Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 08.06.2012, 17:45   #1
thebrain
 
Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt - Standard

Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt



Hallo zusammen,

ein Bekannter hat diese Malware auf seinem PC wüten lassen. Er ist ein Anfänger, leider. Glücklicherweise hat er mit seiner Benutzerkennung ohne Adminrechte gearbeitet.

System ist WinXP pro SP3

Ergebnis:
Viele seiner Datendateien haben einen Dateinamen a la "DupQGyOpEGeOVEJe", der Inhalt ist nicht nutzbar.
Die Malware wurde mit Malwarebytes erkannt und entfernt. Habe jedoch die EXE und die zugehörige PF vorher gesichert.

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Qnfbe\
2A8075E4F02BB859F98D.exe

Seltsam daran, dass ich in der Registry diesen Dateinamen nicht fand.
Der Aufruf scheint indirekt zu erfolgen.

Hatte einen Post gelesen, dass jemand Zeit, Urlaub und einen Debugger hat.

Gemäss Kerckhoff müsste doch der Algorithmus und der Schlüssel zu finden sein.

Habe alle 8 Tools versucht, um die Dateien zu entschlüsseln, ohne Erfolg.

Habe jedoch 8 WAV Dateien, sowohl verschlüsselt als auch unverschlüsselt, entdecken können. Die gehören zu einer installierten Software. Die Dateigrössen wurden augenscheinlich nicht verändert.
Weiterhin 12 Dateien aus ***\vorlagen sowie administrator\vorlagen.

Das sollte doch für eine Debugger-Sitzung ein Anreiz sein.

Wer möchte die Dateien für Versuche haben?

Werde jetzt mal die Standardinfos erzeugen. d.h. defogger, otl etc.
gemäss http://www.trojaner-board.de/69886-a...-beachten.html

- -
May the source be with you...

otl.txt
Code:
ATTFilter
test1
test2
         
otl.txt
OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 08.06.2012 19:04:05 - Run 1
OTL by OldTimer - Version 3.2.47.0     Folder = E:\Service\trojaner-board2\02_otl
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,61 Gb Available Physical Memory | 80,68% Memory free
2,85 Gb Paging File | 2,50 Gb Available in Paging File | 87,73% Paging File free
Paging file location(s): C:\pagefile.sys 5 5D:\pagefile.sys 1023 1023 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,06 Gb Total Space | 26,87 Gb Free Space | 68,80% Space Free | Partition Type: NTFS
Drive D: | 15,62 Gb Total Space | 12,24 Gb Free Space | 78,35% Space Free | Partition Type: NTFS
Drive E: | 876,82 Gb Total Space | 850,05 Gb Free Space | 96,95% Space Free | Partition Type: NTFS
Drive F: | 153,38 Gb Total Space | 150,94 Gb Free Space | 98,41% Space Free | Partition Type: NTFS
Drive H: | 15,63 Gb Total Space | 3,06 Gb Free Space | 19,58% Space Free | Partition Type: NTFS
Drive I: | 7,81 Gb Total Space | 7,75 Gb Free Space | 99,22% Space Free | Partition Type: NTFS
Drive J: | 88,34 Gb Total Space | 86,01 Gb Free Space | 97,36% Space Free | Partition Type: NTFS
 
Computer Name: **** | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.06.08 18:52:06 | 000,595,456 | ---- | M] (OldTimer Tools) -- E:\Service\trojaner-board2\02_otl\OTL.exe
PRC - [2012.06.03 23:37:31 | 006,003,000 | ---- | M] (Doctor Web, Ltd.) -- E:\Programme\DrWeb\spideragent.exe
PRC - [2012.06.03 23:37:26 | 002,117,944 | ---- | M] (Doctor Web, Ltd.) -- E:\Programme\DrWeb\dwnetfilter.exe
PRC - [2012.06.03 23:37:23 | 001,577,272 | ---- | M] (Doctor Web, Ltd.) -- E:\Programme\DrWeb\dwservice.exe
PRC - [2012.06.03 23:37:19 | 001,898,920 | ---- | M] (Doctor Web, Ltd.) -- C:\Programme\Gemeinsame Dateien\Doctor Web\Scanning Engine\dwengine.exe
PRC - [2012.05.29 13:09:52 | 001,528,672 | ---- | M] (TuneUp Software) -- E:\Programme\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe
PRC - [2012.05.29 13:09:52 | 001,220,960 | ---- | M] (TuneUp Software) -- E:\Programme\TuneUp Utilities 2012\TuneUpUtilitiesApp32.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2003.09.16 21:56:02 | 000,798,772 | ---- | M] (AHEAD Software) -- C:\Programme\Ahead\InCD\incdsrv.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2009.02.27 17:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU
MOD - [2005.12.14 08:51:00 | 000,466,944 | ---- | M] () -- C:\WINDOWS\system32\nvshell.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper) getPlus(R)
SRV - [2012.06.03 23:37:26 | 002,117,944 | ---- | M] (Doctor Web, Ltd.) [Auto | Running] -- E:\Programme\DrWeb\dwnetfilter.exe -- (DrWebNetFilter)
SRV - [2012.06.03 23:37:23 | 001,577,272 | ---- | M] (Doctor Web, Ltd.) [Auto | Running] -- E:\Programme\DrWeb\dwservice.exe -- (DrWebAVService)
SRV - [2012.06.03 23:37:19 | 001,898,920 | ---- | M] (Doctor Web, Ltd.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Doctor Web\Scanning Engine\dwengine.exe -- (DrWebEngine) Dr.Web Scanning Engine (DrWebEngine)
SRV - [2012.05.29 13:09:52 | 001,528,672 | ---- | M] (TuneUp Software) [Auto | Running] -- E:\Programme\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe -- (TuneUp.UtilitiesSvc)
SRV - [2012.05.05 20:54:40 | 000,257,696 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2011.10.27 11:34:30 | 000,718,384 | ---- | M] (Nokia) [On_Demand | Stopped] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2003.09.16 21:56:02 | 000,798,772 | ---- | M] (AHEAD Software) [Auto | Running] -- C:\Programme\Ahead\InCD\incdsrv.exe -- (InCDsrv)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2012.06.03 23:37:35 | 000,214,360 | ---- | M] (Doctor Web, Ltd.) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\dwprot.sys -- (DwProt)
DRV - [2012.06.03 23:37:29 | 000,167,128 | ---- | M] (Doctor Web, Ltd.) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\spiderg3.sys -- (SpiderG3)
DRV - [2012.06.03 23:37:27 | 000,057,048 | ---- | M] (Doctor Web, Ltd.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\dw_wfp.sys -- (DrWebWfp)
DRV - [2012.05.08 15:21:42 | 000,010,064 | ---- | M] (TuneUp Software) [Kernel | On_Demand | Running] -- E:\Programme\TuneUp Utilities 2012\TuneUpUtilitiesDriver32.sys -- (TuneUpUtilitiesDrv)
DRV - [2011.08.17 14:03:58 | 000,137,472 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmwcdnsu.sys -- (nmwcdnsu)
DRV - [2011.08.17 14:03:50 | 000,008,576 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmwcdnsuc.sys -- (nmwcdnsuc)
DRV - [2011.08.17 13:56:32 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - [2011.08.17 13:56:30 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2011.08.17 13:56:26 | 000,023,168 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - [2011.08.17 13:56:22 | 000,018,176 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmb.sys -- (nmwcd)
DRV - [2009.04.30 00:37:26 | 000,025,088 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\KMWDFilter.SYS -- (KMWDFilter)
DRV - [2009.02.17 10:55:54 | 005,026,816 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008.09.25 15:51:42 | 000,115,328 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2008.08.26 11:26:12 | 000,018,816 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\pccsmcfd.sys -- (pccsmcfd)
DRV - [2008.08.05 14:10:12 | 001,684,736 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2008.04.13 20:46:22 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mpe.sys -- (MPE)
DRV - [2007.04.13 09:20:46 | 000,024,064 | ---- | M] (REALTEK SEMICONDUCTOR Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL2831UUSB.sys -- (RTL2831UUSB)
DRV - [2007.04.13 09:04:30 | 000,062,720 | ---- | M] (REALTEK SEMICONDUCTOR Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL2831UBDA.sys -- (RTL2831UBDA)
DRV - [2006.07.02 00:30:28 | 000,043,520 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)
DRV - [2006.01.04 09:41:48 | 001,389,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2005.12.23 23:54:06 | 000,210,304 | ---- | M] (ULi Electronics Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\m5288.sys -- (m5288)
DRV - [2005.12.12 21:12:01 | 000,049,664 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfsync04.sys -- (sfsync04) StarForce Protection Synchronization Driver (version 4.x)
DRV - [2005.08.10 14:44:04 | 000,050,688 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfdrv01.sys -- (sfdrv01) StarForce Protection Environment Driver (version 1.x)
DRV - [2005.05.16 15:20:39 | 000,006,656 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfhlp02.sys -- (sfhlp02) StarForce Protection Helper Driver (version 2.x)
DRV - [2005.03.22 14:36:40 | 000,028,672 | ---- | M] (ULi Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ULILAN51.SYS -- (ULI5261XP)
DRV - [2003.09.16 21:57:48 | 000,028,688 | ---- | M] (Ahead Software) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\incdpass.sys -- (InCDPass)
DRV - [2003.09.16 21:57:38 | 000,005,328 | ---- | M] (Ahead Software AG) [Recognizer | System | Unknown] -- C:\WINDOWS\System32\drivers\incdrec.sys -- (InCDrec)
DRV - [2003.09.16 21:57:34 | 000,088,800 | ---- | M] (Ahead Software) [File_System | Disabled | Running] -- C:\WINDOWS\System32\drivers\incdfs.sys -- (InCDfs)
DRV - [2003.08.21 16:56:36 | 000,025,520 | ---- | M] (Ahead Software AG) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\incdrm.sys -- (incdrm)
DRV - [2003.03.21 13:34:08 | 000,009,856 | ---- | M] (Padus, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pfc.sys -- (pfc)
DRV - [2002.07.19 10:10:20 | 000,006,656 | ---- | M] (Sonic Solutions) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\cinemsup.sys -- (Cinemsup)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\..\SearchScopes,DefaultScope = {F77FE77F-7B72-47F0-BF74-A38BB5DB3237}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{F77FE77F-7B72-47F0-BF74-A38BB5DB3237}: "URL" = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8&rlz=1I7SUNC_de
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pack.google.com/Google Updater;version=14: C:\Programme\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll (Google)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@zylom.com/ZylomGamesPlayer: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll File not found
FF - HKLM\Software\MozillaPlugins\Adobe Reader: E:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\fe_7.0@nokia.com: C:\Programme\Nokia\Nokia Suite\Connectors\Bookmarks Connector\FirefoxExtension_7.0 [2011.12.15 20:11:55 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\te_7.0@nokia.com: C:\Programme\Nokia\Nokia Suite\Connectors\Thunderbird Connector\ThunderbirdExtension_7.0 [2011.12.15 20:11:51 | 000,000,000 | ---D | M]
 
