Daten verschlüsselnder Trojaner

Noop1337 · 07.10.2015, 16:34

Guten Tag,

ich habe einen Trojaner über eine E-Mail erhalten. Der E-Mail Account wurde anscheinend gehacked, da es sich sonst immer um eine vertrauliche Quelle handelte. Da habe ich natürlich großes Pech gehabt.
Ich habe keine Links angeklickt oder irgendwelche Anhänge geöffnet/ausgeführt.
Trotzdem hat es der "GenerickKD.2778633" auf meinen PC geschafft. Dort hat er sich als "6AAD.tmp" im Autostart angesiedelt.
Alle .doc, .xls, .pdf und ähnliches haben hinter ihrem eigentlichen Namen die Endung ".id-404951612_hairullah@inbox.lv" bekommen und beinhalten, auch wenn man die Endung entfernt, nur Hieroglyphen.
Mein Antivirenprogramm ist G-Data. Dies hat die 6AAD.tmp auch gefunden und entfernt.

Ich habe nun versucht die hier geforderten Logdateien zu erstellen. Bei dem Defogger war ich mir nicht sicher, daher habe ich dies nicht benutzt. Die FRST Dateien habe ich angehangen. Und beim Suchlauf von GMER habe ich irgendwann eine Bluescreen bekommen.

Vielen Dank im Voraus für eure Mühe!

schrauber · 07.10.2015, 16:58

Hi,

Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen.
Ich kann auf Arbeit keine Anhänge öffnen, danke.

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Noop1337 · 08.10.2015, 15:44

Hier die Logdateien. Mein Fehler...

Code:

ATTFilter

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:04-10-2015
durchgeführt von CB (ACHTUNG: der Benutzer ist kein Administrator) auf VERK_1_BUSS (07-10-2015 14:25:58)
Gestartet von E:\Systemcheck\Trojaner untersuchen\2
Geladene Profile: CB (Verfügbare Profile: Value & CB & Administrator)
Platform: Windows 7 Professional Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 11 (Standard-Browser: IE)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

konnte nicht auf den Prozess zugreifen -> smss.exe
konnte nicht auf den Prozess zugreifen -> csrss.exe
konnte nicht auf den Prozess zugreifen -> wininit.exe
konnte nicht auf den Prozess zugreifen -> csrss.exe
konnte nicht auf den Prozess zugreifen -> services.exe
konnte nicht auf den Prozess zugreifen -> lsass.exe
konnte nicht auf den Prozess zugreifen -> lsm.exe
konnte nicht auf den Prozess zugreifen -> winlogon.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
konnte nicht auf den Prozess zugreifen -> GDScan.exe
konnte nicht auf den Prozess zugreifen -> AVKWCtlX64.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
konnte nicht auf den Prozess zugreifen -> BRSVC01A.EXE
konnte nicht auf den Prozess zugreifen -> spoolsv.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
konnte nicht auf den Prozess zugreifen -> armsvc.exe
konnte nicht auf den Prozess zugreifen -> BRSS01A.EXE
konnte nicht auf den Prozess zugreifen -> AVKCl.exe
konnte nicht auf den Prozess zugreifen -> AVKProxy.exe
konnte nicht auf den Prozess zugreifen -> EPCP.exe
konnte nicht auf den Prozess zugreifen -> escsvc64.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
konnte nicht auf den Prozess zugreifen -> OPHCLDCS.EXE
konnte nicht auf den Prozess zugreifen -> svchost.exe
konnte nicht auf den Prozess zugreifen -> TeamViewer_Service.exe
konnte nicht auf den Prozess zugreifen -> svchost.exe
konnte nicht auf den Prozess zugreifen -> taskeng.exe
(TeamViewer GmbH) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer.exe
konnte nicht auf den Prozess zugreifen -> tv_w32.exe
konnte nicht auf den Prozess zugreifen -> tv_x64.exe
(Intel Corporation) C:\Windows\System32\hkcmd.exe
(Intel Corporation) C:\Windows\System32\igfxpers.exe
(G Data Software AG) C:\Program Files (x86)\G DATA\AVKClient\AVKCl.exe
(SEIKO EPSON CORPORATION) C:\Program Files (x86)\EPSON Software\Event Manager\EEventManager.exe
(SEIKO EPSON CORPORATION) C:\Program Files (x86)\EPSON Software\FAX Utility\FUFAXRCV.exe
(SEIKO EPSON CORPORATION) C:\Program Files (x86)\EPSON Software\FAX Utility\FUFAXSTM.exe
(G Data Software AG) C:\Program Files (x86)\Common Files\G Data\AVKProxy\GdBgInx64.exe
konnte nicht auf den Prozess zugreifen -> SearchIndexer.exe
konnte nicht auf den Prozess zugreifen -> WUDFHost.exe
konnte nicht auf den Prozess zugreifen -> WmiPrvSE.exe
konnte nicht auf den Prozess zugreifen -> sppsvc.exe
konnte nicht auf den Prozess zugreifen -> WMIADAP.exe
konnte nicht auf den Prozess zugreifen -> WmiPrvSE.exe
konnte nicht auf den Prozess zugreifen -> LMS.exe
konnte nicht auf den Prozess zugreifen -> UNS.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM-x32\...\Run: [AVK Client] => C:\Program Files (x86)\G Data\AVKClient\AVKCl.exe [4190840 2014-03-05] (G Data Software AG)
HKLM-x32\...\Run: [EEventManager] => C:\Program Files (x86)\Epson Software\Event Manager\EEventManager.exe [1058880 2013-03-28] (SEIKO EPSON CORPORATION)
HKLM-x32\...\Run: [FUFAXRCV] => C:\Program Files (x86)\Epson Software\FAX Utility\FUFAXRCV.exe [642664 2014-05-26] (SEIKO EPSON CORPORATION)
HKLM-x32\...\Run: [FUFAXSTM] => C:\Program Files (x86)\Epson Software\FAX Utility\FUFAXSTM.exe [863848 2014-05-26] (SEIKO EPSON CORPORATION)
HKLM-x32\...\RunOnce: [ Malwarebytes Anti-Malware  (cleanup)] => C:\ProgramData\Malwarebytes\ Malwarebytes Anti-Malware \mbamdor.exe [54072 2014-11-21] (Malwarebytes Corporation)
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== ACHTUNG
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe <====== ACHTUNG
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe <====== ACHTUNG
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== ACHTUNG
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-3856241882-3122673053-1663378791-1119\...\Policies\Explorer: [NoDesktopCleanupWizard] 1
HKU\S-1-5-21-3856241882-3122673053-1663378791-1119\...\MountPoints2: {8d9b9278-043c-11e5-9f2a-f46d04ed5db1} - E:\iLinker.exe
HKU\S-1-5-21-3856241882-3122673053-1663378791-1119\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\system32\scrnsave.scr [11264 2009-07-14] (Microsoft Corporation)
HKU\S-1-5-18\...\Policies\Explorer: [TaskbarNoNotification] 1
HKU\S-1-5-18\...\Policies\Explorer: [HideSCAHealth] 1

