Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Verschlüsselungstrojaner "Bundespolizei" Trojan.Vundo

Verschlüsselungstrojaner "Bundespolizei" Trojan.Vundo


Log-Analyse und Auswertung: Verschlüsselungstrojaner "Bundespolizei" Trojan.Vundo

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 28.09.2012, 20:21   #1
Malos
 
Verschlüsselungstrojaner "Bundespolizei" Trojan.Vundo - Standard

Verschlüsselungstrojaner "Bundespolizei" Trojan.Vundo


Hallo Trojaner Board !

Zunächst vorab:
Ein guter Bekannter und Nachbar hat sich an mich gewandt, ob ich ihm bei seinem Problem helfen kann. Er ist Pensionär und nicht geübt im Umgang mit PC, Internet und schon gar nicht mit Internetforen und den Dingen, die auf eurer Website zu lesen sind. Ich möchte ihm gern helfen und hoffe jetzt, dass ihr helfen könnt.

Im Posteingang war eine e-mail mit einer Zahlungsaufforderung und einem Verweis auf die angehängte Datei. Nach dem Öffnen des Anhangs ist es dann wohl passiert! Nach dem Neustart des Rechners öffnete sich der bereits bekannte Bildschirm der Bundespolizei mit der Aufforderung zur Zahlung (siehe Anhang bundestrojaner.7z). Die e-mails werden direkt im Kundencenter bei t-online gelesen. Dort befindet sich die e-mail mit dem Anhang noch immer. Allerdings habe ich keine Kenntnisse wie ich euch die mail und den Anhang zukommen lassen kann. Falls dies erforderlich ist, brauche ich dafür eine Anleitung.

Bevor ich euch gefunden hatte, habe ich mittels "Hirens Boot CD" über CD gebootet. Dann habe ich nach alle *.exe Dateien gesucht und nach Datum sortiert. Die drei neuesten mit dem Datum 24.07.2012 habe ich dann gelöscht. Inzwischen befürchte ich, dass dies ziemlich dämlich war ! Nach dem Neustart war der Bildschirm nicht mehr gesperrt, allerdings sind alle Word- und Excel Dateien, alle Bilder und pdf verschlüsselt. Alle Dateiein bestehen jetzt aus wild zusammengewürfelten Buchstaben,

wie z.B.: gJyaxNoDfQApsgLeUJqa

Die Dateiein haben keine Endungen mehr und der Typ der Datei, z.B. doc-Datei ist nicht mehr erkennbar. Ich habe es mit einfachen Umbenennen probiert, aber ohne Erfolg.

Anschließend habe ich mit Malwarebytes Anti-Malware gescannt. Nachfolgend die log-Datei:

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.25.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Klaus - Jürgen :: LAUTERBACH [Administrator]

Schutz: Aktiviert

25.07.2012 23:00:56
mbam-log-2012-07-25 (23-00-56).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 262027
Laufzeit: 1 Stunde(n), 5 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 6
HKCR\CLSID\{460AC4DB-B0DE-4626-A0F0-175DD84DCB9B} (Adware.Hotbar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{90B5A95A-AFD5-4d11-B9BD-A69D53D22226} (Adware.Hotbar) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\ShoppingReport (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\ShoppingReport (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 7
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{07AA283A-43D7-4CBE-A064-32A21112D94D} (Adware.Zango) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser|{07AA283A-43D7-4CBE-A064-32A21112D94D} (Adware.Zango) -> Daten: ª×C¾L*d2¢ÙM -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{07AA283A-43D7-4CBE-A064-32A21112D94D} (Adware.Zango) -> Daten: ª×C¾L*d2¢ÙM -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07AA283A-43D7-4CBE-A064-32A21112D94D} (Adware.Zango) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} (Trojan.Vundo) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks|{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} (Trojan.Vundo) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 5
C:\Dokumente und Einstellungen\Klaus - Jürgen\Anwendungsdaten\ShoppingReport (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Klaus - Jürgen\Anwendungsdaten\ShoppingReport\cs (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\ShoppingReport (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\ShoppingReport\Bin (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\ShoppingReport\Bin\2.0.26 (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 3
C:\Dokumente und Einstellungen\Klaus - Jürgen\Lokale Einstellungen\Temp\bjlfroaxvq.pre (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Klaus - Jürgen\Lokale Einstellungen\Temp\zolxrqadvn.pre (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Klaus - Jürgen\Anwendungsdaten\ShoppingReport\cs\pDLgxpyJVeorsTA (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Hier die logfile von OTL:OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 28.09.2012 14:50:33 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Klaus - Jürgen\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,25 Gb Total Physical Memory | 2,81 Gb Available Physical Memory | 86,50% Memory free
3,37 Gb Paging File | 3,11 Gb Available in Paging File | 92,21% Paging File free
Paging file location(s): C:\pagefile.sys 288 576 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 37,23 Gb Total Space | 22,91 Gb Free Space | 61,53% Space Free | Partition Type: NTFS
Drive L: | 7,44 Gb Total Space | 4,95 Gb Free Space | 66,61% Space Free | Partition Type: FAT32
 
