Verschlüsselungsvirus auf Win7-64bit-PC

appeldieter · 09.05.2017, 11:11

Hallo Trojanerboard.
Bei mir hat sich ein Verschlüsselungsvirus eingenistet.
Meine Dateinamen sehen jetzt so aus:

adress10.xlr.id_2817238874_gebdp3k7bolalnd4.onion._

Logfiles mit HijackThis + FRST habe ich bereits erstellt.

Alleine traue ich mich aber nicht an die Sache ran.
Deshalb wäre ich für eure Hilfe sehr dankbar.
Viele Grüsse, Dieter.

cosinus · 09.05.2017, 11:37

hi,

eine Bereinigung bereinigt "nur" das System, Dateien entschlüsseln ist etwas völlig anderes. Bei vielen Kryptotrojanern ist es nicht oder noch nicht möglich die Dateien zu entschlüsseln.

appeldieter · 11.05.2017, 08:37

Moin cosinus.
Danke für die schnelle Antwort.
Da ich gelegentlich eine Datensicherung auf eine externe HD mache, kann ich die meisten Daten wieder herstellen.
Aber sollte man nicht als erstes den Virus entfernen?
Solange der PC nicht sauber ist, traue ich mich nicht, die externe Festplatte anzuschliessen, um zu vermeiden, dass der Virus auch dort die Daten verschlüsselt.
Viele Grüsse, Dieter.

cosinus · 11.05.2017, 09:48

Ich hab dich darüber informiert, dass Bereinigung und Entschlüsselung zwei völlig unterschiedliche Themen sind. Vielen ist das nämlich nicht klar und poltern dann am Ende herum, warum Virenscanner und Co keine Daten zurückholen können

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

appeldieter · 12.05.2017, 11:49

Moin Cosinus.
Hier sind die FRST-Logfiles.
Danke, und viele Grüsse, Dieter.

FRST Logfile:

Code:

ATTFilter

Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 08-05-2017
durchgeführt von Dieter (Administrator) auf HP-WIN7 (09-05-2017 12:13:56)
Gestartet von C:\Users\Dieter\Desktop
Geladene Profile: Dieter (Verfügbare Profile: Dieter)
Platform: Windows 7 Ultimate (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 8 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(G Data Software AG) C:\Program Files (x86)\Common Files\G Data\GDScan\GDScan.exe
(G Data Software AG) C:\Program Files (x86)\G DATA\InternetSecurity\AVK\AVKWCtlx64.exe
(G Data Software AG) C:\Program Files (x86)\Common Files\G Data\AVKProxy\AVKProxy.exe
(G Data Software AG) C:\Program Files (x86)\G DATA\InternetSecurity\AVK\AVKService.exe
(TeamViewer GmbH) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe
(G Data Software AG) C:\Program Files (x86)\G DATA\InternetSecurity\Firewall\GDFwSvcx64.exe
(Microsoft Corporation) C:\Windows\System32\alg.exe
(G Data Software AG) C:\Program Files (x86)\Common Files\G Data\AVKProxy\AVKBap64.exe
(Hewlett-Packard Company) C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\HPSupportSolutionsFrameworkService.exe
(G Data Software AG) C:\Program Files (x86)\G DATA\InternetSecurity\AVKTray\AVKTray.exe
(G Data Software AG) C:\Program Files (x86)\Common Files\G Data\AVKProxy\GDKBFltExe32.exe
(TeamViewer GmbH) C:\Program Files (x86)\TeamViewer\TeamViewer.exe
(SEIKO EPSON CORPORATION) C:\Program Files (x86)\Epson Software\Event Manager\EEventManager.exe
(G DATA Software AG) C:\Program Files (x86)\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe
(TeamViewer GmbH) C:\Program Files (x86)\TeamViewer\tv_w32.exe
(TeamViewer GmbH) C:\Program Files (x86)\TeamViewer\tv_x64.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe

==================== Registry (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)

HKLM-x32\...\Run: [GDFirewallTray] => C:\Program Files (x86)\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe [1864312 2015-06-16] (G DATA Software AG)
HKLM-x32\...\Run: [EEventManager] => C:\Program Files (x86)\Epson Software\Event Manager\EEventManager.exe [1065024 2014-06-10] (SEIKO EPSON CORPORATION)
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,C:\Program Files (x86)\G DATA\InternetSecurity\AVKTray\AVKTray.exe,c:\program files (x86)\g data\internetsecurity\avkkid\avkcks.exe
Startup: C:\Users\Dieter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Internet Explorer (64-bit).lnk [2015-10-11]
ShortcutTarget: Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{c4175b11-a344-4a67-a52f-4b71dba0f9ad} <======= ACHTUNG (Beschränkung - IP)
Tcpip\..\Interfaces\{241BB920-3DC5-4DC7-8129-C26064902244}: [NameServer] 62.109.121.1 62.109.121.2

Internet Explorer:
==================
HKU\S-1-5-21-1792251753-422851178-3131304993-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/de-de/?ocid=iehp
BHO-x32: Adobe PDF Reader Link Helper -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> C:\Program Files (x86)\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12] (Adobe Systems Incorporated)
Filter: deflate - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\system32\urlmon.dll [2009-07-14] (Microsoft Corporation)
Filter-x32: deflate - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\SysWOW64\urlmon.dll [2009-07-14] (Microsoft Corporation)
Filter: gzip - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\system32\urlmon.dll [2009-07-14] (Microsoft Corporation)
Filter-x32: gzip - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\SysWOW64\urlmon.dll [2009-07-14] (Microsoft Corporation)

