Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Lösegeldtrojaner

Lösegeldtrojaner


Plagegeister aller Art und deren Bekämpfung: Lösegeldtrojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 25.05.2014, 18:59   #1
fredde
 
Lösegeldtrojaner - Standard

Lösegeldtrojaner


Hallo,
ich hoffe ihr könnt mir helfen. ich habe auf einem Familienrechner mit XP einen Lösegeldtrojaner gefunden und brauche dringend Hilfe. Scheinbar sind alle Dateien verschlüsselt.

Ich habe die gewünschten Logs angefügt.
Mit freundlichen Grüßen fredde
Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 19:26 on 25/05/2014 (Administrator)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:25-05-2014 01
Ran by Administrator (administrator) on U-A8BFC738B4404 on 25-05-2014 19:49:01
Running from C:\Dokumente und Einstellungen\Administrator\Desktop\viren
Platform: Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Normal

The only official download link for FRST:
Download link for 32-Bit version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/ 
Download link for 64-Bit Version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/ 
Download link from any site other than Bleeping Computer is unpermitted or outdated.
See tutorial for FRST: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(AVG Technologies CZ, s.r.o.) C:\PROGRA~1\AVG\AVG2012\avgrsx.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgcsrvx.exe
(Microsoft Corporation) C:\Programme\Windows SteadyState\SCTSvc.exe
(brother Industries Ltd) C:\WINDOWS\system32\BRSVC01A.EXE
(brother Industries Ltd) C:\WINDOWS\system32\BRSS01A.EXE
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avguard.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgwdsvc.exe
(Sun Microsystems, Inc.) C:\Programme\Java\jre6\bin\jqs.exe
(Yahoo! Inc.) C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
(Canon Inc.) C:\Programme\Canon\CAL\CALMAIN.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avshadow.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe
(Intel Corporation) C:\WINDOWS\system32\igfxtray.exe
(Intel Corporation) C:\WINDOWS\system32\hkcmd.exe
(Intel Corporation) C:\WINDOWS\system32\igfxpers.exe
(Intel Corporation) C:\WINDOWS\system32\igfxsrvc.exe
(Realtek Semiconductor Corp.) C:\WINDOWS\RTHDCPL.exe
(Microsoft Corporation) C:\Programme\Windows SteadyState\Bubble.exe
(Microsoft Corporation) C:\WINDOWS\system32\wbem\unsecapp.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgtray.exe
(Microsoft Corporation) C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
(Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe
(Sun Microsystems, Inc.) C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
(SONIX) C:\WINDOWS\tsnpstd3.exe
() C:\WINDOWS\vsnpstd3.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avgnt.exe
() C:\Programme\Canon\ImageBrowser EX\MFManager.exe
(Microsoft Corporation) C:\WINDOWS\system32\wuauclt.exe
(Adobe Systems Incorporated) C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
(Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe
(Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe
(Yahoo! Inc.) C:\Programme\Yahoo!\Companion\Installs\cpn0\ytbb.exe
(Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe
(Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe


==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RTHDCPL] => C:\WINDOWS\RTHDCPL.EXE [16876032 2008-07-03] (Realtek Semiconductor Corp.)
HKLM\...\Run: [Alcmtr] => C:\WINDOWS\ALCMTR.EXE [57344 2008-06-19] (Realtek Semiconductor Corp.)
HKLM\...\Run: [Bubble] => C:\Programme\Windows SteadyState\Bubble.exe [182288 2008-05-30] (Microsoft Corporation)
HKLM\...\Run: [Logoff] => C:\Programme\Windows SteadyState\SCTUINotify.exe [163856 2008-05-30] (Microsoft Corporation)
HKLM\...\Run: [AVG_TRAY] => C:\Programme\AVG\AVG2012\avgtray.exe [2598520 2012-11-19] (AVG Technologies CZ, s.r.o.)
HKLM\...\Run: [GrooveMonitor] => C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
HKLM\...\Run: [SunJavaUpdateSched] => C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [249064 2010-10-29] (Sun Microsystems, Inc.)
HKLM\...\Run: [tsnpstd3] => C:\WINDOWS\tsnpstd3.exe [262144 2007-03-30] (SONIX)
HKLM\...\Run: [snpstd3] => C:\WINDOWS\vsnpstd3.exe [843776 2006-09-18] ()
HKLM\...\Run: [UCam_Menu] => C:\Programme\\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe [218408 2008-12-03] (CyberLink Corp.)
HKLM\...\Run: [Adobe Reader Speed Launcher] => C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [38872 2012-07-31] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] => C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [avgnt] => C:\Programme\Avira\AntiVir Desktop\avgnt.exe [689744 2014-02-20] (Avira Operations GmbH & Co. KG)
Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ImageBrowser EX Agent.lnk
ShortcutTarget: ImageBrowser EX Agent.lnk -> C:\Programme\Canon\ImageBrowser EX\MFManager.exe ()
Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\DECRYPT_INSTRUCTION.HTML ()
Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\DECRYPT_INSTRUCTION.TXT ()
InternetURL: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\DECRYPT_INSTRUCTION.URL -> https://kpai7ycr7jxqkilp.torexplorer.com/5z9t
Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\OneNote Inhaltsverzeichnis.onetoc2 ()

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0xB47DE8493E78CF01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
URLSearchHook: HKCU - YTNavAssistPlugin Class - {81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)
BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO: AVG Do Not Track - {31332EEF-CB9F-458F-AFEB-D30E9A66B6BA} - C:\Programme\AVG\AVG2012\avgdtiex.dll (AVG Technologies CZ, s.r.o.)
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll (Yahoo! Inc)
Toolbar: HKLM - Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-0014-0002-0001-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG2012\avgpp.dll (AVG Technologies CZ, s.r.o.)
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
Winsock: Catalog9 01 C:\Programme\Avira\AntiVir Desktop\avsda.dll [257608] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 02 C:\Programme\Avira\AntiVir Desktop\avsda.dll [257608] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 16 C:\Programme\Avira\AntiVir Desktop\avsda.dll [257608] (Avira Operations GmbH & Co. KG)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

FireFox:
========
FF ProfilePath: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default
FF Plugin: @canon.com/MycameraPlugin - C:\Programme\Canon\MyCamera Download Plugin\NPCIG.dll (CANON INC.)
FF Plugin: @java.com/JavaPlugin - C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Programme\Microsoft Silverlight\5.1.30214.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: Adobe Reader - C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Extension: No Name - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default\Extensions\staged-xpis [2014-02-18]
FF Extension: No Name - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b} [2014-02-18]
FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Programme\Java\jre6\lib\deploy\jqs\ff
FF Extension: Java Quick Starter - C:\Programme\Java\jre6\lib\deploy\jqs\ff [2011-01-29]
FF HKLM\...\Firefox\Extensions: [{F53C93F1-07D5-430c-86D4-C9531B27DFAF}] - C:\Programme\AVG\AVG2012\Firefox\DoNotTrack\
FF Extension: AVG Do Not Track - C:\Programme\AVG\AVG2012\Firefox\DoNotTrack\ []
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ []
FF StartMenuInternet: FIREFOX.EXE - C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Anwendungsdaten\Mozilla Firefox\firefox.exe

