Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Verschlüsselungstrojaner

Verschlüsselungstrojaner


Log-Analyse und Auswertung: Verschlüsselungstrojaner

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 23.09.2015, 11:48   #1
Armin_M
 
Verschlüsselungstrojaner - Standard

Verschlüsselungstrojaner


Hallo Trojaner-Board-Team,

einer meiner Kunden, eine kleine Schreinerei, rief mich heute Vormittag an und erklärte mir, dass sie sich einen Verschlüsselungstrojaner eingefangen haben.
Ich habe daraufhin den Rechner abgeholt und mir den Sachverhalt darlegen lassen:
Es kam eine Mail an, die angeblich einen Link zu Bewerbungsunterlagen auf einem Dropbox-Konto enthielt. Die Bürokraft hat versucht diesen Link zu öffnen und schon war es passiert.
Alle Dateien sind verschlüsselt und mit einer Endung .crypt versehen.
Der Kunde hat dann versucht mit Malwarebytes den Schädling zu bekämpfen. Der hat auch einiges gefunden und gelöscht.
Nachdem das keine Abhilfe schaffte, hat man mich angerufen.

Hier die Logfiles:

defogger_disable.log:
Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 11:38 on 23/09/2015 (Benutzer1)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
FRST.txt:

Code:
ATTFilter
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x86) Version:15-09-2015
durchgeführt von Benutzer1 (Administrator) auf PC-BUERO1 (23-09-2015 11:42:35)
Gestartet von C:\Users\Benutzer1\Desktop\Desinfect
Geladene Profile: Benutzer1 (Verfügbare Profile: Benutzer1)
Platform: Microsoft Windows 7 Professional  Service Pack 1 (X86) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: Chrome)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Microsoft Corporation) C:\Program Files\Microsoft Security Client\MsMpEng.exe
(Haufe-Lexware GmbH & Co. KG) C:\Program Files\Lexware\Update Service\Hmg.InstallationService.Service.exe
(Malwarebytes Corporation) C:\Program Files\ Malwarebytes Anti-Malware \mbamscheduler.exe
(Malwarebytes Corporation) C:\Program Files\ Malwarebytes Anti-Malware \mbamservice.exe
(Malwarebytes Corporation) C:\Program Files\ Malwarebytes Anti-Malware \mbam.exe
(Microsoft Corporation) C:\Windows\System32\GWX\GWX.exe
(Microsoft Corporation) C:\Windows\System32\UI0Detect.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\NisSrv.exe
(Microsoft Corporation) C:\Windows\System32\rundll32.exe
(Microsoft Corporation) C:\Program Files\Microsoft Security Client\msseces.exe
(Oracle Corporation) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(Intel Corporation) C:\Windows\System32\igfxtray.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(Haufe-Lexware GmbH & Co. KG) C:\Program Files\Lexware\Update Manager\LxUpdateManager.exe
(OpenLimit SignCubes GmbH) C:\Program Files\OpenLimit\siqSEMr.exe
(OpenLimit SignCubes GmbH) C:\Program Files\OpenLimit\siqTray.exe
(OpenLimit SignCubes GmbH) C:\Program Files\OpenLimit\siqSEMx.exe
(OpenLimit SignCubes GmbH) C:\Program Files\OpenLimit\siqCFGo.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Adobe Systems Incorporated) C:\Windows\System32\Macromed\Flash\FlashUtil32_19_0_0_185_ActiveX.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe
(Microsoft Corporation) C:\Windows\System32\dllhost.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM\...\Run: [MSC] => C:\Program Files\Microsoft Security Client\msseces.exe [981688 2015-04-30] (Microsoft Corporation)
HKLM\...\Run: [SunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation)
HKLM\...\Run: [LexwareInfoService] => C:\Program Files\Lexware\Update Manager\LxUpdateManager.exe [196648 2014-09-26] (Haufe-Lexware GmbH & Co. KG)
HKLM\...\Run: [OpenLimit_SEMr] => C:\Program Files\OpenLimit\siqSEMr.exe [1495568 2015-01-14] (OpenLimit SignCubes GmbH)
GroupPolicyScripts: Beschränkung <======= ACHTUNG

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 192.168.99.212 192.168.99.254
Tcpip\..\Interfaces\{C9365821-E060-4FF6-AB66-F0C502F381E3}: [DhcpNameServer] 192.168.99.212 192.168.99.254

Internet Explorer:
==================
HKU\S-1-5-21-2655371529-1849153383-726730911-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
HKU\S-1-5-21-2655371529-1849153383-726730911-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
SearchScopes: HKU\S-1-5-21-2655371529-1849153383-726730911-1000 -> DefaultScope {EFBE3507-802A-4EDA-807E-87F0927F013B} URL = hxxp://www.google.de/search?q={searchTerms}&rlz=
SearchScopes: HKU\S-1-5-21-2655371529-1849153383-726730911-1000 -> {EFBE3507-802A-4EDA-807E-87F0927F013B} URL = hxxp://www.google.de/search?q={searchTerms}&rlz=
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre7\bin\ssv.dll [2013-10-29] (Oracle Corporation)
BHO: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll [2015-07-21] (Google Inc.)
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll [2013-10-29] (Oracle Corporation)
Toolbar: HKLM - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll [2015-07-21] (Google Inc.)
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

FireFox:
========
FF Plugin: @java.com/DTPlugin,version=10.45.2 -> C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll [2013-10-29] (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=10.45.2 -> C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll [2013-10-29] (Oracle Corporation)
FF Plugin: @microsoft.com/GENUINE -> disabled [Keine Datei]
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.40728.0\npctrl.dll [2015-07-28] ( Microsoft Corporation)
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~1\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~1\MICROS~1\Office14\NPSPWRAP.DLL [2010-03-24] (Microsoft Corporation)
FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.28.15\npGoogleUpdate3.dll [2015-09-21] (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.28.15\npGoogleUpdate3.dll [2015-09-21] (Google Inc.)
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll [2015-06-29] (Adobe Systems Inc.)

Chrome: 
=======
CHR HomePage: Default -> hxxp://www.google.com/
CHR StartupUrls: Default -> "hxxp://www.google.com/"
CHR Profile: C:\Users\Benutzer1\AppData\Local\Google\Chrome\User Data\Default
CHR Extension: (Google Docs) - C:\Users\Benutzer1\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-04-02]
CHR Extension: (Google Drive) - C:\Users\Benutzer1\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-04-02]
CHR Extension: (YouTube) - C:\Users\Benutzer1\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-04-02]
CHR Extension: (Google-Suche) - C:\Users\Benutzer1\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-04-02]
CHR Extension: (Google Text & Tabellen Offline) - C:\Users\Benutzer1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2015-09-04]
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Benutzer1\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-18]
CHR Extension: (Chrome Web Store-Zahlungen) - C:\Users\Benutzer1\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-04-02]
CHR Extension: (Google Mail) - C:\Users\Benutzer1\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-04-02]