 
O1 HOSTS File: ([2012.06.05 18:23:58 | 000,000,734 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.5.0_09\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [SpIDerAgent] E:\Programme\DrWeb\spideragent.exe (Doctor Web, Ltd.)
O4 - HKLM..\Run: [SW20] C:\WINDOWS\system32\sw20.exe ()
O4 - HKLM..\Run: [SW24] C:\WINDOWS\system32\sw24.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispCPL = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_09\bin\NPJPI150_09.dll (Sun Microsystems, Inc.)
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} https://account.maxdome.de/presentation/script/HWTest.CAB (HWTest.HWTestControl)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228845772890 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab (Java Plug-in 1.5.0_09)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} hxxp://game02.zylom.com/activex/zylomgamesplayer.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab (Java Plug-in 1.5.0_09)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab (Java Plug-in 1.5.0_09)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8EF5C62A-898D-43DF-8474-54170D2AFD85}: NameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.12.07 10:09:44 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006.12.07 10:09:44 | 000,000,000 | ---- | M] () - H:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.06.03 23:47:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Doctor Web
[2012.06.03 23:47:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Dr.Web
[2012.06.03 23:37:35 | 000,214,360 | ---- | C] (Doctor Web, Ltd.) -- C:\WINDOWS\System32\drivers\dwprot.sys
[2012.06.03 23:37:29 | 000,167,128 | ---- | C] (Doctor Web, Ltd.) -- C:\WINDOWS\System32\drivers\spiderg3.sys
[2012.06.03 23:37:27 | 000,057,048 | ---- | C] (Doctor Web, Ltd.) -- C:\WINDOWS\System32\drivers\dw_wfp.sys
[2012.06.03 23:37:14 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Doctor Web
[2012.06.03 23:36:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Doctor Web
[2012.06.03 22:18:36 | 000,031,584 | ---- | C] (TuneUp Software) -- C:\WINDOWS\System32\TURegOpt.exe
[2012.06.03 22:18:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TuneUp Utilities 2012
[2012.06.03 22:16:47 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{32364CEA-7855-4A3C-B674-53D8E9B97936}
[2012.06.03 22:16:46 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Files
[2012.06.03 22:15:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software
[2012.06.03 21:39:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\DoctorWeb
[2012.06.03 19:41:46 | 000,000,000 | ---D | C] -- C:\WINDOWS\VDLL.DLL.gero2
[2012.06.03 19:41:46 | 000,000,000 | ---D | C] -- C:\WINDOWS\rundll16.exe.gero
[2012.06.03 19:41:46 | 000,000,000 | ---D | C] -- C:\WINDOWS\RUNDL132.EXE.gero2
[2012.06.03 19:41:46 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo1_.exe.gero3
[2012.06.03 19:41:46 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo_1.exe.gero2
[2012.05.31 22:47:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\VDLL.DLL.gero
[2012.05.31 22:47:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\runouce.exe
[2012.05.31 22:47:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\RUNDL132.EXE.gero
[2012.05.31 22:47:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo_1.exe.gero
[2012.05.31 22:37:24 | 000,034,048 | ---- | C] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2012.05.31 22:37:19 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\MicroWorld
[2012.05.31 22:37:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
[2012.05.31 20:30:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
[2012.05.31 20:30:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.05.31 20:06:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TeamViewer
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.06.08 19:02:24 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2012.06.08 18:53:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012.06.08 18:45:00 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.06.08 17:54:37 | 000,249,324 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2012.06.08 17:54:29 | 000,000,053 | ---- | M] () -- C:\biosinfo
[2012.06.08 17:54:08 | 000,012,598 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.06.08 17:54:07 | 000,001,082 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.06.08 17:42:03 | 000,002,048 | ---- | M] () -- C:\WINDOWS\bootstat.dat
[2012.06.06 22:21:00 | 000,000,484 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2012.06.03 23:47:33 | 000,000,274 | ---- | M] () -- C:\WINDOWS\tasks\Dr.Web Daily scan.job
[2012.06.03 23:47:32 | 000,000,595 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Dr.Web Scanner.lnk
[2012.06.03 23:37:35 | 000,214,360 | ---- | M] (Doctor Web, Ltd.) -- C:\WINDOWS\System32\drivers\dwprot.sys
[2012.06.03 23:37:29 | 000,167,128 | ---- | M] (Doctor Web, Ltd.) -- C:\WINDOWS\System32\drivers\spiderg3.sys
[2012.06.03 23:37:27 | 000,057,048 | ---- | M] (Doctor Web, Ltd.) -- C:\WINDOWS\System32\drivers\dw_wfp.sys
[2012.06.03 22:22:30 | 000,000,064 | ---- | M] () -- C:\WINDOWS\System32\rp_stats.dat
[2012.06.03 22:22:30 | 000,000,044 | ---- | M] () -- C:\WINDOWS\System32\rp_rules.dat
[2012.06.03 22:18:33 | 000,000,798 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TuneUp Utilities 2012.lnk
[2012.06.03 21:10:52 | 000,857,726 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\pinfect.zip
[2012.06.03 19:40:42 | 000,000,056 | ---- | M] () -- C:\WINDOWS\Lic.xxx
[2012.05.31 22:37:23 | 000,034,048 | ---- | M] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2012.05.31 22:37:14 | 000,000,357 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\MWAVSCAN.lnk
[2012.05.31 22:09:18 | 000,000,472 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Verknüpfung mit TeamViewerQS.exe.lnk
[2012.05.31 20:29:21 | 000,464,216 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.05.31 20:29:21 | 000,435,410 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.05.31 20:29:21 | 000,086,228 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.05.31 20:29:21 | 000,069,400 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.05.31 16:38:57 | 000,102,400 | ---- | M] () -- C:\WINDOWS\RegBootClean.exe
[2012.05.30 13:20:09 | 000,001,014 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2012.05.29 13:09:54 | 000,031,584 | ---- | M] (TuneUp Software) -- C:\WINDOWS\System32\TURegOpt.exe
[2012.05.10 00:25:21 | 000,154,768 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.05.09 23:24:54 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.06.08 19:02:24 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2012.06.03 23:47:33 | 000,000,274 | ---- | C] () -- C:\WINDOWS\tasks\Dr.Web Daily scan.job
[2012.06.03 23:47:32 | 000,000,595 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Dr.Web Scanner.lnk
[2012.06.03 22:22:30 | 000,000,064 | ---- | C] () -- C:\WINDOWS\System32\rp_stats.dat
[2012.06.03 22:22:30 | 000,000,044 | ---- | C] () -- C:\WINDOWS\System32\rp_rules.dat
[2012.06.03 22:18:33 | 000,000,798 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TuneUp Utilities 2012.lnk
[2012.06.03 22:18:32 | 000,000,798 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TuneUp Utilities 2012.lnk
[2012.05.31 23:15:22 | 000,857,726 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\pinfect.zip
[2012.05.31 22:37:49 | 000,000,056 | ---- | C] () -- C:\WINDOWS\Lic.xxx
[2012.05.31 22:37:14 | 000,000,357 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\MWAVSCAN.lnk
[2012.05.31 22:09:18 | 000,000,472 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Verknüpfung mit TeamViewerQS.exe.lnk
[2012.02.16 13:21:56 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.03.17 23:17:19 | 000,000,036 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache
[2011.01.18 15:57:34 | 000,102,400 | ---- | C] () -- C:\WINDOWS\RegBootClean.exe
 
