| |
| |||||||
Log-Analyse und Auswertung: Windows XP - Verschlüsselungs-Trojaner // Malwarebytes + OTL (2x) -Text(log)-DateienWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
13.06.2012, 11:49
| #1 |
| |  Windows XP - Verschlüsselungs-Trojaner // Malwarebytes + OTL (2x) -Text(log)-Dateien HI, vielleicht könnte mir da mal jemand helfen?? Sitze hier bei meinem Vater seinem Computer, er hat eine Zip-Datei geöffnet und schon war das schöne Problem da und ein anruf bei mir !!  Seit gestern untersuche ich den Computer und werke!! Wie man sieht bin ich im Internet mit diesem verseuchten Computer (Boot-CD) . Gestern hab ich mal malwarbytes gestartet. Hier mal den Text: ------------------------------------------------------------- Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.13.01 Windows XP x86 FAT32 Internet Explorer 6.0.2800.5512 SYSTEM :: MiniXP-216 [Administrator] 2012-06-13 20:18:22 mbam-log-2012-06-13 (20-18-22).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 94497 Laufzeit: 25 Sekunde(n) Infizierte Speicherprozesse: 2 X:\I386\System32\keybtray.exe (Malware.Packer.Gen) -> 1636 -> Löschen bei Neustart. B:\Temp\HBCD\Opera\opera.exe (Trojan.Downloader) -> 1496 -> Löschen bei Neustart. Infizierte Speichermodule: 1 X:\I386\System32\wzcsvc.dll (Trojan.FakeAV) -> Löschen bei Neustart. Infizierte Registrierungsschlüssel: 4 HKCR\CLSID\{3F4DACA4-160D-11D2-A8E9-00104B365C9F} (Malware.Packer.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\TypeLib\{3F4DACA7-160D-11D2-A8E9-00104B365C9F} (Malware.Packer.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\Interface\{3F4DACA0-160D-11D2-A8E9-00104B365C9F} (Malware.Packer.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\VBScript.RegExp (Malware.Packer.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 7 X:\I386\System32\wzcsvc.dll (Trojan.FakeAV) -> Erfolgreich gelöscht und in Quarantäne gestellt. X:\I386\System32\keybtray.exe (Malware.Packer.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. B:\Temp\HBCD\Opera\opera.exe (Trojan.Downloader) -> Löschen bei Neustart. X:\I386\System32\msxml2.dll (Malware.Packer.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. X:\I386\System32\vbscript.dll (Malware.Packer.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. X:\I386\System32\fdco1.dll (Malware.Packer.GenX) -> Erfolgreich gelöscht und in Quarantäne gestellt. X:\I386\System32\sfcfiles.dll (Trojan.Patched) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) --------------------------------------------------------------------------- Hier von Gestern (die erste) OTL-Datei (falls sich da jemand auskennt ;-) ) : ---------------------------------------------------------------------------OTL Logfile: Code:
ATTFilter OTL logfile created on: 6/12/2012 7:57:25 PM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy
1.00 Gb Total Physical Memory | 1.00 Gb Available Physical Memory | 81.00% Memory free
1.00 Gb Paging File | 1.00 Gb Available in Paging File | 95.00% Paging File free
Paging file location(s): c:\pagefile.sys 1920 3840 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 37.26 Gb Total Space | 22.61 Gb Free Space | 60.68% Space Free | Partition Type: NTFS
Drive D: | 42.97 Gb Total Space | 8.66 Gb Free Space | 20.16% Space Free | Partition Type: NTFS
Drive E: | 33.35 Gb Total Space | 33.26 Gb Free Space | 99.71% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
========== Win32 Services (SafeList) ==========
SRV - File not found [Disabled] -- -- (HidServ)
SRV - [2012/05/10 09:20:36 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012/05/10 09:20:35 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/04/01 01:11:52 | 000,428,640 | ---- | M] (Logitech Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\UMVPFSrv.exe -- (UMVPFSrv)
SRV - [2010/03/04 17:38:00 | 000,071,096 | ---- | M] () [Auto] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess)
SRV - [2009/06/18 03:29:12 | 000,635,416 | ---- | M] (PDF Complete Inc) [Auto] -- C:\Programme\PDF Complete\pdfsvc.exe -- (pdfcDispatcher)
SRV - [2009/05/14 11:07:14 | 000,759,048 | ---- | M] (ABBYY) [Auto] -- C:\Programme\Gemeinsame Dateien\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe -- (ABBYY.Licensing.FineReader.Sprint.9.0)
SRV - [2005/01/14 03:32:38 | 000,053,248 | ---- | M] () [Auto] -- C:\WINXP\system32\PAStiSvc.exe -- (STI Simulator)
SRV - [2002/09/20 10:50:10 | 000,045,056 | ---- | M] (Analog Devices, Inc.) [Auto] -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- (SoundMAX Agent Service (default))