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 HPSLPSVC; C:\Users\Benutzer1\AppData\Local\Temp\7zS4C35\hpslpsvc32.dll [701288 2011-11-14] (Hewlett-Packard Co.)
R2 Lexware_Update_Service; C:\Program Files\Lexware\Update Service\Hmg.InstallationService.Service.exe [64552 2014-08-14] (Haufe-Lexware GmbH & Co. KG)
R2 MBAMScheduler; C:\Program Files\ Malwarebytes Anti-Malware \mbamscheduler.exe [1871160 2015-06-18] (Malwarebytes Corporation)
R2 MBAMService; C:\Program Files\ Malwarebytes Anti-Malware \mbamservice.exe [1133880 2015-06-18] (Malwarebytes Corporation)
R2 MsMpSvc; C:\Program Files\Microsoft Security Client\MsMpEng.exe [22216 2015-04-30] (Microsoft Corporation)
R3 NisSrv; C:\Program Files\Microsoft Security Client\NisSrv.exe [284504 2015-04-30] (Microsoft Corporation)
S2 StarMoney 7.0 OnlineUpdate; C:\Program Files\StarMoney 7.0\ouservice\StarMoneyOnlineUpdate.exe [554160 2011-11-08] (Star Finanz - Software Entwicklung und Vertriebs GmbH)
S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [680960 2013-05-27] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [23256 2015-06-18] (Malwarebytes Corporation)
R3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [98520 2015-09-23] (Malwarebytes Corporation)
R3 MBAMWebAccessControl; C:\Windows\system32\drivers\mwac.sys [51928 2015-06-18] (Malwarebytes Corporation)
R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [245096 2015-03-04] (Microsoft Corporation)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2015-09-23 11:42 - 2015-09-23 11:42 - 00000000 ____D C:\FRST
2015-09-23 11:41 - 2015-09-23 11:42 - 00000000 ____D C:\Users\Benutzer1\Desktop\Desinfect
2015-09-23 11:38 - 2015-09-23 11:38 - 00000000 _____ C:\Users\Benutzer1\defogger_reenable
2015-09-23 08:20 - 2015-09-23 10:52 - 00098520 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\MBAMSwissArmy.sys
2015-09-23 08:20 - 2015-09-23 08:20 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Malwarebytes Anti-Malware 
2015-09-23 08:19 - 2015-09-23 08:45 - 00000000 ____D C:\Program Files\ Malwarebytes Anti-Malware 
2015-09-23 08:19 - 2015-06-18 08:41 - 00094936 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mbamchameleon.sys
2015-09-23 08:19 - 2015-06-18 08:41 - 00051928 _____ (Malwarebytes Corporation) C:\Windows\system32\Drivers\mwac.sys
2015-09-23 08:09 - 2015-09-23 08:09 - 00004558 _____ C:\Users\Benutzer1\YOUR_FILES_ARE_ENCRYPTED.HTML
2015-09-23 08:09 - 2015-09-23 08:09 - 00004558 _____ C:\Users\Benutzer1\AppData\Roaming\YOUR_FILES_ARE_ENCRYPTED.HTML
2015-09-23 08:09 - 2015-09-23 08:09 - 00004558 _____ C:\Users\Public\YOUR_FILES_ARE_ENCRYPTED.HTML
2015-09-23 08:09 - 2015-09-23 08:09 - 00004558 _____ C:\Users\Public\Downloads\YOUR_FILES_ARE_ENCRYPTED.HTML
2015-09-23 08:09 - 2015-09-23 08:09 - 00004558 _____ C:\Users\Public\Documents\YOUR_FILES_ARE_ENCRYPTED.HTML
2015-09-23 08:07 - 2015-09-23 08:07 - 00004558 _____ C:\Users\Benutzer1\Downloads\YOUR_FILES_ARE_ENCRYPTED.HTML
2015-09-23 08:07 - 2015-09-23 08:07 - 00004558 _____ C:\Users\Benutzer1\Documents\YOUR_FILES_ARE_ENCRYPTED.HTML
2015-09-23 08:07 - 2015-09-23 08:07 - 00004558 _____ C:\Users\Benutzer1\Desktop\YOUR_FILES_ARE_ENCRYPTED.HTML
2015-09-22 08:30 - 2015-09-23 08:07 - 00018712 _____ C:\Users\Benutzer1\Downloads\DRP55770157.pdf.crypt
2015-09-15 10:59 - 2015-09-15 10:59 - 12083342 _____ C:\Users\Benutzer1\Downloads\Oberschule Regensburg.avasign
2015-09-15 10:58 - 2015-09-15 10:58 - 08050817 _____ C:\Users\Benutzer1\Downloads\AGS_SAR-UB_05_35601-Schreinerarbeiten_1117724.avasign
2015-09-15 09:34 - 2015-09-23 08:07 - 00060696 _____ C:\Users\Benutzer1\Downloads\Zinsbescheinigung_224147391_vom_31.12.2014_20150915093436.pdf.crypt
2015-09-14 10:09 - 2015-09-14 10:09 - 22057326 _____ C:\Users\Benutzer1\Downloads\Landesamat Statistik Erlangen 14092015.avasign
2015-09-09 08:39 - 2015-08-18 03:14 - 00344168 _____ (Microsoft Corporation) C:\Windows\system32\iedkcs32.dll
2015-09-09 08:39 - 2015-08-15 08:06 - 19856896 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2015-09-09 08:39 - 2015-08-15 07:53 - 02724864 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2015-09-09 08:39 - 2015-08-15 07:53 - 00004096 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollectorres.dll
2015-09-09 08:39 - 2015-08-15 07:40 - 00504832 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2015-09-09 08:39 - 2015-08-15 07:40 - 00062464 _____ (Microsoft Corporation) C:\Windows\system32\iesetup.dll
2015-09-09 08:39 - 2015-08-15 07:39 - 00341504 _____ (Microsoft Corporation) C:\Windows\system32\html.iec
2015-09-09 08:39 - 2015-08-15 07:39 - 00047616 _____ (Microsoft Corporation) C:\Windows\system32\ieetwproxystub.dll
2015-09-09 08:39 - 2015-08-15 07:38 - 00064000 _____ (Microsoft Corporation) C:\Windows\system32\MshtmlDac.dll
2015-09-09 08:39 - 2015-08-15 07:35 - 02279424 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2015-09-09 08:39 - 2015-08-15 07:33 - 00047104 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2015-09-09 08:39 - 2015-08-15 07:32 - 00030720 _____ (Microsoft Corporation) C:\Windows\system32\iernonce.dll
2015-09-09 08:39 - 2015-08-15 07:30 - 00479232 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2015-09-09 08:39 - 2015-08-15 07:29 - 00665600 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2015-09-09 08:39 - 2015-08-15 07:29 - 00620032 _____ (Microsoft Corporation) C:\Windows\system32\jscript9diag.dll
2015-09-09 08:39 - 2015-08-15 07:29 - 00115712 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2015-09-09 08:39 - 2015-08-15 07:29 - 00102912 _____ (Microsoft Corporation) C:\Windows\system32\ieetwcollector.exe
2015-09-09 08:39 - 2015-08-15 07:24 - 00667648 _____ (Microsoft Corporation) C:\Windows\system32\MsSpellCheckingFacility.exe
2015-09-09 08:39 - 2015-08-15 07:21 - 00418304 _____ (Microsoft Corporation) C:\Windows\system32\dxtmsft.dll
2015-09-09 08:39 - 2015-08-15 07:16 - 00060416 _____ (Microsoft Corporation) C:\Windows\system32\JavaScriptCollectionAgent.dll
2015-09-09 08:39 - 2015-08-15 07:14 - 00168960 _____ (Microsoft Corporation) C:\Windows\system32\msrating.dll
2015-09-09 08:39 - 2015-08-15 07:12 - 00076288 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2015-09-09 08:39 - 2015-08-15 07:11 - 00285696 _____ (Microsoft Corporation) C:\Windows\system32\dxtrans.dll
2015-09-09 08:39 - 2015-08-15 07:10 - 04520448 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2015-09-09 08:39 - 2015-08-15 07:04 - 12857344 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2015-09-09 08:39 - 2015-08-15 07:02 - 00689152 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2015-09-09 08:39 - 2015-08-15 07:02 - 00685568 _____ (Microsoft Corporation) C:\Windows\system32\ie4uinit.exe
2015-09-09 08:39 - 2015-08-15 07:01 - 02052608 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2015-09-09 08:39 - 2015-08-15 07:01 - 01155072 _____ (Microsoft Corporation) C:\Windows\system32\mshtmlmedia.dll
2015-09-09 08:39 - 2015-08-15 06:43 - 01951232 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2015-09-09 08:39 - 2015-08-15 06:39 - 01310720 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2015-09-09 08:39 - 2015-08-15 06:37 - 00710144 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll
2015-09-09 08:38 - 2015-09-02 04:48 - 00070656 _____ (Microsoft Corporation) C:\Windows\system32\fontsub.dll
2015-09-09 08:38 - 2015-09-02 04:48 - 00034304 _____ (Adobe Systems) C:\Windows\system32\atmlib.dll
2015-09-09 08:38 - 2015-09-02 04:48 - 00026624 _____ (Microsoft Corporation) C:\Windows\system32\lpk.dll
