Windows Verschlüsselungs Trojaner hat mich erwischt

#0
30.05.2012, 16:28
...neu hier

Beiträge: 2
#1 Hallo liebe Community,

ich habe eine email von einer web.de Adresse mit einer Auftragsbestätigung für den Erwerb von irgend einem Produkt erhalten. Im Anhang befand sich eine Datei Namens Rechnung.zip.
Diese habe ich leider geöffnet. Im Anschluss kam diese Ukash Aufforderung 100€ zu überweisen da mein Computer wegen pornografischen Inhalten usw. nun gesperrt wäre.

Habe den Computer sofort vom Strom und dem Netzwerkkabel getrennt. Das System startetet danach dann immer wieder mit dieser Ukash Meldung. Ein Start im abgesicherten Modus ist nicht möglich. Man sieht einige Dos Zeilen die abgearbeitet werden und dann startet der Rechner aber direkt neu. Ein freund hat mir nun empfohlen die Festplatte aus zu bauen in einen anderen Rechner zu packen und das Tool Malwarebytes drüber laufen zu lassen. Es hatte auch 2 infizierte Dateien gefunden welche in Quarantäne gestellt wurden.

Die Log-Datei habe ich beigefügt. Der PC lässt sich zwar jetzt wieder normal starten aber irgendwie sind nun alle Dateien von mir verschlüsselt... also alle haben einen Buchstabensalat wie z.B. "ZyyvsdYYFARggeg".

Was mache ich denn jetzt? Wie komme ich wieder an meine Daten ran?
Hoffe mir kann hier einer helfen ;)

LG, Frank


edit: ich habe mit einem online Virus-Programm auch etwas gefunden. Dieses Tool wurde mir auch empfohlen.

Hier das Log:

Zitat

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=97e411c1fdf8024fa57afc6dcc9480e1
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-29 09:21:13
# local_time=2012-05-29 11:21:13 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 183 183 0 0
# scanned=239869
# found=3
# cleaned=0
# scan_time=7066
C:\Alte Platte\T-Online\EMAIL4\tdGVssUxfVsdxxftUdG probably a variant of Win32/Agent.IUKDZWI trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Temp\NERO1005256\unit_app_75\Toolbar.exe Win32/Toolbar.AskSBar application (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Temp\{5970FADB-1BA7-4379-9663-0D062C66D290}\pdfforgeToolbar.msi a variant of Win32/Toolbar.Widgi application (unable to clean) 00000000000000000000000000000000 I


Seitenanfang Seitenende
31.05.2012, 16:19
Moderator

Beiträge: 5694
#2 Herzlich Willkommen auf dem Protecus Forum

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Die verschlüsselten Dateien mit DecryptHelper von Matthias entschlüsseln. (Java wird benötigt)
Anleitung: http://www.trojaner-board.de/114451-windows-update-virus-decrypthelper-anwenden.html


Schritt 2

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
• Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread
Seitenanfang Seitenende
01.06.2012, 13:28
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo,
zu aller erst einmal will ich den Rechner soweiso komplett neu aufsetzen. Jedoch geht es mir hier in erster Hinsicht darum meine Dateien wieder zu retten und nicht darum den Trojaner zu entfernen. Denke da ist es eh schneller und einfacher den Rechner zu plätten.

Habe jetzt den Decrypt Helper ausprobiert und mir den Bereich im Trojaner Board durchgelesen. Jedoch ist der Decryptor gar nicht für meine Variante brauchbar. Dieser funktioniert nur mit der Variante die die Dateinen nach dem Schema "locked-xxxxx" verschlüsseln. Ich habe ja eine neuere Varinatre wo die Dateien jetzt "YYVRsuNnyb" so lauten.

Im Trojaner Board bin ich nun nict fündig geworden. Aber dort ist es auch katastrophal unübersichtlich wie ich finde.

