Verschlüsselungs-Trojaner

Almer · 14.05.2012, 19:35

Auch ich habe wie viele meiner Vorgänger das Problem, dass eine Zahlungsaufforderung das Weiterarbeiten am PC (Windows XP) blockiert.
Ich habe mir bereits Emsisoft und OTL heruntergeladen und gescannt.
Hier die Logfiles:
Extra.txt

OTL Extras logfile created on: 14.05.2012 19:32:39 - Run 1
OTL by OldTimer - Version 3.2.43.0 Folder = C:\Dokumente und Einstellungen\Praxis\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,75 Gb Total Physical Memory | 0,85 Gb Available Physical Memory | 48,89% Memory free
3,60 Gb Paging File | 2,84 Gb Available in Paging File | 78,92% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 60,00 Gb Total Space | 42,14 Gb Free Space | 70,22% Space Free | Partition Type: NTFS
Drive D: | 89,04 Gb Total Space | 88,97 Gb Free Space | 99,92% Space Free | Partition Type: NTFS
Drive E: | 121,91 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF

Computer Name: SPRECHZIMMER2 | User Name: Praxis | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========

========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

========== System Restore Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"135:TCP" = 135:TCP:LocalSubNet:Enabled

COM

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Office\Office12\OUTLOOK.EXE" = C:\Programme\Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook -- (Microsoft Corporation)
"C:\Programme\KEN!\kentbcli.exe" = C:\Programme\KEN!\kentbcli.exe:*:Enabled:kentbcli -- (AVM Berlin)
"C:\Programme\McAfee\Common Framework\FrameworkService.exe" = C:\Programme\McAfee\Common Framework\FrameworkService.exe:*:Enabled:McAfee Framework Service -- (McAfee, Inc.)
"C:\Programme\MOVIESTAR\Client\MovieStar.exe" = C:\Programme\MOVIESTAR\Client\MovieStar.exe:LocalSubNet:Enabled:MOVIESTAR -- (CompuGroup Medical Deutschland)
"C:\Programme\MOVIESTAR\ArchiveTracerMT.exe" = C:\Programme\MOVIESTAR\ArchiveTracerMT.exe:LocalSubNet:Enabled:ArchiveTracerMT -- (CompuGroup Medical Deutschland)
"C:\Programme\MOVIESTAR\Common\FaxSrv\FaxServer.exe" = C:\Programme\MOVIESTAR\Common\FaxSrv\FaxServer.exe:LocalSubNet:Enabled:CG PACS Fax Server -- (CompuGroup Medical Deutschland)
"\\Srv2\medistar\prg4\m42t.exe" = \\Srv2\medistar\prg4\m42t.exe:*:Enabled:m42t.exe

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0DB48282-CF7A-11DA-8809-00104BB50F1B}" = MEDISTAR Messenger
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 11
"{3367F91F-D4AB-4F6C-9E12-5B0E577F8610}" = MOVIESTAR
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{35C03C04-3F1F-42C2-A989-A757EE691F65}" = McAfee VirusScan Enterprise
"{65DA2EC9-0642-47E9-AAE2-B5267AA14D75}" = Activation Assistant for the 2007 Microsoft Office suites
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_PROHYBRIDR_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_PROHYBRIDR_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_PROHYBRIDR_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_PROHYBRIDR_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_PROHYBRIDR_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{91120000-0031-0000-0000-0000000FF1CE}" = Microsoft Office Professional Hybrid 2007
"{91120000-0031-0000-0000-0000000FF1CE}_PROHYBRIDR_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{911B0407-6000-11D3-8CFE-0050048383C9}" = Microsoft Word 2002
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A70500000002}" = Adobe Reader 7.0.5 - Deutsch
"{BC30E5E7-047D-4232-A7E8-F2CB7CC7B2E0}_is1" = Emsisoft Anti-Malware
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C4BEEB8C-B9D2-4CD9-A2AA-1F3A1F57DF21}" = Works Suite-Betriebssystem-Pack
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EC149E4C-5571-460C-BB65-79F16D742D30}" = RemoteOperations Clients
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"Activation Assistant for the 2007 Microsoft Office suites" = Activation Assistant for the 2007 Microsoft Office suites
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"AVM KEN!" = AVM KEN!
"CompuGROUP Java_is1" = CompuGROUP Java 1.6.0.11.3
"FRITZ! 2.0" = AVM FRITZ!
"ie8" = Windows Internet Explorer 8
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"NVIDIA Drivers" = NVIDIA Drivers
"PROHYBRIDR" = 2007 Microsoft Office system
"Quick Search Box" = Google-Schnellsuchfeld
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 30.03.2012 06:27:33 | Computer Name = SPRECHZIMMER2 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung msimn.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul ntdll.dll, Version 5.1.2600.6055, Fehleradresse 0x0000100b.