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Programme\Avira\AntiVir Desktop\sched.exe [440400 2014-02-20] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Programme\Avira\AntiVir Desktop\avguard.exe [440400 2014-02-20] (Avira Operations GmbH & Co. KG)
R2 AntiVirWebService; C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE [1017424 2014-02-20] (Avira Operations GmbH & Co. KG)
R2 avgwd; C:\Programme\AVG\AVG2012\avgwdsvc.exe [193288 2012-02-14] (AVG Technologies CZ, s.r.o.)
R2 Brother XP spl Service; C:\WINDOWS\system32\brsvc01a.exe [57344 2002-04-12] (brother Industries Ltd)
R2 CCALib8; C:\Programme\Canon\CAL\CALMAIN.exe [96334 2009-09-08] (Canon Inc.)
R2 JavaQuickStarterService; C:\Programme\Java\jre6\bin\jqs.exe [153376 2011-02-02] (Sun Microsystems, Inc.)
S3 Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [64856 2009-02-26] (Microsoft Corporation)
S3 odserv; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [440696 2011-07-20] (Microsoft Corporation)
S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [145184 2006-10-26] (Microsoft Corporation)
S2 SkypeUpdate; C:\Programme\Skype\Updater\Updater.exe [172192 2013-10-23] (Skype Technologies)
R2 Windows SteadyState; C:\Programme\Windows SteadyState\SCTSvc.exe [115728 2008-05-30] (Microsoft Corporation)
R2 YahooAUService; C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe [602392 2008-11-09] (Yahoo! Inc.)

==================== Drivers (Whitelisted) ====================

R3 AtcL001; C:\WINDOWS\System32\DRIVERS\l151x86.sys [37376 2008-11-12] (Atheros Communications, Inc.)
R0 AVGIDSHX; C:\WINDOWS\System32\DRIVERS\avgidshx.sys [24896 2012-04-19] (AVG Technologies CZ, s.r.o. )
R1 Avgldx86; C:\WINDOWS\System32\DRIVERS\avgldx86.sys [250080 2012-11-08] (AVG Technologies CZ, s.r.o.)
R1 Avgmfx86; C:\WINDOWS\System32\DRIVERS\avgmfx86.sys [41040 2011-12-23] (AVG Technologies CZ, s.r.o.)
R2 avgntflt; C:\WINDOWS\System32\DRIVERS\avgntflt.sys [90400 2013-12-21] (Avira Operations GmbH & Co. KG)
R0 Avgrkx86; C:\WINDOWS\System32\DRIVERS\avgrkx86.sys [31952 2012-01-31] (AVG Technologies CZ, s.r.o.)
R1 avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [135648 2013-12-21] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\WINDOWS\System32\DRIVERS\avkmgr.sys [37352 2013-11-19] (Avira Operations GmbH & Co. KG)
S3 CCDECODE; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [17024 2008-04-14] (Microsoft Corporation)
R3 MTsensor; C:\WINDOWS\System32\DRIVERS\ASACPI.sys [5810 2004-08-13] ()
S3 NdisIP; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [10880 2008-04-14] (Microsoft Corporation)
R3 SNPSTD3; C:\WINDOWS\System32\DRIVERS\snpstd3.sys [10246144 2007-04-13] (Sonix Co. Ltd.)
R1 ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [28520 2013-08-11] (Avira GmbH)
S4 IntelIde; No ImagePath
U1 WS2IFSL; 
U3 kfpcrpod; \??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kfpcrpod.sys [X]
U3 kfpcrpog; \??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kfpcrpog.sys [X]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-05-25 19:26 - 2014-05-25 19:26 - 00000000 _____ () C:\Dokumente und Einstellungen\Administrator\defogger_reenable
2014-05-25 19:17 - 2014-05-25 19:49 - 00000000 ____D () C:\FRST
2014-05-25 19:14 - 2014-05-25 19:14 - 00000000 _____ () C:\Dokumente und Einstellungen\ulli\defogger_reenable
2014-05-25 16:16 - 2014-05-25 16:17 - 00000432 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.URL
2014-05-25 16:16 - 2014-05-25 16:16 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.HTML
2014-05-25 16:16 - 2014-05-25 16:16 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.TXT
2014-05-25 16:06 - 2014-05-25 16:06 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\TuneUp Software
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.URL
2014-05-25 09:55 - 2014-05-25 09:55 - 00000000 ____D () C:\Dokumente und Einstellungen\installieren\Anwendungsdaten\CANON INC
2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 09:16 - 2014-05-25 09:46 - 00030744 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Tröde.xls
2014-05-15 15:48 - 2014-05-15 15:48 - 00000000 ____D () C:\Programme\Gemeinsame Dateien\DESIGNER
2014-05-14 15:04 - 2014-05-14 15:04 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\Canon Utilities
2014-05-04 08:51 - 2014-05-04 08:52 - 00005589 _____ () C:\WINDOWS\KB2964358-IE8.log
2014-04-25 11:36 - 2014-04-25 11:36 - 01069776 _____ (Solid State Networks) C:\Dokumente und Einstellungen\ulli\Desktop\install_flashplayer13x32_chra_aaa_aih.exe

