Windows XP (32-bit)
Windows XP (64-bit)
Windows 7 (32-bit)
Windows 7 (64-bit)
Windows 8 Developer Preview build 8100 (64-bit)
Windows Server 2012 build 8400 Release Candidate (RC) Datacenter-Evaluierung (64-bit)
Windows Server 2008 R2 (64-bit)
Windows Vista (64-bit)
Windows Vista (32-bit)
Windows 2000 (32-bit)
Windows NT (32-bit)
Windows 8 (32-bit)
Windows 8 (64-bit)
Windows Server 2012 (64-bit)

Aus rechtlichen Gründen kann ich diese Dateien leider hier nicht zum Download anbieten.

Wenn ihr Hilfe zu eurer explorer.exe braucht, weil zum Beispiel der einfache Weg der Systemwiederherstellung nicht so ohne weiteres klappt, oder im Autostart nichts drin steht, dann meldet Euch per Mail unter bka-virus[at]kunden.pp4it.de.

Die "neue" explorer.exe muss jetzt auf einen Stick, eine externe Festplatte, eine CD gebracht werden. Denn durch dieses Medium kann man die folgenden Schritte zum Ersetzen der evtl. infizierten explorer.exe-Datei nutzen
(Achtung, die explorer.exe muss von einem baugleichen Betriebssystem stammen, also keine andere Windows-Version!)

Anmerkung: Das Ersetzen der explorer.exe-Datei bringt nur in den ersten 3-4 Varianten etwas. Aller darauf folgenden Versionen der BKA-Ransomware haben andere Dateien im Autostart und/oder in diversen anderen Verzeichnissen. Dann hilft nur noch eine Systemwiderherstellung (P10), ein Backup zurückspielen, oder die Datei(en) zu finden. Für letzteres siehe die Punkte P14 und P14.1.

Kurze Erläuterung: DOS-Modus ist nicht mehr ganz korrekt eigentlich, da dieser seit WindowsXP immer weniger dem entspricht was er einst mal war. DOS-Modus ist unter Windows noch dieses "kleine" Schwarze Fenster mit i.d.R. weisser Schrift" welches sich wie hier beschrieben mit dem Befehl "cmd" aufrufen lässt.
Unter Windows-Versionen unter XP geht glaube ich "cmd" noch nicht, dafür aber "command".

Start > Ausführen > cmd > [Ok] Button oder [Windowstaste]+[R] > cmd [OK] Button oder Abgesicherter Modus mit Eingabeaufforderung.
Alternativ unter Windows Vista / Windows 7 sollte man die Eingabeaufforderung (cmd) als Administrator ausführen (Start > Alle Programme > Zubehör > [Rechte Maustaste] Als Administrator ausführen... > Eingabeaufforderung).

Dort dann:
Befehl: [Laufwerksbuchstabe vom Stick etc]: also zum Beispiel E:
<- Dieser Buchstabe ist aber unter anderem davon abhängig, welche Laufwerke und Partitionen sonst noch existieren.
A: = Diskettenlaufwerk, C: = Lokaler Datenträger, D: = CD-Laufwerk, dann wäre als Beispiel E: der eben eingesteckte USB-Stick.

Befehl: replace explorer.exe C:\Windows
Jetzt sollte die explorer.exe eigentlich überschrieben sein/werden.

Sollte es nicht klappen, dann benenne die Datei um:
1. Explorer.exe zur Not per Task-Manager (taskmgr) erst mal per "Prozess beenden" beenden, weil sonst evtl. der Zugriff verweigert wird. Danach dann in die immer noch offene Eingabeaufforderung (cmd).
1.1 Die Explorer.exe ist auch in der Eingabeaufforderung beendbar:
Befehl: TASKKILL /F /IM explorer.exe

weiter mit:
Befehl: cd\
Befehl: cls
Befehl: rename C:\windows\explorer.exe explorer.exe.vir
Befehl: cd\
Befehl: [Laufwerksbuchstabe vom Stick etc]: also z.B. E:
<- Dieser Buchstabe ist aber unter anderem davon abhängig, welche Laufwerke und Partitionen sonst noch existieren.
A: = Diskettenlaufwerk, C: = Lokaler Datenträger, D: = CD-Laufwerk, dann wäre als Beispiel E: der eben eingesteckte USB-Stick.

Befehl: copy explorer.exe C:\Windows

Wechsel nach einem Systemneustart zu einem anderen Benutzerkonto. Voraussetzung das ein solches existiert, ansonsten lege ein solches im Abgesicherten Modus an.
Also Start > Ausführen > runas /user:"Administrativer Benutzername" > cmd > [OK] Button
Kennwort eingeben

Start > Ausführen > runas /user:"Administrativer Benutzername" taskmgr > [OK] Button
Kennwort eingeben
[Reiter] Prozesse auswählen und die explorer.exe mit “Prozess beenden” beenden.

+ Rename-Befehl für die explorer.exe ausführen (siehe P03)
+ Copy-Befehl für die neue explorer.exe vom Stick ausführen (siehe P03)
+ Rechnerneustart
+ Login als der jetzige Benutzer
+ Prüfung ob 2 explorer.exe Dateien im Pfad [Laufwerksbuchstabe]:\Windows\ vorhanden sind (eine mit modifizierter Endung von Dir/Ihnen)
+ Modifizierte Datei löschen
+ Rechnerneustart
+ Login als der reguläre Benutzer
+ Hoffen das nun wieder alles in Ordnung ist. :-)

ACHTUNG: Administrator ist der Standard, er kann aber auch anders heißen. Jenachdem wie der Administrative User heißt, z.B. könnte er auch Admin heißen.

Das Austauschen geht natürlich auch mit fast jeder Linux-Distribution z.B. Knoppix oder Ubuntu von CD/DVD. Oder man hat sich ein Windows-PE zum starten von einen USB-Stick schon mal eingerichtet, dies würde hier ebenfalls wertvolle Dienste leisten.
Hauptsache sind Schreib/-Leserechte auf FAT32/NTFS-Dateisysteme.

Festplatte ausbauen, per USB-Adapter an einen sauberen geschützten PC/Laptop hängen und dort die Datei austauschen.

Auf die selbe Art & Weise kann man allerdings auch eventuelle sonstige Schädlings-Dateien entfernen.^^

Am besten wäre natürlich Daten sichern und Neuinstallieren, denn nur damit kann man sich eigentlich sicher sein dass das System wieder clean ist.
Man kann aber auch erstmal seinen PC mit einer Boot-CD/DVD/Stick die ein Antiviren-System beinhaltet starten. Solange Windows nicht aktiv ist, können auch die meisten Schädlinge nicht aktiv sein (abgesehen von MBR-Viren/Trojanern/Rootkits).
Die Chance eventuell noch eine Datei die sich im laufenden Windowsbetrieb sonst verstecken würde beim Start von CD/DVD/Stick zu finden ist damit signifikant höher. Und liefert in der Regel somit zuverlässigere Werte als ein Virenscanner im laufenden Windows-Betrieb.

Weiterhin wird DRINGEND empfohlen sämtliche Passwörter zu ändern, denn die vermeintliche BKA-Software enthält in vielen Fällen auch eine Keylogger-Funktion. Da ich nicht genau weiß ob alle Tasteneingaben oder nur die im Zusammenhang mit der BKA-Software mitgeloggt und versendet werden, empfehle ich ALLE Passwörter zu ändern (Anmeldung am System, Mailkonten falls Webmail wie GMX etc. genutzt werden, Onlinebanking, etc.).

Vorab - niemals den kompletten String löschen. Ohne diesen String wird nachher Windows, in der Regel, nicht mehr sauber hochfahren!

Zur eigentlichen Frage, dies könnte zwei Gründe haben:
1. Die explorer.exe ist infiziert. Dann verfahre nach den ebenfalls hier - beschrieben Schritten (Punkte P01 bis P06).
2. Dein System ist infiziert und es sind andere Dateien die ausschlaggebenden Dateien. (Siehe dazu unteranderem P14 & P14.1)

Ebenfalls möglich, schreibe mir eine Mail mit Angabe des Betriebssystems und der Angabe 32/64-bit unter bka-virus[at]kunden.pp4it.de.

Nutze diese *.reg-Datei und importiere Sie in die Registry. Dies geht entweder als Administrativer Benutzer per Doppelklick und Bestätigung, oder wenn man die Registry öffnet und diese Datei importiert.
Rechte Maustaste > Ziel speichern unter... > Registryzeichenfolge "Shell" mit dem "Wert" explorer.exe eintragen/korrigieren."

1. Eine Systemwiederherstellung (weitere Maßnahmen anschließend notwendig!)
2. Ein Backup zurückspielen (weitere Maßnahmen anschließend notwendig!)
3. Die InstallationsCD/DVD (Reparaturinstallation)
4. Anschluss der Festplatte per USB-Adapter an einen anderen (vollständig aktuellen & geschützten) Computer

Ansonsten kann ich noch Punkt P24 anbieten.