========== Driver Services (SafeList) ==========
DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- -- (rtl8029) NT-Treiber für Realtek RTL8029(AS)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - File not found [Kernel | System] -- -- (avgio)
DRV - [2012/05/10 09:20:36 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINXP\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012/05/10 09:20:36 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINXP\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011/12/09 09:27:31 | 000,039,016 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\tbhsd.sys -- (tbhsd)
DRV - [2011/12/09 09:27:22 | 000,031,848 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\rrnetcap.sys -- (RRNetCapMP)
DRV - [2011/12/09 09:27:22 | 000,031,848 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\rrnetcap.sys -- (RRNetCap)
DRV - [2011/09/16 10:08:07 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINXP\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011/04/01 01:11:10 | 004,333,280 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\lvuvc.sys -- (LVUVC) Logitech Webcam C210(UVC)
DRV - [2011/04/01 01:09:48 | 000,291,424 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\lvrs.sys -- (LVRS)
DRV - [2009/11/12 08:48:56 | 000,005,504 | ---- | M] () [File_System | Auto] -- C:\WINXP\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2009/10/08 10:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINXP\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008/07/24 19:18:32 | 000,176,640 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2008/06/06 03:15:40 | 000,098,816 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\baspxp32.sys -- (Blfp)
DRV - [2007/01/22 01:37:02 | 000,070,144 | R--- | M] (Netgear Inc.) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\G311N6.sys -- (NetgearGA311)
DRV - [2005/02/24 06:29:14 | 000,162,176 | ---- | M] () [Kernel | On_Demand] -- C:\WINXP\system32\drivers\PFC027.sys -- (PAC207)
DRV - [2003/12/25 13:53:10 | 000,067,456 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\GA311ND5.SYS -- (RTL8023)
DRV - [2003/12/25 13:53:10 | 000,011,237 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\diag69xp.sys -- (Diag69xp)
DRV - [2003/12/25 13:53:10 | 000,008,440 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Auto] -- C:\WINXP\system32\drivers\LANPkt.sys -- (LANPkt)
========== Standard Registry (SafeList) ==========
========== Internet Explorer ==========
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\LocalService.NT-AUTORITÄT_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\prh.PRH-8791A6F9449_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.gmx.net/br/ie8_startpage
IE - HKU\prh.PRH-8791A6F9449_ON_C\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKU\prh.PRH-8791A6F9449_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.funmoods.com/?f=1&a=ironto
IE - HKU\prh.PRH-8791A6F9449_ON_C\..\URLSearchHook: {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWinl.dll (Conduit Ltd.)
IE - HKU\prh.PRH-8791A6F9449_ON_C\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)
IE - HKU\prh.PRH-8791A6F9449_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\prh.PRH-8791A6F9449_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
========== FireFox ==========
FF - prefs.js..keyword.URL: "hxxp://go.gmx.net/br/moz_keyurl_search/?su="
FF - prefs.js..network.proxy.type: 2
FF - prefs.js..browser.startup.homepage: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: ""
FF - prefs.js..browser.search.defaulturl: ""
FF - prefs.js..browser.startup.homepage: "hxxp://start.funmoods.com/?f=1&a=ironto"
FF - prefs.js..browser.search.selectedEngine: "Search"
FF - prefs.js..browser.search.defaultenginename: "Search"
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINXP\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINXP\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\finder@meingutscheincode.de: C:\Programme\Mein Gutscheincode Finder\Firefox [2011/06/21 05:44:49 | 000,000,000 | ---D | M]
[2011/06/21 15:46:23 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\mozilla\Extensions
[2012/03/23 15:53:56 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\mozilla\Firefox\Profiles\d9jcgdxj.default\extensions
[2011/10/09 05:29:15 | 000,000,000 | ---D | M] (Babylon) -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\mozilla\Firefox\Profiles\d9jcgdxj.default\extensions\ffxtlbr@babylon.com