FireFox:
========
FF DefaultProfile: 23vte1p1.default
FF ProfilePath: C:\Users\Dieter\AppData\Roaming\Mozilla\Firefox\Profiles\23vte1p1.default [2017-05-09]
FF Homepage: Mozilla\Firefox\Profiles\23vte1p1.default -> hxxps://www.google.de/webhp?tab=ww&ei=sFbxVZi0J4fgaIXImdAK&ved=0CAEQqS4oAQ
FF NetworkProxy: Mozilla\Firefox\Profiles\23vte1p1.default -> type", 4

==================== Dienste (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 AVKProxy; C:\Program Files (x86)\Common Files\G Data\AVKProxy\AVKProxy.exe [2558072 2015-06-19] (G Data Software AG)
R2 AVKService; C:\Program Files (x86)\G DATA\InternetSecurity\AVK\AVKService.exe [966776 2015-06-16] (G Data Software AG)
R2 AVKWCtl; C:\Program Files (x86)\G DATA\InternetSecurity\AVK\AVKWCtlx64.exe [3711712 2015-06-16] (G Data Software AG)
R3 GDFwSvc; C:\Program Files (x86)\G DATA\InternetSecurity\Firewall\GDFwSvcx64.exe [3202368 2015-06-19] (G Data Software AG)
R3 GDScan; C:\Program Files (x86)\Common Files\G Data\GDScan\GDScan.exe [789624 2015-06-16] (G Data Software AG)
R2 HPSupportSolutionsFrameworkService; C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\HPSupportSolutionsFrameworkService.exe [24888 2015-07-26] (Hewlett-Packard Company)
R2 TeamViewer; C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe [5702416 2015-09-11] (TeamViewer GmbH)
R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2009-07-14] (Microsoft Corporation)
S2 WELM; C:\Windows\Prefetch\wuauser.exe --server [X]

===================== Treiber (Nicht auf der Ausnahmeliste) ======================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R0 GDBehave; C:\Windows\System32\drivers\GDBehave.sys [158720 2015-09-06] (G Data Software AG)
R3 GDKBB; C:\Windows\system32\drivers\GDKBB64.sys [27648 2015-09-06] (G Data Software AG)
R3 GDKBFlt; C:\Windows\system32\drivers\GDKBFlt64.sys [20992 2015-09-06] (G Data Software AG)
R1 GDMnIcpt; C:\Windows\system32\drivers\MiniIcpt.sys [230912 2015-09-06] (G Data Software AG)
R3 GDPkIcpt; C:\Windows\system32\drivers\PktIcpt.sys [76288 2015-09-06] (G Data Software AG)
R1 gdwfpcd; C:\Windows\System32\drivers\gdwfpcd64.sys [65024 2015-09-06] (G Data Software AG)
R1 GRD; C:\Windows\system32\drivers\GRD.sys [106272 2017-05-03] (G Data Software)
R1 HookCentre; C:\Windows\system32\drivers\HookCentre.sys [125952 2015-09-06] (G Data Software AG)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-05-09 11:33 - 2017-05-09 11:40 - 00000000 ____D C:\Programm Hajathi 170509
2017-05-05 22:08 - 2017-05-05 22:08 - 00024298 _____ C:\15321.exe
2017-05-04 12:42 - 2017-05-04 12:43 - 00017212 _____ C:\Users\Dieter\Desktop\Addition.txt
2017-05-04 12:41 - 2017-05-09 12:14 - 00007745 _____ C:\Users\Dieter\Desktop\FRST.txt
2017-05-04 12:41 - 2017-05-09 12:13 - 00000000 ____D C:\FRST
2017-05-04 12:40 - 2017-05-09 12:12 - 02429440 _____ (Farbar) C:\Users\Dieter\Desktop\FRST64.exe
2017-05-03 15:26 - 2017-05-03 15:26 - 00106272 _____ (G Data Software) C:\Windows\system32\Drivers\GRD.sys
2017-05-03 15:26 - 2017-05-03 15:26 - 00018160 _____ (G Data Software) C:\Windows\system32\Drivers\GdPhyMem.sys
2017-05-03 10:40 - 2017-05-03 10:40 - 00062656 _____ C:\Users\Dieter\AppData\Local\GDIPFONTCACHEV1.DAT
2017-05-02 15:56 - 2017-05-02 15:46 - 00001145 _____ C:\Users\Public\Desktop\_DECRYPT_MY_FILES.txt
2017-05-02 15:46 - 2017-05-02 15:46 - 00001145 _____ C:\Users\Dieter\AppData\Local\_DECRYPT_MY_FILES.txt
2017-05-02 15:46 - 2017-05-02 15:46 - 00001145 _____ C:\Users\Dieter\AppData\_DECRYPT_MY_FILES.txt
2017-05-02 15:46 - 2017-05-02 15:46 - 00001145 _____ C:\Users\Default\AppData\Local\_DECRYPT_MY_FILES.txt
2017-05-02 15:46 - 2017-05-02 15:46 - 00001145 _____ C:\Users\Default\AppData\_DECRYPT_MY_FILES.txt
2017-05-02 15:46 - 2017-05-02 15:46 - 00001145 _____ C:\Users\Default\_DECRYPT_MY_FILES.txt
2017-05-02 15:46 - 2017-05-02 15:46 - 00001145 _____ C:\Users\Default User\AppData\Local\_DECRYPT_MY_FILES.txt
2017-05-02 15:46 - 2017-05-02 15:46 - 00001145 _____ C:\Users\Default User\AppData\_DECRYPT_MY_FILES.txt
2017-04-29 12:50 - 2017-05-02 15:46 - 00024348 _____ C:\1.exe.id_2817238874_gebdp3k7bolalnd4.onion._
2017-04-28 19:18 - 2017-04-28 19:18 - 00000000 ____D C:\Windows\Minidump
2017-04-23 20:31 - 2017-05-02 15:49 - 00000298 _____ C:\spam.log.id_2817238874_gebdp3k7bolalnd4.onion._