Klare Antwort: Ja
Theoretisch kann sich der Schädling mit allen nötigen Dateien auch in andere Benutzerverzeichnisse eingetragen haben. Sinnvollerweise schaut man auch dort gleich mal im Abgesicherten Modus nach, ob noch etwas verdächtiges zu finden ist.
Die Realität hat bislang gezeigt, das es zumindest auch ein paar Varianten des Schädlings gibt die solch eine Aktion machen. Nicht jede macht dies aber.

Removal-Tools/Cleaner von ESET

Kaspersky WindowsUnlocker - Anwendung für die Bekämpfung von Ransomware (Danke an Bernd für den Hinweis)

Avira Rescue Disc

Bitdefender Rescue Disc

AVG Rescue Disc

c't-Notfall-Windows-2011

Desinfec't vom Security-Sonderheft der c't

Ja, solche Programme gibt es. Leider ist natürlich kein 100%-tiger Erfolg zu Versprechen, schaden kann es ber auch nicht wirklich.

Programmtipp 1:
Mit Tools wie dem "Process Explorer" oder dem "Process Monitor" von Microsoft/Sysinternals lassen sich gut Prozesse darstellen, die der Taskmanager nicht anzeigt/anzeigen kann.

Programmtipp 2:
Mit diesem Tool von McAfee lassen sich solche "Fake Alerts" ebenfalls oft einwandfrei entfernen:
Sollte diese Version nicht funktionieren, so kann man es auch mit einer älternen, leider somit nicht ganz aktuellen Version, probieren...

Programmtipp 3: Malware Antibytes hat sich bei einigen Versionen ebenfalls schon als sehr dienlich erwiesen...

Programmtipp 4:
Mit dem heute (09.12.2011) vorgestellten "Microsoft Windows Defender Offline" könnte man es durchaus auch mal probieren. Zumindest dann wenn man sich nicht sicher sein kann, ob der Schädling zum Beispiel auch ein Rootkit/Bootkit mitinstalliert hat.

Ich selbst habe diese Software von Microsoft NOCH NICHT getestet. Wird aber vermutlich genau wie der Microsoft System Sweeper relativ erfolgreich bei der Erkennung und Entfernung sein.

Programmtipp 5:
Mit dem heute (04.01.2012) auf Computerwoche.de vorgestellten "Microsoft Safety Scanner" könnte man es durchaus auch mal probieren. Das Tool ist für den Einsatz gegen Viren, Spyware und potenziell unerwünschte Software gedacht.

Programmtipp 6:
Gegen Malware/Ransomware hilft auch sehr gut dieses kleine Tool "Remove Fake Antivirus", leider hilft es aber nciht gegen die neusten Varianten mit integriertem oder nachgeladenem Rootkit oder weiteren Trojanern. Immerhin kann man damit dann aber evtl. wieder an sein System ran.^^

Im Autostart (Aufruf des Autostarts > Siehe P15!) sind immer eigentlich eine oder mehrere dubiose *.exe-Dateinamen zu finden...
Weiterhin gibt es auch Meldungen von infizierten bzw. neuen [irgendeinDateiname].dll oder [irgendeinDateiname].pdf oder [irgendeinDateiname].pf Dateien.

Vor kurzem kam auch der Hinweis einer Datei im Verzeichnis "[Laufwerksbuchstabe]:\Windows\Prefetch" mit dem Namen "MAHMUD.EXE-1C44AB1E.pf".
Diese Datei dürfte es in diversen Abwandlungen im Dateinamen somit ebenfalls häufiger geben.

Meldungen von Programmen im Autostart (Siehe Punkt P15 + Bild) von
"Packard Bell BV"
"AVM GmbH"
"Adobe"
"ORB NETWORKS"
"Terry Bred"
"Unbekannt"
"Unkown"
"Facebook Inc."
"3M Touch Systems Inc."
"Promise Technology, Inc."
"Paragon Software Group"
"Activision Blizzard, Inc."
"Tropical Software"
"Lunatics, Inc."
"Absolute Software Corp."
"Panicware, Inc."
"VMware, Inc."
"Ghisler Software GmbH"
"afdasfd Corporation"
"Acresso Software Inc." "Microsoft Corporation"
"ESET"
"Business Hotel Meison"
"Whitdrawals"
"Tamosoft"
"Governmental department whose mission is to advance energy technology and promote related innovation in the United States."
"ctfmon"
"Microsoft® Corporation"

- diese sind natürlich nicht echt von diesen Firmen - tarnen sich aber als solche.

Bei einer vor einigen Minuten getätigten Bereinigung, gab es auch eine Dateiendungs"lose" (also KEIN .EXE oder .DLL oder .PF hintendran) auch im Verzeichnis: "C:\Windows\Temp\".

Aktuell erschienen, ist die Meldung über einen Registryeintrag unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^[Benutzername]^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^[Programmname]
Dort gibt es dann auch einen Eintrag "item" mit dem Wert einer langen "Zahlenkollone.exe" (siehe Bild).

Weiterhin ist die Datei/sind die Dateien eigentlich fast immer unter den Roaming-Profiles zu finden. Der einfachste Weg dorthin führt über den Windows-Explorer und die Eingabe von %APPDATA% in der Adressleiste.

Es geht aber natürlich auch über den Button Start > Ausführen > %APPDATA% > [OK] Button. Sollte dieser nicht erreichbar sein, so kann man es auch per [WindowsTaste]+[R] > %APPDATA% > [OK] Button versuchen.

Letzte Möglichkeit an die Roaming-Profiles des aktuellen Benutzers ranzukommen ist ist über den Taskmanager > Datei > Neuer Task (Ausführen...) > %APPDATA% [OK]

Weiterhin verstecken sich Teile des Schädlings auch gerne mal in den Unterverzeichnissen des Users in den "Temponary Internet Files", sowie im Ordner "Cache" von JAVA.
(Bei Windows 7 unter C:\Users\"Benutzername"\AppData\LocalLow\Sun\Java\Deployment\cache zu finden.
Unter WindowsXP müsste der Pfad somit C:\Dokumente und Einstellungen\"Benutzername"\AppData\LocalLow\Sun\Java\Deployment\cache heißen).

Weiterhin stehen die Dateien auch gerne mal im TEMP-Verzeichnis des Users.
Unter WindowsXP wäre dies dann: [Laufwerksbuchstabe]:\Dokumente und Einstellungen\"Username"\Lokale Einstellungen\Temp

Weiteres Versteck: C:\Windows\pss <- Nur sichtbar wenn Verstecke Dateien, Systemdateien & Ordner angezeigt werden!
Und das nächste: C:\Windows\tasks <- Dort stehen immer wieder laufende (eigentlich) von Windows oder dem Benutzer selbst eingerichtete Aufgaben drin.
Und das nächste: C:\ProgramData\ <- Seit dem 23.04.2012 befinden sich dort Dateien mt sehr langem meist wildem Buchstabengewusel. Die meisten dieser Dateien enthielten bislang Rootkit/BackDoor-Funktionen!
Und das nächste: C:\Windows\Temp\"Verzeichnisname" <- Seit dem 15.06.2012 befinden sich dort Dateien aus relativ kurzen meist wildem Buchstabengewusel.

Unter [Laufwerksbuchstabe]:\Dokumente und Einstellungen\”Benutzername”\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ werden mehrere Unterverzeichnisse mit zufälligen Namen (8 Zeichen) angelegt (z.B. “SRKBUTOP”, “S6JZACFV”, “DNYHQU88").

Der Reycle.Bin Ordner (C:\$Recycle.Bin) ist aauch ab und an mal mit von der Partie. Dies ist aber nur im Abgesciherten Modus dann zu erkennen. Und selbst dann sind es ellenlange Verzeichnisnamen die durchwühlt werden wollen.

Neu hinzugekommen sind harmlos klingende Ordner wie "C:\Washer2.rar\" oder auch "C:\sjdfnhsjfk.exe\" deren Inhalt dann jeweils eine Datei mit selbem Namen oder einer config.bin - Datei ist.

Ganz dreist, heute entdeckt (16.02.2012) eingetragene Tasks die an bestimmten definierten Zeitpunkten laufen -> C:\Windows\Tasks\

Mittlerweile gibt es auch mindestens eine Variante die es ganz einfach macht - eigentlich.
Denn die Datei welche bei jedem start geladen wird (in den bis jetzt bekannten Fälle eine *.dll-Datei) steht einfach unter START > Alle Programme > Autostart reingeschrieben.
Löscht man diese Datei dort raus, kann man nach einem Neustart das System wieder normal bedienen und bereinigen.