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

ProxyEnable: [S-1-5-21-3856241882-3122673053-1663378791-1119] => Proxy ist aktiviert.
Tcpip\Parameters: [DhcpNameServer] 192.168.17.3
Tcpip\..\Interfaces\{4EF3395E-E77F-4626-BD46-019D31669D5F}: [DhcpNameServer] 192.168.17.3

Internet Explorer:
==================
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKU\S-1-5-21-3856241882-3122673053-1663378791-1119\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
HKU\S-1-5-21-3856241882-3122673053-1663378791-1119\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
SearchScopes: HKU\S-1-5-21-3856241882-3122673053-1663378791-1119 -> {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = hxxp://mystart.incredibar.com/mb106/?search={searchTerms}&loc=IB_DS&a=6R8gddks28&i=26
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation)
BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre7\bin\ssv.dll [2014-09-26] (Oracle Corporation)
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL [2013-03-06] (Microsoft Corporation)
BHO-x32: Kein Name -> {BA3295CF-17ED-4F49-9E95-D999A0ADBFDC} ->  Keine Datei
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll [2014-09-26] (Oracle Corporation)
DPF: HKLM-x32 {28B66320-9687-4B13-8757-36F901887AB5} hxxp://www.lidl-fotos.de/ips-opdata/layout/lidl02/objects/canvasx.cab
DPF: HKLM-x32 {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} hxxp://www.lidl-fotos.de/ips-opdata/layout/lidl02/objects/jordan.cab

FireFox:
========
FF ProfilePath: C:\Users\CB\AppData\Roaming\Mozilla\Firefox\Profiles\d9qzyx2p.default
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.30214.0\npctrl.dll [2014-02-13] ( Microsoft Corporation)
FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~1\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin-x32: @java.com/DTPlugin,version=10.71.2 -> C:\Windows\SysWOW64\npdeployJava1.dll [2014-09-26] (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin -> C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll [2014-09-26] (Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=10.71.2 -> C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll [2014-09-26] (Oracle Corporation)
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.30214.0\npctrl.dll [2014-02-13] ( Microsoft Corporation)
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [2010-01-09] (Microsoft Corporation)
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL [2010-03-24] (Microsoft Corporation)
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.28.15\npGoogleUpdate3.dll [2015-09-16] (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.28.15\npGoogleUpdate3.dll [2015-09-16] (Google Inc.)
FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll [2014-12-03] (Adobe Systems Inc.)
FF Plugin HKU\S-1-5-21-3856241882-3122673053-1663378791-1119: amazon.com/AmazonMP3DownloaderPlugin -> C:\Users\CB\AppData\Local\Program Files\Amazon\MP3 Downloader\npAmazonMP3DownloaderPlugin10181.dll [2013-05-22] (Amazon.com, Inc.)

