| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: LösegeldtrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
25.05.2014, 18:59
| #1 |
 |  Lösegeldtrojaner Hallo, ich hoffe ihr könnt mir helfen. ich habe auf einem Familienrechner mit XP einen Lösegeldtrojaner gefunden und brauche dringend Hilfe. Scheinbar sind alle Dateien verschlüsselt. Ich habe die gewünschten Logs angefügt. Mit freundlichen Grüßen fredde Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 19:26 on 25/05/2014 (Administrator)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
-=E.O.F=-
Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:25-05-2014 01
Ran by Administrator (administrator) on U-A8BFC738B4404 on 25-05-2014 19:49:01
Running from C:\Dokumente und Einstellungen\Administrator\Desktop\viren
Platform: Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Normal
The only official download link for FRST:
Download link for 32-Bit version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/
Download link for 64-Bit Version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/
Download link from any site other than Bleeping Computer is unpermitted or outdated.
See tutorial for FRST: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/
==================== Processes (Whitelisted) =================
(AVG Technologies CZ, s.r.o.) C:\PROGRA~1\AVG\AVG2012\avgrsx.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgcsrvx.exe
(Microsoft Corporation) C:\Programme\Windows SteadyState\SCTSvc.exe
(brother Industries Ltd) C:\WINDOWS\system32\BRSVC01A.EXE
(brother Industries Ltd) C:\WINDOWS\system32\BRSS01A.EXE
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avguard.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgwdsvc.exe
(Sun Microsystems, Inc.) C:\Programme\Java\jre6\bin\jqs.exe
(Yahoo! Inc.) C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
(Canon Inc.) C:\Programme\Canon\CAL\CALMAIN.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avshadow.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe
(Intel Corporation) C:\WINDOWS\system32\igfxtray.exe
(Intel Corporation) C:\WINDOWS\system32\hkcmd.exe
(Intel Corporation) C:\WINDOWS\system32\igfxpers.exe
(Intel Corporation) C:\WINDOWS\system32\igfxsrvc.exe
(Realtek Semiconductor Corp.) C:\WINDOWS\RTHDCPL.exe
(Microsoft Corporation) C:\Programme\Windows SteadyState\Bubble.exe
(Microsoft Corporation) C:\WINDOWS\system32\wbem\unsecapp.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgtray.exe
(Microsoft Corporation) C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
(Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe
(Sun Microsystems, Inc.) C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
(SONIX) C:\WINDOWS\tsnpstd3.exe
() C:\WINDOWS\vsnpstd3.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avgnt.exe
() C:\Programme\Canon\ImageBrowser EX\MFManager.exe
(Microsoft Corporation) C:\WINDOWS\system32\wuauclt.exe
(Adobe Systems Incorporated) C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
(Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe
(Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe
(Yahoo! Inc.) C:\Programme\Yahoo!\Companion\Installs\cpn0\ytbb.exe
(Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe
(Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe
==================== Registry (Whitelisted) ==================
HKLM\...\Run: [RTHDCPL] => C:\WINDOWS\RTHDCPL.EXE [16876032 2008-07-03] (Realtek Semiconductor Corp.)
HKLM\...\Run: [Alcmtr] => C:\WINDOWS\ALCMTR.EXE [57344 2008-06-19] (Realtek Semiconductor Corp.)
HKLM\...\Run: [Bubble] => C:\Programme\Windows SteadyState\Bubble.exe [182288 2008-05-30] (Microsoft Corporation)
HKLM\...\Run: [Logoff] => C:\Programme\Windows SteadyState\SCTUINotify.exe [163856 2008-05-30] (Microsoft Corporation)
HKLM\...\Run: [AVG_TRAY] => C:\Programme\AVG\AVG2012\avgtray.exe [2598520 2012-11-19] (AVG Technologies CZ, s.r.o.)
HKLM\...\Run: [GrooveMonitor] => C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
HKLM\...\Run: [SunJavaUpdateSched] => C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [249064 2010-10-29] (Sun Microsystems, Inc.)
HKLM\...\Run: [tsnpstd3] => C:\WINDOWS\tsnpstd3.exe [262144 2007-03-30] (SONIX)
HKLM\...\Run: [snpstd3] => C:\WINDOWS\vsnpstd3.exe [843776 2006-09-18] ()
HKLM\...\Run: [UCam_Menu] => C:\Programme\\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe [218408 2008-12-03] (CyberLink Corp.)
HKLM\...\Run: [Adobe Reader Speed Launcher] => C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [38872 2012-07-31] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] => C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [avgnt] => C:\Programme\Avira\AntiVir Desktop\avgnt.exe [689744 2014-02-20] (Avira Operations GmbH & Co. KG)
Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ImageBrowser EX Agent.lnk
ShortcutTarget: ImageBrowser EX Agent.lnk -> C:\Programme\Canon\ImageBrowser EX\MFManager.exe ()
Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\DECRYPT_INSTRUCTION.HTML ()
Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\DECRYPT_INSTRUCTION.TXT ()
InternetURL: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\DECRYPT_INSTRUCTION.URL -> https://kpai7ycr7jxqkilp.torexplorer.com/5z9t
Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\OneNote Inhaltsverzeichnis.onetoc2 ()
==================== Internet (Whitelisted) ====================
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0xB47DE8493E78CF01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
URLSearchHook: HKCU - YTNavAssistPlugin Class - {81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)
BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO: AVG Do Not Track - {31332EEF-CB9F-458F-AFEB-D30E9A66B6BA} - C:\Programme\AVG\AVG2012\avgdtiex.dll (AVG Technologies CZ, s.r.o.)
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll (Yahoo! Inc)
Toolbar: HKLM - Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-0014-0002-0001-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG2012\avgpp.dll (AVG Technologies CZ, s.r.o.)
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
Winsock: Catalog9 01 C:\Programme\Avira\AntiVir Desktop\avsda.dll [257608] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 02 C:\Programme\Avira\AntiVir Desktop\avsda.dll [257608] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 16 C:\Programme\Avira\AntiVir Desktop\avsda.dll [257608] (Avira Operations GmbH & Co. KG)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1
FireFox:
========
FF ProfilePath: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default
FF Plugin: @canon.com/MycameraPlugin - C:\Programme\Canon\MyCamera Download Plugin\NPCIG.dll (CANON INC.)
FF Plugin: @java.com/JavaPlugin - C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Programme\Microsoft Silverlight\5.1.30214.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: Adobe Reader - C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Extension: No Name - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default\Extensions\staged-xpis [2014-02-18]
FF Extension: No Name - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b} [2014-02-18]
FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Programme\Java\jre6\lib\deploy\jqs\ff
FF Extension: Java Quick Starter - C:\Programme\Java\jre6\lib\deploy\jqs\ff [2011-01-29]
FF HKLM\...\Firefox\Extensions: [{F53C93F1-07D5-430c-86D4-C9531B27DFAF}] - C:\Programme\AVG\AVG2012\Firefox\DoNotTrack\
FF Extension: AVG Do Not Track - C:\Programme\AVG\AVG2012\Firefox\DoNotTrack\ []
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ []
FF StartMenuInternet: FIREFOX.EXE - C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Anwendungsdaten\Mozilla Firefox\firefox.exe
========================== Services (Whitelisted) =================
R2 AntiVirSchedulerService; C:\Programme\Avira\AntiVir Desktop\sched.exe [440400 2014-02-20] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Programme\Avira\AntiVir Desktop\avguard.exe [440400 2014-02-20] (Avira Operations GmbH & Co. KG)
R2 AntiVirWebService; C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE [1017424 2014-02-20] (Avira Operations GmbH & Co. KG)
R2 avgwd; C:\Programme\AVG\AVG2012\avgwdsvc.exe [193288 2012-02-14] (AVG Technologies CZ, s.r.o.)
R2 Brother XP spl Service; C:\WINDOWS\system32\brsvc01a.exe [57344 2002-04-12] (brother Industries Ltd)
R2 CCALib8; C:\Programme\Canon\CAL\CALMAIN.exe [96334 2009-09-08] (Canon Inc.)
R2 JavaQuickStarterService; C:\Programme\Java\jre6\bin\jqs.exe [153376 2011-02-02] (Sun Microsystems, Inc.)
S3 Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [64856 2009-02-26] (Microsoft Corporation)
S3 odserv; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [440696 2011-07-20] (Microsoft Corporation)
S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [145184 2006-10-26] (Microsoft Corporation)
S2 SkypeUpdate; C:\Programme\Skype\Updater\Updater.exe [172192 2013-10-23] (Skype Technologies)
R2 Windows SteadyState; C:\Programme\Windows SteadyState\SCTSvc.exe [115728 2008-05-30] (Microsoft Corporation)
R2 YahooAUService; C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe [602392 2008-11-09] (Yahoo! Inc.)
==================== Drivers (Whitelisted) ====================
R3 AtcL001; C:\WINDOWS\System32\DRIVERS\l151x86.sys [37376 2008-11-12] (Atheros Communications, Inc.)
R0 AVGIDSHX; C:\WINDOWS\System32\DRIVERS\avgidshx.sys [24896 2012-04-19] (AVG Technologies CZ, s.r.o. )
R1 Avgldx86; C:\WINDOWS\System32\DRIVERS\avgldx86.sys [250080 2012-11-08] (AVG Technologies CZ, s.r.o.)
R1 Avgmfx86; C:\WINDOWS\System32\DRIVERS\avgmfx86.sys [41040 2011-12-23] (AVG Technologies CZ, s.r.o.)
R2 avgntflt; C:\WINDOWS\System32\DRIVERS\avgntflt.sys [90400 2013-12-21] (Avira Operations GmbH & Co. KG)
R0 Avgrkx86; C:\WINDOWS\System32\DRIVERS\avgrkx86.sys [31952 2012-01-31] (AVG Technologies CZ, s.r.o.)
R1 avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [135648 2013-12-21] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\WINDOWS\System32\DRIVERS\avkmgr.sys [37352 2013-11-19] (Avira Operations GmbH & Co. KG)
S3 CCDECODE; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [17024 2008-04-14] (Microsoft Corporation)
R3 MTsensor; C:\WINDOWS\System32\DRIVERS\ASACPI.sys [5810 2004-08-13] ()
S3 NdisIP; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [10880 2008-04-14] (Microsoft Corporation)
R3 SNPSTD3; C:\WINDOWS\System32\DRIVERS\snpstd3.sys [10246144 2007-04-13] (Sonix Co. Ltd.)
R1 ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [28520 2013-08-11] (Avira GmbH)
S4 IntelIde; No ImagePath
U1 WS2IFSL;
U3 kfpcrpod; \??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kfpcrpod.sys [X]
U3 kfpcrpog; \??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kfpcrpog.sys [X]
==================== NetSvcs (Whitelisted) ===================
==================== One Month Created Files and Folders ========
2014-05-25 19:26 - 2014-05-25 19:26 - 00000000 _____ () C:\Dokumente und Einstellungen\Administrator\defogger_reenable
2014-05-25 19:17 - 2014-05-25 19:49 - 00000000 ____D () C:\FRST
2014-05-25 19:14 - 2014-05-25 19:14 - 00000000 _____ () C:\Dokumente und Einstellungen\ulli\defogger_reenable
2014-05-25 16:16 - 2014-05-25 16:17 - 00000432 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.URL
2014-05-25 16:16 - 2014-05-25 16:16 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.HTML
2014-05-25 16:16 - 2014-05-25 16:16 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.TXT
2014-05-25 16:06 - 2014-05-25 16:06 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\TuneUp Software
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.URL
2014-05-25 09:55 - 2014-05-25 09:55 - 00000000 ____D () C:\Dokumente und Einstellungen\installieren\Anwendungsdaten\CANON INC
2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 09:16 - 2014-05-25 09:46 - 00030744 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Tröde.xls
2014-05-15 15:48 - 2014-05-15 15:48 - 00000000 ____D () C:\Programme\Gemeinsame Dateien\DESIGNER
2014-05-14 15:04 - 2014-05-14 15:04 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\Canon Utilities
2014-05-04 08:51 - 2014-05-04 08:52 - 00005589 _____ () C:\WINDOWS\KB2964358-IE8.log
2014-04-25 11:36 - 2014-04-25 11:36 - 01069776 _____ (Solid State Networks) C:\Dokumente und Einstellungen\ulli\Desktop\install_flashplayer13x32_chra_aaa_aih.exe
==================== One Month Modified Files and Folders =======
2014-05-25 19:49 - 2014-05-25 19:17 - 00000000 ____D () C:\FRST
2014-05-25 19:26 - 2014-05-25 19:26 - 00000000 _____ () C:\Dokumente und Einstellungen\Administrator\defogger_reenable
2014-05-25 19:26 - 2011-01-29 15:36 - 00000000 ____D () C:\Dokumente und Einstellungen\Administrator
2014-05-25 19:25 - 2011-01-28 17:22 - 01356680 _____ () C:\WINDOWS\WindowsUpdate.log
2014-05-25 19:24 - 2014-03-31 14:45 - 00000236 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Benachrichtigung – Anmeldung.job
2014-05-25 19:24 - 2012-01-27 17:35 - 00000384 _____ () C:\WINDOWS\Tasks\Final Media Player Update Checker.job
2014-05-25 19:24 - 2011-01-28 16:43 - 00000159 _____ () C:\WINDOWS\wiadebug.log
2014-05-25 19:24 - 2011-01-28 16:43 - 00000050 _____ () C:\WINDOWS\wiaservc.log
2014-05-25 19:24 - 2008-04-14 14:00 - 00013646 _____ () C:\WINDOWS\system32\wpa.dbl
2014-05-25 19:23 - 2011-01-28 17:30 - 00000006 ____H () C:\WINDOWS\Tasks\SA.DAT
2014-05-25 19:22 - 2011-01-28 19:26 - 00000190 ___SH () C:\Dokumente und Einstellungen\ulli\ntuser.ini
2014-05-25 19:22 - 2011-01-28 19:26 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli
2014-05-25 19:22 - 2011-01-28 17:30 - 00032590 _____ () C:\WINDOWS\SchedLgU.Txt
2014-05-25 19:14 - 2014-05-25 19:14 - 00000000 _____ () C:\Dokumente und Einstellungen\ulli\defogger_reenable
2014-05-25 19:00 - 2012-05-17 14:11 - 00000884 _____ () C:\WINDOWS\Tasks\Adobe Flash Player Updater.job
2014-05-25 18:49 - 2011-03-05 10:39 - 00000000 ____D () C:\WINDOWS\system32\NtmsData
2014-05-25 18:31 - 2011-01-29 12:24 - 00000000 ____D () C:\WINDOWS\system32\Drivers\AVG
2014-05-25 18:27 - 2011-01-28 17:21 - 00000000 ____D () C:\WINDOWS\Registration
2014-05-25 16:17 - 2014-05-25 16:16 - 00000432 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.URL
2014-05-25 16:16 - 2014-05-25 16:16 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.HTML
2014-05-25 16:16 - 2014-05-25 16:16 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.TXT
2014-05-25 16:16 - 2011-01-28 19:26 - 00000000 ___RD () C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart
2014-05-25 16:09 - 2011-01-28 19:26 - 00001599 _____ () C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Remoteunterstützung.lnk
2014-05-25 16:06 - 2014-05-25 16:06 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\TuneUp Software
2014-05-25 15:54 - 2011-01-28 17:48 - 00000190 ___SH () C:\Dokumente und Einstellungen\installieren\ntuser.ini
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2013-08-31 13:52 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\löcher
2014-05-25 12:15 - 2012-04-07 14:49 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\Opera
2014-05-25 12:15 - 2011-07-30 10:43 - 00000000 ___RD () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\Eigene Bilder
2014-05-25 10:37 - 2013-10-27 20:38 - 00598336 _____ () C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2014-05-25 10:13 - 2013-01-02 11:32 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Canon Utilities
2014-05-25 10:12 - 2013-01-02 11:19 - 00000000 ____D () C:\Programme\Canon
2014-05-25 09:59 - 2011-01-28 17:48 - 00000000 ___RD () C:\Dokumente und Einstellungen\installieren\Eigene Dateien\Eigene Bilder
2014-05-25 09:55 - 2014-05-25 09:55 - 00000000 ____D () C:\Dokumente und Einstellungen\installieren\Anwendungsdaten\CANON INC
2014-05-25 09:46 - 2014-05-25 09:16 - 00030744 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Tröde.xls
2014-05-25 09:25 - 2014-04-18 17:30 - 00010776 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\lfd. Kosten.xlsx
2014-05-25 09:25 - 2014-01-25 13:39 - 00167192 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Niklas 25.Januar 14.00 Uhr.odt
2014-05-25 09:25 - 2014-01-25 11:51 - 00019992 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Anmerkungen 25.01. 12 Uhr.odt
2014-05-25 09:25 - 2014-01-25 11:09 - 00166168 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Niklas 25.Januar 12.00 Uhr.odt
2014-05-25 09:25 - 2014-01-24 17:42 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Desktop\OpenOffice 4.0.1 (de) Installation Files
2014-05-25 09:25 - 2013-09-29 11:57 - 00062232 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Lebenslauf aktuell[1].odt
2014-05-25 09:25 - 2013-09-09 18:03 - 00020504 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Termine 2013-2014(1).xlsx
2014-05-25 09:25 - 2013-09-03 16:36 - 00013336 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Ausstellung.xlsx
2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 09:24 - 2014-01-25 09:27 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\OpenOffice
2014-05-25 09:24 - 2014-01-15 20:29 - 00025880 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Adressen Beerdigung.xls
2014-05-25 09:24 - 2013-01-02 11:51 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\Canon_Inc_IC