2015-09-09 08:38 - 2015-09-02 04:48 - 00010240 _____ (Microsoft Corporation) C:\Windows\system32\dciman32.dll
2015-09-09 08:38 - 2015-09-02 03:36 - 02384896 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2015-09-09 08:38 - 2015-09-02 03:33 - 00299520 _____ (Adobe Systems Incorporated) C:\Windows\system32\atmfd.dll
2015-09-09 08:38 - 2015-08-27 19:58 - 01391104 _____ (Microsoft Corporation) C:\Windows\system32\msxml6.dll
2015-09-09 08:38 - 2015-08-27 19:58 - 01241088 _____ (Microsoft Corporation) C:\Windows\system32\msxml3.dll
2015-09-09 08:38 - 2015-08-27 19:51 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\msxml6r.dll
2015-09-09 08:38 - 2015-08-27 19:51 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\msxml3r.dll
2015-09-09 08:38 - 2015-08-05 19:41 - 00751104 _____ (Microsoft Corporation) C:\Windows\system32\schedsvc.dll
2015-09-09 08:38 - 2015-08-05 19:40 - 00216064 _____ (Microsoft Corporation) C:\Windows\system32\InkEd.dll
2015-09-09 08:38 - 2015-08-05 19:40 - 00019968 _____ (Microsoft Corporation) C:\Windows\system32\jnwmon.dll
2015-09-09 08:38 - 2015-08-04 19:48 - 00050176 _____ (Microsoft Corporation) C:\Windows\system32\setbcdlocale.dll
2015-09-09 08:38 - 2015-08-04 19:47 - 00050688 _____ (Microsoft Corporation) C:\Windows\system32\appidapi.dll
2015-09-09 08:38 - 2015-08-04 19:47 - 00028160 _____ (Microsoft Corporation) C:\Windows\system32\appidsvc.dll
2015-09-09 08:38 - 2015-08-04 19:46 - 00096768 _____ (Microsoft Corporation) C:\Windows\system32\appidpolicyconverter.exe
2015-09-09 08:38 - 2015-08-04 19:46 - 00016896 _____ (Microsoft Corporation) C:\Windows\system32\appidcertstorecheck.exe
2015-09-09 08:38 - 2015-08-04 18:53 - 00050176 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\appid.sys
2015-09-09 08:38 - 2015-07-22 19:57 - 03989952 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlpa.exe
2015-09-09 08:38 - 2015-07-22 19:57 - 03934656 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2015-09-09 08:38 - 2015-07-22 19:57 - 00137664 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\ksecpkg.sys
2015-09-09 08:38 - 2015-07-22 19:57 - 00067520 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\ksecdd.sys
2015-09-09 08:38 - 2015-07-22 19:54 - 01308160 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll
2015-09-09 08:38 - 2015-07-22 19:53 - 01061376 _____ (Microsoft Corporation) C:\Windows\system32\lsasrv.dll
2015-09-09 08:38 - 2015-07-22 19:53 - 00937984 _____ (Microsoft Corporation) C:\Windows\system32\diagtrack.dll
2015-09-09 08:38 - 2015-07-22 19:53 - 00655360 _____ (Microsoft Corporation) C:\Windows\system32\rpcrt4.dll
2015-09-09 08:38 - 2015-07-22 19:53 - 00641536 _____ (Microsoft Corporation) C:\Windows\system32\advapi32.dll
2015-09-09 08:38 - 2015-07-22 19:53 - 00635392 _____ (Microsoft Corporation) C:\Windows\system32\tdh.dll
2015-09-09 08:38 - 2015-07-22 19:53 - 00552960 _____ (Microsoft Corporation) C:\Windows\system32\kerberos.dll
2015-09-09 08:38 - 2015-07-22 19:53 - 00400896 _____ (Microsoft Corporation) C:\Windows\system32\srcore.dll
2015-09-09 08:38 - 2015-07-22 19:53 - 00259584 _____ (Microsoft Corporation) C:\Windows\system32\msv1_0.dll
2015-09-09 08:38 - 2015-07-22 19:53 - 00248832 _____ (Microsoft Corporation) C:\Windows\system32\schannel.dll
2015-09-09 08:38 - 2015-07-22 19:53 - 00221184 _____ (Microsoft Corporation) C:\Windows\system32\ncrypt.dll
2015-09-09 08:38 - 2015-07-22 19:53 - 00172032 _____ (Microsoft Corporation) C:\Windows\system32\wdigest.dll
2015-09-09 08:38 - 2015-07-22 19:53 - 00100352 _____ (Microsoft Corporation) C:\Windows\system32\sspicli.dll
2015-09-09 08:38 - 2015-07-22 19:53 - 00065536 _____ (Microsoft Corporation) C:\Windows\system32\TSpkg.dll
2015-09-09 08:38 - 2015-07-22 19:53 - 00043008 _____ (Microsoft Corporation) C:\Windows\system32\srclient.dll
2015-09-09 08:38 - 2015-07-22 19:53 - 00038912 _____ (Microsoft Corporation) C:\Windows\system32\csrsrv.dll
2015-09-09 08:38 - 2015-07-22 19:53 - 00036864 _____ (Microsoft Corporation) C:\Windows\system32\cryptbase.dll
2015-09-09 08:38 - 2015-07-22 19:53 - 00022016 _____ (Microsoft Corporation) C:\Windows\system32\secur32.dll
2015-09-09 08:38 - 2015-07-22 19:53 - 00017408 _____ (Microsoft Corporation) C:\Windows\system32\credssp.dll
2015-09-09 08:38 - 2015-07-22 19:53 - 00015872 _____ (Microsoft Corporation) C:\Windows\system32\sspisrv.dll
2015-09-09 08:38 - 2015-07-22 19:52 - 00262656 _____ (Microsoft Corporation) C:\Windows\system32\rstrui.exe
2015-09-09 08:38 - 2015-07-22 19:52 - 00069632 _____ (Microsoft Corporation) C:\Windows\system32\smss.exe
2015-09-09 08:38 - 2015-07-22 19:52 - 00050176 _____ (Microsoft Corporation) C:\Windows\system32\auditpol.exe
2015-09-09 08:38 - 2015-07-22 19:52 - 00022528 _____ (Microsoft Corporation) C:\Windows\system32\lsass.exe
2015-09-09 08:38 - 2015-07-22 19:47 - 00060416 _____ (Microsoft Corporation) C:\Windows\system32\msobjs.dll
2015-09-09 08:38 - 2015-07-22 19:46 - 00146432 _____ (Microsoft Corporation) C:\Windows\system32\msaudite.dll
2015-09-09 08:38 - 2015-07-22 19:42 - 00686080 _____ (Microsoft Corporation) C:\Windows\system32\adtschema.dll
2015-09-09 08:38 - 2015-07-22 19:42 - 00006656 _____ (Microsoft Corporation) C:\Windows\system32\apisetschema.dll
2015-09-09 08:38 - 2015-07-22 18:38 - 00041984 _____ (Microsoft Corporation) C:\Windows\system32\UtcResources.dll
2015-09-09 08:38 - 2015-07-22 18:34 - 00225792 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb10.sys
2015-09-09 08:38 - 2015-07-22 18:34 - 00098304 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb20.sys
2015-09-09 08:38 - 2015-07-22 18:33 - 00124416 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb.sys
2015-09-09 08:38 - 2015-07-09 19:42 - 01372160 _____ (Microsoft Corporation) C:\Windows\system32\dwmcore.dll
2015-09-09 08:38 - 2015-07-09 19:42 - 00067584 _____ (Microsoft Corporation) C:\Windows\system32\dwmapi.dll
2015-09-09 08:32 - 2015-08-26 19:56 - 02953728 _____ (Microsoft Corporation) C:\Windows\system32\wucltux.dll
2015-09-09 08:32 - 2015-08-26 19:56 - 02061824 _____ (Microsoft Corporation) C:\Windows\system32\wuaueng.dll
2015-09-09 08:32 - 2015-08-26 19:56 - 00566784 _____ (Microsoft Corporation) C:\Windows\system32\wuapi.dll
2015-09-09 08:32 - 2015-08-26 19:56 - 00173056 _____ (Microsoft Corporation) C:\Windows\system32\wuwebv.dll
2015-09-09 08:32 - 2015-08-26 19:56 - 00093184 _____ (Microsoft Corporation) C:\Windows\system32\wudriver.dll
2015-09-09 08:32 - 2015-08-26 19:56 - 00035840 _____ (Microsoft Corporation) C:\Windows\system32\wups2.dll
2015-09-09 08:32 - 2015-08-26 19:56 - 00030208 _____ (Microsoft Corporation) C:\Windows\system32\wups.dll
2015-09-09 08:32 - 2015-08-26 19:55 - 00135680 _____ (Microsoft Corporation) C:\Windows\system32\wuauclt.exe
2015-09-09 08:32 - 2015-08-26 19:55 - 00073728 _____ (Microsoft Corporation) C:\Windows\system32\WinSetupUI.dll
2015-09-09 08:32 - 2015-08-26 19:55 - 00034816 _____ (Microsoft Corporation) C:\Windows\system32\wuapp.exe
2015-09-09 08:32 - 2015-08-26 19:55 - 00011776 _____ (Microsoft Corporation) C:\Windows\system32\wu.upgrade.ps.dll
2015-09-09 08:32 - 2015-07-15 04:54 - 00002048 _____ (Microsoft Corporation) C:\Windows\system32\tzres.dll
2015-09-09 08:32 - 2015-06-25 11:48 - 00105408 _____ (Microsoft Corporation) C:\Windows\system32\consent.exe
2015-09-09 08:32 - 2015-06-25 11:44 - 01805824 _____ (Microsoft Corporation) C:\Windows\system32\authui.dll
2015-09-09 08:32 - 2015-06-25 11:44 - 00047104 _____ (Microsoft Corporation) C:\Windows\system32\appinfo.dll