Error - 02.04.2012 05:06:08 | Computer Name = SPRECHZIMMER2 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung msimn.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul ntdll.dll, Version 5.1.2600.6055, Fehleradresse 0x0000100b.

Error - 17.04.2012 06:51:18 | Computer Name = SPRECHZIMMER2 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung msimn.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul ntdll.dll, Version 5.1.2600.6055, Fehleradresse 0x0000100b.

Error - 25.04.2012 12:54:53 | Computer Name = SPRECHZIMMER2 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung , Version 0.0.0.0, fehlgeschlagenes Modul
unknown, Version 0.0.0.0, Fehleradresse 0x00000000.

Error - 07.05.2012 12:28:03 | Computer Name = SPRECHZIMMER2 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung m42t.exe, Version 1.0.3.7, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 14.05.2012 13:12:22 | Computer Name = SPRECHZIMMER2 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung msimn.exe, Version 6.0.2900.5512, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 14.05.2012 13:12:39 | Computer Name = SPRECHZIMMER2 | Source = MsiInstaller | ID = 11706
Description = Produkt: Microsoft Word 2002 -- Fehler 1706. Setup kann die benötigten
Dateien nicht finden. Überprüfen Sie Ihre Verbindung mit dem Netzwerk oder dem
CD-ROM-Laufwerk. Um mehr über mögliche Lösungen für dieses Problem zu erfahren,
sehen sie bitte nach in C:\Programme\Microsoft Office\Office10\1031\SETUP.HLP.

[ System Events ]
Error - 08.05.2012 02:21:08 | Computer Name = SPRECHZIMMER2 | Source = Service Control Manager | ID = 7022
Description = Der Dienst "RRService" wurde nicht ordnungsgemäß gestartet.

Error - 09.05.2012 09:01:13 | Computer Name = SPRECHZIMMER2 | Source = Service Control Manager | ID = 7022
Description = Der Dienst "RFClientService" wurde nicht ordnungsgemäß gestartet.

Error - 09.05.2012 09:01:13 | Computer Name = SPRECHZIMMER2 | Source = Service Control Manager | ID = 7022
Description = Der Dienst "RRService" wurde nicht ordnungsgemäß gestartet.

Error - 10.05.2012 02:03:02 | Computer Name = SPRECHZIMMER2 | Source = Service Control Manager | ID = 7022
Description = Der Dienst "RFClientService" wurde nicht ordnungsgemäß gestartet.

Error - 10.05.2012 02:03:02 | Computer Name = SPRECHZIMMER2 | Source = Service Control Manager | ID = 7022
Description = Der Dienst "RRService" wurde nicht ordnungsgemäß gestartet.

Error - 14.05.2012 12:49:42 | Computer Name = SPRECHZIMMER2 | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst RFClientService.