Computer Name: LAUTERBACH | User Name: Klaus - Jürgen | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.09.28 14:30:48 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Desktop\OTL.exe
PRC - [2012.07.03 13:46:44 | 000,655,944 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2012.07.03 13:46:44 | 000,462,920 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2012.06.06 21:33:42 | 001,564,872 | ---- | M] (Ask) -- C:\Programme\Ask.com\Updater\Updater.exe
PRC - [2012.06.04 09:31:40 | 001,466,760 | ---- | M] (Garmin) -- C:\Programme\Garmin\Lifetime Updater\GarminLifetime.exe
PRC - [2012.01.18 14:02:04 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2003.07.28 16:45:50 | 000,274,432 | ---- | M] (DeTeWe AG & Co.) -- C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
PRC - [2003.06.20 00:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
PRC - [2002.11.27 01:00:00 | 000,421,935 | ---- | M] (Living Byte Software GmbH, München) -- C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
PRC - [2002.11.27 01:00:00 | 000,151,595 | ---- | M] () -- C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.06.25 20:42:49 | 000,365,056 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.ServiceModel#\284141392cdba7fa4b2a4668125329a9\System.ServiceModel.Routing.ni.dll
MOD - [2012.06.25 20:42:48 | 001,128,960 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.ServiceModel#\28b09f14e54a06c091073b1d3e316fb6\System.ServiceModel.Discovery.ni.dll
MOD - [2012.06.25 20:42:45 | 000,082,432 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.ServiceModel#\39c6c5375d1763165dd8c1623bd10668\System.ServiceModel.Channels.ni.dll
MOD - [2012.06.25 20:42:44 | 001,387,520 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.ServiceModel#\18d8e3f9e290217ac0c48571557c5fc3\System.ServiceModel.Activities.ni.dll
MOD - [2012.06.25 20:42:41 | 017,996,800 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.ServiceModel\5be1370b1331393f73af710d0d71b02d\System.ServiceModel.ni.dll
MOD - [2012.06.25 20:41:52 | 001,072,128 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.IdentityModel\a90d8ca6c54f70507704d788fd0d3ded\System.IdentityModel.ni.dll
MOD - [2012.06.25 20:39:01 | 001,020,928 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Runtime.Dura#\a40c42510e312339018486b1d7076e0a\System.Runtime.DurableInstancing.ni.dll
MOD - [2012.06.25 20:38:59 | 000,142,848 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\SMDiagnostics\9115e9f656b00fc4e46da91537ef1358\SMDiagnostics.ni.dll
MOD - [2012.06.25 20:38:58 | 002,637,312 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Runtime.Seri#\9bfda0add366eea12ea0402e60d01e84\System.Runtime.Serialization.ni.dll
MOD - [2012.06.25 20:38:53 | 000,391,680 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Xml.Linq\f44e12702dadeae606b8eaca609b1336\System.Xml.Linq.ni.dll
MOD - [2012.06.25 20:38:51 | 001,781,760 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Xaml\9b6f1bcb2cf4e6ad429cd721b942f30f\System.Xaml.ni.dll
MOD - [2012.06.20 20:32:50 | 017,998,848 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\PresentationFramewo#\5d585d5428ce69abc28238ffa9f4d3a2\PresentationFramework.ni.dll
MOD - [2012.06.20 20:32:17 | 011,451,904 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\PresentationCore\fe068ba4be8f6cb7d6a58bccff05c75e\PresentationCore.ni.dll
MOD - [2012.06.20 20:31:56 | 003,856,896 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\WindowsBase\62f103f9e662d263ec2ecacc49d4525b\WindowsBase.ni.dll
MOD - [2012.06.20 20:31:49 | 000,309,760 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\PresentationFramewo#\45d2307fb0898a18dec5a04ff9f8b85c\PresentationFramework.Classic.ni.dll
MOD - [2012.06.20 20:27:39 | 013,197,824 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Windows.Forms\54d61af44b1dedee6aea0d1bbc46b13a\System.Windows.Forms.ni.dll
MOD - [2012.06.20 20:25:52 | 001,666,048 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Drawing\4a668799513e369a54fdab8b3f74de92\System.Drawing.ni.dll
MOD - [2012.06.20 20:25:49 | 000,729,088 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Security\efe46aa882d9ac31f7fbbdc004fc99d5\System.Security.ni.dll
MOD - [2012.06.20 20:25:43 | 005,618,176 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Xml\5ee8bf77e7b3e25cdbff6e1c299574fe\System.Xml.ni.dll
MOD - [2012.06.20 20:25:36 | 000,980,480 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Configuration\0c8e950df17a0abec10888e8ad966cbe\System.Configuration.ni.dll
MOD - [2012.06.20 20:25:33 | 007,052,800 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Core\14ba6251d6ec84c9579ed3d3e10b30c1\System.Core.ni.dll
