|
Sie haben sich mit einem Windows Verschlüsselungstrojaner infiziert... Hallo, ich habe seit ca. 1 Stunde das Problem, dass ich nicht mehr in meinen Laptop rein komme. Vor ca. 2 Stunden öffnete ich eine E-Mail mit einer Zahlungsaufforderung von knapp 96 Euro und im Anhang befand sich dann eine Datei, die die Erläuterung sowie ein Widerrufsrecht hergibt. Ich habe diese geöffnet und kurze Zeit später wurde mein Bildschirm schwarz und ist nun mit einem weißen Kasten versehen in dem folgendes steht: Sie haben sich mit einen Windows-Verschlüsselungs-Trojaner infiziert. Aus Sicherheitsgründen wurde ihr Windowssystem blockiert. Das Besuchen von Seiten mit pornografischen und infizierten Inhalten hat dazu geführt, das Ihr System von einem Computerverschlüsselungstrojaner befallen wurde. Dieses Virus verschlüsselt Ihre Festplatte mit einem 2048 Bit PGP-RSA Schlüssel und eine selbstständige Entschlüsselung ist nicht mehr machbar. Um das System wiederherstellen zu können, müssen Sie ein zusätzliches Sicherheitupdate herunterladen. Diese Update ist ein kostenpflichtiges Upgrade für infizierte Windowssysteme. Kostenpflichtig ist es, weil es nicht zum ursprünglichen Windowspaket gehört und nur dafür entwickelt wurde um Ihnen zu helfen ihre Daten nicht zu verlieren. Bitte schalten Sie den Computer nicht aus, sonst kann es vorkommen das der Virus nicht beseitigt werden kann und Sie ihre Daten komplett verlieren. Dieses Update beschützt ihr System vollständig von Virus und Schadprogrammen stabilisiert ihr Computersystem und verhindert den Datenverlust. Damit ihr Computer schnellstens entsperrt wird, nutzen Sie bitte die schnelle und diskrete Zahlungsmöglichkeit durch Paysafecard oder Ukash. Diese Karten können Sie an fast jeder Tankstelle oder einem Kiosk in Ihrer Nähe kaufen. Diese Codes gibts auch überall da, wo Sie Handyaufladekarten erwerben können. Sofort nach der Eingabe und der Gültigkeitsprüfung wird das Update auf Ihren Computer automatisch heruntergeladen und installiert. Ihr System wird sofort entschlüsselt und von dem Trojaner befreit. 50 Euro Paysave-Card Code:____________________ Code eingeben 50 Euro Ucash Code: _____________________Code eingeben. Leider komme ich nicht ohne solch einen Code einzugeben weiter um irgend etwas zu prüfen.... Ich wäre sehr dankbar, wenn mir jemand einen Rat geben könnte wie ich mich jetzt verhalten soll und vor allem was ich jetzt anstellen kann.... ich habe einen zweiten rechner zur verfügung, kann den ersten auch im abgesicherten modus mit netzwerktreibern starten, ich habe mir auch die ratschläge von markusg der anderen postings zu dem selben thema durchgelesen und bin grad dabei den rechner von cd zu booten. hoffe ihr könnt mir helfen. lg rapunzel |
Um welche Windows-Version handelt es sich? Bitte auch angeben, ob 32- oder 64bit! |
ms windows xp professional version 2002 wo finde ich die info ob 32 oder 64bit? |
Von welcher CD bootest du den Rechner gerade? Die von markusg angewiesene OTLPE? |
ja das logfile, soll ich das hier so posten? |
Ja, bitte mal her damit! |
OTL logfile created on: 4/25/2012 4:27:18 PM - Run OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE 64bit-Windows 7 Home Premium Service Pack 1 (Version = 6.1.7601) - Type = System Internet Explorer (Version = 8.0.7601.17514) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 89.00% Memory free 3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = D: | %SystemRoot% = D:\Windows | %ProgramFiles% = D:\Program Files (x86) Drive C: | 100.00 Mb Total Space | 75.82 Mb Free Space | 75.82% Space Free | Partition Type: NTFS Drive D: | 284.99 Gb Total Space | 216.49 Gb Free Space | 75.97% Space Free | Partition Type: NTFS Drive E: | 978.04 Mb Total Space | 948.88 Mb Free Space | 97.02% Space Free | Partition Type: FAT32 Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS Computer Name: REATOGO | User Name: SYSTEM Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days Using ControlSet: ControlSet001 ========== Win32 Services (SafeList) ========== SRV:64bit: - [2011/10/18 09:32:28 | 000,161,168 | ---- | M] (McAfee, Inc.) [Auto] -- D:\Windows\System32\mfevtps.exe -- (mfevtp) SRV:64bit: - [2011/10/18 09:23:24 | 000,208,536 | ---- | M] (McAfee, Inc.) [Auto] -- D:\Program Files\Common Files\McAfee\SystemCore\mfefire.exe -- (mfefire) SRV:64bit: - [2011/10/18 09:23:06 | 000,199,272 | ---- | M] (McAfee, Inc.) [Auto] -- D:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe -- (McShield) SRV:64bit: - [2011/03/17 10:39:40 | 000,501,768 | ---- | M] (McAfee, Inc.) [On_Demand] -- D:\Program Files\McAfee\VirusScan\mcods.exe -- (McODS) SRV:64bit: - [2011/01/27 12:28:20 | 000,249,936 | ---- | M] (McAfee, Inc.) [Auto] -- D:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe -- (McProxy) SRV:64bit: - [2011/01/27 12:28:20 | 000,249,936 | ---- | M] (McAfee, Inc.) [Auto] -- D:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe -- (McNASvc) SRV:64bit: - [2011/01/27 12:28:20 | 000,249,936 | ---- | M] (McAfee, Inc.) [Auto] -- D:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe -- (McNaiAnn) SRV:64bit: - [2011/01/27 12:28:20 | 000,249,936 | ---- | M] (McAfee, Inc.) [Auto] -- D:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe -- (mcmscsvc) SRV:64bit: - [2011/01/27 12:28:20 | 000,249,936 | ---- | M] (McAfee, Inc.) [Auto] -- D:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe -- (McMPFSvc) SRV:64bit: - [2011/01/27 12:28:20 | 000,249,936 | ---- | M] (McAfee, Inc.) [Auto] -- D:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe -- (McAfee SiteAdvisor Service) SRV:64bit: - [2010/02/26 13:57:52 | 000,841,248 | ---- | M] (Acer Incorporated) [Auto] -- D:\Program Files\Acer\Acer ePower Management\ePowerSvc.exe -- (ePowerSvc) SRV:64bit: - [2010/01/28 19:27:36 | 000,243,232 | ---- | M] (Acer Group) [Auto] -- D:\Program Files\Acer\Acer Updater\UpdaterService.exe -- (Updater Service) SRV:64bit: - [2009/07/13 21:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [On_Demand] -- D:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend) SRV - [2012/04/25 02:44:52 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand] -- D:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2010/03/18 08:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto] -- D:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32) SRV - [2010/01/29 19:52:58 | 000,260,640 | ---- | M] (Acer Incorporated) [Auto] -- D:\Program Files (x86)\Acer\Acer VCM\RS_Service.exe -- (RS_Service) SRV - [2010/01/08 09:21:22 | 000,023,584 | ---- | M] (Acer Incorporated) [Auto] -- D:\Program Files (x86)\Acer\Registration\GREGsvc.exe -- (GREGService) SRV - [2009/06/10 17:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled] -- D:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32) SRV - [2009/06/04 22:03:06 | 000,354,840 | ---- | M] (Intel Corporation) [Auto] -- D:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTmon.exe -- (IAANTMON) Intel(R) SRV - [2008/01/22 04:35:52 | 000,103,808 | ---- | M] () [Auto] -- D:\Program Files (x86)\Canon\IJPLM\ijplmsvc.exe -- (IJPLMSVC) SRV - [2008/01/16 03:51:44 | 000,030,312 | ---- | M] (Microsoft Corporation) [Auto] -- D:\Program Files (x86)\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe -- (BcmSqlStartupSvc) SRV - [2007/07/24 14:15:14 | 000,185,632 | ---- | M] (Protexis Inc.) [Auto] -- D:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe -- (PSI_SVC_2) SRV - [2007/01/04 22:48:50 | 000,112,152 | ---- | M] (InterVideo) [Auto] -- D:\Program Files (x86)\Common Files\InterVideo\RegMgr\iviRegMgr.exe -- (IviRegMgr) ========== Driver Services (SafeList) ========== DRV:64bit: - [2011/10/15 08:16:16 | 000,647,080 | ---- | M] (McAfee, Inc.) [Kernel | Boot] -- D:\Windows\System32\drivers\mfehidk.sys -- (mfehidk) DRV:64bit: - [2011/10/15 08:16:16 | 000,481,768 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\mfefirek.sys -- (mfefirek) DRV:64bit: - [2011/10/15 08:16:16 | 000,284,648 | ---- | M] (McAfee, Inc.) [Kernel | Boot] -- D:\Windows\System32\drivers\mfewfpk.sys -- (mfewfpk) DRV:64bit: - [2011/10/15 08:16:16 | 000,229,528 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\mfeavfk.sys -- (mfeavfk) DRV:64bit: - [2011/10/15 08:16:16 | 000,160,280 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\mfeapfk.sys -- (mfeapfk) DRV:64bit: - [2011/10/15 08:16:16 | 000,100,912 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\mferkdet.sys -- (mferkdet) DRV:64bit: - [2011/10/15 08:16:16 | 000,075,808 | ---- | M] (McAfee, Inc.) [Kernel | System] -- D:\Windows\System32\drivers\mfenlfk.sys -- (mfenlfk) DRV:64bit: - [2011/10/15 08:16:16 | 000,065,264 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\cfwids.sys -- (cfwids) DRV:64bit: - [2010/11/20 07:07:05 | 000,059,392 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt) DRV:64bit: - [2010/08/25 14:36:04 | 010,611,552 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\igdkmd64.sys -- (igfx) DRV:64bit: - [2009/11/13 05:47:00 | 000,067,072 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\L1C62x64.sys -- (L1C) DRV:64bit: - [2009/09/15 00:40:42 | 006,952,960 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\NETw5s64.sys -- (NETw5s64) Intel(R) DRV:64bit: - [2009/08/21 05:18:16 | 002,978,296 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\BCMWL664.SYS -- (BCM43XX) DRV:64bit: - [2009/08/11 00:59:50 | 000,686,080 | ---- | M] (Conexant Systems Inc.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\CHDRT64.sys -- (CnxtHdAudService) DRV:64bit: - [2009/06/23 23:00:18 | 000,216,576 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- D:\Windows\System32\Drivers\RtsUStor.sys -- (RSUSBSTOR) DRV:64bit: - [2009/06/10 16:38:56 | 000,000,308 | ---- | M] () [File_System | On_Demand] -- D:\Windows\System32\wbem\ntfs.mof -- (Ntfs) DRV:64bit: - [2009/06/10 16:35:28 | 005,434,368 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\netw5v64.sys -- (netw5v64) Intel(R) DRV:64bit: - [2009/06/10 16:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- D:\Windows\system32\DRIVERS\evbda.sys -- (ebdrv) DRV:64bit: - [2009/06/10 16:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- D:\Windows\system32\DRIVERS\bxvbda.sys -- (b06bdrv) DRV:64bit: - [2009/06/10 16:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\b57nd60a.sys -- (b57nd60a) DRV - [2009/03/25 23:16:08 | 000,025,608 | ---- | M] (Dritek System Inc.) [Kernel | On_Demand] -- D:\Windows\SysWOW64\Drivers\DKbFltr.sys -- (DKbFltr) Dritek Keyboard Filter Driver (64-bit) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=extensa_5635z&r=27360211b816l0413z135i6741u202 IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=extensa_5635z&r=27360211b816l0413z135i6741u202 IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\Porstendörfer_ON_D\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=extensa_5635z&r=27360211b816l0413z135i6741u202 IE - HKU\Porstendörfer_ON_D\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=extensa_5635z&r=27360211b816l0413z135i6741u202 IE - HKU\Porstendörfer_ON_D\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - D:\Program Files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll (McAfee, Inc.) IE - HKU\Porstendörfer_ON_D\..\URLSearchHook: {7e111a5c-3d11-4f56-9463-5310c3c69025} - Reg Error: Key error. File not found IE - HKU\Porstendörfer_ON_D\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "Sichere Suche" FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.startup.homepage: "hxxp://go.gmx.net/tb/mff_startpage" FF - prefs.js..extensions.enabledItems: {4ED1F68A-5463-4931-9384-8FFF5ED91D92}:3.4.0 FF - prefs.js..keyword.URL: "hxxp://de.search.yahoo.com/search?fr=mcafee&p=" FF - prefs.js..network.proxy.type: 0 FF:64bit: - HKLM\Software\MozillaPlugins\@mcafee.com/MSC,version=10: D:\Program Files\McAfee\MSC\npMcSnFFPl64.dll () FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: D:\Program Files\Microsoft Office\Office14\NPAUTHZ.DLL (Microsoft Corporation) FF - HKLM\Software\Wow6432Node\MozillaPlugins\@adobe.com/FlashPlayer: D:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\Wow6432Node\MozillaPlugins\@java.com/JavaPlugin: D:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\Wow6432Node\MozillaPlugins\@mcafee.com/MSC,version=10: D:\Program Files (x86)\McAfee\MSC\npMcSnFFPl.dll () FF - HKLM\Software\Wow6432Node\MozillaPlugins\@mcafee.com/SAFFPlugin: D:\Program Files (x86)\McAfee\SiteAdvisor\NPMcFFPlg32.dll (McAfee, Inc.) FF - HKLM\Software\Wow6432Node\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: D:\Program Files (x86)\Microsoft Silverlight\4.1.10111.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\Wow6432Node\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: D:\Program Files (x86)\Microsoft Office\Office14\NPAUTHZ.DLL (Microsoft Corporation) FF - HKLM\Software\Wow6432Node\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: D:\Program Files (x86)\Microsoft Office\Office14\NPSPWRAP.DLL (Microsoft Corporation) FF - HKLM\Software\Wow6432Node\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8081.0709: D:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF - HKLM\Software\Wow6432Node\MozillaPlugins\@tools.google.com/Google Update;version=3: D:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\Wow6432Node\MozillaPlugins\@tools.google.com/Google Update;version=9: D:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\Wow6432Node\MozillaPlugins\Adobe Reader: D:\Program Files (x86)\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Firefox\Extensions\\{4ED1F68A-5463-4931-9384-8FFF5ED91D92}: C:\Program Files (x86)\McAfee\SiteAdvisor [2012/02/26 05:13:29 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Firefox\Extensions\\{D19CA586-DD6C-4a0a-96F8-14644F340D60}: C:\Program Files (x86)\Common Files\McAfee\SystemCore [2011/12/22 12:25:58 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012/04/25 02:44:53 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2011/11/15 06:22:39 | 000,000,000 | ---D | M] [2011/02/14 05:06:07 | 000,000,000 | ---D | M] (No name found) -- D:\Users\Porstendörfer\AppData\Roaming\Mozilla\Extensions [2012/04/25 07:33:38 | 000,000,000 | ---D | M] (No name found) -- D:\Users\Porstendörfer\AppData\Roaming\Mozilla\Firefox\Profiles\icu5yl5t.default\extensions [2012/04/04 06:14:48 | 000,000,000 | ---D | M] (No name found) -- D:\Program Files (x86)\Mozilla Firefox\extensions [2012/04/04 06:14:48 | 000,000,000 | ---D | M] (No name found) -- D:\Program Files (x86)\Mozilla Firefox\distribution\extensions [2012/04/04 06:14:48 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- D:\Program Files (x86)\Mozilla Firefox\distribution\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} File not found (No name found) -- [2012/04/25 02:44:53 | 000,097,208 | ---- | M] (Mozilla Foundation) -- D:\Program Files (x86)\mozilla firefox\components\browsercomps.dll [2011/04/14 08:01:38 | 000,024,376 | ---- | M] (McAfee, Inc.) -- D:\Program Files (x86)\mozilla firefox\components\Scriptff.dll [2011/11/15 06:22:20 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- D:\Program Files (x86)\mozilla firefox\plugins\npdeployJava1.dll [2012/04/25 02:44:49 | 000,001,392 | ---- | M] () -- D:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml [2012/04/25 02:44:49 | 000,002,252 | ---- | M] () -- D:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml [2012/04/25 02:44:49 | 000,001,153 | ---- | M] () -- D:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml [2012/04/25 02:44:49 | 000,006,805 | ---- | M] () -- D:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml [2011/11/01 14:39:25 | 000,002,027 | ---- | M] () -- D:\Program Files (x86)\mozilla firefox\searchplugins\McSiteAdvisor.xml [2012/04/25 02:44:49 | 000,001,178 | ---- | M] () -- D:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml [2012/04/25 02:44:49 | 000,001,105 | ---- | M] () -- D:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2009/06/10 17:00:26 | 000,000,824 | ---- | M]) - D:\Windows\System32\drivers\etc\hosts O2:64bit: - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - D:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20111222080407.dll (McAfee, Inc.) O2:64bit: - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - D:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.) O2:64bit: - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\5.7.7227.1100\swg64.dll (Google Inc.) O2:64bit: - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - D:\Program Files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll (McAfee, Inc.) O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - D:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - D:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20111222080407.dll (McAfee, Inc.) O2 - BHO: (Freeware.de Toolbar) - {7e111a5c-3d11-4f56-9463-5310c3c69025} - D:\Program Files (x86)\Freeware.de\tbFree.dll (Conduit Ltd.) O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files (x86)\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll (Google Inc.) O2 - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - D:\Program Files (x86)\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.) O3:64bit: - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - D:\Program Files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll (McAfee, Inc.) O3:64bit: - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - D:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.) O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - D:\Program Files (x86)\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.) O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - D:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (Freeware.de Toolbar) - {7e111a5c-3d11-4f56-9463-5310c3c69025} - D:\Program Files (x86)\Freeware.de\tbFree.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3:64bit: - HKU\Porstendörfer_ON_D\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - D:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.) O3 - HKU\Porstendörfer_ON_D\..\Toolbar\WebBrowser: (Freeware.de Toolbar) - {7E111A5C-3D11-4F56-9463-5310C3C69025} - D:\Program Files (x86)\Freeware.de\tbFree.dll (Conduit Ltd.) O4:64bit: - HKLM..\Run: [Acer ePower Management] D:\Program Files\Acer\Acer ePower Management\ePowerTray.exe (Acer Incorporated) O4:64bit: - HKLM..\Run: [CanonMyPrinter] D:\Program Files\Canon\MyPrinter\BJMyPrt.exe (CANON INC.) O4:64bit: - HKLM..\Run: [CanonSolutionMenu] D:\Program Files (x86)\Canon\SolutionMenu\CNSLMAIN.exe (CANON INC.) O4:64bit: - HKLM..\Run: [cAudioFilterAgent] D:\Program Files\CONEXANT\cAudioFilterAgent\cAudioFilterAgent64.exe (Conexant Systems, Inc.) O4:64bit: - HKLM..\Run: [IAAnotif] D:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation) O4:64bit: - HKLM..\Run: [PLFSetI] D:\Windows\PLFSetI.exe () O4 - HKLM..\Run: [LManager] D:\Program Files (x86)\Launch Manager\LManager.EXE (Dritek System Inc.) O4 - HKLM..\Run: [mcui_exe] D:\Program Files\McAfee.com\Agent\mcagent.exe (McAfee, Inc.) O4 - HKLM..\Run: [NortonOnlineBackupReminder] D:\Program Files (x86)\Symantec\Norton Online Backup\Activation\NobuActivation.exe (Symantec Corporation) O4 - HKU\LocalService_ON_D..\Run: [Sidebar] D:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation) O4 - HKU\NetworkService_ON_D..\Run: [Sidebar] D:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation) O4 - HKU\Porstendörfer_ON_D..\Run: [988ED696] D:\Users\Porstendörfer\AppData\Roaming\Rlvageu\6CCD5FC6988ED696CBAB.exe (THHiq) O4 - HKU\LocalService_ON_D..\RunOnce: [mctadmin] File not found O4 - HKU\NetworkService_ON_D..\RunOnce: [mctadmin] File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoControlPanel = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O13:64bit: - gopher Prefix: missing O13 - gopher Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O18:64bit: - Protocol\Handler\dssrequest {5513F07E-936B-4E52-9B00-067394E91CC5} - D:\Program Files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll (McAfee, Inc.) O18:64bit: - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not found |
Das logfile ist unvollständig, bitte poste das ganze ODER zippe es und hänge es an den Beitrag an! |
Das kommt davon wenn man noch schnell was machen will bevor man weg muss... Hier das ganze:OTL Logfile: Code: OTL logfile created on: 4/25/2012 4:27:18 PM - Run |
Schritt 1: Fix mit OTLPE
Schritt 2: aswMBR Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Schritt 3: Scan mit TDSS-Killer Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop
|
Guten Morgen, so schritt 1 erledigt: ========== OTL ========== Registry key HKEY_USERS\Porstendörfer_ON_D\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run not found. D:\Users\Porstendörfer\AppData\Roaming\Rlvageu\6CCD5FC6988ED696CBAB.exe moved successfully. Error: Unable to interpret <:Processes> in the current context! Error: Unable to interpret <killallprocesses> in the current context! OTLPE by OldTimer - Version 3.1.48.0 log created on 04262012_092455 soll oder kann ich schon mit schritt 2 weitermachen? |
Ja, mach weiter! |
So ich hab schritt 2 angefangen, das programm runtergeladen und über den stick auf rechner 1 gebracht. nun ist der bildschirm blau und er sagt mir: a problem has been detected and windows has been shut down to prevent damage to your computer. PAGE fault in nonpaged area if this is the first time you´ve seen this stop error screen, restart your computer . if this screen appears again, follow these steps: check to make sure any new hardware or software is properly installed. if this is a new installation, ask your hardware or software manufacturer for any windows udates you might need. if problem continue, disable or remove any newly installed hardware or software. disable BIOS memory options such as caching or shadowing. If you need to use Safe Mode to remove or disable components, restart your computer, press F8 to select Advances Startup Options, and then select Safe Mode. Technical Information: *** STOP: 0x00000050 (0xD08EC033, 0x00000000, 0x8047488F, 0x00000000) |
Wann kam das? als du das Programm gestartet hast oder beim rüberkopieren? |
Beim starten, allerdings hab ich glaub ich nicht mit rechter maustaste gestartet, soll ich einfach nochmal hochfahren und nochmal probieren? |
Ja, versuche es erneut! |
ok wenn ich nun auf run as administrator gehe könnte man ein passwort eingeben, ohne passwort erscheint B:\Documents and Settings\Default User\ Desktop\aswMBR.exe The specified service does not exist as an installed service. da kann ich dann nur auf OK klicken. ich könnte es allerdings auch als current user starten und den haken bei protect my computer and data from unauthorized program activity rausnehmen, meinst du dann würde es funktionieren? Mein rechner ist allerdings im moment nicht mit dem Internet verbunden, ich kann also erst mal nix runterladen. ist das denn überhaupt sicher jetzt mit dem rechner online zu gehen? |
Was für ein Betriebssystem ist es denn nun??? du schreibst mir, es handelt sich um Windows XP - deine OTL-Datei stammt aber von einem Windows 7 (64bit)! :rolleyes: Klicke Start-->ausführen, gib im Fenster winver ein, klicke ok. Im sich öffnenden Fenster steht deine Windows-Version! |
Mein Rechner zeigt mir im moment auch keine Network Connections an. Ich kann also wohl auch gar nicht online gehen. Wir haben Internet über Funk. das funktioniert nicht, wenn ich winver eingebe erscheint "windows cannot find "winver". Make sure you typed the name correctly, and then try again. to search for a file, click the Start button, and then click Search. |
OK, dann so: DDS Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. dds.com dds.scr dds.pif
|
und wenn ich unter control panel - system schaue zeigt er mir als System: Windows XP an. .DDS Logfile: DDS Logfile: Code: DDS (Ver_2011-08-26.01) - CDFS --- --- --- --- --- --- . UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG. IF REQUESTED, ZIP IT UP & ATTACH IT . DDS (Ver_2011-08-26.01) . . ==== Disk Partitions ========================= . . ==== Disabled Device Manager Items ============= . ==== System Restore Points =================== . No restore point in system. . ==== Installed Programs ====================== . . ==== End Of File =========================== |
Gmer Bitte
|