2014-05-25 09:24 - 2013-01-02 11:50 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\CANON INC
2014-05-25 09:24 - 2012-12-25 16:42 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canon_Inc_IC
2014-05-25 09:24 - 2011-08-30 17:37 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\Skype
2014-05-25 09:24 - 2011-05-07 18:37 - 00033304 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Adressen.xls
2014-05-25 09:24 - 2011-02-20 16:15 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\Adobe
2014-05-23 17:20 - 2011-07-30 10:43 - 00213504 ___SH () C:\Dokumente und Einstellungen\ulli\Desktop\Thumbs.db
2014-05-21 19:26 - 2011-01-29 11:36 - 00000000 __SHD () C:\WINDOWS\CSC
2014-05-15 16:00 - 2012-05-17 14:11 - 00692400 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerApp.exe
2014-05-15 16:00 - 2012-05-17 14:11 - 00070832 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
2014-05-15 15:51 - 2011-02-19 19:14 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2014-05-15 15:50 - 2013-07-13 20:17 - 00000000 ____D () C:\WINDOWS\system32\MRT
2014-05-15 15:48 - 2014-05-15 15:48 - 00000000 ____D () C:\Programme\Gemeinsame Dateien\DESIGNER
2014-05-15 15:48 - 2011-01-28 19:13 - 90547776 _____ (Microsoft Corporation) C:\WINDOWS\system32\MRT.exe
2014-05-14 15:04 - 2014-05-14 15:04 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\Canon Utilities
2014-05-08 15:00 - 2014-03-31 14:45 - 00000230 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job
2014-05-04 08:52 - 2014-05-04 08:51 - 00005589 _____ () C:\WINDOWS\KB2964358-IE8.log
2014-05-04 08:52 - 2011-01-28 19:14 - 00271981 _____ () C:\WINDOWS\updspapi.log
2014-05-04 08:52 - 2011-01-28 19:14 - 00000000 ____D () C:\WINDOWS\ie8updates
2014-05-04 08:52 - 2011-01-28 16:41 - 01952029 _____ () C:\WINDOWS\iis6.log
2014-05-04 08:52 - 2011-01-28 16:41 - 01767445 _____ () C:\WINDOWS\FaxSetup.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00854276 _____ () C:\WINDOWS\ocgen.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00811976 _____ () C:\WINDOWS\tsoc.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00601750 _____ () C:\WINDOWS\comsetup.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00547924 _____ () C:\WINDOWS\msmqinst.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00362459 _____ () C:\WINDOWS\ntdtcsetup.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00310362 _____ () C:\WINDOWS\netfxocm.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00122186 _____ () C:\WINDOWS\MedCtrOC.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00098013 _____ () C:\WINDOWS\ocmsn.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00089576 _____ () C:\WINDOWS\tabletoc.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00088627 _____ () C:\WINDOWS\msgsocm.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00001355 _____ () C:\WINDOWS\imsins.log
2014-04-30 10:13 - 2008-04-14 14:00 - 06022144 ____C (Microsoft Corporation) C:\WINDOWS\system32\dllcache\mshtml.dll
2014-04-30 10:13 - 2008-04-14 14:00 - 06022144 _____ (Microsoft Corporation) C:\WINDOWS\system32\mshtml.dll
2014-04-25 11:36 - 2014-04-25 11:36 - 01069776 _____ (Solid State Networks) C:\Dokumente und Einstellungen\ulli\Desktop\install_flashplayer13x32_chra_aaa_aih.exe
Some content of TEMP:
====================
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\avgnt.exe
C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Temp\AskSLib.dll
C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Temp\avgnt.exe
C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Temp\jre-6u24-windows-i586-iftw-rv.exe
C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Temp\ose00000.exe
C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Temp\SkypeSetup.exe
C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Temp\1462015.exe
C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Temp\AskSLib.dll
C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Temp\avgnt.exe
C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Temp\FileSystemView.dll
C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Temp\install_flashplayer11x32_chra_aih.exe
C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Temp\SkypeSetup.exe
==================== Bamital & volsnap Check =================
C:\WINDOWS\explorer.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e
C:\WINDOWS\system32\winlogon.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a
C:\WINDOWS\system32\svchost.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366
C:\WINDOWS\system32\services.exe
[2008-04-14 14:00] - [2009-02-09 13:21] - 0111104 ____A (Microsoft Corporation) a3edbe9053889fb24ab22492472b39dc
C:\WINDOWS\system32\User32.dll
[2008-04-14 14:00] - [2008-04-14 14:00] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd
C:\WINDOWS\system32\userinit.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106
C:\WINDOWS\system32\rpcss.dll
[2008-04-14 14:00] - [2009-02-09 12:51] - 0401408 ____A (Microsoft Corporation) 3127afbf2c1ed0ab14a1bbb7aaecb85b
ATTENTION ======> If the system is having audio adware rpcss.dll is patched. Google the MD5, if the MD5 is unique the file is infected.
C:\WINDOWS\system32\Drivers\volsnap.sys
[2008-04-14 14:00] - [2008-04-14 14:00] - 0053760 ____A (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d
==================== End Of Log ============================
Code:
ATTFilter GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2014-05-25 19:45:42
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5 ST3500418AS rev.CC35 465,76GB
Running: zqpc2eyh.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kfpcrpod.sys
---- System - GMER 2.1 ----
SSDT BA7C39BC ZwClose
SSDT BA7C3976 ZwCreateKey
SSDT BA7C39C6 ZwCreateSection
SSDT BA7C396C ZwCreateThread
SSDT BA7C397B ZwDeleteKey
SSDT BA7C3985 ZwDeleteValueKey
SSDT BA7C39B7 ZwDuplicateObject
SSDT BA7C398A ZwLoadKey
SSDT BA7C3958 ZwOpenProcess
SSDT BA7C395D ZwOpenThread
SSDT BA7C39DF ZwQueryValueKey
SSDT BA7C3994 ZwReplaceKey
SSDT BA7C39D0 ZwRequestWaitReplyPort
SSDT BA7C398F ZwRestoreKey
SSDT BA7C39CB ZwSetContextThread
SSDT BA7C39D5 ZwSetSecurityObject
SSDT BA7C3980 ZwSetValueKey
SSDT BA7C39DA ZwSystemDebugControl
SSDT BA7C3967 ZwTerminateProcess
---- Kernel code sections - GMER 2.1 ----
? C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kfpcrpog.sys Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch. !
---- User code sections - GMER 2.1 ----
.text C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195545 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269B99 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D1CD C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DC24 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D46FC C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41367997 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 413678C9 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 41367934 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4136779A C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 413677FC C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 413679FA C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 4136785E C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[2256] ole32.dll!CoCreateInstance 774CF1D4 5 Bytes JMP 4126DC80 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[2256] ole32.dll!OleLoadFromStream 774F988B 5 Bytes JMP 41367CFF C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195545 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DC24 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41367997 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 413678C9 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 41367934 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4136779A C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 413677FC C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 413679FA C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 4136785E C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195545 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269B99 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D1CD C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DC24 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D46FC C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41367997 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 413678C9 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 41367934 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4136779A C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 413677FC C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 413679FA C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 4136785E C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[4044] ole32.dll!CoCreateInstance 774CF1D4 5 Bytes JMP 4126DC80 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[4044] ole32.dll!OleLoadFromStream 774F988B 5 Bytes JMP 41367CFF C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195545 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269B99 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D1CD C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DC24 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D46FC C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41367997 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 413678C9 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 41367934 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4136779A C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 413677FC C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 413679FA C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 4136785E C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[5524] ole32.dll!CoCreateInstance 774CF1D4 5 Bytes JMP 4126DC80 C:\WINDOWS\system32\IEFRAME.dll
.text C:\Programme\Internet Explorer\iexplore.exe[5524] ole32.dll!OleLoadFromStream 774F988B 5 Bytes JMP 41367CFF C:\WINDOWS\system32\IEFRAME.dll
---- EOF - GMER 2.1 ----
|
|
26.05.2014, 06:28
| #2 |
| /// the machine /// TB-Ausbilder    | Lösegeldtrojaner hi,
__________________Addition.txt fehlt noch.
__________________ |
|
26.05.2014, 15:02
| #3 |
| | Lösegeldtrojaner hi,
__________________sorry. hab die auch nicht mehr gefunden und von frst eine neue anlegen lassen: Code:
ATTFilter Additional scan result of Farbar Recovery Scan Tool (x86) Version:25-05-2014 01
Ran by Administrator at 2014-05-26 15:58:04
Running from C:\Dokumente und Einstellungen\Administrator\Desktop\viren
Boot Mode: Normal
==========================================================
==================== Security Center ========================
AV: AVG Anti-Virus Free Edition 2012 (Disabled - Up to date) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
AV: Avira Desktop (Disabled - Up to date) {AD166499-45F9-482A-A743-FDD3350758C7}
==================== Installed Programs ======================
Adobe Flash Player 13 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 13.0.0.214 - Adobe Systems Incorporated)
Adobe Reader 9.5.2 - Deutsch (HKLM\...\{AC76BA86-7AD7-1031-7B44-A95000000001}) (Version: 9.5.2 - Adobe Systems Incorporated)
AVG 2011 (Version: 10.0.1204 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1209 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1382 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1388 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1390 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1391 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1392 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1410 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1411 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1415 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1416 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1424 - AVG Technologies) Hidden
AVG 2012 (HKLM\...\AVG) (Version: 2012.1.2247 - AVG Technologies)
AVG 2012 (Version: 12.0.2197 - AVG Technologies) Hidden
AVG 2012 (Version: 12.0.2221 - AVG Technologies) Hidden
AVG 2012 (Version: 12.0.3722 - AVG Technologies) Hidden
AVG 2012 (Version: 12.1.2238 - AVG Technologies) Hidden
AVG 2012 (Version: 12.1.2240 - AVG Technologies) Hidden
AVG 2012 (Version: 12.1.2241 - AVG Technologies) Hidden
AVG 2012 (Version: 12.1.2242 - AVG Technologies) Hidden
AVG 2012 (Version: 12.1.2247 - AVG Technologies) Hidden
Avira Free Antivirus (HKLM\...\Avira AntiVir Desktop) (Version: 14.0.3.350 - Avira)
Brother HL-5030 (HKLM\...\Brother HL-5030) (Version: - )
Canon Utilities CameraWindow DC 8 (HKLM\...\CameraWindowDC) (Version: 8.8.0.17 - Canon Inc.)
Canon Utilities ImageBrowser EX (HKLM\...\ImageBrowser EX) (Version: 1.4.0.5 - Canon Inc.)
Canon Utilities PhotoStitch (HKLM\...\PhotoStitch) (Version: 3.1.23.47 - Canon Inc.)
CyberLink YouCam (HKLM\...\InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}) (Version: 2.0.2604 - CyberLink Corp.)
CyberLink YouCam (Version: 2.0.2604 - CyberLink Corp.) Hidden
dm-Fotowelt (HKLM\...\dm-Fotowelt) (Version: - )
ElsterFormular (HKLM\...\ElsterFormular) (Version: 15.0.20140212 - Landesfinanzdirektion Thüringen)
File Type Assistant (HKLM\...\Trusted Software Assistant_is1) (Version: - Trusted Software) <==== ATTENTION
Final Media Player 2011 (HKLM\...\FinalMediaPlayer_is1) (Version: - Bitberry Software) <==== ATTENTION
Hotfix für Windows XP (KB2443685) (HKLM\...\KB2443685) (Version: 1 - Microsoft Corporation)
Hotfix für Windows XP (KB2570791) (HKLM\...\KB2570791) (Version: 1 - Microsoft Corporation)
Hotfix für Windows XP (KB2633952) (HKLM\...\KB2633952) (Version: 1 - Microsoft Corporation)
Hotfix für Windows XP (KB2756822) (HKLM\...\KB2756822) (Version: 1 - Microsoft Corporation)
Hotfix für Windows XP (KB2779562) (HKLM\...\KB2779562) (Version: 1 - Microsoft Corporation)
Hotfix für Windows XP (KB952287) (HKLM\...\KB952287) (Version: 1 - Microsoft Corporation)
Hotfix für Windows XP (KB961118) (HKLM\...\KB961118) (Version: 1 - Microsoft Corporation)
Intel(R) Graphics Media Accelerator Driver (HKLM\...\HDMI) (Version: - )
Java 2 Runtime Environment, SE v1.4.2_01 (HKLM\...\{7148F0A8-6813-11D6-A77B-00B0D0142010}) (Version: 1.4.2_01 - Sun Microsystems, Inc.)
Java Auto Updater (Version: 2.0.3.1 - Sun Microsystems, Inc.) Hidden
Java(TM) 6 Update 24 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216022FF}) (Version: 6.0.240 - Oracle)
Microsoft .NET Framework 2.0 Service Pack 2 (HKLM\...\{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}) (Version: 2.2.30729 - Microsoft Corporation)
Microsoft .NET Framework 3.0 Service Pack 2 (HKLM\...\{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}) (Version: 3.2.30729 - Microsoft Corporation)
Microsoft .NET Framework 3.5 SP1 (HKLM\...\Microsoft .NET Framework 3.5 SP1) (Version: - Microsoft Corporation)
Microsoft .NET Framework 3.5 SP1 (Version: 3.5.30729 - Microsoft Corporation) Hidden
Microsoft Office 2007 Service Pack 3 (SP3) (HKLM\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}) (Version: - Microsoft)
Microsoft Office 2007 Service Pack 3 (SP3) (Version: - Microsoft) Hidden
Microsoft Office Access MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Enterprise 2007 (HKLM\...\ENTERPRISE) (Version: 12.0.6612.1000 - Microsoft Corporation)
Microsoft Office Enterprise 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Excel MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Groove MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office InfoPath MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office OneNote MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Outlook MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office PowerPoint MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Proof (English) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Proof (French) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Proof (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Proof (Italian) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Proofing (German) 2007 (Version: 12.0.4518.1014 - Microsoft Corporation) Hidden
Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3) (Version: - Microsoft) Hidden
Microsoft Office Publisher MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Shared MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Word MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.30214.0 - Microsoft Corporation)
Microsoft Software Update for Web Folders (German) 12 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 (HKLM\...\{6AFCA4E1-9B78-3640-8F72-A7BF33448200}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (HKLM\...\{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (HKLM\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Mozilla Firefox (3.6.13) (HKLM\...\Mozilla Firefox (3.6.13)) (Version: 3.6.13 (de) - Mozilla)
MSN (HKLM\...\MSNINST) (Version: - )
MSXML 6.0 Parser (KB925673) (HKLM\...\{FE9126DB-5F84-495A-BB46-3C724F1C2D08}) (Version: 6.00.3888.0 - Microsoft Corporation)
OpenOffice 4.0.1 (HKLM\...\{0AEC308E-7EB3-47F7-BB59-F2C9C6166B27}) (Version: 4.01.9714 - Apache Software Foundation)
PrintFile (HKLM\...\PrintFile) (Version: - )
Realtek High Definition Audio Driver (HKLM\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 5.10.0.5657 - Realtek Semiconductor Corp.)