Nichts desto trotz hier der OTL.txt Log (einen extra.txt wurde nicht auf dem desktop gespeichert, wo finde ich den?):

Zitat

OTL logfile created on: 01.06.2012 13:19:43 - Run 2
OTL by OldTimer - Version 3.2.44.0 Folder = C:\Dokumente und Einstellungen\Daniela\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,97 Gb Total Physical Memory | 1,15 Gb Available Physical Memory | 58,33% Memory free
3,82 Gb Paging File | 3,18 Gb Available in Paging File | 83,21% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 192,60 Gb Free Space | 82,70% Space Free | Partition Type: NTFS

Computer Name: DANIELA | User Name: Daniela | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - [2012.05.29 13:00:17 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Daniela\Desktop\OTL.exe
PRC - [2012.05.25 15:12:54 | 000,785,344 | ---- | M] (Spigot, Inc.) -- C:\Programme\Application Updater\ApplicationUpdater.exe
PRC - [2012.05.24 11:09:02 | 000,924,600 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2012.04.04 18:47:32 | 000,161,664 | ---- | M] (Oracle Corporation) -- C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe
PRC - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2012.03.19 13:38:47 | 002,666,880 | ---- | M] (TeamViewer GmbH) -- C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe
PRC - [2011.11.08 12:54:25 | 000,554,160 | ---- | M] (Star Finanz - Software Entwicklung und Vertriebs GmbH) -- C:\Programme\StarMoney Business 4.0 Deutsche Bank Edition\ouservice\StarMoneyOnlineUpdate.exe
PRC - [2011.05.31 10:31:10 | 000,424,088 | ---- | M] (Sage Software) -- C:\Programme\Gemeinsame Dateien\Sage Software Shared\Deploymentservice.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.09.11 16:19:32 | 000,659,456 | ---- | M] (Sage Software) -- C:\Programme\Gemeinsame Dateien\Sage KHK Shared\LiveUpdate\LiveUpdateInstaller.exe


[color=#E56717]========== Modules (No Company Name) ==========[/color]

MOD - [2012.05.24 11:40:39 | 008,797,856 | ---- | M] () -- C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll
MOD - [2012.05.24 11:09:01 | 001,952,696 | ---- | M] () -- C:\Programme\Mozilla Firefox\mozjs.dll
MOD - [2012.04.04 07:53:56 | 000,301,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
MOD - [2009.10.06 16:36:58 | 000,205,312 | ---- | M] () -- C:\Programme\StarMoney Business 4.0 Deutsche Bank Edition\ouservice\patchw32.dll
MOD - [2007.09.20 18:34:58 | 000,129,024 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll
MOD - [2001.10.28 18:42:30 | 000,116,224 | ---- | M] () -- C:\WINDOWS\system32\pdfcmnnt.dll