========== LOP Check ==========
 
[2010.11.11 12:45:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PC Suite
[2012.05.31 20:07:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TeamViewer
[2012.06.03 22:18:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
[2009.07.04 10:30:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AdventureChronicles1
[2010.07.15 08:33:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alawar Entertainment
[2010.10.25 19:39:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alawar Stargaze
[2008.01.16 13:57:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Aliasworlds
[2008.03.18 20:05:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Awem
[2008.12.07 21:05:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Broderbund Software
[2007.08.14 21:22:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2007.12.15 14:15:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cerasus.media
[2012.06.03 22:16:47 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Files
[2008.09.23 15:01:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cornelsen
[2008.11.25 00:50:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DivoGames
[2012.06.03 23:37:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Doctor Web
[2008.03.08 18:27:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Farm Frenzy
[2010.05.26 12:12:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FarmFrenzy-PizzaParty
[2008.11.08 14:42:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FarmFrenzy2
[2012.05.31 18:02:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FarmFrenzy3
[2012.05.31 18:02:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FarmFrenzy3_America
[2012.05.31 18:02:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FarmFrenzy3_Arctica
[2012.05.31 18:02:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FarmFrenzy3_Russia
[2010.08.11 17:28:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fenomen Games
[2008.11.14 21:12:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreshGames
[2009.01.02 15:40:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fugazo
[2008.06.15 21:56:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GameHouse
[2010.05.19 14:18:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GOA
[2009.05.23 22:03:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Gogii
[2009.12.22 15:17:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HipSoft
[2009.08.09 22:29:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HoverBee Studios
[2009.10.07 16:03:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IntDreams
[2008.08.25 14:08:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Intenium
[2010.02.22 11:26:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iWin
[2010.04.24 13:23:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\JollyBear
[2010.07.16 10:16:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kingdom
[2008.03.03 08:22:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Meine Spiele
[2012.05.31 22:37:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
[2012.05.31 18:02:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MonteCristo
[2009.11.10 16:03:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MumboJumbo
[2009.05.29 18:45:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mushroom Age
[2008.10.26 15:45:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MythPeople
[2007.11.25 15:20:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NeptunesAdve
[2011.12.15 20:11:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nokia
[2010.11.06 17:24:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NokiaInstallerCache
[2009.04.23 17:59:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Drivers HeadQuarters
[2010.11.06 17:35:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2008.12.14 15:47:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
[2008.05.31 10:34:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayPond
[2010.10.13 13:56:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Playrix Entertainment
[2010.03.10 11:16:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PoBros
[2008.12.07 21:19:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Riverdeep Interactive Learning Limited
[2007.05.04 18:41:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Runic
[2009.06.07 22:40:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sandlot Games
[2008.08.25 14:08:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScreenSeven
[2012.05.31 18:02:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecretsOfOlympus
[2008.03.29 18:32:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SpinTop Games
[2008.09.13 10:46:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SugarGames
[2010.11.03 12:27:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SulusGames
[2012.05.31 18:02:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tages.gero
[2010.11.17 15:33:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2007.09.16 14:20:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TERMINAL Studio
[2012.06.03 22:18:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2009.07.09 17:52:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VirtualFarm
[2009.03.27 12:18:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
[2008.09.19 12:01:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wtupwdyr.gero
[2007.04.07 20:59:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
[2012.05.31 18:02:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{20B72E17-2772-4AD4-85B1-7F90ADB2C60A}
[2012.06.03 22:16:47 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{32364CEA-7855-4A3C-B674-53D8E9B97936}
[2012.06.06 22:21:00 | 000,000,484 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
[2012.06.03 23:47:33 | 000,000,274 | ---- | M] () -- C:\WINDOWS\Tasks\Dr.Web Daily scan.job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 144 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:78E0DF72
@Alternate Data Stream - 129 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:4673E9EA

