- C:\Windows\System32\drivers\N360\0602010.005\VT20120410.034
[2012/05/20 21:08:12 | 000,494,909 | ---- | M] () -- C:\Users\Tobias Tutzauer\Documents\Sixpack-Challenge_2012_Trainingsplan.pdf
[2012/05/20 21:06:31 | 000,438,779 | ---- | M] () -- C:\Users\Tobias Tutzauer\Documents\Sixpack-Challenge_2012_Ernaehrungsplan.pdf
[2012/05/20 20:58:11 | 000,051,462 | ---- | M] () -- C:\Users\Tobias Tutzauer\Documents\Übertragungsprotokoll_ESt2011_Tutzauer_Tobias.pdf
[2012/05/20 20:57:01 | 000,081,503 | ---- | M] () -- C:\Users\Tobias Tutzauer\ESt2011_Tutzauer_Tobias.elfo
[2012/05/14 20:32:03 | 000,000,994 | ---- | M] () -- C:\Users\Public\Desktop\ElsterFormular.lnk
[2012/05/13 09:45:26 | 000,000,172 | ---- | M] () -- C:\Windows\System32\drivers\N360\0602010.005\isolate.ini
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/06/11 18:43:17 | 000,000,000 | ---- | C] () -- C:\Users\Tobias Tutzauer\defogger_reenable
[2012/06/10 18:06:54 | 000,000,910 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012/05/23 23:53:21 | 407,203,163 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2012/05/20 21:08:12 | 000,494,909 | ---- | C] () -- C:\Users\Tobias Tutzauer\Documents\Sixpack-Challenge_2012_Trainingsplan.pdf
[2012/05/20 21:06:31 | 000,438,779 | ---- | C] () -- C:\Users\Tobias Tutzauer\Documents\Sixpack-Challenge_2012_Ernaehrungsplan.pdf
[2012/05/20 20:57:43 | 000,051,462 | ---- | C] () -- C:\Users\Tobias Tutzauer\Documents\Übertragungsprotokoll_ESt2011_Tutzauer_Tobias.pdf
[2012/05/17 22:20:11 | 000,000,884 | ---- | C] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012/05/14 20:36:02 | 000,081,503 | ---- | C] () -- C:\Users\Tobias Tutzauer\ESt2011_Tutzauer_Tobias.elfo
[2012/01/08 14:20:21 | 000,000,000 | ---- | C] () -- C:\Windows\System32\dvdtest10024.dat
[2011/02/05 22:51:40 | 000,000,083 | ---- | C] () -- C:\Windows\wwp.INI
[2010/11/01 15:55:01 | 000,000,425 | ---- | C] () -- C:\Windows\BRWMARK.INI
[2010/11/01 15:54:07 | 000,000,000 | ---- | C] () -- C:\Windows\brmx2001.ini
[2010/11/01 15:49:40 | 000,000,074 | ---- | C] () -- C:\Windows\Brownie.ini
 
========== LOP Check ==========
 
[2008/04/05 14:33:08 | 000,000,000 | -HSD | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\.#
[2012/04/17 17:06:46 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\2K Games
[2008/04/22 09:55:31 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\Acer
[2008/03/02 02:23:06 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\Acer GameZone Console
[2008/04/22 21:56:51 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\concept design
[2012/06/10 18:23:13 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\Desktopicon
[2012/01/24 23:08:20 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\DVDVideoSoft
[2011/08/16 01:07:29 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\DVDVideoSoftIEHelpers
[2012/05/14 20:34:35 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\elsterformular
[2010/01/12 21:14:53 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\eSobi
[2012/01/09 00:32:11 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\iMesh
[2012/02/16 19:36:03 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\Nokia
[2010/11/30 23:06:10 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\Nokia Ovi Suite
[2011/09/27 22:39:18 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\PC Suite
[2008/10/08 22:11:52 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\PlayFirst
[2012/06/10 19:37:36 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\Szlrszlnihb
[2008/04/06 11:14:38 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\T-Online
[2011/11/27 22:48:50 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\temp
[2009/01/05 22:52:38 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\Template
[2008/06/26 22:04:03 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\TERMINAL Studio
[2009/02/28 11:18:22 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\Toolbars
[2009/12/21 19:59:39 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\uTorrent
[2008/04/05 20:36:04 | 000,000,000 | ---D | M] -- C:\Users\Tobias Tutzauer\AppData\Roaming\Validity
[2012/06/11 21:03:04 | 000,032,514 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
[2012/06/11 21:19:00 | 000,000,438 | -H-- | M] () -- C:\Windows\Tasks\User_Feed_Synchronization-{77639853-E56A-42D7-B25E-CAC22FB43667}.job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:9F683177
@Alternate Data Stream - 111 bytes -> C:\ProgramData\TEMP:364682BC
@Alternate Data Stream - 104 bytes -> C:\ProgramData\TEMP:2B99FE60

< End of report >
         
--- --- ---
__________________

Alt 12.06.2012, 08:16   #4
Psychotic
/// Malwareteam
 
Verschlüsselungstrojaner - nichts geht mehr - Standard

Verschlüsselungstrojaner - nichts geht mehr





Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellste und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein Rechner clean ist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
  1. Bitte arbeite alle Schritte der Reihe nach ab.
  2. Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
  3. Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
  4. Bitte kein Crossposting (posten in mehreren Foren) - wenn du die Anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
  5. Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
  6. Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!

    ...und ganz wichtig:

  7. Poste die Logfiles mit code-tags (das #-Symbol oben im Antwortfenster) in deinen Thread! Nicht anhängen, außer, ich fordere dich dazu auf. (Erschwert mir nämlich das Auswerten).


Vista und Win7 User
Alle Tools mit Rechtsklick --> "als Administrator ausführen" starten.



Schritt 1: Gmer


Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
  • keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
  • nichts am Rechner arbeiten,
  • nach jedem Scan der Rechner neu gestarten.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen). Vista und Win7 User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Hacken bei:
    • IAT/EAT
    • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
    • Show all (sollte abgehackt sein)
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!



Schritt 2: Scan mit TDSS-Killer



Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop
  • Starte die TDSSKiller.exe
  • Klicke Change parameters, wähle Detect TDLFS file system, klicke OK.
  • Drücke Start Scan
  • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt
Poste den Inhalt bitte hier in deinen Thread.



Schritt 3: extras.txt posten


Poste mir bitte die extras.txt, die OTL erstellt hat.
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 12.06.2012, 22:29   #5
Sausinator
 
Verschlüsselungstrojaner - nichts geht mehr - Standard

Verschlüsselungstrojaner - nichts geht mehr



Hi Marius,
hier die Log Dateien. Laptop läuft grad wieder. Alle Bild und Tondateine sind aber verschlüsselt.
Hat der Trojaner auch Auswirkungen aufs Internet? Ich habe das Gefühl das Facebook seither nicht mehr richtig läuft. Nachrichten usw. kommen erst mit Verzögerung.

So die LogDatein

Gmer:

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-06-12 22:04:49
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 WDC_WD25 rev.01.0
Running: bkzdpumk.exe; Driver: C:\Users\TOBIAS~1\AppData\Local\Temp\pxldipog.sys


---- System - GMER 1.0.15 ----

SSDT            89B51488                                                                                                ZwAlertResumeThread
SSDT            89B51568                                                                                                ZwAlertThread
SSDT            89B4DC98                                                                                                ZwAllocateVirtualMemory
SSDT            89965648                                                                                                ZwAlpcConnectPort
SSDT            89B295E8                                                                                                ZwAssignProcessToJobObject
SSDT            8827AE58                                                                                                ZwCreateMutant
SSDT            89B71EC0                                                                                                ZwCreateSymbolicLinkObject
SSDT            89B4FEF0                                                                                                ZwCreateThread
SSDT            89B83788                                                                                                ZwDebugActiveProcess
SSDT            89B4FC38                                                                                                ZwDuplicateObject
SSDT            89B51FC0                                                                                                ZwFreeVirtualMemory
SSDT            899FCC50                                                                                                ZwImpersonateAnonymousToken
SSDT            899FCD30                                                                                                ZwImpersonateThread
SSDT            899655D0                                                                                                ZwLoadDriver
SSDT            89B51EE0                                                                                                ZwMapViewOfSection
SSDT            897FF510                                                                                                ZwOpenEvent
SSDT            89B4FDD8                                                                                                ZwOpenProcess
SSDT            89B4FBB8                                                                                                ZwOpenProcessToken
SSDT            899F81A8                                                                                                ZwOpenSection
SSDT            89B4FD08                                                                                                ZwOpenThread
SSDT            89B29518                                                                                                ZwProtectVirtualMemory
SSDT            89B51628                                                                                                ZwResumeThread
SSDT            89B51C90                                                                                                ZwSetContextThread
SSDT            89B51D50                                                                                                ZwSetInformationProcess
SSDT            89B833C0                                                                                                ZwSetSystemInformation
SSDT            88372180                                                                                                ZwSuspendProcess
SSDT            89B516E8                                                                                                ZwSuspendThread
SSDT            89B4FFD0                                                                                                ZwTerminateProcess
SSDT            89B517A8                                                                                                ZwTerminateThread
SSDT            89B51E20                                                                                                ZwUnmapViewOfSection
SSDT            89B4DBC8                                                                                                ZwWriteVirtualMemory
SSDT            89B71FB0                                                                                                ZwCreateThreadEx

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!KeSetEvent + 11D                                                                           820C07E0 8 Bytes  [88, 14, B5, 89, 68, 15, B5, ...]
.text           ntkrnlpa.exe!KeSetEvent + 131                                                                           820C07F4 4 Bytes  [98, DC, B4, 89]
.text           ntkrnlpa.exe!KeSetEvent + 13D                                                                           820C0800 4 Bytes  [48, 56, 96, 89]
.text           ntkrnlpa.exe!KeSetEvent + 191                                                                           820C0854 4 Bytes  CALL DE95BAEE 
.text           ntkrnlpa.exe!KeSetEvent + 1F5                                                                           820C08B8 4 Bytes  [58, AE, 27, 88]
.text           ...                                                                                                     
.text           C:\Windows\system32\DRIVERS\nvlddmkm.sys                                                                section is writeable [0x8F806340, 0x3A08F7, 0xE8000020]
                C:\Program Files\Acer Arcade Deluxe\PlayMovie\000.fcl                                                   entry point in "" section [0xA952A000]
.clc            C:\Program Files\Acer Arcade Deluxe\PlayMovie\000.fcl                                                   unknown last section [0xA952B000, 0x1000, 0x00000000]