Recuva (HKLM\...\Recuva) (Version: 1.40 - Piriform)
Sicherheitsupdate für Microsoft Windows (KB2564958) (HKLM\...\KB2564958) (Version: - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2510531) (HKLM\...\KB2510531-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2618444) (HKLM\...\KB2618444-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2744842) (HKLM\...\KB2744842-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2862772) (HKLM\...\KB2862772-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2898785) (HKLM\...\KB2898785-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2909210) (HKLM\...\KB2909210-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2909921) (HKLM\...\KB2909921-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2925418) (HKLM\...\KB2925418-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2936068) (HKLM\...\KB2936068-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2964358) (HKLM\...\KB2964358-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB982381) (HKLM\...\KB982381-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Media Player (KB2378111) (HKLM\...\KB2378111_WM9) (Version: - Microsoft Corporation)
Sicherheitsupdate für Windows Media Player (KB2803821) (HKLM\...\KB2803821_WM9) (Version: - Microsoft Corporation)
Sicherheitsupdate für Windows Media Player (KB2803821-v2) (HKLM\...\KB2803821-v2_WM9) (Version: - Microsoft Corporation)
Sicherheitsupdate für Windows Media Player (KB952069) (HKLM\...\KB952069_WM9) (Version: - Microsoft Corporation)
Sicherheitsupdate für Windows Media Player (KB954155) (HKLM\...\KB954155_WM9) (Version: - Microsoft Corporation)
Sicherheitsupdate für Windows Media Player (KB973540) (HKLM\...\KB973540_WM9) (Version: - Microsoft Corporation)
Sicherheitsupdate für Windows Media Player (KB975558) (HKLM\...\KB975558_WM8) (Version: - Microsoft Corporation)
Sicherheitsupdate für Windows Media Player (KB978695) (HKLM\...\KB978695_WM9) (Version: - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2079403) (HKLM\...\KB2079403) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2115168) (HKLM\...\KB2115168) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2121546) (HKLM\...\KB2121546) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2229593) (HKLM\...\KB2229593) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2259922) (HKLM\...\KB2259922) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2286198) (HKLM\...\KB2286198) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2296011) (HKLM\...\KB2296011) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2296199) (HKLM\...\KB2296199) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2347290) (HKLM\...\KB2347290) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2360937) (HKLM\...\KB2360937) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2387149) (HKLM\...\KB2387149) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2393802) (HKLM\...\KB2393802) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2412687) (HKLM\...\KB2412687) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2419632) (HKLM\...\KB2419632) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2423089) (HKLM\...\KB2423089) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2436673) (HKLM\...\KB2436673) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2440591) (HKLM\...\KB2440591) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2443105) (HKLM\...\KB2443105) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2476490) (HKLM\...\KB2476490) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2476687) (HKLM\...\KB2476687) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2478960) (HKLM\...\KB2478960) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2478971) (HKLM\...\KB2478971) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2479628) (HKLM\...\KB2479628) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2479943) (HKLM\...\KB2479943) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2481109) (HKLM\...\KB2481109) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2483185) (HKLM\...\KB2483185) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2485376) (HKLM\...\KB2485376) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2485663) (HKLM\...\KB2485663) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2503658) (HKLM\...\KB2503658) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2503665) (HKLM\...\KB2503665) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2506212) (HKLM\...\KB2506212) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2506223) (HKLM\...\KB2506223) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2507618) (HKLM\...\KB2507618) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2507938) (HKLM\...\KB2507938) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2508272) (HKLM\...\KB2508272) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2508429) (HKLM\...\KB2508429) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2509553) (HKLM\...\KB2509553) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2511455) (HKLM\...\KB2511455) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2524375) (HKLM\...\KB2524375) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2535512) (HKLM\...\KB2535512) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2536276) (HKLM\...\KB2536276) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2536276-v2) (HKLM\...\KB2536276-v2) (Version: 2 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2544893) (HKLM\...\KB2544893) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2544893-v2) (HKLM\...\KB2544893-v2) (Version: 2 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2555917) (HKLM\...\KB2555917) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2562937) (HKLM\...\KB2562937) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2566454) (HKLM\...\KB2566454) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2567053) (HKLM\...\KB2567053) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2567680) (HKLM\...\KB2567680) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2570222) (HKLM\...\KB2570222) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2570947) (HKLM\...\KB2570947) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2584146) (HKLM\...\KB2584146) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2585542) (HKLM\...\KB2585542) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2592799) (HKLM\...\KB2592799) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2598479) (HKLM\...\KB2598479) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2603381) (HKLM\...\KB2603381) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2618451) (HKLM\...\KB2618451) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2619339) (HKLM\...\KB2619339) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2620712) (HKLM\...\KB2620712) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2621440) (HKLM\...\KB2621440) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2624667) (HKLM\...\KB2624667) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2631813) (HKLM\...\KB2631813) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2633171) (HKLM\...\KB2633171) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2639417) (HKLM\...\KB2639417) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2641653) (HKLM\...\KB2641653) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2646524) (HKLM\...\KB2646524) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2647518) (HKLM\...\KB2647518) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2653956) (HKLM\...\KB2653956) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2655992) (HKLM\...\KB2655992) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2659262) (HKLM\...\KB2659262) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2660465) (HKLM\...\KB2660465) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2661637) (HKLM\...\KB2661637) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2676562) (HKLM\...\KB2676562) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2685939) (HKLM\...\KB2685939) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2686509) (HKLM\...\KB2686509) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2691442) (HKLM\...\KB2691442) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2695962) (HKLM\...\KB2695962) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2698365) (HKLM\...\KB2698365) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2705219) (HKLM\...\KB2705219) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2707511) (HKLM\...\KB2707511) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2709162) (HKLM\...\KB2709162) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2712808) (HKLM\...\KB2712808) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2718523) (HKLM\...\KB2718523) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2719985) (HKLM\...\KB2719985) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2723135) (HKLM\...\KB2723135) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2724197) (HKLM\...\KB2724197) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2727528) (HKLM\...\KB2727528) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2731847) (HKLM\...\KB2731847) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2753842) (HKLM\...\KB2753842) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2753842-v2) (HKLM\...\KB2753842-v2) (Version: 2 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2757638) (HKLM\...\KB2757638) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2758857) (HKLM\...\KB2758857) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2761226) (HKLM\...\KB2761226) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2770660) (HKLM\...\KB2770660) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2778344) (HKLM\...\KB2778344) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2779030) (HKLM\...\KB2779030) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2780091) (HKLM\...\KB2780091) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2799494) (HKLM\...\KB2799494) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2802968) (HKLM\...\KB2802968) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2807986) (HKLM\...\KB2807986) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2808735) (HKLM\...\KB2808735) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2813170) (HKLM\...\KB2813170) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2813345) (HKLM\...\KB2813345) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2820197) (HKLM\...\KB2820197) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2820917) (HKLM\...\KB2820917) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2829361) (HKLM\...\KB2829361) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2834886) (HKLM\...\KB2834886) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2839229) (HKLM\...\KB2839229) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2845187) (HKLM\...\KB2845187) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2847311) (HKLM\...\KB2847311) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2849470) (HKLM\...\KB2849470) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2850851) (HKLM\...\KB2850851) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2850869) (HKLM\...\KB2850869) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2859537) (HKLM\...\KB2859537) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2862152) (HKLM\...\KB2862152) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2862330) (HKLM\...\KB2862330) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2862335) (HKLM\...\KB2862335) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2864063) (HKLM\...\KB2864063) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2868626) (HKLM\...\KB2868626) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2876217) (HKLM\...\KB2876217) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2876315) (HKLM\...\KB2876315) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2876331) (HKLM\...\KB2876331) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2883150) (HKLM\...\KB2883150) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2892075) (HKLM\...\KB2892075) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2893294) (HKLM\...\KB2893294) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2893984) (HKLM\...\KB2893984) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2898715) (HKLM\...\KB2898715) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2900986) (HKLM\...\KB2900986) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2914368) (HKLM\...\KB2914368) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2916036) (HKLM\...\KB2916036) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2922229) (HKLM\...\KB2922229) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2929961) (HKLM\...\KB2929961) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2930275) (HKLM\...\KB2930275) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB923561) (HKLM\...\KB923561) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB923789) (HKLM\...\KB923789) (Version: - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB946648) (HKLM\...\KB946648) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB950762) (HKLM\...\KB950762) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB950974) (HKLM\...\KB950974) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB951376-v2) (HKLM\...\KB951376-v2) (Version: 2 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB951748) (HKLM\...\KB951748) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB952004) (HKLM\...\KB952004) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB952954) (HKLM\...\KB952954) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB954459) (HKLM\...\KB954459) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB956572) (HKLM\...\KB956572) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB956744) (HKLM\...\KB956744) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB956802) (HKLM\...\KB956802) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB956803) (HKLM\...\KB956803) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB956844) (HKLM\...\KB956844) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB958644) (HKLM\...\KB958644) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB958869) (HKLM\...\KB958869) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB959426) (HKLM\...\KB959426) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB960803) (HKLM\...\KB960803) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB960859) (HKLM\...\KB960859) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB961501) (HKLM\...\KB961501) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB969059) (HKLM\...\KB969059) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB970430) (HKLM\...\KB970430) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB971657) (HKLM\...\KB971657) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB972270) (HKLM\...\KB972270) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB973507) (HKLM\...\KB973507) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB973869) (HKLM\...\KB973869) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB973904) (HKLM\...\KB973904) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB974112) (HKLM\...\KB974112) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB974318) (HKLM\...\KB974318) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB974392) (HKLM\...\KB974392) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB974571) (HKLM\...\KB974571) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB975025) (HKLM\...\KB975025) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB975467) (HKLM\...\KB975467) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB975560) (HKLM\...\KB975560) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB975562) (HKLM\...\KB975562) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB975713) (Version: 1 - Microsoft Corporation) Hidden
Sicherheitsupdate für Windows XP (KB977816) (HKLM\...\KB977816) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB977914) (HKLM\...\KB977914) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB978037) (HKLM\...\KB978037) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB978338) (HKLM\...\KB978338) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB978542) (HKLM\...\KB978542) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB978601) (HKLM\...\KB978601) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB978706) (HKLM\...\KB978706) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB979309) (HKLM\...\KB979309) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB979482) (HKLM\...\KB979482) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB979687) (HKLM\...\KB979687) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB980195) (HKLM\...\KB980195) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB980232) (HKLM\...\KB980232) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB980436) (HKLM\...\KB980436) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB981322) (HKLM\...\KB981322) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB981852) (HKLM\...\KB981852) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB981997) (HKLM\...\KB981997) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB982132) (HKLM\...\KB982132) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB982214) (HKLM\...\KB982214) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB982665) (HKLM\...\KB982665) (Version: 1 - Microsoft Corporation)
Skype™ 6.11 (HKLM\...\{4E76FF7E-AEBA-4C87-B788-CD47E5425B9D}) (Version: 6.11.102 - Skype Technologies S.A.)
Update for 2007 Microsoft Office System (KB967642) (HKLM\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{C444285D-5E4F-48A4-91DD-47AAAA68E92D}) (Version: - Microsoft)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707) (HKLM\...\{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}.KB963707) (Version: 1 - Microsoft Corporation)
Update for Microsoft Office 2007 suites (KB2596620) 32-Bit Edition (HKLM\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{A024FC7B-77DE-45DE-A058-1C049A17BFB3}) (Version: - Microsoft)
Update for Microsoft Office 2007 suites (KB2767849) 32-Bit Edition (HKLM\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{CB68A5B0-3508-4193-AEB9-AF636DAECE0F}) (Version: - Microsoft)
Update for Microsoft Office 2007 suites (KB2767916) 32-Bit Edition (HKLM\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{E9A82945-BA29-4EE8-8F2A-2F49545E9CF2}) (Version: - Microsoft)
Update for Microsoft Office Outlook 2007 (KB2687404) 32-Bit Edition (HKLM\...\{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{EA54F104-79D2-48CC-9ABC-91A63C43D353}) (Version: - Microsoft)
Update for Microsoft Office Outlook 2007 (KB2863811) 32-Bit Edition (HKLM\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{53DEC068-4690-4F6B-9946-7D21EF02236B}) (Version: - Microsoft)
Update for Microsoft Office Outlook 2007 Junk Email Filter (KB2880505) 32-Bit Edition (HKLM\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{2720451F-5D04-43EC-AB1F-26D948FD971B}) (Version: - Microsoft)
Update für Windows Internet Explorer 8 (KB2598845) (HKLM\...\KB2598845-IE8) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2141007) (HKLM\...\KB2141007) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2345886) (HKLM\...\KB2345886) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2467659) (HKLM\...\KB2467659) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2541763) (HKLM\...\KB2541763) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2607712) (HKLM\...\KB2607712) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2616676) (HKLM\...\KB2616676) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2641690) (HKLM\...\KB2641690) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2661254-v2) (HKLM\...\KB2661254-v2) (Version: 2 - Microsoft Corporation)
Update für Windows XP (KB2718704) (HKLM\...\KB2718704) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2736233) (HKLM\...\KB2736233) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2749655) (HKLM\...\KB2749655) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2863058) (HKLM\...\KB2863058) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2904266) (HKLM\...\KB2904266) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2934207) (HKLM\...\KB2934207) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB898461) (HKLM\...\KB898461) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB951978) (Version: 1 - Microsoft Corporation) Hidden
Update für Windows XP (KB955759) (HKLM\...\KB955759) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB967715) (HKLM\...\KB967715) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB968389) (HKLM\...\KB968389) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB971029) (HKLM\...\KB971029) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB971737) (HKLM\...\KB971737) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB973687) (HKLM\...\KB973687) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB973815) (HKLM\...\KB973815) (Version: 1 - Microsoft Corporation)
USB PC Camera Plus (HKLM\...\{ECD03DA7-5952-406A-8156-5F0C93618D1F}) (Version: 5.21.1.000 - Sonix)
WebFldrs XP (Version: 9.50.7523 - Microsoft Corporation) Hidden
Windows Genuine Advantage Notifications (KB905474) (HKLM\...\WgaNotify) (Version: 1.9.0040.0 - Microsoft Corporation)
Windows Internet Explorer 8 (HKLM\...\ie8) (Version: 20090308.140743 - Microsoft Corporation)
Windows Presentation Foundation (Version: 3.0.6920.0 - Microsoft Corporation) Hidden
Windows SteadyState (HKLM\...\{D3880A64-6112-47b7-8BFE-70EEA07B43E0}) (Version: 2.5 - Microsoft Corporation)
XML Paper Specification Shared Components Pack 1.0 (Version: - Microsoft Corporation) Hidden
Yahoo! Software Update (HKLM\...\Yahoo! Software Update) (Version: - )
Yahoo! Toolbar (HKLM\...\Yahoo! Companion) (Version: - )
==================== Restore Points =========================
24-02-2014 18:01:51 Systemprüfpunkt
26-02-2014 15:27:09 Systemprüfpunkt
01-03-2014 12:50:17 Systemprüfpunkt
02-03-2014 13:13:00 Systemprüfpunkt
03-03-2014 14:25:10 Systemprüfpunkt
04-03-2014 16:33:37 Systemprüfpunkt
04-03-2014 20:22:21 Software Distribution Service 3.0
06-03-2014 19:07:15 Systemprüfpunkt
09-03-2014 17:18:24 Systemprüfpunkt
10-03-2014 17:51:57 Systemprüfpunkt
12-03-2014 16:19:14 Systemprüfpunkt
13-03-2014 18:06:03 Software Distribution Service 3.0
14-03-2014 18:19:48 Systemprüfpunkt
16-03-2014 11:04:33 Systemprüfpunkt
18-03-2014 16:15:15 Software Distribution Service 3.0
19-03-2014 18:11:56 Systemprüfpunkt
21-03-2014 16:37:55 Systemprüfpunkt
25-03-2014 16:48:46 Systemprüfpunkt
30-03-2014 16:11:39 Software Distribution Service 3.0
10-04-2014 14:08:05 Software Distribution Service 3.0
14-04-2014 17:13:23 Systemprüfpunkt
19-04-2014 08:17:32 Systemprüfpunkt
20-04-2014 14:16:25 Systemprüfpunkt
25-04-2014 10:27:48 Systemprüfpunkt
30-04-2014 16:05:21 Systemprüfpunkt
04-05-2014 06:51:16 Software Distribution Service 3.0
08-05-2014 13:13:49 Systemprüfpunkt
10-05-2014 17:08:51 Systemprüfpunkt
15-05-2014 13:46:21 Software Distribution Service 3.0
17-05-2014 06:19:55 Systemprüfpunkt
20-05-2014 14:58:50 Systemprüfpunkt
21-05-2014 15:09:15 Systemprüfpunkt
23-05-2014 16:29:55 Systemprüfpunkt
25-05-2014 10:41:18 Systemprüfpunkt
==================== Hosts content: ==========================
2008-04-14 14:00 - 2008-04-14 14:00 - 00000820 ____A C:\WINDOWS\system32\Drivers\etc\hosts
127.0.0.1 localhost
==================== Scheduled Tasks (whitelisted) =============
Task: C:\WINDOWS\Tasks\Adobe Flash Player Updater.job => C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Benachrichtigung – Anmeldung.job => C:\WINDOWS\system32\xp_eos.exe
Task: C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job => C:\WINDOWS\system32\xp_eos.exe
Task: C:\WINDOWS\Tasks\Final Media Player Update Checker.job => C:\Programme\FinalMediaPlayer\FMPCheckForUpdates.exe
Task: C:\WINDOWS\Tasks\ROC_REG_JAN_DELETE.job => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVG January 2013 Campaign\ROC.exe
==================== Loaded Modules (whitelisted) =============
2013-08-14 11:35 - 2013-08-11 08:21 - 00394824 _____ () C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
2009-02-27 16:41 - 2009-02-27 16:41 - 00311296 _____ () C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
2008-04-14 14:00 - 2008-04-14 14:00 - 00014336 _____ () C:\WINDOWS\system32\msdmo.dll
2011-08-30 17:22 - 2006-09-18 14:12 - 00843776 _____ () C:\WINDOWS\vsnpstd3.exe
2013-01-02 11:32 - 2013-10-03 10:42 - 00069120 _____ () C:\Programme\Canon\ImageBrowser EX\MFManager.exe
2012-02-06 12:07 - 2013-10-03 10:42 - 00321024 _____ () C:\Programme\Canon\ImageBrowser EX\ServerCommon.dll
2013-01-02 11:32 - 2013-10-03 10:42 - 00112128 _____ () C:\Programme\Canon\ImageBrowser EX\MFMFileSystemWatcher.dll
==================== Alternate Data Streams (whitelisted) =========
==================== Safe Mode (whitelisted) ===================
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Windows SteadyState => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Windows SteadyState => ""="Service"
==================== EXE Association (whitelisted) =============
==================== Disabled items from MSCONFIG ==============
==================== Faulty Device Manager Devices =============
==================== Event log errors: =========================
Application errors:
==================
Error: (05/21/2014 06:54:07 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error: (05/21/2014 06:44:42 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error: (05/18/2014 07:30:35 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Stillstehende Anwendung opera.exe, Version 12.2.1578.0, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error: (05/18/2014 07:30:35 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Stillstehende Anwendung opera.exe, Version 12.2.1578.0, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error: (04/26/2014 00:00:17 PM) (Source: JavaQuickStarterService) (EventID: 1) (User: )
Description: Could not register service with the service manager: StartServiceCtrlDispatcher failed (error 1063)
System errors:
=============
Error: (05/26/2014 03:44:01 PM) (Source: Service Control Manager) (EventID: 7011) (User: )
Description: Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung von Dienst Windows SteadyState.