Error - 14.05.2012 12:49:42 | Computer Name = SPRECHZIMMER2 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "RFClientService" wurde aufgrund folgenden Fehlers nicht
gestartet: %%1053

Error - 14.05.2012 12:56:37 | Computer Name = SPRECHZIMMER2 | Source = Service Control Manager | ID = 7022
Description = Der Dienst "RFClientService" wurde nicht ordnungsgemäß gestartet.

Error - 14.05.2012 12:56:37 | Computer Name = SPRECHZIMMER2 | Source = Service Control Manager | ID = 7022
Description = Der Dienst "RRService" wurde nicht ordnungsgemäß gestartet.

Error - 14.05.2012 12:57:07 | Computer Name = SPRECHZIMMER2 | Source = DCOM | ID = 10010
Description = Der Server "{4EB61BAC-A3B6-4760-9581-655041EF4D69}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

< End of report >

Die Otl.txt

OTL logfile created on: 14.05.2012 19:32:39 - Run 1
OTL by OldTimer - Version 3.2.43.0 Folder = C:\Dokumente und Einstellungen\Praxis\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,75 Gb Total Physical Memory | 0,85 Gb Available Physical Memory | 48,89% Memory free
3,60 Gb Paging File | 2,84 Gb Available in Paging File | 78,92% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 60,00 Gb Total Space | 42,14 Gb Free Space | 70,22% Space Free | Partition Type: NTFS
Drive D: | 89,04 Gb Total Space | 88,97 Gb Free Space | 99,92% Space Free | Partition Type: NTFS
Drive E: | 121,91 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF

Computer Name: SPRECHZIMMER2 | User Name: Praxis | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2012.05.14 19:32:03 | 000,595,456 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Praxis\Desktop\OTL.exe
PRC - [2012.04.20 16:09:06 | 003,878,336 | ---- | M] (Emsisoft GmbH) -- C:\Programme\Emsisoft Anti-Malware\a2wizard.exe
PRC - [2012.04.20 16:09:02 | 003,065,120 | ---- | M] (Emsisoft GmbH) -- C:\Programme\Emsisoft Anti-Malware\a2service.exe
PRC - [2012.03.30 13:19:42 | 001,334,272 | ---- | M] (MEDISTAR Praxiscomputer GmbH) -- \\SRV2\medistar\prg4\m42t.exe
PRC - [2012.03.15 09:44:52 | 000,390,144 | ---- | M] (CompuGroup Medical Deutschland) -- C:\Programme\MOVIESTAR\ArchiveTracerMT.exe
PRC - [2012.03.13 18:41:42 | 002,128,896 | ---- | M] (CompuGroup Medical) -- C:\Dokumente und Einstellungen\Praxis\Anwendungsdaten\mslib_local\cache\binary\wkflsr32.exe
PRC - [2012.03.13 18:38:22 | 001,143,296 | ---- | M] (CompuGroup Medical) -- C:\Dokumente und Einstellungen\Praxis\Anwendungsdaten\mslib_local\cache\binary\wkflbu32.exe
PRC - [2009.01.27 20:50:00 | 000,144,704 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
PRC - [2009.01.27 20:50:00 | 000,054,608 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
PRC - [2009.01.14 16:36:38 | 000,196,608 | ---- | M] (Silverstroke AG) -- C:\Programme\RemoteOperations\RRService.exe
PRC - [2009.01.14 16:34:58 | 000,253,952 | ---- | M] (Silverstroke AG) -- C:\Programme\RemoteOperations\RfClientService.exe
PRC - [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2006.11.17 13:40:56 | 000,136,768 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\naPrdMgr.exe
PRC - [2006.11.17 13:37:44 | 000,104,000 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee\Common Framework\FrameworkService.exe
PRC - [2003.11.20 02:00:00 | 000,049,204 | ---- | M] (AVM Berlin) -- C:\Programme\KEN!\kencli.exe
PRC - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe

========== Modules (No Company Name) ==========

MOD - [2012.03.20 11:44:52 | 005,088,256 | ---- | M] () -- \\SRV2\medistar\prg4\qt-mt338.dll
MOD - [2011.12.13 12:58:20 | 000,482,304 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Anwendungsdaten\mslib_local\cache\binary\sqldrivers\qsqlitecg4.dll
MOD - [2011.12.13 12:57:42 | 000,522,240 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Anwendungsdaten\mslib_local\cache\binary\sqlite3.dll
MOD - [2011.08.15 17:23:18 | 002,741,760 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Anwendungsdaten\mslib_local\cache\binary\QtCore4.dll
MOD - [2011.08.15 17:23:18 | 001,391,616 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Anwendungsdaten\mslib_local\cache\binary\QtNetwork4.dll
MOD - [2011.08.15 17:23:16 | 019,583,488 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Anwendungsdaten\mslib_local\cache\binary\QtWebKit4.dll
MOD - [2011.08.15 17:23:12 | 011,281,408 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Anwendungsdaten\mslib_local\cache\binary\QtGui4.dll
MOD - [2011.08.15 17:23:12 | 001,422,848 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Anwendungsdaten\mslib_local\cache\binary\QtScript4.dll
MOD - [2011.08.15 17:23:12 | 000,509,952 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Anwendungsdaten\mslib_local\cache\binary\QtXml4.dll
MOD - [2011.08.15 17:23:12 | 000,326,656 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Anwendungsdaten\mslib_local\cache\binary\imageformats\qtiff4.dll
MOD - [2011.08.15 17:23:12 | 000,312,320 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Anwendungsdaten\mslib_local\cache\binary\imageformats\qmng4.dll
MOD - [2011.08.15 17:23:12 | 000,309,760 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Anwendungsdaten\mslib_local\cache\binary\QtSql4.dll
MOD - [2011.08.15 17:23:12 | 000,159,744 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Anwendungsdaten\mslib_local\cache\binary\imageformats\qjpeg4.dll
MOD - [2011.08.15 17:23:12 | 000,043,520 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Anwendungsdaten\mslib_local\cache\binary\imageformats\qico4.dll
MOD - [2011.08.15 17:23:12 | 000,041,472 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Anwendungsdaten\mslib_local\cache\binary\imageformats\qgif4.dll
MOD - [2009.05.19 15:25:47 | 000,057,344 | ---- | M] () -- C:\Programme\RemoteOperations\luamedi.dll
MOD - [2008.10.22 13:18:14 | 000,081,920 | ---- | M] () -- C:\Programme\RemoteOperations\zlib-1.2.3.dll
MOD - [2006.11.30 08:50:00 | 000,149,080 | ---- | M] () -- C:\Programme\McAfee\VirusScan Enterprise\VsEvntUI.DLL
MOD - [2006.11.17 13:41:22 | 000,120,384 | ---- | M] () -- C:\Programme\McAfee\Common Framework\naXML71.dll
MOD - [2006.11.17 13:39:10 | 000,071,232 | ---- | M] () -- C:\Programme\McAfee\Common Framework\naisign.dll
MOD - [2003.11.20 02:00:00 | 000,827,392 | ---- | M] () -- C:\Programme\KEN!\libeay32.dll
MOD - [2003.11.20 02:00:00 | 000,159,744 | ---- | M] () -- C:\Programme\KEN!\ssleay32.dll