[2012/03/23 15:53:57 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\mozilla\Firefox\Profiles\d9jcgdxj.default\extensions\ffxtlbr@funmoods.com
[2011/06/21 15:46:26 | 000,000,000 | ---D | M] (GMX Toolbar) -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\mozilla\Firefox\Profiles\d9jcgdxj.default\extensions\toolbar@gmx.net
[2012/03/23 15:53:55 | 000,001,800 | ---- | M] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\Mozilla\Firefox\Profiles\d9jcgdxj.default\searchplugins\funmoods.xml
[2011/12/27 18:30:58 | 000,003,915 | ---- | M] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\Mozilla\Firefox\Profiles\d9jcgdxj.default\searchplugins\SweetIM Search.xml
File not found (No name found) --
O1 HOSTS File: ([2008/04/14 08:00:00 | 000,000,820 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Shareaza Web Download Hook) - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Programme\Shareaza\RazaWebHook32.dll (Shareaza Development Team)
O2 - BHO: (GMX Konfiguration) - {17166733-40EA-4432-A85C-AE672FF0E236} - C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\1und1InternetExplorerAddon\BHOXML.dll (1&1 Mail & Media GmbH)
O2 - BHO: (Mein Gutscheincode Finder zeigt automatisch Shopping-Gutscheine an mit denen Sie beim Online-Einkauf sparen können.) - {1ED16E0A-E8C4-40A0-8BC2-79485D21F796} - C:\Programme\Mein Gutscheincode Finder\Internet Explorer\x86\ConversionOneIE.dll (Conversion One GmbH)
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.35.10\bh\BabylonToolbar.dll (Babylon BHO)
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWinl.dll (Conduit Ltd.)
O2 - BHO: (Funmoods Helper Object) - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - C:\Programme\Funmoods\funmoods\1.5.11.16\bh\funmoods.dll (Funmoods BHO)
O2 - BHO: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - D:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Programme\Yontoo\YontooIEClient.dll (Yontoo LLC)
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWinl.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.35.10\BabylonToolbarTlbr.dll (Babylon Ltd.)
O3 - HKLM\..\Toolbar: (Funmoods Toolbar) - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\Programme\Funmoods\funmoods\1.5.11.16\funmoodsTlbr.dll (Funmoods)
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKU\prh.PRH-8791A6F9449_ON_C\..\Toolbar\ShellBrowser: (Winload Toolbar) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - C:\Programme\Winload\prxtbWinl.dll (Conduit Ltd.)
O3 - HKU\prh.PRH-8791A6F9449_ON_C\..\Toolbar\WebBrowser: (Winload Toolbar) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - C:\Programme\Winload\prxtbWinl.dll (Conduit Ltd.)
O3 - HKU\prh.PRH-8791A6F9449_ON_C\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [A1Webassistent] C:\Programme\A1\A1 Webassistent\A1Webassistent.exe (mquadr.at software engineering and consulting GmbH, web: www.mquadr.at, mail: office@mquadr.at)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINXP\System32\bthprops.cpl (Microsoft Corporation)
O4 - HKLM..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe (adi)
O4 - HKLM..\Run: [EEventManager] C:\Programme\Epson Software\Event Manager\EEventManager.exe (SEIKO EPSON CORPORATION)
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKLM..\Run: [LWS] C:\Programme\Logitech\LWS\Webcam Software\LWS.exe (Logitech Inc.)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINXP\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINXP\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINXP\System32\nwiz.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [PDF Complete] C:\Programme\PDF Complete\pdfsty.exe (PDF Complete Inc)
O4 - HKLM..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
O4 - HKU\LocalService.NT-AUTORITÄT_ON_C..\Run: [8YXCVHZH3XZZ5F3BWCOGWRXUJRAI] File not found
O4 - HKU\prh.PRH-8791A6F9449_ON_C..\Run: [1und1Dispatcher] C:\Programme\1und1Softwareaktualisierung\SchedDispatcher.exe (1&1 Mail & Media GmbH)
O4 - HKU\prh.PRH-8791A6F9449_ON_C..\Run: [2H1XUE6DVXZZ5F0UQEMAWPIFYZ] File not found
O4 - HKU\prh.PRH-8791A6F9449_ON_C..\Run: [2H1XUE7DVXZJ5F0UPRJNJUUHEAR] File not found
O4 - HKU\prh.PRH-8791A6F9449_ON_C..\Run: [2H1XUE7EVXZZ5F0UAKEIYIPIPY] File not found
O4 - HKU\prh.PRH-8791A6F9449_ON_C..\Run: [6831813E] C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\Wkwypykfm\hslirhsnkzy.exe ()
O4 - HKU\prh.PRH-8791A6F9449_ON_C..\Run: [8YXCVHZH3XZZ5F3BWCOGWRXUJRAI] File not found