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Windows\Explorer.EXE[664] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown]                    [742B7817] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[664] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage]                     [742FB4E9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[664] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI]                 [742BBB22] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[664] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode]           [742AF695] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[664] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup]                     [742B75E9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[664] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC]                  [742AE7CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[664] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM]      [742E73F5] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[664] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream]         [742BDA60] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[664] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight]                 [742AFFFA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[664] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth]                  [742AFF61] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[664] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage]                   [742A71CF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[664] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM]           [7433CAE2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[664] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile]              [742DC8D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[664] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics]                 [742AD968] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[664] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree]                           [742A6853] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[664] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc]                          [742A687E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[664] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode]             [742B2AD1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\Explorer.EXE[664] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!CreateThread]              [10002300] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Acer eDataSecurity Management PSD DragDrop Protection/Egis Incorporated)
IAT             C:\Windows\Explorer.EXE[664] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!FreeLibraryAndExitThread]  [10001B30] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Acer eDataSecurity Management PSD DragDrop Protection/Egis Incorporated)
IAT             C:\Windows\Explorer.EXE[664] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]            [10002690] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Acer eDataSecurity Management PSD DragDrop Protection/Egis Incorporated)
IAT             C:\Windows\Explorer.EXE[664] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA]              [10001290] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Acer eDataSecurity Management PSD DragDrop Protection/Egis Incorporated)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                                 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                                 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\tdx \Device\Tcp                                                                                 SYMTDIV.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\tdx \Device\Udp                                                                                 SYMTDIV.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\tdx \Device\RawIp                                                                               SYMTDIV.SYS (Network Dispatch Driver/Symantec Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BthPort\Parameters\Keys\001e4cd5dff7                             
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BthPort\Parameters\Keys\001e4cd5dff7@001c35d7553e                0xF2 0xE8 0x3A 0x0F ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BthPort\Parameters\Keys\001e4cd5dff7@d4c1fcb58e24                0x34 0x73 0x45 0xA9 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\BthPort\Parameters\Keys\001e4cd5dff7 (not active ControlSet)         
Reg             HKLM\SYSTEM\ControlSet002\Services\BthPort\Parameters\Keys\001e4cd5dff7@001c35d7553e                    0xF2 0xE8 0x3A 0x0F ...
Reg             HKLM\SYSTEM\ControlSet002\Services\BthPort\Parameters\Keys\001e4cd5dff7@d4c1fcb58e24                    0x34 0x73 0x45 0xA9 ...

---- EOF - GMER 1.0.15 ----
         
--- --- ---


Alt 13.06.2012, 09:30   #6
Psychotic
/// Malwareteam
 
Verschlüsselungstrojaner - nichts geht mehr - Standard

Verschlüsselungstrojaner - nichts geht mehr



Du sollst die EXTRAS.TXT posten - nicht die OTL.TXT, die haben wir doch schon...
__________________
--> Verschlüsselungstrojaner - nichts geht mehr

Alt 13.06.2012, 14:43   #7
Sausinator
 
Verschlüsselungstrojaner - nichts geht mehr - Standard

Verschlüsselungstrojaner - nichts geht mehr



Hi Marius,
sorry, Noob-Fehler, wer lesen kann is klar im Vorteil...

Hier die Extra.txtOTL EXTRAS Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 11/06/2012 21:15:15 - Run 1
OTL by OldTimer - Version 3.2.48.0     Folder = C:\Users\Tobias Tutzauer\Downloads
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6002.18005)
Locale: 00001809 | Country: Irland | Language: ENI | Date Format: dd/MM/yyyy
 
3.00 Gb Total Physical Memory | 1.95 Gb Available Physical Memory | 64.99% Memory free
6.20 Gb Paging File | 5.14 Gb Available in Paging File | 82.92% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 111.44 Gb Total Space | 50.20 Gb Free Space | 45.05% Space Free | Partition Type: NTFS
Drive D: | 106.40 Gb Total Space | 67.35 Gb Free Space | 63.30% Space Free | Partition Type: NTFS
 