MOD - [2012.06.20 20:25:18 | 009,090,560 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System\6f399163bb35597da7141ccdb7f39d16\System.ni.dll
MOD - [2012.06.20 20:25:05 | 014,412,800 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\mscorlib\3953b1d8b9b57e4957bff8f58145384e\mscorlib.ni.dll
MOD - [2003.10.31 15:15:42 | 000,077,824 | ---- | M] () -- C:\Programme\Telekom\Eumex 504PC SE\conf.dll
MOD - [2003.01.14 14:04:40 | 000,032,768 | ---- | M] () -- C:\Programme\Telekom\Eumex 504PC SE\cc_lang.dll
MOD - [2002.11.27 01:00:00 | 000,151,595 | ---- | M] () -- C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
MOD - [2001.10.28 17:42:30 | 000,116,224 | ---- | M] () -- C:\WINDOWS\system32\pdfpipent.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2012.07.03 13:46:44 | 000,655,944 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2007.03.28 19:42:42 | 000,029,704 | ---- | M] (TuneUp Software GmbH) [Auto | Running] -- C:\WINDOWS\system32\uxtuneup.dll -- (UxTuneUp)
SRV - [2003.06.20 00:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe -- (MDM)
SRV - [2002.11.27 01:00:00 | 000,421,935 | ---- | M] (Living Byte Software GmbH, München) [Auto | Running] -- C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE -- (RVSINST)
SRV - [2002.11.27 01:00:00 | 000,151,595 | ---- | M] () [Auto | Running] -- C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE -- (RvsCC)
SRV - [2002.11.27 01:00:00 | 000,131,121 | ---- | M] (Living Byte Software GmbH, München) [On_Demand | Stopped] -- C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE -- (RvscomSv)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2012.07.03 13:46:44 | 000,022,344 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2009.05.11 11:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.04.13 20:56:06 | 000,088,320 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnkipx.sys -- (NwlnkIpx)
DRV - [2008.04.13 20:53:09 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm)
DRV - [2007.02.27 14:31:28 | 000,021,504 | ---- | M] (Motorola) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\motmodem.sys -- (motmodem)
DRV - [2003.08.13 09:45:00 | 000,311,552 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nvapu.sys -- (nvnforce)
DRV - [2003.08.13 09:45:00 | 000,036,864 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nvax.sys -- (nvax)
DRV - [2003.06.07 06:53:16 | 000,070,656 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\NVENET.sys -- (NVENET)
DRV - [2003.04.17 17:14:04 | 000,960,436 | ---- | M] (DeTeWe Berlin) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\Capi20.sys -- (CAPI20)
DRV - [2003.04.17 13:19:02 | 000,120,732 | ---- | M] (DeTeWe Berlin) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ulisa.sys -- (ulisa)
DRV - [2003.03.19 15:51:00 | 000,018,688 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\nv_agp.SYS -- (nv_agp)
DRV - [2003.03.19 14:36:48 | 000,037,696 | ---- | M] (DeTeWe Berlin) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\DETEWECP.SYS -- (DETEWECP)
DRV - [2002.12.20 12:04:00 | 000,198,118 | ---- | M] (DeTeWe Berlin) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\dtwmnic5.sys -- (dtwmnic5)
DRV - [2002.11.27 01:00:00 | 000,039,936 | ---- | M] (Living Byte Software GmbH, München) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\RVSPORT.SYS -- (rvsport)
DRV - [2002.08.29 14:00:00 | 000,063,232 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnknb.sys -- (NwlnkNb)
DRV - [2002.08.29 14:00:00 | 000,055,936 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnkspx.sys -- (NwlnkSpx)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Use Custom Search URL = 0
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.t-online.de/
IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKCU\..\SearchScopes,DefaultScope = {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=de_DE&apn_ptnrs=U3&apn_dtid=OSJ000YYDE&apn_uid=FD6D7093-46C8-471F-8990-6B5B0353D7F8&apn_sauid=1789E018-E9D2-47B7-8E23-F7D059D32955
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7SUNC_de
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@garmin.com/GpsControl: C:\Programme\Garmin GPS Plugin\npGarmin.dll (GARMIN Corp.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKCU\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\System32\Macromed\Flash\NPSWF32.dll ()
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.11.16 13:29:05 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.11.16 13:29:02 | 000,000,000 | ---D | M]
 