< End of report >
         
--- --- ---

[/code]


extras.txt
OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 08.06.2012 19:04:05 - Run 1
OTL by OldTimer - Version 3.2.47.0     Folder = E:\Service\trojaner-board2\02_otl
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,61 Gb Available Physical Memory | 80,68% Memory free
2,85 Gb Paging File | 2,50 Gb Available in Paging File | 87,73% Paging File free
Paging file location(s): C:\pagefile.sys 5 5D:\pagefile.sys 1023 1023 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,06 Gb Total Space | 26,87 Gb Free Space | 68,80% Space Free | Partition Type: NTFS
Drive D: | 15,62 Gb Total Space | 12,24 Gb Free Space | 78,35% Space Free | Partition Type: NTFS
Drive E: | 876,82 Gb Total Space | 850,05 Gb Free Space | 96,95% Space Free | Partition Type: NTFS
Drive F: | 153,38 Gb Total Space | 150,94 Gb Free Space | 98,41% Space Free | Partition Type: NTFS
Drive H: | 15,63 Gb Total Space | 3,06 Gb Free Space | 19,58% Space Free | Partition Type: NTFS
Drive I: | 7,81 Gb Total Space | 7,75 Gb Free Space | 99,22% Space Free | Partition Type: NTFS
Drive J: | 88,34 Gb Total Space | 86,01 Gb Free Space | 97,36% Space Free | Partition Type: NTFS
 
Computer Name: ***** | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "E:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "E:\Programme\Microsoft Office\Office\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "E:\Programme\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "E:\Programme\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"E:\Spiele\Anno1404\Anno4.exe" = E:\Spiele\Anno1404\Anno4.exe:*:Enabled:ANNO 1404 -- (Related Designs)
"E:\Spiele\Anno1404\tools\Anno4Web.exe" = E:\Spiele\Anno1404\tools\Anno4Web.exe:*:Enabled:Anno 1404 Web -- ()
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{0513EE35-E0FB-4166-B663-BD1AE3A803DE}" = Anno 1404
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4300" = Canon iP4300
"{1E04F83B-2AB9-4301-9EF7-E86307F79C72}" = Google Earth
"{26792CA7-D87A-4DBE-896B-C2F66B344511}" = Sonic CinePlayer
"{2934DCB0-F8EE-11E0-A4A5-B8AC6F97B88E}" = Google Earth Plug-in
"{32364CEA-7855-4A3C-B674-53D8E9B97936}" = TuneUp Utilities 2012
"{3248F0A8-6813-11D6-A77B-00B0D0150090}" = J2SE Runtime Environment 5.0 Update 9
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3D9CF3CA-3AB0-4A82-9853-D7C43FD1D775}" = ANNO 1404
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{55EB7967-5BB1-4EA2-8AFF-B2F9E487E553}" = PC Connectivity Solution
"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{8B3E5A90-1F6E-4FAF-B84F-C306C8A80809}" = AeroFly Professional Deluxe (inkl. StarFlight AddOn)
"{90AF0407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office PowerPoint Viewer 2003
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A95000000001}" = Adobe Reader 9.5.0 - Deutsch
"{ADC0CCEA-13E8-4E18-8CBC-5F8B4FE2B557}_is1" = freundin - Build It! Miami Beach Resort
"{AF111648-99A1-453E-81DD-80DBBF6DAD0D}" = MSVC90_x86
"{AF88496B-4BBA-4922-97E9-2582D3A28358}" = Nokia Connectivity Cable Driver
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C151CE54-E7EA-4804-854B-F515368B0798}" = AMD Processor Driver
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE026CFE-73FE-4FED-9D5F-2C8D4DB512B0}" = TuneUp Utilities Language Pack (de-DE)
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D60BE3E5-953A-47A4-9071-9DB457FF803D}" = Ligawettkämpfe für Vereine
"{D78AACDD-46DD-433B-BA16-4D71DA4A63EC}" = Dr.Web anti-virus for Windows 7.0
"{DB24A9E5-A068-43DD-88D0-B51BED3C0B99}" = Nokia Suite
"{E3B64CC5-C011-40C0-92BC-7316CD5E5688}" = Microsoft_VC100_CRT_SP1_x86
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{FDC53DC6-137A-4541-BFA2-A9BAE4A7FE99}" = ULi Chipset Driver
"504244733D18C8F63FF584AEB290E3904E791693" = Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Canon Setup Utility 2.3" = Canon Setup Utility 2.3
"Easy-PhotoPrint" = Canon Utilities Easy-PhotoPrint
"Easy-PrintToolBox" = Canon Utilities Easy-PrintToolBox
"Foxit PDF Editor" = Foxit PDF Editor
"Foxit Reader" = Foxit Reader
"Google Updater" = Google Updater
"ie8" = Windows Internet Explorer 8
"InCD!UninstallKey" = Ahead InCD
"IrfanView" = IrfanView (remove only)
"MediaNavigation.CDLabelPrint" = CD-LabelPrint
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MRW!UninstallKey" = Ahead InCD EasyWrite Reader
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero OEM
"Nero BurnRights!UninstallKey" = Ahead Nero BurnRights
"NeroVision!UninstallKey" = NeroVision Express
"NMPUninstallKey" = NeroMediaPlayer
"Nokia Suite" = Nokia Suite
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"PowerArchiver" = PowerArchiver
"Primus" = Primus
"Shockwave" = Shockwave
"TuneUp Utilities 2012" = TuneUp Utilities 2012
"VLC media player" = VLC media player 1.1.11
"Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
"WebPost" = Microsoft Web Publishing Wizard 1.52
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Works" = Microsoft Works 4.5
"Works99Setup" = Microsoft Works Setup Launcher
"Wudf01009" = Microsoft User-Mode Driver Framework Feature Pack 1.9
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 09.05.2012 03:32:09 | Computer Name = ***** | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 09.05.2012 03:32:10 | Computer Name = ***** | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 31.05.2012 16:36:45 | Computer Name = ***** | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 31.05.2012 16:36:45 | Computer Name = ***** | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 03.06.2012 16:15:41 | Computer Name = ***** | Source = Lavasoft Ad-Aware Service | ID = 0
Description = 
 
Error - 03.06.2012 16:22:48 | Computer Name = ***** | Source = Lavasoft Ad-Aware Service | ID = 0
Description = 
 
[ System Events ]
Error - 03.06.2012 16:27:50 | Computer Name = ***** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 03.06.2012 16:35:46 | Computer Name = ***** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 05.06.2012 12:07:01 | Computer Name = ***** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 06.06.2012 14:01:30 | Computer Name = ***** | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.
 
Error - 06.06.2012 14:01:35 | Computer Name = ***** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 06.06.2012 14:01:35 | Computer Name = ***** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
 beendet:   %%2
 
Error - 07.06.2012 10:26:25 | Computer Name = ***** | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.
 
Error - 07.06.2012 10:26:28 | Computer Name = ***** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 07.06.2012 10:26:28 | Computer Name = ***** | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
 beendet:   %%2
 
Error - 08.06.2012 11:42:41 | Computer Name = ***** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
 
< End of report >
         
--- --- ---

[/code]

dds.txt - none
attach.txt - none

Alt 08.06.2012, 21:57   #2
thebrain
 
Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt - Standard

Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt



gmer.log hochgeladen
__________________


Alt 08.06.2012, 22:11   #3
thebrain
 
Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt - Standard

Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt



habe das Mistvieh und die zugehörige PF per Uploadchannel hochgeladen.

Habe das Exemplar an virus ät tb geschickt.

Evtl. habe ich bis heute abend die Originalemail mit dem Attachment.