Computer Name: TT21182 | User Name: Tobias Tutzauer | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
.html [@ = ChromeHTML] -- Reg Error: Key error. File not found
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
http [open] -- Reg Error: Key error.
https [open] -- Reg Error: Key error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
"UacDisableNotify" = 0
"InternetSettingsDisableNotify" = 0
"AutoUpdateDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
"DisableConfig" = 0
"DisableSR" = 0
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{00AEF70B-DD4B-47B7-8DFB-DC39770BA288}" = lport=445 | protocol=6 | dir=in | app=system | 
"{0173BD96-0E98-4EB4-9B3D-DBC6E2A7AF8C}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{028F435E-1E1E-4573-96E4-460A637ABFA9}" = lport=80 | protocol=6 | dir=in | name=firewallportoverride | 
"{02BF4121-7D73-4CAC-A85D-6E0E348B4CA4}" = rport=10244 | protocol=6 | dir=out | app=system | 
"{03AAA266-4668-47E1-8B28-552F924A8914}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | app=c:\windows\system32\svchost.exe | 
"{0784892B-9EA7-469E-8757-AB20F0FB9AB6}" = lport=6667 | protocol=6 | dir=in | name=firewallportoverride | 
"{11896D10-AA69-47DB-B69D-D2168EB91F5D}" = rport=3702 | protocol=17 | dir=out | app=c:\windows\system32\netproj.exe | 
"{184BB29C-DBC1-41F8-B76B-F923933CF823}" = lport=445 | protocol=6 | dir=in | app=system | 
"{18F68194-42CB-4BB2-9406-1C63740F24EB}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | app=c:\windows\system32\svchost.exe | 
"{19D1F873-6020-4A26-B20C-DD8E9C18A355}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=c:\windows\system32\svchost.exe | 
"{1A9AC514-5BF6-4806-8C83-1E1894C4505D}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=c:\windows\system32\svchost.exe | 
"{1C2610D8-FAAC-4EEB-A320-B076D4B5A166}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=c:\windows\system32\svchost.exe | 
"{229B125A-8C5D-46C1-B83D-951138B708B5}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=c:\windows\system32\svchost.exe | 
"{2305DB17-9231-4727-A7F3-897B24E826DE}" = lport=3390 | protocol=6 | dir=in | app=system | 
"{262A8305-F419-457B-8C4C-DE596FF7DDB3}" = lport=rpc | protocol=6 | dir=in | svc=ktmrm | app=c:\windows\system32\svchost.exe | 
"{2A4F9ED1-934D-49C5-B922-A527D22EA63B}" = lport=53 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe | 
"{2B53BB52-8951-4A9E-8FF7-5FD50C76E01B}" = rport=5358 | protocol=6 | dir=out | app=system | 
"{2FB86B66-5BB3-4BC4-96DC-113C17B9D5C0}" = rport=3540 | protocol=17 | dir=out | svc=pnrpsvc | app=c:\windows\system32\svchost.exe | 
"{31C52B6B-279C-4D87-976F-7C831ABEF744}" = lport=445 | protocol=6 | dir=in | app=system | 
"{32C11FAB-3ADA-4CC2-B078-F065ED8317F2}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{33489610-BC39-4723-8E0B-981D374D058E}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=c:\windows\system32\svchost.exe | 
"{3414F35C-A951-4990-8FFD-F42C5F188874}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{36EEF72E-D10E-4FC0-81EB-154AAD397317}" = lport=135 | protocol=6 | dir=in | svc=rpcss | app=c:\windows\system32\svchost.exe | 
"{3BE7DA70-9D83-42A7-B980-FB872BBD7453}" = lport=rpc | protocol=6 | dir=in | svc=vds | app=c:\windows\system32\vds.exe | 
"{3EE671F8-7C01-4E2F-9E81-21361E7AD40A}" = lport=1701 | protocol=17 | dir=in | app=system | 
"{46D35189-DA91-4ED0-BEA8-DF406D84BCB5}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | app=c:\windows\system32\svchost.exe | 
"{4A43A905-C8BC-4FF6-90BF-46881C6457E7}" = lport=5985 | protocol=6 | dir=in | app=system | 
"{4A453E7D-3AEE-4BAE-8F16-D8393D245F82}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | app=c:\windows\system32\svchost.exe | 
"{4BECE76B-2048-4CDD-B47C-6E2EF85CFC74}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=c:\windows\system32\svchost.exe | 
"{526AED17-3E1A-425A-AD64-9980BFFDE346}" = lport=3702 | protocol=17 | dir=in | svc=bits | app=c:\windows\system32\svchost.exe | 
"{58A6C1AF-5913-4FB9-B004-F695C0938F85}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=c:\windows\system32\svchost.exe | 
"{5A4EF615-2167-4B55-A3FA-B94A11B3C732}" = lport=rpc | protocol=6 | dir=in | app=c:\windows\system32\services.exe | 
"{5B1CB998-3BBB-4A88-B98A-62082BCB58BC}" = lport=28910 | protocol=6 | dir=in | name=firewallportoverride | 
"{5DA1932C-5F2D-4293-972B-7FBC2DD227B4}" = lport=1723 | protocol=6 | dir=in | app=system | 
"{63135059-0EA6-4A80-A393-26B39D254B00}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{6E3260F7-734C-4501-AD5B-226A48741212}" = lport=rpc | protocol=6 | dir=in | svc=eventlog | app=c:\windows\system32\svchost.exe | 
"{6F7E38F9-87B4-44BC-84E1-FE2B2E87B1AA}" = lport=80 | protocol=6 | dir=in | name=@wsmres.dll,-50 | 
"{707903E4-1A1B-44BF-9035-BE127B79DCEE}" = lport=27900 | protocol=17 | dir=in | name=firewallportoverride | 
"{71CAC2AA-EDEC-4948-8858-9A2AEB61B3E4}" = rport=3702 | protocol=17 | dir=out | svc=bits | app=c:\windows\system32\svchost.exe | 
"{7368B997-3CC2-473F-9674-4700ABA81416}" = lport=3702 | protocol=17 | dir=in | app=c:\windows\system32\netproj.exe | 
"{750D5F52-4673-4828-993F-6738442F9665}" = lport=67 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe | 
"{75F79549-FB9C-4964-B0B7-EDA3FBFF69FF}" = rport=5722 | protocol=6 | dir=out | svc=dfsr | app=c:\windows\system32\dfsr.exe | 
"{7835EA66-D7EF-4F9A-9D0B-4A4AB3A80E6B}" = rport=1723 | protocol=6 | dir=out | app=system | 
"{7867D44E-FB68-49A0-985C-F4501FC2B78E}" = rport=1701 | protocol=17 | dir=out | app=system | 
"{7A052F92-1D9D-44BF-ADD2-0F0F89CB8148}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=c:\windows\system32\svchost.exe | 
"{7D4B356F-57D1-403E-B606-97BA5A055F17}" = lport=547 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe | 
"{7EC0EAFD-9725-46C1-B4C2-15856242B7E0}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | app=c:\windows\system32\svchost.exe | 
"{7FAF2E04-5F41-43BD-82C8-CD8112ED763E}" = lport=29900 | protocol=6 | dir=in | name=firewallportoverride | 
"{8404E53B-931D-4218-8D2B-118A40CAD41F}" = lport=3540 | protocol=17 | dir=in | svc=pnrpsvc | app=c:\windows\system32\svchost.exe | 
"{88501479-A462-4955-93A3-BCED79B207DC}" = lport=10244 | protocol=6 | dir=in | app=system | 
"{8F4626DE-2DAA-4DA9-BC3A-9E0F1A483EE8}" = lport=2178 | protocol=6 | dir=in | app=system | 
"{902A009A-052D-4358-BA68-CD0E430FF334}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | app=c:\windows\system32\svchost.exe | 
"{91BAB964-5263-4165-A7D7-1464181A9CB0}" = lport=135 | protocol=6 | dir=in | svc=rpcss | app=c:\windows\system32\svchost.exe | 
"{9239141E-D432-41DD-8746-AC08B1FD5DAA}" = rport=2869 | protocol=6 | dir=out | app=system | 
"{98FBD6A7-CF91-4AD1-BDE5-6D96EF53FF57}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | app=c:\windows\system32\svchost.exe | 
"{9C1BE285-B419-4E7B-93A6-F2633862F7C5}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{9C1C16A5-75F1-4B0B-BCBB-627F09713182}" = lport=3540 | protocol=17 | dir=in | svc=pnrpsvc | app=c:\windows\system32\svchost.exe | 
"{9D890D5F-C633-4E25-8B64-1616137E2CB7}" = lport=rpc | protocol=6 | dir=in | svc=policyagent | app=c:\windows\system32\svchost.exe | 
"{9EA9FA8C-931E-4C82-9604-988905907787}" = rport=3702 | protocol=17 | dir=out | app=c:\windows\system32\p2phost.exe | 
"{A1A722B5-282D-4F96-A16F-3DACBEA118AD}" = lport=rpc | protocol=6 | dir=in | app=c:\windows\system32\vdsldr.exe | 
"{A6318814-E9F8-48E9-911F-05025D39DB7E}" = lport=68 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe | 
"{ADA3AB96-F104-41A2-8BB3-9867CBB33403}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=c:\windows\system32\svchost.exe | 
"{AFEEDE23-F74F-4703-8DEE-21F79FE8481C}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=c:\windows\system32\svchost.exe | 
"{B88EA115-B8A7-4BCC-B16B-64C2030AF1E8}" = lport=4321 | protocol=17 | dir=in | name=firewallportoverride | 
"{B9A6057F-870B-481C-B133-320CD4397246}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=c:\windows\system32\svchost.exe | 
"{BB627737-DEB0-4C1F-8B15-C7B32D6D5293}" = lport=5358 | protocol=6 | dir=in | app=system | 
"{BD14D464-3F92-4322-B077-A21B9E18F6E8}" = lport=3587 | protocol=6 | dir=in | svc=p2psvc | app=c:\windows\system32\svchost.exe | 
"{BDEE5E79-D427-490D-B1AF-25258F4D5FBF}" = rport=2178 | protocol=6 | dir=out | app=system | 
"{C1C25590-B9F3-4840-BE17-E20EA3FC6FA5}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=c:\windows\system32\svchost.exe | 
"{C5425368-60F3-48F0-AE95-EB5207615DCA}" = lport=rpc | protocol=6 | dir=in | svc=schedule | app=c:\windows\system32\svchost.exe | 
"{C98DE575-A966-4D74-8053-D2F0DA44E292}" = rport=5357 | protocol=6 | dir=out | app=system | 
"{CE6C2369-03B7-4AFE-AC50-3B3E7BDE1509}" = rport=10243 | protocol=6 | dir=out | app=system | 
"{CE6EFFE5-787A-4DB4-A281-088DD4A072E0}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=c:\windows\system32\svchost.exe | 
"{D2D0DAB9-F755-4593-9B97-2D01E32A9A39}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=c:\windows\system32\svchost.exe | 
"{D306CAB6-5E7C-49BF-A164-D6AE2CC09E91}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=c:\windows\system32\svchost.exe | 
"{DD28F96F-6278-4C3C-ADD3-7A62FE50E153}" = lport=5722 | protocol=6 | dir=in | svc=dfsr | app=c:\windows\system32\dfsr.exe | 
"{E0A14CAA-08B2-46D9-802B-B37E739A7312}" = lport=rpc | protocol=6 | dir=in | svc=* | app=c:\windows\system32\svchost.exe | 
"{E1DDB31B-48BC-4BEB-989C-66B9B5D76B06}" = lport=rpc | protocol=6 | dir=in | svc=bits | app=c:\windows\system32\svchost.exe | 
"{E3AE5646-DE49-4425-8441-285DDE280D08}" = lport=5357 | protocol=6 | dir=in | app=system | 
"{E4FE7E75-1167-4807-A0D6-37B2638D2D4E}" = lport=554 | protocol=6 | dir=in | app=c:\windows\ehome\ehshell.exe | 
"{E7CE0314-FDEA-4222-AA8F-30BB8ABEA359}" = rport=3587 | protocol=6 | dir=out | svc=p2psvc | app=c:\windows\system32\svchost.exe | 
"{E8E85F59-6833-40D3-9D0D-07AEF9AB3FFE}" = lport=7777 | protocol=17 | dir=in | app=c:\windows\ehome\ehshell.exe | 
"{EF7B8749-9A78-434C-877C-C2E68EC76DBB}" = rport=3540 | protocol=17 | dir=out | svc=pnrpsvc | app=c:\windows\system32\svchost.exe | 
"{EF808FE4-F3FD-4E36-8BCA-38CBB69C3FCA}" = lport=3702 | protocol=17 | dir=in | app=c:\windows\system32\p2phost.exe | 
"{F095DC7F-0E7B-4DA1-9EF1-28945B1D44AC}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | app=c:\windows\system32\svchost.exe | 
"{F160A31E-F9CE-4A06-9276-01AC9CA6EF82}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=c:\windows\system32\svchost.exe | 
"{F17485BE-076A-467A-AC49-6ECA00EA3DB3}" = lport=29920 | protocol=6 | dir=in | name=firewallportoverride | 
"{F9F031F0-6CE4-497D-BA67-A09BB5C96AB7}" = lport=10243 | protocol=6 | dir=in | app=system | 
"{FA6E549D-3FEA-42A0-B364-AEBFCFC0278A}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=c:\windows\system32\svchost.exe | 
"{FF1D14E8-BA61-445D-A037-603390535997}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=c:\windows\system32\svchost.exe | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{03F2CB65-62CB-4F02-8E96-007646B02A0E}" = protocol=6 | dir=in | app=c:\program files\windows media player\wmpnetwk.exe | 
"{0854E390-DD62-484F-971D-A929D6820254}" = protocol=6 | dir=out | app=c:\program files\windows media player\wmpnetwk.exe | 
"{10342913-BFED-4A77-9F94-B29797CE3A28}" = protocol=17 | dir=out | app=c:\program files\windows media player\wmplayer.exe | 
"{11132363-E416-4485-968C-1679012AB2A7}" = protocol=17 | dir=out | app=c:\program files\windows collaboration\wincollab.exe | 
"{13AE0C0A-57D1-40C9-8004-525A80A4E6F7}" = protocol=17 | dir=in | app=c:\users\tobias tutzauer\appdata\roaming\2k games\firaxis games\sid meier's civilization 4 complete\civilization4.exe | 
"{1E973428-4DC1-4470-9F12-971BD196022E}" = protocol=6 | dir=out | svc=msiscsi | app=c:\windows\system32\svchost.exe | 
"{1F5EEA7F-04B8-47C1-93C0-D7AEDF241C4F}" = protocol=17 | dir=in | app=c:\program files\konami\pro evolution soccer 2009\pes2009.exe | 
"{1FE95649-D662-4412-BB50-321B3395B199}" = protocol=58 | dir=in | name=@hnetcfg.dll,-148 | 
"{2032CE80-4912-4DC3-920D-D39B1529C3F7}" = protocol=6 | dir=out | app=c:\windows\system32\msdtc.exe | 
"{22B99207-263D-4A6D-AE45-1517402DF38D}" = protocol=6 | dir=in | app=d:\programme\pes2009\pes2009.exe | 
"{27905E4E-1316-49A6-A2E6-A1147FE2AE96}" = protocol=6 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\schedulersvc.exe | 
"{28344AE7-8DA8-4ECC-9E0C-96D16958815B}" = protocol=6 | dir=out | svc=upnphost | app=c:\windows\system32\svchost.exe | 
"{29AB4777-F98D-449D-B08C-131D254BC083}" = protocol=17 | dir=in | app=c:\program files\windows media player\wmpnetwk.exe | 
"{2CDA99AA-807B-40A0-841A-E0ACA6B41E79}" = protocol=6 | dir=in | app=c:\windows\system32\wbem\unsecapp.exe | 
"{2D1D1504-9E7B-4134-A117-D938834B21C9}" = protocol=17 | dir=in | app=d:\programme\pes2009\bundes patch for pes 2009.exe | 