[2009.11.24 22:47:48 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Anwendungsdaten\Mozilla\Extensions
[2012.07.25 18:38:12 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Anwendungsdaten\Mozilla\Firefox\Profiles\yc2fqqb3.default\extensions
[2012.07.15 18:01:22 | 000,002,331 | ---- | M] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Anwendungsdaten\Mozilla\Firefox\Profiles\yc2fqqb3.default\searchplugins\OGOEeUuyXsrLDVvAaxg
[2012.03.29 12:14:47 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.03.29 12:14:47 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}
[2011.11.05 09:14:24 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.03.29 12:14:24 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011.11.05 05:38:54 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.11.05 05:32:18 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011.11.05 05:38:54 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.11.05 05:38:54 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.11.05 05:38:54 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.11.05 05:38:54 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2002.08.29 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (metaspinner media GmbH) - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\Programme\klickTel\eBay Startcenter\IEButtonKlickTelEBayInterface.dll ()
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [Garmin Lifetime Updater] C:\Programme\Garmin\Lifetime Updater\GarminLifetime.exe (Garmin)
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NAV_Update] C:\NAV_Update.exe File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [NvMediaCenter] C:\WINDOWS\System32\NVMCTRAY.DLL (NVIDIA Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O15 - HKCU\..Trusted Domains:   ([]msn in My Computer)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1293530827484 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38032.4235300926 (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{FF30F81F-B45C-4A79-A0C6-C0DBC640DBEA}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O30 - LSA: Authentication Packages - (C:\WINDOWS\System32\vtstu.dll) -  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2003.11.20 00:54:38 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2011.07.25 18:18:28 | 000,000,130 | R--- | M] () - L:\Autorun.inf -- [ FAT32 ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.09.28 14:45:22 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Desktop\OTL.exe
[2012.09.28 14:40:02 | 000,000,000 | ---D | C] -- C:\WINDOWS\Internet Logs
[2012.09.28 14:38:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Application Data
[2008.02.16 15:28:40 | 000,092,064 | ---- | C] (MCCI) -- C:\Dokumente und Einstellungen\Klaus - Jürgen\mqdmmdm.sys
[2008.02.16 15:28:40 | 000,079,328 | ---- | C] (MCCI) -- C:\Dokumente und Einstellungen\Klaus - Jürgen\mqdmserd.sys
[2008.02.16 15:28:40 | 000,009,232 | ---- | C] (MCCI) -- C:\Dokumente und Einstellungen\Klaus - Jürgen\mqdmmdfl.sys
[2008.02.16 15:28:40 | 000,006,208 | ---- | C] (MCCI) -- C:\Dokumente und Einstellungen\Klaus - Jürgen\mqdmcmnt.sys
[2008.02.16 15:28:40 | 000,005,936 | ---- | C] (MCCI) -- C:\Dokumente und Einstellungen\Klaus - Jürgen\mqdmwhnt.sys
[2008.02.16 15:28:40 | 000,004,048 | ---- | C] (MCCI) -- C:\Dokumente und Einstellungen\Klaus - Jürgen\mqdmcr.sys
[2008.02.16 15:28:39 | 000,066,656 | ---- | C] (MCCI) -- C:\Dokumente und Einstellungen\Klaus - Jürgen\mqdmbus.sys
[2008.02.16 15:28:39 | 000,025,600 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\Klaus - Jürgen\usbsermptxp.sys
[2008.02.16 15:28:39 | 000,022,768 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\Klaus - Jürgen\usbsermpt.sys
[8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.09.28 14:51:00 | 000,000,244 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2012.09.28 14:46:40 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\defogger_reenable
[2012.09.28 14:43:45 | 000,437,932 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.09.28 14:43:45 | 000,423,410 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.09.28 14:43:45 | 000,075,666 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.09.28 14:43:45 | 000,062,442 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.09.28 14:40:13 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.09.28 14:39:21 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.09.28 14:32:32 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Desktop\lzdm3vf3.exe
[2012.09.28 14:30:48 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Desktop\OTL.exe
[2012.09.28 14:29:56 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Desktop\Defogger.exe
[2012.09.28 13:48:45 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.09.28 14:46:40 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\defogger_reenable
[2012.09.28 14:45:22 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Desktop\lzdm3vf3.exe
[2012.09.28 14:45:22 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Desktop\Defogger.exe
[2012.09.28 13:59:38 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.02.17 12:55:37 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.03.11 13:26:14 | 000,335,696 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-488851024-3108603908-2786077940-1006-0.dat
[2011.03.11 13:26:12 | 000,222,326 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2008.11.27 13:55:07 | 000,009,913 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Kopie (2) von oem9.inf
[2008.11.27 13:55:07 | 000,006,989 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Kopie (3) von oem7.inf
[2008.11.27 13:55:07 | 000,004,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Kopie (3) von oem8.inf
[2008.11.27 13:55:06 | 000,006,209 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Kopie (3) von oem4.inf
[2008.11.27 13:55:06 | 000,005,880 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Kopie von oem3.inf
[2008.11.27 13:55:06 | 000,005,813 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Kopie (3) von oem5.inf