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2015-09-23 11:38 - 2012-02-07 14:16 - 00000000 ____D C:\Users\Benutzer1
2015-09-23 11:22 - 2014-04-02 10:07 - 00001098 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2015-09-23 11:22 - 2014-04-02 10:07 - 00001094 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2015-09-23 10:59 - 2009-07-14 06:34 - 00032080 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-09-23 10:59 - 2009-07-14 06:34 - 00032080 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-09-23 10:58 - 2012-12-19 14:17 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2015-09-23 10:54 - 2012-02-07 14:16 - 01370336 _____ C:\Windows\WindowsUpdate.log
2015-09-23 10:53 - 2009-07-14 06:39 - 00107717 _____ C:\Windows\setupact.log
2015-09-23 10:52 - 2012-02-09 14:27 - 00000000 ____D C:\ProgramData\Lexware
2015-09-23 10:52 - 2009-07-14 06:53 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2015-09-23 10:51 - 2010-11-20 23:48 - 00138078 _____ C:\Windows\PFRO.log
2015-09-23 10:51 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\schemas
2015-09-23 09:26 - 2010-11-20 23:01 - 01629444 _____ C:\Windows\system32\PerfStringBackup.INI
2015-09-23 09:06 - 2015-02-11 09:40 - 00002759 _____ C:\Users\Public\Desktop\Lexware buchhalter.lnk
2015-09-23 09:06 - 2012-02-09 14:27 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lexware
2015-09-23 08:20 - 2013-10-29 09:52 - 00000000 ____D C:\Users\Benutzer1\AppData\Roaming\Malwarebytes
2015-09-23 08:19 - 2013-10-29 09:51 - 00000000 ____D C:\ProgramData\Malwarebytes
2015-09-23 08:19 - 2013-10-29 09:51 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2015-09-23 08:17 - 2014-07-24 14:27 - 07289112 _____ C:\Users\Benutzer1\BH1950_140724_142650.zip.crypt
2015-09-23 08:17 - 2014-05-20 11:49 - 07237912 _____ C:\Users\Benutzer1\BH1902_140520_114948.zip.crypt
2015-09-23 08:17 - 2014-05-14 11:22 - 07236888 _____ C:\Users\Benutzer1\BH1902_140514_112246.zip.crypt
2015-09-23 08:17 - 2014-05-13 10:10 - 07206168 _____ C:\Users\Benutzer1\BH1902_140513_101047.zip.crypt
2015-09-23 08:17 - 2014-05-12 10:49 - 07203096 _____ C:\Users\Benutzer1\BH1902_140512_104905.zip.crypt
2015-09-23 08:16 - 2015-07-17 11:23 - 04530456 _____ C:\Users\Benutzer1\Downloads\106.VM-1201-01 Festeinbauten.zip.crypt
2015-09-23 08:16 - 2015-06-30 10:15 - 25283864 _____ C:\Users\Benutzer1\Downloads\Gymn Ottobrunn.zip.crypt
2015-09-23 08:16 - 2015-05-07 08:13 - 12336408 _____ C:\Users\Benutzer1\Downloads\P1865_2013_3-He_28 (1).zip.crypt
2015-09-23 08:16 - 2015-05-05 09:23 - 15526168 _____ C:\Users\Benutzer1\Downloads\Klinik Immenstadt 2.zip.crypt
2015-09-23 08:16 - 2015-05-05 09:09 - 13953304 _____ C:\Users\Benutzer1\Downloads\Gemeinde Gilching.zip.crypt
2015-09-23 08:16 - 2015-05-05 08:57 - 15526168 _____ C:\Users\Benutzer1\Downloads\Klinik Immenstadt.zip.crypt
2015-09-23 08:16 - 2015-04-22 09:30 - 15526168 _____ C:\Users\Benutzer1\Downloads\P2265_5765-HM_3620.zip.crypt
2015-09-23 08:16 - 2015-04-22 09:22 - 12336408 _____ C:\Users\Benutzer1\Downloads\P1865_2013_3-He_28.zip.crypt
2015-09-23 08:16 - 2015-03-24 11:02 - 00374040 _____ C:\Users\Benutzer1\Downloads\02_LV (1).zip.crypt
2015-09-23 08:16 - 2015-03-24 11:01 - 00374040 _____ C:\Users\Benutzer1\Downloads\02_LV.zip.crypt
2015-09-23 08:16 - 2015-03-24 11:00 - 00017688 _____ C:\Users\Benutzer1\Downloads\04_Kennzettel.zip.crypt
2015-09-23 08:16 - 2015-03-24 11:00 - 00017688 _____ C:\Users\Benutzer1\Downloads\04_Kennzettel (2).zip.crypt
2015-09-23 08:16 - 2015-03-24 11:00 - 00017688 _____ C:\Users\Benutzer1\Downloads\04_Kennzettel (1).zip.crypt
2015-09-23 08:16 - 2015-03-19 11:50 - 31903000 _____ C:\Users\Benutzer1\Downloads\P883_080_18 (2).zip.crypt
2015-09-23 08:16 - 2015-03-19 11:47 - 31903000 _____ C:\Users\Benutzer1\Downloads\P883_080_18 (1).zip.crypt
2015-09-23 08:16 - 2013-04-22 12:55 - 267964696 _____ C:\Users\Benutzer1\Downloads\rescue_system-common-en.iso.crypt
2015-09-23 08:15 - 2015-07-22 10:54 - 27981080 _____ C:\Users\Benutzer1\Downloads\Studentenwerk München.zip.crypt
2015-09-23 08:15 - 2015-03-24 13:12 - 07799064 _____ C:\Users\Benutzer1\Downloads\Vergabeunterlagen.zip.crypt
2015-09-23 08:10 - 2015-04-28 09:21 - 00011544 _____ C:\Users\Benutzer1\Downloads\f_r_logo_2012.png.crypt
2015-09-23 08:09 - 2015-07-27 10:07 - 00021784 _____ C:\Users\Benutzer1\Downloads\logo stockheim_neu (1).cdr.crypt
2015-09-23 08:09 - 2015-07-23 09:37 - 00021784 _____ C:\Users\Benutzer1\Downloads\logo stockheim_neu.cdr.crypt
2015-09-23 08:09 - 2015-04-30 09:50 - 04604184 _____ C:\Users\Benutzer1\Downloads\i 10 Fahrerseite.cdr.crypt
2015-09-23 08:09 - 2015-04-17 09:30 - 00751896 _____ C:\Users\Benutzer1\Downloads\Schreiner Festeinbauten.xml.crypt
2015-09-23 08:09 - 2015-03-30 11:57 - 00004376 _____ C:\Users\Benutzer1\Downloads\E S I S - E-Mail-Formular - Realschule-Bad-Neustadt.html.crypt
2015-09-23 08:09 - 2015-03-11 09:58 - 00001304 _____ C:\Users\Benutzer1\AppData\Roaming\bietermodul.ini.crypt
2015-09-23 08:09 - 2014-05-07 09:32 - 00001304 _____ C:\Users\Benutzer1\Downloads\BieterModul.ini.crypt
2015-09-23 08:09 - 2013-07-11 11:16 - 00000000 ____D C:\unzipper
2015-09-23 08:09 - 2013-05-17 08:14 - 00206104 _____ C:\Users\Benutzer1\Downloads\N73 LV-Einbaumöbel.xml.crypt
2015-09-23 08:09 - 2012-10-18 13:55 - 00011544 _____ C:\Users\Benutzer1\GebrLink_elster_2048.pfx.crypt
2015-09-23 08:09 - 2012-02-07 14:16 - 00001304 ___SH C:\Users\Benutzer1\ntuser.ini.crypt
2015-09-23 08:09 - 2012-02-07 14:16 - 00001304 ___SH C:\Users\Benutzer1\Downloads\desktop.ini.crypt
2015-09-23 08:09 - 2012-02-07 14:16 - 00001304 ___SH C:\Users\Benutzer1\Documents\desktop.ini.crypt
2015-09-23 08:09 - 2012-02-07 14:16 - 00001304 ___SH C:\Users\Benutzer1\Desktop\desktop.ini.crypt
2015-09-23 08:09 - 2011-04-12 03:39 - 00000000 ___RD C:\Users\Public\Recorded TV
2015-09-23 08:09 - 2009-07-14 06:41 - 00001304 ___SH C:\Users\Public\Downloads\desktop.ini.crypt
2015-09-23 08:09 - 2009-07-14 06:41 - 00001304 ___SH C:\Users\Public\Documents\desktop.ini.crypt
2015-09-23 08:09 - 2009-07-14 06:41 - 00001304 ___SH C:\Users\Public\desktop.ini.crypt
2015-09-23 08:09 - 2009-07-14 04:37 - 00000000 __RHD C:\Users\Public\Libraries
2015-09-23 08:09 - 2009-07-14 04:37 - 00000000 ___RD C:\Users\Public
2015-09-23 08:08 - 2015-07-22 08:32 - 01260824 _____ C:\Users\Benutzer1\Downloads\pic1_eae1d4724a_DE_BS.jpg.crypt
2015-09-23 08:07 - 2015-06-30 08:40 - 01177880 _____ C:\Users\Benutzer1\Downloads\Zusammenstellung T-Shirtbestellung.xlsx.crypt
2015-09-23 08:07 - 2015-06-24 10:30 - 00061720 _____ C:\Users\Benutzer1\Downloads\Zinssatzänderungsmitteilung_224147391_vom_05.01.2015_20150624103051.pdf.crypt
2015-09-23 08:07 - 2015-06-19 10:52 - 00467224 _____ C:\Users\Benutzer1\Downloads\Bekanntm_Amtsblatt_VOB_Oeff_Ausschr_LHS_(0814)a.pdf.crypt
2015-09-23 08:07 - 2015-06-12 12:18 - 00062744 _____ C:\Users\Benutzer1\Downloads\T-Shirts.pptx.crypt
2015-09-23 08:07 - 2015-05-27 11:18 - 00000280 _____ C:\Users\Benutzer1\Downloads\Bekanntm_Amtsblatt_VOB_Oeff_Ausschr_LHS_(0814).pdf.crypt
2015-09-23 08:07 - 2015-05-21 10:56 - 01633560 _____ C:\Users\Benutzer1\Downloads\Einladung_GoldeneHochzeit_DINA6.pdf.crypt
2015-09-23 08:07 - 2015-04-17 09:30 - 00455960 _____ C:\Users\Benutzer1\Downloads\Schreiner Festeinbauten.pdf.crypt
2015-09-23 08:07 - 2015-03-11 12:18 - 00064792 _____ C:\Users\Benutzer1\Desktop\Schlussrechnung 11032015.doc.crypt
2015-09-23 08:07 - 2015-03-03 12:03 - 02361624 _____ C:\Users\Benutzer1\Documents\Vorerfassungstabelle 2015.xls.crypt
2015-09-23 08:07 - 2014-09-04 09:24 - 01983768 _____ C:\Users\Benutzer1\Documents\Vorerfassungstabelle Gebr  Link 9 14.xls.crypt
2015-09-23 08:07 - 2013-10-25 11:54 - 00001304 ____H C:\Users\Benutzer1\Desktop\~$iefvordruck_18.09.13.doc.crypt
2015-09-23 08:07 - 2013-10-24 15:29 - 00001304 ____H C:\Users\Benutzer1\Desktop\~$xvordruck.neu.doc.crypt
2015-09-23 08:07 - 2013-09-18 15:20 - 00053528 _____ C:\Users\Benutzer1\Desktop\Rechnungsvordruck_ALT.doc.crypt
2015-09-23 08:07 - 2013-09-18 15:17 - 00053528 _____ C:\Users\Benutzer1\Desktop\Briefvordruck_18.09.13.doc.crypt
2015-09-23 08:07 - 2013-04-08 11:51 - 01982744 _____ C:\Users\Benutzer1\Documents\7722_10230_Gebr  Link_03_2013.xls.crypt
2015-09-23 08:07 - 2013-02-07 11:30 - 02020632 _____ C:\Users\Benutzer1\Documents\7722_10230_Gebr  Link_01_2013 (3).xls.crypt
2015-09-23 08:07 - 2012-02-09 14:47 - 00028952 _____ C:\Users\Benutzer1\Desktop\Telefonliste vom 21.08.2012.xls.crypt
2015-09-23 08:07 - 2012-02-09 14:46 - 00469272 _____ C:\Users\Benutzer1\Desktop\Faxvordruck.doc.crypt
2015-09-23 08:07 - 2012-02-09 14:46 - 00465176 _____ C:\Users\Benutzer1\Desktop\Faxvordruck.neu.doc.crypt
2015-09-23 08:07 - 2012-02-09 14:46 - 00055576 _____ C:\Users\Benutzer1\Desktop\Briefvordruck_ALT.doc.crypt
2015-09-23 08:07 - 2012-02-09 14:46 - 00033048 _____ C:\Users\Benutzer1\Desktop\Feuerversicherung.xls.crypt
2015-09-23 08:07 - 2012-02-07 14:16 - 00000000 ____D C:\Users\Benutzer1\AppData\Local\VirtualStore
2015-09-22 12:15 - 2009-07-14 06:52 - 00000000 ____D C:\Windows\system32\FxsTmp
2015-09-22 10:58 - 2012-12-19 14:17 - 00780488 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2015-09-22 10:58 - 2012-02-09 16:21 - 00142536 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl
2015-09-16 08:34 - 2014-04-02 10:07 - 00002125 _____ C:\Users\Public\Desktop\Google Chrome.lnk
2015-09-15 08:43 - 2014-04-02 10:07 - 00000000 ____D C:\Users\Benutzer1\AppData\Local\Google
2015-09-14 10:13 - 2012-08-17 10:15 - 62438304 _____ (RIB Software AG ) C:\Users\Benutzer1\avasign_update.exe
2015-09-10 04:08 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\rescache
2015-09-10 03:31 - 2009-07-14 06:33 - 00402328 _____ C:\Windows\system32\FNTCACHE.DAT
2015-09-10 03:29 - 2011-04-12 03:39 - 00000000 ____D C:\Program Files\Windows Journal
2015-09-10 03:29 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\system32\de-DE
2015-09-10 03:14 - 2012-02-07 14:24 - 00000000 ____D C:\ProgramData\Microsoft Help
2015-09-10 03:14 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\Microsoft.NET
2015-09-10 03:11 - 2009-07-14 04:04 - 00000478 _____ C:\Windows\win.ini
2015-09-10 03:10 - 2013-08-14 12:04 - 00000000 ____D C:\Windows\system32\MRT
2015-08-26 18:36 - 2012-02-07 14:41 - 132039072 _____ (Microsoft Corporation) C:\Windows\system32\MRT.exe