ich kann es nicht als admin starten. ohne passwort macht er das nicht. da erscheint nur B:\documents and settings\default user\desktop\9wxne0x7.exe the specified service does not exist as an installed service. ich hab die datei auf rechner 2 runtergeladen und über den stick rübergebracht ich kann versuchen es als current user laufen zu lassen und den haken bei protect my computer... rausnehmen? |
Zitat:
Nimm den Haken raus und starte das Programm wie angegeben! |
ok, dann krieg ich als erstes die meldung: X:\i386\system32\config\system: the system cannot find the file specified. wenn ich auf ok klicke kann ich den scan starten kriege dann aber nach ner weile erneut ne fehlermeldung - ich hatte sie zugemacht, also lass ich nochmal laufen. ok, die fehlermeldung ist nochmal die gleiche wie eben. ich hab den haken bei iat/eat rausgenommen und einen bei laufwerk c gesetzt wenn ich dann auf ok klicke macht er das fenster zu. |
Moment mal! Jetzt weiß ich, was hier los ist: Du arbeitest die ganze Zeit unter dem Betriebssystem der Boot-CD. Das kann nicht funktionieren und ich hatte dir gesagt, dass du nach dem OTLPE-Fix Windows im normalen Modus starten sollst! Vergiss das alles! Mach folgendes: FRST 64 Downloade dir bitte Farbar's Recovery Scan Tool x64 und speichere diese auf einen USB Stick. Schließe den USB Stick an das infizierte System an. Du musst das System nun in die System Reparatur Option booten. Über den Boot Manager
Zur Erklärung: erstelle den Stick an dienem funktionierenden Rechner und boote den verseuchten damit! |
ok, eine kurze verständnisfrage, ich boote den rechner1 entweder über die cd oder über den bootmanager. ich habe übrigens keine windows cd nur eine recovery cd. ok er scaned |
Du bootest den sauberen Rechner ganz normal und erstellst den Stick. Dann bootest du den verseuchten Rechner über den Boot Manager, wie beschrieben, und startest dann die Datei vom Stick! |
Scan result of Farbar Recovery Scan Tool Version: 22-04-2012 Ran by SYSTEM at 26-04-2012 15:40:14 Running from G:\ Windows 7 Home Premium (X64) OS Language: German Standard The current controlset is ControlSet001 ========================== Registry (Whitelisted) ============= HKLM\...\Run: [IAAnotif] C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe [186904 2009-06-04] (Intel Corporation) HKLM\...\Run: [cAudioFilterAgent] C:\Program Files\Conexant\cAudioFilterAgent\cAudioFilterAgent64.exe [503864 2009-07-19] (Conexant Systems, Inc.) HKLM\...\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe [1842472 2009-09-17] (Synaptics Incorporated) HKLM\...\Run: [Acer ePower Management] C:\Program Files\Acer\Acer ePower Management\ePowerTray.exe [818720 2010-02-26] (Acer Incorporated) HKLM\...\Run: [PLFSetI] C:\Windows\PLFSetI.exe [206208 2010-09-25] () HKLM\...\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe [161304 2010-08-25] (Intel Corporation) HKLM\...\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe [386584 2010-08-25] (Intel Corporation) HKLM\...\Run: [Persistence] C:\Windows\system32\igfxpers.exe [415256 2010-08-25] (Intel Corporation) HKLM\...\Run: [CanonSolutionMenu] C:\Program Files (x86)\Canon\SolutionMenu\CNSLMAIN.exe /logon [689488 2008-03-10] (CANON INC.) HKLM\...\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon [2114376 2008-03-03] (CANON INC.) HKLM-x32\...\Run: [LManager] C:\Program Files (x86)\Launch Manager\LManager.exe [825864 2009-09-24] (Dritek System Inc.) HKLM-x32\...\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [37296 2011-06-07] (Adobe Systems Incorporated) HKLM-x32\...\Run: [NortonOnlineBackupReminder] "C:\Program Files (x86)\Symantec\Norton Online Backup\Activation\NobuActivation.exe" UNATTENDED [588648 2009-07-24] (Symantec Corporation) HKLM-x32\...\Run: [BCSSync] "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices [91520 2010-03-13] (Microsoft Corporation) HKLM-x32\...\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [937920 2011-03-29] (Adobe Systems Incorporated) HKLM-x32\...\Run: [mcui_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey [1675160 2011-11-22] (McAfee, Inc.) HKLM-x32\...\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" [254696 2011-06-09] (Sun Microsystems, Inc.) HKU\Porstendörfer\...\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [39408 2010-04-08] (Google Inc.) HKU\Porstendörfer\...\Run: [988ED696] C:\Users\Porstendörfer\AppData\Roaming\Rlvageu\6CCD5FC6988ED696CBAB.exe [x] Winlogon\Notify\igfxcui: igfxdev.dll (Intel Corporation) Tcpip\Parameters: [DhcpNameServer] 192.168.2.1 ==================== Services (Whitelisted) ====== 2 BcmSqlStartupSvc; "C:\Program Files (x86)\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe" [30312 2008-01-15] (Microsoft Corporation) 2 ePowerSvc; C:\Program Files\Acer\Acer ePower Management\ePowerSvc.exe [841248 2010-02-26] (Acer Incorporated) 2 GREGService; C:\Program Files (x86)\Acer\Registration\GREGsvc.exe [23584 2010-01-08] (Acer Incorporated) 2 IJPLMSVC; C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE [103808 2008-01-22] () 2 IviRegMgr; "C:\Program Files (x86)\Common Files\InterVideo\RegMgr\iviRegMgr.exe" [112152 2007-01-04] (InterVideo) 2 McAfee SiteAdvisor Service; "C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe" /McCoreSvc [249936 2011-01-27] (McAfee, Inc.) 2 McMPFSvc; "C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe" /McCoreSvc [249936 2011-01-27] (McAfee, Inc.) 2 mcmscsvc; "C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe" /McCoreSvc [249936 2011-01-27] (McAfee, Inc.) 2 McNaiAnn; "C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe" /McCoreSvc [249936 2011-01-27] (McAfee, Inc.) 2 McNASvc; "C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe" /McCoreSvc [249936 2011-01-27] (McAfee, Inc.) 3 McODS; "C:\Program Files\McAfee\VirusScan\mcods.exe" [501768 2011-03-17] (McAfee, Inc.) 2 McProxy; "C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe" /McCoreSvc [249936 2011-01-27] (McAfee, Inc.) 2 McShield; "C:\Program Files\Common Files\McAfee\SystemCore\\mcshield.exe" [199272 2011-10-18] (McAfee, Inc.) 2 mfefire; "C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe" [208536 2011-10-18] (McAfee, Inc.) 2 mfevtp; "C:\Windows\system32\mfevtps.exe" [161168 2011-10-18] (McAfee, Inc.) 3 MozillaMaintenance; C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [129976 2012-04-24] (Mozilla Foundation) 2 NTISchedulerSvc; C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [144640 2010-04-16] (NTI, Inc.) 2 PSI_SVC_2; "C:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe" [185632 2007-07-24] (Protexis Inc.) 2 RS_Service; C:\Program Files (x86)\Acer\Acer VCM\RS_Service.exe [260640 2010-01-29] (Acer Incorporated) 3 MSSQL$MSSMLBIZ; "c:\Program Files (x86)\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sMSSMLBIZ [x] 4 MSSQLServerADHelper; "c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqladhlp90.exe" [x] 2 SQLBrowser; "c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe" [x] 2 SQLWriter; "c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [x] ========================== Drivers (Whitelisted) ============= 3 cfwids; C:\Windows\System32\Drivers\cfwids.sys [65264 2011-10-15] (McAfee, Inc.) 3 mfeapfk; C:\Windows\System32\Drivers\mfeapfk.sys [160280 2011-10-15] (McAfee, Inc.) 3 mfeavfk; C:\Windows\System32\Drivers\mfeavfk.sys [229528 2011-10-15] (McAfee, Inc.) 3 mfefirek; C:\Windows\System32\Drivers\mfefirek.sys [481768 2011-10-15] (McAfee, Inc.) 0 mfehidk; C:\Windows\System32\Drivers\mfehidk.sys [647080 2011-10-15] (McAfee, Inc.) 1 mfenlfk; C:\Windows\System32\Drivers\mfenlfk.sys [75808 2011-10-15] (McAfee, Inc.) 3 mferkdet; C:\Windows\System32\Drivers\mferkdet.sys [100912 2011-10-15] (McAfee, Inc.) 0 mfewfpk; C:\Windows\System32\Drivers\mfewfpk.sys [284648 2011-10-15] (McAfee, Inc.) 3 NTIDrvr; C:\Windows\System32\Drivers\NTIDrvr.sys [18432 2010-04-27] (NTI Corporation) 3 UBHelper; C:\Windows\System32\Drivers\UBHelper.sys [17408 2010-04-27] (NTI Corporation) 3 mfeavfk01; [x] 3 RtsUIR; C:\Windows\System32\DRIVERS\Rts516xIR.sys [x] 3 USBCCID; C:\Windows\System32\DRIVERS\RtsUCcid.sys [x] ========================== NetSvcs (Whitelisted) =========== ============ One Month Created Files and Folders ============== 2012-04-26 15:40 - 2011-02-02 01:41 - 0000000 ____D C:\FRST 2012-04-26 05:24 - 2012-04-25 04:27 - 0000000 ____D C:\_OTL 2012-04-25 12:42 - 2012-04-25 00:15 - 0123710 ____A C:\OTL.Txt 2012-04-25 04:27 - 2011-02-14 01:05 - 0078556 ____A C:\Windows\ntbtlog.txt 2012-04-24 23:20 - 2012-04-25 04:57 - 0000000 ____D C:\Users\Porstendörfer\AppData\Roaming\Rlvageu 2012-04-24 23:20 - 2011-02-08 02:34 - 0000000 ____D C:\Users\Porstendörfer\AppData\Roaming\Realtec 2012-04-24 22:44 - 2012-04-24 22:44 - 0000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service 2012-04-24 22:44 - 2012-04-12 09:15 - 0000000 ____D C:\Users\All Users\Mozilla 2012-04-24 22:44 - 2012-04-12 09:15 - 0000000 ____D C:\ProgramData\Mozilla 2012-04-15 00:38 - 2012-04-25 03:25 - 0013616 ____A C:\Users\Porstendörfer\Desktop\locked-Inhalt Gefriertruhe.docx.luar 2012-04-12 09:14 - 2009-07-13 17:41 - 5559152 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe 2012-04-12 09:14 - 2009-07-13 17:16 - 3968368 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntkrnlpa.exe 2012-04-12 09:14 - 2009-07-13 17:16 - 3913072 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntoskrnl.exe 2012-04-12 09:11 - 2009-07-13 17:47 - 0023408 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\fs_rec.sys 2012-04-12 09:11 - 2009-07-13 17:41 - 0220672 ____A (Microsoft Corporation) C:\Windows\System32\wintrust.dll 2012-04-12 09:11 - 2009-07-13 17:38 - 0081408 ____A (Microsoft Corporation) C:\Windows\System32\imagehlp.dll 2012-04-12 09:11 - 2009-07-13 17:33 - 0005120 ____A (Microsoft Corporation) C:\Windows\System32\wmi.dll 2012-04-12 09:11 - 2009-07-13 17:16 - 0172544 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wintrust.dll 2012-04-12 09:11 - 2009-07-13 17:14 - 0159232 ____A (Microsoft Corporation) C:\Windows\SysWOW64\imagehlp.dll 2012-04-12 09:11 - 2009-07-13 17:11 - 0005120 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wmi.dll 2012-04-12 02:17 - 2011-02-02 01:41 - 0000000 ____D C:\Users\Porstendörfer\Baumparty 2012-04-11 20:48 - 2009-07-13 17:39 - 9020928 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll 2012-04-11 20:47 - 2012-02-27 22:39 - 1494016 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll 2012-04-11 20:47 - 2012-02-27 22:36 - 1638912 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb 2012-04-11 20:47 - 2012-02-27 21:38 - 1231360 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll 2012-04-11 20:47 - 2012-02-27 21:35 - 1638912 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb 2012-04-11 20:47 - 2012-02-27 20:31 - 0097280 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll 2012-04-11 20:47 - 2012-02-27 19:52 - 0067072 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll 2012-04-11 20:47 - 2011-10-13 21:31 - 0064512 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll 2012-04-11 20:47 - 2011-10-13 20:24 - 0048128 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll 2012-04-11 20:47 - 2010-11-20 05:27 - 1188864 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll 2012-04-11 20:47 - 2010-11-20 05:26 - 12264448 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll 2012-04-11 20:47 - 2010-11-20 04:21 - 0981504 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll 2012-04-11 20:47 - 2010-11-20 04:19 - 10992640 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll 2012-04-11 20:47 - 2010-11-20 04:19 - 0176640 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll 2012-04-11 20:47 - 2009-07-13 17:41 - 2453504 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll 2012-04-11 20:47 - 2009-07-13 17:41 - 0247808 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll 2012-04-11 20:47 - 2009-07-13 17:41 - 0134144 ____A (Microsoft Corporation) C:\Windows\System32\url.dll 2012-04-11 20:47 - 2009-07-13 17:16 - 0132096 ____A (Microsoft Corporation) C:\Windows\SysWOW64\url.dll 2012-04-11 20:47 - 2009-07-13 17:15 - 2073600 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll 2012-04-11 20:47 - 2009-07-13 17:15 - 0599552 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll 2012-04-11 20:47 - 2009-07-13 17:14 - 5998080 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll 2012-04-11 20:47 - 2009-07-13 12:49 - 0702464 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll 2012-04-04 02:13 - 2012-04-25 03:25 - 14855550 ____A C:\Users\Porstendörfer\Desktop\locked-Firefox Setup 8.0_foxload-de.exe.fotj 2012-03-29 23:03 - 2012-04-25 03:25 - 0053430 ____A C:\Users\Porstendörfer\Desktop\locked-IMG_2746.JPG.ywcm 2012-03-29 23:03 - 2012-04-25 03:25 - 0045139 ____A C:\Users\Porstendörfer\Desktop\locked-IMG_2747.JPG.uare 2012-03-29 04:55 - 2012-04-25 03:20 - 0013727 ____A C:\Users\Porstendörfer\Desktop\locked-ACHTUNG.docx.hvag 2012-03-29 03:42 - 2012-04-25 03:25 - 0610230 ____A C:\Users\Porstendörfer\Desktop\locked-Freistellungsauftrag Anja.pdf.doxj 2012-03-29 03:40 - 2012-04-25 03:25 - 0610247 ____A C:\Users\Porstendörfer\Desktop\locked-Freistellungsauftrag Andreas.pdf.flgu 2012-03-27 11:23 - 2012-04-25 03:26 - 0052634 ____A C:\Users\Porstendörfer\locked-Tagebuch anja florentine porstendörfer 1.docx.zbln ============ 3 Months Modified Files and Folders ============= 2012-04-26 15:40 - 2012-04-26 15:40 - 0000000 ____D C:\FRST 2012-04-26 05:24 - 2012-04-26 05:24 - 0000000 ____D C:\_OTL 2012-04-25 14:52 - 2011-02-02 01:41 - 0000000 __SHD C:\Recovery 2012-04-25 12:42 - 2012-04-25 12:42 - 0123710 ____A C:\OTL.Txt 2012-04-25 12:19 - 2011-02-02 01:41 - 0000000 ____D C:\users\Porstendörfer 2012-04-25 04:58 - 2011-04-07 23:32 - 0001832 ____A C:\Users\Public\Desktop\McAfee AntiVirus Plus.lnk 2012-04-25 04:58 - 2010-09-25 04:07 - 1345573 ____A C:\Windows\WindowsUpdate.log 2012-04-25 04:58 - 2009-07-13 20:45 - 0009696 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2012-04-25 04:58 - 2009-07-13 20:45 - 0009696 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2012-04-25 04:57 - 2012-04-24 23:20 - 0000000 ____D C:\Users\Porstendörfer\AppData\Roaming\Realtec 2012-04-25 04:54 - 2011-02-07 12:28 - 0001106 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job 2012-04-25 04:54 - 2009-07-13 21:08 - 0000006 ___AH C:\Windows\Tasks\SA.DAT 2012-04-25 04:54 - 2009-07-13 20:51 - 0191553 ____A C:\Windows\setupact.log 2012-04-25 04:53 - 2010-09-25 04:04 - 3143311360 __ASH C:\hiberfil.sys 2012-04-25 04:28 - 2012-04-25 04:27 - 0078556 ____A C:\Windows\ntbtlog.txt 2012-04-25 04:17 - 2011-02-07 12:28 - 0001110 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job 2012-04-25 03:41 - 2010-09-25 13:58 - 0716208 ____A C:\Windows\System32\perfh007.dat 2012-04-25 03:41 - 2010-09-25 13:58 - 0156302 ____A C:\Windows\System32\perfc007.dat 2012-04-25 03:41 - 2009-07-13 21:13 - 1659858 ____A C:\Windows\System32\PerfStringBackup.INI 2012-04-25 03:32 - 2011-03-16 08:00 - 0000000 ____D C:\Users\All Users\CanonIJPLM 2012-04-25 03:32 - 2011-03-16 08:00 - 0000000 ____D C:\ProgramData\CanonIJPLM 2012-04-25 03:29 - 2011-03-16 08:00 - 0000000 ___HD C:\Users\All Users\CanonIJMyPrinter 2012-04-25 03:29 - 2011-03-16 08:00 - 0000000 ___HD C:\ProgramData\CanonIJMyPrinter 2012-04-25 03:26 - 2012-03-27 11:23 - 0052634 ____A C:\Users\Porstendörfer\locked-Tagebuch anja florentine porstendörfer 1.docx.zbln 2012-04-25 03:26 - 2011-06-21 05:16 - 0013795 ____A C:\Users\Porstendörfer\locked-Krankenversicherung Andreas.docx.pzhs 2012-04-25 03:26 - 2011-06-20 03:51 - 0013820 ____A C:\Users\Porstendörfer\locked-Kündigung Riester Rente.docx.qykp 2012-04-25 03:26 - 2010-04-08 07:21 - 0001024 ____A C:\Users\Public\Documents\locked-NTIBUN5.dll.jndx 2012-04-25 03:26 - 2010-04-08 07:18 - 0001024 ____A C:\Users\Public\Documents\locked-NTILiveUpdate.dll.wpky 2012-04-25 03:26 - 2009-07-13 19:20 - 0000000 __RHD C:\Users\Public\Libraries 2012-04-25 03:25 - 2012-04-15 00:38 - 0013616 ____A C:\Users\Porstendörfer\Desktop\locked-Inhalt Gefriertruhe.docx.luar 2012-04-25 03:25 - 2012-04-04 02:13 - 14855550 ____A C:\Users\Porstendörfer\Desktop\locked-Firefox Setup 8.0_foxload-de.exe.fotj 2012-04-25 03:25 - 2012-03-29 23:03 - 0053430 ____A C:\Users\Porstendörfer\Desktop\locked-IMG_2746.JPG.ywcm 2012-04-25 03:25 - 2012-03-29 23:03 - 0045139 ____A C:\Users\Porstendörfer\Desktop\locked-IMG_2747.JPG.uare 2012-04-25 03:25 - 2012-03-29 