Brauche dringend Rat und vielleicht auch Hilfe :-(

pf22s · 22.04.2014, 17:01

Hallo liebe Fories,
ich habe ein riesen Problem. Ich habe auf meinem PC mir wahrscheinlich einen Bundestrojaner eingefangen, der mir fast alle Dateien mit der Dateiendung .enc umgewandelt hat. Soweit wie ich das bis jetzt erkennen kann, betrifft das folgende Programme:
Word 2013 - muster.docx.enc
Excel 2013 - muster.xlsx.enc
Outlook 2013 - muster.pst.enc
Adobe Acrobat - muster.pdf.enc
und so weiter.

Beim Öffnen der Datein kam folgende Meldung:
[DE] Die Datei ist verschlüsselt
Um die Datei zu entschlüsseln, gehen Sie folgendermaßen vor:
1. Deaktivieren Sie Antivirus-(und Firewall) auf Ihrem Computer installiert
2. Aktivieren Sie Internet-Verbindung
3. Entpacken Sie das Archiv C:\Users\rockn_000\AppData\Local\NTodttgX\YkWnMRAq .zip (archivieren mit dem gleichen Namen auf dem Desktop). Passwort rIYgkUsO
4. Die entpackte CZGTDsMh.exe
5. Geben Sie den richtigen Code Gutschein Ukash, Paysafecard oder MoneyPack
6. Starten Sie den Computer nicht. Erwarten Sie komplette Dekodierung

Als Typ steht hinter den Datein "RTF-Datei".

Die letzten zwei Tage habe ich via Google versucht das Problem selbst zu lösen, jedoch ohne Erfolg und ich bin am Ende mit meinem Latain. Es geht mir um meine privaten Datein, wie Rechnungen, Schreiben und sonstige Unterlagen. Natürlich auch um Fotos. Bei jeder Datei, egal ob ehemals eine excel, word oder sonstige Datei steht als Zusatz enc zum Schluss. Auch das löschen der Endung und das Öffnen mit dem entsprechenden Originalprogramm brachte keinen Erfolg.

Aktuelle Situation:
-alle privaten Dateien auf externe Festplatte kopiert
-System komplett formatiert und mit Windows 7 pro installiert
-Office 2013 installiert

Was kann ich tun, um die Datein zu entschlüsseln und wieder drauf zugreifen zu können?

Ach ja, ich bin kein PC-Profi sondern nur ein popliger Anwender.

Gibt es Hoffnung die Datein wieder herzustellen?

Danke für Eure Hilfe.

schrauber · 22.04.2014, 18:47

hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Und bitte mal die Tools hier versuchen:
CryptoDefense and How_Decrypt Ransomware Information Guide and FAQ

pf22s · 22.04.2014, 19:01

Anhang 66405

Anhang 66406

Ich hoffe, dass ich die Anhänge so richtig gemacht habe?

Vielen Dank.

Patrick

schrauber · 23.04.2014, 08:50

Hi,

Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen.
Ich kann auf Arbeit keine Anhänge öffnen, danke.

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

pf22s · 23.04.2014, 09:10

Hallo,
hey die Anleitung ist genau richtig für mich. :-))

Addition.txt

Code:

ATTFilter

Additional scan result of Farbar Recovery Scan Tool (x86) Version: 22-04-2014
Ran by Patrick at 2014-04-22 16:39:06
Running from C:\Users\Patrick\Downloads
Boot Mode: Normal
==========================================================


==================== Security Center ========================

AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installed Programs ======================

Adobe Acrobat 8 Professional - English, Français, Deutsch (HKLM\...\Adobe Acrobat 8 Professional - English, Français, Deutsch) (Version: 8.0.0 - Adobe Systems)
Adobe Acrobat 8 Professional - English, Français, Deutsch (Version: 8.0.0 - Adobe Systems) Hidden
BrowseMark (HKLM\...\BrowseMark) (Version: 2014.04.22.102505 - BrowseMark) <==== ATTENTION
Free DVD Decrypter version 1.5.4 (HKLM\...\Free DVD Decrypter_is1) (Version:  - DVDVideoSoft Limited.)
HitmanPro 3.7 (HKLM\...\HitmanPro37) (Version: 3.7.9.216 - SurfRight B.V.)
Microsoft Office Professional 2013 - de-de (HKLM\...\ProfessionalRetail - de-de) (Version: 15.0.4433.1508 - Microsoft Corporation)
Microsoft SkyDrive (HKCU\...\SkyDriveSetup.exe) (Version: 16.4.6012.0828 - Microsoft Corporation)
Mozilla Firefox 28.0 (x86 de) (HKLM\...\Mozilla Firefox 28.0 (x86 de)) (Version: 28.0 - Mozilla)
Mozilla Maintenance Service (HKLM\...\MozillaMaintenanceService) (Version: 28.0 - Mozilla)
Mysearchdial (HKLM\...\mysearchdial) (Version:  - Mysearchdial) <==== ATTENTION
Office 15 Click-to-Run Extensibility Component (Version: 15.0.4433.1508 - Microsoft Corporation) Hidden
Office 15 Click-to-Run Licensing Component (Version: 15.0.4433.1508 - Microsoft Corporation) Hidden
Office 15 Click-to-Run Localization Component (Version: 15.0.4433.1508 - Microsoft Corporation) Hidden
RegClean Pro (HKLM\...\RegClean Pro_is1) (Version: 6.21 - Systweak Inc) <==== ATTENTION
TrueCrypt (HKLM\...\TrueCrypt) (Version: 7.1a - TrueCrypt Foundation)
Uninstall 1.0.0.1 (HKLM\...\Uninstall_is1) (Version:  - )

==================== Restore Points  =========================

21-04-2014 11:32:38 Windows Update
21-04-2014 12:09:30 Installed Adobe Acrobat 8 Professional - English, Français, Deutsch
21-04-2014 17:36:33 Windows Update
22-04-2014 13:55:48 TrueCrypt installation
22-04-2014 14:23:45 RegClean Pro Di, Apr 22, 14  16:23