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 AntiVirusKit Client; C:\Program Files (x86)\G Data\AVKClient\AVKCl.exe [4190840 2014-03-05] (G Data Software AG)
R2 AVKProxy; C:\Program Files (x86)\Common Files\G DATA\AVKProxy\AVKProxy.exe [2010232 2014-03-05] (G Data Software AG)
R2 AVKWCtl; C:\Program Files (x86)\G Data\AVKClient\AVKWCtlX64.exe [2572520 2014-03-05] (G Data Software AG)
R2 Brother XP spl Service; C:\Windows\SysWOW64\brsvc01a.exe [57344 2004-06-13] (brother Industries Ltd)
R2 EpsonScanSvc; C:\Windows\system32\EscSvc64.exe [144560 2012-05-17] (Seiko Epson Corporation)
S3 GDBackupSvc; C:\Program Files (x86)\G Data\AVKClient\AVKBackupService.exe [1947768 2014-03-05] (G Data Software AG)
R3 GDScan; C:\Program Files (x86)\Common Files\G DATA\GDScan\GDScan.exe [709240 2014-03-05] (G Data Software AG)
R2 lmhosts; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
R2 lmhosts; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
R2 NlaSvc; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
R2 NlaSvc; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
R2 nsi; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
R2 nsi; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
R2 OKI OPHC DCS Loader; C:\Windows\system32\spool\DRIVERS\x64\3\OPHCLDCS.EXE [20480 2007-05-29] (Oki Data Corporation) [Datei ist nicht signiert]
S4 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S3 ebdrv; C:\Windows\system32\drivers\evbda.sys [3286016 2009-06-10] (Broadcom Corporation)
R0 GDBehave; C:\Windows\System32\drivers\GDBehave.sys [59392 2014-05-07] (G Data Software AG)
R3 gddcd; C:\Windows\system32\drivers\gddcd64.sys [78848 2014-05-07] (G Data Software AG)
R1 gddcv; C:\Windows\system32\drivers\gddcv64.sys [58880 2014-05-07] (G Data Software AG)
R1 GDMnIcpt; C:\Windows\system32\drivers\MiniIcpt.sys [130560 2014-05-07] (G Data Software AG)
R1 gdwfpcd; C:\Windows\System32\drivers\gdwfpcd64.sys [64000 2014-05-07] (G Data Software AG)
R1 GRD; C:\Windows\system32\drivers\GRD.sys [106272 2014-05-07] (G Data Software)
R1 HookCentre; C:\Windows\system32\drivers\HookCentre.sys [65024 2014-05-07] (G Data Software AG)
S3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [129752 2015-03-23] (Malwarebytes Corporation)
S3 LgBttPort; system32\DRIVERS\lgbtpt64.sys [X]
S3 lgbusenum; system32\DRIVERS\lgbtbs64.sys [X]
S3 LGVMODEM; system32\DRIVERS\lgvmdm64.sys [X]
S3 usbbus; system32\DRIVERS\lgx64bus.sys [X]
S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [X]
S3 USBModem; system32\DRIVERS\lgx64modem.sys [X]

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2015-10-07 14:25 - 2015-10-07 14:25 - 00000000 ____D C:\FRST
2015-10-07 10:26 - 2015-10-07 12:13 - 00058880 _____ C:\Users\CB\Desktop\Kalkulation.xls
2015-10-07 10:25 - 2015-10-07 12:24 - 00274432 _____ C:\Users\CB\Desktop\Christian Buss Provisionsabrechnung -2015.xls
2015-09-23 17:49 - 2015-09-23 17:50 - 00000000 ____D C:\Users\CB\AppData\LocalLow\Amazon
2015-09-23 17:39 - 2015-09-23 17:40 - 00000000 ____D C:\Users\CB\AppData\Roaming\Microsoft Analysis Services
2015-09-11 14:35 - 2015-09-11 17:49 - 00000000 ____D C:\Users\CB\AppData\LocalLow\vlc
2015-09-11 14:21 - 2015-09-13 10:22 - 00000000 ____D C:\ProgramData\Windows Sidebar