==================== One Month Modified Files and Folders =======

2014-05-25 19:49 - 2014-05-25 19:17 - 00000000 ____D () C:\FRST
2014-05-25 19:26 - 2014-05-25 19:26 - 00000000 _____ () C:\Dokumente und Einstellungen\Administrator\defogger_reenable
2014-05-25 19:26 - 2011-01-29 15:36 - 00000000 ____D () C:\Dokumente und Einstellungen\Administrator
2014-05-25 19:25 - 2011-01-28 17:22 - 01356680 _____ () C:\WINDOWS\WindowsUpdate.log
2014-05-25 19:24 - 2014-03-31 14:45 - 00000236 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP –  Benachrichtigung – Anmeldung.job
2014-05-25 19:24 - 2012-01-27 17:35 - 00000384 _____ () C:\WINDOWS\Tasks\Final Media Player Update Checker.job
2014-05-25 19:24 - 2011-01-28 16:43 - 00000159 _____ () C:\WINDOWS\wiadebug.log
2014-05-25 19:24 - 2011-01-28 16:43 - 00000050 _____ () C:\WINDOWS\wiaservc.log
2014-05-25 19:24 - 2008-04-14 14:00 - 00013646 _____ () C:\WINDOWS\system32\wpa.dbl
2014-05-25 19:23 - 2011-01-28 17:30 - 00000006 ____H () C:\WINDOWS\Tasks\SA.DAT
2014-05-25 19:22 - 2011-01-28 19:26 - 00000190 ___SH () C:\Dokumente und Einstellungen\ulli\ntuser.ini
2014-05-25 19:22 - 2011-01-28 19:26 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli
2014-05-25 19:22 - 2011-01-28 17:30 - 00032590 _____ () C:\WINDOWS\SchedLgU.Txt
2014-05-25 19:14 - 2014-05-25 19:14 - 00000000 _____ () C:\Dokumente und Einstellungen\ulli\defogger_reenable
2014-05-25 19:00 - 2012-05-17 14:11 - 00000884 _____ () C:\WINDOWS\Tasks\Adobe Flash Player Updater.job
2014-05-25 18:49 - 2011-03-05 10:39 - 00000000 ____D () C:\WINDOWS\system32\NtmsData
2014-05-25 18:31 - 2011-01-29 12:24 - 00000000 ____D () C:\WINDOWS\system32\Drivers\AVG
2014-05-25 18:27 - 2011-01-28 17:21 - 00000000 ____D () C:\WINDOWS\Registration
2014-05-25 16:17 - 2014-05-25 16:16 - 00000432 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.URL
2014-05-25 16:16 - 2014-05-25 16:16 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.HTML
2014-05-25 16:16 - 2014-05-25 16:16 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.TXT
2014-05-25 16:16 - 2011-01-28 19:26 - 00000000 ___RD () C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart
2014-05-25 16:09 - 2011-01-28 19:26 - 00001599 _____ () C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Remoteunterstützung.lnk
2014-05-25 16:06 - 2014-05-25 16:06 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\TuneUp Software
2014-05-25 15:54 - 2011-01-28 17:48 - 00000190 ___SH () C:\Dokumente und Einstellungen\installieren\ntuser.ini
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2013-08-31 13:52 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\löcher
2014-05-25 12:15 - 2012-04-07 14:49 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\Opera
2014-05-25 12:15 - 2011-07-30 10:43 - 00000000 ___RD () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\Eigene Bilder
2014-05-25 10:37 - 2013-10-27 20:38 - 00598336 _____ () C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2014-05-25 10:13 - 2013-01-02 11:32 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Canon Utilities
2014-05-25 10:12 - 2013-01-02 11:19 - 00000000 ____D () C:\Programme\Canon
2014-05-25 09:59 - 2011-01-28 17:48 - 00000000 ___RD () C:\Dokumente und Einstellungen\installieren\Eigene Dateien\Eigene Bilder
2014-05-25 09:55 - 2014-05-25 09:55 - 00000000 ____D () C:\Dokumente und Einstellungen\installieren\Anwendungsdaten\CANON INC
2014-05-25 09:46 - 2014-05-25 09:16 - 00030744 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Tröde.xls
2014-05-25 09:25 - 2014-04-18 17:30 - 00010776 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\lfd. Kosten.xlsx
2014-05-25 09:25 - 2014-01-25 13:39 - 00167192 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Niklas 25.Januar 14.00 Uhr.odt
2014-05-25 09:25 - 2014-01-25 11:51 - 00019992 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Anmerkungen 25.01. 12 Uhr.odt
2014-05-25 09:25 - 2014-01-25 11:09 - 00166168 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Niklas 25.Januar 12.00 Uhr.odt