Error: (05/25/2014 07:42:29 PM) (Source: 0) (EventID: 9) (User: )
Description: \Device\Ide\IdePort2
Error: (05/25/2014 07:42:13 PM) (Source: 0) (EventID: 9) (User: )
Description: \Device\Ide\IdePort2
Error: (05/25/2014 07:40:52 PM) (Source: 0) (EventID: 9) (User: )
Description: \Device\Ide\IdePort2
Error: (05/25/2014 07:36:13 PM) (Source: 0) (EventID: 11) (User: )
Description: \Device\Ide\IdePort2
Error: (05/25/2014 07:36:13 PM) (Source: 0) (EventID: 9) (User: )
Description: \Device\Ide\IdePort2
Error: (05/25/2014 07:36:08 PM) (Source: 0) (EventID: 9) (User: )
Description: \Device\Ide\IdePort2
Error: (05/25/2014 07:35:30 PM) (Source: 0) (EventID: 9) (User: )
Description: \Device\Ide\IdePort2
Error: (05/25/2014 07:35:16 PM) (Source: 0) (EventID: 9) (User: )
Description: \Device\Ide\IdePort2
Error: (05/25/2014 07:34:15 PM) (Source: 0) (EventID: 9) (User: )
Description: \Device\Ide\IdePort2
Microsoft Office Sessions:
=========================
Error: (04/21/2011 10:46:15 AM) (Source: Microsoft Office 12 Sessions) (EventID: 7001) (User: )
Description: ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 10088 seconds with 780 seconds of active time. This session ended with a crash.
==================== Memory info ===========================
Percentage of memory in use: 39%
Total physical RAM: 2038.17 MB
Available physical RAM: 1225.52 MB
Total Pagefile: 3931.21 MB
Available Pagefile: 3227.92 MB
Total Virtual: 2047.88 MB
Available Virtual: 1949.23 MB
==================== Drives ================================
Drive c: () (Fixed) (Total:118.65 GB) (Free:90.92 GB) NTFS ==>[Drive with boot components (Windows XP)]
Drive d: () (Fixed) (Total:347.1 GB) (Free:340.05 GB) NTFS
Drive e: (08 Apr 2014) (CDROM) (Total:0.25 GB) (Free:0 GB) UDF
==================== MBR & Partition Table ==================
========================================================
Disk: 0 (Size: 466 GB) (Disk ID: 475D475C)
Partition 1: (Active) - (Size=119 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=347 GB) - (Type=OF Extended)
==================== End Of Log ============================
|
|
27.05.2014, 12:20
| #4 |
| /// the machine /// TB-Ausbilder | Lösegeldtrojaner Adware & Co. deinstallieren
Solltest Du ein Programm nicht finden oder nicht deinstallieren können, mache bitte mit dem nächsten Schritt weiter: Scan mit Combofix
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
27.05.2014, 16:35
| #5 |
| | Lösegeldtrojaner Hallo, hab die zwei Programme, die in der addition datei als verdächtig markiert waren gelöscht. leider immer zu schnell weggeklickkt, weil ich gedacht habe, dass man die reste in nem eigenen unterpunkt löscht... die sind also irgendwie noch da... sorry, etwas blöd angestellt... kann immer noch keine dateien öffnen, hab deshalb combofix durchlaufen lassen... Code:
ATTFilter ComboFix 14-05-27.02 - Administrator 27.05.2014 17:25:44.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2038.1206 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\viren\ComboFix.exe
AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\{01FB4998-33C4-4431-85ED-079E3EEFE75D}\PostBuild.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\{5DB1DF0C-AABC-4362-8A6D-CEFDFB036E41}\PostBuild.exe
c:\dokumente und einstellungen\installieren\WINDOWS
c:\dokumente und einstellungen\ulli\4.0
c:\windows\IsUn0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2014-04-27 bis 2014-05-27 ))))))))))))))))))))))))))))))
.
.
2014-05-27 14:57 . 2014-05-27 14:57 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\FinalMediaPlayer
2014-05-27 14:52 . 2014-05-27 14:52 -------- d-----w- c:\programme\VS Revo Group
2014-05-25 17:17 . 2014-05-26 13:59 -------- d-----w- C:\FRST
2014-05-25 14:06 . 2014-05-25 14:06 -------- d-----w- c:\dokumente und einstellungen\ulli\Anwendungsdaten\TuneUp Software
2014-05-25 07:55 . 2014-05-25 07:55 -------- d-----w- c:\dokumente und einstellungen\installieren\Anwendungsdaten\CANON INC
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-05-15 14:00 . 2012-05-17 12:11 70832 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2014-05-15 14:00 . 2012-05-17 12:11 692400 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2014-03-31 20:46 . 2014-03-31 20:46 130712 ----a-w- c:\windows\system32\MSSTDFMT.DLL
2014-03-31 20:46 . 2014-03-31 20:46 1070232 ----a-w- c:\windows\system32\MSCOMCTL.OCX
2014-03-06 17:58 . 2008-04-14 12:00 920064 ----a-w- c:\windows\system32\wininet.dll
2014-03-06 17:58 . 2008-04-14 12:00 43520 ------w- c:\windows\system32\licmgr10.dll
2014-03-06 17:58 . 2008-04-14 12:00 18944 ----a-w- c:\windows\system32\corpol.dll
2014-03-06 17:58 . 2008-04-14 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2014-03-06 00:46 . 2008-04-14 12:00 385024 ------w- c:\windows\system32\html.iec
2014-02-26 23:28 . 2014-03-25 18:39 13312 ------w- c:\windows\system32\xp_eos.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-11-08 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-11-08 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-11-08 137752]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-03 16876032]
"Bubble"="c:\programme\Windows SteadyState\Bubble.exe" [2008-05-30 182288]
"Logoff"="c:\programme\Windows SteadyState\SCTUINotify.exe" [2008-05-30 163856]
"AVG_TRAY"="c:\programme\AVG\AVG2012\avgtray.exe" [2012-11-19 2598520]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
"tsnpstd3"="c:\windows\tsnpstd3.exe" [2007-03-30 262144]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-18 843776]
"UCam_Menu"="c:\programme\\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" [2008-12-03 218408]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2014-02-20 689744]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\ulli\Startmenü\Programme\Autostart\
DECRYPT_INSTRUCTION.HTML [2014-5-25 8568]
DECRYPT_INSTRUCTION.TXT [2014-5-25 4672]
DECRYPT_INSTRUCTION.URL [2014-5-25 432]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE /tsr [2009-2-26 97680]
OneNote Inhaltsverzeichnis.onetoc2 [2013-12-5 3656]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
ImageBrowser EX Agent.lnk - c:\programme\Canon\ImageBrowser EX\MFManager.exe [2013-1-2 69120]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"HideFastUserSwitching"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Windows SteadyState]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\AVG\\AVG10\\avgmfapx.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\AVG\\AVG10\\avgdiagex.exe"=
"c:\\Dokumente und Einstellungen\\ulli\\Lokale Einstellungen\\Anwendungsdaten\\Programs\\Opera\\opera.exe"=
"c:\\Programme\\AVG\\AVG2012\\avgmfapx.exe"=
"c:\\Programme\\AVG\\AVG2012\\avgdiagex.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R0 AVGIDSHX;AVGIDSHX;c:\windows\system32\drivers\avgidshx.sys [19.04.2012 04:50 24896]
R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\drivers\avgrkx86.sys [07.09.2010 04:48 31952]
R1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\drivers\avgldx86.sys [08.12.2010 05:12 250080]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [14.08.2013 11:35 37352]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.08.2013 11:35 440400]
R2 AntiVirWebService;Avira Browser-Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [14.08.2013 11:35 1017424]
R2 avgwd;AVG WatchDog;c:\programme\AVG\AVG2012\avgwdsvc.exe [14.02.2012 04:53 193288]
R2 Windows SteadyState;Windows SteadyState Service;c:\programme\Windows SteadyState\SCTSvc.exe [30.05.2008 15:41 115728]
R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\l151x86.sys [28.01.2011 18:08 37376]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [23.10.2013 09:15 172192]
.
Inhalt des "geplante Tasks" Ordners
.
2014-05-27 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-17 14:00]
.
2014-05-27 c:\windows\Tasks\Ende des Supports für Microsoft Windows XP – Benachrichtigung – Anmeldung.job
- c:\windows\system32\xp_eos.exe [2014-03-25 23:28]
.
2014-05-08 c:\windows\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job
- c:\windows\system32\xp_eos.exe [2014-03-25 23:28]
.
2013-01-21 c:\windows\Tasks\ROC_REG_JAN_DELETE.job
- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVG January 2013 Campaign\ROC.exe [2013-01-21 21:16]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\dokumente und einstellungen\installieren\Lokale Einstellungen\Anwendungsdaten\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\dokumente und einstellungen\installieren\Lokale Einstellungen\Anwendungsdaten\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\dokumente und einstellungen\installieren\Lokale Einstellungen\Anwendungsdaten\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: AVG Do Not Track: {F53C93F1-07D5-430c-86D4-C9531B27DFAF} - c:\programme\AVG\AVG2012\Firefox\DoNotTrack
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2014-05-27 17:30
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-2025429265-1614895754-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,cf,65,4c,65,fa,2c,b0,4c,bb,8a,f9,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,cf,65,4c,65,fa,2c,b0,4c,bb,8a,f9,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_13_0_0_214_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_13_0_0_214_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(1016)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2014-05-27 17:31:53
ComboFix-quarantined-files.txt 2014-05-27 15:31
.
Vor Suchlauf: 6 Verzeichnis(se), 97.400.606.720 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 98.761.809.920 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - E2718E8053F767B1C9CE824446E993EE
72B8CE41AF0DE751C946802B3ED844B4
|
|
28.05.2014, 11:42
| #6 |
| /// the machine /// TB-Ausbilder | Lösegeldtrojaner Downloade Dir bitte  Malwarebytes Anti-Malware
Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
und ein frisches FRST log bitte.