==================== Hosts content: ==========================

2009-07-14 04:04 - 2009-06-10 23:39 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

Task: {39CF3506-72AE-406C-A566-F47AEEFF29CA} - System32\Tasks\RegClean Pro => C:\Program Files\RegClean Pro\RegCleanPro.exe [2014-01-21] (Systweak Inc) <==== ATTENTION
Task: {69393DC5-E205-40C3-890E-1F53E127C278} - System32\Tasks\Microsoft\Office\Office Automatic Updates => C:\Program Files\Microsoft Office 15\ClientX86\OfficeC2RClient.exe [2014-03-30] (Microsoft Corporation)
Task: {8CC97386-D1A0-4A98-8B47-B54720656025} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files\RegClean Pro\RegCleanPro.exe [2014-01-21] (Systweak Inc) <==== ATTENTION
Task: {E5D916B7-FFBC-4D2A-9F7E-207F597CAB7F} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files\RegClean Pro\RegCleanPro.exe [2014-01-21] (Systweak Inc) <==== ATTENTION
Task: {EE759CED-D81C-4A37-99F1-531A9CA78A88} - System32\Tasks\Advanced System Protector => C:\Program Files\RegClean Pro\SystweakASP.exe [2014-01-17] (Systweak Inc                                                ) <==== ATTENTION
Task: {FF0FE7E9-1179-4128-A5A2-374DC491A85F} - System32\Tasks\MySearchDial => C:\Users\Patrick\AppData\Roaming\mysearchdial\UpdateProc\UpdateTask.exe [2013-04-12] () <==== ATTENTION
Task: C:\Windows\Tasks\MySearchDial.job => C:\Users\Patrick\AppData\Roaming\MYSEAR~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: C:\Windows\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files\RegClean Pro\RegCleanPro.exe <==== ATTENTION
Task: C:\Windows\Tasks\RegClean Pro_UPDATES.job => C:\Program Files\RegClean Pro\RegCleanPro.exe <==== ATTENTION

==================== Loaded Modules (whitelisted) =============

2014-04-22 14:14 - 2013-10-31 18:14 - 00077992 _____ () C:\Program Files\Microsoft Office 15\ClientX86\ApiClient.dll
2014-04-21 19:11 - 2014-03-25 07:08 - 00420008 _____ () C:\Program Files\Microsoft Office 15\ClientX86\StreamServer.dll
2014-04-22 12:25 - 2014-04-22 12:25 - 00350496 _____ () C:\Program Files\BrowseMark\updateBrowseMark.exe
2014-04-21 14:01 - 2014-03-15 10:40 - 03642480 _____ () C:\Program Files\Mozilla Firefox\mozjs.dll

==================== Alternate Data Streams (whitelisted) =========


==================== Safe Mode (whitelisted) ===================


==================== Disabled items from MSCONFIG ==============


==================== Faulty Device Manager Devices =============

Name: PCI-Eingabegerät
Description: PCI-Eingabegerät
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name: Audiocontroller für Multimedia
Description: Audiocontroller für Multimedia
Class Guid: 
Manufacturer:

FRST_22-04-2014_19-56-43.txt

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 22-04-2014
Ran by Patrick (administrator) on PATRICK-PC on 22-04-2014 19:56:28
Running from C:\Users\Patrick\Downloads
Microsoft Windows 7 Professional  Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Normal



==================== Processes (Whitelisted) =================

(Microsoft Corporation) C:\Program Files\Microsoft Office 15\ClientX86\OfficeClickToRun.exe
(Adobe Systems Inc.) C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
(Macrovision Europe Ltd.) C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
(SurfRight B.V.) C:\Program Files\HitmanPro\hmpsched.exe
(Microsoft Corporation) C:\Windows\system32\wuauclt.exe
(TrueCrypt Foundation) C:\Program Files\TrueCrypt\TrueCrypt.exe
() C:\Program Files\BrowseMark\updateBrowseMark.exe
() C:\Program Files\BrowseMark\bin\utilBrowseMark.exe
(Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe
(Microsoft Corporation) C:\Windows\System32\dinotify.exe
(Microsoft Corporation) C:\Windows\system32\DrvInst.exe


==================== Registry (Whitelisted) ==================

HKLM\...\Run: [Acrobat Assistant 8.0] => C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe [620152 2006-10-22] (Adobe Systems Inc.)
HKLM\...\Run: [] => [X]
HKLM\...\Runonce: [Del2840406] - cmd.exe /Q /D /c del "C:\Users\Patrick\AppData\Local\Temp\0.del"
HKU\S-1-5-21-2076744605-2191871077-3822480023-1000\...\RunOnce: [Del2840406] - cmd.exe /Q /D /c del "C:\Users\Patrick\AppData\Local\Temp\0.del"