2014-05-25 09:25 - 2014-01-24 17:42 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Desktop\OpenOffice 4.0.1 (de) Installation Files
2014-05-25 09:25 - 2013-09-29 11:57 - 00062232 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Lebenslauf aktuell[1].odt
2014-05-25 09:25 - 2013-09-09 18:03 - 00020504 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Termine 2013-2014(1).xlsx
2014-05-25 09:25 - 2013-09-03 16:36 - 00013336 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Ausstellung.xlsx
2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 09:24 - 2014-01-25 09:27 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\OpenOffice
2014-05-25 09:24 - 2014-01-15 20:29 - 00025880 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Adressen Beerdigung.xls
2014-05-25 09:24 - 2013-01-02 11:51 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\Canon_Inc_IC
2014-05-25 09:24 - 2013-01-02 11:50 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\CANON INC
2014-05-25 09:24 - 2012-12-25 16:42 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canon_Inc_IC
2014-05-25 09:24 - 2011-08-30 17:37 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\Skype
2014-05-25 09:24 - 2011-05-07 18:37 - 00033304 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Adressen.xls
2014-05-25 09:24 - 2011-02-20 16:15 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\Adobe
2014-05-23 17:20 - 2011-07-30 10:43 - 00213504 ___SH () C:\Dokumente und Einstellungen\ulli\Desktop\Thumbs.db
2014-05-21 19:26 - 2011-01-29 11:36 - 00000000 __SHD () C:\WINDOWS\CSC
2014-05-15 16:00 - 2012-05-17 14:11 - 00692400 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerApp.exe
2014-05-15 16:00 - 2012-05-17 14:11 - 00070832 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
2014-05-15 15:51 - 2011-02-19 19:14 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2014-05-15 15:50 - 2013-07-13 20:17 - 00000000 ____D () C:\WINDOWS\system32\MRT
2014-05-15 15:48 - 2014-05-15 15:48 - 00000000 ____D () C:\Programme\Gemeinsame Dateien\DESIGNER
2014-05-15 15:48 - 2011-01-28 19:13 - 90547776 _____ (Microsoft Corporation) C:\WINDOWS\system32\MRT.exe
2014-05-14 15:04 - 2014-05-14 15:04 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\Canon Utilities
2014-05-08 15:00 - 2014-03-31 14:45 - 00000230 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job
2014-05-04 08:52 - 2014-05-04 08:51 - 00005589 _____ () C:\WINDOWS\KB2964358-IE8.log
2014-05-04 08:52 - 2011-01-28 19:14 - 00271981 _____ () C:\WINDOWS\updspapi.log
2014-05-04 08:52 - 2011-01-28 19:14 - 00000000 ____D () C:\WINDOWS\ie8updates
2014-05-04 08:52 - 2011-01-28 16:41 - 01952029 _____ () C:\WINDOWS\iis6.log
2014-05-04 08:52 - 2011-01-28 16:41 - 01767445 _____ () C:\WINDOWS\FaxSetup.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00854276 _____ () C:\WINDOWS\ocgen.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00811976 _____ () C:\WINDOWS\tsoc.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00601750 _____ () C:\WINDOWS\comsetup.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00547924 _____ () C:\WINDOWS\msmqinst.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00362459 _____ () C:\WINDOWS\ntdtcsetup.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00310362 _____ () C:\WINDOWS\netfxocm.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00122186 _____ () C:\WINDOWS\MedCtrOC.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00098013 _____ () C:\WINDOWS\ocmsn.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00089576 _____ () C:\WINDOWS\tabletoc.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00088627 _____ () C:\WINDOWS\msgsocm.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00001355 _____ () C:\WINDOWS\imsins.log
2014-04-30 10:13 - 2008-04-14 14:00 - 06022144 ____C (Microsoft Corporation) C:\WINDOWS\system32\dllcache\mshtml.dll
2014-04-30 10:13 - 2008-04-14 14:00 - 06022144 _____ (Microsoft Corporation) C:\WINDOWS\system32\mshtml.dll
2014-04-25 11:36 - 2014-04-25 11:36 - 01069776 _____ (Solid State Networks) C:\Dokumente und Einstellungen\ulli\Desktop\install_flashplayer13x32_chra_aaa_aih.exe