"{2DECAB34-A920-4406-BC31-25340E486FC5}" = protocol=6 | dir=in | app=c:\program files\veetle\player\veetlenet.exe | 
"{34FDDF63-2963-413E-951C-F1F06CB6C4F5}" = dir=in | app=c:\program files\acer arcade deluxe\homemedia\homemedia.exe | 
"{36E5AA0A-9174-46E5-A246-63FE4104AC91}" = protocol=17 | dir=in | app=d:\programme\pes2009\bundes patch for pes 2009.exe | 
"{37B0916F-3D38-4CCC-B847-C848E8E2F462}" = protocol=6 | dir=out | app=system | 
"{3CE6014B-D830-483A-9803-ACE5B70FACB3}" = protocol=6 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\backupsvc.exe | 
"{3FB7DE6C-ECF2-412B-8D46-0B872CA0A962}" = protocol=6 | dir=in | app=d:\programme\pes2009\pes2009.exe | 
"{40C72B18-5D69-4D48-8D43-1CFDA43B7161}" = protocol=6 | dir=in | svc=winmgmt | app=c:\windows\system32\svchost.exe | 
"{43F46173-9EB6-42EB-A102-93C07AAD57A8}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{45451DDB-58F4-4921-B81F-1C98AE9BCEA5}" = protocol=6 | dir=out | app=c:\program files\windows media player\wmplayer.exe | 
"{46816E70-ACC0-4859-BF12-F169799D2B04}" = protocol=17 | dir=out | app=c:\program files\windows media player\wmpnetwk.exe | 
"{4E35B3CA-78C6-44A7-AFB4-24A0DE3A18E2}" = protocol=6 | dir=in | app=c:\windows\system32\netproj.exe | 
"{54A0C657-3019-4160-A2F6-EE5EBA872AD2}" = dir=in | app=c:\program files\skype\phone\skype.exe | 
"{55A8975D-44C3-49D3-A751-E2690A05C8CB}" = protocol=17 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\schedulersvc.exe | 
"{55EDF129-903A-4001-9108-BECDA48FCF0D}" = protocol=17 | dir=in | app=c:\users\tobias tutzauer\appdata\roaming\2k games\firaxis games\sid meier's civilization 4 complete\beyond the sword\civ4beyondsword.exe | 
"{56F1A404-6768-4F2D-AEF6-50056EC4AE95}" = protocol=17 | dir=in | app=c:\users\tobias tutzauer\appdata\roaming\2k games\firaxis games\sid meier's civilization 4 complete\warlords\civ4warlords.exe | 
"{590A608C-C49C-422E-85FE-6572FFA7BAF6}" = protocol=6 | dir=out | app=c:\program files\windows media player\wmplayer.exe | 
"{5B9DAB44-CF2B-4AA3-A865-EB629EF22EAC}" = dir=in | app=c:\program files\acer arcade deluxe\acer arcade deluxe\acer arcade deluxe.exe | 
"{5C0F4BC5-E97F-4F7F-B8BA-3EAB571E1AF1}" = protocol=6 | dir=out | app=c:\windows\system32\p2phost.exe | 
"{5D4CE2D7-7C92-4F29-85E8-00311991ABC2}" = protocol=17 | dir=out | app=c:\program files\windows media player\wmplayer.exe | 
"{600474F4-B814-4094-9C95-AEFD1891E9E2}" = protocol=17 | dir=in | app=c:\program files\sierra entertainment\world in conflict\wic_ds.exe | 
"{620D5AA7-6BF5-4C0A-9294-C319E24D7020}" = protocol=6 | dir=in | app=c:\program files\windows collaboration\wincollab.exe | 
"{6719D409-4EBA-4981-AA99-6E8E8D3BBD9B}" = protocol=17 | dir=in | app=c:\program files\windows media player\wmplayer.exe | 
"{675D2AFE-A327-42AE-8CA5-749A1F986CBE}" = protocol=6 | dir=out | svc=upnphost | app=c:\windows\system32\svchost.exe | 
"{6E295954-47A5-45AE-A102-FF75465C4539}" = dir=in | app=c:\program files\acer\acer vcm\vc.exe | 
"{75CA5215-3CAC-41E5-8E43-308EA21B8705}" = dir=in | app=c:\program files\acer arcade deluxe\playmovie\playmovie.exe | 
"{77B0651C-1510-495D-8AF7-6C292D368A3F}" = protocol=17 | dir=in | app=c:\program files\sierra entertainment\world in conflict\wic.exe | 
"{79675A6A-0A15-4E09-A213-FF6A561DA062}" = protocol=17 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\client\agentsvc.exe | 
"{7981A0FE-B400-4D25-9A03-32B411B5189D}" = protocol=6 | dir=in | app=c:\users\tobias tutzauer\appdata\roaming\2k games\firaxis games\sid meier's civilization 4 complete\warlords\civ4warlords.exe | 
"{7AE39A55-C7D0-4E2D-9C75-EC179EE893AB}" = protocol=6 | dir=in | app=c:\program files\sierra entertainment\world in conflict\wic_ds.exe | 
"{7C584A36-842A-4352-9E0E-C7BB99141B5F}" = protocol=6 | dir=out | app=c:\windows\system32\wudfhost.exe | 
"{8344E125-7EB8-44C0-B102-E1504769857F}" = protocol=6 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\client\agentsvc.exe | 
"{856F391F-9F1E-45C6-8E94-ECAC0BFD3816}" = protocol=6 | dir=in | app=c:\windows\system32\p2phost.exe | 
"{88857677-B978-40FA-AB52-47B04AD678DB}" = protocol=6 | dir=in | app=c:\users\tobias tutzauer\appdata\roaming\2k games\firaxis games\sid meier's civilization 4 complete\civilization4.exe | 
"{8C7772EA-4C15-4E24-8B36-1260B79EA7DF}" = protocol=17 | dir=in | app=c:\program files\imesh applications\imesh\imesh.exe | 
"{97738E25-FAA4-4DA6-ADA6-26C5591F2905}" = dir=in | app=c:\program files\cyberlink\powerdirector\pdr.exe | 
"{9B761CAC-AA44-452B-BA96-7EB52D6DA700}" = protocol=6 | dir=in | app=c:\users\tobias tutzauer\appdata\roaming\2k games\firaxis games\sid meier's civilization 4 complete\beyond the sword\civ4beyondsword.exe | 
"{9D392BF7-94DF-4DD2-AC11-0C6F4F0AF973}" = protocol=6 | dir=out | app=c:\windows\ehome\ehshell.exe | 
"{9D495688-08CD-4456-BDFB-76676BC067BC}" = protocol=17 | dir=in | app=c:\program files\sierra entertainment\world in conflict\wic_online.exe | 
"{9EFBA1C8-C894-4447-9DC6-BADD59581694}" = protocol=6 | dir=in | app=d:\programme\pes2009\bundes patch for pes 2009.exe | 
"{9FCABAA2-225B-4471-BADA-7B0BD3A3F93D}" = protocol=6 | dir=in | app=c:\program files\sierra entertainment\world in conflict\wic.exe | 
"{A2FBAC39-43F1-4E92-8689-508E0CBCC6A9}" = protocol=6 | dir=out | app=c:\program files\windows collaboration\wincollab.exe | 
"{A3C895E9-67F3-4602-99E5-1997053A929E}" = protocol=6 | dir=in | app=c:\program files\imesh applications\imesh\imesh.exe | 
"{A73D5049-F8D5-4FA8-ADDF-CC9C7AA3ADD7}" = protocol=6 | dir=in | app=d:\programme\pes2009\bundes patch for pes 2009.exe | 
"{A8826B4F-3963-46B2-AF49-D42C5457FBBA}" = protocol=17 | dir=in | app=c:\program files\windows media player\wmplayer.exe | 
"{AB70F889-8E42-45CA-ABAE-A255AB2211D3}" = protocol=6 | dir=out | svc=winmgmt | app=c:\windows\system32\svchost.exe | 
"{AC92939D-46F7-4D59-A205-47B0BD72BF83}" = protocol=17 | dir=in | app=d:\programme\pes2009\pes2009.exe | 
"{B79CB274-2FE4-4F94-8FC0-520A38F78A92}" = protocol=6 | dir=in | app=c:\windows\system32\plasrv.exe | 
"{C04B04E0-E43A-43C9-AA86-71C8D8B3EAF6}" = dir=out | svc=sharedaccess | app=%systemroot%\system32\svchost.exe | 
"{C41167A7-D6D1-4F83-A93B-66543A57BA63}" = protocol=6 | dir=in | app=c:\program files\imesh applications\imesh\imesh.exe | 
"{C7243824-5AB9-4A97-ACE3-3CA91A2C063D}" = protocol=17 | dir=in | app=c:\program files\imesh applications\imesh\imesh.exe | 
"{CCDA6467-1785-4D2A-8659-EE5BAF757C50}" = protocol=17 | dir=in | app=d:\programme\pes2009\pes2009.exe | 
"{D2810A38-0276-4FDB-922A-36BF6F4A2F4F}" = protocol=6 | dir=in | app=c:\windows\system32\msdtc.exe | 
"{D3CA3055-C105-4C66-AE63-3597E048334B}" = protocol=6 | dir=out | app=c:\windows\system32\netproj.exe | 
"{D84025B9-A456-4514-96CB-1730364CD2C5}" = protocol=6 | dir=out | app=system | 
"{D9ED5FB1-96F9-4390-B553-4072FA43744B}" = protocol=6 | dir=in | app=c:\program files\konami\pro evolution soccer 2009\pes2009.exe | 
"{DC94DC8C-D4C1-47F7-AE16-A7F87A1C5192}" = protocol=17 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\backupsvc.exe | 
"{DEC8AB89-A5A5-43CA-B134-197225ADD9CF}" = protocol=17 | dir=in | app=c:\program files\windows collaboration\wincollab.exe | 
"{E263DE8B-B56E-4E42-A1B5-DA1E29B6D549}" = dir=in | app=c:\program files\acer arcade deluxe\playmovie\pmvservice.exe | 
"{E9829F29-96E1-45D6-B02B-2262377394DD}" = protocol=6 | dir=out | app=c:\windows\ehome\mcx2prov.exe | 
"{EAB132D7-DE75-4B7D-AB56-E0C84B59513E}" = protocol=6 | dir=out | svc=mcx2svc | app=c:\windows\system32\svchost.exe | 
"{EF0E5009-7ACC-439E-9A60-55D0D926A6BA}" = protocol=6 | dir=in | app=c:\program files\sierra entertainment\world in conflict\wic_online.exe | 
"{F2553486-0621-471B-873A-7B8E93C465FC}" = protocol=17 | dir=out | app=c:\windows\ehome\ehshell.exe | 
"{FE8CD7D3-BBC4-49A0-9627-804710555111}" = protocol=6 | dir=in | svc=msiscsi | app=c:\windows\system32\svchost.exe | 
"TCP Query User{005DDED1-1050-4C5D-B858-B6660B8B8234}C:\program files\skype\phone\skype.exe" = protocol=6 | dir=in | app=c:\program files\skype\phone\skype.exe | 
"TCP Query User{BD464F89-8129-44A1-9C0B-5D3178499CA5}C:\program files\skype\phone\skype.exe" = protocol=6 | dir=in | app=c:\program files\skype\phone\skype.exe | 
"UDP Query User{6AF821F0-5A5A-4298-B8DA-B88C2824C8A6}C:\program files\skype\phone\skype.exe" = protocol=17 | dir=in | app=c:\program files\skype\phone\skype.exe | 
"UDP Query User{7FFF81F4-8F05-47D3-8CD8-335123BC0DC7}C:\program files\skype\phone\skype.exe" = protocol=17 | dir=in | app=c:\program files\skype\phone\skype.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{03D1988F-469F-4843-8E6E-E5FE9D17889D}" = WIDCOMM Bluetooth Software 6.0.1.5000
"{047F790A-7A2A-4B6A-AD02-38092BA63DAC}" = Acer VCM
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{06F80017-8F98-4C94-B868-52358569FC32}" = Command & Conquer(TM) Generäle
"{0BF78E88-A7C9-4406-89CF-0BA473BA7821}" = Orion
"{11316260-6666-467B-AC34-183FCB5D4335}" = Acer Mobility Center Plug-In
"{12EFA1A4-AC3B-443C-8143-237EDE760403}" = NTI Backup Now Standard
"{13D85C14-2B85-419F-AC41-C7F21E68B25D}" = Acer eSettings Management
"{14AA72DA-DB40-4A34-93A6-401A81D7AF9E}" = Unreal Anthology
"{1A15507A-8551-4626-915D-3D5FA095CC1B}" = Corel Paint Shop Pro X
"{1A655D51-1423-48A3-B748-8F5A0BE294C8}" = Microsoft Visual J# .NET Redistributable Package 1.1
"{206FD69B-F9FE-4164-81BD-D52552BC9C23}" = GearDrvs
"{212748BB-0DA5-46DE-82A1-403736DC9F27}" = MSVC80_x86
"{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}" = Nokia PC Suite
"{2413930C-8309-47A6-BC61-5EF27A4222BC}" = NTI Media Maker 8
"{24B9BC62-F64C-40A6-AF8C-43BD1DF1433B}" = Brother MFC-255CW
"{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = Acer Arcade Deluxe
"{26604C7E-A313-4D12-867F-7C6E7820BE4C}" = JMicron JMB38X Flash Media Controller
"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java(TM) 6 Update 22
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{2EA870FA-585F-4187-903D-CB9FFD21E2E0}" = DHTML Editing Component
"{3108C217-BE83-42E4-AE9E-A56A2A92E549}" = Atheros Communications Inc.(R) AR8121/AR8113 Gigabit/Fast Ethernet Driver
"{35C0A1E4-D02A-412C-841F-266DBB116ABB}" = Intel(R) PROSet/Wireless WiFi-Software
"{45CEBDDE-AD94-4C5A-999D-0D35CE61405B}_is1" = 1.5
"{45D4F727-43B5-49CD-B474-B9866A8F4FB8}" = Nokia Map Loader
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4AA68A73-DB9C-439D-9481-981C82BD008B}" = Nokia Connectivity Cable Driver
"{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}" = Microsoft Works
"{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support
"{567E8236-C414-4888-8211-3D61608D57AE}" = Validity Sensors software
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{57265292-228A-41FA-9AEC-4620CBCC2739}" = Acer eAudio Management
"{58E5844B-7CE2-413D-83D1-99294BF6C74F}" = Acer ePower Management
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{79DD56FC-DB8B-47F5-9C80-78B62E05F9BC}" = Acer ScreenSaver
"{7B15D70E-9449-4CFB-B9BC-798465B2BD5C}" = Norton Internet Security
"{7F811A54-5A09-4579-90E1-C93498E230D9}" = Acer eRecovery Management
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8F1B6239-FEA0-450A-A950-B05276CE177C}" = Acer Empowering Technology
"{8FB495A1-4A3F-4C1D-BD27-3F3AB2E66763}" = iMesh
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager
"{92D1CEBC-7C72-4ECF-BFC6-C131EF3FE6A7}" = Nokia Suite
"{9A200E68-D5F4-4E70-910F-2871753A0E2B}" = Worms World Party
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A2AA4204-C05A-4013-888A-AD153139297F}" = PC Connectivity Solution
"{A5633652-3795-4829-BB0B-644F0279E279}" = Acer eDataSecurity Management
"{A77255C4-AFCB-44A3-BF0F-2091A71FFD9E}" = Acer Crystal Eye Webcam
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1033-7B44-A81300000003}" = Adobe Reader 8.1.4
"{AF111648-99A1-453E-81DD-80DBBF6DAD0D}" = MSVC90_x86
"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = PowerDirector
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CB84F0F2-927B-458D-9DC5-87832E3DC653}" = GearDrvs
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CE386A4E-D0DA-4208-8235-BCE43275C694}" = LightScribe  1.4.142.1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D36DD326-7280-11D8-97C8-000129760CBE}" = PhotoNow!
"{E3B64CC5-C011-40C0-92BC-7316CD5E5688}" = Microsoft_VC100_CRT_SP1_x86
"{E58CBA0A-710D-4BDE-ABEA-5446A56AE5E2}_is1" = concept/design onlineTV 4
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5
"{FCED9B62-34FF-4C15-8A23-F65221F7874D}" = ITECIR Driver
"1A5A977E511ED61600002E176F048ED6FCBD8560" = Windows-Treiberpaket - ITE Tech.Inc. (itecir) HIDClass  (12/18/2007 5.0.0004.6)
"504244733D18C8F63FF584AEB290E3904E791693" = Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)
"7-Zip" = 7-Zip 4.65
"9CD348AE9C64C4B939B624E8E24F3903EFDFC82B" = Windows-Treiberpaket - Nokia Modem  (05/22/2008 7.00.0.1)
"Acer Acer Bio Protection 6.0.00.08" = Acer Bio Protection

