Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Lösegeldtrojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.05.2014, 18:59   #1
fredde
 
Lösegeldtrojaner - Standard

Lösegeldtrojaner



Hallo,
ich hoffe ihr könnt mir helfen. ich habe auf einem Familienrechner mit XP einen Lösegeldtrojaner gefunden und brauche dringend Hilfe. Scheinbar sind alle Dateien verschlüsselt.

Ich habe die gewünschten Logs angefügt.
Mit freundlichen Grüßen fredde
Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 19:26 on 25/05/2014 (Administrator)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
         
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:25-05-2014 01
Ran by Administrator (administrator) on U-A8BFC738B4404 on 25-05-2014 19:49:01
Running from C:\Dokumente und Einstellungen\Administrator\Desktop\viren
Platform: Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Normal

The only official download link for FRST:
Download link for 32-Bit version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/ 
Download link for 64-Bit Version: hxxp://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/ 
Download link from any site other than Bleeping Computer is unpermitted or outdated.
See tutorial for FRST: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Processes (Whitelisted) =================

(AVG Technologies CZ, s.r.o.) C:\PROGRA~1\AVG\AVG2012\avgrsx.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgcsrvx.exe
(Microsoft Corporation) C:\Programme\Windows SteadyState\SCTSvc.exe
(brother Industries Ltd) C:\WINDOWS\system32\BRSVC01A.EXE
(brother Industries Ltd) C:\WINDOWS\system32\BRSS01A.EXE
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avguard.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgwdsvc.exe
(Sun Microsystems, Inc.) C:\Programme\Java\jre6\bin\jqs.exe
(Yahoo! Inc.) C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
(Canon Inc.) C:\Programme\Canon\CAL\CALMAIN.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avshadow.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe
(Intel Corporation) C:\WINDOWS\system32\igfxtray.exe
(Intel Corporation) C:\WINDOWS\system32\hkcmd.exe
(Intel Corporation) C:\WINDOWS\system32\igfxpers.exe
(Intel Corporation) C:\WINDOWS\system32\igfxsrvc.exe
(Realtek Semiconductor Corp.) C:\WINDOWS\RTHDCPL.exe
(Microsoft Corporation) C:\Programme\Windows SteadyState\Bubble.exe
(Microsoft Corporation) C:\WINDOWS\system32\wbem\unsecapp.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgtray.exe
(Microsoft Corporation) C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
(Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe
(Sun Microsystems, Inc.) C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
(SONIX) C:\WINDOWS\tsnpstd3.exe
() C:\WINDOWS\vsnpstd3.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avgnt.exe
() C:\Programme\Canon\ImageBrowser EX\MFManager.exe
(Microsoft Corporation) C:\WINDOWS\system32\wuauclt.exe
(Adobe Systems Incorporated) C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
(Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe
(Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe
(Yahoo! Inc.) C:\Programme\Yahoo!\Companion\Installs\cpn0\ytbb.exe
(Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe
(Microsoft Corporation) C:\Programme\Internet Explorer\iexplore.exe


==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RTHDCPL] => C:\WINDOWS\RTHDCPL.EXE [16876032 2008-07-03] (Realtek Semiconductor Corp.)
HKLM\...\Run: [Alcmtr] => C:\WINDOWS\ALCMTR.EXE [57344 2008-06-19] (Realtek Semiconductor Corp.)
HKLM\...\Run: [Bubble] => C:\Programme\Windows SteadyState\Bubble.exe [182288 2008-05-30] (Microsoft Corporation)
HKLM\...\Run: [Logoff] => C:\Programme\Windows SteadyState\SCTUINotify.exe [163856 2008-05-30] (Microsoft Corporation)
HKLM\...\Run: [AVG_TRAY] => C:\Programme\AVG\AVG2012\avgtray.exe [2598520 2012-11-19] (AVG Technologies CZ, s.r.o.)
HKLM\...\Run: [GrooveMonitor] => C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
HKLM\...\Run: [SunJavaUpdateSched] => C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [249064 2010-10-29] (Sun Microsystems, Inc.)
HKLM\...\Run: [tsnpstd3] => C:\WINDOWS\tsnpstd3.exe [262144 2007-03-30] (SONIX)
HKLM\...\Run: [snpstd3] => C:\WINDOWS\vsnpstd3.exe [843776 2006-09-18] ()
HKLM\...\Run: [UCam_Menu] => C:\Programme\\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe [218408 2008-12-03] (CyberLink Corp.)
HKLM\...\Run: [Adobe Reader Speed Launcher] => C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [38872 2012-07-31] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] => C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [avgnt] => C:\Programme\Avira\AntiVir Desktop\avgnt.exe [689744 2014-02-20] (Avira Operations GmbH & Co. KG)
Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ImageBrowser EX Agent.lnk
ShortcutTarget: ImageBrowser EX Agent.lnk -> C:\Programme\Canon\ImageBrowser EX\MFManager.exe ()
Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\DECRYPT_INSTRUCTION.HTML ()
Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\DECRYPT_INSTRUCTION.TXT ()
InternetURL: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\DECRYPT_INSTRUCTION.URL -> https://kpai7ycr7jxqkilp.torexplorer.com/5z9t
Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\OneNote Inhaltsverzeichnis.onetoc2 ()

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0xB47DE8493E78CF01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
URLSearchHook: HKCU - YTNavAssistPlugin Class - {81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)
BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO: AVG Do Not Track - {31332EEF-CB9F-458F-AFEB-D30E9A66B6BA} - C:\Programme\AVG\AVG2012\avgdtiex.dll (AVG Technologies CZ, s.r.o.)
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll (Yahoo! Inc)
Toolbar: HKLM - Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-0014-0002-0001-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG2012\avgpp.dll (AVG Technologies CZ, s.r.o.)
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
Winsock: Catalog9 01 C:\Programme\Avira\AntiVir Desktop\avsda.dll [257608] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 02 C:\Programme\Avira\AntiVir Desktop\avsda.dll [257608] (Avira Operations GmbH & Co. KG)
Winsock: Catalog9 16 C:\Programme\Avira\AntiVir Desktop\avsda.dll [257608] (Avira Operations GmbH & Co. KG)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

FireFox:
========
FF ProfilePath: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default
FF Plugin: @canon.com/MycameraPlugin - C:\Programme\Canon\MyCamera Download Plugin\NPCIG.dll (CANON INC.)
FF Plugin: @java.com/JavaPlugin - C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Programme\Microsoft Silverlight\5.1.30214.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: Adobe Reader - C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Extension: No Name - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default\Extensions\staged-xpis [2014-02-18]
FF Extension: No Name - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b} [2014-02-18]
FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Programme\Java\jre6\lib\deploy\jqs\ff
FF Extension: Java Quick Starter - C:\Programme\Java\jre6\lib\deploy\jqs\ff [2011-01-29]
FF HKLM\...\Firefox\Extensions: [{F53C93F1-07D5-430c-86D4-C9531B27DFAF}] - C:\Programme\AVG\AVG2012\Firefox\DoNotTrack\
FF Extension: AVG Do Not Track - C:\Programme\AVG\AVG2012\Firefox\DoNotTrack\ []
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ []
FF StartMenuInternet: FIREFOX.EXE - C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Anwendungsdaten\Mozilla Firefox\firefox.exe

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Programme\Avira\AntiVir Desktop\sched.exe [440400 2014-02-20] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Programme\Avira\AntiVir Desktop\avguard.exe [440400 2014-02-20] (Avira Operations GmbH & Co. KG)
R2 AntiVirWebService; C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE [1017424 2014-02-20] (Avira Operations GmbH & Co. KG)
R2 avgwd; C:\Programme\AVG\AVG2012\avgwdsvc.exe [193288 2012-02-14] (AVG Technologies CZ, s.r.o.)
R2 Brother XP spl Service; C:\WINDOWS\system32\brsvc01a.exe [57344 2002-04-12] (brother Industries Ltd)
R2 CCALib8; C:\Programme\Canon\CAL\CALMAIN.exe [96334 2009-09-08] (Canon Inc.)
R2 JavaQuickStarterService; C:\Programme\Java\jre6\bin\jqs.exe [153376 2011-02-02] (Sun Microsystems, Inc.)
S3 Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [64856 2009-02-26] (Microsoft Corporation)
S3 odserv; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [440696 2011-07-20] (Microsoft Corporation)
S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [145184 2006-10-26] (Microsoft Corporation)
S2 SkypeUpdate; C:\Programme\Skype\Updater\Updater.exe [172192 2013-10-23] (Skype Technologies)
R2 Windows SteadyState; C:\Programme\Windows SteadyState\SCTSvc.exe [115728 2008-05-30] (Microsoft Corporation)
R2 YahooAUService; C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe [602392 2008-11-09] (Yahoo! Inc.)

==================== Drivers (Whitelisted) ====================

R3 AtcL001; C:\WINDOWS\System32\DRIVERS\l151x86.sys [37376 2008-11-12] (Atheros Communications, Inc.)
R0 AVGIDSHX; C:\WINDOWS\System32\DRIVERS\avgidshx.sys [24896 2012-04-19] (AVG Technologies CZ, s.r.o. )
R1 Avgldx86; C:\WINDOWS\System32\DRIVERS\avgldx86.sys [250080 2012-11-08] (AVG Technologies CZ, s.r.o.)
R1 Avgmfx86; C:\WINDOWS\System32\DRIVERS\avgmfx86.sys [41040 2011-12-23] (AVG Technologies CZ, s.r.o.)
R2 avgntflt; C:\WINDOWS\System32\DRIVERS\avgntflt.sys [90400 2013-12-21] (Avira Operations GmbH & Co. KG)
R0 Avgrkx86; C:\WINDOWS\System32\DRIVERS\avgrkx86.sys [31952 2012-01-31] (AVG Technologies CZ, s.r.o.)
R1 avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [135648 2013-12-21] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\WINDOWS\System32\DRIVERS\avkmgr.sys [37352 2013-11-19] (Avira Operations GmbH & Co. KG)
S3 CCDECODE; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [17024 2008-04-14] (Microsoft Corporation)
R3 MTsensor; C:\WINDOWS\System32\DRIVERS\ASACPI.sys [5810 2004-08-13] ()
S3 NdisIP; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [10880 2008-04-14] (Microsoft Corporation)
R3 SNPSTD3; C:\WINDOWS\System32\DRIVERS\snpstd3.sys [10246144 2007-04-13] (Sonix Co. Ltd.)
R1 ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [28520 2013-08-11] (Avira GmbH)
S4 IntelIde; No ImagePath
U1 WS2IFSL; 
U3 kfpcrpod; \??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kfpcrpod.sys [X]
U3 kfpcrpog; \??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kfpcrpog.sys [X]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-05-25 19:26 - 2014-05-25 19:26 - 00000000 _____ () C:\Dokumente und Einstellungen\Administrator\defogger_reenable
2014-05-25 19:17 - 2014-05-25 19:49 - 00000000 ____D () C:\FRST
2014-05-25 19:14 - 2014-05-25 19:14 - 00000000 _____ () C:\Dokumente und Einstellungen\ulli\defogger_reenable
2014-05-25 16:16 - 2014-05-25 16:17 - 00000432 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.URL
2014-05-25 16:16 - 2014-05-25 16:16 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.HTML
2014-05-25 16:16 - 2014-05-25 16:16 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.TXT
2014-05-25 16:06 - 2014-05-25 16:06 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\TuneUp Software
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.URL
2014-05-25 09:55 - 2014-05-25 09:55 - 00000000 ____D () C:\Dokumente und Einstellungen\installieren\Anwendungsdaten\CANON INC
2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 09:16 - 2014-05-25 09:46 - 00030744 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Tröde.xls
2014-05-15 15:48 - 2014-05-15 15:48 - 00000000 ____D () C:\Programme\Gemeinsame Dateien\DESIGNER
2014-05-14 15:04 - 2014-05-14 15:04 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\Canon Utilities
2014-05-04 08:51 - 2014-05-04 08:52 - 00005589 _____ () C:\WINDOWS\KB2964358-IE8.log
2014-04-25 11:36 - 2014-04-25 11:36 - 01069776 _____ (Solid State Networks) C:\Dokumente und Einstellungen\ulli\Desktop\install_flashplayer13x32_chra_aaa_aih.exe

==================== One Month Modified Files and Folders =======

2014-05-25 19:49 - 2014-05-25 19:17 - 00000000 ____D () C:\FRST
2014-05-25 19:26 - 2014-05-25 19:26 - 00000000 _____ () C:\Dokumente und Einstellungen\Administrator\defogger_reenable
2014-05-25 19:26 - 2011-01-29 15:36 - 00000000 ____D () C:\Dokumente und Einstellungen\Administrator
2014-05-25 19:25 - 2011-01-28 17:22 - 01356680 _____ () C:\WINDOWS\WindowsUpdate.log
2014-05-25 19:24 - 2014-03-31 14:45 - 00000236 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP –  Benachrichtigung – Anmeldung.job
2014-05-25 19:24 - 2012-01-27 17:35 - 00000384 _____ () C:\WINDOWS\Tasks\Final Media Player Update Checker.job
2014-05-25 19:24 - 2011-01-28 16:43 - 00000159 _____ () C:\WINDOWS\wiadebug.log
2014-05-25 19:24 - 2011-01-28 16:43 - 00000050 _____ () C:\WINDOWS\wiaservc.log
2014-05-25 19:24 - 2008-04-14 14:00 - 00013646 _____ () C:\WINDOWS\system32\wpa.dbl
2014-05-25 19:23 - 2011-01-28 17:30 - 00000006 ____H () C:\WINDOWS\Tasks\SA.DAT
2014-05-25 19:22 - 2011-01-28 19:26 - 00000190 ___SH () C:\Dokumente und Einstellungen\ulli\ntuser.ini
2014-05-25 19:22 - 2011-01-28 19:26 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli
2014-05-25 19:22 - 2011-01-28 17:30 - 00032590 _____ () C:\WINDOWS\SchedLgU.Txt
2014-05-25 19:14 - 2014-05-25 19:14 - 00000000 _____ () C:\Dokumente und Einstellungen\ulli\defogger_reenable
2014-05-25 19:00 - 2012-05-17 14:11 - 00000884 _____ () C:\WINDOWS\Tasks\Adobe Flash Player Updater.job
2014-05-25 18:49 - 2011-03-05 10:39 - 00000000 ____D () C:\WINDOWS\system32\NtmsData
2014-05-25 18:31 - 2011-01-29 12:24 - 00000000 ____D () C:\WINDOWS\system32\Drivers\AVG
2014-05-25 18:27 - 2011-01-28 17:21 - 00000000 ____D () C:\WINDOWS\Registration
2014-05-25 16:17 - 2014-05-25 16:16 - 00000432 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.URL
2014-05-25 16:16 - 2014-05-25 16:16 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.HTML
2014-05-25 16:16 - 2014-05-25 16:16 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.TXT
2014-05-25 16:16 - 2011-01-28 19:26 - 00000000 ___RD () C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart
2014-05-25 16:09 - 2011-01-28 19:26 - 00001599 _____ () C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Remoteunterstützung.lnk
2014-05-25 16:06 - 2014-05-25 16:06 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\TuneUp Software
2014-05-25 15:54 - 2011-01-28 17:48 - 00000190 ___SH () C:\Dokumente und Einstellungen\installieren\ntuser.ini
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2013-08-31 13:52 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\löcher
2014-05-25 12:15 - 2012-04-07 14:49 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\Opera
2014-05-25 12:15 - 2011-07-30 10:43 - 00000000 ___RD () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\Eigene Bilder
2014-05-25 10:37 - 2013-10-27 20:38 - 00598336 _____ () C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2014-05-25 10:13 - 2013-01-02 11:32 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Canon Utilities
2014-05-25 10:12 - 2013-01-02 11:19 - 00000000 ____D () C:\Programme\Canon
2014-05-25 09:59 - 2011-01-28 17:48 - 00000000 ___RD () C:\Dokumente und Einstellungen\installieren\Eigene Dateien\Eigene Bilder
2014-05-25 09:55 - 2014-05-25 09:55 - 00000000 ____D () C:\Dokumente und Einstellungen\installieren\Anwendungsdaten\CANON INC
2014-05-25 09:46 - 2014-05-25 09:16 - 00030744 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Tröde.xls
2014-05-25 09:25 - 2014-04-18 17:30 - 00010776 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\lfd. Kosten.xlsx
2014-05-25 09:25 - 2014-01-25 13:39 - 00167192 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Niklas 25.Januar 14.00 Uhr.odt
2014-05-25 09:25 - 2014-01-25 11:51 - 00019992 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Anmerkungen 25.01. 12 Uhr.odt
2014-05-25 09:25 - 2014-01-25 11:09 - 00166168 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Niklas 25.Januar 12.00 Uhr.odt
2014-05-25 09:25 - 2014-01-24 17:42 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Desktop\OpenOffice 4.0.1 (de) Installation Files
2014-05-25 09:25 - 2013-09-29 11:57 - 00062232 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Lebenslauf aktuell[1].odt
2014-05-25 09:25 - 2013-09-09 18:03 - 00020504 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Termine 2013-2014(1).xlsx
2014-05-25 09:25 - 2013-09-03 16:36 - 00013336 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Ausstellung.xlsx
2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 09:24 - 2014-01-25 09:27 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\OpenOffice
2014-05-25 09:24 - 2014-01-15 20:29 - 00025880 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Adressen Beerdigung.xls
2014-05-25 09:24 - 2013-01-02 11:51 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\Canon_Inc_IC
2014-05-25 09:24 - 2013-01-02 11:50 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\CANON INC
2014-05-25 09:24 - 2012-12-25 16:42 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canon_Inc_IC
2014-05-25 09:24 - 2011-08-30 17:37 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\Skype
2014-05-25 09:24 - 2011-05-07 18:37 - 00033304 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Adressen.xls
2014-05-25 09:24 - 2011-02-20 16:15 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\Adobe
2014-05-23 17:20 - 2011-07-30 10:43 - 00213504 ___SH () C:\Dokumente und Einstellungen\ulli\Desktop\Thumbs.db
2014-05-21 19:26 - 2011-01-29 11:36 - 00000000 __SHD () C:\WINDOWS\CSC
2014-05-15 16:00 - 2012-05-17 14:11 - 00692400 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerApp.exe
2014-05-15 16:00 - 2012-05-17 14:11 - 00070832 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
2014-05-15 15:51 - 2011-02-19 19:14 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2014-05-15 15:50 - 2013-07-13 20:17 - 00000000 ____D () C:\WINDOWS\system32\MRT
2014-05-15 15:48 - 2014-05-15 15:48 - 00000000 ____D () C:\Programme\Gemeinsame Dateien\DESIGNER
2014-05-15 15:48 - 2011-01-28 19:13 - 90547776 _____ (Microsoft Corporation) C:\WINDOWS\system32\MRT.exe
2014-05-14 15:04 - 2014-05-14 15:04 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\Canon Utilities
2014-05-08 15:00 - 2014-03-31 14:45 - 00000230 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job
2014-05-04 08:52 - 2014-05-04 08:51 - 00005589 _____ () C:\WINDOWS\KB2964358-IE8.log
2014-05-04 08:52 - 2011-01-28 19:14 - 00271981 _____ () C:\WINDOWS\updspapi.log
2014-05-04 08:52 - 2011-01-28 19:14 - 00000000 ____D () C:\WINDOWS\ie8updates
2014-05-04 08:52 - 2011-01-28 16:41 - 01952029 _____ () C:\WINDOWS\iis6.log
2014-05-04 08:52 - 2011-01-28 16:41 - 01767445 _____ () C:\WINDOWS\FaxSetup.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00854276 _____ () C:\WINDOWS\ocgen.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00811976 _____ () C:\WINDOWS\tsoc.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00601750 _____ () C:\WINDOWS\comsetup.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00547924 _____ () C:\WINDOWS\msmqinst.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00362459 _____ () C:\WINDOWS\ntdtcsetup.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00310362 _____ () C:\WINDOWS\netfxocm.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00122186 _____ () C:\WINDOWS\MedCtrOC.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00098013 _____ () C:\WINDOWS\ocmsn.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00089576 _____ () C:\WINDOWS\tabletoc.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00088627 _____ () C:\WINDOWS\msgsocm.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00001355 _____ () C:\WINDOWS\imsins.log
2014-04-30 10:13 - 2008-04-14 14:00 - 06022144 ____C (Microsoft Corporation) C:\WINDOWS\system32\dllcache\mshtml.dll
2014-04-30 10:13 - 2008-04-14 14:00 - 06022144 _____ (Microsoft Corporation) C:\WINDOWS\system32\mshtml.dll
2014-04-25 11:36 - 2014-04-25 11:36 - 01069776 _____ (Solid State Networks) C:\Dokumente und Einstellungen\ulli\Desktop\install_flashplayer13x32_chra_aaa_aih.exe