Some content of TEMP:
====================
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\avgnt.exe
C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Temp\AskSLib.dll
C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Temp\avgnt.exe
C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Temp\jre-6u24-windows-i586-iftw-rv.exe
C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Temp\ose00000.exe
C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Temp\SkypeSetup.exe
C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Temp\1462015.exe
C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Temp\AskSLib.dll
C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Temp\avgnt.exe
C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Temp\FileSystemView.dll
C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Temp\install_flashplayer11x32_chra_aih.exe
C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Temp\SkypeSetup.exe


==================== Bamital & volsnap Check =================

C:\WINDOWS\explorer.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e 

C:\WINDOWS\system32\winlogon.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a 

C:\WINDOWS\system32\svchost.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366 

C:\WINDOWS\system32\services.exe
[2008-04-14 14:00] - [2009-02-09 13:21] - 0111104 ____A (Microsoft Corporation) a3edbe9053889fb24ab22492472b39dc 

C:\WINDOWS\system32\User32.dll
[2008-04-14 14:00] - [2008-04-14 14:00] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd 

C:\WINDOWS\system32\userinit.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106 

C:\WINDOWS\system32\rpcss.dll
[2008-04-14 14:00] - [2009-02-09 12:51] - 0401408 ____A (Microsoft Corporation) 3127afbf2c1ed0ab14a1bbb7aaecb85b 

 ATTENTION ======> If the system is having audio adware rpcss.dll is patched. Google the MD5, if the MD5 is unique the file is infected.
C:\WINDOWS\system32\Drivers\volsnap.sys
[2008-04-14 14:00] - [2008-04-14 14:00] - 0053760 ____A (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d 


==================== End Of Log ============================
gmer:
Code:
ATTFilter
GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2014-05-25 19:45:42
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5 ST3500418AS rev.CC35 465,76GB
Running: zqpc2eyh.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kfpcrpod.sys