AAV 6.0.00.08
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11
"Agere Systems Soft Modem" = Agere Systems HDA Modem
"Burn4Free" = Burn4Free CD and DVD
"Burn4Free DVD Burning_is1" = Burn4Free DVD Burning 5.8.0.0
"Burn4Free Toolbar" = Burn4Free Toolbar
"C5A76DC11BABDA0A881E7BE8DDEB641365A77FFD" = Windows-Treiberpaket - Nokia Modem  (05/22/2008 3.8)
"ElsterFormular für Privatanwender 12.2.0.6412p" = ElsterFormular für Privatanwender
"Free DVD Video Burner_is1" = Free DVD Video Burner version 3.1.3.1123
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.10.15.1228
"FUSSBALL MANAGER 08" = FUSSBALL MANAGER 08
"Google Updater" = Google Updater
"GridVista" = Acer GridVista
"iMesh" = iMesh
"InstallShield_{06F80017-8F98-4C94-B868-52358569FC32}" = Command & Conquer(TM) Generäle
"InstallShield_{12EFA1A4-AC3B-443C-8143-237EDE760403}" = NTI Backup Now 5
"InstallShield_{2413930C-8309-47A6-BC61-5EF27A4222BC}" = NTI Media Maker 8
"InstallShield_{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = Acer Arcade Deluxe
"InstallShield_{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = PowerDirector
"LManager" = Launch Manager
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.61.0.1400
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Mozilla Firefox 12.0 (x86 de)" = Mozilla Firefox 12.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"N360" = Norton 360
"Nokia PC Suite" = Nokia PC Suite
"Nokia Suite" = Nokia Suite
"NVIDIA Drivers" = NVIDIA Drivers
"PartyGammon" = PartyGammon
"PartyPoker" = PartyPoker
"PokerStars" = PokerStars
"PokerStars.net" = PokerStars.net
"RealPlayer 6.0" = RealPlayer
"SopCast" = SopCast 3.2.4
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Veetle TV" = Veetle TV
"WinRAR archiver" = WinRAR
"WordSearcher" = WordSearcher
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{30D1F3D2-54CF-481D-A005-F94B0E98FEEC}" = Sid Meier's Civilization 4 Complete
"Skat-Online V9" = Skat-Online V9
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 03/06/2012 17:13:51 | Computer Name = TT21182 | Source = VSS | ID = 8194
Description = 
 