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2015-03-11 09:38 - 2015-03-11 09:39 - 0150602 _____ () C:\Program Files\unins000.dat
2015-03-11 09:38 - 2015-03-11 09:35 - 0721968 _____ () C:\Program Files\unins000.exe
2015-03-11 09:58 - 2015-09-23 08:09 - 0001304 _____ () C:\Users\Benutzer1\AppData\Roaming\bietermodul.ini.crypt
2015-09-23 08:09 - 2015-09-23 08:09 - 0004558 _____ () C:\Users\Benutzer1\AppData\Roaming\YOUR_FILES_ARE_ENCRYPTED.HTML

Einige Dateien in TEMP:
====================
C:\Users\Benutzer1\AppData\Local\Temp\gwebrbegrbgr0.exe
C:\Users\Benutzer1\AppData\Local\Temp\InstallFlashPlayer.exe
C:\Users\Benutzer1\AppData\Local\Temp\jre-6u31-windows-i586-iftw-rv.exe
C:\Users\Benutzer1\AppData\Local\Temp\jre-6u33-windows-i586-iftw.exe
C:\Users\Benutzer1\AppData\Local\Temp\jre-7u45-windows-i586-iftw.exe
C:\Users\Benutzer1\AppData\Local\Temp\TB_DBEC.exe
C:\Users\Benutzer1\AppData\Local\Temp\_isA4BD.exe