__________________ --> Lösegeldtrojaner |
|
29.05.2014, 12:20
| #7 |
| | Lösegeldtrojaner hi, hab die programme durchlaufen lassen. logs folgen. leider ist der pc immer noch langsam und dokumente lassen sich nicht öffnen... hab ich überhaupt realistisch irgendeine chance die dateien wieder herzustellen? viele grüße und nochmal danke für die hilfe fredde Code:
ATTFilter Malwarebytes Anti-Malware www.malwarebytes.org Suchlauf Datum: 28.05.2014 Suchlauf-Zeit: 19:45:52 Logdatei: malware.txt Administrator: Ja Version: 2.00.2.1012 Malware Datenbank: v2014.05.28.06 Rootkit Datenbank: v2014.05.21.01 Lizenz: Testversion Malware Schutz: Aktiviert Bösartiger Webseiten Schutz: Aktiviert Self-protection: Deaktiviert Betriebssystem: Windows XP Service Pack 3 CPU: x86 Dateisystem: NTFS Benutzer: Administrator Suchlauf-Art: Bedrohungs-Suchlauf Ergebnis: Abgeschlossen Durchsuchte Objekte: 302210 Verstrichene Zeit: 20 Min, 7 Sek Speicher: Aktiviert Autostart: Aktiviert Dateisystem: Aktiviert Archive: Aktiviert Rootkits: Deaktiviert Heuristics: Aktiviert PUP: Aktiviert PUM: Aktiviert Prozesse: 0 (No malicious items detected) Module: 0 (No malicious items detected) Registrierungsschlüssel: 0 (No malicious items detected) Registrierungswerte: 1 Hijack.FolderOptions, HKU\S-1-5-21-2025429265-1614895754-1801674531-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|NoFolderOptions, 1, Löschen bei Neustart, [81450c4a28531c1a0a838d8c17ec16ea] Registrierungsdaten: 5 PUM.Hijack.Explorer, HKU\S-1-5-21-2025429265-1614895754-1801674531-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|NoToolbarCustomize, 1, Gut: (0), Schlecht: (1),Löschen bei Neustart,[5a6c8acce794f343ae44b79e857fae52] Hijack.Tray, HKU\S-1-5-21-2025429265-1614895754-1801674531-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|NoTrayItemsDisplay, 1, Gut: (0), Schlecht: (1),Löschen bei Neustart,[586eb1a5afccc17509b3be99a65ece32] PUM.Hijack.Regedit, HKU\S-1-5-21-2025429265-1614895754-1801674531-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|DisableRegistryTools, 1, Gut: (0), Schlecht: (1),Löschen bei Neustart,[0fb7da7cb8c3ad89460e3125ba4a22de] PUM.Hijack.ConnectionControl, HKU\S-1-5-21-2025429265-1614895754-1801674531-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\POLICIES\MICROSOFT\INTERNET EXPLORER\CONTROL PANEL|ConnectionsTab, 1, Gut: (0), Schlecht: (1),Löschen bei Neustart,[428475e187f4a0961bb4322348bca45c] PUM.Hijack.CMDPrompt, HKU\S-1-5-21-2025429265-1614895754-1801674531-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\SYSTEM|DisableCMD, 1, Gut: (0), Schlecht: (1),Löschen bei Neustart,[3c8aec6ad9a26dc9903e3124f80c3bc5] Ordner: 0 (No malicious items detected) Dateien: 0 (No malicious items detected) Physische Sektoren: 0 (No malicious items detected) (end) Code:
ATTFilter # AdwCleaner v3.211 - Bericht erstellt am 29/05/2014 um 12:51:34
# Aktualisiert 26/05/2014 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzername : Administrator - U-A8BFC738B4404
# Gestartet von : C:\Dokumente und Einstellungen\Administrator\Desktop\viren\adwcleaner_3.211.exe
# Option : Löschen
***** [ Dienste ] *****
***** [ Dateien / Ordner ] *****
Ordner Gelöscht : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FinalMediaPlayer
Ordner Gelöscht : C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\FinalMediaPlayer
Datei Gelöscht : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default\.autoreg
***** [ Verknüpfungen ] *****
***** [ Registrierungsdatenbank ] *****
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\ndibdjnfmopecpmkdieinmbadjfpblof
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software
Schlüssel Gelöscht : HKLM\Software\AVG Secure Search
Schlüssel Gelöscht : HKLM\Software\Freeze.com
***** [ Browser ] *****
-\\ Internet Explorer v8.0.6001.18702
-\\ Mozilla Firefox v3.6.13 (de)
[ Datei : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default\prefs.js ]
[ Datei : C:\Dokumente und Einstellungen\installieren\Anwendungsdaten\Mozilla\Firefox\Profiles\7a76h30t.default\prefs.js ]
*************************
AdwCleaner[R0].txt - [2451 octets] - [29/05/2014 12:50:56]
AdwCleaner[S0].txt - [2372 octets] - [29/05/2014 12:51:34]
########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [2432 octets] ##########
Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.1.3 (03.23.2014:1)
OS: Microsoft Windows XP x86
Ran by Administrator on 29.05.2014 at 13:06:59,04
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~ Services
~~~ Registry Values
~~~ Registry Keys
~~~ Files
~~~ Folders
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 29.05.2014 at 13:13:15,06
Computer was rebooted
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:25-05-2014 01 Ran by Administrator (administrator) on U-A8BFC738B4404 on 29-05-2014 13:15:42 Running from C:\Dokumente und Einstellungen\Administrator\Desktop\viren Platform: Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: German Standard Internet Explorer Version 8 Boot Mode: Normal ==================== Processes (Whitelisted) ================= (Microsoft Corporation) C:\Programme\Windows SteadyState\SCTSvc.exe (brother Industries Ltd) C:\WINDOWS\system32\BRSVC01A.EXE (brother Industries Ltd) C:\WINDOWS\system32\BRSS01A.EXE (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avguard.exe (AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgwdsvc.exe (Sun Microsystems, Inc.) C:\Programme\Java\jre6\bin\jqs.exe (Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbamscheduler.exe (Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbamservice.exe (Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbam.exe (Yahoo! Inc.) C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe (Canon Inc.) C:\Programme\Canon\CAL\CALMAIN.exe (Intel Corporation) C:\WINDOWS\system32\igfxtray.exe (Intel Corporation) C:\WINDOWS\system32\hkcmd.exe (Intel Corporation) C:\WINDOWS\system32\igfxpers.exe (Realtek Semiconductor Corp.) C:\WINDOWS\RTHDCPL.exe (Intel Corporation) C:\WINDOWS\system32\igfxsrvc.exe (Microsoft Corporation) C:\Programme\Windows SteadyState\Bubble.exe (AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgtray.exe (Microsoft Corporation) C:\WINDOWS\system32\wbem\unsecapp.exe (Microsoft Corporation) C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe (Sun Microsystems, Inc.) C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (SONIX) C:\WINDOWS\tsnpstd3.exe () C:\WINDOWS\vsnpstd3.exe (Adobe Systems Incorporated) C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avgnt.exe () C:\Programme\Canon\ImageBrowser EX\MFManager.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Microsoft Corporation) C:\WINDOWS\system32\wuauclt.exe (Microsoft Corporation) C:\WINDOWS\system32\wscntfy.exe ==================== Registry (Whitelisted) ================== HKLM\...\Run: [RTHDCPL] => C:\WINDOWS\RTHDCPL.EXE [16876032 2008-07-03] (Realtek Semiconductor Corp.) HKLM\...\Run: [Bubble] => C:\Programme\Windows SteadyState\Bubble.exe [182288 2008-05-30] (Microsoft Corporation) HKLM\...\Run: [Logoff] => C:\Programme\Windows SteadyState\SCTUINotify.exe [163856 2008-05-30] (Microsoft Corporation) HKLM\...\Run: [AVG_TRAY] => C:\Programme\AVG\AVG2012\avgtray.exe [2598520 2012-11-19] (AVG Technologies CZ, s.r.o.) HKLM\...\Run: [GrooveMonitor] => C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation) HKLM\...\Run: [SunJavaUpdateSched] => C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [249064 2010-10-29] (Sun Microsystems, Inc.) HKLM\...\Run: [tsnpstd3] => C:\WINDOWS\tsnpstd3.exe [262144 2007-03-30] (SONIX) HKLM\...\Run: [snpstd3] => C:\WINDOWS\vsnpstd3.exe [843776 2006-09-18] () HKLM\...\Run: [UCam_Menu] => C:\Programme\\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe [218408 2008-12-03] (CyberLink Corp.) HKLM\...\Run: [Adobe Reader Speed Launcher] => C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [38872 2012-07-31] (Adobe Systems Incorporated) HKLM\...\Run: [Adobe ARM] => C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated) HKLM\...\Run: [avgnt] => C:\Programme\Avira\AntiVir Desktop\avgnt.exe [689744 2014-02-20] (Avira Operations GmbH & Co. KG) Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ImageBrowser EX Agent.lnk ShortcutTarget: ImageBrowser EX Agent.lnk -> C:\Programme\Canon\ImageBrowser EX\MFManager.exe () Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\DECRYPT_INSTRUCTION.HTML () Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\DECRYPT_INSTRUCTION.TXT () InternetURL: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\DECRYPT_INSTRUCTION.URL -> https://kpai7ycr7jxqkilp.torexplorer.com/5z9t Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk ShortcutTarget: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation) Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\OneNote Inhaltsverzeichnis.onetoc2 () ==================== Internet (Whitelisted) ==================== HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0xA434F9509B7ACF01 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) BHO: AVG Do Not Track - {31332EEF-CB9F-458F-AFEB-D30E9A66B6BA} - C:\Programme\AVG\AVG2012\avgdtiex.dll (AVG Technologies CZ, s.r.o.) BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.) BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.) DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab DPF: {CAFEEFAC-0014-0002-0001-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation) Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG2012\avgpp.dll (AVG Technologies CZ, s.r.o.) Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) Tcpip\Parameters: [DhcpNameServer] 192.168.2.1 FireFox: ======== FF ProfilePath: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default FF Plugin: @canon.com/MycameraPlugin - C:\Programme\Canon\MyCamera Download Plugin\NPCIG.dll (CANON INC.) FF Plugin: @java.com/JavaPlugin - C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Programme\Microsoft Silverlight\5.1.30214.0\npctrl.dll ( Microsoft Corporation) FF Plugin: @microsoft.com/WPF,version=3.5 - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF Plugin: Adobe Reader - C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF Extension: No Name - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default\Extensions\staged-xpis [2014-02-18] FF Extension: No Name - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b} [2014-02-18] FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Programme\Java\jre6\lib\deploy\jqs\ff FF Extension: Java Quick Starter - C:\Programme\Java\jre6\lib\deploy\jqs\ff [2011-01-29] FF HKLM\...\Firefox\Extensions: [{F53C93F1-07D5-430c-86D4-C9531B27DFAF}] - C:\Programme\AVG\AVG2012\Firefox\DoNotTrack\ FF Extension: AVG Do Not Track - C:\Programme\AVG\AVG2012\Firefox\DoNotTrack\ [] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ [] FF StartMenuInternet: FIREFOX.EXE - C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Anwendungsdaten\Mozilla Firefox\firefox.exe ========================== Services (Whitelisted) ================= R2 AntiVirSchedulerService; C:\Programme\Avira\AntiVir Desktop\sched.exe [440400 2014-02-20] (Avira Operations GmbH & Co. KG) R2 AntiVirService; C:\Programme\Avira\AntiVir Desktop\avguard.exe [440400 2014-02-20] (Avira Operations GmbH & Co. KG) R2 AntiVirWebService; C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE [1017424 2014-02-20] (Avira Operations GmbH & Co. KG) R2 avgwd; C:\Programme\AVG\AVG2012\avgwdsvc.exe [193288 2012-02-14] (AVG Technologies CZ, s.r.o.) R2 Brother XP spl Service; C:\WINDOWS\system32\brsvc01a.exe [57344 2002-04-12] (brother Industries Ltd) R2 CCALib8; C:\Programme\Canon\CAL\CALMAIN.exe [96334 2009-09-08] (Canon Inc.) R2 JavaQuickStarterService; C:\Programme\Java\jre6\bin\jqs.exe [153376 2011-02-02] (Sun Microsystems, Inc.) R2 MBAMScheduler; C:\Programme\ Malwarebytes Anti-Malware \mbamscheduler.exe [1809720 2014-05-12] (Malwarebytes Corporation) R2 MBAMService; C:\Programme\ Malwarebytes Anti-Malware \mbamservice.exe [860472 2014-05-12] (Malwarebytes Corporation) S3 Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [64856 2009-02-26] (Microsoft Corporation) S3 odserv; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [440696 2011-07-20] (Microsoft Corporation) S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [145184 2006-10-26] (Microsoft Corporation) S2 SkypeUpdate; C:\Programme\Skype\Updater\Updater.exe [172192 2013-10-23] (Skype Technologies) R2 Windows SteadyState; C:\Programme\Windows SteadyState\SCTSvc.exe [115728 2008-05-30] (Microsoft Corporation) R2 YahooAUService; C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe [602392 2008-11-09] (Yahoo! Inc.) ==================== Drivers (Whitelisted) ==================== R3 AtcL001; C:\WINDOWS\System32\DRIVERS\l151x86.sys [37376 2008-11-12] (Atheros Communications, Inc.) R0 AVGIDSHX; C:\WINDOWS\System32\DRIVERS\avgidshx.sys [24896 2012-04-19] (AVG Technologies CZ, s.r.o. ) R1 Avgldx86; C:\WINDOWS\System32\DRIVERS\avgldx86.sys [250080 2012-11-08] (AVG Technologies CZ, s.r.o.) R1 Avgmfx86; C:\WINDOWS\System32\DRIVERS\avgmfx86.sys [41040 2011-12-23] (AVG Technologies CZ, s.r.o.) R2 avgntflt; C:\WINDOWS\System32\DRIVERS\avgntflt.sys [90400 2013-12-21] (Avira Operations GmbH & Co. KG) R0 Avgrkx86; C:\WINDOWS\System32\DRIVERS\avgrkx86.sys [31952 2012-01-31] (AVG Technologies CZ, s.r.o.) R1 avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [135648 2013-12-21] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\WINDOWS\System32\DRIVERS\avkmgr.sys [37352 2013-11-19] (Avira Operations GmbH & Co. KG) S3 CCDECODE; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [17024 2008-04-14] (Microsoft Corporation) R3 MBAMProtector; C:\WINDOWS\system32\drivers\mbam.sys [23256 2014-05-12] (Malwarebytes Corporation) R3 MBAMSwissArmy; C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [110296 2014-05-29] (Malwarebytes Corporation) R3 MTsensor; C:\WINDOWS\System32\DRIVERS\ASACPI.sys [5810 2004-08-13] () S3 NdisIP; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [10880 2008-04-14] (Microsoft Corporation) R3 SNPSTD3; C:\WINDOWS\System32\DRIVERS\snpstd3.sys [10246144 2007-04-13] (Sonix Co. Ltd.) R1 ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [28520 2013-08-11] (Avira GmbH) S3 catchme; \??