Aller Angaben hier sind bisher gefundene Dateien/Namen. Die Wahrscheinlichkeit genau das Selbe bei sich zu finden ist nahe 0 (schätze ich mal). Aber so oder ähnlich könnte es halt aussehen:

Bisherige Programmnamen (teilw. auch Herstellernamen):
Sheik Snail Visit Widow Beret
Onion Ladder Botch
Hiv Tread Lmn
Baths Phony Cliff Bale Plague Vatvon
Goals wool thick trudgem
Darts Bough Wasp Deal Nylon
Bugle Sequin Bad Raped
Sled Hairdo Pumps Noah
Ahem Ridge Meld Canal Godly Fop
Which Fable Planet
Tree Gubo Edict
Sleap Gab Cheap
Border Becky Crude
Hauls April Pose Gangs Rufus Creep
Swim *irgendwas* Glaze
Lying Wyatt Jean
Gem Bib Jones
Son HO don.h@free.fr
Оперaциoннaя cиcтeмa
Diverse Kyrillische Programmnamen
Buick Dylan Along Bowie Agile
Whole Array Levy
Tomasz Pawlak
Marine Nope Miser Lust Kiss
Fiji Cairo
Userinit
Facebook Update
A.S.L. Software
Tomasz Pawlak
Promise Technology, Inc.
Nods Steal Then Bulge Less Slots
Find Crash Green Romp Ripen Gypsy v1.4.0.0
wren sprain outer weedy jay
Swirl Chip Din Treat Phony
Latin Hikes Toy Omaha
Viva
Preen
4Y3Y0C3A1F7XXI7WCWSMUD
{F00RFC8D2-0A31-CC17-5DDDD-D153FC32AB3E}
wpbt0.dll
Stash Bloom Sol Prow
Reel Grips Tuned
Update
P17RunE
Governmental department whose mission is to advance energy technology and promote related innovation in the United States.
The tale ofHyboria on a quest to avenge the murder of his father ant the slauther
DirectShow
InstallShield
Lies Cross Swiss
Pinnacle Systems
ch8l0.exe
muqyoag
cikshsibkbjjpoh
Microsoft(R) Windows(R) 2000 Operating System
ZZChw4ZycSefR9n
Shirahama-cho
UserInit
ctfmon
wzjrnqvowfdbwdm
Letters2008
Commview
tmycsfwpggntcc

Bisherige *.dll Dateinamen:
wpbtl0.dll [> Virus mit selbem Dateinamen | Systemneuinstallation empfohlen!]
qqiipr.dll
wpbt0.dll [> Virus mit selbem Dateinamen | Systemneuinstallation empfohlen!]
zload34.dll (Trojan.Agent.WIMP | Systemneuinstallation dringend empfohlen!)
wpbt1.dll (Trojan.FakeMS) [> Virus mit selbem Dateinamen | Systemneuinstallation empfohlen!]
wpbt0.dll,FQ10 (Spyware.Zbot.DG | Systemneuinstallation unbedingt notwendig!) [> Virus mit selbem Dateinamen]
wpbt0.dll (Trojan.FakeMS | ) <- gefunden in ...\Appdata\Local\Temp [> Virus mit selbem Dateinamen | Systemneuinstallation empfohlen!]
wlsidten.dll,GOF1 (Win32/Reveton.H Trojaner | ) <- gefunden in ...\AppData\Local\Temp
spoolsv.dll GF1 ( | )

Bisherige *.pf Dateinamen:
MAHMUD.EXE-1C44AB1E.pf
peizva.exe-345D5E6C.pf
0.024147726603396036.exe-082BC289.pf
DLLHOST.EXE-5FD5BD9D.pf
peizva.exe-345D5E6C.pf
skype.exe-36986FA9.pf <- gefunden in C:\Windows\Prefetch
MOR.exe-.......................pf
EXPLORER:EXE-082F38A9.pf

Bisherige *.job Dateinamen:
{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) <- gefunden in C:\Windows\Tasks\
Adobe Flash Player Updater.job <- gefunden in C:\Windows\Tasks\

Bisherige *.exe / *.chm / *.class / *.tmp / *.com / *.sys / *.lio / *.dat / *.cfg Dateinamen:
mahmut.exe
machmud.exe
vasja.exe
jashla.exe
upd.exe
privacy.exe
Lqjqjb.exe
eloxor.exe
e476yexdjs.exe
u5hr46sirtijyrt5.exe
appconf32.exe (Backdoor.Agent | Systemneuinstallation unbedingt notwendig!)
ApMsgFwd.exe
yxowa.exe
loadhst.exe
321.exe
msvcs.exe
Temp.46….exe
TMP00000002EAE96BEDD7039B8F (Trojan.Dropper)
50A283C1006C.exe (Trojan.Ransom.WL | Systemneuinstallation empfohlen!)
A0038862.exe (Trojan.win32.Menti.kxen | Systemneuinstallation empfohlen!)
firefox.exe
ceush.exe (Trojan.ZbotR.Gen | Systemneuinstallation dringend empfohlen!)
ylig.exe (Trojan.ZbotR.Gen | Systemneuinstallation dringend empfohlen!)
jar_cache7886586155326439845.tmp (Erkennungsmuster aus Exploit EXP/CVE-2010-0094.F.88 | Systemneuinstallation dringend empfohlen!)
1c.exe (TR/Spy.ZBot.LR | Systemneuinstallation dringend empfohlen!)
installer_microsoft_office_home_and_student_2007_2007_Deutsch_Deutsch.exe (Trojaner TR/SMSPay | Systemneuinstallation empfohlen!)
$R0E1VC2.exe (Trojan.Dropper)
$R5JEWHR.exe (Trojan.Agent)
$RDQLNUG.exe (Backdoor.Bot | Systemneuinstallation dringend empfohlen!)
$RHOQAMG.exe (Trojan.Agent)
$RNO19Y0.exe (Trojan.FakeMS)
jdsfjsdijf.exe
pyfo.exe
Temp.24142178072781073.exe,F1122
firefox.exe (Trojan.Ransom | Systemneuinstallation dringend empfohlen!)
OP1ZQFKNB9D.exe
4W1W8B7A1IVJUZ4WRRoJW.exe
IIALT272WO8TF
algkb.exe (Trojaner.Downloader)
csgraf.exe
appconf32.exe
FacebookUpdate.exe /c /nocrashserver <- gefunden in ...\Appdata\Local\Facebook\Update
torrent.exe <- gefunden in ...\Appdata\Roaming\Microsoft\
Temp.8672869630663058.exe <- gefunden in ...\Appdata\Local\
Temp.9831997642849065.exe <- gefunden in ...\Appdata\Local\
56c257c3-78e4792f <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3
saletoc.exe
gema.exe
torrent.exe <- gefunden in ...\AppData\Roaming\Microsoft\
$R0EPUPS.exe (Variante von Win32/Kryptik.ABCQ Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\$RECYCLE.BIN\S-1-5-21-3534938992-1228807183-20034363-1000\
$RU4NN8U.class (Variante von Java/TrojanDownloader.Agent.AD Trojaner) <- gefunden in C:\$RECYCLE.BIN\S-1-5-21-3534938992-1228807183-20034363-1000\
$RG49PNX.exe (Variante von Win32/Kryptik.ABCQ Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\$Recycle.Bin\S-1-5-21-383950344-2572414144-2294410213-1001\
mediaplayer.exe -b <- gefunden in ...\Anwendungsdaten\mediaplayer\
Photo.class (Erkennungsmuster aus Java/TrojanDownloader.Agent.AD) <- gefunden in ...\AppData\Local\Temp\
thr1.chm (Malware.Trace | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\Roaming\Adobe\shed\
mmc176127172.txt (Trojan.Agent.Gen | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\Roaming\Adobe\plugs\
mmc68.exe (Trojan.Agent.Gen | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\Roaming\Adobe\plugs\
upgy.exe <- gefunden in ...\Anwendungsdaten\Kidu\
saletoc.exe
iope0.2750978479124221.exe (TR/Crypt.ULPM.Gen Trojan | Systemneuinstallation dringend empfohlen!)
mserkc.exe
saxe.exe (Trojan.ZbotR.Gen | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\Appdata\roamingl\Uvli
msmevju.com (Trojan.Agent | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\ProgramData\Local Settings\Temp\
atieclxx.exe
subjmcomrim.dat
mirmocmjbus.dat
F302EBE...(insgesamt 31-stellig).exe
0003d873.tmp (TR/Crypt.ULPM.Gen | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\Appdata\Local\Temp\
contentDATs.exe <- gefunden in ...\Appdata\Local\Temp\
geopdxserv.sys (Rootkit.Win32.TDSS.tdl2 | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\Windows\system32\drivers\
\msapky.com (Variante von Win32/Kryptik.ABMW Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\Local Settings\Temp
explorer.exe (Heuristics.Reserved.Word.Exploit)
old.tmp (Trojan.Agent) <- gefunden in ...\AppData\Roaming\kodak\
jag274305.exe <- gefunden in ...\AppData\Roaming\
nshD6FE.tmp <- gefunden in ...\AppData\Roaming\
ymuc.lio <- gefunden in ...\AppData\Local\Dypiby
ymuc.tmp <- gefunden in ...\AppData\Local\Dypiby
otwo.exe <- gefunden in ...\AppData\Local\Ufwea
stor.cfg (Malware.Trace | Systemneuinstallation dringend empfohlen!)
$RIAD3WV.exe (Trojan.Downloader.lb) <- gefunden in C:\$Recycle.Bin\S-1-5-21-3770525101-2475414598-2102818411-1189\