==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert


LastRegBack: 2015-09-21 10:09

==================== Ende vom FRST.txt ============================
gmer.log:

Code:
ATTFilter
GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2015-09-23 12:03:04
Windows 6.1.7601 Service Pack 1 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 WDC_WD5000AAKX-001CA0 rev.15.01H15 465,76GB
Running: b7d7ecdy.exe; Driver: C:\Users\Benutzer1\AppData\Local\Temp\pxtdrpog.sys


---- Kernel code sections - GMER 2.1 ----

.text  ntkrnlpa.exe!ZwReplaceKey + 1525                                                             82C89B55 1 Byte  [06]
.text  ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                       82CC3BB2 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
?      System32\drivers\rdhix.sys                                                                   Das System kann den angegebenen Pfad nicht finden. !

---- User code sections - GMER 2.1 ----

.text  C:\Program Files\Internet Explorer\iexplore.exe[1440] shell32.DLL!RealDriveType + 173D       7669FCC0 4 Bytes  [D0, C3, E0, 71] {ROL BL, 0x1; LOOPNZ 0x75}
.text  C:\Program Files\Internet Explorer\iexplore.exe[1440] shell32.DLL!RealDriveType + 1745       7669FCC8 8 Bytes  [10, 13, E0, 71, A0, C4, E0, ...]
.text  C:\Program Files\Internet Explorer\iexplore.exe[3772] shell32.DLL!RealDriveType + 173D       7669FCC0 4 Bytes  [D0, C3, E0, 71] {ROL BL, 0x1; LOOPNZ 0x75}
.text  C:\Program Files\Internet Explorer\iexplore.exe[3772] shell32.DLL!RealDriveType + 1745       7669FCC8 8 Bytes  [10, 13, E0, 71, A0, C4, E0, ...]

---- Registry - GMER 2.1 ----

Reg    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\CIT\System\Active           
Reg    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\CIT\System\Active@D824E438  1050

---- EOF - GMER 2.1 ----
malwarebytes-log1.xml:

Code:
ATTFilter
<?xml version="1.0" encoding="UTF-16" ?>
<mbam-log>
<header>
<date>2015/09/23 08:22:52 +0200</date>
<logfile>mbam-log-2015-09-23 (08-22-51).xml</logfile>
<isadmin>yes</isadmin>
</header>
<engine>
<version>2.1.8.1057</version>
<malware-database>v2015.09.23.01</malware-database>
<rootkit-database>v2015.09.22.01</rootkit-database>
<license>trial</license>
<file-protection>enabled</file-protection>
<web-protection>enabled</web-protection>
<self-protection>disabled</self-protection>
</engine>
<system>
<osversion>Windows 7 Service Pack 1</osversion>
<arch>x86</arch>
<username>Benutzer1</username>
<filesys>NTFS</filesys>
</system>
<summary>
<type>threat</type>
<result>completed</result>
<objects>326216</objects>
<time>1075</time>
<processes>0</processes>
<modules>0</modules>
<keys>5</keys>
<values>3</values>
<datas>0</datas>
<folders>7</folders>
<files>74</files>
<sectors>0</sectors>
</summary>
<options>
<memory>enabled</memory>
<startup>enabled</startup>
<filesystem>enabled</filesystem>
<archives>enabled</archives>
<rootkits>enabled</rootkits>
<deeprootkit>disabled</deeprootkit>
<heuristics>enabled</heuristics>
<pup>warn</pup>
<pum>enabled</pum>
</options>
<items>
<key><path>HKLM\SOFTWARE\CLASSES\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}</path><vendor>PUP.Optional.ConduitTB.Gen</vendor><action>success</action><hash>ee5fd360d4b771c5be30068a93714fb1</hash></key>
<key><path>HKLM\SOFTWARE\CLASSES\Toolbar.CT3241949</path><vendor>PUP.Optional.ConduitTB.Gen</vendor><action>success</action><hash>a7a6d3604843c86ef3b599e37f85ec14</hash></key>
<key><path>HKU\S-1-5-21-2655371529-1849153383-726730911-1000\SOFTWARE\APPDATALOW\SOFTWARE\ConduitSearchScopes</path><vendor>PUP.Optional.Conduit</vendor><action>success</action><hash>a7a6330090fbbf77e9e69ef2956f32ce</hash></key>
<key><path>HKU\S-1-5-21-2655371529-1849153383-726730911-1000\SOFTWARE\APPDATALOW\SOFTWARE\PriceGong</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>a8a534ffc8c3c5710cfcfcb88b7923dd</hash></key>
<key><path>HKU\S-1-5-21-2655371529-1849153383-726730911-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{659ED3FA-CE4E-402F-B1AA-9CDECDFB1B53}</path><vendor>PUP.Optional.Conduit</vendor><action>success</action><hash>0b42f53e2e5d350122b3d7b99074e719</hash></key>
<value><path>HKU\S-1-5-21-2655371529-1849153383-726730911-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{659ED3FA-CE4E-402F-B1AA-9CDECDFB1B53}</path><valuename>URL</valuename><vendor>PUP.Optional.Conduit</vendor><action>success</action><valuedata>hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&amp;SearchSource=4&amp;ctid=CT3241949</valuedata><hash>0b42f53e2e5d350122b3d7b99074e719</hash></value>
<value><path>HKU\S-1-5-21-2655371529-1849153383-726730911-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{659ED3FA-CE4E-402F-B1AA-9CDECDFB1B53}</path><valuename>FaviconURL</valuename><vendor>PUP.Optional.Conduit</vendor><action>success</action><valuedata>hxxp://search.conduit.com/favicon.ico</valuedata><hash>5bf26fc4dbb04fe7dcf9365aaf55946c</hash></value>
<value><path>HKU\S-1-5-21-2655371529-1849153383-726730911-1000\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{659ED3FA-CE4E-402F-B1AA-9CDECDFB1B53}</path><valuename>SuggestionsURL_JSON</valuename><vendor>PUP.Optional.Conduit</vendor><action>success</action><valuedata>hxxp://suggest.search.conduit.com/CSuggestJson.ashx?prefix={searchTerms}</valuedata><hash>95b86cc7f398af87c11437596c9846ba</hash></value>
<folder><path>C:\Program Files\Conduit\Community Alerts</path><vendor>PUP.Optional.ConduitTB.Gen</vendor><action>success</action><hash>ee5fd360d4b771c5be30068a93714fb1</hash></folder>
<folder><path>C:\Program Files\Conduit</path><vendor>PUP.Optional.ConduitTB.Gen</vendor><action>success</action><hash>ee5fd360d4b771c5be30068a93714fb1</hash></folder>
<folder><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></folder>
<folder><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></folder>
<folder><path>C:\$Recycle.Bin\S-1-5-21-2655371529-1849153383-726730911-1000\$6891796f08290b4107cd347f6a0e2277\U</path><vendor>Trojan.Siredef.C</vendor><action>success</action><hash>a7a61d16c9c251e5a483cb3603fd45bb</hash></folder>
<folder><path>C:\$Recycle.Bin\S-1-5-21-2655371529-1849153383-726730911-1000\$6891796f08290b4107cd347f6a0e2277\L</path><vendor>Trojan.Siredef.C</vendor><action>success</action><hash>d875ec473b5079bdef3a16ebb14fda26</hash></folder>
<folder><path>C:\$Recycle.Bin\S-1-5-21-2655371529-1849153383-726730911-1000\$6891796f08290b4107cd347f6a0e2277</path><vendor>Trojan.Siredef.C</vendor><action>success</action><hash>fc51a58e9af104322efcc0412bd511ef</hash></folder>
<file><path>C:\Users\Benutzer1\AppData\Local\Temp\tbedrs.dll</path><vendor>PUP.Optional.ConduitTB.Gen</vendor><action>success</action><hash>c9844de625663cfa2cb25851b84d5ba5</hash></file>
<file><path>C:\Users\Benutzer1\AppData\Local\Temp\tbFil2.dll</path><vendor>PUP.Optional.ConduitTB.Gen</vendor><action>success</action><hash>c18c3102afdc0e28d707dccdea1b28d8</hash></file>
<file><path>C:\Program Files\Conduit\Community Alerts\Alert.dll</path><vendor>PUP.Optional.ConduitTB.Gen</vendor><action>success</action><hash>ee5fd360d4b771c5be30068a93714fb1</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\41.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\h.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\1.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\10040.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\11398.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\11626.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\15437.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\15487.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\15572.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\15609.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\15894.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\16135.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\16137.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\16233.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\16298.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\16399.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\16881.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\1728.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\21836.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\2229.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\2260.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\22817.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\2396.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\27472.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\2788.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\2995.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\3247.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\3384.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\371.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\i.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\j.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\k.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\l.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\m.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\mru.xml</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\n.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\o.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\p.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\q.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\r.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\s.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\t.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\u.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\v.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\w.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\wlu.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\x.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\y.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\z.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\4436.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\4489.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\4941.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\5874.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\5952.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\6101.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\6622.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\6699.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\6737.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\7008.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\8073.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\8130.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\8147.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\8170.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\8271.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\a.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\b.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\c.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\d.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\e.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\f.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
<file><path>C:\Users\Benutzer1\AppData\LocalLow\PriceGong\Data\g.txt</path><vendor>PUP.Optional.PriceGong</vendor><action>success</action><hash>ec61161dc9c23105758671b2e81b8c74</hash></file>
</items>
</mbam-log>
malwarebytes-log2.xml:

Code:
ATTFilter
<?xml version="1.0" encoding="UTF-16" ?>
<mbam-log>
<header>
<date>2015/09/23 08:46:05 +0200</date>
<logfile>mbam-log-2015-09-23 (08-46-03).xml</logfile>
<isadmin>yes</isadmin>
</header>
<engine>
<version>2.1.8.1057</version>
<malware-database>v2015.09.23.01</malware-database>
<rootkit-database>v2015.09.22.01</rootkit-database>
<license>trial</license>
<file-protection>enabled</file-protection>
<web-protection>enabled</web-protection>
<self-protection>disabled</self-protection>
</engine>
<system>
<osversion>Windows 7 Service Pack 1</osversion>
<arch>x86</arch>
<username>Benutzer1</username>
<filesys>NTFS</filesys>
</system>
<summary>
<type>threat</type>
<result>completed</result>
<objects>326285</objects>
<time>952</time>
<processes>0</processes>
<modules>0</modules>
<keys>0</keys>
<values>0</values>
<datas>0</datas>
<folders>0</folders>
<files>0</files>
<sectors>0</sectors>
</summary>
<options>
<memory>enabled</memory>
<startup>enabled</startup>
<filesystem>enabled</filesystem>
<archives>enabled</archives>
<rootkits>enabled</rootkits>
<deeprootkit>disabled</deeprootkit>
<heuristics>enabled</heuristics>
<pup>warn</pup>
<pum>enabled</pum>
</options>
<items>
</items>
</mbam-log>

Benutzername im Klartext wurde zu "Benutzer1" geändert.
Da ich schon einmal so einen ähnlichen Fall hatte, bei dem ein Privatkunde seine ganze Fotosammlung verloren hat, konnte ich mich noch erinnern, dass es manchmal möglich ist, die Verschlüsselung zu knacken, wenn man Dateien hat, die sowohl verschlüsselt, als auch unverschlüsselt vorliegen.
Ich habe darum gebeten, dass man die verbliebenen zwei Rechnern nach solchen Dateien durchforstet, und mir die Dateien zur Verfügung stellt.

Wäre schön, wenn ihr uns helfen könnt, an einer Spende soll es nicht liegen.
Sagt mir einfach, was ihr für angemessen haltet.

Mit freundlichen Grüßen

Armin_M

Alt 23.09.2015, 12:14   #2
schrauber
/// the machine
/// TB-Ausbilder
 
Verschlüsselungstrojaner - Standard

Verschlüsselungstrojaner


Hi,

ich brauche auf jeden Fall die beiden Dateien (verschlüsselt/unverschlüsselt). Wird ein Screen angezeigt dass die Daten verschlüsselt wurden? Wenn ja davon einen Screenshot bitte.
__________________

__________________
Alt 24.09.2015, 10:06   #3
Armin_M
 
Verschlüsselungstrojaner - Standard

Verschlüsselungstrojaner


Es wird kein Screen angezeigt, möglicherweise wurde der bereits mit MBAM entfernt.
Wie soll ich die Dateien übermitteln?
Ich habe zwei Ordner mit je 4 Dateien einmal verschlüsselt und einmal unverschlüsselt, in einem Zip-File zusammengefasst, vorliegen.

Ich habe nochmal zum Thema Screen nachgefragt:
Es gab direkt nach dem Ausführen der Datei ein Internetexplorer Fenster mit der Frage nach dem Standardbrowser. Es war aber ansonsten ein leeres Fenster, das sich nur über den Taskmanager beenden liess.
Ist der Link zur Schadsoftware relevant?

Habe auch eine Datei YOUR_FILES_ARE_ENCRYPTED.HTML auf dem Rechner gefunden:

Code:
ATTFilter
<!--
Take advantage of our affiliate-program!
We offer you 50% of our profits.

You can reach us via the bitmessage address:
BM-2cW44Yq9DWbHYnRSfzBLVxvE6WjadchNBt
----------------------------------------------------
Profitieren Sie von unserem Affiliate-Programm!
Wir bieten Ihnen 50% der erzielten Gewinne.