O4 - HKU\prh.PRH-8791A6F9449_ON_C..\Run: [EPSON SX125 Series] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_FATIGGE.EXE (SEIKO EPSON CORPORATION)
O4 - HKU\prh.PRH-8791A6F9449_ON_C..\Run: [EPSON SX125 Series (Kopie 1)] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_FATIGGE.EXE (SEIKO EPSON CORPORATION)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\Autostart\GA311 Smart Wizard Utility.lnk = C:\Programme\NETGEAR GA311 Adapter\GA311.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService.NT-AUTORITÄT_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService.NT-AUTORITÄT_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\prh.PRH-8791A6F9449_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 95
O7 - HKU\prh.PRH-8791A6F9449_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\prh.PRH-8791A6F9449_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O7 - HKU\prh.PRH-8791A6F9449_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\prh.PRH-8791A6F9449_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\prh.PRH-8791A6F9449_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O8 - Extra context menu item: Download with &Shareaza - C:\Programme\Shareaza\RazaWebHook32.dll (Shareaza Development Team)
O8 - Extra context menu item: Web-Suche - C:\Programme\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html ()
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - D:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - D:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab (System Requirements Lab Class)
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} hxxp://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab (GMNRev Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-its50 {F8606A00-F5CF-11D1-B6BB-0000F80149F6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\itss50.dll (Microsoft Corporation)
O18 - Protocol\Handler\msref {74D92DF3-6D9D-11D1-8B38-006097DBED7A} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference Titles\msref.dll ()
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - D:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Handler\vnd.ms.radio {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINXP\system32\msdxm.ocx (Microsoft Corporation)
O20 - AppInit_DLLs: (NVDESK32.DLL) - File not found
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper:
O24 - Desktop BackupWallPaper:
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011/06/19 10:47:05 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009/06/10 17:42:20 | 000,000,024 | ---- | M] () - D:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O34 - HKLM BootExecute: (sprestrt) - C:\WINXP\System32\sprestrt.exe (Microsoft Corporation)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
========== Files/Folders - Created Within 30 Days ==========
[2012/06/12 04:21:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\Wkwypykfm
[2012/06/07 03:22:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Lokale Einstellungen\Anwendungsdaten\Logitech® Webcam-Software
[2012/06/05 15:36:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Desktop\GA311_SW_setup_6_2
[2012/05/17 16:46:45 | 000,000,000 | -H-D | C] -- C:\WINXP\PIF
[8 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
[2 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
========== Files - Modified Within 30 Days ==========
[2012/06/12 12:09:52 | 000,021,961 | ---- | M] () -- C:\WINXP\System32\nvapps.xml
[2012/06/12 12:09:28 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2012/06/12 12:09:23 | 1341,669,376 | -HS- | M] () -- C:\hiberfil.sys
[2012/06/12 05:45:25 | 001,209,716 | ---- | M] () -- C:\WINXP\System32\PerfStringBackup_old.INI
[2012/06/12 05:45:25 | 000,516,060 | ---- | M] () -- C:\WINXP\System32\perfh007.daf
[2012/06/12 05:45:25 | 000,492,750 | ---- | M] () -- C:\WINXP\System32\perfh009.daf
[2012/06/12 05:45:25 | 000,100,318 | ---- | M] () -- C:\WINXP\System32\perfc007.dag
[2012/06/12 05:45:25 | 000,083,398 | ---- | M] () -- C:\WINXP\System32\perfc009.dag
[2012/06/12 03:01:16 | 000,002,228 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[2012/06/06 04:02:03 | 000,001,280 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Desktop\Logitech Webcam Software .lnk
[2012/06/06 04:02:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\Logitech
[2012/06/05 15:37:28 | 000,001,683 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\Autostart\GA311 Smart Wizard Utility.lnk