Habe nun die Original Email als service1.zip hochgeladen und an virus ät tb geschickt.
Das ZIP enthält die *.eml und das Attachment buchung.zip

HTH
__________________

Alt 10.06.2012, 00:33   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt - Standard

Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt



Ohne die Logs von Malwarebytes und Co wird das hier nichts.
Alles von Malwarebytes (und evtl. anderen Scannern) muss hier gepostet werden.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         

Allgemeine Hinweise bzgl. des Verschlüsselungstrojaners:
Wann genau deine Daten entschlüsselt werden können wird dir niemand genau sagen können außer vllt einer es kann sein, dass du eine neuere Variante hast, deren Verschlüsselungsalgorithmus noch unbekannt ist. Sowas kann man (noch) nicht entschlüsseln und ohne Schlüssel schon garnicht - ist ja auch logisch, sonst wär es ja keine vernünftige Verschlüsselung
Einfach hier nochmal reinsehen in regelmäßigen Abständen, obige Hinweise beachten. 8 Tools mitsamt hunderten Diskussionsbeiträgen stehen da schon

Eine Notlösung für Vista und Win7-User => http://www.trojaner-board.de/115496-...erstellen.html

Entschlüsselungsversuche der verschlüsselten Dateien sind nur auf zusätzliche Kopien der verschlüsselten Dateien anzuwenden, sonst zerhackt man sich die noch weiter ohne die "original" verschlüsselte Datei mehr zu haben. Das willst du sicher nicht!


Man darf sich aber keine falschen Hoffnungen machen. Mittlerweile sieht es finster aus => Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt

Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.06.2012, 17:13   #5
thebrain
 
Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt - Standard

Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt



Hallo, sorry ,
hier die LOGs von Malwarebytes

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.31.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: FREY3 [Administrator]