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.mysearchdial.com/?f=1&a=ir_14_17_ff&cd=2XzuyEtN2Y1L1QzutDtDtByEtBtCtD0ByEtCzz0BtA0C0EzztN0D0Tzu0SzzyEtAtN1L2XzutBtFtBtDtFtCtFtDtN1L1CzutCyEtDtAtDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyEyE0EtD0FzzyD0EtGtByC0D0BtGtC0Czz0CtGyBtCzztAtGtAtAyDzz0B0CtA0CtCyByCyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2StB0DtBzytB0B0FyBtGyBzzyBtBtGtBzyzztDtG0AtB0DyBtGyC0BtByEtDyE0CyDtDtD0ByE2Q&cr=2103807937&ir=
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x67126796555DCF01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.mysearchdial.com/?f=1&a=ir_14_17_ff&cd=2XzuyEtN2Y1L1QzutDtDtByEtBtCtD0ByEtCzz0BtA0C0EzztN0D0Tzu0SzzyEtAtN1L2XzutBtFtBtDtFtCtFtDtN1L1CzutCyEtDtAtDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyEyE0EtD0FzzyD0EtGtByC0D0BtGtC0Czz0CtGyBtCzztAtGtAtAyDzz0B0CtA0CtCyByCyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2StB0DtBzytB0B0FyBtGyBzzyBtBtGtBzyzztDtG0AtB0DyBtGyC0BtByEtDyE0CyDtDtD0ByE2Q&cr=2103807937&ir=
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ir_14_17_ff&cd=2XzuyEtN2Y1L1QzutDtDtByEtBtCtD0ByEtCzz0BtA0C0EzztN0D0Tzu0SzzyEtAtN1L2XzutBtFtBtDtFtCtFtDtN1L1CzutCyEtDtAtDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyEyE0EtD0FzzyD0EtGtByC0D0BtGtC0Czz0CtGyBtCzztAtGtAtAyDzz0B0CtA0CtCyByCyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2StB0DtBzytB0B0FyBtGyBzzyBtBtGtBzyzztDtG0AtB0DyBtGyC0BtByEtDyE0CyDtDtD0ByE2Q&cr=2103807937&ir=
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ir_14_17_ff&cd=2XzuyEtN2Y1L1QzutDtDtByEtBtCtD0ByEtCzz0BtA0C0EzztN0D0Tzu0SzzyEtAtN1L2XzutBtFtBtDtFtCtFtDtN1L1CzutCyEtDtAtDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyEyE0EtD0FzzyD0EtGtByC0D0BtGtC0Czz0CtGyBtCzztAtGtAtAyDzz0B0CtA0CtCyByCyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2StB0DtBzytB0B0FyBtGyBzzyBtBtGtBzyzztDtG0AtB0DyBtGyC0BtByEtDyE0CyDtDtD0ByE2Q&cr=2103807937&ir=
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ir_14_17_ff&cd=2XzuyEtN2Y1L1QzutDtDtByEtBtCtD0ByEtCzz0BtA0C0EzztN0D0Tzu0SzzyEtAtN1L2XzutBtFtBtDtFtCtFtDtN1L1CzutCyEtDtAtDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyEyE0EtD0FzzyD0EtGtByC0D0BtGtC0Czz0CtGyBtCzztAtGtAtAyDzz0B0CtA0CtCyByCyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2StB0DtBzytB0B0FyBtGyBzzyBtBtGtBzyzztDtG0AtB0DyBtGyC0BtByEtDyE0CyDtDtD0ByE2Q&cr=2103807937&ir=
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ir_14_17_ff&cd=2XzuyEtN2Y1L1QzutDtDtByEtBtCtD0ByEtCzz0BtA0C0EzztN0D0Tzu0SzzyEtAtN1L2XzutBtFtBtDtFtCtFtDtN1L1CzutCyEtDtAtDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyEyE0EtD0FzzyD0EtGtByC0D0BtGtC0Czz0CtGyBtCzztAtGtAtAyDzz0B0CtA0CtCyByCyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2StB0DtBzytB0B0FyBtGyBzzyBtBtGtBzyzztDtG0AtB0DyBtGyC0BtByEtDyE0CyDtDtD0ByE2Q&cr=2103807937&ir=
BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
BHO: BrowseMark - {aeac172e-2e4b-4b92-9af6-b0cdb1acecdb} - C:\Program Files\BrowseMark\BrowseMarkbho.dll (BrowseMark)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office 15\root\Office15\URLREDIR.DLL (Microsoft Corporation)
BHO: mysearchdial Helper Object - {EF5625A3-37AB-4BDB-9875-2A3D91CD0DFD} - C:\Program Files\Mysearchdial\1.8.29.0\bh\mysearchdial.dll (MySearchDial)
Toolbar: HKLM - Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
Toolbar: HKLM - mysearchdial Toolbar - {3004627E-F8E9-4E8B-909D-316753CBA923} - C:\Program Files\Mysearchdial\1.8.29.0\mysearchdialTlbr.dll (MySearchDial)
Toolbar: HKCU - Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
Handler: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files\Microsoft Office 15\root\Office15\MSOSB.DLL (Microsoft Corporation)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

FireFox:
========
FF ProfilePath: C:\Users\Patrick\AppData\Roaming\Mozilla\Firefox\Profiles\ns9gx71i.default
FF user.js: detected! => C:\Users\Patrick\AppData\Roaming\Mozilla\Firefox\Profiles\ns9gx71i.default\user.js
FF DefaultSearchEngine: Mysearchdial
FF SearchEngineOrder.1: Mysearchdial
FF SelectedSearchEngine: Mysearchdial
FF Homepage: hxxp://start.mysearchdial.com/?f=1&a=ir_14_17_ff&cd=2XzuyEtN2Y1L1QzutDtDtByEtBtCtD0ByEtCzz0BtA0C0EzztN0D0Tzu0SzzyEtAtN1L2XzutBtFtBtDtFtCtFtDtN1L1CzutCyEtDtAtDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyEyE0EtD0FzzyD0EtGtByC0D0BtGtC0Czz0CtGyBtCzztAtGtAtAyDzz0B0CtA0CtCyByCyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2StB0DtBzytB0B0FyBtGyBzzyBtBtGtBzyzztDtG0AtB0DyBtGyC0BtByEtDyE0CyDtDtD0ByE2Q&cr=2103807937&ir=
FF Plugin: @microsoft.com/SharePoint,version=14.0 - C:\Program Files\Microsoft Office 15\root\Office15\NPSPWRAP.DLL (Microsoft Corporation)
FF SearchPlugin: C:\Users\Patrick\AppData\Roaming\Mozilla\Firefox\Profiles\ns9gx71i.default\searchplugins\Mysearchdial.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\yahoo-de.xml
FF Extension: mysearchdial.com - C:\Users\Patrick\AppData\Roaming\Mozilla\Firefox\Profiles\ns9gx71i.default\Extensions\ffxtlbr@mysearchdial.com [2014-04-22]
FF Extension: MySearchDial NewTab - C:\Users\Patrick\AppData\Roaming\Mozilla\Firefox\Profiles\ns9gx71i.default\Extensions\{ad9a41d2-9a49-4fa6-a79e-71a0785364c8} [2014-04-22]
FF Extension: BrowseMark - C:\Users\Patrick\AppData\Roaming\Mozilla\Firefox\Profiles\ns9gx71i.default\Extensions\{b99c8534-7800-48fa-bd71-519a46cdc7e1}.xpi [2014-04-22]