Error - 03/06/2012 17:27:45 | Computer Name = TT21182 | Source = MsiInstaller | ID = 11706
Description = 
 
Error - 04/06/2012 16:02:22 | Computer Name = TT21182 | Source = MsiInstaller | ID = 11706
Description = 
 
Error - 04/06/2012 16:23:45 | Computer Name = TT21182 | Source = VSS | ID = 8194
Description = 
 
Error - 05/06/2012 16:02:49 | Computer Name = TT21182 | Source = MsiInstaller | ID = 11706
Description = 
 
Error - 05/06/2012 16:03:37 | Computer Name = TT21182 | Source = MsiInstaller | ID = 11706
Description = 
 
Error - 05/06/2012 16:04:30 | Computer Name = TT21182 | Source = MsiInstaller | ID = 11706
Description = 
 
Error - 05/06/2012 16:04:55 | Computer Name = TT21182 | Source = Microsoft Office 10 | ID = 2001
Description = Rejected Safe Mode action : Microsoft Excel.
 
Error - 05/06/2012 16:27:11 | Computer Name = TT21182 | Source = MsiInstaller | ID = 11706
Description = 
 
Error - 05/06/2012 16:28:01 | Computer Name = TT21182 | Source = MsiInstaller | ID = 11706
Description = 
 
[ System Events ]
Error - 10/06/2012 13:49:36 | Computer Name = TT21182 | Source = ipnathlp | ID = 30009
Description = Ein Netzwerkfehler ist bei dem Versuch, durch die DHCP-Zuweisung auf
 die IP-Adresse 0.0.0.0 auf eine Clientanfrage zu antworten, aufgetreten Die Daten
 enthalten den Fehlercode.
 
Error - 10/06/2012 14:25:05 | Computer Name = TT21182 | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 10/06/2012 14:25:06 | Computer Name = TT21182 | Source = ipnathlp | ID = 34001
Description = ICS_IPV6 konnte den IPv6-Stapel nicht konfigurieren.
 
Error - 11/06/2012 11:55:34 | Computer Name = TT21182 | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 11/06/2012 11:55:35 | Computer Name = TT21182 | Source = ipnathlp | ID = 34001
Description = ICS_IPV6 konnte den IPv6-Stapel nicht konfigurieren.
 
Error - 11/06/2012 12:00:46 | Computer Name = TT21182 | Source = ipnathlp | ID = 30005
Description = Ein DHCP-Server mit der IP-Adresse 192.168.0.1 wurde von der DHCP-Zuweisung
 im selben Netzwerk gefunden, wie die Schnittstelle mit der IP-Adresse 192.168.0.102.
 Die Zuweisung wurde auf der Schnittstelle automatisch deaktiviert, um DHCP-Clientkonflikte
 zu vermeiden.
 
Error - 11/06/2012 12:07:47 | Computer Name = TT21182 | Source = DCOM | ID = 10000
Description = 
 
Error - 11/06/2012 15:05:01 | Computer Name = TT21182 | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 11/06/2012 15:05:06 | Computer Name = TT21182 | Source = ipnathlp | ID = 34001
Description = ICS_IPV6 konnte den IPv6-Stapel nicht konfigurieren.
 
Error - 11/06/2012 15:18:09 | Computer Name = TT21182 | Source = ipnathlp | ID = 30005
Description = Ein DHCP-Server mit der IP-Adresse 192.168.0.1 wurde von der DHCP-Zuweisung
 im selben Netzwerk gefunden, wie die Schnittstelle mit der IP-Adresse 192.168.0.102.
 Die Zuweisung wurde auf der Schnittstelle automatisch deaktiviert, um DHCP-Clientkonflikte
 zu vermeiden.
 
 
< End of report >
         
--- --- ---

Alt 13.06.2012, 15:02   #8
Psychotic
/// Malwareteam
 
Verschlüsselungstrojaner - nichts geht mehr - Standard

Verschlüsselungstrojaner - nichts geht mehr



Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 13.06.2012, 17:33   #9
Sausinator
 
Verschlüsselungstrojaner - nichts geht mehr - Standard

Verschlüsselungstrojaner - nichts geht mehr



Combofix Logfile:
Code:
ATTFilter
ComboFix 12-06-13.01 - Tobias Tutzauer 13/06/2012  17:02:03.2.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3069.2128 [GMT 2:00]
ausgeführt von:: c:\users\Tobias Tutzauer\Desktop\ComboFix.exe
AV: Norton 360 *Disabled/Updated* {63DF5164-9100-186D-2187-8DC619EFD8BF}
FW: Norton 360 *Disabled* {5BE4D041-DB6F-1935-0AD8-24F3E73C9FC4}
SP: Norton 360 *Enabled/Updated* {D8BEB080-B73A-17E3-1B37-B6B462689202}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Acer\Acer Bio Protection\PwdFilter.dll
c:\program files\Mozilla Firefox\components\AskHPRFF.js
c:\windows\system32\drivers\etc\hosts.ics
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-05-13 bis 2012-06-13  ))))))))))))))))))))))))))))))
.
.
2012-06-13 15:19 . 2012-06-13 15:22	--------	d-----w-	c:\users\Tobias Tutzauer\AppData\Local\temp
2012-06-11 16:31 . 2012-06-11 16:31	--------	d-----w-	c:\programdata\WindowsSearch
2012-06-10 17:46 . 2012-06-10 17:46	--------	d-----w-	c:\users\Gast\AppData\Roaming\LSoft Technologies
2012-06-10 17:46 . 2012-06-10 17:46	--------	d-----w-	c:\users\Gast\AppData\Roaming\InstallShield Installation Information
2012-06-10 16:07 . 2012-06-10 16:07	--------	d-----w-	c:\users\Tobias Tutzauer\AppData\Roaming\Malwarebytes
2012-06-10 16:06 . 2012-06-10 16:06	--------	d-----w-	c:\programdata\Malwarebytes
2012-06-10 16:06 . 2012-04-04 13:56	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-06-10 16:06 . 2012-06-10 16:06	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-06-10 15:13 . 2012-06-10 17:37	--------	d-----w-	c:\users\Tobias Tutzauer\AppData\Roaming\Szlrszlnihb
2012-05-18 14:40 . 2012-05-23 19:16	--------	d-----w-	c:\windows\system32\drivers\N360\0602010.005
2012-05-17 20:20 . 2012-05-17 20:20	419488	----a-w-	c:\windows\system32\FlashPlayerApp.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-17 20:20 . 2011-08-26 12:30	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-20 15:30 . 2009-08-03 19:27	141944	----a-w-	c:\windows\system32\drivers\SYMEVENT.SYS
2012-04-03 08:16 . 2012-05-11 14:59	3602816	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-04-03 08:16 . 2012-05-11 14:59	3550080	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-04-02 13:36 . 2012-05-11 14:59	2044928	----a-w-	c:\windows\system32\win32k.sys
2012-03-30 12:39 . 2012-05-11 14:59	905600	----a-w-	c:\windows\system32\drivers\tcpip.sys
2012-03-20 23:28 . 2012-05-11 14:59	53120	----a-w-	c:\windows\system32\drivers\partmgr.sys
2007-03-12 16:59 . 2007-03-12 16:59	299008	----a-w-	c:\program files\navigram_register.exe
2012-05-05 16:27 . 2011-05-03 15:10	97208	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
2009-03-31 20:47 . 2009-01-05 20:28	324976	----a-w-	c:\program files\mozilla firefox\components\coFFPlgn.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D187A56B-A33F-4CBE-9D77-459FC0BAE012}]
2008-06-23 11:24	806912	----a-w-	c:\program files\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4F11ACBB-393F-4C86-A214-FF3D0D155CC3}"= "c:\program files\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll" [2008-06-23 806912]
.
[HKEY_CLASSES_ROOT\clsid\{4f11acbb-393f-4c86-a214-ff3d0d155cc3}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{4F11ACBB-393F-4C86-A214-FF3D0D155CC3}"= "c:\program files\Burn4Free Toolbar\v3.3.0.1\Burn4Free_Toolbar.dll" [2008-06-23 806912]
.
[HKEY_CLASSES_ROOT\clsid\{4f11acbb-393f-4c86-a214-ff3d0d155cc3}]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-02-03 21:14	39472	----a-w-	c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-10-24 178712]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-02-04 88608]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AWinNotifyVitaKey MC3000]
2008-03-21 19:39	3024384	----a-w-	c:\program files\Acer\Acer Bio Protection\WinNotify.dll
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Acer VCM.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Acer VCM.lnk
backup=c:\windows\pss\Acer VCM.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^BTTray.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\BTTray.lnk
backup=c:\windows\pss\BTTray.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
c:\program files\Common Files\Nokia\MPlatform\NokiaMServer [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-15 00:04	39792	----a-w-	c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BkupTray]
2008-02-25 17:57	34040	----a-w-	c:\program files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CLMLServer]
2008-02-04 20:40	167936	------w-	c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eDataSecurity Loader]
2008-02-03 21:14	523312	----a-w-	c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe]
2008-01-19 07:33	125952	----a-w-	c:\windows\ehome\ehtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ePower_DMC]
2008-02-15 09:34	393216	----a-w-	c:\program files\Acer\Empowering Technology\ePower\ePower_DMC.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gtsrp]
2007-07-27 11:32	159744	----a-w-	c:\program files\gtsrp\gtsrp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager]
2008-02-13 12:10	805384	----a-w-	c:\progra~1\LAUNCH~1\LManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
2010-05-14 09:32	1479680	----a-w-	c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PlayMovie]
2008-01-29 18:29	167936	------w-	c:\program files\Acer Arcade Deluxe\PlayMovie\PMVService.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PLFSetI]
2007-10-23 09:56	200704	----a-w-	c:\windows\PLFSetI.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53	421888	----a-w-	d:\programme\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2008-04-29 17:10	185896	----a-w-	c:\program files\Common Files\Real\Update_OB\realsched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZPdtWzdVitaKey MC3000]
2008-03-21 19:39	3642368	----a-w-	c:\program files\Acer\Acer Bio Protection\PdtWzd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-17 257696]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2012-06-13 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-17 20:20]
.
2012-06-13 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-07-21 16:04]
.
2012-06-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-26 20:30]
.
2012-06-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-26 20:30]
.
2012-06-13 c:\windows\Tasks\User_Feed_Synchronization-{77639853-E56A-42D7-B25E-CAC22FB43667}.job
- c:\windows\system32\msfeedssync.exe [2008-06-19 07:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.imesh.com/
mStart Page = hxxp://de.intl.acer.yahoo.com
uInternet Settings,ProxyServer = 192.168.1.9:8080
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Free YouTube to MP3 Converter - c:\users\Tobias Tutzauer\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\Tobias Tutzauer\AppData\Roaming\Mozilla\Firefox\Profiles\b44wy462.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.ftp - 192.168.1.9
FF - prefs.js: network.proxy.ftp_port - 8080
FF - prefs.js: network.proxy.gopher - 192.168.1.9
FF - prefs.js: network.proxy.gopher_port - 8080
FF - prefs.js: network.proxy.http - 192.168.1.9
FF - prefs.js: network.proxy.http_port - 8080
FF - prefs.js: network.proxy.socks - 192.168.1.9
FF - prefs.js: network.proxy.socks_port - 8080
FF - prefs.js: network.proxy.ssl - 192.168.1.9
FF - prefs.js: network.proxy.ssl_port - 8080
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{28387537-e3f9-4ed7-860c-11e69af4a8a0} - (no file)
Toolbar-{28387537-e3f9-4ed7-860c-11e69af4a8a0} - (no file)
Toolbar-10 - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-eRecoveryService - (no file)
MSConfigStartUp-DataMngr - c:\program files\iMesh Applications\MediaBar\DataMngr\DataMngrUI.exe
MSConfigStartUp-NokiaOviSuite2 - c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe
MSConfigStartUp-Skytel - Skytel.exe
MSConfigStartUp-SunJavaUpdateSched - c:\program files\Java\jre6\bin\jusched.exe
MSConfigStartUp-XM2002 - c:\program files\IPPS\XM2002®\XM2002.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-06-13 17:21
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
.
c:\windows\system.ini 219 bytes
c:\windows\system32\drivers\etc\hosts.ics 435 bytes
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 2
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\N360]
"ImagePath"="\"c:\program files\Norton 360\Engine\6.2.1.5\ccSvcHst.exe\" /s \"N360\" /m \"c:\program files\Norton 360\Engine\6.2.1.5\diMaster.dll\" /prefetch:1"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]
"ImagePath"="\??\c:\program files\Acer Arcade Deluxe\PlayMovie\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(3024)
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\sysenv.dll
c:\windows\system32\btncopy.dll
c:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Acer\Acer Bio Protection\CompPtcVUI.exe
c:\windows\system32\vfsFPService.exe
c:\windows\system32\WLANExt.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
c:\program files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
c:\program files\Acer\Empowering Technology\Service\ETService.exe
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Norton 360\Engine\6.2.1.5\ccSvcHst.exe
c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
c:\program files\Common Files\Intel\WirelessCommon\RegSrvc.exe
c:\program files\Cyberlink\Shared files\RichVideo.exe
c:\program files\Acer\Acer VCM\RS_Service.exe
c:\program files\Norton 360\Engine\6.2.1.5\ccSvcHst.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\conime.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-06-13  17:29:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-06-13 15:29
.
Vor Suchlauf: 16 Verzeichnis(se), 49,471,176,704 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 49,365,856,256 Bytes frei
.
- - End Of File - - 27DE7D7B9D4CAED828621A7A2AE0BFCB
         