Some content of TEMP:
====================
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\avgnt.exe
C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Temp\AskSLib.dll
C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Temp\avgnt.exe
C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Temp\jre-6u24-windows-i586-iftw-rv.exe
C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Temp\ose00000.exe
C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Temp\SkypeSetup.exe
C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Temp\1462015.exe
C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Temp\AskSLib.dll
C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Temp\avgnt.exe
C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Temp\FileSystemView.dll
C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Temp\install_flashplayer11x32_chra_aih.exe
C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Temp\SkypeSetup.exe


==================== Bamital & volsnap Check =================

C:\WINDOWS\explorer.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e 

C:\WINDOWS\system32\winlogon.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a 

C:\WINDOWS\system32\svchost.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366 

C:\WINDOWS\system32\services.exe
[2008-04-14 14:00] - [2009-02-09 13:21] - 0111104 ____A (Microsoft Corporation) a3edbe9053889fb24ab22492472b39dc 

C:\WINDOWS\system32\User32.dll
[2008-04-14 14:00] - [2008-04-14 14:00] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd 

C:\WINDOWS\system32\userinit.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106 

C:\WINDOWS\system32\rpcss.dll
[2008-04-14 14:00] - [2009-02-09 12:51] - 0401408 ____A (Microsoft Corporation) 3127afbf2c1ed0ab14a1bbb7aaecb85b 

 ATTENTION ======> If the system is having audio adware rpcss.dll is patched. Google the MD5, if the MD5 is unique the file is infected.
C:\WINDOWS\system32\Drivers\volsnap.sys
[2008-04-14 14:00] - [2008-04-14 14:00] - 0053760 ____A (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d 


==================== End Of Log ============================
         
gmer:
Code:
ATTFilter
GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2014-05-25 19:45:42
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5 ST3500418AS rev.CC35 465,76GB
Running: zqpc2eyh.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kfpcrpod.sys


---- System - GMER 2.1 ----

SSDT   BA7C39BC                                                                              ZwClose
SSDT   BA7C3976                                                                              ZwCreateKey
SSDT   BA7C39C6                                                                              ZwCreateSection
SSDT   BA7C396C                                                                              ZwCreateThread
SSDT   BA7C397B                                                                              ZwDeleteKey
SSDT   BA7C3985                                                                              ZwDeleteValueKey
SSDT   BA7C39B7                                                                              ZwDuplicateObject
SSDT   BA7C398A                                                                              ZwLoadKey
SSDT   BA7C3958                                                                              ZwOpenProcess
SSDT   BA7C395D                                                                              ZwOpenThread
SSDT   BA7C39DF                                                                              ZwQueryValueKey
SSDT   BA7C3994                                                                              ZwReplaceKey
SSDT   BA7C39D0                                                                              ZwRequestWaitReplyPort
SSDT   BA7C398F                                                                              ZwRestoreKey
SSDT   BA7C39CB                                                                              ZwSetContextThread
SSDT   BA7C39D5                                                                              ZwSetSecurityObject
SSDT   BA7C3980                                                                              ZwSetValueKey
SSDT   BA7C39DA                                                                              ZwSystemDebugControl
SSDT   BA7C3967                                                                              ZwTerminateProcess

---- Kernel code sections - GMER 2.1 ----

?      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kfpcrpog.sys                                       Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch. !

---- User code sections - GMER 2.1 ----

.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!DialogBoxParamW          7E3747AB 5 Bytes  JMP 41195545 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!SetWindowsHookExW        7E37820F 5 Bytes  JMP 41269B99 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!CallNextHookEx           7E37B3C6 5 Bytes  JMP 4125D1CD C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!CreateWindowExW          7E37D0A3 5 Bytes  JMP 4126DC24 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!UnhookWindowsHookEx      7E37D5F3 5 Bytes  JMP 411D46FC C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!DialogBoxIndirectParamW  7E382072 5 Bytes  JMP 41367997 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!MessageBoxIndirectA      7E38A082 5 Bytes  JMP 413678C9 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!DialogBoxParamA          7E38B144 5 Bytes  JMP 41367934 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!MessageBoxExW            7E3A0838 5 Bytes  JMP 4136779A C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!MessageBoxExA            7E3A085C 5 Bytes  JMP 413677FC C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!DialogBoxIndirectParamA  7E3A6D7D 5 Bytes  JMP 413679FA C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] USER32.dll!MessageBoxIndirectW      7E3B64D5 5 Bytes  JMP 4136785E C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] ole32.dll!CoCreateInstance          774CF1D4 5 Bytes  JMP 4126DC80 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[2256] ole32.dll!OleLoadFromStream         774F988B 5 Bytes  JMP 41367CFF C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!DialogBoxParamW          7E3747AB 5 Bytes  JMP 41195545 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!CreateWindowExW          7E37D0A3 5 Bytes  JMP 4126DC24 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!DialogBoxIndirectParamW  7E382072 5 Bytes  JMP 41367997 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!MessageBoxIndirectA      7E38A082 5 Bytes  JMP 413678C9 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!DialogBoxParamA          7E38B144 5 Bytes  JMP 41367934 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!MessageBoxExW            7E3A0838 5 Bytes  JMP 4136779A C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!MessageBoxExA            7E3A085C 5 Bytes  JMP 413677FC C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!DialogBoxIndirectParamA  7E3A6D7D 5 Bytes  JMP 413679FA C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[3560] USER32.dll!MessageBoxIndirectW      7E3B64D5 5 Bytes  JMP 4136785E C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!DialogBoxParamW          7E3747AB 5 Bytes  JMP 41195545 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!SetWindowsHookExW        7E37820F 5 Bytes  JMP 41269B99 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!CallNextHookEx           7E37B3C6 5 Bytes  JMP 4125D1CD C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!CreateWindowExW          7E37D0A3 5 Bytes  JMP 4126DC24 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!UnhookWindowsHookEx      7E37D5F3 5 Bytes  JMP 411D46FC C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!DialogBoxIndirectParamW  7E382072 5 Bytes  JMP 41367997 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!MessageBoxIndirectA      7E38A082 5 Bytes  JMP 413678C9 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!DialogBoxParamA          7E38B144 5 Bytes  JMP 41367934 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!MessageBoxExW            7E3A0838 5 Bytes  JMP 4136779A C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!MessageBoxExA            7E3A085C 5 Bytes  JMP 413677FC C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!DialogBoxIndirectParamA  7E3A6D7D 5 Bytes  JMP 413679FA C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] USER32.dll!MessageBoxIndirectW      7E3B64D5 5 Bytes  JMP 4136785E C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] ole32.dll!CoCreateInstance          774CF1D4 5 Bytes  JMP 4126DC80 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[4044] ole32.dll!OleLoadFromStream         774F988B 5 Bytes  JMP 41367CFF C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!DialogBoxParamW          7E3747AB 5 Bytes  JMP 41195545 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!SetWindowsHookExW        7E37820F 5 Bytes  JMP 41269B99 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!CallNextHookEx           7E37B3C6 5 Bytes  JMP 4125D1CD C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!CreateWindowExW          7E37D0A3 5 Bytes  JMP 4126DC24 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!UnhookWindowsHookEx      7E37D5F3 5 Bytes  JMP 411D46FC C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!DialogBoxIndirectParamW  7E382072 5 Bytes  JMP 41367997 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!MessageBoxIndirectA      7E38A082 5 Bytes  JMP 413678C9 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!DialogBoxParamA          7E38B144 5 Bytes  JMP 41367934 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!MessageBoxExW            7E3A0838 5 Bytes  JMP 4136779A C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!MessageBoxExA            7E3A085C 5 Bytes  JMP 413677FC C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!DialogBoxIndirectParamA  7E3A6D7D 5 Bytes  JMP 413679FA C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] USER32.dll!MessageBoxIndirectW      7E3B64D5 5 Bytes  JMP 4136785E C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] ole32.dll!CoCreateInstance          774CF1D4 5 Bytes  JMP 4126DC80 C:\WINDOWS\system32\IEFRAME.dll
.text  C:\Programme\Internet Explorer\iexplore.exe[5524] ole32.dll!OleLoadFromStream         774F988B 5 Bytes  JMP 41367CFF C:\WINDOWS\system32\IEFRAME.dll

---- EOF - GMER 2.1 ----
         

Alt 26.05.2014, 06:28   #2
schrauber
/// the machine
/// TB-Ausbilder
 

Lösegeldtrojaner - Standard

Lösegeldtrojaner



hi,

Addition.txt fehlt noch.
__________________

__________________

Alt 26.05.2014, 15:02   #3
fredde
 
Lösegeldtrojaner - Standard

Lösegeldtrojaner



hi,
sorry. hab die auch nicht mehr gefunden und von frst eine neue anlegen lassen:
Code:
ATTFilter
Additional scan result of Farbar Recovery Scan Tool (x86) Version:25-05-2014 01
Ran by Administrator at 2014-05-26 15:58:04
Running from C:\Dokumente und Einstellungen\Administrator\Desktop\viren
Boot Mode: Normal
==========================================================


==================== Security Center ========================

AV: AVG Anti-Virus Free Edition 2012 (Disabled - Up to date) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
AV: Avira Desktop (Disabled - Up to date) {AD166499-45F9-482A-A743-FDD3350758C7}