========================== Services (Whitelisted) =================

R2 ClickToRunSvc; C:\Program Files\Microsoft Office 15\ClientX86\OfficeClickToRun.exe [1520824 2014-03-30] (Microsoft Corporation)
R2 HitmanProScheduler; C:\Program Files\HitmanPro\hmpsched.exe [106248 2014-04-21] (SurfRight B.V.)
R2 Update BrowseMark; C:\Program Files\BrowseMark\updateBrowseMark.exe [350496 2014-04-22] ()
R2 Util BrowseMark; C:\Program Files\BrowseMark\bin\utilBrowseMark.exe [350496 2014-04-22] ()

==================== Drivers (Whitelisted) ====================

R1 wStLibG; C:\Windows\System32\drivers\wStLibG.sys [52928 2014-04-22] (StdLib)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-04-22 18:19 - 2014-04-22 18:19 - 00052928 _____ (StdLib) C:\Windows\system32\Drivers\wStLibG.sys
2014-04-22 17:45 - 2014-04-22 17:45 - 00000044 _____ () C:\Users\Patrick\AppData\Roaming\WB.CFG
2014-04-22 16:39 - 2014-04-22 16:39 - 00015012 _____ () C:\Users\Patrick\Downloads\Addition.txt
2014-04-22 16:38 - 2014-04-22 19:56 - 00009266 _____ () C:\Users\Patrick\Downloads\FRST.txt
2014-04-22 16:38 - 2014-04-22 19:56 - 00000000 ____D () C:\FRST
2014-04-22 16:37 - 2014-04-22 16:38 - 01048064 _____ (Farbar) C:\Users\Patrick\Downloads\FRST.exe
2014-04-22 16:37 - 2014-04-22 16:37 - 00000248 _____ () C:\Users\Patrick\Downloads\defogger_enable.log
2014-04-22 16:36 - 2014-04-22 16:36 - 00000476 _____ () C:\Users\Patrick\Downloads\defogger_disable.log
2014-04-22 16:35 - 2014-04-22 16:35 - 00050477 _____ () C:\Users\Patrick\Downloads\Defogger.exe
2014-04-22 16:31 - 2014-04-22 19:37 - 00000300 _____ () C:\Windows\Tasks\MySearchDial.job
2014-04-22 16:29 - 2014-04-22 16:29 - 00001238 _____ () C:\Users\Patrick\Desktop\Free DVD Decrypter.lnk
2014-04-22 16:29 - 2014-04-22 16:29 - 00001201 _____ () C:\Users\Patrick\Desktop\DVDVideoSoft Free Studio.lnk
2014-04-22 16:29 - 2014-04-22 16:29 - 00000000 ____D () C:\Users\Patrick\Documents\DVDVideoSoft
2014-04-22 16:29 - 2014-04-22 16:29 - 00000000 ____D () C:\Program Files\DVDVideoSoft
2014-04-22 16:29 - 2014-04-22 16:29 - 00000000 ____D () C:\Program Files\Common Files\DVDVideoSoft
2014-04-22 16:27 - 2014-04-22 17:48 - 00000000 ____D () C:\Program Files\BrowseMark
2014-04-22 16:20 - 2014-04-22 16:21 - 00000000 ____D () C:\Users\Patrick\AppData\Roaming\Advanced System Protector
2014-04-22 16:20 - 2014-04-22 16:20 - 00001012 _____ () C:\Users\Public\Desktop\RegClean Pro.lnk
2014-04-22 16:20 - 2014-04-22 16:20 - 00000276 _____ () C:\Windows\Tasks\RegClean Pro_UPDATES.job
2014-04-22 16:20 - 2014-04-22 16:20 - 00000268 _____ () C:\Windows\Tasks\RegClean Pro_DEFAULT.job
2014-04-22 16:20 - 2014-04-22 16:20 - 00000000 ____D () C:\Users\Patrick\AppData\Roaming\systweak
2014-04-22 16:20 - 2014-04-22 16:20 - 00000000 ____D () C:\Program Files\RegClean Pro
2014-04-22 16:20 - 2014-01-21 17:28 - 00018776 _____ (Systweak Inc., (www.systweak.com)) C:\Windows\system32\roboot.exe
2014-04-22 16:19 - 2014-04-22 16:31 - 00000000 ____D () C:\Users\Patrick\AppData\Roaming\mysearchdial
2014-04-22 16:19 - 2014-04-22 16:19 - 00000000 ____D () C:\Program Files\Mysearchdial
2014-04-22 16:18 - 2014-04-22 16:18 - 10805224 _____ (DVDVideoSoft Limited. ) C:\Users\Patrick\Downloads\free-dvd-decrypter-1-5-4-es-en-pt-fr-de-it-cn-jp.exe
2014-04-22 16:12 - 2014-04-22 16:12 - 00683008 _____ ( ) C:\Users\Patrick\Downloads\free-dvd-decrypter-1-5-4-16618-de-setup.exe
2014-04-22 16:00 - 2014-04-22 16:00 - 00069183 _____ () C:\Users\Patrick\Downloads\langpack-de-1.0.1-for-truecrypt-7.1a.zip
2014-04-22 15:56 - 2014-04-22 15:57 - 00000000 ____D () C:\Users\Patrick\AppData\Roaming\TrueCrypt
2014-04-22 15:56 - 2014-04-22 15:56 - 00001032 _____ () C:\Users\Public\Desktop\TrueCrypt.lnk
2014-04-22 15:55 - 2014-04-22 16:01 - 00000000 ____D () C:\Program Files\TrueCrypt
2014-04-22 15:55 - 2014-04-22 15:55 - 00231760 _____ (TrueCrypt Foundation) C:\Windows\system32\Drivers\truecrypt.sys
2014-04-22 15:54 - 2014-04-22 15:55 - 03466248 _____ (TrueCrypt Foundation) C:\Users\Patrick\Downloads\truecrypt_setup_7.1a.exe
2014-04-22 14:31 - 2014-04-22 15:12 - 00000000 ____D () C:\Patrick
2014-04-21 19:15 - 2014-04-21 19:15 - 00002188 _____ () C:\Users\Patrick\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft SkyDrive.lnk
2014-04-21 19:15 - 2014-04-21 19:15 - 00002082 _____ () C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft SkyDrive.lnk
2014-04-21 19:15 - 2014-04-21 19:15 - 00002082 _____ () C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft SkyDrive.lnk
2014-04-21 19:15 - 2014-04-21 19:15 - 00000000 ___RD () C:\Users\Patrick\SkyDrive
2014-04-21 19:15 - 2014-04-21 19:15 - 00000000 ____D () C:\ProgramData\Microsoft SkyDrive
2014-04-21 19:15 - 2014-04-21 19:15 - 00000000 ____D () C:\Program Files\Microsoft.NET
2014-04-21 19:15 - 2014-04-21 19:15 - 00000000 ____D () C:\Program Files\Microsoft SkyDrive
2014-04-21 19:15 - 2014-04-21 19:15 - 00000000 ____D () C:\Program Files\Common Files\DESIGNER
2014-04-21 19:12 - 2014-04-21 19:12 - 00000000 ____D () C:\Program Files\Microsoft Office
2014-04-21 19:11 - 2014-04-21 19:12 - 00000000 ____D () C:\Program Files\Microsoft Office 15
2014-04-21 19:08 - 2014-04-21 19:08 - 00058416 _____ () C:\Users\Patrick\AppData\Local\GDIPFONTCACHEV1.DAT
2014-04-21 18:56 - 2014-04-22 15:45 - 00000000 ____D () C:\Program Files\HitmanPro
2014-04-21 18:56 - 2014-04-22 14:26 - 00001833 _____ () C:\Users\Public\Desktop\HitmanPro.lnk