--- --- ---

Alt 14.06.2012, 09:22   #10
Psychotic
/// Malwareteam
 
Verschlüsselungstrojaner - nichts geht mehr - Standard

Verschlüsselungstrojaner - nichts geht mehr



Schritt 1: Software deinstallieren

  • Klicke Start-->Systemsteuerung.
  • Öffne Programme und Funktionen.
  • Suche und deinstalliere folgende Einträge:
    Zitat:
    Burn4Free Toolbar
  • Schließe das Fenster.


Schritt 2: CF-Script


Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
ATTFilter
DIRLOOK::
c:\users\Tobias Tutzauer\AppData\Roaming\Szlrszlnihb
         
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:
  • Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
  • Mache nichts am PC solange ComboFix läuft.
  • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 14.06.2012, 14:56   #11
Sausinator
 
Verschlüsselungstrojaner - nichts geht mehr - Standard

Verschlüsselungstrojaner - nichts geht mehr



Combofix Logfile:
Code:
ATTFilter
ComboFix 12-06-14.01 - Tobias Tutzauer 14/06/2012  14:25:17.3.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3069.1935 [GMT 2:00]
ausgeführt von:: c:\users\Tobias Tutzauer\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Tobias Tutzauer\Desktop\CFScript.txt
AV: Norton 360 *Disabled/Updated* {63DF5164-9100-186D-2187-8DC619EFD8BF}
FW: Norton 360 *Disabled* {5BE4D041-DB6F-1935-0AD8-24F3E73C9FC4}
SP: Norton 360 *Enabled/Updated* {D8BEB080-B73A-17E3-1B37-B6B462689202}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\drivers\etc\hosts.ics
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_MozillaMaintenance
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-05-14 bis 2012-06-14  ))))))))))))))))))))))))))))))
.
.
2012-06-14 12:44 . 2012-06-14 12:49	--------	d-----w-	c:\users\Tobias Tutzauer\AppData\Local\temp
2012-06-14 12:44 . 2012-06-14 12:44	--------	d-----w-	c:\users\TEMP\AppData\Local\temp
2012-06-11 16:31 . 2012-06-11 16:31	--------	d-----w-	c:\programdata\WindowsSearch
2012-06-10 17:46 . 2012-06-10 17:46	--------	d-----w-	c:\users\Gast\AppData\Roaming\LSoft Technologies
2012-06-10 17:46 . 2012-06-10 17:46	--------	d-----w-	c:\users\Gast\AppData\Roaming\InstallShield Installation Information
2012-06-10 16:07 . 2012-06-10 16:07	--------	d-----w-	c:\users\Tobias Tutzauer\AppData\Roaming\Malwarebytes
2012-06-10 16:06 . 2012-06-10 16:06	--------	d-----w-	c:\programdata\Malwarebytes
2012-06-10 16:06 . 2012-04-04 13:56	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-06-10 16:06 . 2012-06-10 16:06	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-06-10 15:13 . 2012-06-10 17:37	--------	d-----w-	c:\users\Tobias Tutzauer\AppData\Roaming\Szlrszlnihb
2012-05-18 14:40 . 2012-05-23 19:16	--------	d-----w-	c:\windows\system32\drivers\N360\0602010.005
2012-05-17 20:20 . 2012-05-17 20:20	419488	----a-w-	c:\windows\system32\FlashPlayerApp.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-17 20:20 . 2011-08-26 12:30	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-20 15:30 . 2009-08-03 19:27	141944	----a-w-	c:\windows\system32\drivers\SYMEVENT.SYS
2012-04-03 08:16 . 2012-05-11 14:59	3602816	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-04-03 08:16 . 2012-05-11 14:59	3550080	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-03-30 12:39 . 2012-05-11 14:59	905600	----a-w-	c:\windows\system32\drivers\tcpip.sys
2012-03-20 23:28 . 2012-05-11 14:59	53120	----a-w-	c:\windows\system32\drivers\partmgr.sys
2007-03-12 16:59 . 2007-03-12 16:59	299008	----a-w-	c:\program files\navigram_register.exe
2012-05-05 16:27 . 2011-05-03 15:10	97208	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
2009-03-31 20:47 . 2009-01-05 20:28	324976	----a-w-	c:\program files\mozilla firefox\components\coFFPlgn.dll
.
.
((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\users\Tobias Tutzauer\AppData\Roaming\Szlrszlnihb ----
.
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-02-03 21:14	39472	----a-w-	c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-10-24 178712]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-02-04 88608]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AWinNotifyVitaKey MC3000]
2008-03-21 19:39	3024384	----a-w-	c:\program files\Acer\Acer Bio Protection\WinNotify.dll
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Acer VCM.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Acer VCM.lnk
backup=c:\windows\pss\Acer VCM.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^BTTray.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\BTTray.lnk
backup=c:\windows\pss\BTTray.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
c:\program files\Common Files\Nokia\MPlatform\NokiaMServer [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-15 00:04	39792	----a-w-	c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BkupTray]
2008-02-25 17:57	34040	----a-w-	c:\program files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CLMLServer]
2008-02-04 20:40	167936	------w-	c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eDataSecurity Loader]
2008-02-03 21:14	523312	----a-w-	c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe]
2008-01-19 07:33	125952	----a-w-	c:\windows\ehome\ehtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ePower_DMC]
2008-02-15 09:34	393216	----a-w-	c:\program files\Acer\Empowering Technology\ePower\ePower_DMC.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gtsrp]
2007-07-27 11:32	159744	----a-w-	c:\program files\gtsrp\gtsrp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager]
2008-02-13 12:10	805384	----a-w-	c:\progra~1\LAUNCH~1\LManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
2010-05-14 09:32	1479680	----a-w-	c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PlayMovie]
2008-01-29 18:29	167936	------w-	c:\program files\Acer Arcade Deluxe\PlayMovie\PMVService.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PLFSetI]
2007-10-23 09:56	200704	----a-w-	c:\windows\PLFSetI.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53	421888	----a-w-	d:\programme\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2008-04-29 17:10	185896	----a-w-	c:\program files\Common Files\Real\Update_OB\realsched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZPdtWzdVitaKey MC3000]
2008-03-21 19:39	3642368	----a-w-	c:\program files\Acer\Acer Bio Protection\PdtWzd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-17 257696]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2012-06-14 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-17 20:20]
.
2012-06-13 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-07-21 16:04]
.
2012-06-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-26 20:30]
.
2012-06-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-26 20:30]
.
2012-06-14 c:\windows\Tasks\User_Feed_Synchronization-{77639853-E56A-42D7-B25E-CAC22FB43667}.job
- c:\windows\system32\msfeedssync.exe [2008-06-19 07:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.imesh.com/
mStart Page = hxxp://de.intl.acer.yahoo.com
uInternet Settings,ProxyServer = 192.168.1.9:8080
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Free YouTube to MP3 Converter - c:\users\Tobias Tutzauer\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\Tobias Tutzauer\AppData\Roaming\Mozilla\Firefox\Profiles\b44wy462.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.ftp - 192.168.1.9
FF - prefs.js: network.proxy.ftp_port - 8080
FF - prefs.js: network.proxy.gopher - 192.168.1.9
FF - prefs.js: network.proxy.gopher_port - 8080
FF - prefs.js: network.proxy.http - 192.168.1.9
FF - prefs.js: network.proxy.http_port - 8080
FF - prefs.js: network.proxy.socks - 192.168.1.9
FF - prefs.js: network.proxy.socks_port - 8080
FF - prefs.js: network.proxy.ssl - 192.168.1.9
FF - prefs.js: network.proxy.ssl_port - 8080
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-06-14 14:48
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
.
c:\windows\system32\drivers\etc\hosts.ics 434 bytes
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\N360]
"ImagePath"="\"c:\program files\Norton 360\Engine\6.2.1.5\ccSvcHst.exe\" /s \"N360\" /m \"c:\program files\Norton 360\Engine\6.2.1.5\diMaster.dll\" /prefetch:1"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]
"ImagePath"="\??\c:\program files\Acer Arcade Deluxe\PlayMovie\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(2224)
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\sysenv.dll
c:\windows\system32\btncopy.dll
c:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Acer\Acer Bio Protection\CompPtcVUI.exe
c:\windows\system32\vfsFPService.exe
c:\windows\system32\WLANExt.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
c:\program files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
c:\program files\Acer\Empowering Technology\Service\ETService.exe
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Norton 360\Engine\6.2.1.5\ccSvcHst.exe
c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
c:\program files\Common Files\Intel\WirelessCommon\RegSrvc.exe
c:\program files\Cyberlink\Shared files\RichVideo.exe
c:\program files\Acer\Acer VCM\RS_Service.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Norton 360\Engine\6.2.1.5\ccSvcHst.exe
c:\windows\system32\conime.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-06-14  14:53:43 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-06-14 12:53
ComboFix2.txt  2012-06-13 15:29
.
Vor Suchlauf: 19 Verzeichnis(se), 47,774,466,048 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 47,437,701,120 Bytes frei
.
- - End Of File - - E63AD0BF98636B727E9B77494D786F87
         