==================== Installed Programs ======================

Adobe Flash Player 13 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 13.0.0.214 - Adobe Systems Incorporated)
Adobe Reader 9.5.2 - Deutsch (HKLM\...\{AC76BA86-7AD7-1031-7B44-A95000000001}) (Version: 9.5.2 - Adobe Systems Incorporated)
AVG 2011 (Version: 10.0.1204 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1209 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1382 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1388 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1390 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1391 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1392 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1410 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1411 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1415 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1416 - AVG Technologies) Hidden
AVG 2011 (Version: 10.0.1424 - AVG Technologies) Hidden
AVG 2012 (HKLM\...\AVG) (Version: 2012.1.2247 - AVG Technologies)
AVG 2012 (Version: 12.0.2197 - AVG Technologies) Hidden
AVG 2012 (Version: 12.0.2221 - AVG Technologies) Hidden
AVG 2012 (Version: 12.0.3722 - AVG Technologies) Hidden
AVG 2012 (Version: 12.1.2238 - AVG Technologies) Hidden
AVG 2012 (Version: 12.1.2240 - AVG Technologies) Hidden
AVG 2012 (Version: 12.1.2241 - AVG Technologies) Hidden
AVG 2012 (Version: 12.1.2242 - AVG Technologies) Hidden
AVG 2012 (Version: 12.1.2247 - AVG Technologies) Hidden
Avira Free Antivirus (HKLM\...\Avira AntiVir Desktop) (Version: 14.0.3.350 - Avira)
Brother HL-5030 (HKLM\...\Brother HL-5030) (Version:  - )
Canon Utilities CameraWindow DC 8 (HKLM\...\CameraWindowDC) (Version: 8.8.0.17 - Canon Inc.)
Canon Utilities ImageBrowser EX (HKLM\...\ImageBrowser EX) (Version: 1.4.0.5 - Canon Inc.)
Canon Utilities PhotoStitch (HKLM\...\PhotoStitch) (Version: 3.1.23.47 - Canon Inc.)
CyberLink YouCam (HKLM\...\InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}) (Version: 2.0.2604 - CyberLink Corp.)
CyberLink YouCam (Version: 2.0.2604 - CyberLink Corp.) Hidden
dm-Fotowelt (HKLM\...\dm-Fotowelt) (Version:  - )
ElsterFormular (HKLM\...\ElsterFormular) (Version: 15.0.20140212 - Landesfinanzdirektion Thüringen)
File Type Assistant (HKLM\...\Trusted Software Assistant_is1) (Version:  - Trusted Software) <==== ATTENTION
Final Media Player 2011 (HKLM\...\FinalMediaPlayer_is1) (Version:  - Bitberry Software) <==== ATTENTION
Hotfix für Windows XP (KB2443685) (HKLM\...\KB2443685) (Version: 1 - Microsoft Corporation)
Hotfix für Windows XP (KB2570791) (HKLM\...\KB2570791) (Version: 1 - Microsoft Corporation)
Hotfix für Windows XP (KB2633952) (HKLM\...\KB2633952) (Version: 1 - Microsoft Corporation)
Hotfix für Windows XP (KB2756822) (HKLM\...\KB2756822) (Version: 1 - Microsoft Corporation)
Hotfix für Windows XP (KB2779562) (HKLM\...\KB2779562) (Version: 1 - Microsoft Corporation)
Hotfix für Windows XP (KB952287) (HKLM\...\KB952287) (Version: 1 - Microsoft Corporation)
Hotfix für Windows XP (KB961118) (HKLM\...\KB961118) (Version: 1 - Microsoft Corporation)
Intel(R) Graphics Media Accelerator Driver (HKLM\...\HDMI) (Version:  - )
Java 2 Runtime Environment, SE v1.4.2_01 (HKLM\...\{7148F0A8-6813-11D6-A77B-00B0D0142010}) (Version: 1.4.2_01 - Sun Microsystems, Inc.)
Java Auto Updater (Version: 2.0.3.1 - Sun Microsystems, Inc.) Hidden
Java(TM) 6 Update 24 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216022FF}) (Version: 6.0.240 - Oracle)
Microsoft .NET Framework 2.0 Service Pack 2 (HKLM\...\{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}) (Version: 2.2.30729 - Microsoft Corporation)
Microsoft .NET Framework 3.0 Service Pack 2 (HKLM\...\{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}) (Version: 3.2.30729 - Microsoft Corporation)
Microsoft .NET Framework 3.5 SP1 (HKLM\...\Microsoft .NET Framework 3.5 SP1) (Version:  - Microsoft Corporation)
Microsoft .NET Framework 3.5 SP1 (Version: 3.5.30729 - Microsoft Corporation) Hidden
Microsoft Office 2007 Service Pack 3 (SP3) (HKLM\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}) (Version:  - Microsoft)
Microsoft Office 2007 Service Pack 3 (SP3) (Version:  - Microsoft) Hidden
Microsoft Office Access MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Enterprise 2007 (HKLM\...\ENTERPRISE) (Version: 12.0.6612.1000 - Microsoft Corporation)
Microsoft Office Enterprise 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Excel MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Groove MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office InfoPath MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office OneNote MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Outlook MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office PowerPoint MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Proof (English) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Proof (French) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Proof (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Proof (Italian) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Proofing (German) 2007 (Version: 12.0.4518.1014 - Microsoft Corporation) Hidden
Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3) (Version:  - Microsoft) Hidden
Microsoft Office Publisher MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Shared MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Office Word MUI (German) 2007 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.30214.0 - Microsoft Corporation)
Microsoft Software Update for Web Folders  (German) 12 (Version: 12.0.6612.1000 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 (HKLM\...\{6AFCA4E1-9B78-3640-8F72-A7BF33448200}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (HKLM\...\{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Mozilla Firefox (3.6.13) (HKLM\...\Mozilla Firefox (3.6.13)) (Version: 3.6.13 (de) - Mozilla)
MSN (HKLM\...\MSNINST) (Version:  - )
MSXML 6.0 Parser (KB925673) (HKLM\...\{FE9126DB-5F84-495A-BB46-3C724F1C2D08}) (Version: 6.00.3888.0 - Microsoft Corporation)
OpenOffice 4.0.1 (HKLM\...\{0AEC308E-7EB3-47F7-BB59-F2C9C6166B27}) (Version: 4.01.9714 - Apache Software Foundation)
PrintFile (HKLM\...\PrintFile) (Version:  - )
Realtek High Definition Audio Driver (HKLM\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 5.10.0.5657 - Realtek Semiconductor Corp.)
Recuva (HKLM\...\Recuva) (Version: 1.40 - Piriform)
Sicherheitsupdate für Microsoft Windows (KB2564958) (HKLM\...\KB2564958) (Version:  - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2510531) (HKLM\...\KB2510531-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2618444) (HKLM\...\KB2618444-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2744842) (HKLM\...\KB2744842-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2862772) (HKLM\...\KB2862772-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2898785) (HKLM\...\KB2898785-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2909210) (HKLM\...\KB2909210-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2909921) (HKLM\...\KB2909921-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2925418) (HKLM\...\KB2925418-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2936068) (HKLM\...\KB2936068-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2964358) (HKLM\...\KB2964358-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Internet Explorer 8 (KB982381) (HKLM\...\KB982381-IE8) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows Media Player (KB2378111) (HKLM\...\KB2378111_WM9) (Version:  - Microsoft Corporation)
Sicherheitsupdate für Windows Media Player (KB2803821) (HKLM\...\KB2803821_WM9) (Version:  - Microsoft Corporation)
Sicherheitsupdate für Windows Media Player (KB2803821-v2) (HKLM\...\KB2803821-v2_WM9) (Version:  - Microsoft Corporation)
Sicherheitsupdate für Windows Media Player (KB952069) (HKLM\...\KB952069_WM9) (Version:  - Microsoft Corporation)
Sicherheitsupdate für Windows Media Player (KB954155) (HKLM\...\KB954155_WM9) (Version:  - Microsoft Corporation)
Sicherheitsupdate für Windows Media Player (KB973540) (HKLM\...\KB973540_WM9) (Version:  - Microsoft Corporation)
Sicherheitsupdate für Windows Media Player (KB975558) (HKLM\...\KB975558_WM8) (Version:  - Microsoft Corporation)
Sicherheitsupdate für Windows Media Player (KB978695) (HKLM\...\KB978695_WM9) (Version:  - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2079403) (HKLM\...\KB2079403) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2115168) (HKLM\...\KB2115168) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2121546) (HKLM\...\KB2121546) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2229593) (HKLM\...\KB2229593) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2259922) (HKLM\...\KB2259922) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2286198) (HKLM\...\KB2286198) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2296011) (HKLM\...\KB2296011) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2296199) (HKLM\...\KB2296199) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2347290) (HKLM\...\KB2347290) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2360937) (HKLM\...\KB2360937) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2387149) (HKLM\...\KB2387149) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2393802) (HKLM\...\KB2393802) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2412687) (HKLM\...\KB2412687) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2419632) (HKLM\...\KB2419632) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2423089) (HKLM\...\KB2423089) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2436673) (HKLM\...\KB2436673) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2440591) (HKLM\...\KB2440591) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2443105) (HKLM\...\KB2443105) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2476490) (HKLM\...\KB2476490) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2476687) (HKLM\...\KB2476687) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2478960) (HKLM\...\KB2478960) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2478971) (HKLM\...\KB2478971) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2479628) (HKLM\...\KB2479628) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2479943) (HKLM\...\KB2479943) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2481109) (HKLM\...\KB2481109) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2483185) (HKLM\...\KB2483185) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2485376) (HKLM\...\KB2485376) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2485663) (HKLM\...\KB2485663) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2503658) (HKLM\...\KB2503658) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2503665) (HKLM\...\KB2503665) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2506212) (HKLM\...\KB2506212) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2506223) (HKLM\...\KB2506223) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2507618) (HKLM\...\KB2507618) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2507938) (HKLM\...\KB2507938) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2508272) (HKLM\...\KB2508272) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2508429) (HKLM\...\KB2508429) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2509553) (HKLM\...\KB2509553) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2511455) (HKLM\...\KB2511455) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2524375) (HKLM\...\KB2524375) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2535512) (HKLM\...\KB2535512) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2536276) (HKLM\...\KB2536276) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2536276-v2) (HKLM\...\KB2536276-v2) (Version: 2 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2544893) (HKLM\...\KB2544893) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2544893-v2) (HKLM\...\KB2544893-v2) (Version: 2 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2555917) (HKLM\...\KB2555917) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2562937) (HKLM\...\KB2562937) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2566454) (HKLM\...\KB2566454) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2567053) (HKLM\...\KB2567053) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2567680) (HKLM\...\KB2567680) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2570222) (HKLM\...\KB2570222) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2570947) (HKLM\...\KB2570947) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2584146) (HKLM\...\KB2584146) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2585542) (HKLM\...\KB2585542) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2592799) (HKLM\...\KB2592799) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2598479) (HKLM\...\KB2598479) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2603381) (HKLM\...\KB2603381) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2618451) (HKLM\...\KB2618451) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2619339) (HKLM\...\KB2619339) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2620712) (HKLM\...\KB2620712) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2621440) (HKLM\...\KB2621440) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2624667) (HKLM\...\KB2624667) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2631813) (HKLM\...\KB2631813) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2633171) (HKLM\...\KB2633171) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2639417) (HKLM\...\KB2639417) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2641653) (HKLM\...\KB2641653) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2646524) (HKLM\...\KB2646524) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2647518) (HKLM\...\KB2647518) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2653956) (HKLM\...\KB2653956) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2655992) (HKLM\...\KB2655992) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2659262) (HKLM\...\KB2659262) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2660465) (HKLM\...\KB2660465) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2661637) (HKLM\...\KB2661637) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2676562) (HKLM\...\KB2676562) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2685939) (HKLM\...\KB2685939) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2686509) (HKLM\...\KB2686509) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2691442) (HKLM\...\KB2691442) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2695962) (HKLM\...\KB2695962) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2698365) (HKLM\...\KB2698365) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2705219) (HKLM\...\KB2705219) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2707511) (HKLM\...\KB2707511) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2709162) (HKLM\...\KB2709162) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2712808) (HKLM\...\KB2712808) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2718523) (HKLM\...\KB2718523) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2719985) (HKLM\...\KB2719985) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2723135) (HKLM\...\KB2723135) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2724197) (HKLM\...\KB2724197) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2727528) (HKLM\...\KB2727528) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2731847) (HKLM\...\KB2731847) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2753842) (HKLM\...\KB2753842) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2753842-v2) (HKLM\...\KB2753842-v2) (Version: 2 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2757638) (HKLM\...\KB2757638) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2758857) (HKLM\...\KB2758857) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2761226) (HKLM\...\KB2761226) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2770660) (HKLM\...\KB2770660) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2778344) (HKLM\...\KB2778344) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2779030) (HKLM\...\KB2779030) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2780091) (HKLM\...\KB2780091) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2799494) (HKLM\...\KB2799494) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2802968) (HKLM\...\KB2802968) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2807986) (HKLM\...\KB2807986) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2808735) (HKLM\...\KB2808735) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2813170) (HKLM\...\KB2813170) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2813345) (HKLM\...\KB2813345) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2820197) (HKLM\...\KB2820197) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2820917) (HKLM\...\KB2820917) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2829361) (HKLM\...\KB2829361) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2834886) (HKLM\...\KB2834886) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2839229) (HKLM\...\KB2839229) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2845187) (HKLM\...\KB2845187) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2847311) (HKLM\...\KB2847311) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2849470) (HKLM\...\KB2849470) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2850851) (HKLM\...\KB2850851) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2850869) (HKLM\...\KB2850869) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2859537) (HKLM\...\KB2859537) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2862152) (HKLM\...\KB2862152) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2862330) (HKLM\...\KB2862330) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2862335) (HKLM\...\KB2862335) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2864063) (HKLM\...\KB2864063) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2868626) (HKLM\...\KB2868626) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2876217) (HKLM\...\KB2876217) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2876315) (HKLM\...\KB2876315) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2876331) (HKLM\...\KB2876331) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2883150) (HKLM\...\KB2883150) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2892075) (HKLM\...\KB2892075) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2893294) (HKLM\...\KB2893294) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2893984) (HKLM\...\KB2893984) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2898715) (HKLM\...\KB2898715) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2900986) (HKLM\...\KB2900986) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2914368) (HKLM\...\KB2914368) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2916036) (HKLM\...\KB2916036) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2922229) (HKLM\...\KB2922229) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2929961) (HKLM\...\KB2929961) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB2930275) (HKLM\...\KB2930275) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB923561) (HKLM\...\KB923561) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB923789) (HKLM\...\KB923789) (Version:  - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB946648) (HKLM\...\KB946648) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB950762) (HKLM\...\KB950762) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB950974) (HKLM\...\KB950974) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB951376-v2) (HKLM\...\KB951376-v2) (Version: 2 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB951748) (HKLM\...\KB951748) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB952004) (HKLM\...\KB952004) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB952954) (HKLM\...\KB952954) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB954459) (HKLM\...\KB954459) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB956572) (HKLM\...\KB956572) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB956744) (HKLM\...\KB956744) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB956802) (HKLM\...\KB956802) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB956803) (HKLM\...\KB956803) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB956844) (HKLM\...\KB956844) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB958644) (HKLM\...\KB958644) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB958869) (HKLM\...\KB958869) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB959426) (HKLM\...\KB959426) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB960803) (HKLM\...\KB960803) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB960859) (HKLM\...\KB960859) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB961501) (HKLM\...\KB961501) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB969059) (HKLM\...\KB969059) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB970430) (HKLM\...\KB970430) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB971657) (HKLM\...\KB971657) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB972270) (HKLM\...\KB972270) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB973507) (HKLM\...\KB973507) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB973869) (HKLM\...\KB973869) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB973904) (HKLM\...\KB973904) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB974112) (HKLM\...\KB974112) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB974318) (HKLM\...\KB974318) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB974392) (HKLM\...\KB974392) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB974571) (HKLM\...\KB974571) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB975025) (HKLM\...\KB975025) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB975467) (HKLM\...\KB975467) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB975560) (HKLM\...\KB975560) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB975562) (HKLM\...\KB975562) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB975713) (Version: 1 - Microsoft Corporation) Hidden
Sicherheitsupdate für Windows XP (KB977816) (HKLM\...\KB977816) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB977914) (HKLM\...\KB977914) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB978037) (HKLM\...\KB978037) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB978338) (HKLM\...\KB978338) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB978542) (HKLM\...\KB978542) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB978601) (HKLM\...\KB978601) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB978706) (HKLM\...\KB978706) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB979309) (HKLM\...\KB979309) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB979482) (HKLM\...\KB979482) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB979687) (HKLM\...\KB979687) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB980195) (HKLM\...\KB980195) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB980232) (HKLM\...\KB980232) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB980436) (HKLM\...\KB980436) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB981322) (HKLM\...\KB981322) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB981852) (HKLM\...\KB981852) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB981997) (HKLM\...\KB981997) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB982132) (HKLM\...\KB982132) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB982214) (HKLM\...\KB982214) (Version: 1 - Microsoft Corporation)
Sicherheitsupdate für Windows XP (KB982665) (HKLM\...\KB982665) (Version: 1 - Microsoft Corporation)
Skype™ 6.11 (HKLM\...\{4E76FF7E-AEBA-4C87-B788-CD47E5425B9D}) (Version: 6.11.102 - Skype Technologies S.A.)
Update for 2007 Microsoft Office System (KB967642) (HKLM\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{C444285D-5E4F-48A4-91DD-47AAAA68E92D}) (Version:  - Microsoft)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707) (HKLM\...\{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}.KB963707) (Version: 1 - Microsoft Corporation)
Update for Microsoft Office 2007 suites (KB2596620) 32-Bit Edition (HKLM\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{A024FC7B-77DE-45DE-A058-1C049A17BFB3}) (Version:  - Microsoft)
Update for Microsoft Office 2007 suites (KB2767849) 32-Bit Edition (HKLM\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{CB68A5B0-3508-4193-AEB9-AF636DAECE0F}) (Version:  - Microsoft)
Update for Microsoft Office 2007 suites (KB2767916) 32-Bit Edition (HKLM\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{E9A82945-BA29-4EE8-8F2A-2F49545E9CF2}) (Version:  - Microsoft)
Update for Microsoft Office Outlook 2007 (KB2687404) 32-Bit Edition (HKLM\...\{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{EA54F104-79D2-48CC-9ABC-91A63C43D353}) (Version:  - Microsoft)
Update for Microsoft Office Outlook 2007 (KB2863811) 32-Bit Edition (HKLM\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{53DEC068-4690-4F6B-9946-7D21EF02236B}) (Version:  - Microsoft)
Update for Microsoft Office Outlook 2007 Junk Email Filter (KB2880505) 32-Bit Edition (HKLM\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{2720451F-5D04-43EC-AB1F-26D948FD971B}) (Version:  - Microsoft)
Update für Windows Internet Explorer 8 (KB2598845) (HKLM\...\KB2598845-IE8) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2141007) (HKLM\...\KB2141007) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2345886) (HKLM\...\KB2345886) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2467659) (HKLM\...\KB2467659) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2541763) (HKLM\...\KB2541763) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2607712) (HKLM\...\KB2607712) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2616676) (HKLM\...\KB2616676) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2641690) (HKLM\...\KB2641690) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2661254-v2) (HKLM\...\KB2661254-v2) (Version: 2 - Microsoft Corporation)
Update für Windows XP (KB2718704) (HKLM\...\KB2718704) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2736233) (HKLM\...\KB2736233) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2749655) (HKLM\...\KB2749655) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2863058) (HKLM\...\KB2863058) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2904266) (HKLM\...\KB2904266) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB2934207) (HKLM\...\KB2934207) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB898461) (HKLM\...\KB898461) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB951978) (Version: 1 - Microsoft Corporation) Hidden
Update für Windows XP (KB955759) (HKLM\...\KB955759) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB967715) (HKLM\...\KB967715) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB968389) (HKLM\...\KB968389) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB971029) (HKLM\...\KB971029) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB971737) (HKLM\...\KB971737) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB973687) (HKLM\...\KB973687) (Version: 1 - Microsoft Corporation)
Update für Windows XP (KB973815) (HKLM\...\KB973815) (Version: 1 - Microsoft Corporation)
USB PC Camera Plus (HKLM\...\{ECD03DA7-5952-406A-8156-5F0C93618D1F}) (Version: 5.21.1.000 - Sonix)
WebFldrs XP (Version: 9.50.7523 - Microsoft Corporation) Hidden
Windows Genuine Advantage Notifications (KB905474) (HKLM\...\WgaNotify) (Version: 1.9.0040.0 - Microsoft Corporation)
Windows Internet Explorer 8 (HKLM\...\ie8) (Version: 20090308.140743 - Microsoft Corporation)
Windows Presentation Foundation (Version: 3.0.6920.0 - Microsoft Corporation) Hidden
Windows SteadyState (HKLM\...\{D3880A64-6112-47b7-8BFE-70EEA07B43E0}) (Version: 2.5 - Microsoft Corporation)
XML Paper Specification Shared Components Pack 1.0 (Version:  - Microsoft Corporation) Hidden
Yahoo! Software Update (HKLM\...\Yahoo! Software Update) (Version:  - )
Yahoo! Toolbar (HKLM\...\Yahoo! Companion) (Version:  - )