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)
SRV - [2012.05.25 15:12:54 | 000,785,344 | ---- | M] (Spigot, Inc.) [Auto | Running] -- C:\Programme\Application Updater\ApplicationUpdater.exe -- (Application Updater)
SRV - [2012.05.24 11:40:39 | 000,257,696 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.04.04 18:47:32 | 000,161,664 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.03.19 13:38:47 | 002,666,880 | ---- | M] (TeamViewer GmbH) [Auto | Running] -- C:\Programme\TeamViewer\Version7\TeamViewer_Service.exe -- (TeamViewer7)
SRV - [2011.11.08 12:54:25 | 000,554,160 | ---- | M] (Star Finanz - Software Entwicklung und Vertriebs GmbH) [Auto | Running] -- C:\Programme\StarMoney Business 4.0 Deutsche Bank Edition\ouservice\StarMoneyOnlineUpdate.exe -- (StarMoney Business 4.0 OnlineUpdate)
SRV - [2011.05.31 10:31:10 | 000,424,088 | ---- | M] (Sage Software) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Sage Software Shared\Deploymentservice.exe -- (SageDeploymentService)
SRV - [2008.07.29 19:16:38 | 000,132,096 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe -- (NetTcpPortSharing)
SRV - [2008.05.07 14:14:36 | 000,212,992 | ---- | M] (IDT, Inc.) [Disabled | Stopped] -- c:\Programme\IDT\IntelXPV_v83\WDM\stacsv.exe -- (STacSV)
SRV - [2008.04.14 04:23:03 | 000,075,264 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\tlntsvr.exe -- (TlntSvr)
SRV - [2008.04.14 04:22:55 | 000,114,176 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\netdde.exe -- (NetDDEdsdm)
SRV - [2008.04.14 04:22:55 | 000,114,176 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\netdde.exe -- (NetDDE)
SRV - [2008.04.14 04:22:38 | 000,033,280 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\clipsrv.exe -- (ClipSrv)
SRV - [2008.04.14 04:22:16 | 000,033,792 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\msgsvc.dll -- (Messenger)
SRV - [2008.04.14 04:22:15 | 000,053,248 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\mprdim.dll -- (RemoteAccess)
SRV - [2008.04.14 04:22:07 | 000,017,408 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\alrsvc.dll -- (Alerter)
SRV - [2007.10.25 15:27:54 | 000,266,240 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Programme\Windows Live\installer\WLSetupSvc.exe -- (WLSetupSvc)
SRV - [2007.09.11 16:19:32 | 000,659,456 | ---- | M] (Sage Software) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Sage KHK Shared\LiveUpdate\LiveUpdateInstaller.exe -- (LiveUpdateInstaller)
SRV - [2006.11.03 09:56:28 | 000,920,576 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2006.05.12 15:04:08 | 000,439,248 | ---- | M] (RealVNC Ltd.) [Auto | Stopped] -- C:\Programme\RealVNC\VNC4\winvnc4.exe -- (WinVNC4)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] -- -- (Changer)
DRV - [2012.04.04 15:56:40 | 000,022,344 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2011.06.02 11:08:34 | 000,011,336 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Programme\SystemRequirementsLab\cpudrv.sys -- (cpudrv)
DRV - [2009.10.14 20:18:34 | 000,036,880 | ---- | M] (Kaspersky Lab) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\klbg.sys -- (klbg)
DRV - [2009.09.14 13:42:46 | 000,032,272 | ---- | M] (Kaspersky Lab) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\klim5.sys -- (klim5)
DRV - [2009.09.01 14:29:50 | 000,128,016 | ---- | M] (Kaspersky Lab) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\kl1.sys -- (kl1)
DRV - [2008.05.07 14:16:22 | 001,271,032 | ---- | M] (IDT, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sthda.sys -- (STHDA)
DRV - [2008.04.14 04:02:16 | 000,120,576 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\pcmcia.sys -- (Pcmcia)
DRV - [2008.04.14 03:58:13 | 000,800,384 | ---- | M] (Microsoft Corp., Veritas Software) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\dmboot.sys -- (dmboot)
DRV - [2008.04.13 21:14:29 | 000,143,744 | ---- | M] (Microsoft Corporation) [File_System | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\fastfat.sys -- (Fastfat)
DRV - [2008.04.13 20:32:36 | 000,066,048 | ---- | M] (Microsoft Corporation) [File_System | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\udfs.sys -- (Udfs)
DRV - [2008.02.20 21:19:56 | 000,030,816 | ---- | M] (Intel Corporation ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\iqvw32.sys -- (NAL)
DRV - [2007.10.29 14:00:00 | 000,013,952 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\cbidf2k.sys -- (cbidf2k)
DRV - [2007.10.29 14:00:00 | 000,012,160 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\acpiec.sys -- (ACPIEC)
DRV - [2007.05.14 11:26:10 | 000,508,288 | ---- | M] (PixArt Imaging Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\PFC027.SYS -- (PAC207)
DRV - [2007.01.05 14:20:45 | 000,044,416 | R--- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HECI.sys -- (HECI) Intel(R)
DRV - [2001.08.17 12:14:24 | 000,444,416 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2001.08.17 12:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm


IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



IE - HKU\S-1-5-21-3691042001-4048374942-2046563990-1120\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
IE - HKU\S-1-5-21-3691042001-4048374942-2046563990-1120\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\5.8\pdfforgeToolbarIE.dll (Spigot, Inc.)
IE - HKU\S-1-5-21-3691042001-4048374942-2046563990-1120\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: linkfilter@kaspersky.ru:9.0.0.736
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:5.7
FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:5.7
FF - user.js - File not found

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.4.1: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.4.1: C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.05.24 11:09:04 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.05.24 11:47:18 | 000,000,000 | ---D | M]

[2009.09.29 09:13:34 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\Mozilla\Extensions
[2012.05.29 09:11:52 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\Mozilla\Firefox\Profiles\jo4vijh3.default\extensions
[2012.05.24 11:07:56 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.04.21 14:31:36 | 000,000,000 | ---D | M] (Kaspersky URL Advisor) -- C:\Programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
[2012.05.26 11:14:32 | 000,000,000 | ---D | M] (Widgi Toolbar Platform) -- C:\PROGRAMME\GEMEINSAME DATEIEN\SPIGOT\WTXPCOM
[2012.05.26 11:14:33 | 000,000,000 | ---D | M] (pdfforge Toolbar) -- C:\PROGRAMME\PDFFORGE TOOLBAR\FF
[2012.05.24 11:09:02 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.05.24 11:09:00 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.05.24 11:09:00 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.05.24 11:09:00 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.05.24 11:09:00 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.05.24 11:09:00 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.05.24 11:09:00 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

[color=#E56717]========== Chrome ==========[/color]

CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}sourceid=chrome&ie={inputEncoding}&q={searchTerms}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}
CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Programme\Google\Chrome\Application\19.0.1084.52\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Programme\Google\Chrome\Application\19.0.1084.52\pdf.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Programme\Google\Chrome\Application\19.0.1084.52\gcswf32.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
CHR - plugin: Adobe Acrobat (Enabled) = C:\Programme\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll
CHR - plugin: Java Deployment Toolkit 6.0.260.3 (Enabled) = C:\Programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
CHR - plugin: Java(TM) Platform SE 6 U26 (Enabled) = C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npdrmv2.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npwmsdrm.dll
CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Programme\Windows Media Player\npdsplay.dll
CHR - plugin: Google Earth Plugin (Enabled) = C:\Programme\Google\Google Earth\plugin\npgeplugin.dll
CHR - plugin: Google Update (Enabled) = C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll
CHR - plugin: Windows Presentation Foundation (Enabled) = c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
CHR - Extension: YouTube = C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2_0\
CHR - Extension: Google-Suche = C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.14_0\
CHR - Extension: Google Mail = C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\6.1.3_0\

O1 HOSTS File: ([2007.10.29 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [StarMoneyRunEntry] C:\Programme\StarMoney Business 4.0 Deutsche Bank Edition\app\oflagent.exe (Star Finanz - Software Entwicklung und Vertriebs GmbH)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-3691042001-4048374942-2046563990-1120\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {CF84DAC5-A4F5-419E-A0BA-C01FFD71112F} http://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_intel_4.5.5.0.cab (SysInfo Class)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.115.100 192.168.115.11
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Weiher.local
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1C58762E-A1E4-4F1B-8257-8073346A10C1}: DhcpNameServer = 192.168.1.1 192.168.1.2
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{20BDA521-6F27-4331-BCEF-411364341682}: DhcpNameServer = 192.168.115.100 192.168.115.11
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\EEE35B2B800FE49F195B.exe) - File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.04.16 14:16:36 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9309DD7E-EBFE-3C95-8B47-30D3A012F606} - .NET Framework
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung
ActiveX: {B508B3F1-A24A-32C0-B310-85786919EF28} - .NET Framework
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