Schutz: Aktiviert

31.05.2012 20:34:24
mbam-log-2012-05-31 (20-34-24).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 288489
Laufzeit: 28 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
D:\Temp\ms0cfg32.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
und MWTI eScan
Code:
ATTFilter
31 Mai 2012 22:47:32 - **********************************************************31 Mai 2012 22:47:32 - eScan Antivirus und Spyware Werkzeugsatz.31 Mai 2012 22:47:32 - Copyright © MicroWorld31 Mai 2012 22:47:32 - **********************************************************31 Mai 2012 22:47:32 - Source: E:\Service\mwti\mwav.exe31 Mai 2012 22:47:32 - Version 12.0.236 (D:\TEMP\MEXETMP.EX~)31 Mai 2012 22:47:32 - Logdatei: d:\Temp\MWAV.LOG31 Mai 2012 22:47:32 - MWAV Registered: TRUE31 Mai 2012 22:47:32 - User Account: Administrator (Administrator Mode)31 Mai 2012 22:47:32 - OS Type: Windows Workstation31 Mai 2012 22:47:32 - OS: Windows XP [OS Install Date: 07 Dec 2006 10:12:30]31 Mai 2012 22:47:32 - Ver: Service Pack 3 (Build 2600)31 Mai 2012 22:47:32 - System Up Time: 1 Hour, 6 Minutes, 50 Seconds31 Mai 2012 22:47:32 - Windows Root  Folder: C:\WINDOWS31 Mai 2012 22:47:32 - Windows Sys32 Folder: C:\WINDOWS\system3231 Mai 2012 22:47:33 - DHCP NameServer: 192.168.1.131 Mai 2012 22:47:33 - Interface0 DHCPNameServer: 192.168.1.131 Mai 2012 22:47:33 - Interface0 NameServer: 192.168.2.131 Mai 2012 22:47:33 - Local Fixed Drives: c:\,d:\,e:\,f:\,h:\,i:\,j:\31 Mai 2012 22:47:33 - MWAV Mode: Scan and Clean files (for viruses, adware and spyware)31 Mai 2012 22:47:33 - [CREATED ZIP FILE: d:\temp\pinfect.zip] 31 Mai 2012 22:47:33 - ********** Die in den letzten 14 Tagen im Windows- und ROOT-Ordner erstellten/modifizierten Dateien **********31 Mai 2012 22:47:34 - C:\WINDOWS\R.COM (153600), 31-May-2012, Microsoft Corporation, Betriebssystem Microsoft® Windows®31 Mai 2012 22:47:35 - C:\WINDOWS\RegBootClean.exe (102400), 31-May-2012 [Added C:\WINDOWS\RegBootClean.exe to ZIP FILE]31 Mai 2012 22:47:35 - C:\WINDOWS\system32\eEmpty.exe (34048), 31-May-2012, MicroWorld Technologies Inc., eScan For Windows31 Mai 2012 22:47:35 - C:\WINDOWS\system32\msvcp90.dll (572928), 31-May-2012, Microsoft Corporation, Microsoft® Visual Studio® 200831 Mai 2012 22:47:35 - C:\WINDOWS\system32\msvcr90.dll (655872), 31-May-2012, Microsoft Corporation, Microsoft® Visual Studio® 200831 Mai 2012 22:47:35 - C:\WINDOWS\system32\T.COM (140800), 31-May-2012, Microsoft Corporation, Betriebssystem Microsoft® Windows®31 Mai 2012 22:47:35 - C:\WINDOWS\system32\TASKMGR.COM (140800), 31-May-2012, Microsoft Corporation, Betriebssystem Microsoft® Windows®31 Mai 2012 22:47:36 - C:\directX3.dll (86016), 13-Feb-1601 [Added C:\directX3.dll to ZIP FILE]31 Mai 2012 22:47:36 - C:\mudGE.dll (245760), 13-Feb-1601 [Added C:\mudGE.dll to ZIP FILE]31 Mai 2012 22:47:36 - C:\pluginpack.dll (315392), 13-Feb-1601 [Added C:\pluginpack.dll to ZIP FILE]31 Mai 2012 22:47:36 - C:\wtnlib.dll (397312), 13-Feb-1601 [Added C:\wtnlib.dll to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Arabic.bin (21150), 31-May-2012 [Added d:\temp\Arabic.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\avcbd32.dll (166152), 31-May-2012, BitDefender S.R.L. Bucharest, ROMANIA, BitDefender® AntiVirus31 Mai 2012 22:47:36 - d:\temp\avccore.dll (272584), 31-May-2012, BitDefender S.R.L. Bucharest, ROMANIA, BitDefender® AntiVirus31 Mai 2012 22:47:36 - d:\temp\avcuf32.dll (458008), 31-May-2012, BitDefender S.R.L. Bucharest, ROMANIA, BitDefender® AntiVirus31 Mai 2012 22:47:36 - d:\temp\avcuf64.dll (507448), 31-May-2012, BitDefender S.R.L. Bucharest, ROMANIA, BitDefender® AntiVirus31 Mai 2012 22:47:36 - d:\temp\BACKUP.10899558.mexe.com (751432), 31-May-2012, MicroWorld Technologies Inc., MicroWorld AntiVirus Toolkit Utility (MWAV)31 Mai 2012 22:47:36 - d:\temp\bdc.exe (182792), 31-May-2012, BitDefender, BitDefender Console Scanner31 Mai 2012 22:47:36 - d:\temp\bdfltlib2k.dll (231944), 31-May-2012, MicroWorld Technologies Inc., eScan for Windows31 Mai 2012 22:47:36 - d:\temp\bdnimbus.dll (85256), 31-May-2012, BitDefender, bdnimbus.dll31 Mai 2012 22:47:36 - d:\temp\clean.bat (11), 31-May-2012 [Added d:\temp\clean.bat to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Czech.bin (24504), 31-May-2012 [Added d:\temp\Czech.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Danish.bin (22970), 31-May-2012 [Added d:\temp\Danish.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\DEVCON.EXE (61184), 31-May-2012, Microsoft Corporation, Microsoft® Windows® Operating System31 Mai 2012 22:47:36 - d:\temp\Dutch.bin (25943), 31-May-2012 [Added d:\temp\Dutch.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\eEmpty.exe (34048), 31-May-2012, MicroWorld Technologies Inc., eScan For Windows31 Mai 2012 22:47:36 - d:\temp\encdec.dll (215816), 31-May-2012, MicroWorld Technologies Inc., eScan/MailScan/eConceal31 Mai 2012 22:47:36 - d:\temp\English.bin (22118), 31-May-2012 [Added d:\temp\English.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\erootdrv.sys (22920), 31-May-2012, MicroWorld Technologies Inc., eScan/MWAV31 Mai 2012 22:47:36 - d:\temp\Finnish.bin (23040), 31-May-2012 [Added d:\temp\Finnish.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\French.bin (27425), 31-May-2012 [Added d:\temp\French.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Greek.bin (25278), 31-May-2012 [Added d:\temp\Greek.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Hebrew.bin (19700), 31-May-2012 [Added d:\temp\Hebrew.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Hungarian.bin (26282), 31-May-2012 [Added d:\temp\Hungarian.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Japanese.bin (24523), 31-May-2012 [Added d:\temp\Japanese.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Korean.bin (20307), 31-May-2012 [Added d:\temp\Korean.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Lithuanian.bin (25712), 31-May-2012 [Added d:\temp\Lithuanian.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\mexe.com (756552), 31-May-2012, MicroWorld Technologies Inc., MicroWorld AntiVirus Toolkit Utility (MWAV)31 Mai 2012 22:47:36 - d:\temp\msvclnt.dll (274696), 31-May-2012, MicroWorld Technologies Inc., MailScan31 Mai 2012 22:47:36 - d:\temp\msvcp90.dll (572928), 31-May-2012, Microsoft Corporation, Microsoft® Visual Studio® 200831 Mai 2012 22:47:36 - d:\temp\msvcr90.dll (655872), 31-May-2012, Microsoft Corporation, Microsoft® Visual Studio® 200831 Mai 2012 22:47:36 - d:\temp\mwavdwnl.exe (843016), 31-May-2012, MicroWorld Technologies Inc., eScan31 Mai 2012 22:47:36 - d:\temp\MWAVSCAN.COM (751432), 31-May-2012, MicroWorld Technologies Inc., MicroWorld AntiVirus Toolkit Utility (MWAV)31 Mai 2012 22:47:36 - d:\temp\NEventMessages.dll (1536), 31-May-2012 [Added d:\temp\NEventMessages.dll to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Norwegian.bin (22142), 31-May-2012 [Added d:\temp\Norwegian.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\NOSEventMessages.dll (1536), 31-May-2012 [Added d:\temp\NOSEventMessages.dll to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Polish.bin (24428), 31-May-2012 [Added d:\temp\Polish.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Portuguese(Brazil).bin (25276), 31-May-2012 [Added d:\temp\Portuguese(Brazil).bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Portuguese.bin (26464), 31-May-2012 [Added d:\temp\Portuguese.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\red32.dll (11016), 31-May-2012, Microsoft Corporation, Microsoft® Windows® Operating System31 Mai 2012 22:47:36 - d:\temp\Reload.exe (183048), 31-May-2012, MicroWorld Technologies Inc., eScan for Windows31 Mai 2012 22:47:36 - d:\temp\Russian.bin (26314), 31-May-2012 [Added d:\temp\Russian.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\setpriv.exe (82184), 31-May-2012, MicroWorld Technologies Inc., eScan AntiVirus Toolkit Utility31 Mai 2012 22:47:36 - d:\temp\SimChin.bin (16540), 31-May-2012 [Added d:\temp\SimChin.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Slovenian.bin (24100), 31-May-2012 [Added d:\temp\Slovenian.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Spanish.bin (27968), 31-May-2012 [Added d:\temp\Spanish.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\SWEDISH.bin (24270), 31-May-2012 [Added d:\temp\SWEDISH.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Thai.bin (22149), 31-May-2012 [Added d:\temp\Thai.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\TradChin.bin (17090), 31-May-2012 [Added d:\temp\TradChin.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\Turkish.bin (22436), 31-May-2012 [Added d:\temp\Turkish.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\unregx.exe (92936), 31-May-2012, MicroWorld Technologies Inc., MicroWorld AntiVirus Toolkit Utility31 Mai 2012 22:47:36 - d:\temp\update.bin (4), 31-May-2012 [Added d:\temp\update.bin to ZIP FILE]31 Mai 2012 22:47:36 - d:\temp\UPDLL10.DLL (1114888), 31-May-2012, MicroWorld Technologies Inc., eScan/MailScan/MWAV31 Mai 2012 22:47:36 - d:\temp\viewtcp.exe (575752), 31-May-2012, MicroWorld Technologies Inc., ViewTCP 31 Mai 2012 22:47:36 - C:\WINDOWS\$hf_mig$, 07-Dec-2006 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\$MSI31Uninstall_KB893803v2$, 07-Dec-2006 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\$NtUninstallMSCompPackV1$, 14-Jan-2007 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\$NtUninstallWdf01009$, 06-Nov-2010 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\$NtUninstallWMFDist11$, 14-Jan-2007 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\$NtUninstallwmp11$, 14-Jan-2007 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\$NtUninstallWudf01000$, 14-Jan-2007 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\$NtUninstallWudf01009$, 06-Nov-2010 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\$NtUninstallXPSEPSCLP$, 13-May-2009 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\CSC, 07-Dec-2006 [HS] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\Fonts, 07-Dec-2006 [SR] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\ie8, 13-May-2009 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\inf, 07-Dec-2006 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\logo_1.exe, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\PIF, 05-Mar-2009 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\RUNDL132.EXE, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\VDLL.DLL, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\system32\CanonIJ Uninstaller Information, 14-Aug-2007 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\system32\dllcache, 07-Dec-2006 [HSR] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\system32\GroupPolicy, 19-Dec-2006 [H] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\system32\Microsoft, 07-Dec-2006 [S] [Ordner]31 Mai 2012 22:47:36 - C:\WINDOWS\system32\runouce.exe, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - C:\Config.Msi, 09-Jun-2010 [HS] [Ordner]31 Mai 2012 22:47:36 - d:\temp\AVCBack, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - d:\temp\FtpTemp, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - d:\temp\FtpTempF, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - d:\temp\LOCK, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - d:\temp\plugins, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - d:\temp\TeamViewer, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - d:\temp\tmp0000296d, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - d:\temp\Verlauf, 10-Dec-2006 [S] [Ordner]31 Mai 2012 22:47:36 - d:\temp\WPDNSE, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - d:\temp\{D5878294-C113-43c5-A24F-FC333C52015A}, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft, 07-Dec-2006 [S] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TeamViewer, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\Anwendungsdaten, 07-Dec-2006 [HR] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\Druckumgebung, 07-Dec-2006 [H] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\IECompatCache, 09-Nov-2009 [HS] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\IETldCache, 13-May-2009 [HS] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\Lokale Einstellungen, 07-Dec-2006 [H] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\Netzwerkumgebung, 07-Dec-2006 [H] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\PrivacIE, 25-Aug-2009 [HS] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\Recent, 07-Dec-2006 [HR] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\SendTo, 07-Dec-2006 [HR] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\UserData, 07-Dec-2006 [HS] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\..\Vorlagen, 07-Dec-2006 [H] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ, 14-Aug-2007 [H] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft, 07-Dec-2006 [S] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld, 31-May-2012 [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{20B72E17-2772-4AD4-85B1-7F90ADB2C60A}, 10-Jul-2010 [H] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\..\Anwendungsdaten, 07-Dec-2006 [HR] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\..\DRM, 07-Dec-2006 [HS] [Ordner]31 Mai 2012 22:47:36 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\..\Vorlagen, 07-Dec-2006 [H] [Ordner]31 Mai 2012 22:47:36 - C:\Programme\CanonBJ, 14-Aug-2007 [H] [Ordner]31 Mai 2012 22:47:36 - C:\Programme\WindowsUpdate, 07-Dec-2006 [H] [Ordner]31 Mai 2012 22:47:36 - C:\Programme\Gemeinsame Dateien\MicroWorld, 31-May-2012 [Ordner] 31 Mai 2012 22:47:36 - ********************************************************************************************* 31 Mai 2012 22:47:36 - Optionen für Kommandozeile angegeben: /xsign31 Mai 2012 22:47:36 - Aktuellstes  Datum der in MWAV enthaltenen Dateien: Thu Feb 23 12:07:55 2012.31 Mai 2012 22:47:36 - Plugins FileCount: 925 Sign Version: 7.4112331 Mai 2012 22:47:36 - Loading/Creating FileScan Database C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld\MWAV\ESCANDBX.MDB [Log: d:\Temp\ESCANDB.LOG]31 Mai 2012 22:47:36 - Loaded/Created FileScan Database...31 Mai 2012 22:47:36 - Loading AV Library [DB]...31 Mai 2012 22:47:37 - ArchiveScan: DISABLED31 Mai 2012 22:47:40 - AV Library Loaded [DB-DIRECT].31 Mai 2012 22:47:40 - MWAV doing self scanning...31 Mai 2012 22:47:40 - MWAV files are clean.
31 Mai 2012 22:47:47 - ArchiveScan: DISABLED
31 Mai 2012 22:47:47 - Virendatenbankdatum: 23 Feb 2012
31 Mai 2012 22:47:47 - Virendatenbankzähler: 7286098
31 Mai 2012 22:47:51 - Antiviren- und Antispywaredatenbanken werden heruntergeladen...
31 Mai 2012 22:49:02 - Es gibt nichts Neues zum Herunterladen. Ihre Aktualisierungen sind auf dem neuesten Stand.
31 Mai 2012 22:49:27 - ArchiveScan: ENABLED
 