==================== Restore Points  =========================

24-02-2014 18:01:51 Systemprüfpunkt
26-02-2014 15:27:09 Systemprüfpunkt
01-03-2014 12:50:17 Systemprüfpunkt
02-03-2014 13:13:00 Systemprüfpunkt
03-03-2014 14:25:10 Systemprüfpunkt
04-03-2014 16:33:37 Systemprüfpunkt
04-03-2014 20:22:21 Software Distribution Service 3.0
06-03-2014 19:07:15 Systemprüfpunkt
09-03-2014 17:18:24 Systemprüfpunkt
10-03-2014 17:51:57 Systemprüfpunkt
12-03-2014 16:19:14 Systemprüfpunkt
13-03-2014 18:06:03 Software Distribution Service 3.0
14-03-2014 18:19:48 Systemprüfpunkt
16-03-2014 11:04:33 Systemprüfpunkt
18-03-2014 16:15:15 Software Distribution Service 3.0
19-03-2014 18:11:56 Systemprüfpunkt
21-03-2014 16:37:55 Systemprüfpunkt
25-03-2014 16:48:46 Systemprüfpunkt
30-03-2014 16:11:39 Software Distribution Service 3.0
10-04-2014 14:08:05 Software Distribution Service 3.0
14-04-2014 17:13:23 Systemprüfpunkt
19-04-2014 08:17:32 Systemprüfpunkt
20-04-2014 14:16:25 Systemprüfpunkt
25-04-2014 10:27:48 Systemprüfpunkt
30-04-2014 16:05:21 Systemprüfpunkt
04-05-2014 06:51:16 Software Distribution Service 3.0
08-05-2014 13:13:49 Systemprüfpunkt
10-05-2014 17:08:51 Systemprüfpunkt
15-05-2014 13:46:21 Software Distribution Service 3.0
17-05-2014 06:19:55 Systemprüfpunkt
20-05-2014 14:58:50 Systemprüfpunkt
21-05-2014 15:09:15 Systemprüfpunkt
23-05-2014 16:29:55 Systemprüfpunkt
25-05-2014 10:41:18 Systemprüfpunkt

==================== Hosts content: ==========================

2008-04-14 14:00 - 2008-04-14 14:00 - 00000820 ____A C:\WINDOWS\system32\Drivers\etc\hosts
127.0.0.1       localhost

==================== Scheduled Tasks (whitelisted) =============

Task: C:\WINDOWS\Tasks\Adobe Flash Player Updater.job => C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP –  Benachrichtigung – Anmeldung.job => C:\WINDOWS\system32\xp_eos.exe
Task: C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job => C:\WINDOWS\system32\xp_eos.exe
Task: C:\WINDOWS\Tasks\Final Media Player Update Checker.job => C:\Programme\FinalMediaPlayer\FMPCheckForUpdates.exe
Task: C:\WINDOWS\Tasks\ROC_REG_JAN_DELETE.job => C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVG January 2013 Campaign\ROC.exe

==================== Loaded Modules (whitelisted) =============

2013-08-14 11:35 - 2013-08-11 08:21 - 00394824 _____ () C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
2009-02-27 16:41 - 2009-02-27 16:41 - 00311296 _____ () C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
2008-04-14 14:00 - 2008-04-14 14:00 - 00014336 _____ () C:\WINDOWS\system32\msdmo.dll
2011-08-30 17:22 - 2006-09-18 14:12 - 00843776 _____ () C:\WINDOWS\vsnpstd3.exe
2013-01-02 11:32 - 2013-10-03 10:42 - 00069120 _____ () C:\Programme\Canon\ImageBrowser EX\MFManager.exe
2012-02-06 12:07 - 2013-10-03 10:42 - 00321024 _____ () C:\Programme\Canon\ImageBrowser EX\ServerCommon.dll
2013-01-02 11:32 - 2013-10-03 10:42 - 00112128 _____ () C:\Programme\Canon\ImageBrowser EX\MFMFileSystemWatcher.dll

==================== Alternate Data Streams (whitelisted) =========


==================== Safe Mode (whitelisted) ===================

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Windows SteadyState => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Windows SteadyState => ""="Service"

==================== EXE Association (whitelisted) =============


==================== Disabled items from MSCONFIG ==============


==================== Faulty Device Manager Devices =============


==================== Event log errors: =========================

Application errors:
==================
Error: (05/21/2014 06:54:07 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error: (05/21/2014 06:44:42 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error: (05/18/2014 07:30:35 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Stillstehende Anwendung opera.exe, Version 12.2.1578.0, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error: (05/18/2014 07:30:35 PM) (Source: Application Hang) (EventID: 1002) (User: )
Description: Stillstehende Anwendung opera.exe, Version 12.2.1578.0, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error: (04/26/2014 00:00:17 PM) (Source: JavaQuickStarterService) (EventID: 1) (User: )
Description: Could not register service with the service manager: StartServiceCtrlDispatcher failed (error 1063)


System errors:
=============
Error: (05/26/2014 03:44:01 PM) (Source: Service Control Manager) (EventID: 7011) (User: )
Description: Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung von Dienst Windows SteadyState.

Error: (05/25/2014 07:42:29 PM) (Source: 0) (EventID: 9) (User: )
Description: \Device\Ide\IdePort2

Error: (05/25/2014 07:42:13 PM) (Source: 0) (EventID: 9) (User: )
Description: \Device\Ide\IdePort2

Error: (05/25/2014 07:40:52 PM) (Source: 0) (EventID: 9) (User: )
Description: \Device\Ide\IdePort2

Error: (05/25/2014 07:36:13 PM) (Source: 0) (EventID: 11) (User: )
Description: \Device\Ide\IdePort2

Error: (05/25/2014 07:36:13 PM) (Source: 0) (EventID: 9) (User: )
Description: \Device\Ide\IdePort2

Error: (05/25/2014 07:36:08 PM) (Source: 0) (EventID: 9) (User: )
Description: \Device\Ide\IdePort2

Error: (05/25/2014 07:35:30 PM) (Source: 0) (EventID: 9) (User: )
Description: \Device\Ide\IdePort2

Error: (05/25/2014 07:35:16 PM) (Source: 0) (EventID: 9) (User: )
Description: \Device\Ide\IdePort2

Error: (05/25/2014 07:34:15 PM) (Source: 0) (EventID: 9) (User: )
Description: \Device\Ide\IdePort2


Microsoft Office Sessions:
=========================
Error: (04/21/2011 10:46:15 AM) (Source: Microsoft Office 12 Sessions) (EventID: 7001) (User: )
Description: ID: 0, Application Name: Microsoft Office Word, Application Version: 12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 10088 seconds with 780 seconds of active time.  This session ended with a crash.


==================== Memory info =========================== 

Percentage of memory in use: 39%
Total physical RAM: 2038.17 MB
Available physical RAM: 1225.52 MB
Total Pagefile: 3931.21 MB
Available Pagefile: 3227.92 MB
Total Virtual: 2047.88 MB
Available Virtual: 1949.23 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:118.65 GB) (Free:90.92 GB) NTFS ==>[Drive with boot components (Windows XP)]
Drive d: () (Fixed) (Total:347.1 GB) (Free:340.05 GB) NTFS
Drive e: (08 Apr 2014) (CDROM) (Total:0.25 GB) (Free:0 GB) UDF

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 466 GB) (Disk ID: 475D475C)
Partition 1: (Active) - (Size=119 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=347 GB) - (Type=OF Extended)

==================== End Of Log ============================
         
__________________

Alt 27.05.2014, 12:20   #4
schrauber
/// the machine
/// TB-Ausbilder
 

Lösegeldtrojaner - Standard

Lösegeldtrojaner



Adware & Co. deinstallieren
  • Lade Dir bitte von hier Revo Uninstaller herunter.
  • Installiere und starte das Programm.
  • Suche im Uninstallerfeld nach den Programmen, die unter:

    diesen Zusatz haben:
  • Wähle die Programme nacheinander aus und klicke jedesmal auf Uninstall.
  • Wähle anschließend den Modus "Moderat" aus.
  • Reste löschen:
    Klicke auf dann auf und dann auf .

Solltest Du ein Programm nicht finden oder nicht deinstallieren können, mache bitte mit dem nächsten Schritt weiter:



Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
    Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
    Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es eine Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 27.05.2014, 16:35   #5
fredde
 
Lösegeldtrojaner - Standard

Lösegeldtrojaner



Hallo,
hab die zwei Programme, die in der addition datei als verdächtig markiert waren gelöscht. leider immer zu schnell weggeklickkt, weil ich gedacht habe, dass man die reste in nem eigenen unterpunkt löscht... die sind also irgendwie noch da... sorry, etwas blöd angestellt...
kann immer noch keine dateien öffnen, hab deshalb combofix durchlaufen lassen...
Code:
ATTFilter
ComboFix 14-05-27.02 - Administrator 27.05.2014  17:25:44.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2038.1206 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\viren\ComboFix.exe
AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\{01FB4998-33C4-4431-85ED-079E3EEFE75D}\PostBuild.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\{5DB1DF0C-AABC-4362-8A6D-CEFDFB036E41}\PostBuild.exe
c:\dokumente und einstellungen\installieren\WINDOWS
c:\dokumente und einstellungen\ulli\4.0
c:\windows\IsUn0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2014-04-27 bis 2014-05-27  ))))))))))))))))))))))))))))))
.
.
2014-05-27 14:57 . 2014-05-27 14:57	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\FinalMediaPlayer
2014-05-27 14:52 . 2014-05-27 14:52	--------	d-----w-	c:\programme\VS Revo Group
2014-05-25 17:17 . 2014-05-26 13:59	--------	d-----w-	C:\FRST
2014-05-25 14:06 . 2014-05-25 14:06	--------	d-----w-	c:\dokumente und einstellungen\ulli\Anwendungsdaten\TuneUp Software
2014-05-25 07:55 . 2014-05-25 07:55	--------	d-----w-	c:\dokumente und einstellungen\installieren\Anwendungsdaten\CANON INC
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-05-15 14:00 . 2012-05-17 12:11	70832	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2014-05-15 14:00 . 2012-05-17 12:11	692400	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2014-03-31 20:46 . 2014-03-31 20:46	130712	----a-w-	c:\windows\system32\MSSTDFMT.DLL
2014-03-31 20:46 . 2014-03-31 20:46	1070232	----a-w-	c:\windows\system32\MSCOMCTL.OCX
2014-03-06 17:58 . 2008-04-14 12:00	920064	----a-w-	c:\windows\system32\wininet.dll
2014-03-06 17:58 . 2008-04-14 12:00	43520	------w-	c:\windows\system32\licmgr10.dll
2014-03-06 17:58 . 2008-04-14 12:00	18944	----a-w-	c:\windows\system32\corpol.dll
2014-03-06 17:58 . 2008-04-14 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2014-03-06 00:46 . 2008-04-14 12:00	385024	------w-	c:\windows\system32\html.iec
2014-02-26 23:28 . 2014-03-25 18:39	13312	------w-	c:\windows\system32\xp_eos.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-11-08 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-11-08 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-11-08 137752]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-03 16876032]
"Bubble"="c:\programme\Windows SteadyState\Bubble.exe" [2008-05-30 182288]
"Logoff"="c:\programme\Windows SteadyState\SCTUINotify.exe" [2008-05-30 163856]
"AVG_TRAY"="c:\programme\AVG\AVG2012\avgtray.exe" [2012-11-19 2598520]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
"tsnpstd3"="c:\windows\tsnpstd3.exe" [2007-03-30 262144]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-18 843776]
"UCam_Menu"="c:\programme\\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" [2008-12-03 218408]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2014-02-20 689744]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\ulli\Startmenü\Programme\Autostart\
DECRYPT_INSTRUCTION.HTML [2014-5-25 8568]
DECRYPT_INSTRUCTION.TXT [2014-5-25 4672]
DECRYPT_INSTRUCTION.URL [2014-5-25 432]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE /tsr [2009-2-26 97680]
OneNote Inhaltsverzeichnis.onetoc2 [2013-12-5 3656]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
ImageBrowser EX Agent.lnk - c:\programme\Canon\ImageBrowser EX\MFManager.exe [2013-1-2 69120]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"HideFastUserSwitching"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Windows SteadyState]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\AVG\\AVG10\\avgmfapx.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\AVG\\AVG10\\avgdiagex.exe"=
"c:\\Dokumente und Einstellungen\\ulli\\Lokale Einstellungen\\Anwendungsdaten\\Programs\\Opera\\opera.exe"=
"c:\\Programme\\AVG\\AVG2012\\avgmfapx.exe"=
"c:\\Programme\\AVG\\AVG2012\\avgdiagex.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R0 AVGIDSHX;AVGIDSHX;c:\windows\system32\drivers\avgidshx.sys [19.04.2012 04:50 24896]
R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\drivers\avgrkx86.sys [07.09.2010 04:48 31952]
R1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\drivers\avgldx86.sys [08.12.2010 05:12 250080]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [14.08.2013 11:35 37352]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.08.2013 11:35 440400]
R2 AntiVirWebService;Avira Browser-Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [14.08.2013 11:35 1017424]
R2 avgwd;AVG WatchDog;c:\programme\AVG\AVG2012\avgwdsvc.exe [14.02.2012 04:53 193288]
R2 Windows SteadyState;Windows SteadyState Service;c:\programme\Windows SteadyState\SCTSvc.exe [30.05.2008 15:41 115728]
R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\l151x86.sys [28.01.2011 18:08 37376]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [23.10.2013 09:15 172192]
.
Inhalt des "geplante Tasks" Ordners
.
2014-05-27 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-17 14:00]
.
2014-05-27 c:\windows\Tasks\Ende des Supports für Microsoft Windows XP –  Benachrichtigung – Anmeldung.job
- c:\windows\system32\xp_eos.exe [2014-03-25 23:28]
.
2014-05-08 c:\windows\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job
- c:\windows\system32\xp_eos.exe [2014-03-25 23:28]
.
2013-01-21 c:\windows\Tasks\ROC_REG_JAN_DELETE.job
- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVG January 2013 Campaign\ROC.exe [2013-01-21 21:16]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\dokumente und einstellungen\installieren\Lokale Einstellungen\Anwendungsdaten\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\dokumente und einstellungen\installieren\Lokale Einstellungen\Anwendungsdaten\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\dokumente und einstellungen\installieren\Lokale Einstellungen\Anwendungsdaten\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: AVG Do Not Track: {F53C93F1-07D5-430c-86D4-C9531B27DFAF} - c:\programme\AVG\AVG2012\Firefox\DoNotTrack
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2014-05-27 17:30
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-2025429265-1614895754-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,cf,65,4c,65,fa,2c,b0,4c,bb,8a,f9,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,cf,65,4c,65,fa,2c,b0,4c,bb,8a,f9,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_13_0_0_214_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_13_0_0_214_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(1016)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2014-05-27  17:31:53
ComboFix-quarantined-files.txt  2014-05-27 15:31
.
Vor Suchlauf: 6 Verzeichnis(se), 97.400.606.720 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 98.761.809.920 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - E2718E8053F767B1C9CE824446E993EE
72B8CE41AF0DE751C946802B3ED844B4
         


Alt 28.05.2014, 11:42   #6
schrauber
/// the machine
/// TB-Ausbilder
 

Lösegeldtrojaner - Standard

Lösegeldtrojaner



Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.


Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.


und ein frisches FRST log bitte.
__________________
--> Lösegeldtrojaner

Alt 29.05.2014, 12:20   #7
fredde
 
Lösegeldtrojaner - Standard

Lösegeldtrojaner



hi, hab die programme durchlaufen lassen. logs folgen. leider ist der pc immer noch langsam und dokumente lassen sich nicht öffnen... hab ich überhaupt realistisch irgendeine chance die dateien wieder herzustellen?
viele grüße und nochmal danke für die hilfe
fredde

Code:
ATTFilter
 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlauf Datum: 28.05.2014
Suchlauf-Zeit: 19:45:52
Logdatei: malware.txt
Administrator: Ja

Version: 2.00.2.1012
Malware Datenbank: v2014.05.28.06
Rootkit Datenbank: v2014.05.21.01
Lizenz: Testversion
Malware Schutz: Aktiviert
Bösartiger Webseiten Schutz: Aktiviert
Self-protection: Deaktiviert

Betriebssystem: Windows XP Service Pack 3
CPU: x86
Dateisystem: NTFS
Benutzer: Administrator

Suchlauf-Art: Bedrohungs-Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 302210
Verstrichene Zeit: 20 Min, 7 Sek

Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristics: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(No malicious items detected)

Module: 0
(No malicious items detected)

Registrierungsschlüssel: 0
(No malicious items detected)

Registrierungswerte: 1
Hijack.FolderOptions, HKU\S-1-5-21-2025429265-1614895754-1801674531-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|NoFolderOptions, 1, Löschen bei Neustart, [81450c4a28531c1a0a838d8c17ec16ea]

Registrierungsdaten: 5
PUM.Hijack.Explorer, HKU\S-1-5-21-2025429265-1614895754-1801674531-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|NoToolbarCustomize, 1, Gut: (0), Schlecht: (1),Löschen bei Neustart,[5a6c8acce794f343ae44b79e857fae52]
Hijack.Tray, HKU\S-1-5-21-2025429265-1614895754-1801674531-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|NoTrayItemsDisplay, 1, Gut: (0), Schlecht: (1),Löschen bei Neustart,[586eb1a5afccc17509b3be99a65ece32]
PUM.Hijack.Regedit, HKU\S-1-5-21-2025429265-1614895754-1801674531-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|DisableRegistryTools, 1, Gut: (0), Schlecht: (1),Löschen bei Neustart,[0fb7da7cb8c3ad89460e3125ba4a22de]
PUM.Hijack.ConnectionControl, HKU\S-1-5-21-2025429265-1614895754-1801674531-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\POLICIES\MICROSOFT\INTERNET EXPLORER\CONTROL PANEL|ConnectionsTab, 1, Gut: (0), Schlecht: (1),Löschen bei Neustart,[428475e187f4a0961bb4322348bca45c]
PUM.Hijack.CMDPrompt, HKU\S-1-5-21-2025429265-1614895754-1801674531-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\SYSTEM|DisableCMD, 1, Gut: (0), Schlecht: (1),Löschen bei Neustart,[3c8aec6ad9a26dc9903e3124f80c3bc5]

Ordner: 0
(No malicious items detected)

Dateien: 0
(No malicious items detected)

Physische Sektoren: 0
(No malicious items detected)


(end)
         
Code:
ATTFilter
# AdwCleaner v3.211 - Bericht erstellt am 29/05/2014 um 12:51:34
# Aktualisiert 26/05/2014 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzername : Administrator - U-A8BFC738B4404
# Gestartet von : C:\Dokumente und Einstellungen\Administrator\Desktop\viren\adwcleaner_3.211.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FinalMediaPlayer
Ordner Gelöscht : C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\FinalMediaPlayer
Datei Gelöscht : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default\.autoreg

***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\ndibdjnfmopecpmkdieinmbadjfpblof
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software
Schlüssel Gelöscht : HKLM\Software\AVG Secure Search
Schlüssel Gelöscht : HKLM\Software\Freeze.com

***** [ Browser ] *****

-\\ Internet Explorer v8.0.6001.18702


-\\ Mozilla Firefox v3.6.13 (de)

[ Datei : C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default\prefs.js ]


[ Datei : C:\Dokumente und Einstellungen\installieren\Anwendungsdaten\Mozilla\Firefox\Profiles\7a76h30t.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [2451 octets] - [29/05/2014 12:50:56]
AdwCleaner[S0].txt - [2372 octets] - [29/05/2014 12:51:34]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [2432 octets] ##########
         
Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.1.3 (03.23.2014:1)
OS: Microsoft Windows XP x86
Ran by Administrator on 29.05.2014 at 13:06:59,04
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values




~~~ Registry Keys