NetSvcs: 6to4 - File not found
NetSvcs: HidServ - %SystemRoot%\System32\hidserv.dll File not found
NetSvcs: Ias - File not found
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found

MsConfig - Services: "WMPNetworkSvc"
MsConfig - Services: "WLSetupSvc"
MsConfig - Services: "STacSV"
MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 2
MsConfig - State: "startup" - 2

CREATERESTOREPOINT
Restore point Set: OTL Restore Point

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2012.05.30 13:11:29 | 000,000,000 | ---D | C] -- C:\_OTL
[2012.05.30 13:01:11 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Daniela\Recent
[2012.05.29 13:14:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\Sun
[2012.05.29 13:00:16 | 000,595,968 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Daniela\Desktop\OTL.exe
[2012.05.29 09:20:23 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2012.05.29 09:09:34 | 002,322,184 | ---- | C] (ESET) -- C:\Dokumente und Einstellungen\Daniela\Desktop\esetsmartinstaller_enu.exe
[2012.05.26 11:14:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\Search Settings
[2012.05.26 11:14:28 | 000,000,000 | ---D | C] -- C:\Programme\Application Updater
[2012.05.26 11:14:27 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Spigot
[2012.05.26 11:14:27 | 000,000,000 | ---D | C] -- C:\Programme\pdfforge Toolbar
[2012.05.26 11:14:11 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2012.05.24 11:48:34 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2012.05.24 11:47:30 | 000,000,000 | ---D | C] -- C:\Programme\Oracle
[2012.05.24 11:47:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\Oracle
[2012.05.24 11:44:00 | 000,000,000 | ---D | C] -- C:\Programme\Adobe
[2012.05.24 11:42:49 | 000,000,000 | ---D | C] -- C:\Programme\SystemRequirementsLab
[2012.05.24 11:21:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TeamViewer 7
[2012.05.24 11:21:31 | 000,000,000 | ---D | C] -- C:\Programme\TeamViewer
[2012.05.24 11:09:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla
[2012.05.24 11:03:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\Malwarebytes
[2012.05.24 11:03:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.05.24 11:03:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.05.24 11:03:51 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.05.24 11:03:51 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.05.18 16:42:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\Yyffcyyyf
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2012.06.01 13:11:06 | 000,019,458 | ---- | M] () -- C:\Dokumente und Einstellungen\Daniela\Desktop\DecryptHelper-0.5.jar
[2012.06.01 13:07:26 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.06.01 13:00:48 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.05.30 13:05:00 | 000,148,400 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.05.30 13:03:48 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2012.05.29 13:00:17 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Daniela\Desktop\OTL.exe
[2012.05.29 09:09:38 | 002,322,184 | ---- | M] (ESET) -- C:\Dokumente und Einstellungen\Daniela\Desktop\esetsmartinstaller_enu.exe
[2012.05.24 11:24:21 | 099,308,192 | ---- | M] () -- C:\Dokumente und Einstellungen\Daniela\Desktop\avira_free_antivirus_de.exe
[2012.05.24 11:21:34 | 000,000,797 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TeamViewer 7.lnk
[2012.05.24 11:03:52 | 000,000,766 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
[2012.05.24 11:03:23 | 000,001,787 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk
[2012.05.15 18:19:31 | 000,448,898 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.05.15 18:19:31 | 000,432,784 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.05.15 18:19:31 | 000,080,532 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.05.15 18:19:31 | 000,067,740 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.05.11 21:50:50 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323
[2012.05.11 21:50:40 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322
[2012.05.11 21:50:32 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321
[2012.05.11 21:50:22 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320
[2012.05.11 16:03:57 | 000,002,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Daniela\Desktop\Microsoft Word.lnk
[2012.05.10 18:38:04 | 000,019,456 | ---- | M] () -- C:\Dokumente und Einstellungen\Daniela\Eigene Dateien\ddUUxxxVfftttUddGG
[2012.05.09 16:44:55 | 000,865,974 | ---- | M] () -- C:\Dokumente und Einstellungen\Daniela\Desktop\ddxxxVVVtttUUUGGGf
[2012.05.08 10:26:42 | 000,002,513 | ---- | M] () -- C:\Dokumente und Einstellungen\Daniela\Desktop\Microsoft Excel.lnk
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2012.06.01 13:11:05 | 000,019,458 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela\Desktop\DecryptHelper-0.5.jar
[2012.05.30 13:05:00 | 000,148,400 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.05.24 11:44:23 | 000,002,299 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader X.lnk
[2012.05.24 11:21:34 | 000,000,797 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TeamViewer 7.lnk
[2012.05.24 11:20:14 | 099,308,192 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela\Desktop\avira_free_antivirus_de.exe
[2012.05.24 11:09:06 | 000,000,712 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk
[2012.05.24 11:03:52 | 000,000,766 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
[2012.05.18 16:42:37 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325
[2012.05.18 16:42:37 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012.05.18 16:42:37 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012.05.18 16:42:37 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012.05.18 16:42:37 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012.05.18 16:42:37 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320
[2012.05.09 16:44:55 | 000,865,974 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela\Desktop\ddxxxVVVtttUUUGGGf
[2012.02.16 13:44:05 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.05.06 09:43:09 | 000,010,752 | ---- | C] () -- C:\WINDOWS\System32\KOBZ2SBL.DLL
[2011.02.24 11:04:01 | 000,000,408 | ---- | C] () -- C:\WINDOWS\System32\Remover.ini
[2011.01.20 16:55:48 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll

[color=#E56717]========== LOP Check ==========[/color]

[2008.04.16 16:25:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch
[2010.07.23 15:13:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sage
[2010.05.12 20:57:38 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\.#
[2010.08.23 14:01:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\EurekaLog
[2012.05.21 08:50:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\FRITZ!
[2012.05.21 08:50:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\Handwerk
[2012.05.24 11:47:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\Oracle
[2011.01.20 16:57:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\pdfforge
[2012.05.26 11:14:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\Search Settings
[2010.05.12 20:15:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\T-Online
[2012.05.21 08:50:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\TeamViewer
[2012.05.23 14:16:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\Yyffcyyyf

[color=#E56717]========== Purity Check ==========[/color]



[color=#E56717]========== Custom Scans ==========[/color]

[color=#A23BEC]< %SYSTEMDRIVE%\*. >[/color]
[2009.08.24 19:44:09 | 000,000,000 | ---D | M] -- C:\882bfd31f530d95745
[2012.05.21 08:49:31 | 000,000,000 | ---D | M] -- C:\Alte Platte
[2012.05.21 08:49:32 | 000,000,000 | ---D | M] -- C:\Archiv Fibu 2002
[2012.05.21 08:49:35 | 000,000,000 | ---D | M] -- C:\Archiv Fibu 2003
[2012.05.21 08:49:37 | 000,000,000 | ---D | M] -- C:\Archiv Fibu 2004
[2012.05.21 08:49:40 | 000,000,000 | ---D | M] -- C:\Archiv Fibu 2005-2007
[2012.05.29 12:21:05 | 000,000,000 | -HSD | M] -- C:\Config.Msi
[2009.01.21 18:49:43 | 000,000,000 | ---D | M] -- C:\dakotaag
[2012.05.21 08:44:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2012.05.21 08:50:49 | 000,000,000 | ---D | M] -- C:\Download
[2012.05.21 08:50:49 | 000,000,000 | ---D | M] -- C:\Elster
[2008.04.16 14:34:13 | 000,000,000 | ---D | M] -- C:\Intel
[2012.05.21 08:50:50 | 000,000,000 | ---D | M] -- C:\Krankenkassen 2008
[2011.12.19 11:08:23 | 000,000,000 | ---D | M] -- C:\liveupde_cl
[2012.05.30 13:01:53 | 000,000,000 | R--D | M] -- C:\Programme
[2012.05.23 10:16:44 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2012.01.18 10:34:12 | 000,000,000 | ---D | M] -- C:\sicher
[2012.05.23 17:51:44 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2012.05.30 09:03:22 | 000,000,000 | ---D | M] -- C:\TEMP
[2012.03.20 12:15:45 | 000,000,000 | ---D | M] -- C:\temp42
[2008.07.14 12:45:06 | 000,000,000 | ---D | M] -- C:\TempEI4
[2012.05.30 13:05:20 | 000,000,000 | ---D | M] -- C:\WINDOWS
[2010.03.02 14:49:48 | 000,000,000 | ---D | M] -- C:\Winidea
[2012.05.30 13:11:29 | 000,000,000 | ---D | M] -- C:\_OTL
[2012.03.20 12:29:20 | 000,000,000 | ---D | M] -- C:\_Sicherung Lohn