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2015-10-07 14:24 - 2012-11-08 10:10 - 00001106 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2015-10-07 14:22 - 2015-03-23 15:32 - 00010973 _____ C:\Windows\setupact.log
2015-10-07 14:22 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2015-10-07 14:14 - 2011-10-24 09:44 - 00000000 ____D C:\Users\CB\Documents\Outlook-Dateien
2015-10-07 14:00 - 2015-01-20 09:00 - 00000911 _____ C:\Windows\Tasks\EPSON WF-3620 Series Update {2AEB4F00-E5BB-433B-8DBC-85314E94C304}.job
2015-10-07 14:00 - 2015-01-20 09:00 - 00000725 _____ C:\Windows\Tasks\EPSON WF-3620 Series Invitation {2AEB4F00-E5BB-433B-8DBC-85314E94C304}.job
2015-10-07 14:00 - 2009-07-14 07:32 - 00000000 ____D C:\Windows\system32\FxsTmp
2015-10-07 13:50 - 2012-04-12 09:17 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2015-10-07 13:38 - 2012-11-08 10:10 - 00001110 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2015-10-07 13:37 - 2015-01-20 13:37 - 00000911 _____ C:\Windows\Tasks\EPSON WF-3620 Series Update {E24372C0-002A-4A29-82C6-D6B4ED3BBF9C}.job
2015-10-07 13:37 - 2015-01-20 13:37 - 00000725 _____ C:\Windows\Tasks\EPSON WF-3620 Series Invitation {E24372C0-002A-4A29-82C6-D6B4ED3BBF9C}.job
2015-10-07 09:35 - 2009-07-14 06:45 - 00016768 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-10-07 09:35 - 2009-07-14 06:45 - 00016768 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-10-07 09:31 - 2010-11-21 08:50 - 00654150 _____ C:\Windows\system32\perfh007.dat
2015-10-07 09:31 - 2010-11-21 08:50 - 00130022 _____ C:\Windows\system32\perfc007.dat
2015-10-07 09:31 - 2009-07-14 07:13 - 01498742 _____ C:\Windows\system32\PerfStringBackup.INI
2015-10-06 17:13 - 2013-06-15 11:42 - 00037257 ___SH C:\Users\CB\Folder.jpg.id-4064951612_hairullah@inbox.lv
2015-10-06 17:13 - 2011-10-24 09:44 - 00000000 ____D C:\Users\CB
2015-10-06 17:12 - 2013-06-15 11:43 - 00037257 ___SH C:\Users\CB\AlbumArt_{FF1D2E96-DE54-444F-B327-0339F70B3F0E}_Large.jpg.id-4064951612_hairullah@inbox.lv
2015-10-06 17:12 - 2013-06-15 11:43 - 00007892 ___SH C:\Users\CB\AlbumArt_{FF1D2E96-DE54-444F-B327-0339F70B3F0E}_Small.jpg.id-4064951612_hairullah@inbox.lv
2015-10-06 17:12 - 2013-06-15 11:42 - 00007892 ___SH C:\Users\CB\AlbumArtSmall.jpg.id-4064951612_hairullah@inbox.lv
2015-10-06 17:12 - 2011-10-24 10:08 - 02232612 ____H C:\Users\CB\AppData\Local\IconCache.db.id-4064951612_hairullah@inbox.lv
2015-09-24 08:51 - 2015-03-23 15:32 - 00008330 _____ C:\Windows\PFRO.log
2015-09-23 17:40 - 2011-10-21 20:22 - 00000000 ____D C:\ProgramData\G Data
2015-09-17 09:20 - 2015-03-02 11:09 - 00002276 _____ C:\Users\CB\Desktop\zul.lnk
2015-09-15 15:23 - 2011-10-24 09:44 - 00000342 _____ C:\Users\CB\Desktop\Wunschkennzeichen Landkreis Aurich.url
2015-09-14 14:22 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\system32\NDF
2015-09-11 14:21 - 2011-10-21 19:37 - 01395302 _____ C:\Windows\WindowsUpdate.log

==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert


ACHTUNG: ==> Auf den BCD konnte nicht zugegriffen werden. der Benutzer ist kein Administrator

==================== Ende von FRST.txt ===========================

Code:

ATTFilter

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:04-10-2015
durchgeführt von CB (2015-10-07 14:26:46)
Gestartet von E:\Systemcheck\Trojaner untersuchen\2
Windows 7 Professional Service Pack 1 (X64) (2011-10-21 17:54:45)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-2808024244-317073517-3212452733-500 - Administrator - Disabled)
Gast (S-1-5-21-2808024244-317073517-3212452733-501 - Limited - Disabled)
Value (S-1-5-21-2808024244-317073517-3212452733-1000 - Administrator - Enabled) => C:\Users\Value

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: G Data AntiVirus (Enabled - Up to date) {545C8713-0744-B079-87F8-349A6D5C8CF0}
AS: G Data AntiVirus (Enabled - Up to date) {EF3D66F7-217E-BFF7-BD48-0FE816DBC64D}
AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Adobe Flash Player 16 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 16.0.0.305 - Adobe Systems Incorporated)
Adobe Reader XI (11.0.10) - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-AB0000000001}) (Version: 11.0.10 - Adobe Systems Incorporated)
Amazon MP3-Downloader 1.0.18 (HKU\S-1-5-21-3856241882-3122673053-1663378791-1119\...\Amazon MP3-Downloader) (Version: 1.0.18 - Amazon Services LLC)
CCleaner (HKLM\...\CCleaner) (Version: 4.07 - Piriform)
Druckerdeinstallation für EPSON WP-4025 Series (HKLM\...\EPSON WP-4025 Series) (Version:  - SEIKO EPSON Corporation)
Epson Customer Participation (HKLM\...\{814FA673-A085-403C-9545-747FC1495069}) (Version: 1.7.0.0 - SEIKO EPSON CORPORATION)
Epson Event Manager (HKLM-x32\...\{116DBCAF-9544-4592-9156-AC99F6C2D426}) (Version: 3.10.0016 - Seiko Epson Corporation)
Epson FAX Utility (HKLM-x32\...\{0CBE6C93-CB2E-4378-91EE-12BE6D4E2E4A}) (Version: 1.51.00 - SEIKO EPSON CORPORATION)
EPSON Scan (HKLM-x32\...\EPSON Scanner) (Version:  - Seiko Epson Corporation)
EPSON Scan OCR Component (HKLM-x32\...\{563B99D8-8895-4E3E-AE8D-15BE8C05F1C1}) (Version: 2.30.00 - SEIKO EPSON Corp.)
EPSON WF-3620 Series Printer Uninstall (HKLM\...\EPSON WF-3620 Series) (Version:  - SEIKO EPSON Corporation)
Epson WF-3620 User’s Guide version 1.0 (HKLM-x32\...\UsersGuideEpson WF-3620 User’s Guide_is1) (Version: 1.0 - )
EpsonNet Print (HKLM-x32\...\{3E31400D-274E-4647-916C-2CACC3741799}) (Version: 2.6.0 - SEIKO EPSON CORPORATION)
G Data AntiVirus Client (HKLM-x32\...\{7F07767B-0141-49E4-A850-5EAB7D08C2FA}) (Version: 11.0.0 - G Data Software AG)
Google Update Helper (x32 Version: 1.3.25.11 - Google Inc.) Hidden
Google Update Helper (x32 Version: 1.3.28.15 - Google Inc.) Hidden
Intel(R) Management Engine Components (HKLM-x32\...\{65153EA5-8B6E-43B6-857B-C6E4FC25798A}) (Version: 7.0.0.1144 - Intel Corporation)
Intel(R) Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 9.17.10.3347 - Intel Corporation)
Java 7 Update 71 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217025FF}) (Version: 7.0.710 - Oracle)
Malwarebytes Anti-Malware Version 2.0.4.1028 (HKLM-x32\...\Malwarebytes Anti-Malware_is1) (Version: 2.0.4.1028 - Malwarebytes Corporation)
Microsoft .NET Framework 4 Client Profile (HKLM\...\Microsoft .NET Framework 4 Client Profile) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (HKLM\...\Microsoft .NET Framework 4 Client Profile DEU Language Pack) (Version: 4.0.30319 - Microsoft Corporation)
Microsoft Office Home and Business 2010 (HKLM-x32\...\Office14.SingleImage) (Version: 14.0.7015.1000 - Microsoft Corporation)
Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.30214.0 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{7299052b-02a4-4627-81f2-1818da5d550d}) (Version: 8.0.56336 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM-x32\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
MSXML 4.0 SP2 Parser and SDK (HKLM-x32\...\{716E0306-8318-4364-8B8F-0CC4E9376BAC}) (Version: 4.20.9818.0 - Microsoft Corporation)
Realtek Ethernet Controller Driver For Windows Vista and Later (HKLM-x32\...\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}) (Version: 1.00.0009 - Realtek)
Service Pack 2 for Microsoft Office 2010 (KB2687455) 32-Bit Edition (HKLM-x32\...\{90140000-003D-0000-0000-0000000FF1CE}_Office14.SingleImage_{DE28B448-32E8-4E8F-84F0-A52B21A49B5B}) (Version:  - Microsoft)
Software Updater (HKLM-x32\...\{B307472F-7BD9-4040-9255-CE6D6A1196A3}) (Version: 4.3.1 - SEIKO EPSON CORPORATION)
TeamViewer 9 Host (HKLM-x32\...\TeamViewer 9 Host) (Version: 9.0.41110 - TeamViewer)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Wiederherstellungspunkte =========================