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2017-05-09 11:39 - 2015-09-06 11:00 - 00000000 ____D C:\Users\Dieter\AppData\Local\VirtualStore
2017-05-09 10:46 - 2016-11-18 10:55 - 00000000 ____D C:\Users\Dieter\AppData\LocalLow\Mozilla
2017-05-09 09:54 - 2009-07-14 06:45 - 00017136 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2017-05-09 09:54 - 2009-07-14 06:45 - 00017136 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2017-05-09 09:51 - 2009-07-14 19:58 - 00643628 _____ C:\Windows\system32\perfh007.dat
2017-05-09 09:51 - 2009-07-14 19:58 - 00126188 _____ C:\Windows\system32\perfc007.dat
2017-05-09 09:51 - 2009-07-14 07:13 - 01472002 _____ C:\Windows\system32\PerfStringBackup.INI
2017-05-09 09:51 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\inf
2017-05-09 09:47 - 2015-10-11 19:20 - 00000433 _____ C:\Windows\system32\Drivers\etc\hosts.ics
2017-05-09 09:46 - 2009-07-14 07:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2017-05-08 20:43 - 2015-10-11 21:02 - 00000000 ____D C:\Program Files (x86)\TeamViewer
2017-05-08 20:43 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\security
2017-05-06 10:24 - 2016-11-17 22:49 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2017-05-06 10:24 - 2015-09-06 11:59 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2017-05-04 14:34 - 2009-07-14 05:20 - 00000000 __RHD C:\Users\Public\Libraries
2017-05-03 12:04 - 2015-09-12 12:03 - 00000000 ____D C:\Users\Dieter\AppData\Roaming\SoftMaker
2017-05-03 10:30 - 2016-01-10 09:51 - 00000000 ____D C:\Program Files (x86)\Mozilla Thunderbird
2017-05-03 10:27 - 2015-09-06 11:41 - 00000000 ____D C:\ProgramData\G Data
2017-05-03 10:25 - 2015-09-06 11:00 - 00000000 ____D C:\Users\Dieter
2017-05-03 10:23 - 2016-09-13 07:45 - 00000000 ___RD C:\Users\Dieter\Documents\Scanned Documents
2017-05-03 10:23 - 2009-07-14 20:18 - 00000000 ___RD C:\Users\Public\Recorded TV
2017-05-03 10:23 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\AppCompat
2017-05-03 10:21 - 2015-10-11 18:40 - 00000000 ____D C:\Users\Dieter\AppData\Roaming\Thunderbird
2017-05-03 10:21 - 2015-09-06 11:30 - 00000000 ____D C:\Users\Dieter\AppData\Roaming\FreeCommander
2017-05-03 10:20 - 2016-09-13 07:45 - 00000000 ____D C:\Users\Dieter\Documents\Fax
2017-05-03 10:20 - 2015-10-11 20:41 - 00000000 ____D C:\Users\Dieter\Downloads\epson513615eu
2017-05-03 10:20 - 2015-09-12 12:03 - 00000000 ____D C:\Users\Dieter\Documents\SoftMaker
2017-05-03 10:20 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\registration
2017-05-03 10:19 - 2015-09-19 12:29 - 00000000 ____D C:\Users\Dieter\AppData\Local\HP
2017-05-03 10:19 - 2015-09-12 13:19 - 00000000 ____D C:\Users\Dieter\AppData\Roaming\Adobe
2017-05-03 10:19 - 2015-09-06 11:59 - 00000000 ____D C:\Users\Dieter\AppData\Local\Mozilla
2017-05-02 16:59 - 2015-10-11 21:02 - 00001072 _____ C:\Users\Public\Desktop\TeamViewer 10.lnk.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:59 - 2015-10-11 20:32 - 00000971 _____ C:\Users\Public\Desktop\EPSON Scan.lnk.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:59 - 2015-10-11 18:40 - 00001238 _____ C:\Users\Public\Desktop\Mozilla Thunderbird.lnk.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:59 - 2015-09-19 12:30 - 00002241 _____ C:\Users\Public\Desktop\HP Officejet Pro 8100.lnk.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:59 - 2015-09-19 12:30 - 00001193 _____ C:\Users\Public\Desktop\Shop für Zubehör - HP Officejet Pro 8100.lnk.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:59 - 2015-09-12 13:02 - 00000863 _____ C:\Users\Public\Desktop\CCleaner.lnk.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:59 - 2015-09-12 11:59 - 00002066 _____ C:\Users\Public\Desktop\Adobe Reader.lnk.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:59 - 2015-09-06 11:59 - 00001188 _____ C:\Users\Public\Desktop\Firefox.lnk.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:59 - 2015-09-06 11:50 - 00002019 _____ C:\Users\Public\Desktop\G DATA.lnk.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:59 - 2009-07-14 06:54 - 00000314 ___SH C:\Users\Public\Documents\desktop.ini.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:59 - 2009-07-14 06:54 - 00000210 ___SH C:\Users\Public\Downloads\desktop.ini.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:59 - 2009-07-14 06:54 - 00000210 ___SH C:\Users\Public\Desktop\desktop.ini.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:59 - 2009-07-14 06:54 - 00000210 ___SH C:\Users\Public\desktop.ini.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2016-09-23 10:21 - 00290246 _____ C:\Users\Dieter\Desktop\Alphabetisierung.pdf.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2016-06-17 13:29 - 00290246 _____ C:\Users\Dieter\Documents\Appelwisch Plakat Kontur3.pdf.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2016-05-27 18:03 - 01293713 _____ C:\Users\Dieter\Desktop\P1010561.JPG.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2016-05-27 18:03 - 01268383 _____ C:\Users\Dieter\Desktop\P1010560.JPG.