31 Mai 2012 22:49:30 - **********************************************************
31 Mai 2012 22:49:30 - eScan Antivirus und Spyware Werkzeugsatz.
31 Mai 2012 22:49:30 - Copyright © MicroWorld
31 Mai 2012 22:49:30 - 
31 Mai 2012 22:49:30 - Support: support@escanav.com
31 Mai 2012 22:49:30 - Web: hxxp://www.escanav.com
31 Mai 2012 22:49:30 - **********************************************************
31 Mai 2012 22:49:30 - Version 12.0.236[DB] (D:\TEMP\MEXETMP.EX~)
31 Mai 2012 22:49:30 - Logdatei: d:\Temp\MWAV.LOG
31 Mai 2012 22:49:30 - User Account: Administrator (Administrator Mode)
31 Mai 2012 22:49:30 - Windows Root  Folder: C:\WINDOWS
31 Mai 2012 22:49:30 - Windows Sys32 Folder: C:\WINDOWS\system32
31 Mai 2012 22:49:30 - OS: Windows XP [OS Install Date: 07 Dec 2006 10:12:30]
31 Mai 2012 22:49:30 - Ver: Service Pack 3 (Build 2600)
31 Mai 2012 22:49:30 - Aktuellstes  Datum der in MWAV enthaltenen Dateien: Thu Feb 23 12:07:55 2012.
31 Mai 2012 22:49:30 - Plugins FileCount: 925 Sign Version: 7.41123
 
31 Mai 2012 22:49:30 - Vom Benutzer gewählte Optionen:
31 Mai 2012 22:49:30 - Speicherüberprüfung: Aktiviert
31 Mai 2012 22:49:30 - Überprüfung der Registrierungsdatenbank: Aktiviert
31 Mai 2012 22:49:30 - Überprüfung des Startordners: Aktiviert
31 Mai 2012 22:49:30 - Überprüfung des Systemordners: Aktiviert
31 Mai 2012 22:49:30 - Überprüfung der Dienste: Aktiviert
31 Mai 2012 22:49:30 - Scannen Spyware: Aktiviert
31 Mai 2012 22:49:30 - Scannen Archives: Aktiviert
31 Mai 2012 22:49:30 - Überprüfung der Laufwerke: Deaktiviert
31 Mai 2012 22:49:30 - Überprüfung aller Laufwerke:Aktiviert
31 Mai 2012 22:49:30 - Überprüfung der Ordner: Deaktiviert
31 Mai 2012 22:49:30 - SCAN: All_Files
31 Mai 2012 22:49:30 - MWAV Mode: Scan and Clean files (for viruses, adware and spyware)
 
31 Mai 2012 22:49:30 - DNS Records... wird gescannt
31 Mai 2012 22:49:30 - Master Boot Record (Kernel)... wird gescannt
 
31 Mai 2012 22:49:31 - ***** Speicherdateien werden gescannt *****
 
31 Mai 2012 22:49:43 - ***** Dateien der Registrierungsdatenbank werden gescannt *****
31 Mai 2012 22:49:48 - ERROR(3)!!! Invalid Entry Qqa002LVAE = C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wtupwdyr\sjozalin.exe (in key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run). Action Taken: Removing it.
31 Mai 2012 22:49:49 - ERROR(3)!!! Invalid Entry OE = C:\Programme\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (in key HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). Action Taken: Removing it.
31 Mai 2012 22:49:49 - ERROR(3)!!! Invalid Entry OE = C:\Programme\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (in key HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). Action Taken: Removing it.
 
31 Mai 2012 22:49:49 - *****  Startordner werden gescannt *****
 
31 Mai 2012 22:49:51 - ***** Dateien bezüglich Dienste werden gescannt *****
31 Mai 2012 22:49:52 - ERROR(2)!!! Invalid Entry \??\C:\WINDOWS\gdrv.sys. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\gdrv.
31 Mai 2012 22:49:52 - ERROR(2)!!! Invalid Entry \??\F:\INSTALL\GMSIPCI.SYS. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\GMSIPCI.
31 Mai 2012 22:49:54 - ERROR(2)!!! Invalid Entry \??\F:\NTACCESS.sys. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\NTACCESS.
31 Mai 2012 22:49:55 - ERROR(2)!!! Invalid Entry \??\F:\NTGLM7X.sys. Action Taken: Removing HKLM\SYSTEM\CurrentControlSet\Services\SetupNTGLM7X.
 
31 Mai 2012 22:49:57 - ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****
31 Mai 2012 22:49:58 - Signaturen der Spionageprogramme werden aus einer neuen auswärtigen Datenbank geladen [Name: d:\Temp\spydb.avs, Größe: 982467]...
31 Mai 2012 22:49:58 - Indexed Spyware Databases Successfully Created...
 
31 Mai 2012 22:50:42 - System found infected with combo Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{03C4C5F4-1893-444C-B8D8-002F0034DA92})! Action taken: Einträge entfernt.
31 Mai 2012 22:50:43 - Offending Folder found: C:\WINDOWS\system32\Fonts
31 Mai 2012 22:50:43 - Deltree of Folder C:\WINDOWS\system32\Fonts...
31 Mai 2012 22:50:44 - Objekt "KidControl Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.