2014-04-21 18:51 - 2014-04-21 18:57 - 00000000 ____D () C:\ProgramData\HitmanPro
2014-04-21 14:23 - 2011-03-11 07:33 - 01164288 _____ (Microsoft Corporation) C:\Windows\system32\mfc42u.dll
2014-04-21 14:23 - 2011-03-11 07:33 - 01137664 _____ (Microsoft Corporation) C:\Windows\system32\mfc42.dll
2014-04-21 14:11 - 2014-04-21 14:11 - 00000000 ____D () C:\Users\Patrick\AppData\Roaming\Adobe
2014-04-21 14:11 - 2014-04-21 14:11 - 00000000 ____D () C:\Users\Patrick\AppData\Local\Adobe
2014-04-21 14:11 - 2014-04-21 14:11 - 00000000 ____D () C:\ProgramData\FLEXnet
2014-04-21 14:11 - 2014-04-21 14:11 - 00000000 ____D () C:\Program Files\Common Files\Macrovision Shared
2014-04-21 14:10 - 2014-04-21 19:05 - 00001991 _____ () C:\Users\Public\Desktop\Adobe Acrobat 8 Professional.lnk
2014-04-21 14:10 - 2014-04-21 19:04 - 00000000 ____D () C:\ProgramData\Adobe
2014-04-21 14:10 - 2014-04-21 14:11 - 00000000 ____D () C:\Program Files\Common Files\Adobe
2014-04-21 14:10 - 2014-04-21 14:10 - 00000000 ____D () C:\Program Files\Adobe
2014-04-21 14:05 - 2014-04-21 14:05 - 00008192 __RSH () C:\BOOTSECT.BAK
2014-04-21 14:05 - 2014-04-21 13:29 - 00000000 ____D () C:\Windows\Panther
2014-04-21 14:05 - 2010-11-20 23:29 - 00383786 __RSH () C:\bootmgr
2014-04-21 14:01 - 2014-04-21 14:01 - 00001109 _____ () C:\Users\Public\Desktop\Mozilla Firefox.lnk
2014-04-21 14:01 - 2014-04-21 14:01 - 00000000 ____D () C:\Users\Patrick\AppData\Roaming\Mozilla
2014-04-21 14:01 - 2014-04-21 14:01 - 00000000 ____D () C:\Users\Patrick\AppData\Local\Mozilla
2014-04-21 14:01 - 2014-04-21 14:01 - 00000000 ____D () C:\ProgramData\Mozilla
2014-04-21 14:01 - 2014-04-21 14:01 - 00000000 ____D () C:\Program Files\Mozilla Maintenance Service
2014-04-21 14:01 - 2014-04-21 14:01 - 00000000 ____D () C:\Program Files\Mozilla Firefox
2014-04-21 13:33 - 2012-06-03 00:19 - 01933848 _____ (Microsoft Corporation) C:\Windows\system32\wuaueng.dll
2014-04-21 13:33 - 2012-06-03 00:19 - 00053784 _____ (Microsoft Corporation) C:\Windows\system32\wuauclt.exe
2014-04-21 13:33 - 2012-06-03 00:19 - 00045080 _____ (Microsoft Corporation) C:\Windows\system32\wups2.dll
2014-04-21 13:33 - 2012-06-03 00:12 - 02422272 _____ (Microsoft Corporation) C:\Windows\system32\wucltux.dll
2014-04-21 13:32 - 2012-06-03 00:19 - 00577048 _____ (Microsoft Corporation) C:\Windows\system32\wuapi.dll
2014-04-21 13:32 - 2012-06-03 00:19 - 00035864 _____ (Microsoft Corporation) C:\Windows\system32\wups.dll
2014-04-21 13:32 - 2012-06-03 00:12 - 00088576 _____ (Microsoft Corporation) C:\Windows\system32\wudriver.dll
2014-04-21 13:32 - 2012-06-02 15:19 - 00171904 _____ (Microsoft Corporation) C:\Windows\system32\wuwebv.dll
2014-04-21 13:32 - 2012-06-02 15:12 - 00033792 _____ (Microsoft Corporation) C:\Windows\system32\wuapp.exe
2014-04-21 13:30 - 2014-04-21 13:30 - 00001413 _____ () C:\Users\Patrick\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2014-04-21 13:29 - 2014-04-22 16:37 - 00000000 ____D () C:\Users\Patrick
2014-04-21 13:29 - 2014-04-21 19:03 - 00000000 ____D () C:\Users\Patrick\AppData\Local\VirtualStore
2014-04-21 13:29 - 2014-04-21 13:29 - 00000020 ___SH () C:\Users\Patrick\ntuser.ini
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Public\Documents\Eigene Musik
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Public\Documents\Eigene Bilder
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Patrick\Startmenü
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Patrick\Netzwerkumgebung
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Patrick\Druckumgebung
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Patrick\Documents\Eigene Musik
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Patrick\Documents\Eigene Bilder
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Patrick\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Patrick\AppData\Local\Verlauf
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default\Startmenü
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default\Netzwerkumgebung
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default\Druckumgebung
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default\Documents\Eigene Musik
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default\Documents\Eigene Bilder
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default\AppData\Local\Verlauf
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default User\Documents\Eigene Musik
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default User\Documents\Eigene Bilder
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default User\AppData\Local\Verlauf
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Programme
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\ProgramData\Startmenü
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\ProgramData\Dokumente
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 __SHD () C:\Recovery
2014-04-21 13:29 - 2009-07-14 06:42 - 00000000 ___RD () C:\Users\Patrick\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
2014-04-21 13:29 - 2009-07-14 06:37 - 00000000 ___RD () C:\Users\Patrick\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance
2014-04-21 13:08 - 2014-04-22 19:43 - 01275913 _____ () C:\Windows\WindowsUpdate.log
2014-04-21 13:07 - 2014-04-21 13:07 - 00000000 ____H () C:\Windows\system32\Drivers\Msft_User_WpdFs_01_09_00.Wdf
2014-04-21 13:06 - 2014-04-21 13:08 - 00001355 _____ () C:\Windows\TSSysprep.log