\$RLBH6Q6.class (Variante von Java/Exploit.CVE-2011-3544.AV | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\$RECYCLE.BIN\S-1-5-21-3512884414-4169167372-673139406-1000\

skype.exe (TR/Ransom.Foreign.aoo) <- gefunden in \AppData\Local\skype\
mor.exe (TR/Ransom.Foreign.aoo) <- gefunden in ..\Appdata\Local\Temp
msuzig.exe
ip.txt (Inhalt die IP-Adresse zum Server 87.167.***.*** | 87.168.***.*** | 195.189.227.*** | 195.189.227.*** | 195.189.227.** | 178.190.***.** | 212.186.***.** | 92.74.***.** | 91.217.***.** | 77.13.***.** ) <- gefunden in ...\Appdata\Roaming\kodak
pic.bmp (Inhalt das Bild, mit welchem die BKA/GEMA-Seite immer realisiert wird) <- gefunden in ...\Appdata\Roaming\kodak
d3d9caps.dat <- gefunden in ...\Appdata\Local
dbx6l8t57it5ze.exe <- gefunden in ...\Appdata\Roaming\rst6is56t67
msdobqu.bat <- gefunden in ...\Appdata\LocalTemp
wptb0.dll,NameFunEx <- gefunden in ...\Appdata\Local\Temp
RAVCpl32.exe
system32.33569678855167673g8j8.exe (Trojan-Dropper.Win32.Injector.dady | Systemneuinstallation dringend empfohlen!) <- gefunden unter C:\Windows
xeyqgifwwcdjrptavhencn.exe
deugvyt.exe
$RCL5DCP.dll (Variante von Win32/Kryptik.ABWV Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\$Recycle.Bin\S-1-5-21-2806026202-95748070-3344758458-1000\
OCSetupHlp.dll (Win32/OpenCandy Anwendung) <- gefunden in C:\Program Files (x86)\RealArcade\Installer\bin\
info[1].exe (Variante von Win32/Kryptik.ABWV Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\Users\"Benutzername"\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SS3Q865C\

winamp5621_full_emusic-7plus_all.exe (Win32/OpenCandy Anwendung) <- C:\Users\"Benutzername"\Downloads\
$R5WPC78.exe (Trojan.VUPX.ABI2 | Systemneuinstallation empfohlen!) <- gefunden in C:\$Recycle.Bin\S-1-5-21-731798585-1342977446-3250970794-1000\

$RATHGBB.exe (Trojan.VUPX.ABI2 | Systemneuinstallation empfohlen!) <- gefunden in C:\$Recycle.Bin\S-1-5-21-731798585-1342977446-3250970794-1000\

$RBPX5AI.exe (Adware.MyWebSearch) <- gefunden in C:\$Recycle.Bin\S-1-5-21-731798585-1342977446-3250970794-1000\
$RFV1I6O.exe (Trojan.VUPX.ABI2 | Systemneuinstallation empfohlen!) <- gefunden in C:\$Recycle.Bin\S-1-5-21-731798585-1342977446-3250970794-1000\

Skype.exe (Trojan.VUPX.ABI2 | Systemneuinstallation empfohlen!) <- gefunden in C:\$Recycle.Bin\S-1-5-21-731798585-1342977446-3250970794-1000\$ROH4X5Z

B6232F3A269.exe /q <- gefunden in C:\Recyle.Bin\
msuuoqqim.pif (Win32/TrojanDownloader.Agent.RAG) <- gefunden in ...\Local Settings\Temp\
$RKP7AR6.exe (Win32/Reveton.A Trojaner) <- gefunden in C:\$Recycle.Bin\S-1-5-21-3716827273-3170756093-505821239-1000\
wtpbt0.dll,NameFunEx
1iowieoo.exe
02c9c3c35bdx5.exe
mstfaiu.com (Spyware.Zeus | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\Local Setting\Temp
msdubm.com (Variante von Win32/Kryptik.ACKL Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\Local Setting\Temp
msugiv.cmd (Variante von Win32/Kryptik.ACDO Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\Local Setting\Temp
ibgu.exe
uttC78.tmp (Win32/OpenCandy) <- gefunden in ...Appdata\Local\Temp
AcroFF.dll (möglicherweise Variante von Win32/Spy.Banker.WZJ Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\Roaming\01014\components
AcroIEHelpe.dll (Trojan.Banker | Systemneuinstallation dringend empfohlen!)
skype.exe (Variante von Win32/Kryptik.ACJS Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\$Recycle.Bin\S-1-5-21-3986904253-2203158720-3931863996-1000\$RD78V1K\
jag255880.exe <- gefunden in ...\Appdata\Microsoft\Windows\Programme\Startmenü
m.class (Erkennungsmuster des Exploits EXP/CVE-2011-3544.BY)
jar_cache6463226660794309116.tmp (Erkennungsmuster des Exploits EXP/CVE-2011-3544.BY | Systemneuinstallation dringend empfohlen!)
jar_cache6463226660794309116.tmp (Erkennungsmuster des Exploits EXP/CVE-2010-0840 | Systemneuinstallation dringend empfohlen!)
mshczi.cmd
EP0000208699.exe (Trojan.VB) <- gefunden in ...\AppData\Local\Temp\GLFE229\
D6D3.tmp,NameFunEx
P17RunE.dll
DC4D.tmp (Trojan.Ransom.BP | Systemneuinstallation empfohlen!)
erytkin.exe
msuidxs.bat (Spyware.Zeus | Systemneuinstallation unbedingt notwendig!) <- gefunden in C:\Users\"Benutzername"\Local Settings\Temp\
zlsSetup_70_483_000_de[1].exe (Variante von Win32/AdInstaller Anwendung) <- gefunden in ...\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CREJE3QX\
tsk0003.dta (Variante von Win32/Olmarik.AWO | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\TDSSKiller_Quarantine\20.03.2012_14.38.20\tdlfs0000\
tsk0005.dta (Win32/Olmarik.AFK Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\TDSSKiller_Quarantine\20.03.2012_14.38.20\tdlfs0000\
tsk0006.dta (Win64/Olmarik.N Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\TDSSKiller_Quarantine\20.03.2012_14.38.20\tdlfs0000\
tsk0007.dta (Win64/Olmarik.L Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\TDSSKiller_Quarantine\20.03.2012_14.38.20\tdlfs0000\
tsk0008.dta (Win64/Olmarik.A Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\TDSSKiller_Quarantine\20.03.2012_14.38.20\tdlfs0000\
tsk0009.dta (Variante von Win32/Olmarik.ARL Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\TDSSKiller_Quarantine\20.03.2012_14.38.20\tdlfs0000\
msuxuy.exe (Trojan.Agent | Systemneuinstallation dringend empfohlen!)
MSN9CED.exe (Fake.Antivirus)
wmpmetwk.exe (Variante von MSIL/Injector.KM Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\Local\Temp\System\
audiodgi.exe (MSIL/Agent.NIY Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\Local\Temp\System\
SHCT_TRAY_PROGRAMG_A10D86003999C4E9488776EF2533C58C9.exe <- gefunden in C:\Windows\Isntaller\{AA4D1C5E-116A-4FF4-AA91-28F526868203}
msubci.exe
%RN2ZJ01.exe (Trojan.Downloader.Gen) <- gefunden in C:\$Recycle.Bin\S-1-5-21-49708520-1017988824-690368581-1000
arg20240.exe
srvblck2.tmp (Malware.Trace | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\WINDOWS\system32\
AcroIEHelpe.txt (Malware.Trace | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\WINDOWS\system32\
d3dx10d.dll (Trojan.FakeAlert) <- gefunden in C:\WINDOWS\system32\
googletalk.exe (Trojan.Agent | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\Anwendungsdaten\Google Talk\
config.bin (Trojan.SpyEyes | Systemneuinstallation unbedingt notwendig!) <- gefunden in C:\timeintray\
tsk0005.dta (Variante von Win32/Olmarik.AWX Trojaner | Systemneuinstallation dringend empfohlen!)<- C:\TDSSKiller_Quarantine\24.03.2012_14.59.16\tdlfs0000\

tsk0006.dta (Win64/Olmarik.R Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\TDSSKiller_Quarantine\24.03.2012_14.59.16\tdlfs0000\
tsk0007.dta (Win32/Olmarik.AVQ Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\TDSSKiller_Quarantine\24.03.2012_14.59.16\tdlfs0000\