ACHTUNG: Systemwiederherstellung ist deaktiviert
Überprüfen Sie den "winmgmt" Dienst oder reparieren Sie den WMI.


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 04:34 - 2009-06-10 23:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)

Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => 
Task: C:\Windows\Tasks\EPSON WF-3620 Series Invitation {2AEB4F00-E5BB-433B-8DBC-85314E94C304}.job => 
Task: C:\Windows\Tasks\EPSON WF-3620 Series Invitation {E24372C0-002A-4A29-82C6-D6B4ED3BBF9C}.job => 
Task: C:\Windows\Tasks\EPSON WF-3620 Series Update {2AEB4F00-E5BB-433B-8DBC-85314E94C304}.job => 
Task: C:\Windows\Tasks\EPSON WF-3620 Series Update {E24372C0-002A-4A29-82C6-D6B4ED3BBF9C}.job => 
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => 
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => 

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2011-08-31 19:13 - 2011-08-31 19:13 - 00094208 _____ () C:\Windows\System32\IccLibDll_x64.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-3856241882-3122673053-1663378791-1119\Control Panel\Desktop\\Wallpaper -> C:\Users\CB\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 192.168.17.3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 0)
mpsdrv => Firewall Dienst läuft nicht.
MpsSvc => Firewall Dienst läuft nicht.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

MSCONFIG\Services: AdobeFlashPlayerUpdateSvc => 3
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Action Manager 32.lnk => C:\Windows\pss\Action Manager 32.lnk.CommonStartup