==================== One Month Modified Files and Folders =======

2014-04-22 19:56 - 2014-04-22 16:38 - 00009266 _____ () C:\Users\Patrick\Downloads\FRST.txt
2014-04-22 19:56 - 2014-04-22 16:38 - 00000000 ____D () C:\FRST
2014-04-22 19:46 - 2009-07-14 06:34 - 00020656 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-04-22 19:46 - 2009-07-14 06:34 - 00020656 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-04-22 19:45 - 2014-04-21 13:08 - 01275913 _____ () C:\Windows\WindowsUpdate.log
2014-04-22 19:43 - 2010-11-20 23:01 - 01472002 _____ () C:\Windows\system32\PerfStringBackup.INI
2014-04-22 19:41 - 2009-07-14 06:39 - 00027231 _____ () C:\Windows\setupact.log
2014-04-22 19:37 - 2014-04-22 16:31 - 00000300 _____ () C:\Windows\Tasks\MySearchDial.job
2014-04-22 18:19 - 2014-04-22 18:19 - 00052928 _____ (StdLib) C:\Windows\system32\Drivers\wStLibG.sys
2014-04-22 17:48 - 2014-04-22 16:27 - 00000000 ____D () C:\Program Files\BrowseMark
2014-04-22 17:45 - 2014-04-22 17:45 - 00000044 _____ () C:\Users\Patrick\AppData\Roaming\WB.CFG
2014-04-22 17:06 - 2009-07-14 04:37 - 00000000 ____D () C:\Windows\rescache
2014-04-22 16:39 - 2014-04-22 16:39 - 00015012 _____ () C:\Users\Patrick\Downloads\Addition.txt
2014-04-22 16:38 - 2014-04-22 16:37 - 01048064 _____ (Farbar) C:\Users\Patrick\Downloads\FRST.exe
2014-04-22 16:37 - 2014-04-22 16:37 - 00000248 _____ () C:\Users\Patrick\Downloads\defogger_enable.log
2014-04-22 16:37 - 2014-04-21 13:29 - 00000000 ____D () C:\Users\Patrick
2014-04-22 16:36 - 2014-04-22 16:36 - 00000476 _____ () C:\Users\Patrick\Downloads\defogger_disable.log
2014-04-22 16:35 - 2014-04-22 16:35 - 00050477 _____ () C:\Users\Patrick\Downloads\Defogger.exe
2014-04-22 16:31 - 2014-04-22 16:19 - 00000000 ____D () C:\Users\Patrick\AppData\Roaming\mysearchdial
2014-04-22 16:29 - 2014-04-22 16:29 - 00001238 _____ () C:\Users\Patrick\Desktop\Free DVD Decrypter.lnk
2014-04-22 16:29 - 2014-04-22 16:29 - 00001201 _____ () C:\Users\Patrick\Desktop\DVDVideoSoft Free Studio.lnk
2014-04-22 16:29 - 2014-04-22 16:29 - 00000000 ____D () C:\Users\Patrick\Documents\DVDVideoSoft
2014-04-22 16:29 - 2014-04-22 16:29 - 00000000 ____D () C:\Program Files\DVDVideoSoft
2014-04-22 16:29 - 2014-04-22 16:29 - 00000000 ____D () C:\Program Files\Common Files\DVDVideoSoft
2014-04-22 16:21 - 2014-04-22 16:20 - 00000000 ____D () C:\Users\Patrick\AppData\Roaming\Advanced System Protector
2014-04-22 16:20 - 2014-04-22 16:20 - 00001012 _____ () C:\Users\Public\Desktop\RegClean Pro.lnk
2014-04-22 16:20 - 2014-04-22 16:20 - 00000276 _____ () C:\Windows\Tasks\RegClean Pro_UPDATES.job
2014-04-22 16:20 - 2014-04-22 16:20 - 00000268 _____ () C:\Windows\Tasks\RegClean Pro_DEFAULT.job
2014-04-22 16:20 - 2014-04-22 16:20 - 00000000 ____D () C:\Users\Patrick\AppData\Roaming\systweak
2014-04-22 16:20 - 2014-04-22 16:20 - 00000000 ____D () C:\Program Files\RegClean Pro
2014-04-22 16:19 - 2014-04-22 16:19 - 00000000 ____D () C:\Program Files\Mysearchdial
2014-04-22 16:18 - 2014-04-22 16:18 - 10805224 _____ (DVDVideoSoft Limited. ) C:\Users\Patrick\Downloads\free-dvd-decrypter-1-5-4-es-en-pt-fr-de-it-cn-jp.exe
2014-04-22 16:12 - 2014-04-22 16:12 - 00683008 _____ ( ) C:\Users\Patrick\Downloads\free-dvd-decrypter-1-5-4-16618-de-setup.exe
2014-04-22 16:01 - 2014-04-22 15:55 - 00000000 ____D () C:\Program Files\TrueCrypt
2014-04-22 16:00 - 2014-04-22 16:00 - 00069183 _____ () C:\Users\Patrick\Downloads\langpack-de-1.0.1-for-truecrypt-7.1a.zip
2014-04-22 15:57 - 2014-04-22 15:56 - 00000000 ____D () C:\Users\Patrick\AppData\Roaming\TrueCrypt
2014-04-22 15:56 - 2014-04-22 15:56 - 00001032 _____ () C:\Users\Public\Desktop\TrueCrypt.lnk
2014-04-22 15:55 - 2014-04-22 15:55 - 00231760 _____ (TrueCrypt Foundation) C:\Windows\system32\Drivers\truecrypt.sys
2014-04-22 15:55 - 2014-04-22 15:54 - 03466248 _____ (TrueCrypt Foundation) C:\Users\Patrick\Downloads\truecrypt_setup_7.1a.exe
2014-04-22 15:45 - 2014-04-21 18:56 - 00000000 ____D () C:\Program Files\HitmanPro
2014-04-22 15:43 - 2009-07-14 06:53 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2014-04-22 15:12 - 2014-04-22 14:31 - 00000000 ____D () C:\Patrick
2014-04-22 14:26 - 2014-04-21 18:56 - 00001833 _____ () C:\Users\Public\Desktop\HitmanPro.lnk
2014-04-22 14:25 - 2009-07-14 04:37 - 00000000 ____D () C:\Windows\system32\de-DE
2014-04-22 14:03 - 2010-11-20 23:48 - 00008722 _____ () C:\Windows\PFRO.log
2014-04-22 14:03 - 2009-07-14 06:33 - 00439648 _____ () C:\Windows\system32\FNTCACHE.DAT
2014-04-21 19:22 - 2009-07-14 04:37 - 00000000 ____D () C:\Windows\Microsoft.NET
2014-04-21 19:15 - 2014-04-21 19:15 - 00002188 _____ () C:\Users\Patrick\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft SkyDrive.lnk
2014-04-21 19:15 - 2014-04-21 19:15 - 00002082 _____ () C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft SkyDrive.lnk
2014-04-21 19:15 - 2014-04-21 19:15 - 00002082 _____ () C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft SkyDrive.lnk
2014-04-21 19:15 - 2014-04-21 19:15 - 00000000 ___RD () C:\Users\Patrick\SkyDrive
2014-04-21 19:15 - 2014-04-21 19:15 - 00000000 ____D () C:\ProgramData\Microsoft SkyDrive
2014-04-21 19:15 - 2014-04-21 19:15 - 00000000 ____D () C:\Program Files\Microsoft.NET