tsk0008.dta (Win64/Olmarik.W Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\TDSSKiller_Quarantine\24.03.2012_14.59.16\tdlfs0000\
Main.class (Variante von Java/Exploit.CVE-2011-3544.BF Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\Local\Temp\
0.37298937120640796.exe.lnk (Backdoor.Agent | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
MSWALQ.exe
cgs8h0.exe
MsCtfMpnitor.dll (Variante von Win32/Spy.Agent.NTN Trojanerr | Systemneuinstallation dringend empfohlen!)
arg140779.exe,NameFunEx
AcroIEHelpe077.dll (Trojan.Passwords | Systemneuinstallation unbedingt empfohlen!)
SkypePM.exe <- gefunden in ...\Appdata\Local\Skype
arg6010.exe (HTML/Fake.Alert)
ch8l0.exe (Spyware.Zbot.D2 | Systemneuinstallation unbedingt empfohlen!)
E5AB04.exe
ch8l1.exe
ch8l2.exe
ch8l3.exe
ch8l0.exe,NameFunEx
dm0l8.exe
muqyoag.exe
msjuibxp.scr (Trojan.Agent | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\ProgramData\Local Settings\Temp\
jar_cache1555256963057285300.tmp (Java/Exploit.CVE-2012-0507.D Trojaner | Systemneuinstallation unbedingt notwendig!) <- gefunden in C:\Windows\Temp
ryn.dll (Variante von Win32/Kryptik.LJL Trojaner | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\AppData\Local\
ryn.exe (Variante von Win32/Kryptik.LJL Trojaner | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\AppData\Local\
MnsData0cla.exe (Variante von Win32/Webprefix.A Trojaner| Systemneuinstallation empfohlen!) <- gefunden in C:\Windows\System32\
ch8l0.exe (Exploit.Drop | Systemneuinstallation empfohlen!)
wpbt0.dll (Win32/Kryptik.ADSC.Trojaner | Systemneuinstallation unbedingt notwendig!)
cgs8h.exe
BacroIEHelpe097.dll
BacroIEHelpe.dll
blckdom.res
hj8ol0.exe,NameFunEx (Win32/Delf.QMF trojan | Systemneuinstallation unbedingt empfohlen!)
$RE21MMN.exe (Trojan.Agent | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\$Recycle.Bin\S-1-5-21-61855615-2015190721-3122061035-1000\

0hgf125lz.exe
cmd.exe
wibrf.jpg (Malware.Trace | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\WINDOWS\
wiybr.png (Malware.Trace | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\WINDOWS\
hj8ol0.exe,H9922
hj8ol0.exe (Spyware.Zbot | Systemneuinstallation unbedingt notwendig!)
seti0.exe
wtpbt0.dll,H9922
214d9[1].pdf (PDF/Exploit.Pidief.PHM.Gen Trojaner | Systemneuinstallation unbedingt empfohlen!) <- gefunden in ...\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3WRGJVWM\

main[1].htm (JS/Kryptik.MK Trojaner | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BBMYV1PY\

index[2].htm (HTML/Iframe.B.Gen Virus) <- gefunden in ...\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\CV0YPW1T\

index[1].htm (HTML/Iframe.B.Gen Virus) <- gefunden in ...\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\I6AY3Q7B\

index[2].htm (HTML/Iframe.B.Gen Virus) <- gefunden in ...\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TX2BTICU\

index[3].htm (HTML/Iframe.B.Gen Virus) <- gefunden in ...\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TX2BTICU\

index[3].htm (HTML/Iframe.B.Gen Virus) <- gefunden in ...\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\Y8JQB3J9\

msuu0.exe (Trojan.Agent.PLnkGen) <- gefunden in ...\AppData\Local\Temp\
atjheslkslhgsz.exe <- gefunden in C:\ProgramData\
pthglqtjnzgjqwybvtwn.exe <- gefunden in C:\ProgramData\
ms0cfg32.exe (Exploit.Drop.CFG | Systemneuinstallation dringend empfohlen!)
SkypePM.exe (Trojan.Ransom | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\Local\Skype\
4f13fbb6a14ad70951000000.dsmk
0edb7623-c133-4fa9-afc5-336389c839be.exe
ffueoqrybmpilaxviecbhdpyoebduttq <- gefunden in C:\ProgramData
yqzihigdusqcytsprrft.exe <- gefunden in C:\ProgramData
jar_cache8234354509761028123.tmp (Erkennungsmuster des Exploits EXP/2011-3544.BN.2 | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\Local\Temp\
jar_cache3663009907300467341.tmp (Erkennungsmuster des Exploits EXP/CVE-2010-0840.HJ | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\Local\Temp\
hnszs0,H9922 <- gefunden in ...\Appdata\Local\Temp
hnszs0.exe,H9922 (Win32/Kryptik.AFAX Trojaner | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\Appdata\Local\Temp
$RFQROQ9.class (Java/Exploit.CVE-2011-3544.BK Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\$Recycle.Bin\S-1-5-21-2962517494-3520978343-82658735-1000\
msmrama.com (Win32/Server-Web.HFS.A application | Systemneuinstallation empfohlen!) <- gefunden in C:\Users\"Benutzername"\Local Settings\Temp
cpgbdsmylukjdvlccknx.exe (Win32/Weelsof.A Trojaner | Systemneuinstallation empfohlen!)
mjt0uikj.exe
gywepoenndadluobruig.exe (Win32/Weelsof.A Trojaner | Systemneuinstallation empfohlen!)
566F0A133C0C09AED5B5.exe
F4D55F3B0000093F00005B8FB4EB23C1.exe
jar_cache335729641001752705.tmp (Java/Exploit.CVE-2012-0507.AL trojan | Systemneuinstallation unbedingt notwendig!)
jar_cache7880929053595720551.tmp (Java/TrojanDownloader.OpenStream.NCV trojan | Systemneuinstallation dringend empfohlen!)
szesm.class (Java/Exploit.CVE-2010-0840.NAB trojan | Systemneuinstallation dringend empfohlen!)
tempfiles.exe (Win32/TrojanDownloader.Vespula.AY trojan | Systemneuinstallation empfohlen!)
BSI.bund.exe (Wn32/Injector.RIJ | ) <- gefunden unter ...\Appdata\Roaming
t7f07ib.exe (Wn32/Injector.RIJ | )
k8h00.exe (Win32/Zbot | Systemneuinstallation dringend empfohlen!)
ch8l0.exe ( | )
nbuxijdejmuivhrpkkuv.exe ( | ) <- gefunden in C:\ProgramData
19[1].htm (HTML/Iframe.B.Gen Virus | ) <- gefunden in ...\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4A5FQ32P
cvvlflaciatxuqypoxkx.exe (Win32/Weelsof.B Trojaner | Systemneuinstallation empfohlen!) <- gefunden in C:\ProgramData
AcroIEHelpe129.dll (Trojan.Banker | Systemneuinstallation dringend empfohlen!)
BAcroIEHelpe.dll (Trojan.Banker | Systemneuinstallation dringend empfohlen!)
BAcroIEHelpe127.dll (Trojan.Banker | Systemneuinstallation dringend empfohlen!)
BAcroIEHelpe128.dll (Trojan.Banker | Systemneuinstallation dringend empfohlen!)
BAcroIEHelpe129.dll (Trojan.Banker | Systemneuinstallation dringend empfohlen!)
appconf32.exe ( | )
yetymirylxlenxkoyulw.exe (Win32/Trustezeb.? Trojaner | ) <- gefunden in C:\ProgramData
alxuigdeqheoccfzazyae.exe ( | )
opret0l.exe (TR/Crypt.XPACXK.Gen | Systemneuinstallation empfohlen!)
1d2sdfsd911i1oipo3470.exe (Win32/Kryptik.AGJZ Trojaner | Systemneuinstallation unbedingt notwendig!)
hvxssalsabtinqkppmlo.exe (Win32/Weelsof.B Trojaner | )
memzvideo.exe ( | ) <- gefunden in C:\Windows\system32
233d1e.exe ( | )
ms.exe-10B7B737.pf ( | )
ms.exe ( | )
wjeigiyhtufxnxibbcbw.exe (Win32/Kryptik.AGND Trojaner | Systemneuinstallation unbedingt notwendig!) <- gefunden in C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
Dc13.exe (Win32/Kryptik.AGND Trojaner | Systemneuinstallation unbedingt notwendig!) <- gefunden in C:\RECYCLER\S-1-5-21-1229272821-2077806209-725345543-500\
Dc14.exe (Win32/Kryptik.AGND Trojaner | Systemneuinstallation unbedingt notwendig!) <- gefunden in C:\RECYCLER\S-1-5-21-1229272821-2077806209-725345543-500\
pkg_0ll.exe ( | )
92EB823768D72AC5BD08.exe (Win32/Trustezeb.B Trojaner | )
arg6010.exe ( | )
ozmalczu.exe ( | )
dbftfvut.exe (TR/Weelsof.A.42 | Systemneuinstallation dringend empfohlen!) <- gefunden unter C:/Users/
dbftfvut.exe (TR/Weelsof.A.42 | Systemneuinstallation dringend empfohlen!) <- gefunden unter C:/ProgramData/
msdr.dll (TR/PWS.Sinowal.Gen8 | ) <- gefunden in C:\$Recycle.Bin\S-1-5-21-4145904492-899337482-4031349742-1000\
$R0GTCN6.exe (TR/Agent.57344 | ) <- gefunden in C:\ProgramData\Windows\
99046[1].pdf (Erkennungsmuster des Exploits EXP/Pidief.czt | Systemneuisntallation dringend empfohlen!) <- ...\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\3SSEJ0BW\