[2012/06/05 15:37:28 | 000,000,000 | R--D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\Autostart
[2012/06/05 15:34:28 | 016,487,759 | ---- | M] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Desktop\GA311_SW_setup_6_2.zip
[2012/06/01 05:55:39 | 000,001,036 | ---- | M] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Desktop\Continue JDownloader Installation.lnk
[2012/06/01 05:41:10 | 000,000,375 | ---- | M] () -- C:\WINXP\System32\drivers\etc\hosts.ics
[2012/05/31 09:22:01 | 000,604,160 | ---- | M] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\crypt32.dll
[2012/05/24 16:48:01 | 000,001,374 | ---- | M] () -- C:\WINXP\imsins.BAK
[2012/05/24 01:17:54 | 000,317,952 | ---- | M] () -- C:\WINXP\System32\FNTCACHE.DAT
[2012/05/15 15:58:24 | 000,001,855 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Desktop\EPSON SX125 Series Handbuch.lnk
[2012/05/15 15:57:37 | 000,000,658 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Desktop\EPSON Scan.lnk
[2012/05/15 04:40:12 | 136,144,794 | ---- | M] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Desktop\Heviz-Foto2012.cdr
[2012/05/15 04:24:11 | 000,896,225 | ---- | M] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Desktop\img025.jpg
[2012/05/15 04:22:26 | 002,303,820 | ---- | M] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Desktop\img024.jpg
[2012/05/15 04:20:22 | 001,999,054 | ---- | M] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Desktop\img023.jpg
[2012/05/15 04:16:51 | 000,747,095 | ---- | M] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Desktop\img022.jpg
[2012/05/15 04:14:54 | 001,646,941 | ---- | M] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Desktop\img021.jpg
[2012/05/15 04:12:43 | 001,669,461 | ---- | M] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Desktop\img020.jpg
[8 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
[2 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
========== Files Created - No Company Name ==========
[2012/06/05 15:34:10 | 016,487,759 | ---- | C] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Desktop\GA311_SW_setup_6_2.zip
[2012/06/05 15:21:16 | 000,001,683 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\Autostart\GA311 Smart Wizard Utility.lnk
[2012/06/01 05:55:39 | 000,001,036 | ---- | C] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Desktop\Continue JDownloader Installation.lnk
[2012/05/15 04:40:01 | 136,144,794 | ---- | C] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Desktop\Heviz-Foto2012.cdr
[2012/05/15 04:24:10 | 000,896,225 | ---- | C] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Desktop\img025.jpg
[2012/05/15 04:22:24 | 002,303,820 | ---- | C] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Desktop\img024.jpg
[2012/05/15 04:20:19 | 001,999,054 | ---- | C] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Desktop\img023.jpg
[2012/05/15 04:16:50 | 000,747,095 | ---- | C] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Desktop\img022.jpg
[2012/05/15 04:14:52 | 001,646,941 | ---- | C] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Desktop\img021.jpg
[2012/05/15 04:12:42 | 001,669,461 | ---- | C] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Desktop\img020.jpg
[2012/05/14 08:58:12 | 000,999,761 | ---- | C] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Desktop\SDC10581 (2).JPG
[2012/05/13 12:31:53 | 000,765,952 | ---- | C] () -- C:\WINXP\System32\xvidcore.dll
[2012/05/13 12:31:53 | 000,180,224 | ---- | C] () -- C:\WINXP\System32\xvidvfw.dll
[2012/05/13 12:31:53 | 000,008,704 | ---- | C] () -- C:\WINXP\System32\vidccleaner.exe
[2012/05/03 01:53:08 | 000,003,072 | ---- | C] () -- C:\WINXP\System32\iacenc.dll
[2012/04/23 02:39:46 | 000,045,568 | ---- | C] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012/02/19 13:50:19 | 000,000,046 | ---- | C] () -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\80766B.dat
[2011/12/28 15:45:33 | 000,000,664 | ---- | C] () -- C:\WINXP\System32\d3d9caps.dat
[2011/12/05 04:54:26 | 000,005,504 | ---- | C] () -- C:\WINXP\System32\drivers\StarOpen.sys
[2011/09/12 15:17:01 | 000,284,160 | ---- | C] () -- C:\WINXP\unin0407.exe
[2011/08/12 06:20:14 | 000,015,896 | ---- | C] () -- C:\WINXP\System32\drivers\iKeyLFT2.dll
[2011/06/26 15:42:57 | 000,108,032 | ---- | C] () -- C:\WINXP\System32\sh33w32.dll
[2011/06/26 15:42:25 | 000,039,095 | ---- | C] () -- C:\WINXP\iccsigs.dat
[2011/06/22 14:31:28 | 000,000,000 | ---- | C] () -- C:\WINXP\EEventManager.INI