---- System - GMER 2.1 ----

SSDT   BA7C39BC                                                                              ZwClose
SSDT   BA7C3976                                                                              ZwCreateKey
SSDT   BA7C39C6                                                                              ZwCreateSection
SSDT   BA7C396C                                                                              ZwCreateThread
SSDT   BA7C397B                                                                              ZwDeleteKey
SSDT   BA7C3985                                                                              ZwDeleteValueKey
SSDT   BA7C39B7                                                                              ZwDuplicateObject
SSDT   BA7C398A                                                                              ZwLoadKey
SSDT   BA7C3958                                                                              ZwOpenProcess
SSDT   BA7C395D                                                                              ZwOpenThread
SSDT   BA7C39DF                                                                              ZwQueryValueKey
SSDT   BA7C3994                                                                              ZwReplaceKey
SSDT   BA7C39D0                                                                              ZwRequestWaitReplyPort
SSDT   BA7C398F                                                                              ZwRestoreKey
SSDT   BA7C39CB                                                                              ZwSetContextThread
SSDT   BA7C39D5                                                                              ZwSetSecurityObject
SSDT   BA7C3980                                                                              ZwSetValueKey
SSDT   BA7C39DA                                                                              ZwSystemDebugControl
SSDT   BA7C3967                                                                              ZwTerminateProcess

---- Kernel code sections - GMER 2.1 ----

?      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kfpcrpog.sys                                       Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch. !