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2016-03-03 19:52 - 00020377 _____ C:\Users\Dieter\Desktop\galantus_elwesii_benshallbe.jpg.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2016-03-03 19:51 - 00013512 _____ C:\Users\Dieter\Desktop\galanthus_nivalis_flore_pleno2.jpg.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2016-02-28 18:31 - 00174249 _____ C:\Users\Dieter\Downloads\Rechenhelfer.pdf.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-11-17 12:35 - 00239505 _____ C:\Users\Dieter\Downloads\Gor2015-11-13.pdf.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-10-13 15:29 - 00064036 _____ C:\Users\Dieter\Desktop\Absender_Elke.doc.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-10-13 15:29 - 00045604 _____ C:\Users\Dieter\Desktop\Adresse_Nitz.doc.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-10-11 21:01 - 08202076 _____ C:\Users\Dieter\Downloads\TeamViewer_Setup_de.exe.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-10-11 20:59 - 00000000 ____D C:\Users\Dieter\Desktop\Angela
2017-05-02 16:57 - 2015-10-11 20:46 - 06869028 _____ C:\Users\Dieter\Downloads\epson379347eu.exe.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-10-11 20:41 - 14988608 _____ C:\Users\Dieter\Downloads\epson513615eu.zip.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-10-11 20:30 - 11663684 _____ C:\Users\Dieter\Downloads\epson13534.exe.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-10-11 20:04 - 00001446 _____ C:\Users\Dieter\Desktop\Internet Explorer (64-bit).lnk.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-10-11 18:38 - 33877492 _____ C:\Users\Dieter\Downloads\Thunderbird Setup 38.3.0.exe.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-10-09 11:11 - 00021855 _____ C:\Users\Dieter\Downloads\Quitte_Label_hoch.pdf.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-10-08 14:59 - 00023558 _____ C:\Users\Dieter\Downloads\193px-Quitte_Cydonia_oblonga.jpg.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-10-06 15:08 - 00015899 _____ C:\Users\Dieter\Downloads\Saft_Adresse_ueberschreiben.pdf.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-10-06 15:08 - 00015899 _____ C:\Users\Dieter\Downloads\Saft_Adresse_ueberschreiben(1).pdf.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-09-19 12:28 - 20918084 _____ C:\Users\Dieter\Downloads\OJ8100_Basicx64_1321.exe.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-09-19 12:23 - 03774172 _____ C:\Users\Dieter\Downloads\HPSupportSolutionsFramework-12.0.30.81.exe.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-09-12 12:39 - 00002504 _____ C:\Users\Dieter\Desktop\Tabelle.lnk.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-09-12 12:39 - 00001636 _____ C:\Users\Dieter\Desktop\Presentation.lnk.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-09-12 12:39 - 00001600 _____ C:\Users\Dieter\Desktop\Schreiben.lnk.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-09-12 12:14 - 61725956 _____ C:\Users\Dieter\Downloads\freeofficewindows.exe.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-09-12 11:41 - 00001385 _____ C:\Users\Dieter\Desktop\EigeneDateien.lnk.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-09-06 11:30 - 00001034 _____ C:\Users\Dieter\Desktop\FreeCommander.lnk.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-09-06 11:00 - 00000616 ___SH C:\Users\Dieter\Desktop\desktop.ini.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-09-06 11:00 - 00000438 ___SH C:\Users\Dieter\Documents\desktop.ini.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:57 - 2015-09-06 11:00 - 00000318 ___SH C:\Users\Dieter\Downloads\desktop.ini.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 16:51 - 2015-09-06 11:49 - 00000815 _____ C:\Users\Dieter\AppData\Roaming\gdscan.log.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 15:56 - 2015-09-19 12:00 - 00000000 ____D C:\Users\Dieter\Downloads\Computer
2017-05-02 15:49 - 2015-09-12 15:34 - 00062692 _____ C:\Users\Dieter\AppData\Local\GDIPFONTCACHEV1.DAT.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 15:49 - 2015-09-06 11:53 - 01998861 ____H C:\Users\Dieter\AppData\Local\IconCache.db.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 15:49 - 2009-07-14 06:54 - 00000210 ___SH C:\Users\desktop.ini.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 15:46 - 2015-09-19 12:29 - 00000093 _____ C:\ProgramData\Ament.ini.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 15:46 - 2015-09-12 13:19 - 00000000 ____D C:\Users\Dieter\AppData\Local\Adobe
2017-05-02 15:46 - 2015-09-12 11:59 - 00000000 ____D C:\ProgramData\Adobe
2017-05-02 15:46 - 2009-07-14 20:18 - 00000000 ____D C:\Users\Default\AppData\Roaming\Media Center Programs
2017-05-02 15:46 - 2009-07-14 20:18 - 00000000 ____D C:\Users\Default User\AppData\Roaming\Media Center Programs
2017-04-24 08:56 - 2009-07-14 07:08 - 00032632 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2017-04-16 13:50 - 2009-07-14 05:20 - 00000000 ____D C:\Windows\LiveKernelReports
2017-04-11 15:47 - 2009-07-14 07:32 - 00000000 ____D C:\Windows\system32\FxsTmp