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\catchme.sys [X] S4 IntelIde; No ImagePath ==================== NetSvcs (Whitelisted) =================== ==================== One Month Created Files and Folders ======== 2014-05-29 13:13 - 2014-05-29 13:13 - 00000614 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\JRT.txt 2014-05-29 12:59 - 2014-05-29 12:59 - 00000000 ____D () C:\WINDOWS\ERUNT 2014-05-29 12:50 - 2014-05-29 12:51 - 00000000 ____D () C:\AdwCleaner 2014-05-28 19:51 - 2014-05-28 19:51 - 00011544 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\hs_err_pid1576.log 2014-05-28 19:44 - 2014-05-29 13:08 - 00110296 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\MBAMSwissArmy.sys 2014-05-28 19:43 - 2014-05-28 19:43 - 00000749 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk 2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Programme\ Malwarebytes Anti-Malware 2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ Malwarebytes Anti-Malware 2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2014-05-28 19:43 - 2014-05-12 07:26 - 00053208 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamchameleon.sys 2014-05-28 19:43 - 2014-05-12 07:25 - 00023256 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys 2014-05-27 17:31 - 2014-05-27 17:31 - 00011909 _____ () C:\ComboFix.txt 2014-05-27 17:24 - 2014-05-27 17:24 - 00000000 _RSHD () C:\cmdcons 2014-05-27 17:24 - 2012-05-28 18:28 - 00000211 _____ () C:\Boot.bak 2014-05-27 17:24 - 2004-08-03 23:00 - 00262448 __RSH () C:\cmldr 2014-05-27 17:17 - 2011-06-26 08:45 - 00256000 _____ () C:\WINDOWS\PEV.exe 2014-05-27 17:17 - 2010-11-07 19:20 - 00208896 _____ () C:\WINDOWS\MBR.exe 2014-05-27 17:17 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe 2014-05-27 17:17 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe 2014-05-27 17:17 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe 2014-05-27 17:17 - 2000-08-31 02:00 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe 2014-05-27 17:17 - 2000-08-31 02:00 - 00098816 _____ () C:\WINDOWS\sed.exe 2014-05-27 17:17 - 2000-08-31 02:00 - 00080412 _____ () C:\WINDOWS\grep.exe 2014-05-27 17:17 - 2000-08-31 02:00 - 00068096 _____ () C:\WINDOWS\zip.exe 2014-05-27 17:16 - 2014-05-27 17:31 - 00000000 ____D () C:\Qoobox 2014-05-27 17:16 - 2014-05-27 17:16 - 00000000 ___RD () C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Verwaltung 2014-05-27 17:15 - 2014-05-27 17:30 - 00000000 ____D () C:\WINDOWS\erdnt 2014-05-27 16:52 - 2014-05-27 16:52 - 00000889 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\Revo Uninstaller.lnk 2014-05-27 16:52 - 2014-05-27 16:52 - 00000000 ____D () C:\Programme\VS Revo Group 2014-05-26 15:57 - 2014-05-26 15:57 - 00000000 ____D () C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun 2014-05-25 19:26 - 2014-05-25 19:26 - 00000000 _____ () C:\Dokumente und Einstellungen\Administrator\defogger_reenable 2014-05-25 19:17 - 2014-05-29 13:15 - 00000000 ____D () C:\FRST 2014-05-25 19:14 - 2014-05-25 19:14 - 00000000 _____ () C:\Dokumente und Einstellungen\ulli\defogger_reenable 2014-05-25 16:16 - 2014-05-25 16:17 - 00000432 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.URL 2014-05-25 16:16 - 2014-05-25 16:16 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.HTML 2014-05-25 16:16 - 2014-05-25 16:16 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.TXT 2014-05-25 16:06 - 2014-05-25 16:06 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\TuneUp Software 2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.HTML 2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML 2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.HTML 2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.HTML 2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.TXT 2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT 2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.TXT 2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.TXT 2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.URL 2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.URL 2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.URL 2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.URL 2014-05-25 09:55 - 2014-05-25 09:55 - 00000000 ____D () C:\Dokumente und Einstellungen\installieren\Anwendungsdaten\CANON INC 2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML 2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML 2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT 2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT 2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.URL 2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.URL 2014-05-25 09:16 - 2014-05-25 09:46 - 00030744 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Tröde.xls 2014-05-15 15:48 - 2014-05-15 15:48 - 00000000 ____D () C:\Programme\Gemeinsame Dateien\DESIGNER 2014-05-14 15:04 - 2014-05-14 15:04 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\Canon Utilities 2014-05-04 08:51 - 2014-05-04 08:52 - 00005589 _____ () C:\WINDOWS\KB2964358-IE8.log ==================== One Month Modified Files and Folders ======= 2014-05-29 13:15 - 2014-05-25 19:17 - 00000000 ____D () C:\FRST 2014-05-29 13:13 - 2014-05-29 13:13 - 00000614 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\JRT.txt 2014-05-29 13:08 - 2014-05-28 19:44 - 00110296 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\MBAMSwissArmy.sys 2014-05-29 13:08 - 2011-01-28 17:22 - 01476480 _____ () C:\WINDOWS\WindowsUpdate.log 2014-05-29 13:06 - 2014-03-31 14:45 - 00000236 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Benachrichtigung – Anmeldung.job 2014-05-29 13:06 - 2011-01-28 16:43 - 00000159 _____ () C:\WINDOWS\wiadebug.log 2014-05-29 13:06 - 2011-01-28 16:43 - 00000050 _____ () C:\WINDOWS\wiaservc.log 2014-05-29 13:06 - 2008-04-14 14:00 - 00013646 _____ () C:\WINDOWS\system32\wpa.dbl 2014-05-29 13:05 - 2011-01-28 17:30 - 00000006 ____H () C:\WINDOWS\Tasks\SA.DAT 2014-05-29 13:02 - 2011-01-29 15:36 - 00000190 ___SH () C:\Dokumente und Einstellungen\Administrator\ntuser.ini 2014-05-29 13:02 - 2011-01-29 15:36 - 00000000 ____D () C:\Dokumente und Einstellungen\Administrator 2014-05-29 13:02 - 2011-01-28 17:30 - 00032636 _____ () C:\WINDOWS\SchedLgU.Txt 2014-05-29 13:00 - 2012-05-17 14:11 - 00000884 _____ () C:\WINDOWS\Tasks\Adobe Flash Player Updater.job 2014-05-29 12:59 - 2014-05-29 12:59 - 00000000 ____D () C:\WINDOWS\ERUNT 2014-05-29 12:51 - 2014-05-29 12:50 - 00000000 ____D () C:\AdwCleaner 2014-05-29 12:40 - 2011-01-29 12:24 - 00000000 ____D () C:\WINDOWS\system32\Drivers\AVG 2014-05-28 20:37 - 2011-01-28 17:25 - 00000000 __SHD () C:\Dokumente und Einstellungen\NetworkService 2014-05-28 19:51 - 2014-05-28 19:51 - 00011544 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\hs_err_pid1576.log 2014-05-28 19:43 - 2014-05-28 19:43 - 00000749 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk 2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Programme\ Malwarebytes Anti-Malware 2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ Malwarebytes Anti-Malware 2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2014-05-28 19:43 - 2011-01-28 16:41 - 00000000 ___RD () C:\Programme 2014-05-28 19:43 - 2011-01-28 16:41 - 00000000 ___RD () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme 2014-05-27 17:31 - 2014-05-27 17:31 - 00011909 _____ () C:\ComboFix.txt 2014-05-27 17:31 - 2014-05-27 17:16 - 00000000 ____D () C:\Qoobox 2014-05-27 17:30 - 2014-05-27 17:15 - 00000000 ____D () C:\WINDOWS\erdnt 2014-05-27 17:30 - 2008-04-14 14:00 - 00000227 _____ () C:\WINDOWS\system.ini 2014-05-27 17:29 - 2011-01-28 19:26 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli 2014-05-27 17:24 - 2014-05-27 17:24 - 00000000 _RSHD () C:\cmdcons 2014-05-27 17:24 - 2011-01-28 17:40 - 00000327 __RSH () C:\boot.ini 2014-05-27 17:16 - 2014-05-27 17:16 - 00000000 ___RD () C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Verwaltung 2014-05-27 17:16 - 2011-01-29 15:36 - 00000000 ___RD () C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme 2014-05-27 17:03 - 2014-02-18 17:34 - 00000000 ____D () C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Yahoo! 2014-05-27 16:57 - 2011-01-28 16:41 - 00000000 ___RD () C:\Dokumente und Einstellungen\All Users\Startmenü 2014-05-27 16:52 - 2014-05-27 16:52 - 00000889 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\Revo Uninstaller.lnk 2014-05-27 16:52 - 2014-05-27 16:52 - 00000000 ____D () C:\Programme\VS Revo Group 2014-05-26 15:57 - 2014-05-26 15:57 - 00000000 ____D () C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun 2014-05-26 15:50 - 2011-01-28 19:26 - 00000190 ___SH () C:\Dokumente und Einstellungen\ulli\ntuser.ini 2014-05-25 19:26 - 2014-05-25 19:26 - 00000000 _____ () C:\Dokumente und Einstellungen\Administrator\defogger_reenable 2014-05-25 19:14 - 2014-05-25 19:14 - 00000000 _____ () C:\Dokumente und Einstellungen\ulli\defogger_reenable 2014-05-25 18:49 - 2011-03-05 10:39 - 00000000 ____D () C:\WINDOWS\system32\NtmsData 2014-05-25 18:27 - 2011-01-28 17:21 - 00000000 ____D () C:\WINDOWS\Registration 2014-05-25 16:17 - 2014-05-25 16:16 - 00000432 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.URL 2014-05-25 16:16 - 2014-05-25 16:16 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.HTML 2014-05-25 16:16 - 2014-05-25 16:16 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.TXT 2014-05-25 16:16 - 2011-01-28 19:26 - 00000000 ___RD () C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart 2014-05-25 16:09 - 2011-01-28 19:26 - 00001599 _____ () C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Remoteunterstützung.lnk 2014-05-25 16:06 - 2014-05-25 16:06 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\TuneUp Software 2014-05-25 15:54 - 2011-01-28 17:48 - 00000190 ___SH () C:\Dokumente und Einstellungen\installieren\ntuser.ini 2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.HTML 2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML 2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.HTML 2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.HTML 2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.TXT 2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT 2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.TXT 2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.TXT 2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.URL 2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.URL 2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.URL 2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.URL 2014-05-25 12:15 - 2013-08-31 13:52 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\löcher 2014-05-25 12:15 - 2012-04-07 14:49 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\Opera 2014-05-25 12:15 - 2011-07-30 10:43 - 00000000 ___RD () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\Eigene Bilder 2014-05-25 10:37 - 2013-10-27 20:38 - 00598336 _____ () C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat 2014-05-25 10:13 - 2013-01-02 11:32 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Canon Utilities 2014-05-25 10:12 - 2013-01-02 11:19 - 00000000 ____D () C:\Programme\Canon 2014-05-25 09:59 - 2011-01-28 17:48 - 00000000 ___RD () C:\Dokumente und Einstellungen\installieren\Eigene Dateien\Eigene Bilder 2014-05-25 09:55 - 2014-05-25 09:55 - 00000000 ____D () C:\Dokumente und Einstellungen\installieren\Anwendungsdaten\CANON INC 2014-05-25 09:46 - 2014-05-25 09:16 - 00030744 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Tröde.xls 2014-05-25 09:25 - 2014-04-18 17:30 - 00010776 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\lfd. Kosten.xlsx 2014-05-25 09:25 - 2014-01-25 13:39 - 00167192 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Niklas 25.Januar 14.00 Uhr.odt 2014-05-25 09:25 - 2014-01-25 11:51 - 00019992 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Anmerkungen 25.01. 12 Uhr.odt 2014-05-25 09:25 - 2014-01-25 11:09 - 00166168 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Niklas 25.Januar 12.00 Uhr.odt 2014-05-25 09:25 - 2014-01-24 17:42 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Desktop\OpenOffice 4.0.1 (de) Installation Files 2014-05-25 09:25 - 2013-09-29 11:57 - 00062232 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Lebenslauf aktuell[1].odt 2014-05-25 09:25 - 2013-09-09 18:03 - 00020504 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Termine 2013-2014(1).xlsx 2014-05-25 09:25 - 2013-09-03 16:36 - 00013336 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Ausstellung.xlsx 2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML 2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML 2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT 2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT 2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.URL 2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.URL 2014-05-25 09:24 - 2014-01-25 09:27 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\OpenOffice 2014-05-25 09:24 - 2014-01-15 20:29 - 00025880 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Adressen Beerdigung.xls 2014-05-25 09:24 - 2013-01-02 11:51 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\Canon_Inc_IC 2014-05-25 09:24 - 2013-01-02 11:50 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\CANON INC 2014-05-25 09:24 - 2012-12-25 16:42 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canon_Inc_IC 2014-05-25 09:24 - 2011-08-30 17:37 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\Skype 2014-05-25 09:24 - 2011-05-07 18:37 - 00033304 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Adressen.xls 2014-05-25 09:24 - 2011-02-20 16:15 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\Adobe 2014-05-23 17:20 - 2011-07-30 10:43 - 00213504 ___SH () C:\Dokumente und Einstellungen\ulli\Desktop\Thumbs.db 2014-05-21 19:26 - 2011-01-29 11:36 - 00000000 __SHD () C:\WINDOWS\CSC 2014-05-15 16:00 - 2012-05-17 14:11 - 00692400 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerApp.exe 2014-05-15 16:00 - 2012-05-17 14:11 - 00070832 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerCPLApp.cpl 2014-05-15 15:51 - 2011-02-19 19:14 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2014-05-15 15:50 - 2013-07-13 20:17 - 00000000 ____D () C:\WINDOWS\system32\MRT 2014-05-15 15:48 - 2014-05-15 15:48 - 00000000 ____D () C:\Programme\Gemeinsame Dateien\DESIGNER 2014-05-15 15:48 - 2011-01-28 19:13 - 90547776 _____ (Microsoft Corporation) C:\WINDOWS\system32\MRT.exe 2014-05-14 15:04 - 2014-05-14 15:04 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\Canon Utilities 2014-05-12 07:26 - 2014-05-28 19:43 - 00053208 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamchameleon.sys 2014-05-12 07:25 - 2014-05-28 19:43 - 00023256 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys 2014-05-08 15:00 - 2014-03-31 14:45 - 00000230 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job 2014-05-04 08:52 - 2014-05-04 08:51 - 00005589 _____ () C:\WINDOWS\KB2964358-IE8.log 2014-05-04 08:52 - 2011-01-28 19:14 - 00271981 _____ () C:\WINDOWS\updspapi.log 2014-05-04 08:52 - 2011-01-28 19:14 - 00000000 ____D () C:\WINDOWS\ie8updates 2014-05-04 08:52 - 2011-01-28 16:41 - 01952029 _____ () C:\WINDOWS\iis6.log 2014-05-04 08:52 - 2011-01-28 16:41 - 01767445 _____ () C:\WINDOWS\FaxSetup.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00854276 _____ () C:\WINDOWS\ocgen.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00811976 _____ () C:\WINDOWS\tsoc.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00601750 _____ () C:\WINDOWS\comsetup.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00547924 _____ () C:\WINDOWS\msmqinst.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00362459 _____ () C:\WINDOWS\ntdtcsetup.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00310362 _____ () C:\WINDOWS\netfxocm.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00122186 _____ () C:\WINDOWS\MedCtrOC.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00098013 _____ () C:\WINDOWS\ocmsn.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00089576 _____ () C:\WINDOWS\tabletoc.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00088627 _____ () C:\WINDOWS\msgsocm.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00001355 _____ () C:\WINDOWS\imsins.log 2014-04-30 10:13 - 2008-04-14 14:00 - 06022144 ____C (Microsoft Corporation) C:\WINDOWS\system32\dllcache\mshtml.dll 2014-04-30 10:13 - 2008-04-14 14:00 - 06022144 _____ (Microsoft Corporation) C:\WINDOWS\system32\mshtml.dll Some content of TEMP: ==================== C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\avgnt.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Quarantine.exe ==================== Bamital & volsnap Check ================= C:\WINDOWS\explorer.exe [2008-04-14 14:00] - [2008-04-14 14:00] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e C:\WINDOWS\system32\winlogon.exe [2008-04-14 14:00] - [2008-04-14 14:00] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a C:\WINDOWS\system32\svchost.exe [2008-04-14 14:00] - [2008-04-14 14:00] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366 C:\WINDOWS\system32\services.exe [2008-04-14 14:00] - [2009-02-09 13:21] - 0111104 ____A (Microsoft Corporation) a3edbe9053889fb24ab22492472b39dc C:\WINDOWS\system32\User32.dll [2008-04-14 14:00] - [2008-04-14 14:00] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd C:\WINDOWS\system32\userinit.exe [2008-04-14 14:00] - [2008-04-14 14:00] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106 C:\WINDOWS\system32\rpcss.dll [2008-04-14 14:00] - [2009-02-09 12:51] - 0401408 ____A (Microsoft Corporation) 3127afbf2c1ed0ab14a1bbb7aaecb85b ATTENTION ======> If the system is having audio adware rpcss.dll is patched. Google the MD5, if the MD5 is unique the file is infected. C:\WINDOWS\system32\Drivers\volsnap.sys [2008-04-14 14:00] - [2008-04-14 14:00] - 0053760 ____A (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d ==================== End Of Log ============================ |
|
30.05.2014, 09:54
| #8 |
| /// the machine /// TB-Ausbilder | LösegeldtrojanerESET Online Scanner
Downloade Dir bitte  SecurityCheck und:
und ein frisches FRST log bitte. Noch Probleme? 