[2011/06/21 15:46:15 | 000,000,000 | ---- | C] () -- C:\WINXP\nsreg.dat
[2011/06/21 12:25:24 | 000,000,397 | ---- | C] () -- C:\WINXP\ODBC.INI
[2011/06/19 16:51:05 | 000,053,248 | ---- | C] () -- C:\WINXP\System32\PAStiSvc.exe
[2011/06/19 16:50:36 | 000,000,585 | ---- | C] () -- C:\WINXP\videoimp.ini
[2011/06/19 16:50:31 | 000,010,240 | ---- | C] () -- C:\WINXP\System32\vidx16.dll
[2011/06/19 16:50:19 | 000,000,021 | ---- | C] () -- C:\WINXP\VI_setup.ini
[2011/06/19 13:49:54 | 000,000,044 | ---- | C] () -- C:\WINXP\System32\msssc.dll
[2011/06/19 12:58:42 | 001,209,716 | ---- | C] () -- C:\WINXP\System32\PerfStringBackup_old.INI
[2011/06/19 12:58:41 | 000,004,073 | ---- | C] () -- C:\WINXP\ODBCINST.INI
[2011/06/19 12:57:08 | 000,317,952 | ---- | C] () -- C:\WINXP\System32\FNTCACHE.DAT
[2011/06/19 12:20:26 | 000,002,048 | --S- | C] () -- C:\WINXP\bootstat.dat
[2011/06/19 12:12:55 | 000,022,908 | ---- | C] () -- C:\WINXP\System32\emptyregdb.dat
[2011/04/01 01:07:02 | 010,877,272 | ---- | C] () -- C:\WINXP\System32\LogiDPP.dll
[2011/04/01 01:07:02 | 000,102,744 | ---- | C] () -- C:\WINXP\System32\LogiDPPApp.exe
[2011/04/01 01:06:56 | 000,331,608 | ---- | C] () -- C:\WINXP\System32\DevManagerCore.dll
[2011/04/01 00:56:00 | 000,027,872 | ---- | C] () -- C:\WINXP\System32\lvcoinst.ini
[2010/06/08 09:19:24 | 000,692,224 | ---- | C] () -- C:\WINXP\System32\libeay32.dll
[2010/06/08 09:19:24 | 000,151,552 | ---- | C] () -- C:\WINXP\System32\ssleay32.dll
[2008/04/14 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINXP\System32\noise.dat
[2008/04/14 02:06:26 | 000,001,804 | ---- | C] () -- C:\WINXP\System32\Dcache.bin
[2007/04/27 03:43:58 | 000,120,200 | ---- | C] () -- C:\WINXP\System32\DLLDEV32i.dll
[2006/12/31 01:57:08 | 000,004,569 | ---- | C] () -- C:\WINXP\System32\secupd.dat
[2005/12/10 07:06:00 | 000,540,672 | ---- | C] () -- C:\WINXP\System32\nvhwvid.dll
[2005/12/10 07:06:00 | 000,110,592 | ---- | C] () -- C:\WINXP\System32\nvapi.dll
[2005/08/26 09:28:34 | 000,143,360 | ---- | C] () -- C:\WINXP\unzip.exe
[2005/08/26 09:27:58 | 000,045,056 | ---- | C] () -- C:\WINXP\devenum.exe
[2005/02/24 06:29:14 | 000,162,176 | ---- | C] () -- C:\WINXP\System32\drivers\PFC027.sys
[2005/01/25 09:15:42 | 000,010,240 | ---- | C] () -- C:\WINXP\System32\PA207USD.DLL
[2004/11/22 07:48:08 | 000,040,960 | ---- | C] () -- C:\WINXP\98Setup.exe
[2001/08/18 07:00:00 | 013,107,200 | ---- | C] () -- C:\WINXP\System32\oembios.bin
[2001/08/18 07:00:00 | 000,673,088 | ---- | C] () -- C:\WINXP\System32\mlang.dat
[2001/08/18 07:00:00 | 000,272,128 | ---- | C] () -- C:\WINXP\System32\perfi009.dat
[2001/08/18 07:00:00 | 000,269,480 | ---- | C] () -- C:\WINXP\System32\perfi007.dat
[2001/08/18 07:00:00 | 000,218,003 | ---- | C] () -- C:\WINXP\System32\dssec.dat
[2001/08/18 07:00:00 | 000,046,258 | ---- | C] () -- C:\WINXP\System32\mib.bin
[2001/08/18 07:00:00 | 000,034,478 | ---- | C] () -- C:\WINXP\System32\perfd007.dat
[2001/08/18 07:00:00 | 000,028,626 | ---- | C] () -- C:\WINXP\System32\perfd009.dat
[2001/08/18 07:00:00 | 000,004,463 | ---- | C] () -- C:\WINXP\System32\oembios.dat
[2000/08/22 18:58:54 | 000,058,880 | ---- | C] () -- C:\WINXP\System32\crnsnmp.dll
[1999/01/22 14:46:58 | 000,065,536 | ---- | C] () -- C:\WINXP\System32\MSRTEDIT.DLL
========== LOP Check ==========
[2011/11/12 11:40:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\Opera
[2011/09/10 02:53:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\1&1 Mail & Media GmbH
[2012/05/01 13:30:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\A1 Servicecenter
[2011/10/09 05:30:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\Auslogics
[2011/10/10 17:29:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\BabylonToolbar
[2011/07/31 12:24:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\Canneverbe Limited
[2011/08/18 06:07:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\com.socialbox.socialbox
[2011/09/13 12:06:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\DeepBurner
[2012/05/15 15:52:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\Epson
[2012/04/28 14:57:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\Funmoods
[2011/06/22 14:14:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\Leadertech
[2011/08/03 14:01:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\MAGIX
[2012/05/01 13:35:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\mquadr.at
[2011/12/05 04:54:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\OpenCandy