========== Win32 Services (SafeList) ==========

SRV - [2012.05.08 08:46:47 | 000,257,696 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.04.20 16:09:02 | 003,065,120 | ---- | M] (Emsisoft GmbH) [Auto | Running] -- C:\Programme\Emsisoft Anti-Malware\a2service.exe -- (a2AntiMalware)
SRV - [2011.07.20 05:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2009.01.27 20:50:00 | 000,144,704 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe -- (McShield)
SRV - [2009.01.27 20:50:00 | 000,054,608 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe -- (McTaskManager)
SRV - [2009.01.14 16:36:38 | 000,196,608 | ---- | M] (Silverstroke AG) [Auto | Running] -- C:\Programme\RemoteOperations\RRService.exe -- (RRService)
SRV - [2009.01.14 16:34:58 | 000,253,952 | ---- | M] (Silverstroke AG) [Auto | Running] -- C:\Programme\RemoteOperations\RfClientService.exe -- (RFClientService)
SRV - [2006.11.17 13:37:44 | 000,104,000 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee\Common Framework\FrameworkService.exe -- (McAfeeFramework)
SRV - [2006.10.26 14:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.11.20 02:00:00 | 000,049,204 | ---- | M] (AVM Berlin) [Auto | Running] -- C:\Programme\KEN!\kencli.exe -- (KEN Client Service)
SRV - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe -- (MDM)

========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] -- -- (Changer)
DRV - [2012.04.20 17:03:26 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)
DRV - [2011.11.02 11:13:12 | 000,051,632 | ---- | M] (Emsi Software GmbH) [File_System | On_Demand | Stopped] -- C:\Programme\Emsisoft Anti-Malware\a2accx86.sys -- (a2acc)
DRV - [2011.05.19 14:10:34 | 000,017,904 | ---- | M] (Emsi Software GmbH) [Kernel | System | Running] -- C:\Programme\Emsisoft Anti-Malware\a2ddax86.sys -- (A2DDA)
DRV - [2009.01.27 20:50:00 | 000,177,864 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfehidk.sys -- (mfehidk)
DRV - [2009.01.27 20:50:00 | 000,073,512 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfeavfk.sys -- (mfeavfk)
DRV - [2009.01.27 20:50:00 | 000,065,000 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfeapfk.sys -- (mfeapfk)
DRV - [2009.01.27 20:50:00 | 000,052,168 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\mfetdik.sys -- (mfetdik)
DRV - [2009.01.27 20:50:00 | 000,034,408 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfebopk.sys -- (mfebopk)
DRV - [2008.12.04 13:46:52 | 000,004,096 | ---- | M] (Silverstroke AG) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RRVideo.sys -- (RRVideo)
DRV - [2007.11.20 18:07:34 | 004,627,456 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007.09.20 19:07:40 | 000,022,016 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2007.09.20 19:07:38 | 000,053,632 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2003.11.20 02:00:00 | 000,057,664 | ---- | M] (AVM Berlin) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\ndc.sys -- (ndc)
DRV - [2000.11.13 21:00:00 | 000,059,520 | ---- | M] (AVM Berlin) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\avmport.sys -- (AVMPORT)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7

IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.fujitsu-siemens.de
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.fujitsu-siemens.de
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.fujitsu-siemens.de

IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.fujitsu-siemens.de

IE - HKU\S-1-5-21-4010990462-1443312003-2266705026-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ig?hl=de
IE - HKU\S-1-5-21-4010990462-1443312003-2266705026-1005\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKU\S-1-5-21-4010990462-1443312003-2266705026-1005\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-4010990462-1443312003-2266705026-1005\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7GZAZ_deDE333
IE - HKU\S-1-5-21-4010990462-1443312003-2266705026-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)