main[1].htm (JS/Dldr.Expack.AA | Systemneuinstallation empfohlen!) <- ...\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\3SSEJ0BW\
main[1].htm (JS/Dldr.Expack.AA | Systemneuinstallation empfohlen!) <- gefunden in ...\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\BFK6U6T0\
a4497[1].pdf (Erkennungsmuster des Exploits EXP/Pidief.czt | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\E7EIREBA\
c7738[1].pdf (Erkennungsmuster des Exploits EXP/Pidief.czt | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\E7EIREBA\
index[1].htm (JS/Dldr.Expack.AA | Systemneuinstallation empfohlen!) <- gefunden in ...\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\W130802K\
main[1].htm (JS/Dldr.Expack.AA | Systemneuinstallation empfohlen!) <- gefunden in ...\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\W130802K\
a1.class (Erkennungsmuster des Exploits EXP/11-3544.EF.1 | Systemneuinstallation dringend empfohlen!) <- ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\3d6a7ab4-2007a5ca\a
a2.class (Erkennungsmuster des Exploits EXP/12-0507.BK.1 | Systemneuinstallation dringend empfohlen!) <- ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\3d6a7ab4-2007a5ca\a
a.class (Erkennungsmuster des Exploits EXP/12-0507.BL.1 | Systemneuinstallation dringend empfohlen!) <- ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\3d6a7ab4-2007a5ca\a
b.class (JAVA/Mabowl.D | Systemneuinstallation dringend empfohlen!) <- ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\3d6a7ab4-2007a5ca\a
mfc22.dll (Trojan.Agent | Systemneuinstallation empfohlen!) <- gefunden in C:\WINDOWS\system32
win1.bat (Trojan.BAT.DriveBy | Systemneuinstallation dringend empfohlen!) <- C:\WINDOWS\
SVKP.sys (Trojan.Agent | Systemneuinstallation empfohlen!) <- gefunden in C:\WINDOWS\system32\
special_jdprof2009-stern.exe (MSIL/Packed.PvLogNetProtector.A | Systemneuinstallation empfohlen!) <- gefunden unter C:\Dokumente und Einstellungen\"Benutzername"\Eigene Dateien\Downloads\
ms.exe (Win32/Kryptik.AGZP Trojaner | Systemneuinstallation unbedingt erforderlich!) <- gefunden unter C:\Dokumente und Einstellungen\"Benutzername"\
dgymkffg.exe (Win32/Kryptik.AGZP Trojaner | Systemneuinstallation unbedingt notwendig!) <- gefunden unter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\
qlaqguag.exe (Win32/Kryptik.AGZP Trojaner | Systemneuinstallation unbedingt notwendig!) <- gefunden unter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
setup.exe ( | ) <- gefunden in C:\Windows\Temp\qpauaq\
0.7138105820498686.EXE-28E04BBD.pf ( | )
explorer.exe (Heuristics.Reserved.Word.Exploit | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\Dokumente und Einstellungen\"Benutzername"\Eigene Dateien\Downloads\
adipfbjh.exe*32 ( | ) <- gefunden in C:\ProgramData
appconf32.exe ( | ) <- gefunden in C:\Users\"Benutzername"\Appdata\Roaming\
varngczymvadnuv ( | ) <- gefunden in C:\ProgramData
sdjfdskpogf ( | ) <- gefunden in C:\
igfxtray.exe (Trojan.Agent | ) <- gefunden in ...\Appdata\Microsoft\Preogramme\Autostart
Recycle.Bin.exe ( | ) <- gefunden in C:\Recycle.Bin
tsk0003.dta (Win32/Olmarik.AFK Trojaner | Systemneuinstallation dringend empfohlen!)
tsk0004.dta (Win64/Olmarik.L Trojaner | Systemneuinstallation dringend empfohlen!)
tsk0005.dta (Win32/Olmarik.ALK Trojaner | Systemneuinstallation dringend empfohlen!)
tsk0006.dta (Win64/Olmarik.L Trojaner | Systemneuinstallation dringend empfohlen!)
tsk0007.dta (Win32/Olmarik.AWO Trojaner | Systemneuinstallation dringend empfohlen!)
tsk0008.dta (Win64/Olmarik.A Trojaner | Systemneuinstallation dringend empfohlen!)
jork_0_typ_col.exe,FQ10 ( | ) <- gefunden in C:\Users\"Benutzername"\Appdata\Local\Temp
ctfmon.lnk ( | ) <- gefunden in HKEY_Local_Machine\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^"Benutzername"^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup
loc_pyt_0_kroj.pad ( | ) <- gefunden unter C:\ProgramData
upgrade.exe (Trijan.Downloader | ) <- gefunden in ...\AppData\Roaming\Mozilla\{40D6CCC5-AA18-4176-9DA9-DF80873FBE3A}
uninstall.exe (Adware.Agent | ) <- gefunden in C:\$Recycle.Bin\S-1-5-21-2099882130-3164971525-2412745023-1000\$RJ451AD\Uninstall
tempfiles.exe (Trojan.Ransom | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\Local\Temp\
BAcroIEHelpe138.dll (Win32/Spy.Banker.XUT Trojaner | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\Appdata\Local
AcroIEHelpe138.dll (Win32/Spy.Banker.YAT Trojaner | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\Appdata\Local
cnyqxgrf.exe (Win32/Kryptik.AGZP Trojaner | Systemneuinstallation unbedingt notwendig!) <- gefunden in C:\ProgramData
mzjbgeqa.exe (Win32/Kryptik.AGZP Trojaner | Systemneuinstallation unbedingt notwendig!) <- gefunden in C:\Users\"Benutzername"\
$RNPFSD0.tmp (Win32/Kryptik.AHMZ Trojaner | Systewmneuinstallation unbedingt notwendig!) <- gefunden in C:\$Recycle.Bin\S-1-5-21-2833850933-116025027-737036924-1001\
aTube_Catcher.exe (Win32/OpenCandy Anwendung | ) <- gefunden in ...\AppData\Local\Opera\Opera\temporary_downloads\
er_00_0_l.exe (Win32/Reveton.H Trojaner | ) <- gefunden in C:\ProgramData
V.class (Java/Exploit.CVE-2011-3544.BN Trojaner | Systemneuinstallation dringend notwendig!) <- gefunden in ...\Appdata\Local\Temp
soap0_pack.exe ( | ) <- gefunden in C:\Dokuemnte und Einstellungen\"Benuterzername"\Lokale Einstellungen\Temp\
kes72775.exe,NameFunEx ( | ) <- gefunden in C:\WINDOWS\system32\
lpmclxzu.exe (Trojan.Ransom.P | ) <- gefunden in C:\Dokumente und Einstellungen\All Users\
nrjagobb.exe (Trojan.Ransom.P | ) <- gefunden in C:\Dokumente und Einstellungen\All Users\
save_0_in.exe,FQ10 ( | ) <- gefunden in C:\ProgramData
ni_0_evas.pad ( | ) <- gefunden in C:\ProgramData
loc_pyt_0_kroj.pad ( | ) <- gefunden in C:\ProgramData
t_0_00_re.pad ( | ) <- gefunden in C:\ProgramData
loc_pyt_0_kroj.pad ( | ) <- gefunden in C:\Windows\ProgramData
ctfmon.lnk.Startup ( | ) <- gefunden in C:\Windows\pss
jork_0_typ_col.exe (Win32/Reventon.H Trojaner| ) <- gefunden in ...\AppData\Local\Temp
99b9b[1].pdf (JS/Exploit.Pdfka.PMD Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\MZEMUUNN
main[1].htm (JS/Kryptik.QC Trojaner | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\92KVIMAO\
gkeapxbo.exe ( | )
iubgarjc.exe ( | )
I_u0_0.pad ( | ) <- gefunden in C:\ProgramData
0_0u_l.exe (Spyware.Zeus | Systemneuisntallation unbedingt notwendig!) <- gefunden in ...\AppData\Local\Temp
xzjrnqvo.exe ( | ) <- gefunden unter C:\ProgramData
0_0u_I.exe ( | ) <- gefunden unter ...\AppData\Local\Temp
ms0cfg.exe ( | ) <- gefunden unter ...\AppData\Local\Temp\Low
0_0u_I.exe (Spyware.Password | Systemneuisntallation dringend empfohlen!) <- gefunden unter ...\AppData
0_0u_I.exe (Spyware.Password | Systemneuinstallation dringend empfohlen!) <- gefunden unter ...\AppData\Local\Temp
glom0_og.exe.FQ10 ( | ) <- gefunden in ...\AppData\Local\Temp
fvgqad.dat (Malware.Trace | Systemneuinstallation empfohlen!) <- gefunden in ...\AppData
avdrn.dat (Malware.Trace | Systemneuinstallation empfohlen!) <- gefunden in ...\AppData
volsnap.sys (Rootkit.Win32.TDSS.tdl3 | Systemneuinstallation unbedingt notwendig!) <- gefunden unter C:\Windows\system32\drivers
khszejxeinmwuue ( | ) <- gefunden in C:\ProgramData
tsk0000.dta (Win32/Olmasco.E Trojaner | ) <- gefunden in C:\TDSSKiller_Quarantine\10.07.2012_19.15.57\rtkt0000\svc0000\
tkwgxfvi.exe (Win32/Kryptik.AIBS Trojaner | Systemneuinstallation unbedingt notwendig!) <- gefunden in C:\ProgramData
Tecpaoxv.exe ( | ) <- gefunden in C:\ProgramData
glo_0gr.exe ( | )
go_0molg.pad ( | ) <- gefunden in C:\ProgramData
I_u0_0.pad ( | ) <- gefunden in C:\ProgramData
tcbhn.lnk.StartUp ( | ) <- gefunden in C:\Windows\pss
ceptr.tll (Malware.Trace | Systemneuinstallation empfohlen!) <- gefunden in C:\Users\shriganesh\AppData\Roaming\Help\
comm.tll (Malware.Trace | Systemneuinstallation empfohlen!) <- gefunden in C:\Users\shriganesh\AppData\Roaming\Help\
ax2h.exe (Spyware.Zbot | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\AppData\Local\Temp
glom0_og.exe (Spyware.Zbot.124Gen | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\AppData\Local\Temp
$R4HQNH6.tmp (Rootkit.0Access | Systemneuinstallation unbedingt notwendig!) <- gefunden in C:\$Recycle.Bin\S-1-5-21-2944296652-2237122629-1568264665-1000\
$RKIIEL4.tmp (Trojan.Lameshield | Systemneuinstallation empfohlen!) <- gefunden in C:\$Recycle.Bin\S-1-5-21-2944296652-2237122629-1568264665-1000\
roper0dun.exe ( | )
udiskfspq.exe ( | ) <- gefunden in C:\ProgramData
ujfjsmda.exe ( | ) <- gefunden in C:\ProgramData
fest0r_ot.exe ( | ) <- gefunden in C:\ProgramData
achwqbnq.exe ( | ) <- gefunden in C:\ProgramData
festOr_ot.exe ( | )
Sifuk.exe ( | ) <- gefunden in ...\AppData\Roaming
toip0_tmp.exe,FQ10 ( | ) <- gefunden in C:\Dokumente und Einstellungen\"Benutzername"\Lokale Einstellungen\Temp\
FlashPlayerPlugin_11_3_300_257.exe ( | ) <- gefunden in C:\Windows\SysWOW64\Macromed\Flash
z7_0ytr.pad ( | ) <- gefunden in C:\ProgramData
ctfmon.lnk ( | ) <- gefunden in ...\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Flash Player Updater.job ( | ) <- gefunden in C:\Windows\SysWOW64\Macromed\Flash\
auvagztw.exe ( | ) <. gefunden in C:\ProgramData
ysrkjpcg.exe ( | ) <- gefunden in C:\ProgramData
rty0_7z.exe (TR/RevetorBX.A.1 | ) <- gefunden in ...\Appdata\Local\Temp
V.class (Java/Exploit.CVE-2011-3544.BQ | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\Appdata\Local\Temp
soap0_wsdl.exe (Trojan.Inject | ) <- gefunden in ...\Appdata\Local\Temp
ras_0oed.pad ( | ) <- gefunden in C:\ProgramData
temp-deo0_sar.exe (Trojan.FakeMS | ) <- gefunden in ...\Appdata\Local