==================== Dateien im Wurzelverzeichnis einiger Verzeichnisse =======

2015-09-06 11:50 - 2015-09-06 11:50 - 0000000 _____ () C:\Users\Dieter\AppData\Roaming\gdfw.log
2015-09-06 11:49 - 2017-05-02 16:51 - 0000815 _____ () C:\Users\Dieter\AppData\Roaming\gdscan.log.id_2817238874_gebdp3k7bolalnd4.onion._
2017-05-02 15:46 - 2017-05-02 15:46 - 0001145 _____ () C:\Users\Dieter\AppData\Local\_DECRYPT_MY_FILES.txt
2015-09-19 12:29 - 2015-09-19 12:29 - 0000057 _____ () C:\ProgramData\Ament.ini
2015-09-19 12:29 - 2017-05-02 15:46 - 0000093 _____ () C:\ProgramData\Ament.ini.id_2817238874_gebdp3k7bolalnd4.onion._

==================== Bamital & volsnap ======================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert

LastRegBack: 2017-05-03 10:11

==================== Ende von FRST.txt ============================

--- --- ---

FRST Additions Logfile:

Code:

ATTFilter

Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 08-05-2017
durchgeführt von Dieter (09-05-2017 12:14:38)
Gestartet von C:\Users\Dieter\Desktop
Windows 7 Ultimate (X64) (2015-09-06 08:59:58)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-1792251753-422851178-3131304993-500 - Administrator - Disabled)
Dieter (S-1-5-21-1792251753-422851178-3131304993-1000 - Administrator - Enabled) => C:\Users\Dieter
Gast (S-1-5-21-1792251753-422851178-3131304993-501 - Limited - Disabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AV: G DATA INTERNET SECURITY (Enabled - Up to date) {545C8713-0744-B079-87F8-349A6D5C8CF0}
AS: G DATA INTERNET SECURITY (Enabled - Up to date) {EF3D66F7-217E-BFF7-BD48-0FE816DBC64D}
AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
FW: G*DATA Personal Firewall (Enabled) {6C670636-4D2B-B121-ACA7-9DAF938FCB8B}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Adobe Reader 7.0.8 - Deutsch (HKLM-x32\...\{AC76BA86-7AD7-1031-7B44-A70800000002}) (Version: 7.0.8 - Adobe Systems Incorporated)
CCleaner (HKLM\...\CCleaner) (Version: 3.26 - Piriform)
Epson Copy Utility 4 (HKLM-x32\...\{06A7E8AB-2856-4490-BAA9-F338ABE7695A}) (Version: 4.01.0001 - Seiko Epson Corporation)
Epson Event Manager (HKLM-x32\...\{4B22C430-7EA8-4534-8358-376FD900B953}) (Version: 3.10.0042 - Seiko Epson Corporation)
EPSON Scan (HKLM-x32\...\EPSON Scanner) (Version:  - )
FreeCommander 2009.02a (HKLM-x32\...\FreeCommander_is1) (Version: 2009.02 - Marek Jasinski)
G DATA INTERNET SECURITY (HKLM-x32\...\{AC68D2FF-1674-4C16-A536-A69FC11BBD82}) (Version: 25.1.0.8 - G DATA Software AG)
HP Officejet Pro 8100 - Grundlegende Software für das Gerät (HKLM\...\{4D139017-971D-45CF-B94E-26C4DC93A814}) (Version: 28.0.1321.0 - Hewlett-Packard Co.)
HP Support Solutions Framework (HKLM-x32\...\{8F1A441E-AD6D-4732-BD6A-F38D5F1D1E47}) (Version: 12.0.30.81 - Hewlett-Packard Company)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM-x32\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Mozilla Firefox 53.0.2 (x86 de) (HKLM-x32\...\Mozilla Firefox 53.0.2 (x86 de)) (Version: 53.0.2 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 53.0.2.6333 - Mozilla)
Mozilla Thunderbird 38.5.0 (x86 de) (HKLM-x32\...\Mozilla Thunderbird 38.5.0 (x86 de)) (Version: 38.5.0 - Mozilla)
Mozilla Thunderbird 38.5.1 (x86 de) (HKU\S-1-5-21-1792251753-422851178-3131304993-1000\...\Mozilla Thunderbird 38.5.1 (x86 de)) (Version: 38.5.1 - Mozilla)
NTREGOPT 1.1j (HKLM-x32\...\NTREGOPT_is1) (Version:  - Lars Hederer)
SoftMaker FreeOffice (HKLM-x32\...\{8EBB8452-274B-465D-8324-00B0832FBB02}) (Version: 1.0.3510 - SoftMaker Software GmbH)
TeamViewer 10 (HKLM-x32\...\TeamViewer) (Version: 10.0.47484 - TeamViewer)
xp-AntiSpy 3.98 (HKLM-x32\...\xp-AntiSpy) (Version:  - Christian Taubenheim)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {6CA7211A-42B9-4F9E-9C9E-66E3010EC99B} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2012-12-19] (Piriform Ltd)