O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\ScriptCl.dll (McAfee, Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll (Google Inc.)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [emsisoft anti-malware] C:\Programme\Emsisoft Anti-Malware\a2guard.exe (Emsisoft GmbH)
O4 - HKLM..\Run: [Google Quick Search Box] C:\Programme\Google\Quick Search Box\GoogleQuickSearchBox.exe (Google Inc.)
O4 - HKLM..\Run: [KEN Taskbar Client] C:\Programme\KEN!\kentbcli.exe (AVM Berlin)
O4 - HKLM..\Run: [McAfeeUpdaterUI] C:\Programme\McAfee\Common Framework\UdaterUI.exe (McAfee, Inc.)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [ShStatEXE] C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE (McAfee, Inc.)
O4 - HKU\S-1-5-21-4010990462-1443312003-2266705026-1005..\Run: [AC3F3E9D] C:\WINDOWS\system32\50DDCD4DAC3F3E9D5059.exe (cola coca cia)
O4 - HKU\S-1-5-21-4010990462-1443312003-2266705026-1005..\Run: [MEDIMessage] "\\Srv2\medistar\medimessage\medimessage.exe" File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Hardcopy.lnk = File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe (AVM Berlin)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\MOVIESTAR Schnittstellenprogramm.lnk = C:\Programme\MOVIESTAR\Client\MovLX.exe (MEDISTAR Praxiscomputer GmbH)
O4 - Startup: C:\Dokumente und Einstellungen\Praxis\Startmenü\Programme\Autostart\DDE Server.lnk = \\SRV2\medistar\prg4\dscm.exe (MEDISTAR Praxiscomputer GmbH)
O4 - Startup: C:\Dokumente und Einstellungen\Praxis\Startmenü\Programme\Autostart\FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe (AVM Berlin)
O4 - Startup: C:\Dokumente und Einstellungen\Praxis\Startmenü\Programme\Autostart\MEDISTAR 4.0 Task-0.lnk = \\SRV2\medistar\prg4\m42t.exe (MEDISTAR Praxiscomputer GmbH)
O4 - Startup: C:\Dokumente und Einstellungen\Praxis\Startmenü\Programme\Autostart\MEDISTAR 4.0 Task-1.lnk = \\SRV2\medistar\prg4\m42t.exe (MEDISTAR Praxiscomputer GmbH)
O4 - Startup: C:\Dokumente und Einstellungen\Praxis\Startmenü\Programme\Autostart\MovieStar.lnk = File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: SoftwareSASGeneration = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-4010990462-1443312003-2266705026-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-4010990462-1443312003-2266705026-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-21-4010990462-1443312003-2266705026-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O15 - HKU\S-1-5-21-4010990462-1443312003-2266705026-1005\..Trusted Domains: medistar ([]* in Lokales Intranet)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1242740508731 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1245330014088 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{6C8821ED-3C42-4D77-B03A-2735498D40E8}: NameServer = 192.168.100.66,0.0.0.0
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\50DDCD4DAC3F3E9D5059.exe) - C:\WINDOWS\system32\50DDCD4DAC3F3E9D5059.exe (cola coca cia)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\FSC.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\FSC.bmp
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.05.17 02:59:23 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