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [SPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [SPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe
FirewallRules: [{9CB14C8F-C8E7-4752-B2F3-87E81B64CB4A}] => (Allow) C:\Program Files (x86)\G DATA\AVKClient\AVKCl.exe
FirewallRules: [{7B91E17B-E7D8-453D-9231-965C16893034}] => (Allow) C:\Program Files (x86)\G DATA\AVKClient\AVKCl.exe
FirewallRules: [TCP Query User{387CD86B-BE34-4451-BCED-05D5877769BB}C:\program files (x86)\g data\avkclient\avkcl.exe] => (Allow) C:\program files (x86)\g data\avkclient\avkcl.exe
FirewallRules: [UDP Query User{4710469D-5241-4E15-A80E-9FE5632E6C65}C:\program files (x86)\g data\avkclient\avkcl.exe] => (Allow) C:\program files (x86)\g data\avkclient\avkcl.exe
FirewallRules: [TCP Query User{0CC65D33-3B04-4E6D-AAC8-66F0119F0F5B}C:\program files (x86)\g data\avkclient\avkcl.exe] => (Allow) C:\program files (x86)\g data\avkclient\avkcl.exe
FirewallRules: [UDP Query User{4BA5C26F-81E6-4AE9-9205-12D0FF632868}C:\program files (x86)\g data\avkclient\avkcl.exe] => (Allow) C:\program files (x86)\g data\avkclient\avkcl.exe
FirewallRules: [{4EEBAD3C-E954-4B93-B2F5-A326C4950B28}] => (Allow) C:\Program Files (x86)\EPSON Software\Event Manager\EEventManager.exe
FirewallRules: [{B1CE0600-4930-4EAB-A21A-E01868FF8D39}] => (Allow) C:\Program Files (x86)\EPSON Software\Event Manager\EEventManager.exe
FirewallRules: [TCP Query User{23C5E109-1F12-478A-AE6C-AE3F18E5EDB4}C:\program files (x86)\epson software\event manager\eeventmanager.exe] => (Allow) C:\program files (x86)\epson software\event manager\eeventmanager.exe
FirewallRules: [UDP Query User{BEE576FA-CAC8-49CA-927E-CE722E684992}C:\program files (x86)\epson software\event manager\eeventmanager.exe] => (Allow) C:\program files (x86)\epson software\event manager\eeventmanager.exe
FirewallRules: [{51C48AF5-D01C-4013-8A35-1A3A619567C2}] => (Allow) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer.exe
FirewallRules: [{83E953FE-98C4-4405-A30B-917EA2D9ABF4}] => (Allow) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer.exe
FirewallRules: [{A489A339-FD89-4E9E-B1A7-92D421F179F1}] => (Allow) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe
FirewallRules: [{DF250C81-F8A0-43C1-9403-29478676F59B}] => (Allow) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe

==================== Fehlerhafte Geräte im Gerätemanager =============

Konnte Geräte nicht auflisten. Überprüfen Sie den "winmgmt" Dienst oder reparieren Sie den WMI.


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (10/07/2015 02:24:31 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

Error: (10/07/2015 02:24:20 PM) (Source: SideBySide) (EventID: 33) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "Microsoft.VC80.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50727.6195"1".
Die abhängige Assemblierung "Microsoft.VC80.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50727.6195"" konnte nicht gefunden werden.
Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe".

Error: (10/07/2015 02:24:19 PM) (Source: Microsoft-Windows-Folder Redirection) (EventID: 502) (User: JANSSEN)
Description: Fehler bei der Richtlinienanwendung und beim Umleiten des Ordners "Documents" nach "\\DELL-1\USER\CB\Eigene Dateien".
 Umleitungsoptionen=0x9230.
 Der folgende Fehler ist aufgetreten: "Ordner "\\DELL-1\USER\CB\Eigene Dateien" konnte nicht erstellt werden".
 Fehlerdetails: "Diese Sicherheitskennung kann nicht als Besitzer des Objekts zugeordnet werden.
".

Error: (10/07/2015 02:24:17 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1521) (User: JANSSEN)
Description: Die Serverkopie des servergespeicherten Profils wurde nicht gefunden. Sie werden mit einem lokalen Benutzerprofil angemeldet. Änderungen an dem Profil werden nach der Abmeldung nicht auf den Server kopiert. Mögliche Fehlerursachen sind Netzwerkprobleme oder nicht ausreichende Sicherheitsrechte. 

 Details - Der Netzwerkname wurde nicht gefunden.

Error: (10/07/2015 10:48:22 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: E_YARNKEE.EXE, Version: 8.0.0.1, Zeitstempel: 0x52311f82
Name des fehlerhaften Moduls: E_YAPRKEE.DLL, Version: 8.0.1.6, Zeitstempel: 0x53210928
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00000000000e5a39
ID des fehlerhaften Prozesses: 0x9fc
Startzeit der fehlerhaften Anwendung: 0xE_YARNKEE.EXE0
Pfad der fehlerhaften Anwendung: E_YARNKEE.EXE1
Pfad des fehlerhaften Moduls: E_YARNKEE.EXE2
Berichtskennung: E_YARNKEE.EXE3

Error: (10/07/2015 10:48:21 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: E_YARNKEE.EXE, Version: 8.0.0.1, Zeitstempel: 0x52311f82
Name des fehlerhaften Moduls: E_YAPRKEE.DLL, Version: 8.0.1.6, Zeitstempel: 0x53210928
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00000000000838ca
ID des fehlerhaften Prozesses: 0x1790
Startzeit der fehlerhaften Anwendung: 0xE_YARNKEE.EXE0
Pfad der fehlerhaften Anwendung: E_YARNKEE.EXE1
Pfad des fehlerhaften Moduls: E_YARNKEE.EXE2
Berichtskennung: E_YARNKEE.EXE3

Error: (10/07/2015 10:39:56 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: E_YARNKEE.EXE, Version: 8.0.0.1, Zeitstempel: 0x52311f82
Name des fehlerhaften Moduls: E_YAPRKEE.DLL, Version: 8.0.1.6, Zeitstempel: 0x53210928
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00000000000e5a39
ID des fehlerhaften Prozesses: 0x1710
Startzeit der fehlerhaften Anwendung: 0xE_YARNKEE.EXE0
Pfad der fehlerhaften Anwendung: E_YARNKEE.EXE1
Pfad des fehlerhaften Moduls: E_YARNKEE.EXE2
Berichtskennung: E_YARNKEE.EXE3