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============

2015-06-16 11:17 - 2015-06-16 11:17 - 00382584 ____N () C:\Program Files (x86)\Common Files\G Data\AVKProxy\PktIcpt2x64.dll
2016-01-10 09:51 - 2016-01-10 09:52 - 00153032 _____ () C:\Program Files (x86)\Mozilla Thunderbird\NSLDAP32V60.dll
2016-01-10 09:51 - 2016-01-10 09:52 - 00022472 _____ () C:\Program Files (x86)\Mozilla Thunderbird\NSLDAPPR32V60.dll

==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 04:34 - 2009-06-10 23:00 - 00000824 _____ C:\Windows\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-1792251753-422851178-3131304993-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Dieter\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 62.109.121.1 - 62.109.121.2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist deaktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader - Schnellstart.lnk => C:\Windows\pss\Adobe Reader - Schnellstart.lnk.CommonStartup

==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{35CFD456-A492-40C0-950D-70F4FBFC1B4F}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{E999B8BD-EEF0-46F6-A2A2-1C0380921FE1}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{E4C83558-0C5E-43E3-AC32-8A5403C74EED}] => (Allow) C:\Program Files\HP\HP Officejet Pro 8100\Bin\DeviceSetup.exe
FirewallRules: [{111B898E-7862-48FA-9819-6BC3425AC856}] => (Allow) C:\Program Files\HP\HP Officejet Pro 8100\Bin\HPNetworkCommunicator.exe
FirewallRules: [{D14CCAD1-9467-47CB-9653-AAA4A18C27C6}] => (Allow) C:\Program Files\HP\HP Officejet Pro 8100\Bin\HPNetworkCommunicatorCom.exe
FirewallRules: [{34522101-426A-49BE-9310-CEF6F028B40B}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe
FirewallRules: [{CC276F7C-5C8C-4DB9-A944-486E4C057719}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe
FirewallRules: [{5C07B7E6-9A9C-4C0B-910C-FA8BDF60C919}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe
FirewallRules: [{621B00E8-D80D-4F11-BF0D-8A919EE7EB9A}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe
FirewallRules: [{F932CD30-7626-42A0-955A-2D4A302F15E8}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{0B207927-A415-4B9C-8694-E9FB678A6F24}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

==================== Wiederherstellungspunkte =========================

04-05-2017 15:24:28 Geplanter Prüfpunkt

==================== Fehlerhafte Geräte im Gerätemanager =============


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (05/09/2017 10:34:08 AM) (Source: SideBySide) (EventID: 63) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\freecommander\DelZip179.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\freecommander\DelZip179.dll" in Zeile 8.
Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist ungültig.

Error: (05/08/2017 08:42:41 PM) (Source: Wininit) (EventID: 1015) (User: )
Description: Ein kritischer Systemprozess C:\Windows\system32\lsass.exe ist fehlgeschlagen mit den Statuscode c0000005. Der Computer muss neu gestartet werden.

Error: (05/08/2017 12:59:34 PM) (Source: SideBySide) (EventID: 63) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\freecommander\DelZip179.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\freecommander\DelZip179.dll" in Zeile 8.
Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist ungültig.

Error: (05/06/2017 09:27:34 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 4107) (User: )
Description: Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>. Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error: (05/06/2017 09:27:30 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 4107) (User: )
Description: Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>. Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error: (05/06/2017 09:27:28 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 4107) (User: )
Description: Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>. Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error: (05/06/2017 08:45:41 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 4107) (User: )
Description: Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>. Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error: (05/04/2017 03:17:49 PM) (Source: SideBySide) (EventID: 63) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\freecommander\DelZip179.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\freecommander\DelZip179.dll" in Zeile 8.
Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist ungültig.

Error: (05/03/2017 03:46:36 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: helppane.exe, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bd17c
Name des fehlerhaften Moduls: apss.dll, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bdeb8
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00000000000022e3
ID des fehlerhaften Prozesses: 0x1514
Startzeit der fehlerhaften Anwendung: 0x01d2c413ac800e56
Pfad der fehlerhaften Anwendung: C:\Windows\helppane.exe
Pfad des fehlerhaften Moduls: C:\Windows\System32\apss.dll
Berichtskennung: ec762bb9-3006-11e7-be87-a4e1b5a67cee

Error: (05/03/2017 10:10:28 AM) (Source: SideBySide) (EventID: 63) (User: )
Description: Fehler beim Generieren des Aktivierungskontextes für "c:\program files (x86)\freecommander\DelZip179.dll". Fehler in Manifest- oder Richtliniendatei "c:\program files (x86)\freecommander\DelZip179.dll" in Zeile 8.
Der Wert "*" des "language"-Attributs im assemblyIdentity-Element ist ungültig.


Systemfehler:
=============
Error: (05/09/2017 10:01:38 AM) (Source: ipnathlp) (EventID: 31004) (User: )
Description: 0 Bytes Speicher konnten durch den DNS-Proxy-Agent nicht zugeordnet werden. Möglicherweise ist nicht genügend Speicher vorhanden oder ein interner Fehler ist im Speicher-Manager aufgetreten.