[2008.07.18 18:33:56 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.02.20 17:14:07 | 000,004,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Kopie (2) von oem8.inf
[2008.02.20 17:14:06 | 000,006,989 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Kopie (2) von oem7.inf
[2008.02.20 17:14:05 | 000,006,141 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Kopie (2) von oem4.inf
[2008.02.20 17:14:05 | 000,005,960 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Kopie (2) von oem5.inf
[2008.02.16 15:34:44 | 000,009,913 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Kopie von oem9.inf
[2008.02.16 15:34:44 | 000,009,232 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Kopie von oem6.inf
[2008.02.16 15:34:44 | 000,006,989 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Kopie von oem7.inf
[2008.02.16 15:34:44 | 000,006,209 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Kopie von oem4.inf
[2008.02.16 15:34:44 | 000,005,813 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Kopie von oem5.inf
[2008.02.16 15:34:44 | 000,004,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Kopie von oem8.inf
[2008.02.16 15:28:39 | 000,009,913 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\MCCI_MDM.INF
[2008.02.16 15:28:39 | 000,009,232 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\USB_MOT_BRIT.INF
[2008.02.16 15:28:39 | 000,007,201 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\USBMOT2000.INF
[2008.02.16 15:28:39 | 000,006,989 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\MCCI_BUS.INF
[2008.02.16 15:28:39 | 000,006,141 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\USBMOT2000XP.INF
[2008.02.16 15:28:39 | 000,005,960 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\USB_MOT_A1000.INF
[2008.02.16 15:28:39 | 000,005,880 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\USB_CMCS_2000.INF
[2008.02.16 15:28:39 | 000,004,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\MCCI_SDM.INF
[2006.06.10 11:04:47 | 000,000,147 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2001.01.01 00:10:18 | 000,222,326 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-488851024-3108603908-2786077940-1007-0.dat
[1601.02.13 10:28:18 | 000,070,963 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\ODVJAaxOoeduyXtNL
[1601.02.13 10:28:18 | 000,016,034 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\vrnTsvjsfOopxQyDdrn
[1601.02.13 10:28:18 | 000,016,034 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\TldrnasJjsVgoXGu
[1601.02.13 10:28:18 | 000,016,034 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\lLTsJAefOEXGuyDUN
[1601.02.13 10:28:18 | 000,015,714 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\UpUunlsrjafvEexgy
[1601.02.13 10:28:18 | 000,015,714 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\DXxQyDUNnasvjsfO
[1601.02.13 10:28:18 | 000,015,714 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\ajafvEexgypdunls
[1601.02.13 10:28:18 | 000,015,428 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\sNsayuUlEgGXjJfeLNsa
[1601.02.13 10:28:18 | 000,014,366 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\yuqDUNLasJAeVgEXGuqDU
[1601.02.13 10:28:18 | 000,014,366 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\qEpxQyDdrnTsJj
[1601.02.13 10:28:18 | 000,014,366 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\QdunltrjTVJoexgqpd
[1601.02.13 10:28:18 | 000,012,898 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\xexOypUuLDtNjafvE
[1601.02.13 10:28:18 | 000,012,898 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\NdrnTunAerAaVvosxgy
[1601.02.13 10:28:18 | 000,012,860 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\VaVvoexOqXduLDtNjT
[1601.02.13 10:28:18 | 000,012,860 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\NsJAeVgEXGuqDUNLasJ
[1601.02.13 10:28:18 | 000,012,860 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\EjafJoexgyXdun
[1601.02.13 10:28:18 | 000,012,826 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\dxuylUNLatJjeVgEXG
[1601.02.13 10:28:18 | 000,012,452 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\OxOyXUunlsrjTfJEexg
[1601.02.13 10:28:18 | 000,012,380 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\vNjTfJoexgqXdunDtNja
[1601.02.13 10:28:18 | 000,012,380 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\tTsJAefOEXGQyDUNn
[1601.02.13 10:28:18 | 000,009,913 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\UUeLgsXAuVlENGaqv
[1601.02.13 10:28:18 | 000,009,232 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\XufDENGayJUenOsXAufD
[1601.02.13 10:28:18 | 000,009,232 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\OXjuVDoNxTyJUenO
[1601.02.13 10:28:18 | 000,007,786 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\TlsrjafvEexgypUu
[1601.02.13 10:28:18 | 000,007,786 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\GpxQqlUrnTtvjsfgop
[1601.02.13 10:28:18 | 000,007,786 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\gGuqldrnTsvAeVgopxu
[1601.02.13 10:28:18 | 000,007,346 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\uOoXGuqlUrLTtJAeVgop
[1601.02.13 10:28:18 | 000,007,346 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\sUQLlsrATfvEsxgypU
[1601.02.13 10:28:18 | 000,007,346 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\JQLDsrATVvEsxOqpUQLD
[1601.02.13 10:28:18 | 000,007,201 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\GNxayJdengsXAu
[1601.02.13 10:28:18 | 000,007,201 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\GNGaqvUsLOspAQVDor
[1601.02.13 10:28:18 | 000,007,201 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\axaqJdengsXAuVDENGa
[1601.02.13 10:28:18 | 000,005,880 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\quflErGaqvdeLgtpjQVD
[1601.02.13 10:28:18 | 000,005,880 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\egspAuflErGaqvdsLgtp
[1601.02.13 10:28:18 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QylfrEptuAsdgL
[1601.02.13 10:28:18 | 000,000,086 | ---- | C] () -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Lokale Einstellungen\Anwendungsdaten\oejQspENflqJGanO
 