Error: (10/07/2015 10:39:54 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: E_YARNKEE.EXE, Version: 8.0.0.1, Zeitstempel: 0x52311f82
Name des fehlerhaften Moduls: E_YAPRKEE.DLL, Version: 8.0.1.6, Zeitstempel: 0x53210928
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00000000000838ca
ID des fehlerhaften Prozesses: 0x11d8
Startzeit der fehlerhaften Anwendung: 0xE_YARNKEE.EXE0
Pfad der fehlerhaften Anwendung: E_YARNKEE.EXE1
Pfad des fehlerhaften Moduls: E_YARNKEE.EXE2
Berichtskennung: E_YARNKEE.EXE3

Error: (10/07/2015 10:39:43 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: E_YARNKEE.EXE, Version: 8.0.0.1, Zeitstempel: 0x52311f82
Name des fehlerhaften Moduls: E_YAPRKEE.DLL, Version: 8.0.1.6, Zeitstempel: 0x53210928
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00000000000e5a39
ID des fehlerhaften Prozesses: 0x12b0
Startzeit der fehlerhaften Anwendung: 0xE_YARNKEE.EXE0
Pfad der fehlerhaften Anwendung: E_YARNKEE.EXE1
Pfad des fehlerhaften Moduls: E_YARNKEE.EXE2
Berichtskennung: E_YARNKEE.EXE3

Error: (10/07/2015 10:39:41 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: E_YARNKEE.EXE, Version: 8.0.0.1, Zeitstempel: 0x52311f82
Name des fehlerhaften Moduls: E_YAPRKEE.DLL, Version: 8.0.1.6, Zeitstempel: 0x53210928
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00000000000838ca
ID des fehlerhaften Prozesses: 0x398
Startzeit der fehlerhaften Anwendung: 0xE_YARNKEE.EXE0
Pfad der fehlerhaften Anwendung: E_YARNKEE.EXE1
Pfad des fehlerhaften Moduls: E_YARNKEE.EXE2
Berichtskennung: E_YARNKEE.EXE3


Systemfehler:
=============
Error: (10/07/2015 02:22:46 PM) (Source: Microsoft-Windows-GroupPolicy) (EventID: 1129) (User: NT-AUTORITÄT)
Description: Bei der Verarbeitung der Gruppenrichtlinie ist aufgrund fehlender Netzwerkkonnektivität mit einem Domänencontroller ein Fehler aufgetreten. Dies kann eine vorübergehende Bedingung sein. Es wird eine Erfolgsmeldung generiert, wenn die Verbindung des Computers mit dem Domänencontroller wiederhergestellt wurde und wenn die Gruppenrichtlinie erfolgreich verarbeitet wurde. Falls für mehrere Stunden keine Erfolgsmeldung angezeigt wird, wenden Sie sich an den Administrator.

Error: (10/07/2015 02:22:43 PM) (Source: NETLOGON) (EventID: 5719) (User: )
Description: Der Computer konnte eine sichere Sitzung mit einem
Domänencontroller in der Domäne JANSSEN aufgrund der folgenden
Ursache nicht einrichten: 
%%1311

Dies kann zu Authentifizierungsproblemen führen. Stellen
Sie sicher, dass der Computer mit dem Netzwerk verbunden ist.
Wenden Sie sich an den Domänenadministrator, wenn das Problem
weiterhin besteht.



ZUSÄTZLICHE INFORMATIONEN

Wenn dieser Computer ein Domänencontroller der bestimmten
Domäne ist, wird eine sichere Sitzung zum primären
Domänencontrolleremulator in der bestimmten Domäne eingerichtet.
Andernfalls richtet dieser Computer eine sichere Sitzung zu
einem beliebigen Domänencontroller in der bestimmten Domäne ein.

Error: (10/07/2015 09:26:59 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Funktionssuche-Ressourcenveröffentlichung" wurde mit folgendem Fehler beendet: 
%%-2147014847

Error: (10/07/2015 09:26:59 AM) (Source: Microsoft-Windows-GroupPolicy) (EventID: 1055) (User: NT-AUTORITÄT)
Description: Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Computername konnte nicht aufgelöst werden. Dies kann mindestens eine der folgenden Ursachen haben: 
a) Fehler bei der Namensauflösung mit dem aktuellen Domänencontroller. 
b) Active Directory-Replikationswartezeit (ein auf einem anderen Domänencontroller erstelltes Konto hat nicht auf dem aktuellen Domänencontroller repliziert).

Error: (10/07/2015 09:26:53 AM) (Source: NETLOGON) (EventID: 5719) (User: )
Description: Der Computer konnte eine sichere Sitzung mit einem
Domänencontroller in der Domäne JANSSEN aufgrund der folgenden
Ursache nicht einrichten: 
%%1311

Dies kann zu Authentifizierungsproblemen führen. Stellen
Sie sicher, dass der Computer mit dem Netzwerk verbunden ist.
Wenden Sie sich an den Domänenadministrator, wenn das Problem
weiterhin besteht.



ZUSÄTZLICHE INFORMATIONEN

Wenn dieser Computer ein Domänencontroller der bestimmten
Domäne ist, wird eine sichere Sitzung zum primären
Domänencontrolleremulator in der bestimmten Domäne eingerichtet.
Andernfalls richtet dieser Computer eine sichere Sitzung zu
einem beliebigen Domänencontroller in der bestimmten Domäne ein.