03:42 - 0610230 ____A C:\Users\Porstendörfer\Desktop\locked-Freistellungsauftrag Anja.pdf.doxj 2012-04-25 03:25 - 2012-03-29 03:40 - 0610247 ____A C:\Users\Porstendörfer\Desktop\locked-Freistellungsauftrag Andreas.pdf.flgu 2012-04-25 03:25 - 2012-03-23 04:29 - 8343987 ____A C:\Users\Porstendörfer\Desktop\locked-Glasperlenspiel - Ich bin ich (Single Version).mp3.fqxn 2012-04-25 03:25 - 2012-03-19 06:16 - 1998387 ____A C:\Users\Porstendörfer\Desktop\locked-DSC03189.JPG.aywf 2012-04-25 03:25 - 2012-03-19 06:15 - 2541738 ____A C:\Users\Porstendörfer\Desktop\locked-DSC03186.JPG.zlro 2012-04-25 03:25 - 2012-03-19 06:15 - 2233295 ____A C:\Users\Porstendörfer\Desktop\locked-DSC03188.JPG.wfpc 2012-04-25 03:25 - 2012-03-18 10:47 - 0500901 ____A C:\Users\Porstendörfer\Desktop\locked-zollinhaltserklaerungcn22.pdf.lzsh 2012-04-25 03:25 - 2012-03-12 08:57 - 25225572 ____A C:\Users\Porstendörfer\Desktop\locked-DELISprint_Setup.exe.dxfk 2012-04-25 03:25 - 2012-03-03 09:58 - 3458052 ____A C:\Users\Porstendörfer\Desktop\locked-mda2011.zip.ymyk 2012-04-25 03:25 - 2012-02-08 00:03 - 0711320 ____A C:\Users\Porstendörfer\Desktop\locked-PandaCloud151Antivirus.exe.ywcm 2012-04-25 03:25 - 2012-02-05 06:07 - 0000000 ____D C:\Users\Porstendörfer\Desktop\Steuer2011 2012-04-25 03:25 - 2012-01-30 05:09 - 0017588 ____A C:\Users\Porstendörfer\Desktop\locked-irische segen.docx.plhz 2012-04-25 03:25 - 2012-01-27 04:51 - 0015537 ____A C:\Users\Porstendörfer\Desktop\locked-Begründung für Mühlbach.docx.rsbn 2012-04-25 03:25 - 2012-01-19 23:01 - 0170638 ____A C:\Users\Porstendörfer\Desktop\locked-Zwei-Wege-Ventil Regulus DBV-1 deutsch(Thermische Ablaufsicherung).pdf.nzbs 2012-04-25 03:25 - 2012-01-12 05:52 - 0257942 ____A C:\Users\Porstendörfer\Desktop\locked-VKSV_Antrag_1326376314973.pdf.tnfj 2012-04-25 03:25 - 2012-01-04 05:42 - 0511453 ____A C:\Users\Porstendörfer\Desktop\locked-Antrag Elternzeit Bettina.pdf.mywf 2012-04-25 03:25 - 2012-01-04 05:41 - 0960954 ____A C:\Users\Porstendörfer\Desktop\locked-Geburtsurkunde Anja.pdf.hzis 2012-04-25 03:25 - 2012-01-04 05:01 - 1671638 ____A C:\Users\Porstendörfer\Desktop\locked-Antrag Anja Nürnberger.pdf.gvlb 2012-04-25 03:25 - 2012-01-04 04:35 - 0054411 ____A C:\Users\Porstendörfer\Desktop\locked-Antrag auf Elternzeit_kurz.rtf.yfpc 2012-04-25 03:25 - 2012-01-03 07:50 - 0071849 ____A C:\Users\Porstendörfer\Desktop\locked-verzichtserklärung.pdf.ndjt 2012-04-25 03:25 - 2011-12-31 11:47 - 1654741 ____A C:\Users\Porstendörfer\Desktop\locked-WertstoffkalenderDruckversion2012.pdf.tyxo 2012-04-25 03:25 - 2011-11-26 10:35 - 2913411 ____A C:\Users\Porstendörfer\Documents\locked-Omas Lebkuchen.docx.tqfn 2012-04-25 03:25 - 2011-11-19 05:35 - 0013301 ____A C:\Users\Porstendörfer\Documents\locked-Kündigung Janitos Haftpflicht.docx.fkyp 2012-04-25 03:25 - 2011-11-19 05:33 - 0013301 ____A C:\Users\Porstendörfer\Documents\locked-Kündigung Janitos (Hund).docx.hjto 2012-04-25 03:25 - 2011-11-19 05:30 - 0013224 ____A C:\Users\Porstendörfer\Documents\locked-Kündigung VHV (Pferd).docx.mykc 2012-04-25 03:25 - 2011-11-19 05:28 - 0013194 ____A C:\Users\Porstendörfer\Documents\locked-Kündigung Degenia (Pferd).docx.dtoq 2012-04-25 03:25 - 2011-11-16 07:51 - 0013231 ____A C:\Users\Porstendörfer\Documents\locked-Kündigung DSL via Satellit.docx.zypy 2012-04-25 03:25 - 2011-11-01 07:05 - 14232904 ____A C:\Users\Porstendörfer\Desktop\locked-GMX_MFF7_Setup.exe.dofi 2012-04-25 03:25 - 2011-10-27 01:21 - 0000000 ____D C:\Users\Porstendörfer\Desktop\Windeln 2012-04-25 03:25 - 2011-08-22 07:24 - 0013194 ____A C:\Users\Porstendörfer\Documents\locked-Widerruf der Abbuchungserlaubnis BU.docx.cmfk 2012-04-25 03:25 - 2011-08-06 23:22 - 0000000 ____D C:\Users\Porstendörfer\Desktop\Schnittmuster 2012-04-25 03:25 - 2011-07-02 07:30 - 0000000 ____D C:\Users\Porstendörfer\Documents\restore 2012-04-25 03:25 - 2011-06-07 23:30 - 0024064 ____A C:\Users\Porstendörfer\Documents\locked-Andreas Porstendörfer Lebensbuch.doc.rlvs 2012-04-25 03:25 - 2011-06-06 07:58 - 0874784 ____A C:\Users\Porstendörfer\Desktop\locked-xpiinstall.exe.lhzi 2012-04-25 03:25 - 2011-04-10 22:31 - 0000000 ____D C:\Users\Porstendörfer\Desktop\Konto 2012-04-25 03:25 - 2011-04-10 22:30 - 0000000 ____D C:\Users\Porstendörfer\Desktop\Auto 2012-04-25 03:25 - 2011-04-06 00:05 - 0013399 ____A C:\Users\Porstendörfer\Documents\locked-nünberger kv.docx.xdtb 2012-04-25 03:25 - 2011-03-28 04:00 - 0000000 ____D C:\Users\Porstendörfer\Desktop\haitsch 2012-04-25 03:25 - 2011-02-20 20:52 - 2796180 ____A C:\Users\Porstendörfer\Desktop\locked-IMG_1534.JPG.yykp 2012-04-25 03:25 - 2011-02-08 02:11 - 0000000 ____D C:\Users\Porstendörfer\Documents\MyHeritage 2012-04-25 03:25 - 2011-02-07 12:28 - 0000000 ____D C:\Users\Porstendörfer\Downloads\91f2725669875e2f607f 2012-04-25 03:25 - 2011-02-04 04:22 - 5585240 ____A C:\Users\Porstendörfer\Desktop\locked-NortonOnlineBackup.exe.ywym 2012-04-25 03:24 - 2012-01-03 07:49 - 0034626 ____A C:\Users\Porstendörfer\Desktop\locked-anmeldung anja nürnberger.pdf.szni 2012-04-25 03:24 - 2011-03-27 06:35 - 0000000 ____D C:\Users\Porstendörfer\Desktop\Andreas 2012-04-25 03:20 - 2012-04-12 02:17 - 0000000 ____D C:\Users\Porstendörfer\Baumparty 2012-04-25 03:20 - 2012-03-29 04:55 - 0013727 ____A C:\Users\Porstendörfer\Desktop\locked-ACHTUNG.docx.hvag 2012-04-25 03:20 - 2012-01-10 11:21 - 0095734 ____A C:\Users\Porstendörfer\Desktop\locked-697E5672.pdf.tofq 2012-04-25 03:20 - 2011-08-18 21:56 - 1641606 ____A C:\Users\Porstendörfer\Desktop\locked-05492_KUP_BUD_EMS_Handbuch_L.121878.pdf.geug 2012-04-25 03:20 - 2011-02-12 05:07 - 0000000 ____D C:\Users\Porstendörfer\AppData\Roaming\vlc 2012-04-25 00:22 - 2011-05-03 09:13 - 0000000 ____D C:\Users\Porstendörfer\AppData\Roaming\Ahnenblatt 2012-04-25 00:21 - 2011-04-12 03:47 - 0001164 ____A C:\Users\Porstendörfer\AppData\Local\locked-crc32list11.txt.kojd 2012-04-25 00:21 - 2011-04-12 03:47 - 0000000 ____D C:\Users\Porstendörfer\AppData\Local\Buhl 2012-04-25 00:21 - 2011-03-05 00:26 - 0000000 ____D C:\Users\Porstendörfer\AppData\Local\Microsoft Help 2012-04-25 00:20 - 2011-06-26 07:35 - 0000000 ____D C:\Users\All Users\hps 2012-04-25 00:20 - 2011-06-26 07:35 - 0000000 ____D C:\ProgramData\hps 2012-04-25 00:19 - 2011-03-16 08:02 - 0000000 ___HD C:\Users\All Users\CanonIJSolutionMenu 2012-04-25 00:19 - 2011-03-16 08:02 - 0000000 ___HD C:\ProgramData\CanonIJSolutionMenu 2012-04-25 00:15 - 2011-02-03 01:26 - 0000000 ____D C:\Gigaset_WLAN11 2012-04-25 00:15 - 2010-09-25 04:12 - 0000000 ___AD C:\book 2012-04-25 00:15 - 2010-04-08 07:11 - 0000000 ___HD C:\OEM 2012-04-24 23:20 - 2012-04-24 23:20 - 0000000 ____D C:\Users\Porstendörfer\AppData\Roaming\Rlvageu 2012-04-24 22:44 - 2012-04-24 22:44 - 0000000 ____D C:\Users\All Users\Mozilla 2012-04-24 22:44 - 2012-04-24 22:44 - 0000000 ____D C:\ProgramData\Mozilla 2012-04-24 22:44 - 2012-04-24 22:44 - 0000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service 2012-04-24 22:44 - 2011-02-14 01:05 - 0000000 ____D C:\Program Files (x86)\Mozilla Firefox 2012-04-12 09:15 - 2010-04-08 07:01 - 0000000 ____D C:\Users\All Users\Microsoft Help 2012-04-12 09:15 - 2010-04-08 07:01 - 0000000 ____D C:\ProgramData\Microsoft Help 2012-04-12 09:15 - 2009-07-13 18:34 - 0000478 ____A C:\Windows\win.ini 2012-04-12 09:11 - 2011-03-05 12:18 - 57249312 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe 2012-04-04 02:14 - 2011-02-14 01:05 - 0001142 ____A C:\Users\Public\Desktop\Mozilla Firefox.lnk 2012-04-03 23:59 - 2011-02-02 01:45 - 0000000 ____D C:\Users\Porstendörfer\AppData\Local\Google 2012-03-25 04:33 - 2011-03-16 08:02 - 0000000 ____D C:\Users\All Users\CanonIJ 2012-03-25 04:33 - 2011-03-16 08:02 - 0000000 ____D C:\ProgramData\CanonIJ 2012-03-15 00:02 - 2009-07-13 20:45 - 0417840 ____A C:\Windows\System32\FNTCACHE.DAT 2012-03-08 22:40 - 2012-01-05 02:53 - 0044729 ____H C:\Users\Porstendörfer\~WRL0004.tmp 2012-03-05 22:53 - 2012-04-12 09:14 - 5559152 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe 2012-03-05 21:59 - 2012-04-12 09:14 - 3968368 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntkrnlpa.exe 2012-03-05 21:59 - 2012-04-12 09:14 - 3913072 