Error: (05/09/2017 10:01:37 AM) (Source: NetBT) (EventID: 4311) (User: )
Description: Es ist ein Initialisierungsfehler aufgetreten, da der Treiber nicht erstellt werden konnte.
Verwenden Sie die Zeichenfolge "%2", um die Schnittstelle zu identifizieren, die nicht initialisiert werden
konnte. Sie stellt die MAC-Adresse der Schnittstelle mit dem Initialisierungsfehler oder die 
GUID (Globally Unique Interface Identifier) dar, wenn NetBT keine Zuordnung 
von der GUID zur MAC-Adresse herstellen konnte. Wenn weder die MAC-Adresse noch die GUID verfügbar 
waren, dann stellt die Zeichenfolge einen Clustergerätenamen dar.

Error: (05/09/2017 09:47:25 AM) (Source: ipnathlp) (EventID: 1233) (User: )
Description: ICS_IPV6 konnte den IPv6-Stapel nicht konfigurieren.

Error: (05/08/2017 11:43:39 PM) (Source: NetBT) (EventID: 4311) (User: )
Description: Es ist ein Initialisierungsfehler aufgetreten, da der Treiber nicht erstellt werden konnte.
Verwenden Sie die Zeichenfolge "%2", um die Schnittstelle zu identifizieren, die nicht initialisiert werden
konnte. Sie stellt die MAC-Adresse der Schnittstelle mit dem Initialisierungsfehler oder die 
GUID (Globally Unique Interface Identifier) dar, wenn NetBT keine Zuordnung 
von der GUID zur MAC-Adresse herstellen konnte. Wenn weder die MAC-Adresse noch die GUID verfügbar 
waren, dann stellt die Zeichenfolge einen Clustergerätenamen dar.

Error: (05/08/2017 08:45:21 PM) (Source: ipnathlp) (EventID: 1233) (User: )
Description: ICS_IPV6 konnte den IPv6-Stapel nicht konfigurieren.

Error: (05/08/2017 08:44:15 PM) (Source: EventLog) (EventID: 6008) (User: )
Description: Das System wurde zuvor am ‎08.‎05.‎2017 um 20:42:49 unerwartet heruntergefahren.

Error: (05/08/2017 11:15:21 AM) (Source: NetBT) (EventID: 4311) (User: )
Description: Es ist ein Initialisierungsfehler aufgetreten, da der Treiber nicht erstellt werden konnte.
Verwenden Sie die Zeichenfolge "%2", um die Schnittstelle zu identifizieren, die nicht initialisiert werden
konnte. Sie stellt die MAC-Adresse der Schnittstelle mit dem Initialisierungsfehler oder die 
GUID (Globally Unique Interface Identifier) dar, wenn NetBT keine Zuordnung 
von der GUID zur MAC-Adresse herstellen konnte. Wenn weder die MAC-Adresse noch die GUID verfügbar 
waren, dann stellt die Zeichenfolge einen Clustergerätenamen dar.

Error: (05/08/2017 11:14:39 AM) (Source: NetBT) (EventID: 4311) (User: )
Description: Es ist ein Initialisierungsfehler aufgetreten, da der Treiber nicht erstellt werden konnte.
Verwenden Sie die Zeichenfolge "%2", um die Schnittstelle zu identifizieren, die nicht initialisiert werden
konnte. Sie stellt die MAC-Adresse der Schnittstelle mit dem Initialisierungsfehler oder die 
GUID (Globally Unique Interface Identifier) dar, wenn NetBT keine Zuordnung 
von der GUID zur MAC-Adresse herstellen konnte. Wenn weder die MAC-Adresse noch die GUID verfügbar 
waren, dann stellt die Zeichenfolge einen Clustergerätenamen dar.

Error: (05/08/2017 11:01:36 AM) (Source: ipnathlp) (EventID: 1233) (User: )
Description: ICS_IPV6 konnte den IPv6-Stapel nicht konfigurieren.

Error: (05/06/2017 10:26:14 AM) (Source: ipnathlp) (EventID: 1233) (User: )
Description: ICS_IPV6 konnte den IPv6-Stapel nicht konfigurieren.


==================== Speicherinformationen =========================== 

Prozessor: Intel(R) Core(TM)2 Duo CPU E7400 @ 2.80GHz
Prozentuale Nutzung des RAM: 49%
Installierter physikalischer RAM: 4095.23 MB
Verfügbarer physikalischer RAM: 2087.97 MB
Summe virtueller Speicher: 8188.6 MB
Verfügbarer virtueller Speicher: 5528.71 MB

==================== Laufwerke ================================

Drive c: (Win-7) (Fixed) (Total:52.22 GB) (Free:27.6 GB) NTFS ==>[Laufwerk mit Startkomponenten (eingeholt von BCD)]
Drive d: (EigeneDateien) (Fixed) (Total:180.66 GB) (Free:175.73 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 232.9 GB) (Disk ID: D2DBE822)
Partition 1: (Active) - (Size=52.2 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=180.7 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt ============================

--- --- ---

[/CODE]

cosinus · 12.05.2017, 12:18

Zitat:

Platform: Windows 7 Ultimate (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 8 (Standard-Browser: FF)

Kannste mal erklären wo dein System die letzten 7 Jahre war?
hast du absichtlich die Updates deaktiviert?

appeldieter · 12.05.2017, 16:07

Moin Cosinus.
Systemrelevante Dinge habe ich einem Freund überlassen, der, wie ich meine, mehr davon versteht als ich. Der hat mir Win7 vor 3 Jahren installiert. Seit Dem habe ich seine Hilfe nicht in Anspruch nehmen müssen. Ich werde ihn auf die Updates mal ansprechen.
Viele Grüsse, Dieter.

cosinus · 12.05.2017, 19:16

Du hast auch eine Lizenz für W7 Ultimate?
Ich denke, der hat dir ne gecrackte Version raufgespielt. Deswegen fehlen auch sämtliche Updates. Denn Updates haben immer nach und nach bekannt gewordene Cracks gebrandmarkt.