Error: (10/07/2015 08:57:16 AM) (Source: DCOM) (EventID: 10010) (User: )
Description: {995C996E-D918-4A8C-A302-45719A6F4EA7}

Error: (10/07/2015 03:57:13 AM) (Source: NETLOGON) (EventID: 5719) (User: )
Description: Der Computer konnte eine sichere Sitzung mit einem
Domänencontroller in der Domäne JANSSEN aufgrund der folgenden
Ursache nicht einrichten: 
%%1311

Dies kann zu Authentifizierungsproblemen führen. Stellen
Sie sicher, dass der Computer mit dem Netzwerk verbunden ist.
Wenden Sie sich an den Domänenadministrator, wenn das Problem
weiterhin besteht.



ZUSÄTZLICHE INFORMATIONEN

Wenn dieser Computer ein Domänencontroller der bestimmten
Domäne ist, wird eine sichere Sitzung zum primären
Domänencontrolleremulator in der bestimmten Domäne eingerichtet.
Andernfalls richtet dieser Computer eine sichere Sitzung zu
einem beliebigen Domänencontroller in der bestimmten Domäne ein.

Error: (10/06/2015 10:58:12 PM) (Source: NETLOGON) (EventID: 5719) (User: )
Description: Der Computer konnte eine sichere Sitzung mit einem
Domänencontroller in der Domäne JANSSEN aufgrund der folgenden
Ursache nicht einrichten: 
%%1311

Dies kann zu Authentifizierungsproblemen führen. Stellen
Sie sicher, dass der Computer mit dem Netzwerk verbunden ist.
Wenden Sie sich an den Domänenadministrator, wenn das Problem
weiterhin besteht.



ZUSÄTZLICHE INFORMATIONEN

Wenn dieser Computer ein Domänencontroller der bestimmten
Domäne ist, wird eine sichere Sitzung zum primären
Domänencontrolleremulator in der bestimmten Domäne eingerichtet.
Andernfalls richtet dieser Computer eine sichere Sitzung zu
einem beliebigen Domänencontroller in der bestimmten Domäne ein.

Error: (10/06/2015 07:17:11 PM) (Source: Microsoft-Windows-GroupPolicy) (EventID: 1129) (User: JANSSEN)
Description: Bei der Verarbeitung der Gruppenrichtlinie ist aufgrund fehlender Netzwerkkonnektivität mit einem Domänencontroller ein Fehler aufgetreten. Dies kann eine vorübergehende Bedingung sein. Es wird eine Erfolgsmeldung generiert, wenn die Verbindung des Computers mit dem Domänencontroller wiederhergestellt wurde und wenn die Gruppenrichtlinie erfolgreich verarbeitet wurde. Falls für mehrere Stunden keine Erfolgsmeldung angezeigt wird, wenden Sie sich an den Administrator.

Error: (10/06/2015 07:05:40 PM) (Source: Microsoft-Windows-GroupPolicy) (EventID: 1129) (User: NT-AUTORITÄT)
Description: Bei der Verarbeitung der Gruppenrichtlinie ist aufgrund fehlender Netzwerkkonnektivität mit einem Domänencontroller ein Fehler aufgetreten. Dies kann eine vorübergehende Bedingung sein. Es wird eine Erfolgsmeldung generiert, wenn die Verbindung des Computers mit dem Domänencontroller wiederhergestellt wurde und wenn die Gruppenrichtlinie erfolgreich verarbeitet wurde. Falls für mehrere Stunden keine Erfolgsmeldung angezeigt wird, wenden Sie sich an den Administrator.


==================== Speicherinformationen =========================== 

Prozessor: Intel(R) Core(TM) i3-2100 CPU @ 3.10GHz
Prozentuale Nutzung des RAM: 35%
Installierter physikalischer RAM: 4008.29 MB
Verfügbarer physikalischer RAM: 2579.61 MB
Summe virtueller Speicher: 8014.77 MB
Verfügbarer virtueller Speicher: 6340.23 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:465.66 GB) (Free:415.35 GB) NTFS ==>[System mit Startkomponenten (eingeholt von lesen Laufwerk)]
Drive d: (21 Mai 2006) (CDROM) (Total:0.2 GB) (Free:0 GB) CDFS
Drive e: (USB DISK) (Removable) (Total:7.46 GB) (Free:5.96 GB) FAT32
Drive k: () (Network) (Total:300.42 GB) (Free:196.39 GB) 

==================== MBR & Partitionstabelle ==================

==================== Ende von Addition.txt ============================

Hallo nochmal.
Ca. 99% der Daten konnte ich aus einer Datensicherung wiederherstellen. Damit wäre das Problem bereits beseitigt.
Mich würde jetzt nur interessieren, ob solche Trojaner sich noch irgendwo verstecken und ggf. noch einmal aktiviert werden können. Außerdem wüsste ich gerne, wie ich solche Dateien wieder entschlüsseln kann (für den Fall, dass kein Backup vorhanden ist).

schrauber · 09.10.2015, 23:34

Verschlüsselte Dateien entschlüsseln ist leider nicht möglich.

Um eine eventuelle Bereinigung zu machen bitte FRST nochmal, unsere Tools brauchen immer Adminrechte.

Daten verschlüsselnder Trojaner

Log-Analyse und Auswertung: Daten verschlüsselnder Trojaner