~~~ Files



~~~ Folders





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 29.05.2014 at 13:13:15,06
Computer was rebooted
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
         

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:25-05-2014 01
Ran by Administrator (administrator) on U-A8BFC738B4404 on 29-05-2014 13:15:42
Running from C:\Dokumente und Einstellungen\Administrator\Desktop\viren
Platform: Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Normal



==================== Processes (Whitelisted) =================

(Microsoft Corporation) C:\Programme\Windows SteadyState\SCTSvc.exe
(brother Industries Ltd) C:\WINDOWS\system32\BRSVC01A.EXE
(brother Industries Ltd) C:\WINDOWS\system32\BRSS01A.EXE
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avguard.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgwdsvc.exe
(Sun Microsystems, Inc.) C:\Programme\Java\jre6\bin\jqs.exe
(Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbamscheduler.exe
(Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbamservice.exe
(Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbam.exe
(Yahoo! Inc.) C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
(Canon Inc.) C:\Programme\Canon\CAL\CALMAIN.exe
(Intel Corporation) C:\WINDOWS\system32\igfxtray.exe
(Intel Corporation) C:\WINDOWS\system32\hkcmd.exe
(Intel Corporation) C:\WINDOWS\system32\igfxpers.exe
(Realtek Semiconductor Corp.) C:\WINDOWS\RTHDCPL.exe
(Intel Corporation) C:\WINDOWS\system32\igfxsrvc.exe
(Microsoft Corporation) C:\Programme\Windows SteadyState\Bubble.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgtray.exe
(Microsoft Corporation) C:\WINDOWS\system32\wbem\unsecapp.exe
(Microsoft Corporation) C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
(Sun Microsystems, Inc.) C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
(SONIX) C:\WINDOWS\tsnpstd3.exe
() C:\WINDOWS\vsnpstd3.exe
(Adobe Systems Incorporated) C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avgnt.exe
() C:\Programme\Canon\ImageBrowser EX\MFManager.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avshadow.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe
(Microsoft Corporation) C:\WINDOWS\system32\wuauclt.exe
(Microsoft Corporation) C:\WINDOWS\system32\wscntfy.exe


==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RTHDCPL] => C:\WINDOWS\RTHDCPL.EXE [16876032 2008-07-03] (Realtek Semiconductor Corp.)
HKLM\...\Run: [Bubble] => C:\Programme\Windows SteadyState\Bubble.exe [182288 2008-05-30] (Microsoft Corporation)
HKLM\...\Run: [Logoff] => C:\Programme\Windows SteadyState\SCTUINotify.exe [163856 2008-05-30] (Microsoft Corporation)
HKLM\...\Run: [AVG_TRAY] => C:\Programme\AVG\AVG2012\avgtray.exe [2598520 2012-11-19] (AVG Technologies CZ, s.r.o.)
HKLM\...\Run: [GrooveMonitor] => C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
HKLM\...\Run: [SunJavaUpdateSched] => C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [249064 2010-10-29] (Sun Microsystems, Inc.)
HKLM\...\Run: [tsnpstd3] => C:\WINDOWS\tsnpstd3.exe [262144 2007-03-30] (SONIX)
HKLM\...\Run: [snpstd3] => C:\WINDOWS\vsnpstd3.exe [843776 2006-09-18] ()
HKLM\...\Run: [UCam_Menu] => C:\Programme\\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe [218408 2008-12-03] (CyberLink Corp.)
HKLM\...\Run: [Adobe Reader Speed Launcher] => C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [38872 2012-07-31] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] => C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [avgnt] => C:\Programme\Avira\AntiVir Desktop\avgnt.exe [689744 2014-02-20] (Avira Operations GmbH & Co. KG)
Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ImageBrowser EX Agent.lnk
ShortcutTarget: ImageBrowser EX Agent.lnk -> C:\Programme\Canon\ImageBrowser EX\MFManager.exe ()
Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\DECRYPT_INSTRUCTION.HTML ()
Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\DECRYPT_INSTRUCTION.TXT ()
InternetURL: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\DECRYPT_INSTRUCTION.URL -> https://kpai7ycr7jxqkilp.torexplorer.com/5z9t
Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\OneNote Inhaltsverzeichnis.onetoc2 ()

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0xA434F9509B7ACF01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO: AVG Do Not Track - {31332EEF-CB9F-458F-AFEB-D30E9A66B6BA} - C:\Programme\AVG\AVG2012\avgdtiex.dll (AVG Technologies CZ, s.r.o.)
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-0014-0002-0001-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG2012\avgpp.dll (AVG Technologies CZ, s.r.o.)
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

FireFox:
========
FF ProfilePath: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default
FF Plugin: @canon.com/MycameraPlugin - C:\Programme\Canon\MyCamera Download Plugin\NPCIG.dll (CANON INC.)
FF Plugin: @java.com/JavaPlugin - C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Programme\Microsoft Silverlight\5.1.30214.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: Adobe Reader - C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Extension: No Name - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default\Extensions\staged-xpis [2014-02-18]
FF Extension: No Name - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b} [2014-02-18]
FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Programme\Java\jre6\lib\deploy\jqs\ff
FF Extension: Java Quick Starter - C:\Programme\Java\jre6\lib\deploy\jqs\ff [2011-01-29]
FF HKLM\...\Firefox\Extensions: [{F53C93F1-07D5-430c-86D4-C9531B27DFAF}] - C:\Programme\AVG\AVG2012\Firefox\DoNotTrack\
FF Extension: AVG Do Not Track - C:\Programme\AVG\AVG2012\Firefox\DoNotTrack\ []
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ []
FF StartMenuInternet: FIREFOX.EXE - C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Anwendungsdaten\Mozilla Firefox\firefox.exe

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Programme\Avira\AntiVir Desktop\sched.exe [440400 2014-02-20] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Programme\Avira\AntiVir Desktop\avguard.exe [440400 2014-02-20] (Avira Operations GmbH & Co. KG)
R2 AntiVirWebService; C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE [1017424 2014-02-20] (Avira Operations GmbH & Co. KG)
R2 avgwd; C:\Programme\AVG\AVG2012\avgwdsvc.exe [193288 2012-02-14] (AVG Technologies CZ, s.r.o.)
R2 Brother XP spl Service; C:\WINDOWS\system32\brsvc01a.exe [57344 2002-04-12] (brother Industries Ltd)
R2 CCALib8; C:\Programme\Canon\CAL\CALMAIN.exe [96334 2009-09-08] (Canon Inc.)
R2 JavaQuickStarterService; C:\Programme\Java\jre6\bin\jqs.exe [153376 2011-02-02] (Sun Microsystems, Inc.)
R2 MBAMScheduler; C:\Programme\ Malwarebytes Anti-Malware \mbamscheduler.exe [1809720 2014-05-12] (Malwarebytes Corporation)
R2 MBAMService; C:\Programme\ Malwarebytes Anti-Malware \mbamservice.exe [860472 2014-05-12] (Malwarebytes Corporation)
S3 Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [64856 2009-02-26] (Microsoft Corporation)
S3 odserv; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [440696 2011-07-20] (Microsoft Corporation)
S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [145184 2006-10-26] (Microsoft Corporation)
S2 SkypeUpdate; C:\Programme\Skype\Updater\Updater.exe [172192 2013-10-23] (Skype Technologies)
R2 Windows SteadyState; C:\Programme\Windows SteadyState\SCTSvc.exe [115728 2008-05-30] (Microsoft Corporation)
R2 YahooAUService; C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe [602392 2008-11-09] (Yahoo! Inc.)

==================== Drivers (Whitelisted) ====================

R3 AtcL001; C:\WINDOWS\System32\DRIVERS\l151x86.sys [37376 2008-11-12] (Atheros Communications, Inc.)
R0 AVGIDSHX; C:\WINDOWS\System32\DRIVERS\avgidshx.sys [24896 2012-04-19] (AVG Technologies CZ, s.r.o. )
R1 Avgldx86; C:\WINDOWS\System32\DRIVERS\avgldx86.sys [250080 2012-11-08] (AVG Technologies CZ, s.r.o.)
R1 Avgmfx86; C:\WINDOWS\System32\DRIVERS\avgmfx86.sys [41040 2011-12-23] (AVG Technologies CZ, s.r.o.)
R2 avgntflt; C:\WINDOWS\System32\DRIVERS\avgntflt.sys [90400 2013-12-21] (Avira Operations GmbH & Co. KG)
R0 Avgrkx86; C:\WINDOWS\System32\DRIVERS\avgrkx86.sys [31952 2012-01-31] (AVG Technologies CZ, s.r.o.)
R1 avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [135648 2013-12-21] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\WINDOWS\System32\DRIVERS\avkmgr.sys [37352 2013-11-19] (Avira Operations GmbH & Co. KG)
S3 CCDECODE; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [17024 2008-04-14] (Microsoft Corporation)
R3 MBAMProtector; C:\WINDOWS\system32\drivers\mbam.sys [23256 2014-05-12] (Malwarebytes Corporation)
R3 MBAMSwissArmy; C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [110296 2014-05-29] (Malwarebytes Corporation)
R3 MTsensor; C:\WINDOWS\System32\DRIVERS\ASACPI.sys [5810 2004-08-13] ()
S3 NdisIP; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [10880 2008-04-14] (Microsoft Corporation)
R3 SNPSTD3; C:\WINDOWS\System32\DRIVERS\snpstd3.sys [10246144 2007-04-13] (Sonix Co. Ltd.)
R1 ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [28520 2013-08-11] (Avira GmbH)
S3 catchme; \??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\catchme.sys [X]
S4 IntelIde; No ImagePath

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-05-29 13:13 - 2014-05-29 13:13 - 00000614 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\JRT.txt
2014-05-29 12:59 - 2014-05-29 12:59 - 00000000 ____D () C:\WINDOWS\ERUNT
2014-05-29 12:50 - 2014-05-29 12:51 - 00000000 ____D () C:\AdwCleaner
2014-05-28 19:51 - 2014-05-28 19:51 - 00011544 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\hs_err_pid1576.log
2014-05-28 19:44 - 2014-05-29 13:08 - 00110296 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\MBAMSwissArmy.sys
2014-05-28 19:43 - 2014-05-28 19:43 - 00000749 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Programme\ Malwarebytes Anti-Malware 
2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ Malwarebytes Anti-Malware 
2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2014-05-28 19:43 - 2014-05-12 07:26 - 00053208 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamchameleon.sys
2014-05-28 19:43 - 2014-05-12 07:25 - 00023256 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys
2014-05-27 17:31 - 2014-05-27 17:31 - 00011909 _____ () C:\ComboFix.txt
2014-05-27 17:24 - 2014-05-27 17:24 - 00000000 _RSHD () C:\cmdcons
2014-05-27 17:24 - 2012-05-28 18:28 - 00000211 _____ () C:\Boot.bak
2014-05-27 17:24 - 2004-08-03 23:00 - 00262448 __RSH () C:\cmldr
2014-05-27 17:17 - 2011-06-26 08:45 - 00256000 _____ () C:\WINDOWS\PEV.exe
2014-05-27 17:17 - 2010-11-07 19:20 - 00208896 _____ () C:\WINDOWS\MBR.exe
2014-05-27 17:17 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe
2014-05-27 17:17 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe
2014-05-27 17:17 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe
2014-05-27 17:17 - 2000-08-31 02:00 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe
2014-05-27 17:17 - 2000-08-31 02:00 - 00098816 _____ () C:\WINDOWS\sed.exe
2014-05-27 17:17 - 2000-08-31 02:00 - 00080412 _____ () C:\WINDOWS\grep.exe
2014-05-27 17:17 - 2000-08-31 02:00 - 00068096 _____ () C:\WINDOWS\zip.exe
2014-05-27 17:16 - 2014-05-27 17:31 - 00000000 ____D () C:\Qoobox
2014-05-27 17:16 - 2014-05-27 17:16 - 00000000 ___RD () C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Verwaltung
2014-05-27 17:15 - 2014-05-27 17:30 - 00000000 ____D () C:\WINDOWS\erdnt
2014-05-27 16:52 - 2014-05-27 16:52 - 00000889 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\Revo Uninstaller.lnk
2014-05-27 16:52 - 2014-05-27 16:52 - 00000000 ____D () C:\Programme\VS Revo Group
2014-05-26 15:57 - 2014-05-26 15:57 - 00000000 ____D () C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun
2014-05-25 19:26 - 2014-05-25 19:26 - 00000000 _____ () C:\Dokumente und Einstellungen\Administrator\defogger_reenable
2014-05-25 19:17 - 2014-05-29 13:15 - 00000000 ____D () C:\FRST
2014-05-25 19:14 - 2014-05-25 19:14 - 00000000 _____ () C:\Dokumente und Einstellungen\ulli\defogger_reenable
2014-05-25 16:16 - 2014-05-25 16:17 - 00000432 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.URL
2014-05-25 16:16 - 2014-05-25 16:16 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.HTML
2014-05-25 16:16 - 2014-05-25 16:16 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.TXT
2014-05-25 16:06 - 2014-05-25 16:06 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\TuneUp Software
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.URL
2014-05-25 09:55 - 2014-05-25 09:55 - 00000000 ____D () C:\Dokumente und Einstellungen\installieren\Anwendungsdaten\CANON INC
2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 09:16 - 2014-05-25 09:46 - 00030744 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Tröde.xls
2014-05-15 15:48 - 2014-05-15 15:48 - 00000000 ____D () C:\Programme\Gemeinsame Dateien\DESIGNER
2014-05-14 15:04 - 2014-05-14 15:04 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\Canon Utilities
2014-05-04 08:51 - 2014-05-04 08:52 - 00005589 _____ () C:\WINDOWS\KB2964358-IE8.log

==================== One Month Modified Files and Folders =======

2014-05-29 13:15 - 2014-05-25 19:17 - 00000000 ____D () C:\FRST
2014-05-29 13:13 - 2014-05-29 13:13 - 00000614 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\JRT.txt
2014-05-29 13:08 - 2014-05-28 19:44 - 00110296 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\MBAMSwissArmy.sys
2014-05-29 13:08 - 2011-01-28 17:22 - 01476480 _____ () C:\WINDOWS\WindowsUpdate.log
2014-05-29 13:06 - 2014-03-31 14:45 - 00000236 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP –  Benachrichtigung – Anmeldung.job
2014-05-29 13:06 - 2011-01-28 16:43 - 00000159 _____ () C:\WINDOWS\wiadebug.log
2014-05-29 13:06 - 2011-01-28 16:43 - 00000050 _____ () C:\WINDOWS\wiaservc.log
2014-05-29 13:06 - 2008-04-14 14:00 - 00013646 _____ () C:\WINDOWS\system32\wpa.dbl
2014-05-29 13:05 - 2011-01-28 17:30 - 00000006 ____H () C:\WINDOWS\Tasks\SA.DAT
2014-05-29 13:02 - 2011-01-29 15:36 - 00000190 ___SH () C:\Dokumente und Einstellungen\Administrator\ntuser.ini
2014-05-29 13:02 - 2011-01-29 15:36 - 00000000 ____D () C:\Dokumente und Einstellungen\Administrator
2014-05-29 13:02 - 2011-01-28 17:30 - 00032636 _____ () C:\WINDOWS\SchedLgU.Txt
2014-05-29 13:00 - 2012-05-17 14:11 - 00000884 _____ () C:\WINDOWS\Tasks\Adobe Flash Player Updater.job
2014-05-29 12:59 - 2014-05-29 12:59 - 00000000 ____D () C:\WINDOWS\ERUNT
2014-05-29 12:51 - 2014-05-29 12:50 - 00000000 ____D () C:\AdwCleaner
2014-05-29 12:40 - 2011-01-29 12:24 - 00000000 ____D () C:\WINDOWS\system32\Drivers\AVG
2014-05-28 20:37 - 2011-01-28 17:25 - 00000000 __SHD () C:\Dokumente und Einstellungen\NetworkService
2014-05-28 19:51 - 2014-05-28 19:51 - 00011544 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\hs_err_pid1576.log
2014-05-28 19:43 - 2014-05-28 19:43 - 00000749 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Programme\ Malwarebytes Anti-Malware 
2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ Malwarebytes Anti-Malware 
2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2014-05-28 19:43 - 2011-01-28 16:41 - 00000000 ___RD () C:\Programme
2014-05-28 19:43 - 2011-01-28 16:41 - 00000000 ___RD () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme
2014-05-27 17:31 - 2014-05-27 17:31 - 00011909 _____ () C:\ComboFix.txt
2014-05-27 17:31 - 2014-05-27 17:16 - 00000000 ____D () C:\Qoobox
2014-05-27 17:30 - 2014-05-27 17:15 - 00000000 ____D () C:\WINDOWS\erdnt
2014-05-27 17:30 - 2008-04-14 14:00 - 00000227 _____ () C:\WINDOWS\system.ini
2014-05-27 17:29 - 2011-01-28 19:26 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli
2014-05-27 17:24 - 2014-05-27 17:24 - 00000000 _RSHD () C:\cmdcons
2014-05-27 17:24 - 2011-01-28 17:40 - 00000327 __RSH () C:\boot.ini
2014-05-27 17:16 - 2014-05-27 17:16 - 00000000 ___RD () C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Verwaltung
2014-05-27 17:16 - 2011-01-29 15:36 - 00000000 ___RD () C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme
2014-05-27 17:03 - 2014-02-18 17:34 - 00000000 ____D () C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Yahoo!
2014-05-27 16:57 - 2011-01-28 16:41 - 00000000 ___RD () C:\Dokumente und Einstellungen\All Users\Startmenü
2014-05-27 16:52 - 2014-05-27 16:52 - 00000889 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\Revo Uninstaller.lnk
2014-05-27 16:52 - 2014-05-27 16:52 - 00000000 ____D () C:\Programme\VS Revo Group
2014-05-26 15:57 - 2014-05-26 15:57 - 00000000 ____D () C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun
2014-05-26 15:50 - 2011-01-28 19:26 - 00000190 ___SH () C:\Dokumente und Einstellungen\ulli\ntuser.ini
2014-05-25 19:26 - 2014-05-25 19:26 - 00000000 _____ () C:\Dokumente und Einstellungen\Administrator\defogger_reenable
2014-05-25 19:14 - 2014-05-25 19:14 - 00000000 _____ () C:\Dokumente und Einstellungen\ulli\defogger_reenable
2014-05-25 18:49 - 2011-03-05 10:39 - 00000000 ____D () C:\WINDOWS\system32\NtmsData
2014-05-25 18:27 - 2011-01-28 17:21 - 00000000 ____D () C:\WINDOWS\Registration
2014-05-25 16:17 - 2014-05-25 16:16 - 00000432 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.URL
2014-05-25 16:16 - 2014-05-25 16:16 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.HTML
2014-05-25 16:16 - 2014-05-25 16:16 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.TXT
2014-05-25 16:16 - 2011-01-28 19:26 - 00000000 ___RD () C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart
2014-05-25 16:09 - 2011-01-28 19:26 - 00001599 _____ () C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Remoteunterstützung.lnk
2014-05-25 16:06 - 2014-05-25 16:06 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\TuneUp Software
2014-05-25 15:54 - 2011-01-28 17:48 - 00000190 ___SH () C:\Dokumente und Einstellungen\installieren\ntuser.ini
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2013-08-31 13:52 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\löcher
2014-05-25 12:15 - 2012-04-07 14:49 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\Opera
2014-05-25 12:15 - 2011-07-30 10:43 - 00000000 ___RD () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\Eigene Bilder
2014-05-25 10:37 - 2013-10-27 20:38 - 00598336 _____ () C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2014-05-25 10:13 - 2013-01-02 11:32 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Canon Utilities
2014-05-25 10:12 - 2013-01-02 11:19 - 00000000 ____D () C:\Programme\Canon
2014-05-25 09:59 - 2011-01-28 17:48 - 00000000 ___RD () C:\Dokumente und Einstellungen\installieren\Eigene Dateien\Eigene Bilder
2014-05-25 09:55 - 2014-05-25 09:55 - 00000000 ____D () C:\Dokumente und Einstellungen\installieren\Anwendungsdaten\CANON INC
2014-05-25 09:46 - 2014-05-25 09:16 - 00030744 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Tröde.xls
2014-05-25 09:25 - 2014-04-18 17:30 - 00010776 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\lfd. Kosten.xlsx
2014-05-25 09:25 - 2014-01-25 13:39 - 00167192 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Niklas 25.Januar 14.00 Uhr.odt
2014-05-25 09:25 - 2014-01-25 11:51 - 00019992 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Anmerkungen 25.01. 12 Uhr.odt
2014-05-25 09:25 - 2014-01-25 11:09 - 00166168 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Niklas 25.Januar 12.00 Uhr.odt