========== ZeroAccess Check ==========
 
[2003.11.19 18:13:43 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\System32\shdocvw.dll -- [2008.04.14 04:22:25 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\System32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\System32\wbem\wbemess.dll -- [2008.04.14 04:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2012.03.29 12:15:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask
[2011.02.04 12:51:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
[2008.02.10 21:35:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
[2004.01.26 17:48:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teledat
[2010.04.19 14:35:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2010.04.19 16:00:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Anwendungsdaten\CheckPoint
[2001.01.01 03:15:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Anwendungsdaten\Ffrnatuqldg
[2012.07.14 04:12:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Anwendungsdaten\GARMIN
[2012.07.24 17:03:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Anwendungsdaten\HbTools
[2007.07.17 17:13:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Anwendungsdaten\klickTel
[2006.09.11 15:52:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Anwendungsdaten\PDFStarSbe
[2004.01.26 17:53:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Anwendungsdaten\RVS
[2008.02.10 21:37:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Anwendungsdaten\T-Online
[2004.01.26 17:53:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Anwendungsdaten\TELEDAT
[2010.04.19 14:37:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Klaus - Jürgen\Anwendungsdaten\TuneUp Software
 
========== Purity Check ==========
 
 

< End of report >
--- --- ---


Diese log File habe ich nochmals zusammen mit den übrigen logfiles als Anhang beigefügt.