[color=#A23BEC]< %PROGRAMFILES%\*.exe >[/color]
Invalid Environment Variable: LOCALAPPDATA

[color=#A23BEC]< %systemroot%\*. /mp /s >[/color]

[color=#A23BEC]< MD5 for: EXPLORER.EXE >[/color]
[2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe

[color=#A23BEC]< MD5 for: REGEDIT.EXE >[/color]
[2008.04.14 04:22:58 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe
[2008.04.14 04:22:58 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\ServicePackFiles\i386\regedit.exe

[color=#A23BEC]< MD5 for: USERINIT.EXE >[/color]
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe

[color=#A23BEC]< MD5 for: WINLOGON.EXE >[/color]
[2012.04.04 15:56:38 | 000,199,240 | ---- | M] () MD5=097D0E812D7A9A3101CE46CB2BE0474D -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe

[color=#A23BEC]< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >[/color]

[color=#A23BEC]< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >[/color]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2012-05-11 15:06:37

< End of report >

Zitat

Seitenanfang Seitenende
02.06.2012, 12:09
Moderator

Beiträge: 5694
#4 Hilfe in mehreren Foren gleichzeitig suchen?

Es gibt immer wieder Fälle, wo wir darauf stoßen, dass User in mehreren Foren gleichzeitig nach Hilfe suchen. Es ist verständlich, dass Du Dein Problem so schnell wie möglich aus der Welt schaffen möchtest, dennoch ist es kontraproduktiv gleich mehrere Foren mit Deinem Problem zu beschäftigen.

Zitat


http://www.trojaner-board.de/115564-ukash-100-trojaner-windows-xp-sp3-pc-infiziert-2.html


Wir nennen das Crossposting und sehen das aus folgenden Gründen nicht gerne:
• Mehrere Teams beschäftigen sich mit dem gleichen Problem, was vergeudete Zeit der freiwilligen Helfer ist, die anderen Usern mit Problemen zugute kommen könnte.
• Wir Helfer machen das in unserer Freizeit und sind natürlich verärgert, wenn wir Stunden aufwenden, um Dein System zu analysieren und dann sehen, dass das Problem bereits in Arbeit ist.
• Kann es zu Problemen mit Deinem Rechner kommen, weil unterschiedliche Helfer unterschiedliche Methoden anwenden, um das Problem zu lösen. Manche Tools sind sehr speziell und vertragen sich unter Umständen nicht mit anderen Tools. Wenn der Helfer nun nicht weiß, dass ein bestimmtes Tool angewendet wurde, und dann das damit unverträgliche anwendet, kann Dein System zusammenbrechen.
• Da Dir im Trojaner-Board schon geholfen wird, mache ich hier dann mal zu.
Obige Gründe können dazu führen, dass wir eine weitere Bearbeitung Deines Threads ablehnen.
Seitenanfang Seitenende