In diesem Fall können wir dir nur sagen: Pech gehabt, gecrackte Windows-Installation können wir nicht supporten, die sind auch brandgefährlich. Da kannst du entweder

a) ein legales Windows installieren und dann alle Updates
b) eine kostenlose Alternative verwenden (ich nehm immer Ubuntu MATE)

appeldieter · 14.05.2017, 10:57

Moin Cosinus.
Deine Vermutung hat sich leider bestätigt.
Klar, dass ihr mir nun nicht mehr weiterhelfen könnt.
Das hatte ich auch irgendwo gelesen, als ich mich bei Trojanerboard registriert habe.
Trotzdem bedanke ich mich für euren Service.
Schön, dass Manche ihre Freizeit opfern, um anderen zu helfen.
Ich werde mir nun eine 'ordentliche' Neuinstallation machen lassen.
Die verschlüsselten Dateien sind nicht soo problematisch, weil ich, wie bereits erwähnt, das Meiste auf der externen Festplatte gesichert hatten.
Danke, und viele Grüsse, Dieter.

cosinus · 14.05.2017, 11:56

Zitat:

Prozessor: Intel(R) Core(TM)2 Duo CPU E7400 @ 2.80GHz
Prozentuale Nutzung des RAM: 49%
Installierter physikalischer RAM: 4095.23 MB

Leider hast du da nicht den neusten/schnellsten Rechner. Für Office reicht der, aber da kann schonmal gerade wenn man Windows nutzen muss eine ziemliche Geduld nötig sein.

Ich jedenfallss würde abraten, mit Windows 7 neu anzufangen. Das Windows Update ist da ne Katastrophe siehe Suche nach Windows Updates dauert ewig? - Eine mögliche Lösung

Ob Windows 10 auf diesem alten Rechner vernünftig läuft müsstest du testen.

Die beste Lösung: Windows einstampfen und Linux verwenden, ich empfehle immer Ubuntu MATE --> https://wiki.ubuntuusers.de/Einsteiger/

cosinus · 14.05.2017, 11:56

Zitat:

Prozessor: Intel(R) Core(TM)2 Duo CPU E7400 @ 2.80GHz
Prozentuale Nutzung des RAM: 49%
Installierter physikalischer RAM: 4095.23 MB

Leider hast du da nicht den neusten/schnellsten Rechner. Für Office reicht der, aber da kann schonmal gerade wenn man Windows nutzen muss eine ziemliche Geduld nötig sein.

Ich jedenfallss würde abraten, mit Windows 7 neu anzufangen. Das Windows Update ist da ne Katastrophe siehe Suche nach Windows Updates dauert ewig? - Eine mögliche Lösung

Ob Windows 10 auf diesem alten Rechner vernünftig läuft müsstest du testen.

Die beste Lösung: Windows einstampfen und Linux verwenden, ich empfehle immer Ubuntu MATE --> https://wiki.ubuntuusers.de/Einsteiger/

appeldieter · 16.05.2017, 09:23

Moin Cosinus.
Ja, mein Rechner ist eine lahme Kiste. Mein PC-Betreuer empfiehlt mir schon länger, einen neuen anzuschaffen, aber für meine Zwecke war er ja ausreichend.
Irgendwann muss man aber doch mal wieder investieren, und deshalb werde ich mir in Kürze einen neuen kaufen.
Dann habe ich erstmal Win-10, und da werde ich wohl auch mit weitermachen.
Linux wäre dann erst wieder interessant, wenn der neue Rechner nach einigen Jahren langsamer wird oder/und Macken bekommt.
Deine Ubuntu-Links sind jedenfalls sehr interessant, und ich habe dort einiges gelesen.
Aber, wie gesagt, wenn Windows einigermassen läuft, bin ich ja schon zufrieden.
Danke, und viele Grüsse, Dieter.

cosinus · 16.05.2017, 11:00

Zitat:

einen neuen anzuschaffen, aber für meine Zwecke war er ja ausreichend.

Neue Hardware brauchst du nicht. Jedenfalls nicht, wenn du ihn mit Linux weiterbetreibst. Aktuelle Windows-Versionen sind Resourcenfresser.

Und Windows widerum braucht man nur wenn man auf windows-only Software angewiesen ist. Was oftmals sich dann auch als unnötig herausstellt, zB lässt sich Microsoft Office durch LibreOffice ersetzen (ist im Prinzip in allen Linux-Distros schon vorinstalliert bzw über die Pkateverwaltung verfügbar)

Linux hat noch viele viele weitere Vorteile gegenüber Windows.

09.05.2017, 11:37	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verschlüsselungsvirus auf Win7-64bit-PC hi, eine Bereinigung bereinigt "nur" das System, Dateien entschlüsseln ist etwas völlig anderes. Bei vielen Kryptotrojanern ist es nicht oder noch nicht möglich die Dateien zu entschlüsseln. __________________ __________________

Verschlüsselungsvirus auf Win7-64bit-PC

Log-Analyse und Auswertung: Verschlüsselungsvirus auf Win7-64bit-PC