2014-05-25 09:25 - 2014-01-24 17:42 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Desktop\OpenOffice 4.0.1 (de) Installation Files
2014-05-25 09:25 - 2013-09-29 11:57 - 00062232 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Lebenslauf aktuell[1].odt
2014-05-25 09:25 - 2013-09-09 18:03 - 00020504 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Termine 2013-2014(1).xlsx
2014-05-25 09:25 - 2013-09-03 16:36 - 00013336 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Ausstellung.xlsx
2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 09:24 - 2014-01-25 09:27 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\OpenOffice
2014-05-25 09:24 - 2014-01-15 20:29 - 00025880 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Adressen Beerdigung.xls
2014-05-25 09:24 - 2013-01-02 11:51 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\Canon_Inc_IC
2014-05-25 09:24 - 2013-01-02 11:50 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\CANON INC
2014-05-25 09:24 - 2012-12-25 16:42 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canon_Inc_IC
2014-05-25 09:24 - 2011-08-30 17:37 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\Skype
2014-05-25 09:24 - 2011-05-07 18:37 - 00033304 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Adressen.xls
2014-05-25 09:24 - 2011-02-20 16:15 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\Adobe
2014-05-23 17:20 - 2011-07-30 10:43 - 00213504 ___SH () C:\Dokumente und Einstellungen\ulli\Desktop\Thumbs.db
2014-05-21 19:26 - 2011-01-29 11:36 - 00000000 __SHD () C:\WINDOWS\CSC
2014-05-15 16:00 - 2012-05-17 14:11 - 00692400 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerApp.exe
2014-05-15 16:00 - 2012-05-17 14:11 - 00070832 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
2014-05-15 15:51 - 2011-02-19 19:14 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2014-05-15 15:50 - 2013-07-13 20:17 - 00000000 ____D () C:\WINDOWS\system32\MRT
2014-05-15 15:48 - 2014-05-15 15:48 - 00000000 ____D () C:\Programme\Gemeinsame Dateien\DESIGNER
2014-05-15 15:48 - 2011-01-28 19:13 - 90547776 _____ (Microsoft Corporation) C:\WINDOWS\system32\MRT.exe
2014-05-14 15:04 - 2014-05-14 15:04 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\Canon Utilities
2014-05-12 07:26 - 2014-05-28 19:43 - 00053208 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamchameleon.sys
2014-05-12 07:25 - 2014-05-28 19:43 - 00023256 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys
2014-05-08 15:00 - 2014-03-31 14:45 - 00000230 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job
2014-05-04 08:52 - 2014-05-04 08:51 - 00005589 _____ () C:\WINDOWS\KB2964358-IE8.log
2014-05-04 08:52 - 2011-01-28 19:14 - 00271981 _____ () C:\WINDOWS\updspapi.log
2014-05-04 08:52 - 2011-01-28 19:14 - 00000000 ____D () C:\WINDOWS\ie8updates
2014-05-04 08:52 - 2011-01-28 16:41 - 01952029 _____ () C:\WINDOWS\iis6.log
2014-05-04 08:52 - 2011-01-28 16:41 - 01767445 _____ () C:\WINDOWS\FaxSetup.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00854276 _____ () C:\WINDOWS\ocgen.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00811976 _____ () C:\WINDOWS\tsoc.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00601750 _____ () C:\WINDOWS\comsetup.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00547924 _____ () C:\WINDOWS\msmqinst.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00362459 _____ () C:\WINDOWS\ntdtcsetup.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00310362 _____ () C:\WINDOWS\netfxocm.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00122186 _____ () C:\WINDOWS\MedCtrOC.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00098013 _____ () C:\WINDOWS\ocmsn.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00089576 _____ () C:\WINDOWS\tabletoc.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00088627 _____ () C:\WINDOWS\msgsocm.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00001355 _____ () C:\WINDOWS\imsins.log
2014-04-30 10:13 - 2008-04-14 14:00 - 06022144 ____C (Microsoft Corporation) C:\WINDOWS\system32\dllcache\mshtml.dll
2014-04-30 10:13 - 2008-04-14 14:00 - 06022144 _____ (Microsoft Corporation) C:\WINDOWS\system32\mshtml.dll

Some content of TEMP:
====================
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\avgnt.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Quarantine.exe


==================== Bamital & volsnap Check =================

C:\WINDOWS\explorer.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e 

C:\WINDOWS\system32\winlogon.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a 

C:\WINDOWS\system32\svchost.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366 

C:\WINDOWS\system32\services.exe
[2008-04-14 14:00] - [2009-02-09 13:21] - 0111104 ____A (Microsoft Corporation) a3edbe9053889fb24ab22492472b39dc 

C:\WINDOWS\system32\User32.dll
[2008-04-14 14:00] - [2008-04-14 14:00] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd 

C:\WINDOWS\system32\userinit.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106 

C:\WINDOWS\system32\rpcss.dll
[2008-04-14 14:00] - [2009-02-09 12:51] - 0401408 ____A (Microsoft Corporation) 3127afbf2c1ed0ab14a1bbb7aaecb85b 

 ATTENTION ======> If the system is having audio adware rpcss.dll is patched. Google the MD5, if the MD5 is unique the file is infected.
C:\WINDOWS\system32\Drivers\volsnap.sys
[2008-04-14 14:00] - [2008-04-14 14:00] - 0053760 ____A (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d 


==================== End Of Log ============================
         
--- --- ---

Alt 30.05.2014, 09:54   #8
schrauber
/// the machine
/// TB-Ausbilder
 

Lösegeldtrojaner - Standard

Lösegeldtrojaner




ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme?
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 30.05.2014, 16:09   #9
fredde
 
Lösegeldtrojaner - Standard

Lösegeldtrojaner



Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7587
# api_version=3.0.2
# EOSSerial=4563609a2c798740b26b2b07a3f88444
# engine=18477
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2014-05-30 02:40:38
# local_time=2014-05-30 04:40:38 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode_1='Avira Desktop'
# compatibility_mode=1810 16777213 100 100 12935 146013016 0 0
# scanned=70006
# found=1
# cleaned=0
# scan_time=12146
sh=06A52BAB880B91D58ADE3CCBB43994606DD779EE ft=0 fh=0000000000000000 vn="Mehrere Bedrohungen" ac=I fn="C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\26\70ec15da-42ff341a"
         
Code:
ATTFilter
 Results of screen317's Security Check version 0.99.83  
 Windows XP Service Pack 3 x86   
 Internet Explorer 8  
``````````````Antivirus/Firewall Check:`````````````` 
Please wait while WMIC compiles updated MOF files.d 
i 
s 
p 
l 
a 
y 
N 
a 
m 
e 
ECHO ist ausgeschaltet (OFF).
A 
V 
G 
ECHO ist ausgeschaltet (OFF).
A 
n 
t 
i 
V 
i 
r 
u 
s 
ECHO ist ausgeschaltet (OFF).
F 
r 
e 
ECHO ist ausgeschaltet (OFF).
E 
d 
i 
t 
i 
o 
n 
ECHO ist ausgeschaltet (OFF).
2 
0 
1 
2 
ECHO ist ausgeschaltet (OFF).
A 
v 
i 
r 
a 
ECHO ist ausgeschaltet (OFF).
D 
e 
s 
k 
t 
o 
p 
ECHO ist ausgeschaltet (OFF).
 Antivirus up to date! (On Access scanning disabled!) 
`````````Anti-malware/Other Utilities Check:````````` 
 Java(TM) 6 Update 24  
 Java 2 Runtime Environment, SE v1.4.2_01 
 Java version out of Date! 
 Adobe Reader 9 Adobe Reader out of Date! 
 Mozilla Firefox (3.6.13) Firefox out of Date!  
````````Process Check: objlist.exe by Laurent````````  
 Malwarebytes Anti-Malware mbamservice.exe  
 Malwarebytes Anti-Malware mbam.exe  
 AVG avgwdsvc.exe 
 AVG avgtray.exe 
 AVG avgrsx.exe 
 AVG avgemc.exe 
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
 Malwarebytes Anti-Malware mbamscheduler.exe   
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C::  
````````````````````End of Log``````````````````````
         

FRST Logfile:

FRST Logfile:

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:25-05-2014 01
Ran by Administrator (administrator) on U-A8BFC738B4404 on 30-05-2014 17:03:35
Running from C:\Dokumente und Einstellungen\Administrator\Desktop\viren
Platform: Microsoft Windows XP Professional Service Pack 3 (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Normal



==================== Processes (Whitelisted) =================

(AVG Technologies CZ, s.r.o.) C:\PROGRA~1\AVG\AVG2012\avgrsx.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgcsrvx.exe
(Microsoft Corporation) C:\Programme\Windows SteadyState\SCTSvc.exe
(brother Industries Ltd) C:\WINDOWS\system32\BRSVC01A.EXE
(brother Industries Ltd) C:\WINDOWS\system32\BRSS01A.EXE
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\sched.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avguard.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgwdsvc.exe
(Sun Microsystems, Inc.) C:\Programme\Java\jre6\bin\jqs.exe
(Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbamscheduler.exe
(Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbamservice.exe
(Yahoo! Inc.) C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
(Canon Inc.) C:\Programme\Canon\CAL\CALMAIN.exe
(Intel Corporation) C:\WINDOWS\system32\igfxtray.exe
(Intel Corporation) C:\WINDOWS\system32\hkcmd.exe
(Intel Corporation) C:\WINDOWS\system32\igfxpers.exe
(Realtek Semiconductor Corp.) C:\WINDOWS\RTHDCPL.exe
(Microsoft Corporation) C:\Programme\Windows SteadyState\Bubble.exe
(Intel Corporation) C:\WINDOWS\system32\igfxsrvc.exe
(Microsoft Corporation) C:\WINDOWS\system32\wbem\unsecapp.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgtray.exe
(Microsoft Corporation) C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avshadow.exe
(Sun Microsystems, Inc.) C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
(SONIX) C:\WINDOWS\tsnpstd3.exe
() C:\WINDOWS\vsnpstd3.exe
(Adobe Systems Incorporated) C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avgnt.exe
() C:\Programme\Canon\ImageBrowser EX\MFManager.exe
(Avira Operations GmbH & Co. KG) C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe
(Microsoft Corporation) C:\WINDOWS\system32\wuauclt.exe
(Malwarebytes Corporation) C:\Programme\ Malwarebytes Anti-Malware \mbam.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgscanx.exe
(AVG Technologies CZ, s.r.o.) C:\Programme\AVG\AVG2012\avgcsrvx.exe
(Mozilla Corporation) C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Anwendungsdaten\Mozilla Firefox\firefox.exe


==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RTHDCPL] => C:\WINDOWS\RTHDCPL.EXE [16876032 2008-07-03] (Realtek Semiconductor Corp.)
HKLM\...\Run: [Bubble] => C:\Programme\Windows SteadyState\Bubble.exe [182288 2008-05-30] (Microsoft Corporation)
HKLM\...\Run: [Logoff] => C:\Programme\Windows SteadyState\SCTUINotify.exe [163856 2008-05-30] (Microsoft Corporation)
HKLM\...\Run: [AVG_TRAY] => C:\Programme\AVG\AVG2012\avgtray.exe [2598520 2012-11-19] (AVG Technologies CZ, s.r.o.)
HKLM\...\Run: [GrooveMonitor] => C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
HKLM\...\Run: [SunJavaUpdateSched] => C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [249064 2010-10-29] (Sun Microsystems, Inc.)
HKLM\...\Run: [tsnpstd3] => C:\WINDOWS\tsnpstd3.exe [262144 2007-03-30] (SONIX)
HKLM\...\Run: [snpstd3] => C:\WINDOWS\vsnpstd3.exe [843776 2006-09-18] ()
HKLM\...\Run: [UCam_Menu] => C:\Programme\\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe [218408 2008-12-03] (CyberLink Corp.)
HKLM\...\Run: [Adobe Reader Speed Launcher] => C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [38872 2012-07-31] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] => C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [avgnt] => C:\Programme\Avira\AntiVir Desktop\avgnt.exe [689744 2014-02-20] (Avira Operations GmbH & Co. KG)
Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ImageBrowser EX Agent.lnk
ShortcutTarget: ImageBrowser EX Agent.lnk -> C:\Programme\Canon\ImageBrowser EX\MFManager.exe ()
Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\DECRYPT_INSTRUCTION.HTML ()
Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\DECRYPT_INSTRUCTION.TXT ()
InternetURL: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\DECRYPT_INSTRUCTION.URL -> https://kpai7ycr7jxqkilp.torexplorer.com/5z9t
Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
Startup: C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart\OneNote Inhaltsverzeichnis.onetoc2 ()

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0xA434F9509B7ACF01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO: AVG Do Not Track - {31332EEF-CB9F-458F-AFEB-D30E9A66B6BA} - C:\Programme\AVG\AVG2012\avgdtiex.dll (AVG Technologies CZ, s.r.o.)
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-0014-0002-0001-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
Handler: http\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: http\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: https\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: https\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: ipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG2012\avgpp.dll (AVG Technologies CZ, s.r.o.)
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
Handler: msdaipp\0x00000001 - {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: msdaipp\oledb - {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

FireFox:
========
FF ProfilePath: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default
FF Plugin: @canon.com/MycameraPlugin - C:\Programme\Canon\MyCamera Download Plugin\NPCIG.dll (CANON INC.)
FF Plugin: @java.com/JavaPlugin - C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Programme\Microsoft Silverlight\5.1.30214.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: Adobe Reader - C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Extension: Microsoft .NET Framework Assistant - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\k4llfb44.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b} [2014-05-30]
FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Programme\Java\jre6\lib\deploy\jqs\ff
FF Extension: Java Quick Starter - C:\Programme\Java\jre6\lib\deploy\jqs\ff [2011-01-29]
FF HKLM\...\Firefox\Extensions: [{F53C93F1-07D5-430c-86D4-C9531B27DFAF}] - C:\Programme\AVG\AVG2012\Firefox\DoNotTrack\
FF Extension: AVG Do Not Track - C:\Programme\AVG\AVG2012\Firefox\DoNotTrack\ []
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ []
FF StartMenuInternet: FIREFOX.EXE - C:\Dokumente und Einstellungen\installieren\Lokale Einstellungen\Anwendungsdaten\Mozilla Firefox\firefox.exe

========================== Services (Whitelisted) =================

R2 AntiVirSchedulerService; C:\Programme\Avira\AntiVir Desktop\sched.exe [440400 2014-02-20] (Avira Operations GmbH & Co. KG)
R2 AntiVirService; C:\Programme\Avira\AntiVir Desktop\avguard.exe [440400 2014-02-20] (Avira Operations GmbH & Co. KG)
R2 AntiVirWebService; C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE [1017424 2014-02-20] (Avira Operations GmbH & Co. KG)
R2 avgwd; C:\Programme\AVG\AVG2012\avgwdsvc.exe [193288 2012-02-14] (AVG Technologies CZ, s.r.o.)
R2 Brother XP spl Service; C:\WINDOWS\system32\brsvc01a.exe [57344 2002-04-12] (brother Industries Ltd)
R2 CCALib8; C:\Programme\Canon\CAL\CALMAIN.exe [96334 2009-09-08] (Canon Inc.)
R2 JavaQuickStarterService; C:\Programme\Java\jre6\bin\jqs.exe [153376 2011-02-02] (Sun Microsystems, Inc.)
R2 MBAMScheduler; C:\Programme\ Malwarebytes Anti-Malware \mbamscheduler.exe [1809720 2014-05-12] (Malwarebytes Corporation)
R2 MBAMService; C:\Programme\ Malwarebytes Anti-Malware \mbamservice.exe [860472 2014-05-12] (Malwarebytes Corporation)
S3 Microsoft Office Groove Audit Service; C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe [64856 2009-02-26] (Microsoft Corporation)
S3 odserv; C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE [440696 2011-07-20] (Microsoft Corporation)
S3 ose; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [145184 2006-10-26] (Microsoft Corporation)
S2 SkypeUpdate; C:\Programme\Skype\Updater\Updater.exe [172192 2013-10-23] (Skype Technologies)
R2 Windows SteadyState; C:\Programme\Windows SteadyState\SCTSvc.exe [115728 2008-05-30] (Microsoft Corporation)
R2 YahooAUService; C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe [602392 2008-11-09] (Yahoo! Inc.)

==================== Drivers (Whitelisted) ====================

R3 AtcL001; C:\WINDOWS\System32\DRIVERS\l151x86.sys [37376 2008-11-12] (Atheros Communications, Inc.)
R0 AVGIDSHX; C:\WINDOWS\System32\DRIVERS\avgidshx.sys [24896 2012-04-19] (AVG Technologies CZ, s.r.o. )
R1 Avgldx86; C:\WINDOWS\System32\DRIVERS\avgldx86.sys [250080 2012-11-08] (AVG Technologies CZ, s.r.o.)
R1 Avgmfx86; C:\WINDOWS\System32\DRIVERS\avgmfx86.sys [41040 2011-12-23] (AVG Technologies CZ, s.r.o.)
R2 avgntflt; C:\WINDOWS\System32\DRIVERS\avgntflt.sys [90400 2013-12-21] (Avira Operations GmbH & Co. KG)
R0 Avgrkx86; C:\WINDOWS\System32\DRIVERS\avgrkx86.sys [31952 2012-01-31] (AVG Technologies CZ, s.r.o.)
R1 avipbb; C:\WINDOWS\System32\DRIVERS\avipbb.sys [135648 2013-12-21] (Avira Operations GmbH & Co. KG)
R1 avkmgr; C:\WINDOWS\System32\DRIVERS\avkmgr.sys [37352 2013-11-19] (Avira Operations GmbH & Co. KG)
S3 CCDECODE; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [17024 2008-04-14] (Microsoft Corporation)
R3 MBAMProtector; C:\WINDOWS\system32\drivers\mbam.sys [23256 2014-05-12] (Malwarebytes Corporation)
R3 MBAMSwissArmy; C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [110296 2014-05-30] (Malwarebytes Corporation)
R3 MTsensor; C:\WINDOWS\System32\DRIVERS\ASACPI.sys [5810 2004-08-13] ()
S3 NdisIP; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [10880 2008-04-14] (Microsoft Corporation)
R3 SNPSTD3; C:\WINDOWS\System32\DRIVERS\snpstd3.sys [10246144 2007-04-13] (Sonix Co. Ltd.)
R1 ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [28520 2013-08-11] (Avira GmbH)
S3 catchme; \??\C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\catchme.sys [X]
S4 IntelIde; No ImagePath

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-05-30 17:00 - 2014-05-30 17:00 - 00000708 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\Ereignisse.txt
2014-05-30 16:41 - 2014-05-30 16:41 - 00000133 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\eset.txt
2014-05-30 16:33 - 2014-05-30 16:33 - 00854367 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\SecurityCheck.exe
2014-05-30 13:14 - 2014-05-30 13:14 - 00000000 ____D () C:\Programme\ESET
2014-05-29 13:13 - 2014-05-29 13:13 - 00000614 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\JRT.txt
2014-05-29 12:59 - 2014-05-29 12:59 - 00000000 ____D () C:\WINDOWS\ERUNT
2014-05-29 12:50 - 2014-05-29 12:51 - 00000000 ____D () C:\AdwCleaner
2014-05-28 19:51 - 2014-05-28 19:51 - 00011544 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\hs_err_pid1576.log
2014-05-28 19:44 - 2014-05-30 16:42 - 00110296 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\MBAMSwissArmy.sys
2014-05-28 19:43 - 2014-05-28 19:43 - 00000749 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Programme\ Malwarebytes Anti-Malware 
2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ Malwarebytes Anti-Malware 
2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2014-05-28 19:43 - 2014-05-12 07:26 - 00053208 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamchameleon.sys
2014-05-28 19:43 - 2014-05-12 07:25 - 00023256 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys
2014-05-27 17:31 - 2014-05-27 17:31 - 00011909 _____ () C:\ComboFix.txt
2014-05-27 17:24 - 2014-05-27 17:24 - 00000000 _RSHD () C:\cmdcons
2014-05-27 17:24 - 2012-05-28 18:28 - 00000211 _____ () C:\Boot.bak
2014-05-27 17:24 - 2004-08-03 23:00 - 00262448 __RSH () C:\cmldr
2014-05-27 17:17 - 2011-06-26 08:45 - 00256000 _____ () C:\WINDOWS\PEV.exe
2014-05-27 17:17 - 2010-11-07 19:20 - 00208896 _____ () C:\WINDOWS\MBR.exe
2014-05-27 17:17 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe
2014-05-27 17:17 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe
2014-05-27 17:17 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe
2014-05-27 17:17 - 2000-08-31 02:00 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe
2014-05-27 17:17 - 2000-08-31 02:00 - 00098816 _____ () C:\WINDOWS\sed.exe
2014-05-27 17:17 - 2000-08-31 02:00 - 00080412 _____ () C:\WINDOWS\grep.exe
2014-05-27 17:17 - 2000-08-31 02:00 - 00068096 _____ () C:\WINDOWS\zip.exe
2014-05-27 17:16 - 2014-05-27 17:31 - 00000000 ____D () C:\Qoobox
2014-05-27 17:16 - 2014-05-27 17:16 - 00000000 ___RD () C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Verwaltung
2014-05-27 17:15 - 2014-05-27 17:30 - 00000000 ____D () C:\WINDOWS\erdnt
2014-05-27 16:52 - 2014-05-27 16:52 - 00000889 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\Revo Uninstaller.lnk
2014-05-27 16:52 - 2014-05-27 16:52 - 00000000 ____D () C:\Programme\VS Revo Group
2014-05-26 15:57 - 2014-05-26 15:57 - 00000000 ____D () C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun
2014-05-25 19:26 - 2014-05-25 19:26 - 00000000 _____ () C:\Dokumente und Einstellungen\Administrator\defogger_reenable
2014-05-25 19:17 - 2014-05-30 17:03 - 00000000 ____D () C:\FRST
2014-05-25 19:14 - 2014-05-25 19:14 - 00000000 _____ () C:\Dokumente und Einstellungen\ulli\defogger_reenable
2014-05-25 16:16 - 2014-05-25 16:17 - 00000432 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.URL
2014-05-25 16:16 - 2014-05-25 16:16 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.HTML
2014-05-25 16:16 - 2014-05-25 16:16 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.TXT
2014-05-25 16:06 - 2014-05-25 16:06 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\TuneUp Software
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.URL
2014-05-25 09:55 - 2014-05-25 09:55 - 00000000 ____D () C:\Dokumente und Einstellungen\installieren\Anwendungsdaten\CANON INC
2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 09:16 - 2014-05-25 09:46 - 00030744 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Tröde.xls
2014-05-15 15:48 - 2014-05-15 15:48 - 00000000 ____D () C:\Programme\Gemeinsame Dateien\DESIGNER
2014-05-14 15:04 - 2014-05-14 15:04 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\Canon Utilities
2014-05-04 08:51 - 2014-05-04 08:52 - 00005589 _____ () C:\WINDOWS\KB2964358-IE8.log

==================== One Month Modified Files and Folders =======

2014-05-30 17:03 - 2014-05-25 19:17 - 00000000 ____D () C:\FRST
2014-05-30 17:00 - 2014-05-30 17:00 - 00000708 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\Ereignisse.txt
2014-05-30 17:00 - 2012-05-17 14:11 - 00000884 _____ () C:\WINDOWS\Tasks\Adobe Flash Player Updater.job
2014-05-30 16:42 - 2014-05-28 19:44 - 00110296 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\MBAMSwissArmy.sys
2014-05-30 16:41 - 2014-05-30 16:41 - 00000133 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\eset.txt
2014-05-30 16:41 - 2011-03-05 10:39 - 00000000 ____D () C:\WINDOWS\system32\NtmsData
2014-05-30 16:40 - 2011-01-28 17:21 - 00000000 ____D () C:\WINDOWS\Registration
2014-05-30 16:33 - 2014-05-30 16:33 - 00854367 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\SecurityCheck.exe
2014-05-30 13:14 - 2014-05-30 13:14 - 00000000 ____D () C:\Programme\ESET
2014-05-30 13:14 - 2011-01-28 16:41 - 00000000 ___RD () C:\Programme
2014-05-30 13:11 - 2011-01-28 17:22 - 01496774 _____ () C:\WINDOWS\WindowsUpdate.log
2014-05-30 13:03 - 2011-01-29 12:24 - 00000000 ____D () C:\WINDOWS\system32\Drivers\AVG
2014-05-30 12:56 - 2014-03-31 14:45 - 00000236 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP –  Benachrichtigung – Anmeldung.job
2014-05-30 12:56 - 2008-04-14 14:00 - 00013646 _____ () C:\WINDOWS\system32\wpa.dbl
2014-05-30 12:55 - 2011-01-28 17:30 - 00000006 ____H () C:\WINDOWS\Tasks\SA.DAT
2014-05-30 12:55 - 2011-01-28 16:43 - 00000159 _____ () C:\WINDOWS\wiadebug.log
2014-05-30 12:55 - 2011-01-28 16:43 - 00000050 _____ () C:\WINDOWS\wiaservc.log
2014-05-29 13:22 - 2011-01-28 17:30 - 00032636 _____ () C:\WINDOWS\SchedLgU.Txt
2014-05-29 13:21 - 2011-01-29 15:36 - 00000190 ___SH () C:\Dokumente und Einstellungen\Administrator\ntuser.ini
2014-05-29 13:21 - 2011-01-29 15:36 - 00000000 ____D () C:\Dokumente und Einstellungen\Administrator
2014-05-29 13:13 - 2014-05-29 13:13 - 00000614 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\JRT.txt
2014-05-29 12:59 - 2014-05-29 12:59 - 00000000 ____D () C:\WINDOWS\ERUNT
2014-05-29 12:51 - 2014-05-29 12:50 - 00000000 ____D () C:\AdwCleaner
2014-05-28 20:37 - 2011-01-28 17:25 - 00000000 __SHD () C:\Dokumente und Einstellungen\NetworkService
2014-05-28 19:51 - 2014-05-28 19:51 - 00011544 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\hs_err_pid1576.log
2014-05-28 19:43 - 2014-05-28 19:43 - 00000749 _____ () C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Programme\ Malwarebytes Anti-Malware 
2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ Malwarebytes Anti-Malware 
2014-05-28 19:43 - 2014-05-28 19:43 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2014-05-28 19:43 - 2011-01-28 16:41 - 00000000 ___RD () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme
2014-05-27 17:31 - 2014-05-27 17:31 - 00011909 _____ () C:\ComboFix.txt
2014-05-27 17:31 - 2014-05-27 17:16 - 00000000 ____D () C:\Qoobox
2014-05-27 17:30 - 2014-05-27 17:15 - 00000000 ____D () C:\WINDOWS\erdnt
2014-05-27 17:30 - 2008-04-14 14:00 - 00000227 _____ () C:\WINDOWS\system.ini
2014-05-27 17:29 - 2011-01-28 19:26 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli
2014-05-27 17:24 - 2014-05-27 17:24 - 00000000 _RSHD () C:\cmdcons
2014-05-27 17:24 - 2011-01-28 17:40 - 00000327 __RSH () C:\boot.ini
2014-05-27 17:16 - 2014-05-27 17:16 - 00000000 ___RD () C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Verwaltung
2014-05-27 17:16 - 2011-01-29 15:36 - 00000000 ___RD () C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme
2014-05-27 17:03 - 2014-02-18 17:34 - 00000000 ____D () C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Yahoo!
2014-05-27 16:57 - 2011-01-28 16:41 - 00000000 ___RD () C:\Dokumente und Einstellungen\All Users\Startmenü
2014-05-27 16:52 - 2014-05-27 16:52 - 00000889 _____ () C:\Dokumente und Einstellungen\Administrator\Desktop\Revo Uninstaller.lnk
2014-05-27 16:52 - 2014-05-27 16:52 - 00000000 ____D () C:\Programme\VS Revo Group
2014-05-26 15:57 - 2014-05-26 15:57 - 00000000 ____D () C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun
2014-05-26 15:50 - 2011-01-28 19:26 - 00000190 ___SH () C:\Dokumente und Einstellungen\ulli\ntuser.ini
2014-05-25 19:26 - 2014-05-25 19:26 - 00000000 _____ () C:\Dokumente und Einstellungen\Administrator\defogger_reenable
2014-05-25 19:14 - 2014-05-25 19:14 - 00000000 _____ () C:\Dokumente und Einstellungen\ulli\defogger_reenable
2014-05-25 16:17 - 2014-05-25 16:16 - 00000432 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.URL
2014-05-25 16:16 - 2014-05-25 16:16 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.HTML
2014-05-25 16:16 - 2014-05-25 16:16 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\DECRYPT_INSTRUCTION.TXT
2014-05-25 16:16 - 2011-01-28 19:26 - 00000000 ___RD () C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Autostart
2014-05-25 16:09 - 2011-01-28 19:26 - 00001599 _____ () C:\Dokumente und Einstellungen\ulli\Startmenü\Programme\Remoteunterstützung.lnk
2014-05-25 16:06 - 2014-05-25 16:06 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\TuneUp Software
2014-05-25 15:54 - 2011-01-28 17:48 - 00000190 ___SH () C:\Dokumente und Einstellungen\installieren\ntuser.ini
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00008568 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.HTML
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00004672 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.TXT
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2014-05-25 12:15 - 00000282 _____ () C:\Dokumente und Einstellungen\ulli\DECRYPT_INSTRUCTION.URL
2014-05-25 12:15 - 2013-08-31 13:52 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\löcher
2014-05-25 12:15 - 2012-04-07 14:49 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Lokale Einstellungen\Anwendungsdaten\Opera
2014-05-25 12:15 - 2011-07-30 10:43 - 00000000 ___RD () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\Eigene Bilder
2014-05-25 10:37 - 2013-10-27 20:38 - 00598336 _____ () C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2014-05-25 10:13 - 2013-01-02 11:32 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Canon Utilities
2014-05-25 10:12 - 2013-01-02 11:19 - 00000000 ____D () C:\Programme\Canon
2014-05-25 09:59 - 2011-01-28 17:48 - 00000000 ___RD () C:\Dokumente und Einstellungen\installieren\Eigene Dateien\Eigene Bilder
2014-05-25 09:55 - 2014-05-25 09:55 - 00000000 ____D () C:\Dokumente und Einstellungen\installieren\Anwendungsdaten\CANON INC
2014-05-25 09:46 - 2014-05-25 09:16 - 00030744 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Tröde.xls
2014-05-25 09:25 - 2014-04-18 17:30 - 00010776 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\lfd. Kosten.xlsx
2014-05-25 09:25 - 2014-01-25 13:39 - 00167192 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Niklas 25.Januar 14.00 Uhr.odt
2014-05-25 09:25 - 2014-01-25 11:51 - 00019992 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Anmerkungen 25.01. 12 Uhr.odt
2014-05-25 09:25 - 2014-01-25 11:09 - 00166168 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Niklas 25.Januar 12.00 Uhr.odt
2014-05-25 09:25 - 2014-01-24 17:42 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Desktop\OpenOffice 4.0.1 (de) Installation Files
2014-05-25 09:25 - 2013-09-29 11:57 - 00062232 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Lebenslauf aktuell[1].odt
2014-05-25 09:25 - 2013-09-09 18:03 - 00020504 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Termine 2013-2014(1).xlsx
2014-05-25 09:25 - 2013-09-03 16:36 - 00013336 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Ausstellung.xlsx
2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 09:24 - 2014-05-25 09:24 - 00008566 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.HTML
2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 09:24 - 2014-05-25 09:24 - 00004670 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.TXT
2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 09:24 - 2014-05-25 09:24 - 00000280 _____ () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DECRYPT_INSTRUCTION.URL
2014-05-25 09:24 - 2014-01-25 09:27 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\OpenOffice
2014-05-25 09:24 - 2014-01-15 20:29 - 00025880 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Adressen Beerdigung.xls
2014-05-25 09:24 - 2013-01-02 11:51 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\Canon_Inc_IC
2014-05-25 09:24 - 2013-01-02 11:50 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\CANON INC
2014-05-25 09:24 - 2012-12-25 16:42 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canon_Inc_IC
2014-05-25 09:24 - 2011-08-30 17:37 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\Skype
2014-05-25 09:24 - 2011-05-07 18:37 - 00033304 _____ () C:\Dokumente und Einstellungen\ulli\Desktop\Adressen.xls
2014-05-25 09:24 - 2011-02-20 16:15 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Anwendungsdaten\Adobe
2014-05-23 17:20 - 2011-07-30 10:43 - 00213504 ___SH () C:\Dokumente und Einstellungen\ulli\Desktop\Thumbs.db
2014-05-21 19:26 - 2011-01-29 11:36 - 00000000 __SHD () C:\WINDOWS\CSC
2014-05-15 16:00 - 2012-05-17 14:11 - 00692400 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerApp.exe
2014-05-15 16:00 - 2012-05-17 14:11 - 00070832 _____ (Adobe Systems Incorporated) C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
2014-05-15 15:51 - 2011-02-19 19:14 - 00000000 ____D () C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2014-05-15 15:50 - 2013-07-13 20:17 - 00000000 ____D () C:\WINDOWS\system32\MRT
2014-05-15 15:48 - 2014-05-15 15:48 - 00000000 ____D () C:\Programme\Gemeinsame Dateien\DESIGNER
2014-05-15 15:48 - 2011-01-28 19:13 - 90547776 _____ (Microsoft Corporation) C:\WINDOWS\system32\MRT.exe
2014-05-14 15:04 - 2014-05-14 15:04 - 00000000 ____D () C:\Dokumente und Einstellungen\ulli\Eigene Dateien\Canon Utilities
2014-05-12 07:26 - 2014-05-28 19:43 - 00053208 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbamchameleon.sys
2014-05-12 07:25 - 2014-05-28 19:43 - 00023256 _____ (Malwarebytes Corporation) C:\WINDOWS\system32\Drivers\mbam.sys
2014-05-08 15:00 - 2014-03-31 14:45 - 00000230 _____ () C:\WINDOWS\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job
2014-05-04 08:52 - 2014-05-04 08:51 - 00005589 _____ () C:\WINDOWS\KB2964358-IE8.log
2014-05-04 08:52 - 2011-01-28 19:14 - 00271981 _____ () C:\WINDOWS\updspapi.log
2014-05-04 08:52 - 2011-01-28 19:14 - 00000000 ____D () C:\WINDOWS\ie8updates
2014-05-04 08:52 - 2011-01-28 16:41 - 01952029 _____ () C:\WINDOWS\iis6.log
2014-05-04 08:52 - 2011-01-28 16:41 - 01767445 _____ () C:\WINDOWS\FaxSetup.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00854276 _____ () C:\WINDOWS\ocgen.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00811976 _____ () C:\WINDOWS\tsoc.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00601750 _____ () C:\WINDOWS\comsetup.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00547924 _____ () C:\WINDOWS\msmqinst.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00362459 _____ () C:\WINDOWS\ntdtcsetup.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00310362 _____ () C:\WINDOWS\netfxocm.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00122186 _____ () C:\WINDOWS\MedCtrOC.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00098013 _____ () C:\WINDOWS\ocmsn.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00089576 _____ () C:\WINDOWS\tabletoc.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00088627 _____ () C:\WINDOWS\msgsocm.log
2014-05-04 08:52 - 2011-01-28 16:41 - 00001355 _____ () C:\WINDOWS\imsins.log
2014-04-30 10:13 - 2008-04-14 14:00 - 06022144 ____C (Microsoft Corporation) C:\WINDOWS\system32\dllcache\mshtml.dll
2014-04-30 10:13 - 2008-04-14 14:00 - 06022144 _____ (Microsoft Corporation) C:\WINDOWS\system32\mshtml.dll

Some content of TEMP:
====================
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\avgnt.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Quarantine.exe


==================== Bamital & volsnap Check =================

C:\WINDOWS\explorer.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 1036800 ____A (Microsoft Corporation) 418045a93cd87a352098ab7dabe1b53e 

C:\WINDOWS\system32\winlogon.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0513024 ____A (Microsoft Corporation) f09a527b422e25c478e38caa0e44417a 

C:\WINDOWS\system32\svchost.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0014336 ____A (Microsoft Corporation) 4fbc75b74479c7a6f829e0ca19df3366 

C:\WINDOWS\system32\services.exe
[2008-04-14 14:00] - [2009-02-09 13:21] - 0111104 ____A (Microsoft Corporation) a3edbe9053889fb24ab22492472b39dc 

C:\WINDOWS\system32\User32.dll
[2008-04-14 14:00] - [2008-04-14 14:00] - 0580096 ____A (Microsoft Corporation) b0050cc5340e3a0760dd8b417ff7aebd 

C:\WINDOWS\system32\userinit.exe
[2008-04-14 14:00] - [2008-04-14 14:00] - 0026624 ____A (Microsoft Corporation) 788f95312e26389d596c0fa55834e106 

C:\WINDOWS\system32\rpcss.dll
[2008-04-14 14:00] - [2009-02-09 12:51] - 0401408 ____A (Microsoft Corporation) 3127afbf2c1ed0ab14a1bbb7aaecb85b 

 ATTENTION ======> If the system is having audio adware rpcss.dll is patched. Google the MD5, if the MD5 is unique the file is infected.
C:\WINDOWS\system32\Drivers\volsnap.sys
[2008-04-14 14:00] - [2008-04-14 14:00] - 0053760 ____A (Microsoft Corporation) a5a712f4e880874a477af790b5186e1d 


==================== End Of Log ============================
         
--- --- ---

--- --- ---

--- --- ---

zwischendurch hat sich antivir gemeldet. hab das ereignis mal exportiert:
Code:
ATTFilter
Exportierte Ereignisse:

30.05.2014 16:01 [Echtzeit-Scanner] Malware gefunden
      In der Datei 'C:\System Volume 
      Information\_restore{70F13310-2DC3-4005-912E-740C56AB6B92}\RP497\A0137880.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.Xpack.68064' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff erlauben
         
insgesamt noch keinme besserung. dateien sind nicht zu öffnen und pc ist sau langsam.
gruß fredde

Alt 31.05.2014, 15:11   #10
schrauber
/// the machine
/// TB-Ausbilder
 

Lösegeldtrojaner - Standard

Lösegeldtrojaner



Java, Adobe und Firefox updaten.

Der Fund ist nur n der SWH, nicht wild.


Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe und drücke auf Start.
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.


Welche Dateien sind nicht zu öffnen? Fehlermeldung?
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 01.06.2014, 12:27   #11
fredde
 
Lösegeldtrojaner - Standard

Lösegeldtrojaner



Hi,
hab tfc ausgeführt. keine besserung. office dateien und bilder sind nicht zu öffnen. bei den word dateien kam erst der kommentar, dass das keine word datei sei. mittlerweile steht da, dass Konverter mswrd632 nicht gestartet werden kann... allerdings sind die dateien auch mit dem editor nicht zu öffnen, so dass der fehler nicht bei word liegen kann... die bilder können auch nicht geöffnet werden... die bildanzeige meldet nichts, wenn ich die z.B. mit paint öffnen will, dann sagt der pc, dass die datei nicht gelesen werden kann, da sie keine gültige bitmapdatei ist...

Alt 02.06.2014, 12:01   #12
schrauber
/// the machine
/// TB-Ausbilder
 

Lösegeldtrojaner - Standard

Lösegeldtrojaner



Eine Beispieldatei bitte zippen und anhängen.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 03.06.2014, 18:10   #13
fredde
 
Lösegeldtrojaner - Standard

Lösegeldtrojaner



sorry, war gestern erst spät zuhause. hier ist eine word datei.

Alt 03.06.2014, 18:12   #14
fredde
 
Lösegeldtrojaner - Standard

Lösegeldtrojaner



die datei heißt index.php, ist aber eine word datei... kann leider auch nicht sagen, was da drin steht, da ich sie ja nicht öffnen kann...
gruß fredde

Alt 04.06.2014, 12:41   #15
schrauber
/// the machine
/// TB-Ausbilder
 

Lösegeldtrojaner - Standard

Lösegeldtrojaner



und wenn Du die Dateierweiterung php wieder nach Word änderst?
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Antwort

Themen zu Lösegeldtrojaner
canon, fontcache, hijack.folderoptions, hijack.tray, lösegeldtrojaner, pum.hijack.cmdprompt, pum.hijack.connectioncontrol, pum.hijack.explorer, pum.hijack.regedit, tr/crypt.xpack.68064





Zum Thema Lösegeldtrojaner - Hallo, ich hoffe ihr könnt mir helfen. ich habe auf einem Familienrechner mit XP einen Lösegeldtrojaner gefunden und brauche dringend Hilfe. Scheinbar sind alle Dateien verschlüsselt. Ich habe die gewünschten - Lösegeldtrojaner...
Archiv
Du betrachtest: Lösegeldtrojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.