2014-04-21 19:15 - 2014-04-21 19:15 - 00000000 ____D () C:\Program Files\Microsoft SkyDrive
2014-04-21 19:15 - 2014-04-21 19:15 - 00000000 ____D () C:\Program Files\Common Files\DESIGNER
2014-04-21 19:15 - 2009-07-14 04:37 - 00000000 ____D () C:\Program Files\Common Files\microsoft shared
2014-04-21 19:12 - 2014-04-21 19:12 - 00000000 ____D () C:\Program Files\Microsoft Office
2014-04-21 19:12 - 2014-04-21 19:11 - 00000000 ____D () C:\Program Files\Microsoft Office 15
2014-04-21 19:08 - 2014-04-21 19:08 - 00058416 _____ () C:\Users\Patrick\AppData\Local\GDIPFONTCACHEV1.DAT
2014-04-21 19:05 - 2014-04-21 14:10 - 00001991 _____ () C:\Users\Public\Desktop\Adobe Acrobat 8 Professional.lnk
2014-04-21 19:04 - 2014-04-21 14:10 - 00000000 ____D () C:\ProgramData\Adobe
2014-04-21 19:03 - 2014-04-21 13:29 - 00000000 ____D () C:\Users\Patrick\AppData\Local\VirtualStore
2014-04-21 18:57 - 2014-04-21 18:51 - 00000000 ____D () C:\ProgramData\HitmanPro
2014-04-21 14:11 - 2014-04-21 14:11 - 00000000 ____D () C:\Users\Patrick\AppData\Roaming\Adobe
2014-04-21 14:11 - 2014-04-21 14:11 - 00000000 ____D () C:\Users\Patrick\AppData\Local\Adobe
2014-04-21 14:11 - 2014-04-21 14:11 - 00000000 ____D () C:\ProgramData\FLEXnet
2014-04-21 14:11 - 2014-04-21 14:11 - 00000000 ____D () C:\Program Files\Common Files\Macrovision Shared
2014-04-21 14:11 - 2014-04-21 14:10 - 00000000 ____D () C:\Program Files\Common Files\Adobe
2014-04-21 14:10 - 2014-04-21 14:10 - 00000000 ____D () C:\Program Files\Adobe
2014-04-21 14:10 - 2009-07-14 04:37 - 00000000 ____D () C:\Windows\system32\LogFiles
2014-04-21 14:05 - 2014-04-21 14:05 - 00008192 __RSH () C:\BOOTSECT.BAK
2014-04-21 14:05 - 2009-07-14 06:57 - 00025600 ___SH () C:\Windows\system32\config\BCD-Template.LOG
2014-04-21 14:05 - 2009-07-14 06:52 - 00028672 _____ () C:\Windows\system32\config\BCD-Template
2014-04-21 14:01 - 2014-04-21 14:01 - 00001109 _____ () C:\Users\Public\Desktop\Mozilla Firefox.lnk
2014-04-21 14:01 - 2014-04-21 14:01 - 00000000 ____D () C:\Users\Patrick\AppData\Roaming\Mozilla
2014-04-21 14:01 - 2014-04-21 14:01 - 00000000 ____D () C:\Users\Patrick\AppData\Local\Mozilla
2014-04-21 14:01 - 2014-04-21 14:01 - 00000000 ____D () C:\ProgramData\Mozilla
2014-04-21 14:01 - 2014-04-21 14:01 - 00000000 ____D () C:\Program Files\Mozilla Maintenance Service
2014-04-21 14:01 - 2014-04-21 14:01 - 00000000 ____D () C:\Program Files\Mozilla Firefox
2014-04-21 13:32 - 2009-07-14 06:52 - 00000000 ____D () C:\Windows\system32\restore
2014-04-21 13:30 - 2014-04-21 13:30 - 00001413 _____ () C:\Users\Patrick\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2014-04-21 13:29 - 2014-04-21 14:05 - 00000000 ____D () C:\Windows\Panther
2014-04-21 13:29 - 2014-04-21 13:29 - 00000020 ___SH () C:\Users\Patrick\ntuser.ini
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Public\Documents\Eigene Musik
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Public\Documents\Eigene Bilder
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Patrick\Startmenü
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Patrick\Netzwerkumgebung
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Patrick\Druckumgebung
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Patrick\Documents\Eigene Musik
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Patrick\Documents\Eigene Bilder
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Patrick\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Patrick\AppData\Local\Verlauf
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default\Startmenü
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default\Netzwerkumgebung
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default\Druckumgebung
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default\Documents\Eigene Musik
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default\Documents\Eigene Bilder
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default\AppData\Local\Verlauf
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default User\Documents\Eigene Musik
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default User\Documents\Eigene Bilder
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Users\Default User\AppData\Local\Verlauf
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\Programme
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\ProgramData\Startmenü
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 _SHDL () C:\ProgramData\Dokumente
2014-04-21 13:29 - 2014-04-21 13:29 - 00000000 __SHD () C:\Recovery
2014-04-21 13:29 - 2009-07-14 04:37 - 00000000 __RHD () C:\Users\Public\Libraries
2014-04-21 13:29 - 2009-07-14 04:37 - 00000000 __RHD () C:\Users\Default
2014-04-21 13:29 - 2009-07-14 04:37 - 00000000 ____D () C:\Windows\system32\Recovery
2014-04-21 13:29 - 2009-07-14 04:37 - 00000000 ____D () C:\Program Files\Windows NT
2014-04-21 13:08 - 2014-04-21 13:06 - 00001355 _____ () C:\Windows\TSSysprep.log
2014-04-21 13:07 - 2014-04-21 13:07 - 00000000 ____H () C:\Windows\system32\Drivers\Msft_User_WpdFs_01_09_00.Wdf
2014-04-21 13:06 - 2011-04-12 03:39 - 00000000 ____D () C:\Windows\CSC
2014-04-21 13:06 - 2009-07-14 06:34 - 00002790 _____ () C:\Windows\DtcInstall.log