---- User code sections - GMER 2.1 ----

.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!DialogBoxParamW          7E3747AB 5 Bytes  JMP 41195545 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!SetWindowsHookExW        7E37820F 5 Bytes  JMP 41269B99 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!CallNextHookEx           7E37B3C6 5 Bytes  JMP 4125D1CD C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!CreateWindowExW          7E37D0A3 5 Bytes  JMP 4126DC24 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!UnhookWindowsHookEx      7E37D5F3 5 Bytes  JMP 411D46FC C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!DialogBoxIndirectParamW  7E382072 5 Bytes  JMP 41367997 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!MessageBoxIndirectA      7E38A082 5 Bytes  JMP 413678C9 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!DialogBoxParamA          7E38B144 5 Bytes  JMP 41367934 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!MessageBoxExW            7E3A0838 5 Bytes  JMP 4136779A C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!MessageBoxExA            7E3A085C 5 Bytes  JMP 413677FC C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!DialogBoxIndirectParamA  7E3A6D7D 5 Bytes  JMP 413679FA C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!MessageBoxIndirectW      7E3B64D5 5 Bytes  JMP 4136785E C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] ole32.dll!CoCreateInstance          774CF1D4 5 Bytes  JMP 4126DC80 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] ole32.dll!OleLoadFromStream         774F988B 5 Bytes  JMP 41367CFF C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!DialogBoxParamW          7E3747AB 5 Bytes  JMP 41195545 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!CreateWindowExW          7E37D0A3 5 Bytes  JMP 4126DC24 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!DialogBoxIndirectParamW  7E382072 5 Bytes  JMP 41367997 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!MessageBoxIndirectA      7E38A082 5 Bytes  JMP 413678C9 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!DialogBoxParamA          7E38B144 5 Bytes  JMP 41367934 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!MessageBoxExW            7E3A0838 5 Bytes  JMP 4136779A C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!MessageBoxExA            7E3A085C 5 Bytes  JMP 413677FC C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!DialogBoxIndirectParamA  7E3A6D7D 5 Bytes  JMP 413679FA C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!MessageBoxIndirectW      7E3B64D5 5 Bytes  JMP 4136785E C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!DialogBoxParamW          7E3747AB 5 Bytes  JMP 41195545 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!SetWindowsHookExW        7E37820F 5 Bytes  JMP 41269B99 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!CallNextHookEx           7E37B3C6 5 Bytes  JMP 4125D1CD C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!CreateWindowExW          7E37D0A3 5 Bytes  JMP 4126DC24 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!UnhookWindowsHookEx      7E37D5F3 5 Bytes  JMP 411D46FC C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!DialogBoxIndirectParamW  7E382072 5 Bytes  JMP 41367997 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!MessageBoxIndirectA      7E38A082 5 Bytes  JMP 413678C9 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!DialogBoxParamA          7E38B144 5 Bytes  JMP 41367934 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!MessageBoxExW            7E3A0838 5 Bytes  JMP 4136779A C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!MessageBoxExA            7E3A085C 5 Bytes  JMP 413677FC C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!DialogBoxIndirectParamA  7E3A6D7D 5 Bytes  JMP 413679FA C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!MessageBoxIndirectW      7E3B64D5 5 Bytes  JMP 4136785E C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] ole32.dll!CoCreateInstance          774CF1D4 5 Bytes  JMP 4126DC80 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] ole32.dll!OleLoadFromStream         774F988B 5 Bytes  JMP 41367CFF C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!DialogBoxParamW          7E3747AB 5 Bytes  JMP 41195545 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!SetWindowsHookExW        7E37820F 5 Bytes  JMP 41269B99 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!CallNextHookEx           7E37B3C6 5 Bytes  JMP 4125D1CD C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!CreateWindowExW          7E37D0A3 5 Bytes  JMP 4126DC24 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!UnhookWindowsHookEx      7E37D5F3 5 Bytes  JMP 411D46FC C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!DialogBoxIndirectParamW  7E382072 5 Bytes  JMP 41367997 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!MessageBoxIndirectA      7E38A082 5 Bytes  JMP 413678C9 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!DialogBoxParamA          7E38B144 5 Bytes  JMP 41367934 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!MessageBoxExW            7E3A0838 5 Bytes  JMP 4136779A C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!MessageBoxExA            7E3A085C 5 Bytes  JMP 413677FC C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!DialogBoxIndirectParamA  7E3A6D7D 5 Bytes  JMP 413679FA C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!MessageBoxIndirectW      7E3B64D5 5 Bytes  JMP 4136785E C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] ole32.dll!CoCreateInstance          774CF1D4 5 Bytes  JMP 4126DC80 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] ole32.dll!OleLoadFromStream         774F988B 5 Bytes  JMP 41367CFF C:\WINDOWS\system32\IEFRAME.dll

---- EOF - GMER 2.1 ----

 

Themen zu Lösegeldtrojaner
canon, fontcache, hijack.folderoptions, hijack.tray, lösegeldtrojaner, pum.hijack.cmdprompt, pum.hijack.connectioncontrol, pum.hijack.explorer, pum.hijack.regedit, rojaner gefunden, tr/crypt.xpack.68064


« microsoft essentials update nicht möglich aufgrund eines Schädlings. | Windows 7, Chrome : Probleme mit Werbung, Pop-Ups, Erweiterungen die sich nicht löschen lassen »


Ähnliche Themen: Lösegeldtrojaner


  1. Lösegeldtrojaner durch Lieferschein.zip
    Log-Analyse und Auswertung - 27.05.2012 (11)
  2. Lösegeldtrojaner will 200€
    Log-Analyse und Auswertung - 22.05.2012 (3)
  3. Lösegeldtrojaner - Kein abgesicherter Modus Möglich
    Plagegeister aller Art und deren Bekämpfung - 18.05.2012 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Lösegeldtrojaner - Hallo, ich hoffe ihr könnt mir helfen. ich habe auf einem Familienrechner mit XP einen Lösegeldtrojaner gefunden und brauche dringend Hilfe. Scheinbar sind alle Dateien verschlüsselt. Ich habe die gewünschten - Lösegeldtrojaner...
Archiv
Du betrachtest: Lösegeldtrojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131