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
30.05.2014, 16:09
| #9 |
| | LösegeldtrojanerCode:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7587
# api_version=3.0.2
# EOSSerial=4563609a2c798740b26b2b07a3f88444
# engine=18477
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2014-05-30 02:40:38
# local_time=2014-05-30 04:40:38 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode_1='Avira Desktop'
# compatibility_mode=1810 16777213 100 100 12935 146013016 0 0
# scanned=70006
# found=1
# cleaned=0
# scan_time=12146
sh=06A52BAB880B91D58ADE3CCBB43994606DD779EE ft=0 fh=0000000000000000 vn="Mehrere Bedrohungen" ac=I fn="C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\26\70ec15da-42ff341a"
Code:
ATTFilter Results of screen317's Security Check version 0.99.83 Windows XP Service Pack 3 x86 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` Please wait while WMIC compiles updated MOF files.d i s p l a y N a m e ECHO ist ausgeschaltet (OFF). A V G ECHO ist ausgeschaltet (OFF). A n t i V i r u s ECHO ist ausgeschaltet (OFF). F r e ECHO ist ausgeschaltet (OFF). E d i t i o n ECHO ist ausgeschaltet (OFF). 2 0 1 2 ECHO ist ausgeschaltet (OFF). A v i r a ECHO ist ausgeschaltet (OFF). D e s k t o p ECHO ist ausgeschaltet (OFF). Antivirus up to date! (On Access scanning disabled!) `````````Anti-malware/Other Utilities Check:````````` Java(TM) 6 Update 24 Java 2 Runtime Environment, SE v1.4.2_01 Java version out of Date! Adobe Reader 9 Adobe Reader out of Date! Mozilla Firefox (3.6.13) Firefox out of Date! ````````Process Check: objlist.exe by Laurent```````` Malwarebytes Anti-Malware mbamservice.exe Malwarebytes Anti-Malware mbam.exe AVG avgwdsvc.exe AVG avgtray.exe AVG avgrsx.exe AVG avgemc.exe Avira Antivir avgnt.exe Avira Antivir avguard.exe Malwarebytes Anti-Malware mbamscheduler.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` FRST Logfile: FRST Logfile: FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:25-05-2014 01 Ran by Administrator (administrator) on U-A8BFC738B4404 on 30-05-2014 17:03:35 Running from C:\Dokumente und Einstellungen\Administrator\Desktop\viren Platform: Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: German Standard Internet Explorer Version 8 Boot Mode: Normal ==================== Processes (Whitelisted) ================= (AVG Technologies CZ, s.r.o.) C:\PROGRA~1\AVG\AVG2012\avgrsx.exe (AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgcsrvx.exe (Microsoft Corporation) C:\Programme\Windows SteadyState\SCTSvc.exe (brother Industries Ltd) C:\WINDOWS\system32\BRSVC01A.EXE (brother Industries Ltd) C:\WINDOWS\system32\BRSS01A.EXE (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avguard.exe (AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgwdsvc.exe (Sun Microsystems, Inc.) C:\Programme\Java\jre6\bin\jqs.exe (Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbamscheduler.exe (Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbamservice.exe (Yahoo! Inc.) C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe (Canon Inc.) C:\Programme\Canon\CAL\CALMAIN.exe (Intel Corporation) C:\WINDOWS\system32\igfxtray.exe (Intel Corporation) C:\WINDOWS\system32\hkcmd.exe (Intel Corporation) C:\WINDOWS\system32\igfxpers.exe (Realtek Semiconductor Corp.) C:\WINDOWS\RTHDCPL.exe (Microsoft Corporation) C:\Programme\Windows SteadyState\Bubble.exe (Intel Corporation) C:\WINDOWS\system32\igfxsrvc.exe (Microsoft Corporation) C:\WINDOWS\system32\wbem\unsecapp.exe (AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgtray.exe (Microsoft Corporation) C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Sun Microsystems, Inc.) C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (SONIX) C:\WINDOWS\tsnpstd3.exe () C:\WINDOWS\vsnpstd3.exe (Adobe Systems Incorporated) C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avgnt.exe () C:\Programme\Canon\ImageBrowser EX\MFManager.exe (Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Microsoft Corporation) C:\WINDOWS\system32\wuauclt.exe (Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbam.exe (AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgscanx.exe (AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgcsrvx.exe (Mozilla Corporation) C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Anwendungsdaten\Mozilla Firefox\firefox.exe ==================== Registry (Whitelisted) ================== HKLM\...\Run: [RTHDCPL] => C:\WINDOWS\RTHDCPL.EXE [16876032 2008-07-03] (Realtek Semiconductor Corp.) HKLM\...\Run: [Bubble] => C:\Programme\Windows SteadyState\Bubble.exe [182288 2008-05-30] (Microsoft Corporation) HKLM\...\Run: [Logoff] => C:\Programme\Windows SteadyState\SCTUINotify.exe [163856 2008-05-30] (Microsoft Corporation) HKLM\...\Run: [AVG_TRAY] => C:\Programme\AVG\AVG2012\avgtray.exe [2598520 2012-11-19] (AVG Technologies CZ, s.r.o.) HKLM\...\Run: [GrooveMonitor] => C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation) HKLM\...\Run: [SunJavaUpdateSched] => C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [249064 2010-10-29] (Sun Microsystems, Inc.) HKLM\...\Run: [tsnpstd3] => C:\WINDOWS\tsnpstd3.exe [262144 2007-03-30] (SONIX) HKLM\...\Run: [snpstd3] => C:\WINDOWS\vsnpstd3.exe [843776 2006-09-18] () HKLM\...\Run: [UCam_Menu] => C:\Programme\\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe [218408 2008-12-03] (CyberLink Corp.) HKLM\...\Run: [Adobe Reader Speed Launcher] => C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [38872 2012-07-31] (Adobe Systems Incorporated) HKLM\...\Run: [Adobe ARM] => C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated) HKLM\...\Run: [avgnt] => C:\Programme\Avira\AntiVir Desktop\avgnt.exe [689744 2014-02-20] (Avira Operations GmbH & Co. KG) Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ImageBrowser EX Agent.lnk ShortcutTarget: ImageBrowser EX Agent.lnk -> C:\Programme\Canon\ImageBrowser EX\MFManager.exe () Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\DECRYPT_INSTRUCTION.HTML () Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\DECRYPT_INSTRUCTION.TXT () InternetURL: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\DECRYPT_INSTRUCTION.URL -> https://kpai7ycr7jxqkilp.torexplorer.com/5z9t Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk ShortcutTarget: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation) Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\OneNote Inhaltsverzeichnis.onetoc2 () ==================== Internet (Whitelisted) ==================== HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0xA434F9509B7ACF01 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) BHO: AVG Do Not Track - {31332EEF-CB9F-458F-AFEB-D30E9A66B6BA} - C:\Programme\AVG\AVG2012\avgdtiex.dll (AVG Technologies CZ, s.r.o.) BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.) BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.) DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab DPF: {CAFEEFAC-0014-0002-0001-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation) Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG2012\avgpp.dll (AVG Technologies CZ, s.r.o.) Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) Tcpip\Parameters: [DhcpNameServer] 192.168.2.1 FireFox: ======== FF ProfilePath: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default FF Plugin: @canon.com/MycameraPlugin - C:\Programme\Canon\MyCamera Download Plugin\NPCIG.dll (CANON INC.) FF Plugin: @java.com/JavaPlugin - C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Programme\Microsoft Silverlight\5.1.30214.0\npctrl.dll ( Microsoft Corporation) FF Plugin: @microsoft.com/WPF,version=3.5 - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF Plugin: Adobe Reader - C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF Extension: Microsoft .NET Framework Assistant - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b} [2014-05-30] FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Programme\Java\jre6\lib\deploy\jqs\ff FF Extension: Java Quick Starter - C:\Programme\Java\jre6\lib\deploy\jqs\ff [2011-01-29] FF HKLM\...\Firefox\Extensions: [{F53C93F1-07D5-430c-86D4-C9531B27DFAF}] - C:\Programme\AVG\AVG2012\Firefox\DoNotTrack\ FF Extension: AVG Do Not Track - C:\Programme\AVG\AVG2012\Firefox\DoNotTrack\ [] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ [] FF StartMenuInternet: FIREFOX.EXE - C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Anwendungsdaten\Mozilla Firefox\firefox.exe ========================== Services (Whitelisted) ================= R2 AntiVirSchedulerService; C:\Programme\Avira\AntiVir Desktop\sched.exe [440400 2014-02-20] (Avira Operations GmbH & Co. KG) R2 AntiVirService; C:\Programme\Avira\AntiVir Desktop\avguard.exe [440400 2014-02-20] (Avira Operations GmbH & Co. KG) R2 AntiVirWebService; C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE [1017424 2014-02-20] (Avira Operations GmbH & Co. KG) R2 avgwd; C:\Programme\AVG\AVG2012\avgwdsvc.exe [193288 2012-02-14] (AVG Technologies CZ, s.r.o.) R2 Brother XP spl Service; C:\WINDOWS\system32\brsvc01a.exe [57344 2002-04-12] (brother Industries Ltd) R2 CCALib8; C:\Programme\Canon\CAL\CALMAIN.exe [96334 2009-09-08] (Canon Inc.) R2 JavaQuickStarterService; C:\Programme\Java\jre6\bin\jqs.exe [153376 2011-02-02] (Sun Microsystems, Inc.) R2 MBAMScheduler; C:\Programme\ Malwarebytes Anti-Malware \mbamscheduler.exe [1809720 2014-05-12] (Malwarebytes Corporation) R2 MBAMService; C:\Programme\ Malwarebytes Anti-Malware \mbamservice.exe [860472 2014-05-12] (Malwarebytes Corporation) S3 Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [64856 2009-02-26] (Microsoft Corporation) S3 odserv; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [440696 2011-07-20] (Microsoft Corporation) S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [145184 2006-10-26] (Microsoft Corporation) S2 SkypeUpdate; C:\Programme\Skype\Updater\Updater.exe [172192 2013-10-23] (Skype Technologies) R2 Windows SteadyState; C:\Programme\Windows SteadyState\SCTSvc.exe [115728 2008-05-30] (Microsoft Corporation) R2 YahooAUService; C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe [602392 2008-11-09] (Yahoo! Inc.) ==================== Drivers (Whitelisted) ==================== R3 AtcL001; C:\WINDOWS\System32\DRIVERS\l151x86.sys [37376 2008-11-12] (Atheros Communications, Inc.) R0 AVGIDSHX; C:\WINDOWS\System32\DRIVERS\avgidshx.sys [24896 2012-04-19] (AVG Technologies CZ, s.r.o. ) R1 Avgldx86; C:\WINDOWS\System32\DRIVERS\avgldx86.sys [250080 2012-11-08] (AVG Technologies CZ, s.r.o.) R1 Avgmfx86; C:\WINDOWS\System32\DRIVERS\avgmfx86.sys [41040 2011-12-23] (AVG Technologies CZ, s.r.o.) R2 avgntflt; C:\WINDOWS\System32\DRIVERS\avgntflt.sys [90400 2013-12-21] (Avira Operations GmbH & Co. KG) R0 Avgrkx86; C:\WINDOWS\System32\DRIVERS\avgrkx86.sys [31952 2012-01-31] (AVG Technologies CZ, s.r.o.) R1 avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [135648 2013-12-21] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\WINDOWS\System32\DRIVERS\avkmgr.sys [37352 2013-11-19] (Avira Operations GmbH & Co. KG) S3 CCDECODE; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [17024 2008-04-14] (Microsoft Corporation) R3 MBAMProtector; C:\WINDOWS\system32\drivers\mbam.sys [23256 2014-05-12] (Malwarebytes Corporation) R3 MBAMSwissArmy; C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [110296 2014-05-30] (Malwarebytes Corporation) R3 MTsensor; C:\WINDOWS\System32\DRIVERS\ASACPI.sys [5810 2004-08-13] () S3 NdisIP; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [10880 2008-04-14] (Microsoft Corporation) R3 SNPSTD3; C:\WINDOWS\System32\DRIVERS\snpstd3.sys [10246144 2007-04-13] (Sonix Co. Ltd.) R1 ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [28520 2013-08-11] (Avira GmbH) S3 catchme; \??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\catchme.sys [X] S4 IntelIde; No ImagePath ==================== NetSvcs (Whitelisted) =================== ==================== One Month Created Files and Folders ======== 2014-05-30 17:00 - 2014-05-30 17:00 - 00000708 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\Ereignisse.txt 2014-05-30 16:41 - 2014-05-30 16:41 - 00000133 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\eset.txt 2014-05-30 16:33 - 2014-05-30 16:33 - 00854367 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\SecurityCheck.exe 2014-05-30 13:14 - 2014-05-30 13:14 - 00000000 ____D () C:\Programme\ESET 2014-05-29 13:13 - 2014-05-29 13:13 - 00000614 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\JRT.txt 2014-05-29 12:59 - 2014-05-29 12:59 - 00000000 ____D () C:\WINDOWS\ERUNT 2014-05-29 12:50 - 2014-05-29 12:51 - 00000000 ____D () C:\AdwCleaner 2014-05-28 19:51 - 2014-05-28 19:51 - 00011544 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\hs_err_pid1576.log 2014-05-28 19:44 - 2014-05-30 16:42 - 00110296 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\MBAMSwissArmy.sys 2014-05-28 19:43 - 2014-05-28 19:43 - 00000749 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk 2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Programme\ Malwarebytes Anti-Malware 2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ Malwarebytes Anti-Malware 2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2014-05-28 19:43 - 2014-05-12 07:26 - 00053208 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamchameleon.sys 2014-05-28 19:43 - 2014-05-12 07:25 - 00023256 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys 2014-05-27 17:31 - 2014-05-27 17:31 - 00011909 _____ () C:\ComboFix.txt 2014-05-27 17:24 - 2014-05-27 17:24 - 00000000 _RSHD () C:\cmdcons 2014-05-27 17:24 - 2012-05-28 18:28 - 00000211 _____ () C:\Boot.bak 2014-05-27 17:24 - 2004-08-03 23:00 - 00262448 __RSH () C:\cmldr 2014-05-27 17:17 - 2011-06-26 08:45 - 00256000 _____ () C:\WINDOWS\PEV.exe 2014-05-27 17:17 - 2010-11-07 19:20 - 00208896 _____ () C:\WINDOWS\MBR.exe 2014-05-27 17:17 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe 2014-05-27 17:17 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe 2014-05-27 17:17 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe 2014-05-27 17:17 - 2000-08-31 02:00 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe 2014-05-27 17:17 - 2000-08-31 02:00 - 00098816 _____ () C:\WINDOWS\sed.exe 2014-05-27 17:17 - 2000-08-31 02:00 - 00080412 _____ () C:\WINDOWS\grep.exe 2014-05-27 17:17 - 2000-08-31 02:00 - 00068096 _____ () C:\WINDOWS\zip.exe 2014-05-27 17:16 - 2014-05-27 17:31 - 00000000 ____D () C:\Qoobox 2014-05-27 17:16 - 2014-05-27 17:16 - 00000000 ___RD () C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Verwaltung 2014-05-27 17:15 - 2014-05-27 17:30 - 00000000 ____D () C:\WINDOWS\erdnt 2014-05-27 16:52 - 2014-05-27 16:52 - 00000889 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\Revo Uninstaller.lnk 2014-05-27 16:52 - 2014-05-27 16:52 - 00000000 ____D () C:\Programme\VS Revo Group 2014-05-26 15:57 - 2014-05-26 15:57 - 00000000 ____D () C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun 2014-05-25 19:26 - 2014-05-25 19:26 - 00000000 _____ () C:\Dokumente und Einstellungen\Administrator\defogger_reenable 2014-05-25 19:17 - 2014-05-30 17:03 - 00000000 ____D () C:\FRST 2014-05-25 19:14 - 2014-05-25 19:14 - 00000000 _____ () C:\Dokumente und Einstellungen\ulli\defogger_reenable 2014-05-25 16:16 - 2014-05-25 16:17 - 00000432 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.URL 2014-05-25 16:16 - 2014-05-25 16:16 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.HTML 2014-05-25 16:16 - 2014-05-25 16:16 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.TXT 2014-05-25 16:06 - 2014-05-25 16:06 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\TuneUp Software 2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.HTML 2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML 2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.HTML 2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.HTML 2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.TXT 2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT 2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.TXT 2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.TXT 2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.URL 2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.URL 2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.URL 2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.URL 2014-05-25 09:55 - 2014-05-25 09:55 - 00000000 ____D () C:\Dokumente und Einstellungen\installieren\Anwendungsdaten\CANON INC 