main.html (HTML/Ransom.B Trojaner | ) <- gefunden in C:\ProgramData\zaqjlnyagschner\
main.html (HTML/Ransom.B Trojaner | ) <- gefunden in C:\ProgramData\mgwqyujatatsoia\
lywytetoci.bat ( | ) <- gefunden in C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
yridenolow.exe ( | ) <- gefunden in C:\Dokumente und Einstellungen\"Benutzername"\Anwendungsdaten
xcpvqavk.exe ( | ) <- gefunden in C:\ProgramData
juptqqfg.exe ( | )
adfm32.exe (Trojan.Cridex | Systemneuinstallation dringend empfohlen! Klaut min. Facebook & Twitter Passwörter) <- gefunden in ...\AppData\Local\Temp
ccdxmmde.dat (Malware.Trace | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\ProgramData\Windows
drss.dat (Malware.Trace | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\ProgramData\Windows
xessmsxe.dat (Malware.Trace | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\ProgramData\Windows
AX_RU.dll (Malware.Packer.GenX | ) <- gefunden in C:\Program Files (x86)\Alcohol Soft\Alcohol 120\Langs\
main.html (HTML/Ransom.B Trojaner | ) <- gefunden in C:\ProgramData\vrleoqgccmrwbgv\
dnboeuyplvjpvoiyg.exe (Trojan.Phex.THAGen9 | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\Appdata\Local\Temp
mmwjkgyumdrjikeqhd.exe (Trojan.Phex.THAGen9 | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\Appdata\Local\Temp
pdtmtfmlmxufhfmhabraum.exe (Trojan.Phex,THAGen9 | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\Appdata\Local\Temp
wbdjtxinelizxtkfvvwyrznq.exe (Trojan.Phex.THAGen9 | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\Appdata\Local\Temp
hi.exe (JAVA/Exploit.? | Systemneuinstallation dringend empfohlen!)
mspmsnsv.dll (Win32/Poison.NHM | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\Windows\system32
MsPMSNSv.dll (Dropper.MsPMs | Systemneuinstallation empfohlen!) <- gefunden in C:\Windows\System32
roper0dun.exe (Win32/Reveton.H Trojaner | ) <- gefunden in ...\Appdata\Local\Temp
gencrawler_gc.dll (Trojan.Downloader | ) <- ...\AppData\Roaming\Media Finder\Extensions
336600798.exe (HEUR:Trojan.win32.Generic | ) <- gefunden in ...\AppData\Local\Temp
ms.exe (Win32/Kryptik.ALPL Trojaner | Systemneuinstallation unbedingt notwendig!)
pxhmmjvm ( | ) <- gefunden in C:\ProgramData
vofrvxxbizmykuc ( | ) <- gefunden in C:\ProgramData
nud0repor.pad ( | ) <- C:\ProgramData
ctfmon.lnk ( | ) <- gefunden in C:\Windows\pss
ctfmon.lnk ( | ) <- gefunden in C:\Users\"Benutzername"\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
roper0dun.exe,FQ10 (Trojan.PWS | ) <- gefunden in C:\Users\"Benutzername"\AppData\Local\Temp
wgsdgsdgdsgsd.exe (Trojan.FakeMS | ) <- gefunden in C:\Users\"Benutzername"\AppData\Local\Temp
main.html (HTML/Ransom.B Trojaner | ) <- gefunden in C:\ProgramData\deztfbgtuqypnyj\
ybgr.exe (Win32/Adware.WintionalityChecker.AF Anwendung | ) <- gefunden in ...\Appdata\Roaming\Protector
erfpxoyl.exe (Win32/Kryptik.AIHJ | Systemneuinstallation unbedingt notwendig!) <- gefunden in C:\ProgramData
ms.exe (Win32/Kryptik.AIHJ | Systemneuinstallation unbedingt notwendig!) <- gefunden in C:\Users\"Benutzername"
install_0_msi.exe (Spyware.Zeus | Systemneuinstallation unbedingt erforderlich!) <- gefunden in ...\Appdata\Local\Temp
ism_0_llatsni.pad (Spyware.Zeus | Systemneuinstallation unbedingt erforderlich!) <- gefunden in C:\ProgramData
V.class ( | ) <- ...\AppData\Local\Temp
$RCX8QS0.exe (Trojan.Winlock | ) <- gefunden in C:\$Recycle.Bin\S-1-5-21-2620809745-2865016190-3094980271-1000
ms.exe (Trojan.Winlock | ) <- gefunden in C:\Users\"Benutzername"\
mdmcpq3.PNF (Rootkit.TmpHider | Systemneuinstallation unbedingt notwendig!) <- C:\Windows\inf\
mdmeric3.PNF (Rootkit.TmpHider | Systemneuinstallation unbedingt notwendig!) <- gefunden in C:\Windows\inf
oem6C.PNF (Rootkit.TmpHider | Systemneuinstallation unbedingt notwendig!) <- gefunden in C:\Windows\inf
oem7A.PNF (Rootkit.TmpHider | Systemneuinstallation unbedingt notwendig!) <- gefunden in C:\Windows\inf
main.html (HTML/Ransom.B Trojaner | ) <- gefunden in C:\ProgramData\znyevboaqdbbiwk\
jar_cache116174261178635656.tmp (Java/Exploit.CVE-2009-2843.A Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\Users\"Benutzername"\AppData\Local\Temp
jar_cache6632937919875618499.tmp (Java/Exploit.CVE-2012-0507.DD Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\Users\"Benutzername"\AppData\Local\Temp\
~DF7F6B.tmp (Win32/Stuxnet.A Wurm | Industriespionage/Cyberwar > Unbedingt Anzeige erstatten! > Systemneuinstallation unbedingt erforderlich!) <- C:\Windows\Temp
tnrmldrz.exe ( | ) <- gefunden in C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
msconfig.dat (Trojan.Agent | ) <- gefunden in C:\Users\"Benutzername"\AppData\Roaming
TujP.dat (Trojan.Ransom.FGen | ) <- gefunden in C:\Users\"Benutzername"\AppData\Roaming\hellomoto
BukF.dat (Trojan.Ransom.FGen | ) <- gefunden in C:\Users\"Benutzername"\AppData\Roaming\hellomoto
wgsdgsdgdsgsd.exe,F10 ( | ) <- gefunden in C:\Users\"Benutzername"\AppData\Local\Temp\
ctfmon.lnk ( | ) <- gefunden in C:\Users\"Benutzername"\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\ProgramData\esnxbmanofqpgzo\main.html (HTML/Ransom.B Trojaner | ) <- gefunden in C:\ProgramData\esnxbmanofqpgzo\
ms.exe (Trojan.Agent | ) <- gefunden in C:\Users\"Benutzername"
wgsdgsdgdsgsd.exe (Trojan.Ransom | ) <- gefunden in ...\Appdata\Local\Temp
plugin-ap2.php (JS/Exploit.Pdfka.PPK Trojaner | Systemneuinstallation empfohlen!) <- gefunden in C:\$Recycle.Bin\S-1-5-21-2406580819-2489200430-1291667282-1001\$R375HVS\
$RHZDJW9.exe (Variante von Win32/InstallCore.AL Anwendung | ) <- gefunden in C:\$Recycle.Bin\S-1-5-21-2406580819-2489200430-1291667282-1001
1183609_Setup.EXE (Variante von Win32/InstallCore.AL Anwendung | ) <- gefunden in C:\$Recycle.Bin\S-1-5-21-2406580819-2489200430-1291667282-1001\$R37Y5YF\)
plugin-1da5834ac2d5486744508a5f60d0e4d0.pdf (PDF/Exploit.CVE-2010-0188.P Trojaner | Systemneuisntallation empfohlen!) <- gefunden in C:\$Recycle.Bin\S-1-5-21-2406580819-2489200430-1291667282-1001\$R94UCT0
protector.dll (Variante von Win32/bProtector | ) <- gefunden in C:\Windows\System32\
ctfmon.lnk (Trojan.Ransom.Gen | ) <- gefunden in ...\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
dsgsdgdsgdsgw.pad ( | ) <- gefunden in C:\ProgramData
njilvpuqyofknvf ( | ) <- gefunden in C:\ProgramData
main.html (HTML/Ransom.B Trojaner | ) <- gefunden in C:\ProgramData\orecgqsdgdgfgkp
tmycsfwp.exe (Trojan.Agent | ) <- gefunden in C:\ProgramData
ms.exe (Trojan.Agent | ) <- gefunden in C:\Users\"Benutzername"
tmycsfwp.exe (Trojan.Agent | ) <- gefunden in C:\Windows
main.html (HTML/Ransom.B Trojaner | ) <- gefunden in C:\ProgramData\bpatgqjfmtmkytm
bb_cjd7vd78hg.exe (Win32/Reveton.H Trojaner | ) <- gefunden in ...\AppData\Local\Temp
ctfmon.lnk.Startup (Win32/Reveton.J Trojaner | ) <- gefunden in C:\Windows\pss
ctfmon.lnk ( | ) <- C:\Users\"Benutzername"\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
lsass.exe ( | ) <- gefunden in C:\ProgramData
SetWallpaper.cmd ( | ) <- gefunden in C:\ProgramData
main.html (HTML/Ransom.B Trojaner | ) <- gefunden in C:\ProgramData\mupmyamctzrinyz
main.html (HTML/Ransom.B Trojaner | ) <- gefunden in C:\ProgramData\lvxelcokwekxcad\
ms.exe (Variante von Win32/Injector.XKY Trojaner | Systemneuinstallation empfohlen!) <- gefunden in C:\Users\"Benutzername"\
ms.exe (Trojan.Winlock | ) <- gefunden in C:\Users\"Benutzername"\
msconfig.dat (TR/Graftor.39509.1 | Systemneuinstallation dringend empfohlen! | Hinweis: Kommt i.d.R. über Facebook-Links!) gefunden in C:\Dokumente und Einstellungen\"Benutzername"
YEkZgzU.exe (Trojan.Zbot | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\Appdata\Local\Temp
TujP.dat (Trojan.Ransom.FGen | ) <- gefunden in ...\Appdata\Roaming\hellomoto
BukF.dat (Trojan.Ransom.FGen | ) <- gefunden in ...\Appdata\Roaming\hellomoto
dsgsdgdsgdsgw.pad ( | ) <- gefunden in C:\ProgramData
lsass.exe ( | ) <- gefunden in C:\ProgramData
ctfmon.lnk.Startup (Win32/Reventon.J Trojaner | Systemneuinstallation empfohlen!) <- gefunden in C:\Windows\pss
wgsdgsdgdsgsd.exe,GOF1 (Trojan.Ransom | ) <- gefunden in ...\Appdata\Local\Temp
netdislw.pad ( | ) <- gefunden in C:\ProgramData
Mahnbescheid Auftragsnummer 2994352.zip (Win32/Trustezeb.C Trojaner | ) <- Mailanhang
Mahnung 06.10.2012 Rechnung.zip (Win32/Trustezeb.C Trojaner | ) <- Inhalt von Mailanhang (Mahnbescheid Auftragsnummer 2994352.zip)
Rechnung.doc.com (Win32/Trustezeb.C Trojaner | ) <- Inhalt von Mailanhang (Mahnung 06.10.2012 Rechnung.zip)
gvroockz.exe.vir (Trojan.Winlock | ) <- gefunden in C:\ProgramData
bw6zf250my19sd30.exe (Trojan.Zbot | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\Appdata\Local\Temp
msconfig.dat (Win32/Spy.Zbot.AAN Trojaner| Systemneuinstallation unbedingt notwendig!) <- gefunden in C:\Users\"Benutzername"\Appdata\Roaming
libfreetype-6.dll (Spyware.OnlineGames | ) <- gefunden in C:\Program Files\
tclpip85.dll (Spyware.OnlineGames | ) <- gefunden in C:\Program Files\
main.html (HTML/Ransom.B Trojaner | ) <- gefunden in C:\ProgramData\rxaamsyylgoouix\
2dcd1d63cb45e6613582211c3d5f4b23.exe (Win32/OpenCandy Anwendung | ) <- gefunden in C:\Users\"Benutzername"\AppData\Local\Temp\
deo0_sar.exe ( | )
zwumlyjmefhrprt.exe (Trojan.Winlock | ) <- gefunden in C:\Windows\
ms.exe (Trojan.Winlock | ) <- gefunden in Dokumente und Einstellungen\"Benutzername"
jfsdcgjpgrlddug ( | ) <- gefunden in C:\Dokument und Einstellungen\All Users\Anwendungsdaten
zwumlyjm.exe (Trojan.Winlock | ) <- gefunden in C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
main.html ( | ) <- gefunden in C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mlkgzzlaeemcwvy