Sie erreichen uns ueber die Bitmessage Adresse:
BM-2cW44Yq9DWbHYnRSfzBLVxvE6WjadchNBt
-->
<html><head><meta http-equiv=content-type content="text/html; charset=utf-8"><title>Chimera&reg; Ransomware</title><link rel=stylesheet type=text/css href="hxxp://fonts.googleapis.com/css?family=Audiowide"><style>body{font-family:'Courier New',Courier,monospace;font-size:14pt;color:#fff;background-color:#000;background-image:url(hxxp://i.imgur.com/zHNCk2e.gif);background-repeat:repeat;background-position:center;background-attachment:fixed}table{margin:20px;font-size:18pt;font-weight:700}ul{list-style:none;display:inline;padding:0;margin:0;margin-left:690px}li{display:inline;padding:0;margin:0}.container{padding:25px;width:700px;border:dashed 1px #333;background-color:#000;color:#FFF}</style><script>var contentDE='Sie wurden Opfer der Chimera&reg; Malware. <font color="red">Ihre privaten Dateien wurden verschl&uuml;sselt und sind ohne eine spezielle Schl&uuml;sseldatei nicht wiederherstellbar.</font> M&ouml;glicherweise funktionieren einige Programme nicht mehr ordnungsgem&auml;&szlig;!<br/><br/>Hiermit werden Sie aufgefordert Bitcoins an die unten stehende Adresse zu transferieren, um Ihre pers&ouml;nliche Schl&uuml;sseldatei zu erhalten.<table><tr><td>Adresse:</td><td><font color="red" name="address">1KBfAwehSyr2AqgQKDQM7zMFBD5WcPSAeK</font></td></tr><tr><td align="right">Forderung:</td><td><font color="red" name="demand">1,05871256</font><font color="red">&nbsp;Bitcoins</font></td></tr></table>Das Entschl&uuml;sselungsprogramm und weitere Informationen, die Sie zur Wiederherstellung Ihrer Dateien ben&ouml;tigen, werden auf der folgenden Webseite zur Verf&uuml;gung gestellt:<p style="font-weight: bold; font-size: 18pt;"><a href="https://mega.nz/#!TZIk1b6I!y7LBGdPeRfVhKOmwC0_MChcunxI5vslI2nlFOPU9ulI">https://mega.nz/ChimeraDecrypter</a></p>Wenn Sie der Forderung nicht nachgehen, werden wir Ihre pers&ouml;nlichen Daten, Fotos und Videos in Verbindung mit Ihrem Namen im Internet ver&ouml;ffentlichen.<br/><br/>Sollten Sie &uuml;ber keine technische Innung verf&uuml;gen kontaktieren Sie bitte einen Techniker, der Ihnen best&auml;tigen kann, dass diese Forderung echt ist.';contentEN='You are victim of the Chimera&reg; malware. <font color="red">Your private files are encrypted and can not be restored without a special key file.</font> Maybe some programs no longer function properly!<br/><br/>Please transfer Bitcoins to the the following address to get your unique key file. <table><tr><td>Address:</td><td><font color="red" name="address">1HqoNfpAJFMy9E36DBSk1ktPQ9o9fn2RxX</font></td></tr><tr><td align="right">Amount:</td><td><font color="red" name="demand">0,93945085</font><font color="red">&nbsp;Bitcoins</font></td></tr></table>For the decryption programm and additional informations, please visit: <p style="font-weight: bold; font-size: 18pt;"><a href="https://mega.nz/#!TZIk1b6I!y7LBGdPeRfVhKOmwC0_MChcunxI5vslI2nlFOPU9ulI">https://mega.nz/ChimeraDecrypter</a></p>If you don\'t pay your private data, which include pictures and videos will be published on the internet in relation on your name.';affiliateDE="Profitieren Sie von unserem Affiliate-Programm!<br />Weitere Informationen im Quelltext dieser Datei.";affiliateEN="Take advantage of our affiliate-program!<br />More information in the source code of this file.";</script><body><center><br><font color=red size=7 style=font-family:Audiowide,serif>Chimera&reg; Ransomware</font><br><br><ul><li onclick=changeLanguage(&quot;en&quot;)><img height=24 src="hxxp://www.veryicon.com/icon/png/Flag/Flag%204/United%20Kingdom.png"></li><li onclick=changeLanguage(&quot;de&quot;)><img height=24 src="hxxp://www.veryicon.com/icon/png/Flag/Flag%204/Germany.png"></li></ul><div class=container><center id=content></center></div><br><p id=affiliate style=font-size:11pt></p><br></center><script>function changeLanguage(e){userLang==e?(document.getElementById("content").innerHTML=contentDE,document.getElementById("affiliate").innerHTML=affiliateDE):(document.getElementById("content").innerHTML=contentEN,document.getElementById("affiliate").innerHTML=affiliateEN)}var userLang=navigator.language||navigator.userLanguage;changeLanguage(userLang);</script>
Innerhalb des html-codes fällt auf, dass Bilder von der Domäne
Code:
ATTFilter
i.imgur.com
geladen werden.

Dateien, deren Endung in Grossbuchstaben benannt wurden (z.B. file.DOC), sind nicht verschlüsselt worden.

Desweiteren findet sich noch der Link zu
Code:
ATTFilter
mega.nz/#!TZIk1b6I!y7LBGdPeRfVhKOmwC0_MChcunxI5vslI2nlFOPU9ulI
wo es angeblich nach Zahlung das Decrypt-Tool geben soll, was ich aber stark bezweifle
__________________
Alt 24.09.2015, 20:45   #4
schrauber
/// the machine
/// TB-Ausbilder
 
Verschlüsselungstrojaner - Standard

Verschlüsselungstrojaner


Zitat:
Ist der Link zur Schadsoftware relevant?
Gerne, per PM bitte.

ZIP einfach hier anhängen.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Antwort

Themen zu Verschlüsselungstrojaner
administrator, adobe, adobe flash player, defender, desktop, dll, dnsapi.dll, explorer, f.txt, flash player, helper, homepage, microsoft, ordner, prozesse, registry, rundll, scan, schädling, security, services.exe, software, starmoney, svchost.exe, system, temp, windows, winlogon.exe


« WIN 7 32BIT Matsnu_Trojaner? CPU_Last_100%_bei_Internet_Explorer // abuse@telekom.de | Bei jedem Klick auf einen Link öffnet sich falsche Seite »


Ähnliche Themen: Verschlüsselungstrojaner


  1. Verschlüsselungstrojaner
    Log-Analyse und Auswertung - 29.10.2012 (3)
  2. (2x) Verschlüsselungstrojaner
    Mülltonne - 27.10.2012 (1)
  3. Verschlüsselungstrojaner
    Log-Analyse und Auswertung - 21.08.2012 (23)
  4. Verschlüsselungstrojaner
    Log-Analyse und Auswertung - 15.08.2012 (1)
  5. Verschlüsselungstrojaner
    Log-Analyse und Auswertung - 30.07.2012 (1)
  6. Verschlüsselungstrojaner
    Log-Analyse und Auswertung - 27.07.2012 (1)
  7. Verschlüsselungstrojaner
    Plagegeister aller Art und deren Bekämpfung - 29.06.2012 (24)
  8. Verschlüsselungstrojaner
    Plagegeister aller Art und deren Bekämpfung - 24.06.2012 (1)
  9. Verschlüsselungstrojaner
    Plagegeister aller Art und deren Bekämpfung - 22.06.2012 (21)
  10. Verschlüsselungstrojaner
    Plagegeister aller Art und deren Bekämpfung - 18.06.2012 (1)
  11. Verschlüsselungstrojaner
    Plagegeister aller Art und deren Bekämpfung - 18.06.2012 (1)
  12. Verschlüsselungstrojaner!
    Log-Analyse und Auswertung - 16.06.2012 (3)
  13. Verschlüsselungstrojaner
    Log-Analyse und Auswertung - 14.06.2012 (5)
  14. Verschlüsselungstrojaner
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (2)
  15. Verschlüsselungstrojaner
    Plagegeister aller Art und deren Bekämpfung - 30.05.2012 (1)
  16. Verschlüsselungstrojaner
    Log-Analyse und Auswertung - 24.05.2012 (1)
  17. Verschlüsselungstrojaner
    Log-Analyse und Auswertung - 03.05.2012 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Verschlüsselungstrojaner - Hallo Trojaner-Board-Team, einer meiner Kunden, eine kleine Schreinerei, rief mich heute Vormittag an und erklärte mir, dass sie sich einen Verschlüsselungstrojaner eingefangen haben. Ich habe daraufhin den Rechner abgeholt und - Verschlüsselungstrojaner...
Archiv
Du betrachtest: Verschlüsselungstrojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55