[2011/06/19 15:21:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\Opera
[2011/07/03 16:15:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\Shareaza
[2011/10/30 17:39:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\TuneUp Software
[2012/06/12 04:21:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\Wkwypykfm
[2011/09/04 16:38:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Anwendungsdaten\Zoner
[2011/09/28 11:28:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\1und1InternetExplorerAddon
[2011/07/31 12:24:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Canneverbe Limited
[2011/08/08 14:52:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\DesktopIcons
[2011/06/22 04:50:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\EPSON
[2012/05/01 13:35:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\m2backup
[2011/08/03 14:01:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\MAGIX
[2012/05/01 13:35:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\mquadr.at
[2012/06/11 02:54:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\PDFC
[2011/12/09 11:45:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\RapidSolution
[2011/06/21 12:27:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\SBT
[2011/12/28 15:42:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\SweetIM
[2012/03/16 14:45:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Tarma Installer
[2011/10/09 05:34:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\TEMP
[2011/11/07 11:19:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\TuneUp Software
[2011/06/22 05:04:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\UDL
[2011/09/28 11:28:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\UUdb
[2011/10/30 17:38:37 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\{32364CEA-7855-4A3C-B674-53D8E9B97936}
[2011/08/03 13:54:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}
[2012/05/01 13:25:48 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\{6789B11A-FBE5-4DBD-8487-E346A9DBDCD0}
[2011/11/07 11:20:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\{83C3B2FD-37EA-4C06-A228-E9B5E32FF0B1}
[2012/05/01 13:34:36 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\{8E6CEEA5-9AE9-4FCA-83CB-ADBFDD856DC6}
[2011/06/19 12:50:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\{B7A015B7-4802-4678-8CEC-700380BA9AFD}
[2012/05/01 13:23:30 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\{D3257C41-1D3A-407B-A943-682D251F5FD2}
========== Purity Check ==========
========== Alternate Data Streams ==========
@Alternate Data Stream - 16 bytes -> C:\Dokumente und Einstellungen\prh.PRH-8791A6F9449\Eigene Dateien\Shareaza Downloads:Shareaza.GUID
@Alternate Data Stream - 130 bytes -> C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\TEMP:07BF512B
< End of report >
--------------------------------------------------------------------------- ...soweit hab ich es geschafft !! 1.) Hilfe - wie geht es jetzt weiter ?? 2.) Soll ich nun Neustarten, nachdem ich jetzt gerade gescannt habe (zum löschen)?? DANKE IM VORHINEIN  Hab auch noch eine 2. OTL-Datei (falls jemand damit etwas mehr anfangen kann) !!! Gruß geschickt wurde diese Email so: ---------------------------------------------------- Hallo Peter, Sicher ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf zwei Schreiben haben Sie ebenfalls nicht reagiert. Ihre Bestellung: Canon DBB HE Artikelnummer: 4046364995941 Stück: 1 Zwischensumme: 584,45 Euro Aufgrund zusätzlicher Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 10.- Euro inkl. MwSt. Wir bitten Sie, den ausstehenden Rechnungsbetrag in den nächsten 7 Tagen zu überweisen. Ansonsten sehen wir uns leider gezwungen, ein Betreibungsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen. Sollte sich dieses Schreiben mit der Bezahlung des ausstehenden Betrags gekreuzt haben, so betrachten Sie dieses Mahnungsschreiben bitte als gegenstandslos. Anlagen: - Rechnungsübersicht - Lieferschein Mit besten Grüßen FOTO THUN GMBH - dnet24 mit Anhang: 12.06.2012.zip Von: watasenia_scintillans@yahoo.co.jp Betreff: Dnet24.de GmbH Mahnung für Peter Artikel 1045634222997 ------------------------------------------------------------------------- gruß Email : Datum: Tue, 12. Jun 2012 09:25:37 als Zip !!! Anhang 36121 |
|
14.06.2012, 07:20
| #2 |
| /// Helfer-Team    | Windows XP - Verschlüsselungs-Trojaner // Malwarebytes + OTL (2x) -Text(log)-Dateien Hallo und Herzlich Willkommen!