31 Mai 2012 22:50:44 - Offending file found: C:\WINDOWS\system32\objsafe.tlb
31 Mai 2012 22:50:44 - System found infected with roings Spyware/Adware (objsafe.tlb)! Action taken: Datei gelöscht.
31 Mai 2012 22:50:44 - Objekt "roings Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

31 Mai 2012 22:50:50 - Offending file found: C:\WINDOWS\system32\UNACE.DLL
31 Mai 2012 22:50:50 - System found infected with zipitpro Spyware/Adware (UNACE.DLL)! Action taken: Datei gelöscht.
31 Mai 2012 22:50:50 - Objekt "zipitpro Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Datei gelöscht.

31 Mai 2012 22:50:50 - Offending file found: C:\WINDOWS\system32\WinSys.exe
31 Mai 2012 22:50:50 - System found infected with combo Spyware/Adware (WinSys.exe)! Action taken: Datei gelöscht.
31 Mai 2012 22:50:55 - Offending Registry Entry found: HKUS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
31 Mai 2012 22:50:55 - System found infected with combo Spyware/Adware (HKUS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects)! Action taken: Einträge entfernt.
 
31 Mai 2012 22:50:56 - ***** Dateien der Registrierungsdatenbank werden gescannt *****
31 Mai 2012 22:50:58 - Clearing Temporary sub-folders as Spyware/Adware found in system...
31 Mai 2012 22:51:11 - Few files will be deleted *ONLY* on reboot...
31 Mai 2012 22:51:12 - ** Value in HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\main/Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
31 Mai 2012 22:51:12 - ** Value in HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main/Start Page = about:blank
 
31 Mai 2012 22:51:12 - ***** System32-Ordner werden gescannt *****
 
 
 
31 Mai 2012 22:52:42 - ***** Alle Laufwerke werden gescannt *****
31 Mai 2012 22:52:43 - ***** C:,D:,E:,F:,H:,I:,J: ***** 
31 Mai 2012 22:52:43 - Laufwerk C:\ wird gescannt ...
31 Mai 2012 22:53:14 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterAntiVirusDisableNotify.zip konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
31 Mai 2012 22:53:14 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterFirewallDisableNotify.zip konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
31 Mai 2012 22:53:14 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterUpdateDisableNotify.zip konnte nicht gescannt werden, da sie möglicherweise durch Passwort geschützt ist...
31 Mai 2012 22:53:52 - Datei C:\Dokumente und Einstellungen\karl\Favoriten\Einkaufen\??????? ?????????? ? ?????-???????????. ????????? ??????? «?????».url wird gescannt
31 Mai 2012 22:53:52 - ERROR(3)!!! ScanFile fails for C:\Dokumente und Einstellungen\karl\Favoriten\Einkaufen\??????? ?????????? ? ?????-???????????. ????????? ??????? «?????».url
31 Mai 2012 22:57:23 - ScanFile (C:\Programme\Sierra On-Line\Sutil32.exe) took 7625 ms
31 Mai 2012 22:58:17 - Datei C:\System Volume Information\_restore{8F35748F-5570-48F5-BF1F-EC7869E79E37}\RP1627\A0260880.exe wird gescannt

31 Mai 2012 22:58:17 - Datei C:\System Volume Information\_restore{8F35748F-5570-48F5-BF1F-EC7869E79E37}\RP1627\A0260880.exe ist durch den Virus "TrojanES.Dropper (ES)" infiziert!  Maßnahme ergriffen: Datei umbenannt.
         
Danke für die Hinweise. Meine Daten sind auf DVD und externer HDD.
Wie oben geschrieben, hat es einen Bekannten erwischt. Er hat WinXP, daher greift Shadow Explorer leider nicht.
Hoffe er hat nun begriffen, welchen Sinn eine Datensicherung macht.
Habe Ihm dringend geraten, Anzeige gegen unbekannt zu stellen.

Dass die Entschlüsselung schwierig bis unmöglich wird, war mir klar. Hatte den Beitrag in DelphiPraxis schon gelesen.
Werde sein System per Snapshot archivieren.
Es geht mir nur darum, ob nun alle Malware entdeckt wurde, ggf. noch ein Anhaltspunkt bzgl. des Schadmechanismus zu entdecken ist.

Ansonsten ist dann eine Reparaturinstallation oder Neuinstallation fällig.

Grüsse und Danke.


Antwort

Themen zu Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt
administrator, alternate, anfänger, aufruf, dateien, dateiname, dateinamen, direkt, dokumente, dr.web, einstellungen, entfernt, entschlüsseln, erkannt, exe, gen, google earth, hallo zusammen, installierte, malware, malwarebytes, plug-in, rechte, registry, searchscopes, source, tools, urlaub, windows internet, winxp, zusammen




Ähnliche Themen: Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt


  1. Bundestrojaner - Dateien verschlüsselt - aber nicht die locked Version
    Log-Analyse und Auswertung - 15.10.2012 (1)
  2. Dateien vom Verschlüsselungstrojaner umbenannt und verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 04.10.2012 (1)
  3. Dateien verschlüsselt nach verschlüsselungstrojaner
    Plagegeister aller Art und deren Bekämpfung - 17.09.2012 (1)
  4. Windows Verschlüsselungs Trojaner entfernt aber die Dateien sind verschlüsselt!
    Plagegeister aller Art und deren Bekämpfung - 09.08.2012 (25)
  5. ransom.ez entfernt, Einige Dateien sind verschlüsselt, Tools haben nicht geholfen.
    Plagegeister aller Art und deren Bekämpfung - 22.07.2012 (2)
  6. Bundespolizeivirus aber Dateien nicht verschlüsselt
    Log-Analyse und Auswertung - 04.07.2012 (13)
  7. Dateien sind verschlüsselt, aber nicht umbenannt.
    Plagegeister aller Art und deren Bekämpfung - 04.07.2012 (1)
  8. Verschlüsselungstrojaner ohne "Locked"/ Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (1)
  9. Dateien bleiben Verschlüsselt "Windows Update Verschlüsselungstrojaner"
    Plagegeister aller Art und deren Bekämpfung - 14.06.2012 (1)
  10. Verschlüsselungstrojaner: System auf früheren Zeitpunkt wiederhergestellt, aber Dateien weg!
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  11. Verschlüsselungstrojaner wurde entfernt aber die Dateien können nicht geöffnet werden
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (5)
  12. UKash - Dateien verschlüsselt, aber NICHT "locked" oder wirre Namen
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (3)
  13. (xpost) neuer Verschlüsselungstrojaner mit teils unveränderten aber trotzdem verschlüsselten Dateien
    Mülltonne - 07.06.2012 (3)
  14. win32/matsnu - Dateien nicht umbenannt aber verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (2)
  15. VerschlüsselungsTrojaner entfernt, Dateien immernoch verschlüsselt
    Log-Analyse und Auswertung - 01.06.2012 (1)
  16. Verschlüsselungs-Trojaner entfernt - Dateien noch verschlüsselt
    Log-Analyse und Auswertung - 01.06.2012 (1)
  17. Welche Dateien verschlüsselt der Verschlüsselungstrojaner?
    Plagegeister aller Art und deren Bekämpfung - 03.05.2012 (3)

Zum Thema Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt - Hallo zusammen, ein Bekannter hat diese Malware auf seinem PC wüten lassen. Er ist ein Anfänger, leider. Glücklicherweise hat er mit seiner Benutzerkennung ohne Adminrechte gearbeitet. System ist WinXP pro - Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt...
Archiv
Du betrachtest: Verschlüsselungstrojaner evtl. V. 1.140 entfernt, aber Dateien verschlüsselt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.