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntoskrnl.exe 2012-03-03 11:56 - 2011-06-26 07:35 - 0000000 ____D C:\Users\All Users\tmp 2012-03-03 11:56 - 2011-06-26 07:35 - 0000000 ____D C:\ProgramData\tmp 2012-03-03 09:58 - 2012-03-03 09:58 - 0000943 ____A C:\Users\Public\Desktop\MD Adressbuch 2011.lnk 2012-03-03 09:58 - 2012-03-03 09:58 - 0000000 ____D C:\Users\All Users\sgs 2012-03-03 09:58 - 2012-03-03 09:58 - 0000000 ____D C:\ProgramData\sgs 2012-03-03 09:58 - 2012-03-03 09:58 - 0000000 ____D C:\Program Files (x86)\mda 2012-03-02 01:55 - 2012-03-02 01:55 - 0000000 ____D C:\Users\Porstendörfer\Documents\InterVideo 2012-03-02 01:54 - 2012-03-02 01:54 - 0000952 __ASH C:\Users\All Users\KGyGaAvL.sys 2012-03-02 01:54 - 2012-03-02 01:54 - 0000952 __ASH C:\ProgramData\KGyGaAvL.sys 2012-03-02 01:54 - 2012-03-02 01:54 - 0000000 ____D C:\Users\Porstendörfer\AppData\Roaming\InterVideo 2012-03-02 01:54 - 2012-03-02 01:54 - 0000000 ____D C:\Users\Porstendörfer\AppData\Roaming\Corel 2012-03-02 01:54 - 2010-04-08 07:23 - 0000000 ____D C:\Users\All Users\Corel 2012-03-02 01:54 - 2010-04-08 07:23 - 0000000 ____D C:\ProgramData\Corel 2012-03-02 01:53 - 2009-07-13 23:44 - 0000000 ___RD C:\Users\Public\Recorded TV 2012-02-29 22:46 - 2012-04-12 09:11 - 0023408 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\fs_rec.sys 2012-02-29 22:38 - 2012-04-12 09:11 - 0220672 ____A (Microsoft Corporation) C:\Windows\System32\wintrust.dll 2012-02-29 22:33 - 2012-04-12 09:11 - 0081408 ____A (Microsoft Corporation) C:\Windows\System32\imagehlp.dll 2012-02-29 22:28 - 2012-04-12 09:11 - 0005120 ____A (Microsoft Corporation) C:\Windows\System32\wmi.dll 2012-02-29 21:37 - 2012-04-12 09:11 - 0172544 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wintrust.dll 2012-02-29 21:33 - 2012-04-12 09:11 - 0159232 ____A (Microsoft Corporation) C:\Windows\SysWOW64\imagehlp.dll 2012-02-29 21:29 - 2012-04-12 09:11 - 0005120 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wmi.dll 2012-02-27 22:39 - 2012-04-11 20:47 - 1494016 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll 2012-02-27 22:39 - 2012-04-11 20:47 - 1188864 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll 2012-02-27 22:39 - 2012-04-11 20:47 - 0134144 ____A (Microsoft Corporation) C:\Windows\System32\url.dll 2012-02-27 22:36 - 2012-04-11 20:48 - 9020928 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll 2012-02-27 22:36 - 2012-04-11 20:47 - 0702464 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll 2012-02-27 22:36 - 2012-04-11 20:47 - 0097280 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll 2012-02-27 22:35 - 2012-04-11 20:47 - 2453504 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll 2012-02-27 22:35 - 2012-04-11 20:47 - 12264448 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll 2012-02-27 22:35 - 2012-04-11 20:47 - 0247808 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll 2012-02-27 22:35 - 2012-04-11 20:47 - 0064512 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll 2012-02-27 21:38 - 2012-04-11 20:47 - 1231360 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll 2012-02-27 21:38 - 2012-04-11 20:47 - 0981504 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll 2012-02-27 21:38 - 2012-04-11 20:47 - 0132096 ____A (Microsoft Corporation) C:\Windows\SysWOW64\url.dll 2012-02-27 21:35 - 2012-04-11 20:47 - 5998080 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll 2012-02-27 21:35 - 2012-04-11 20:47 - 0599552 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll 2012-02-27 21:35 - 2012-04-11 20:47 - 0067072 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll 2012-02-27 21:34 - 2012-04-11 20:47 - 2073600 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll 2012-02-27 21:34 - 2012-04-11 20:47 - 10992640 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll 2012-02-27 21:34 - 2012-04-11 20:47 - 0176640 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll 2012-02-27 21:34 - 2012-04-11 20:47 - 0048128 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll 2012-02-27 20:31 - 2012-04-11 20:47 - 1638912 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb 2012-02-27 19:52 - 2012-04-11 20:47 - 1638912 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb 2012-02-26 01:13 - 2010-09-25 04:04 - 0120502 ____A C:\Windows\PFRO.log 2012-02-24 04:44 - 2011-04-12 03:47 - 0000810 ____A C:\Windows\wiso.ini 2012-02-23 10:15 - 2012-02-23 10:15 - 0000000 ____D C:\Users\Porstendörfer\restore 2012-02-23 09:52 - 2012-01-05 02:53 - 0036042 ____H C:\Users\Porstendörfer\~WRL1526.tmp 2012-02-23 09:11 - 2012-02-23 09:11 - 0001149 ____A C:\Users\Public\Desktop\CEWE FOTOSCHAU.lnk 2012-02-23 09:11 - 2012-02-23 09:11 - 0001134 ____A C:\Users\Public\Desktop\dm-Fotowelt.lnk 2012-02-23 09:11 - 2011-07-02 07:51 - 0000000 ____D C:\Program Files (x86)\CEWE COLOR 2012-02-23 08:58 - 2012-02-23 08:58 - 0000000 ____D C:\Program Files (x86)\dm 2012-02-18 01:37 - 2011-02-02 01:44 - 0000174 ___SH C:\Users\Porstendörfer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini 2012-02-18 01:35 - 2010-04-08 07:10 - 0000000 ____D C:\Program Files (x86)\Microsoft Silverlight 2012-02-16 22:38 - 2012-03-13 21:43 - 1031680 ____A (Microsoft Corporation) C:\Windows\System32\rdpcore.dll 2012-02-16 21:34 - 2012-03-13 21:43 - 0826880 ____A (Microsoft Corporation) C:\Windows\SysWOW64\rdpcore.dll 2012-02-16 20:58 - 2012-03-13 21:43 - 0210944 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\rdpwd.sys 2012-02-16 20:57 - 2012-03-13 21:43 - 0023552 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tdtcp.sys 2012-02-15 03:59 - 2011-04-12 03:44 - 0000000 ____D C:\Users\All Users\Buhl Data Service GmbH 2012-02-15 03:59 - 2011-04-12 03:44 - 0000000 ____D C:\ProgramData\Buhl Data Service GmbH 2012-02-14 02:09 - 2012-02-14 02:09 - 1070352 ____A (Microsoft Corporation) C:\Windows\SysWOW64\MSCOMCTL.OCX 2012-02-14 01:13 - 2012-01-05 02:53 - 0037847 ____H C:\Users\Porstendörfer\~WRL0005.tmp 2012-02-09 22:36 - 2012-03-13 21:44 - 1544192 ____A (Microsoft Corporation) C:\Windows\System32\DWrite.dll 2012-02-09 21:38 - 2012-03-13 21:44 - 1077248 ____A (Microsoft Corporation) C:\Windows\SysWOW64\DWrite.dll 2012-02-05 05:07 - 2011-04-12 04:08 - 0000000 ____D C:\Users\Porstendörfer\Documents\tax 2012-02-05 04:58 - 2012-02-05 04:58 - 0002220 ____A C:\Users\Public\Desktop\t@x 2012.lnk 2012-02-05 04:58 - 2011-04-12 03:47 - 0002245 ____A C:\Users\All Users\Start Menu\Programs\Startup\t@x aktuell.lnk 2012-02-05 04:55 - 2011-04-12 03:44 - 0000000 ____D C:\Program Files (x86)\Buhl finance 2012-02-05 04:55 - 2010-04-08 06:31 - 0000000 ___HD C:\Program Files (x86)\InstallShield Installation Information 2012-02-04 02:00 - 2012-01-05 02:53 - 0035740 ____H C:\Users\Porstendörfer\~WRL2516.tmp 2012-02-02 20:34 - 2012-03-13 21:44 - 3145728 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys 2012-01-30 05:09 - 2012-01-30 05:09 - 0017380 ____H C:\Users\Porstendörfer\Desktop\~WRL2831.tmp 2012-01-30 05:09 - 2012-01-30 05:09 - 0000162 ___AH C:\Users\Porstendörfer\Desktop\~$ische segen.docx 2012-01-29 02:15 - 2009-07-13 19:20 - 0000000 ____D C:\Windows\System32\NDF ========================= Known DLLs (Whitelisted) ============ ========================= Bamital & volsnap Check ============ C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\SysWOW64\wininit.exe => MD5 is legit C:\Windows\explorer.exe => MD5 is legit C:\Windows\SysWOW64\explorer.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\SysWOW64\svchost.