__________________ für Xp als Betriebsystem sieht schlecht aus... ► Welche Art und Weise wurden die Daten (Eigene Dateien wie Bilder, Dokumente, Musik etc) bereits verschlüsselt? Kannst Du ein Beispiel nennen? Dateiändung wurden zugefügt (z.B "locked- .wxyz"), oder nach einem Zufallsprinzip besteht ein Dateiname aus Groß und Kleinbuchstaben (wie z.B QsEEUTODXNVqyssQ) andere? Nämlich manche Varianten lassen sich entschlüsseln, andere wieder leider nicht.. ich vermute wird es bei euch "QsEEUTODXNVqyssQ" sein wenn ja, dann:-> zur Info: Es tut mir leid. Kein Happy End! Diese Art der Verschlüsselung ist momentan nicht reparierbar! Die einzige Möglichkeit deine Daten zu retten ist (wenn schon dann irgendwann), aber niemand soll sich falsche Hoffnungen machen: Festplatte ausbauen (also aufheben in den aktuellen Zustand) nicht mehr etwas löschen, ändern! eine neue Festplatte kaufen und einbauen, Windows drauf installieren damit Du am PC arbeiten kannst! Die befallene Platte auf Seite legen und warten solange, bis es eine Lösung gibt zur Info: Vorgehen beim Verschlüsselungs-Trojaner :-> http://www.trojaner-board.de/114783-...ubersicht.html damit das nochmal nicht passiert, wie vermeide ich Datenverlust: ► Da sieht man wieder einmal wie wichtig ist, um die regelmäßige Sicherung (wichtigen Daten) zu kümmern Denk daran: dein Hauptsystem ist doch kein Lagerhalle! Wichtige Daten Regelmäßig sichern, am besten 2x an verschiedenen Orten! - Externe Geräte (Festplatte USB-Stick etc) nicht ständig am PC anschließen, sondern nur kurzfristig während Du etwas sichern möchtest E-Mail-Anhang - Öffne keine E-Mail-Anhänge (Attachments), wenn du den Absender nicht kennst! -> Mails besonders mit Anhang, nicht anklicken, sondern als Text oder in Druckversion anzeigen lassen. Mailprogramm grundsätzlich so einstellen gruß kira
__________________ |
|
| Themen zu Windows XP - Verschlüsselungs-Trojaner // Malwarebytes + OTL (2x) -Text(log)-Dateien |
| 100 euro virus, administrator, alternate, anlage, antivir, avira, babylon toolbar, babylontoolbar, betrugsvirus, bho, boot-cd, canon, cdburnerxp, computer, computerverschlüsselungsvirus, conduit, continue, dateisystem, desktop, disabletaskmgr, explorer, firefox, format, heuristiks/extra, heuristiks/shuriken, internet, jdownloader, logfile, lws.exe, löschen, malware.packer.genx, netgear, nvidia, object, opera, pdf, problem, pum.hijack.help, realtek, registry, software, sweetim, tarma, temp, trojan.patched, windows, windows xp, windows xp verschlüsselung, winload toolbar, yontoo, zip-datei, zip-datei geöffnet |
Linear-Darstellung