2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML 2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML 2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT 2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT 2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.URL 2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.URL 2014-05-25 09:16 - 2014-05-25 09:46 - 00030744 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Tröde.xls 2014-05-15 15:48 - 2014-05-15 15:48 - 00000000 ____D () C:\Programme\Gemeinsame Dateien\DESIGNER 2014-05-14 15:04 - 2014-05-14 15:04 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\Canon Utilities 2014-05-04 08:51 - 2014-05-04 08:52 - 00005589 _____ () C:\WINDOWS\KB2964358-IE8.log ==================== One Month Modified Files and Folders ======= 2014-05-30 17:03 - 2014-05-25 19:17 - 00000000 ____D () C:\FRST 2014-05-30 17:00 - 2014-05-30 17:00 - 00000708 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\Ereignisse.txt 2014-05-30 17:00 - 2012-05-17 14:11 - 00000884 _____ () C:\WINDOWS\Tasks\Adobe Flash Player Updater.job 2014-05-30 16:42 - 2014-05-28 19:44 - 00110296 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\MBAMSwissArmy.sys 2014-05-30 16:41 - 2014-05-30 16:41 - 00000133 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\eset.txt 2014-05-30 16:41 - 2011-03-05 10:39 - 00000000 ____D () C:\WINDOWS\system32\NtmsData 2014-05-30 16:40 - 2011-01-28 17:21 - 00000000 ____D () C:\WINDOWS\Registration 2014-05-30 16:33 - 2014-05-30 16:33 - 00854367 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\SecurityCheck.exe 2014-05-30 13:14 - 2014-05-30 13:14 - 00000000 ____D () C:\Programme\ESET 2014-05-30 13:14 - 2011-01-28 16:41 - 00000000 ___RD () C:\Programme 2014-05-30 13:11 - 2011-01-28 17:22 - 01496774 _____ () C:\WINDOWS\WindowsUpdate.log 2014-05-30 13:03 - 2011-01-29 12:24 - 00000000 ____D () C:\WINDOWS\system32\Drivers\AVG 2014-05-30 12:56 - 2014-03-31 14:45 - 00000236 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Benachrichtigung – Anmeldung.job 2014-05-30 12:56 - 2008-04-14 14:00 - 00013646 _____ () C:\WINDOWS\system32\wpa.dbl 2014-05-30 12:55 - 2011-01-28 17:30 - 00000006 ____H () C:\WINDOWS\Tasks\SA.DAT 2014-05-30 12:55 - 2011-01-28 16:43 - 00000159 _____ () C:\WINDOWS\wiadebug.log 2014-05-30 12:55 - 2011-01-28 16:43 - 00000050 _____ () C:\WINDOWS\wiaservc.log 2014-05-29 13:22 - 2011-01-28 17:30 - 00032636 _____ () C:\WINDOWS\SchedLgU.Txt 2014-05-29 13:21 - 2011-01-29 15:36 - 00000190 ___SH () C:\Dokumente und Einstellungen\Administrator\ntuser.ini 2014-05-29 13:21 - 2011-01-29 15:36 - 00000000 ____D () C:\Dokumente und Einstellungen\Administrator 2014-05-29 13:13 - 2014-05-29 13:13 - 00000614 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\JRT.txt 2014-05-29 12:59 - 2014-05-29 12:59 - 00000000 ____D () C:\WINDOWS\ERUNT 2014-05-29 12:51 - 2014-05-29 12:50 - 00000000 ____D () C:\AdwCleaner 2014-05-28 20:37 - 2011-01-28 17:25 - 00000000 __SHD () C:\Dokumente und Einstellungen\NetworkService 2014-05-28 19:51 - 2014-05-28 19:51 - 00011544 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\hs_err_pid1576.log 2014-05-28 19:43 - 2014-05-28 19:43 - 00000749 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk 2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Programme\ Malwarebytes Anti-Malware 2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ Malwarebytes Anti-Malware 2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2014-05-28 19:43 - 2011-01-28 16:41 - 00000000 ___RD () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme 2014-05-27 17:31 - 2014-05-27 17:31 - 00011909 _____ () C:\ComboFix.txt 2014-05-27 17:31 - 2014-05-27 17:16 - 00000000 ____D () C:\Qoobox 2014-05-27 17:30 - 2014-05-27 17:15 - 00000000 ____D () C:\WINDOWS\erdnt 2014-05-27 17:30 - 2008-04-14 14:00 - 00000227 _____ () C:\WINDOWS\system.ini 2014-05-27 17:29 - 2011-01-28 19:26 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli 2014-05-27 17:24 - 2014-05-27 17:24 - 00000000 _RSHD () C:\cmdcons 2014-05-27 17:24 - 2011-01-28 17:40 - 00000327 __RSH () C:\boot.ini 2014-05-27 17:16 - 2014-05-27 17:16 - 00000000 ___RD () C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Verwaltung 2014-05-27 17:16 - 2011-01-29 15:36 - 00000000 ___RD () C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme 2014-05-27 17:03 - 2014-02-18 17:34 - 00000000 ____D () C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Yahoo! 2014-05-27 16:57 - 2011-01-28 16:41 - 00000000 ___RD () C:\Dokumente und Einstellungen\All Users\Startmenü 2014-05-27 16:52 - 2014-05-27 16:52 - 00000889 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\Revo Uninstaller.lnk 2014-05-27 16:52 - 2014-05-27 16:52 - 00000000 ____D () C:\Programme\VS Revo Group 2014-05-26 15:57 - 2014-05-26 15:57 - 00000000 ____D () C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun 2014-05-26 15:50 - 2011-01-28 19:26 - 00000190 ___SH () C:\Dokumente und Einstellungen\ulli\ntuser.ini 2014-05-25 19:26 - 2014-05-25 19:26 - 00000000 _____ () C:\Dokumente und Einstellungen\Administrator\defogger_reenable 2014-05-25 19:14 - 2014-05-25 19:14 - 00000000 _____ () C:\Dokumente und Einstellungen\ulli\defogger_reenable 2014-05-25 16:17 - 2014-05-25 16:16 - 00000432 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.URL 2014-05-25 16:16 - 2014-05-25 16:16 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.HTML 2014-05-25 16:16 - 2014-05-25 16:16 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.TXT 2014-05-25 16:16 - 2011-01-28 19:26 - 00000000 ___RD () C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart 2014-05-25 16:09 - 2011-01-28 19:26 - 00001599 _____ () C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Remoteunterstützung.lnk 2014-05-25 16:06 - 2014-05-25 16:06 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\TuneUp Software 2014-05-25 15:54 - 2011-01-28 17:48 - 00000190 ___SH () C:\Dokumente und Einstellungen\installieren\ntuser.ini 2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.HTML 2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML 2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.HTML 2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.HTML 2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.TXT 2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT 2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.TXT 2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.TXT 2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.URL 2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.URL 2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.URL 2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.URL 2014-05-25 12:15 - 2013-08-31 13:52 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\löcher 2014-05-25 12:15 - 2012-04-07 14:49 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\Opera 2014-05-25 12:15 - 2011-07-30 10:43 - 00000000 ___RD () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\Eigene Bilder 2014-05-25 10:37 - 2013-10-27 20:38 - 00598336 _____ () C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat 2014-05-25 10:13 - 2013-01-02 11:32 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Canon Utilities 2014-05-25 10:12 - 2013-01-02 11:19 - 00000000 ____D () C:\Programme\Canon 2014-05-25 09:59 - 2011-01-28 17:48 - 00000000 ___RD () C:\Dokumente und Einstellungen\installieren\Eigene Dateien\Eigene Bilder 2014-05-25 09:55 - 2014-05-25 09:55 - 00000000 ____D () C:\Dokumente und Einstellungen\installieren\Anwendungsdaten\CANON INC 2014-05-25 09:46 - 2014-05-25 09:16 - 00030744 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Tröde.xls 2014-05-25 09:25 - 2014-04-18 17:30 - 00010776 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\lfd. Kosten.xlsx 2014-05-25 09:25 - 2014-01-25 13:39 - 00167192 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Niklas 25.Januar 14.00 Uhr.odt 2014-05-25 09:25 - 2014-01-25 11:51 - 00019992 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Anmerkungen 25.01. 12 Uhr.odt 2014-05-25 09:25 - 2014-01-25 11:09 - 00166168 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Niklas 25.Januar 12.00 Uhr.odt 2014-05-25 09:25 - 2014-01-24 17:42 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Desktop\OpenOffice 4.0.1 (de) Installation Files 2014-05-25 09:25 - 2013-09-29 11:57 - 00062232 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Lebenslauf aktuell[1].odt 2014-05-25 09:25 - 2013-09-09 18:03 - 00020504 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Termine 2013-2014(1).xlsx 2014-05-25 09:25 - 2013-09-03 16:36 - 00013336 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Ausstellung.xlsx 2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML 2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML 2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT 2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT 2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.URL 2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.URL 2014-05-25 09:24 - 2014-01-25 09:27 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\OpenOffice 2014-05-25 09:24 - 2014-01-15 20:29 - 00025880 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Adressen Beerdigung.xls 2014-05-25 09:24 - 2013-01-02 11:51 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\Canon_Inc_IC 2014-05-25 09:24 - 2013-01-02 11:50 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\CANON INC 2014-05-25 09:24 - 2012-12-25 16:42 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canon_Inc_IC 2014-05-25 09:24 - 2011-08-30 17:37 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\Skype 2014-05-25 09:24 - 2011-05-07 18:37 - 00033304 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Adressen.xls 2014-05-25 09:24 - 2011-02-20 16:15 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\Adobe 2014-05-23 17:20 - 2011-07-30 10:43 - 00213504 ___SH () C:\Dokumente und Einstellungen\ulli\Desktop\Thumbs.db 2014-05-21 19:26 - 2011-01-29 11:36 - 00000000 __SHD () C:\WINDOWS\CSC 2014-05-15 16:00 - 2012-05-17 14:11 - 00692400 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerApp.exe 2014-05-15 16:00 - 2012-05-17 14:11 - 00070832 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerCPLApp.cpl 2014-05-15 15:51 - 2011-02-19 19:14 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2014-05-15 15:50 - 2013-07-13 20:17 - 00000000 ____D () C:\WINDOWS\system32\MRT 2014-05-15 15:48 - 2014-05-15 15:48 - 00000000 ____D () C:\Programme\Gemeinsame Dateien\DESIGNER 2014-05-15 15:48 - 2011-01-28 19:13 - 90547776 _____ (Microsoft Corporation) C:\WINDOWS\system32\MRT.exe 2014-05-14 15:04 - 2014-05-14 15:04 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\Canon Utilities 2014-05-12 07:26 - 2014-05-28 19:43 - 00053208 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamchameleon.sys 2014-05-12 07:25 - 2014-05-28 19:43 - 00023256 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys 2014-05-08 15:00 - 2014-03-31 14:45 - 00000230 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job 2014-05-04 08:52 - 2014-05-04 08:51 - 00005589 _____ () C:\WINDOWS\KB2964358-IE8.log 2014-05-04 08:52 - 2011-01-28 19:14 - 00271981 _____ () C:\WINDOWS\updspapi.log 2014-05-04 08:52 - 2011-01-28 19:14 - 00000000 ____D () C:\WINDOWS\ie8updates 2014-05-04 08:52 - 2011-01-28 16:41 - 01952029 _____ () C:\WINDOWS\iis6.log 2014-05-04 08:52 - 2011-01-28 16:41 - 01767445 _____ () C:\WINDOWS\FaxSetup.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00854276 _____ () C:\WINDOWS\ocgen.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00811976 _____ () C:\WINDOWS\tsoc.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00601750 _____ () C:\WINDOWS\comsetup.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00547924 _____ () C:\WINDOWS\msmqinst.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00362459 _____ () C:\WINDOWS\ntdtcsetup.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00310362 _____ () C:\WINDOWS\netfxocm.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00122186 _____ () C:\WINDOWS\MedCtrOC.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00098013 _____ () C:\WINDOWS\ocmsn.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00089576 _____ () C:\WINDOWS\tabletoc.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00088627 _____ () C:\WINDOWS\msgsocm.log 2014-05-04 08:52 - 2011-01-28 16:41 - 00001355 _____ () C:\WINDOWS\imsins.log 2014-04-30 10:13 - 2008-04-14 14:00 - 06022144 ____C (Microsoft Corporation) C:\WINDOWS\system32\dllcache\mshtml.dll 2014-04-30 10:13 - 2008-04-14 14:00 - 06022144 _____ (Microsoft Corporation) C:\WINDOWS\system32\mshtml.dll Some content of TEMP: ==================== C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\avgnt.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Quarantine.exe ==================== Bamital & volsnap Check ================= C:\WINDOWS\explorer.exe [2008-04-14 14:00] - [2008-04-14 14:00] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e C:\WINDOWS\system32\winlogon.exe [2008-04-14 14:00] - [2008-04-14 14:00] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a C:\WINDOWS\system32\svchost.exe [2008-04-14 14:00] - [2008-04-14 14:00] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366 C:\WINDOWS\system32\services.exe [2008-04-14 14:00] - [2009-02-09 13:21] - 0111104 ____A (Microsoft Corporation) a3edbe9053889fb24ab22492472b39dc C:\WINDOWS\system32\User32.dll [2008-04-14 14:00] - [2008-04-14 14:00] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd C:\WINDOWS\system32\userinit.exe [2008-04-14 14:00] - [2008-04-14 14:00] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106 C:\WINDOWS\system32\rpcss.dll [2008-04-14 14:00] - [2009-02-09 12:51] - 0401408 ____A (Microsoft Corporation) 3127afbf2c1ed0ab14a1bbb7aaecb85b ATTENTION ======> If the system is having audio adware rpcss.dll is patched. Google the MD5, if the MD5 is unique the file is infected. C:\WINDOWS\system32\Drivers\volsnap.sys [2008-04-14 14:00] - [2008-04-14 14:00] - 0053760 ____A (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d ==================== End Of Log ============================ --- --- --- --- --- --- zwischendurch hat sich antivir gemeldet. hab das ereignis mal exportiert: Code:
ATTFilter Exportierte Ereignisse:
30.05.2014 16:01 [Echtzeit-Scanner] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{70F13310-2DC3-4005-912E-740C56AB6B92}\RP497\A0137880.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.Xpack.68064' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff erlauben
gruß fredde |
|
31.05.2014, 15:11
| #10 |
| /// the machine /// TB-Ausbilder | Lösegeldtrojaner Java, Adobe und Firefox updaten. Der Fund ist nur n der SWH, nicht wild. Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop. Schließe nun alle offenen Programme und trenne Dich von dem Internet. Doppelklick auf die TFC.exe und drücke auf Start. Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen. Welche Dateien sind nicht zu öffnen? Fehlermeldung?
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
01.06.2014, 12:27
| #11 |
| | Lösegeldtrojaner Hi, hab tfc ausgeführt. keine besserung. office dateien und bilder sind nicht zu öffnen. bei den word dateien kam erst der kommentar, dass das keine word datei sei. mittlerweile steht da, dass Konverter mswrd632 nicht gestartet werden kann... allerdings sind die dateien auch mit dem editor nicht zu öffnen, so dass der fehler nicht bei word liegen kann... die bilder können auch nicht geöffnet werden... die bildanzeige meldet nichts, wenn ich die z.B. mit paint öffnen will, dann sagt der pc, dass die datei nicht gelesen werden kann, da sie keine gültige bitmapdatei ist... |
|
02.06.2014, 12:01
| #12 |
| /// the machine /// TB-Ausbilder | Lösegeldtrojaner Eine Beispieldatei bitte zippen und anhängen.
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
03.06.2014, 18:10
| #13 |
| | Lösegeldtrojaner sorry, war gestern erst spät zuhause. hier ist eine word datei. |
|
03.06.2014, 18:12
| #14 |
| | Lösegeldtrojaner die datei heißt index.php, ist aber eine word datei... kann leider auch nicht sagen, was da drin steht, da ich sie ja nicht öffnen kann... gruß fredde |
|
04.06.2014, 12:41
| #15 |
| /// the machine /// TB-Ausbilder | Lösegeldtrojaner und wenn Du die Dateierweiterung php wieder nach Word änderst?
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
Revo Uninstaller herunter.
dann auf 
und dann auf 
.
WARNUNG an die MITLESER: 
Linear-Darstellung