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\SysWOW64\User32.dll => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit ========================= Memory info ====================== Percentage of memory in use: 18% Total physical RAM: 3996.93 MB Available physical RAM: 3266.85 MB Total Pagefile: 3995.08 MB Available Pagefile: 3251.28 MB Total Virtual: 8192 MB Available Virtual: 8191.9 MB ======================= Partitions ========================= 1 Drive c: (Acer) (Fixed) (Total:284.99 GB) (Free:216.4 GB) NTFS 2 Drive e: (PQSERVICE) (Fixed) (Total:13 GB) (Free:1.63 GB) NTFS ==>[System with boot components (obtained from reading drive)] 3 Drive f: (ReatogoPE) (CDROM) (Total:0.43 GB) (Free:0 GB) CDFS 4 Drive g: () (Removable) (Total:0.96 GB) (Free:0.92 GB) FAT32 5 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS 6 Drive y: (SYSTEM RESERVED) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)] Datentr„ger ### Status Gr”áe Frei Dyn GPT --------------- ------------- ------- ------- --- --- Datentr„ger 0 Online 298 GB 0 B Datentr„ger 1 Online 980 MB 0 B Partitions of Disk 0: =============== Partition ### Typ Gr”áe Offset ------------- ---------------- ------- ------- Partition 1 Wiederherstellun 13 GB 1024 KB Partition 2 Prim„r 100 MB 13 GB Partition 3 Prim„r 284 GB 13 GB ====================================================================================================== Disk: 0 Partition 1 Typ : 27 Versteckt: Ja Aktiv : Nein Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 3 E PQSERVICE NTFS Partition 13 GB Fehlerfre Versteck ====================================================================================================== Disk: 0 Partition 2 Typ : 07 Versteckt: Nein Aktiv : Ja Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 1 Y SYSTEM RESE NTFS Partition 100 MB Fehlerfre ====================================================================================================== Disk: 0 Partition 3 Typ : 07 Versteckt: Nein Aktiv : Nein Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 2 C Acer NTFS Partition 284 GB Fehlerfre ====================================================================================================== Partitions of Disk 1: =============== Partition ### Typ Gr”áe Offset ------------- ---------------- ------- ------- Partition 1 Prim„r 979 MB 36 KB ====================================================================================================== Disk: 1 Partition 1 Typ : 0B Versteckt: Nein Aktiv : Ja Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 4 G FAT32 Wechselmed 979 MB Fehlerfre ====================================================================================================== ========================================================== Last Boot: 2012-04-24 05:22 ======================= End Of Log ========================== ich hab den verseuchten rechner gescaned und ihn jetzt erst mal so gelassen, nix weiter gebootet etc. sag mir bitte vor dem nächsten schritt ob ich den wieder neu starten soll. sorry für die extra umstände! |
Am sauberen Rechner: Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: HKU\Porstendörfer\...\Run: [988ED696] C:\Users\Porstendörfer\AppData\Roaming\Rlvageu\6CCD5FC6988ED696CBAB.exe [x]
Kein Ding, wir konnten das ja klären! ^^ |
Fix result of Farbar Recovery Scan Tool (FRST written by farbar) Version: 22-04-2012 Ran by SYSTEM at 2012-04-26 16:18:07 R:1 Running from G:\ ============================================== HKEY_USERS\Porstendörfer\Software\Microsoft\Windows\CurrentVersion\Run\\988ED696 Value deleted successfully. mfeavfk01 service deleted successfully. C:\Users\Porstendörfer\AppData\Roaming\Rlvageu moved successfully. C:\Users\Porstendörfer\AppData\Roaming\Realtec moved successfully. ==== End of Fixlog ==== |
Starte den Rechner im normalen Modus! Schritt 1: aswMBR Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Schritt 2: Scan mit TDSS-Killer Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop
|
ok erst sah es gut aus, jetzt hat er aufgehört zu scannen und sagt Avast! Antirootkit funktioniert nicht mehr das programm wird aufgrund eines Problems nicht richtig ausgeführt. das programm wird geschlossen uns sie werden benachrichtigt, wenn eine Lösung verfügbar ist. |
OKAY, dann nur den TDSS-Killer |
ok der ist durchgelaufen und hat keine infizierten objekte gefunden. willst du den report trotzdem sehen? |
die schon mal als anhang |
ok hab auch die vom programm selber gespeicherte datei gefunden: |
Combofix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
|
ok, ich hab jetzt festgestellt, ich hab noch ne abgelaufene mc afee version auf dem rechner, wie kann ich die bitte deaktivieren? |
Schritt 1: Software deinstallieren
Schritt 2: Combofix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
|
hier das file |
Hm...die hätte eigentlich weg sein sollen! Egal, dann eben so... Schritt 1: Software deinstallieren
Schritt 2: CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code: REGISTRY::Wichtig:
Schritt 3: MBAM Downloade Dir bitte Malwarebytes
Schritt 4: DDS Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. dds.com dds.scr dds.pif
|
schon mal combofix |
ergebnis von schritt 3 |
ergebnis schritt 4: |
Online-Scan zur Kontrolle ESET Online Scanner
|
so der Scan ist fertig und er hat keine Threats gefunden. Somit kann ich auch nix ausser Finish anklicken. Allerdings behauptet der Rechner es könnte sein, dass ESET nicht richtig installiert wurde. Ich habs jetzt nochmal gestartet... |
Schritt 1: Java update Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Schritt 2: Adobe Reader update Dein Adobe Reader ist veraltet. Da einige Schädlinge die Schwachstellen in veralteten Versionen nutzen, werden wir sie aktualisieren.
Schritt 3: Adobe Flash Player update Dein Flash-Player ist veraltet. Da gerade diese Software gerne von Schädlingen als Sprungbrett ins System genutzt wird, muss sie immer aktuell gehalten werden. Um den Flash Player zu aktualisieren, gehe bitte wie folgt vor:
Schritt 4: VLC-Player update Dein VLC-Player ist veraltet. Um ihn zu aktualisieren, gehe bitte wie folgt vor:
Abgesehen von den verschlüsselten Dateien - macht der Rechner noch Probleme? |
ich hab jetzt bis auf die verschlüsselten dateien keine probleme festgestellt. wir kriegen die verschlüsselten dateien aber auch wieder hin, oder? du glaubst gar nicht wie dankbar wir dir jetzt schon sind! ganz ganz herzlichen dank schon mal!!! was die adobe reader installazion angeht, appwiz.clp findet er nicht. |
Dafür sind wir da! :daumenhoc Lies die Anweisung genau - du musst appwiz.cpl eingeben, sonst wirds nix! Um deine Dateien zu entschlüsseln, nutze folgendes Tool: http://www.trojaner-board.de/114224-...-unlocker.html |
sag mal ist mein rechner danach sicher sauber? oder muss noch irgendwas gemacht werden? |
Euer Rechner ist sauber, das haben wi bereits geprüft. nun geht es noch darum, eure Dateien wieder zu entschlüsseln, danach entfernen wir noch die benutzten Tools und dann gibts noch Tipps zur Absicherung! ;) |
so es hat beides nun funktioniert, files sind auch alle wieder hergestellt! |
Ich sehe in den Logfiles keine laufende Anti Viren Software. Das ist gefährlich. Manchmal bemerkt man Malware durch PopUps oder Google-Umleitungen etc, aber meisten läuft diese unbemerkt im Hintergrund. Ein AVP kann Dir helfen, Malware zu finden. Bitte downloade und Installiere Dir eines der folgenden AVPs. Macht der Rechner noch Probleme? |
Nein der Rechner macht keine Probleme mehr und wir haben bereits gestern Avast installiert. Herzlichen Dank für die schnelle und supergute Hilfe!!! |
Dann sind wir durch - logfiles sind sauber! :daumenhoc Lass uns ein wenig aufräumen: ComboFix Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren. Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK. Code: Combofix /UninstallDamit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden. Nun die eben deaktivierten Programme wieder aktivieren. TFC Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop. Schließe nun alle offenen Programme und trenne Dich von dem Internet. Doppelklick auf die TFC.exe Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen. Hier noch ein paar Tipps zur Absicherung deines Systems. Aktualität Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC Halte dich fern von jedlichen Registry Cleanern. Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links Miekemoes Blogspot ( MVP ) Bill Castner ( MVP ) Don'ts
Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann. |
Schön, dass wir helfen konnten! :abklatsch: Dieses Thema scheint erledigt und wurde aus meinen Abos gelöscht. Solltest du das Thema erneut brauchen, schicke mir bitte eine PM. Jeder andere bitte hier klicken und ein eigenes Thema erstellen! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board