Ich hoffe ich habe nichts vergessen und ihr könnt helfen. Die Dateien sind teilweise 7 Jahre alt; eine Datensicherung wurde nie durchgeführt (!!!). Ich bin sehr auf eure Antwort gespannt und danke euch schon jetzt für eure Zeit und Mühe

Malos

 

Themen zu Verschlüsselungstrojaner "Bundespolizei" Trojan.Vundo
administrator, adware.hotbar, adware.shopperreports, adware.zango, bildschirm, datensicherung, doc-datei, error, firefox, gesperrt, hijack.regedit, home, homepage, internet, kunde, log file, log-datei, neustart, nvidia, plug-in, problem, pum.hijack.regedit, pum.hijack.taskmanager, software, trojan.agent.h, trojan.vundo, trojaner, trojaner board


« Polizei Österreich Ukash Virus | Warscheinlich UKASH »


Ähnliche Themen: Verschlüsselungstrojaner "Bundespolizei" Trojan.Vundo


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  3. WIN 7: Malwarebytes Anti-Malware meldet "PUM.UserWLoad" & "Trojan.Ransom"
    Log-Analyse und Auswertung - 04.09.2013 (21)
  4. Alle Dateien versteckt - Befall mit "trojan.fasagent" und "PUM.Hijack.StartMenu"
    Log-Analyse und Auswertung - 09.07.2012 (29)
  5. Bundespolizei Ukash Trojaner ; "Xubuntu 12.04" findet Laufwerk "C" nicht.
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (1)
  6. "Licensevalidator.exe" u.A.: ESET meldet "Win32/Kryptik.ADPW trojan" sowie "Win32/Gataka.A trojan"
    Log-Analyse und Auswertung - 12.04.2012 (21)
  7. Startseite fehlerhaft, stets "NatWest" (www.nwolb.com) Trojaner "Trojan.ZBotR.Gen" gefunden
    Log-Analyse und Auswertung - 02.04.2012 (28)
  8. Überbleibsel des "Bundespolizei"/"Windows System Recovery" -Trojaners
    Log-Analyse und Auswertung - 25.11.2011 (47)
  9. viren "Trojan:Win32/Bumat!rts" und "Exploit Java/CVE-2010-0840.ew" auf Laptop
    Plagegeister aller Art und deren Bekämpfung - 05.10.2011 (8)
  10. Malwarereinigung: "TR/Kazy.25747.40", "Trojan.Downloader..." und "Backdoor: Win32Cycbot.B"
    Log-Analyse und Auswertung - 09.06.2011 (1)
  11. "0.05870814618642739.exe" ("Win32:Trojan-gen") in "C:\Users\***\AppData\Local\Temp\"
    Plagegeister aller Art und deren Bekämpfung - 02.01.2011 (25)
  12. "Trojan.Vundo-Variant/F" in Datei "C:\Windows\Syswow64\avsredirect.dll" + vorher weitere Schädlinge
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (15)
  13. Wie kann ich "Trojan.Heur.Vundo.by4@dCgCSGe" entfernen?
    Plagegeister aller Art und deren Bekämpfung - 31.12.2009 (1)
  14. Trojaner: Gen:Trojan.Heur.Vundo.by4@dCgCSGe - "svchost.exe"
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (1)
  15. Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe"
    Plagegeister aller Art und deren Bekämpfung - 28.12.2009 (28)
  16. AVG findet "Trojan horse Generic15.EAM", Antimalware "Trojan.Agent" + "Rootkit.Agent"
    Plagegeister aller Art und deren Bekämpfung - 03.11.2009 (13)
  17. Trojan.Vundo und "?" beim HFT
    Plagegeister aller Art und deren Bekämpfung - 25.11.2008 (0)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Verschlüsselungstrojaner "Bundespolizei" Trojan.Vundo - Hallo Trojaner Board ! Zunächst vorab: Ein guter Bekannter und Nachbar hat sich an mich gewandt, ob ich ihm bei seinem Problem helfen kann. Er ist Pensionär und nicht geübt - Verschlüsselungstrojaner "Bundespolizei" Trojan.Vundo...
Archiv
Du betrachtest: Verschlüsselungstrojaner "Bundespolizei" Trojan.Vundo auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131