--- --- ---

Alt 14.06.2012, 15:31   #12
Psychotic
/// Malwareteam
 
Verschlüsselungstrojaner - nichts geht mehr - Standard

Verschlüsselungstrojaner - nichts geht mehr



Sieht ganz gut aus - kontrollieren wir alles nochmal!


Schritt 1: MBAM vollständig


Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen. (Hinweis: Alle Festplatten anhaken!)
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.



Schritt 2: ESET



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 14.06.2012, 22:27   #13
Sausinator
 
Verschlüsselungstrojaner - nichts geht mehr - Standard

Verschlüsselungstrojaner - nichts geht mehr



Malwarebytes Anti-Malware (Test) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.06.14.06

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
Tobias Tutzauer :: TT21182 [Administrator]

Schutz: Deaktiviert

14/06/2012 17:26:12
mbam-log-2012-06-14 (17-26-12).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 435292
Laufzeit: 2 Stunde(n), 25 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


ESET.txt

C:\Program Files\gtsrp\gtsrp.exe probably a variant of Win32/Adware.Agent.FBAOSEW application

Alt 15.06.2012, 07:41   #14
Psychotic
/// Malwareteam
 
Verschlüsselungstrojaner - nichts geht mehr - Standard

Verschlüsselungstrojaner - nichts geht mehr



Dann sind wir durch!


Schritt 1: Adobe Flash Player update


Dein Flash-Player ist veraltet. Da gerade diese Software gerne von Schädlingen als Sprungbrett ins System genutzt wird, muss sie immer aktuell gehalten werden.
Um den Flash Player zu aktualisieren, gehe bitte wie folgt vor:
  • Lade dir den aktuellen Adobe Flash Player von hier herunter. Wichtig: Entferne den Haken für optionale Software (z.B. Google Chrome), der auf der Seite angezeigt wird, bevor du auf "Jetzt herunterladen" klickst.
  • Starte das Setup und folge den Anweisungen auf dem Bildschirm.
  • Melde dich umgehend, falls Schwierigkeiten auftreten.



Schritt 2: Java update


Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die jxpiinstall.exe
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 4 ) herunter laden.
  • Wenn die installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
  • Klicke erneut OK.



Schritt 3: Adobe Reader update


Dein Adobe Reader ist veraltet. Da einige Schädlinge die Schwachstellen in veralteten Versionen nutzen, werden wir sie aktualisieren.

  • Lade dir den aktuellen Adobe Reader von hier herunter. Wichtig: Entferne den Haken für optionale Software (z.B. Google Chrome), der auf der Seite angezeigt wird, bevor du auf "Jetzt herunterladen" klickst.
  • Starte die Installation und folge den Anweisungen auf dem Bildschirm.
  • Drücke die Windows- und die R-Taste, gib im folgenden Fenster appwiz.cpl ein und klicke auf OK.
  • Suche und entferne alle älteren Reader-Versionen.



Schritt 4: Adobe Shockwave Player update

Dein Shockwave-Player ist veraltet. Um den Shockwave Player zu aktualisieren, gehe bitte wie folgt vor:
  • Besuche die Seite Adobe - Adobe Shockwave Player
  • Klicke auf die Schaltfläche "Zustimmen und installieren" und folge den Anweisungen auf dem Bildschirm.
  • Melde dich umgehend, falls Schwierigkeiten auftreten.



Defogger re-enable

Starte bitte den Defogger und klicke den re-enable Button



ComboFix

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
Code:
ATTFilter
Combofix /Uninstall
         


Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.



OTL

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.



Hier noch ein paar Tipps zur Absicherung deines Systems.

Aktualität

Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.
Antviren-Software
  • Gehe sicher immer eine Antiviren-Software installiert zu haben und dass diese auch up to date ist. Auch der beste Virenscanner ist sinnlos, wenn er nicht aktuell ist!
    Eine Auswahl kostenloser Antivirenprogramme:
Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.
Alternative Browser
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner, um diesen zu AdBlockPlus hinzuzufügen, reicht und dieser wird nicht mehr geladen.
      Es spart ausserdem Downloadkapazität.
Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )

Don'ts
  • Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
  • verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Sei mißtrauisch in sozialen Netzwerken (z.B. MeinVZ, Facebook, etc) - auch, wenn Nachrichten/Einträge scheinbar von einem deiner Freunde stammen, bedeutet das noch lange nicht, dass sie unschädlich sind (Malware kann seinen Rechner verseucht haben).
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 18.06.2012, 09:35   #15
Psychotic
/// Malwareteam
 
Verschlüsselungstrojaner - nichts geht mehr - Standard

Verschlüsselungstrojaner - nichts geht mehr



Schön, dass wir helfen konnten!


Dieses Thema scheint erledigt und wurde aus meinen Abos gelöscht.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen!
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Antwort

Themen zu Verschlüsselungstrojaner - nichts geht mehr
acer aspire, anhang, anwendung, bisherigen, desktop, funktionier, funktioniert, gefunde, handy, hinweis, nichts, nichts geht mehr, poste, sperrt, starte, startmenü, taskleiste, threads, troja, trojaner, verschlüsselungs, verschlüsselungstrojaner



Ähnliche Themen: Verschlüsselungstrojaner - nichts geht mehr


  1. Nichts geht mehr!
    Mülltonne - 22.09.2015 (1)
  2. Nichts geht mehr :(
    Plagegeister aller Art und deren Bekämpfung - 02.06.2014 (11)
  3. Nichts geht mehr
    Plagegeister aller Art und deren Bekämpfung - 15.05.2014 (5)
  4. es geht fast gar nichts mehr
    Plagegeister aller Art und deren Bekämpfung - 19.08.2013 (1)
  5. Nichts geht mehr !
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  6. 256 Bit AES Verschlüsselungstrojaner und es geht nichts mehr
    Plagegeister aller Art und deren Bekämpfung - 01.06.2012 (2)
  7. (2x) AKM Trojaner, nichts geht mehr
    Mülltonne - 03.03.2012 (2)
  8. WindowsXP geht nichts mehr
    Plagegeister aller Art und deren Bekämpfung - 10.12.2011 (8)
  9. Security Tool - NICHTS geht mehr! Keine .exe lässt sich mehr öffnen!
    Plagegeister aller Art und deren Bekämpfung - 16.07.2010 (2)
  10. Nichts geht mehr...............
    Plagegeister aller Art und deren Bekämpfung - 07.01.2010 (19)
  11. Nichts geht mehr
    Log-Analyse und Auswertung - 26.11.2009 (15)
  12. FAST nichts geht mehr...
    Log-Analyse und Auswertung - 25.09.2008 (2)
  13. Nichts geht mehr
    Log-Analyse und Auswertung - 26.07.2007 (1)
  14. Nichts geht mehr !
    Alles rund um Windows - 09.03.2007 (6)
  15. Nichts geht mehr
    Plagegeister aller Art und deren Bekämpfung - 25.01.2007 (8)
  16. Es geht so gut wie nichts mehr!!!
    Plagegeister aller Art und deren Bekämpfung - 10.01.2006 (1)
  17. Nichts geht mehr .....
    Lob, Kritik und Wünsche - 11.01.2003 (18)

Zum Thema Verschlüsselungstrojaner - nichts geht mehr - hallo, ich poste jetzt über Mein handy, weil bei mir gar nix geht. Ich hab in den bisherigen threads nichts gefunden. Zum problem. Ich war so dumm und habe einen - Verschlüsselungstrojaner - nichts geht mehr...
Archiv
Du betrachtest: Verschlüsselungstrojaner - nichts geht mehr auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.