Some content of TEMP:
====================
C:\Users\Patrick\AppData\Local\Temp\HitmanPro_x64.exe
C:\Users\Patrick\AppData\Local\Temp\Kickstarter.exe
C:\Users\Patrick\AppData\Local\Temp\OfficeSetup.exe


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\system32\winlogon.exe => MD5 is legit
C:\Windows\system32\wininit.exe => MD5 is legit
C:\Windows\system32\svchost.exe => MD5 is legit
C:\Windows\system32\services.exe => MD5 is legit
C:\Windows\system32\User32.dll => MD5 is legit
C:\Windows\system32\userinit.exe => MD5 is legit
C:\Windows\system32\rpcss.dll => MD5 is legit
C:\Windows\system32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2014-04-21 15:02

==================== End Of Log ============================

--- --- ---

Ist das so richtig? Vielen Dank für Deine Mühe. :-)

schrauber · 24.04.2014, 07:07

Bitte steck mal eine der verschlüsselten Daten, ein original wenn vorhanden und die genannte Datei aus dem Text C:\Users\rockn_000\AppData\Local\NTodttgX\YkWnMRAq .zip

in ein ZIP und häng sie hier an.

pf22s · 24.04.2014, 07:52

Hallo Schrauber,
ich konnte die Datei nicht finden. Vielleicht liegt es daran, dass ich jetzt wieder AVIRA installiert habe. Durch Zufall habe ich diesen Beitrag hier gefunden.

Windows 8.1: Bundestrojaner Film- Bild- und andere Dateien .enc codiert und in .rtf umgewandelt

Klingt genau nach meinem Problem.

Gruß
Patrick

schrauber · 24.04.2014, 12:57

Hat sich erledigt, hab Samples eines andren Users erhalten. Wenn Du die Daten nicht nochmal in einem backup hast oder über Schattenkopien wiederherstellen kannst sind die Daten futsch. keine Chance zu Entschlüsseln.

24.04.2014, 07:07	#6
schrauber /// the machine /// TB-Ausbilder	Brauche dringend Rat und vielleicht auch Hilfe :-( Bitte steck mal eine der verschlüsselten Daten, ein original wenn vorhanden und die genannte Datei aus dem Text C:\Users\rockn_000\AppData\Local\NTodttgX\YkWnMRAq .zip in ein ZIP und häng sie hier an. __________________ --> Brauche dringend Rat und vielleicht auch Hilfe :-(

Brauche dringend Rat und vielleicht auch Hilfe :-(

Plagegeister aller Art und deren Bekämpfung: Brauche dringend Rat und vielleicht auch Hilfe :-(