========== Files/Folders - Created Within 30 Days ==========

[2012.05.14 19:32:00 | 000,595,456 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Praxis\Desktop\OTL.exe
[2012.05.14 19:16:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Emsisoft Anti-Malware
[2012.05.14 19:16:22 | 000,000,000 | ---D | C] -- C:\Programme\Emsisoft Anti-Malware
[2012.05.14 19:16:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Praxis\Eigene Dateien\Anti-Malware
[2012.05.14 17:21:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Praxis\Anwendungsdaten\Fcyyf
[2012.05.14 17:21:42 | 000,159,744 | -H-- | C] (cola coca cia) -- C:\WINDOWS\System32\50DDCD4DAC3F3E9D5059.exe
[2012.05.08 08:46:46 | 000,419,488 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2012.05.08 08:46:46 | 000,070,304 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2012.04.20 17:02:34 | 000,000,000 | ---D | C] -- C:\Programme\MOVIESTAR
[2012.04.20 17:02:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CG
[2012.04.20 16:18:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Praxis\Oracle
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2012.05.14 19:32:03 | 000,595,456 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Praxis\Desktop\OTL.exe
[2012.05.14 19:16:52 | 000,000,744 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Emsisoft Anti-Malware.lnk
[2012.05.14 19:02:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012.05.14 18:56:00 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.05.14 18:55:38 | 000,000,245 | ---- | M] () -- C:\WINDOWS\dscm.INI
[2012.05.14 18:54:16 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.05.14 18:53:45 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.05.14 18:53:40 | 1877,454,848 | -HS- | M] () -- C:\hiberfil.sys
[2012.05.14 18:49:57 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.05.14 17:26:09 | 000,412,160 | ---- | M] () -- C:\locked-WXpNorm303tb.dot.apap
[2012.05.14 17:24:56 | 000,161,792 | ---- | M] () -- C:\locked-FritzFax.dot.kwkw
[2012.05.14 17:24:49 | 000,221,184 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Eigene Dateien\locked-VerknuepfungenErstellen.exe.lpap
[2012.05.14 17:24:32 | 000,498,346 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Eigene Dateien\locked-screensaver-app.exe.yfyf
[2012.05.14 17:24:32 | 000,294,912 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Eigene Dateien\locked-rmnwcnf.exe.yywk
[2012.05.14 17:24:30 | 001,962,544 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Eigene Dateien\locked-install_flash_player_ax.exe.slsl
[2012.05.14 17:24:30 | 000,884,736 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Eigene Dateien\locked-HLTransPlus.exe.nono
[2012.05.14 17:24:30 | 000,593,920 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Eigene Dateien\locked-NetConfig.exe.rgrg
[2012.05.14 17:24:30 | 000,536,576 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Eigene Dateien\locked-hlbak.exe.fdfd
[2012.05.14 17:24:30 | 000,413,696 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Eigene Dateien\locked-msvcp60.dll.wkwk
[2012.05.14 17:24:30 | 000,204,800 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Eigene Dateien\locked-NetShareInfo2.dll.slsl
[2012.05.14 17:24:30 | 000,200,704 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Eigene Dateien\locked-NetShareInfo.dll.uvuv
[2012.05.14 17:24:29 | 002,977,792 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Eigene Dateien\locked-glwin.exe.ycyc
[2012.05.14 17:24:29 | 001,527,894 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Eigene Dateien\locked-fbembedded.dll.xtxt
[2012.05.14 17:24:29 | 000,622,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Eigene Dateien\locked-GlCom2.dll.lsls
[2012.05.14 17:24:29 | 000,614,400 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Eigene Dateien\locked-GlCom.dll.elel
[2012.05.14 17:24:29 | 000,356,439 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Eigene Dateien\locked-fbclient.dll.qjqj
[2012.05.14 17:24:28 | 001,045,128 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Eigene Dateien\locked-dbghelp.dll.hnhn
[2012.05.14 17:24:28 | 000,217,088 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Eigene Dateien\locked-Deinstallieren.exe.hnhn
[2012.05.14 17:23:53 | 000,022,246 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Anwendungsdaten\locked-medistarrc.slsl
[2012.05.14 17:23:53 | 000,022,246 | ---- | M] () -- C:\Dokumente und Einstellungen\Praxis\Anwendungsdaten\locked-medistarrc org.hnhn
[2012.05.14 17:21:42 | 000,159,744 | -H-- | M] (cola coca cia) -- C:\WINDOWS\System32\50DDCD4DAC3F3E9D5059.exe
[2012.05.14 10:11:37 | 000,000,283 | ---- | M] () -- C:\WINDOWS\MSTV200.INI
[2012.05.11 21:50:50 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323
[2012.05.11 21:50:40 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322
[2012.05.11 21:50:32 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321
[2012.05.11 21:50:22 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320
[2012.05.10 08:00:23 | 000,267,800 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.05.09 18:47:40 | 000,463,098 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.05.09 18:47:40 | 000,444,600 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.05.09 18:47:40 | 000,085,970 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.05.09 18:47:40 | 000,072,476 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.05.09 18:45:19 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012.05.08 08:46:46 | 000,419,488 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2012.05.08 08:46:46 | 000,070,304 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2012.05.03 13:26:29 | 007,782,500 | ---- | M] () -- C:\WINDOWS\RRSURF00.DAT
[2012.05.03 13:26:29 | 000,001,664 | ---- | M] () -- C:\WINDOWS\RRDISPLAY.DAT
[2012.04.26 18:38:10 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh325
[2012.04.26 18:37:48 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh324
[2012.04.20 17:03:15 | 000,000,755 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\MOVIESTAR Schnittstellenprogramm.lnk
[2012.04.20 09:24:34 | 000,000,321 | ---- | M] () -- C:\WINDOWS\00000000-00-VW.INI
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2012.05.14 19:16:52 | 000,000,744 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Emsisoft Anti-Malware.lnk
[2012.05.14 17:22:21 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325
[2012.05.14 17:22:21 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012.05.14 17:22:21 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012.05.14 17:22:21 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012.05.14 17:22:21 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012.05.14 17:22:21 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320
[2012.05.08 08:46:48 | 000,000,884 | ---- | C] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012.04.20 17:03:15 | 000,000,755 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\MOVIESTAR Schnittstellenprogramm.lnk
[2012.02.15 16:20:26 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll

< End of report >

und die Quarantäneliste von Emsisoft

Emsisoft Anti-Malware v. 6.5.0.11
(C) 2003-2012 Emsisoft - www.emsisoft.com

ID Object
0 C:\WINDOWS\Installer\a6f9a.msi Trojan.Win32.Meredrop!E2
1 C:\WINDOWS\system32\50DDCD4DAC3F3E9D5059.exe Trojan-Ransom.Win32.Gimemo!E2
2 c:\windows\system32\winsh320 Trace.File.winlock.gma!E1
3 c:\windows\system32\winsh324 Trace.File.winlock.gma!E1
4 c:\windows\system32\winsh321 Trace.File.winlock.gma!E1
5 c:\windows\system32\winsh323 Trace.File.winlock.gma!E1
6 c:\windows\system32\winsh322 Trace.File.winlock.gma!E1

Vielen Dank schon vorab für die Hilfe.

cosinus · 15.05.2012, 09:24

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

Almer · 15.05.2012, 15:33

Malwarebytes Anti-Malware (Test) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.05.15.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Praxis :: SPRECHZIMMER2 [Administrator]

Schutz: Aktiviert

15.05.2012 13:15:26
mbam-log-2012-05-15 (13-15-26).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 257087
Laufzeit: 27 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\50DDCD4DAC3F3E9D5059.exe,) Gut: (userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Dokumente und Einstellungen\Praxis\Anwendungsdaten\Fcyyf\60191E51AC3F3E9D7AFD.exe (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Praxis\Lokale Einstellungen\Temp\lglpealpea.pre (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Praxis\Lokale Einstellungen\Temp\lpealpealp.pre (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{C95E62D4-8392-4B8F-9246-A44DFF2247FA}\RP1\A0002009.exe (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\update64\1E7298~1.EXE (Spyware.Password) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Code:

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# IEXPLORE.EXE=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=0170f5a929569049b4f06cc0a5802fc6
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-15 03:24:39
# local_time=2012-05-15 05:24:39 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 176 176 0 0
# scanned=51068
# found=0
# cleaned=0
# scan_time=2790

cosinus · 15.05.2012, 19:40

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Almer · 21.05.2012, 08:49

Habe bisher noch nie mit Malware gescant, habe also auch keine weiteren Log dateien.
Jetzt sind viele Dateien locked so das Word nicht mehr funktioniert.
Wie werd ich das wieder los?

Vielen Dank

cosinus · 21.05.2012, 09:35

Zitat:

Jetzt sind viele Dateien locked so das Word nicht mehr funktioniert.

Zum Thema Entschlüsselung gibt es hier genug Hinweise

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

15.05.2012, 19:40	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verschlüsselungs-Trojaner Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt? Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind. __________________ Logfiles bitte immer in CODE-Tags posten

Verschlüsselungs-Trojaner

Log-Analyse und Auswertung: Verschlüsselungs-Trojaner