Bisherige Anwendungsnamen:
Notepad++
Firefox Helper
War v1.1
Exeinfo PE by A.S.L.
Renee Cap Naomi Buds
Terse
dl6t5dt5l
Alyx

Bisherige Änderungen an der Registry:
HKEY_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0)
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run > Mozilla client (Trojan.Ransom) <- Verweis auf ...\AppData\Local\Mozilla\Firefox\firefox.exe
HKEY_Classes_Root\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker | Systemneuinstallation dringend empfohlen!)
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker | Systemneuinstallation dringend empfohlen!)
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker | Systemneuinstallation dringend empfohlen!)
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker | Systemneuinstallation dringend empfohlen!)
HKEY_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Adware.MyWebSearch)
HKEY_Current_User\SOFTWARE\Microsoft\Handle (Malware.Trace | Systemneuinstallation dringend empfohlen!)
HKEY_Current_User\SOFTWARE\YVIBBBHA8C (Trojan.Agent)
HKEY_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO)
HKEY_Classes_Root\CLSID\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO)
HKEY_Classes_Root\TypeLib\{77D6DDFA-7834-4541-B2B3-A8B0FB0E3924} (Trojan.BHO)
HKEY_Classes_Root\ToolBand.XTTBPos00.1 (Trojan.BHO)
HKEY_Classes_Root\ToolBand.XTTBPos00 (Trojan.BHO)
HKEY_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055FD26D-3A88-4E15-963D-DC8493744B1D} (Trojan.BHO)
HKEY_Local_Machine\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ffdwnd
HKEY_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir)
HKEY_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir)
HKEY_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir)
HKEY_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir)
HKEY_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir)
HKEY_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir)
HKEY_Current_User\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir)
HKEY_Current_User\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir)
HKEY_Local_Machine\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Bösartig: (http://startsear.ch/?aff=1) Gut: (http://www.google.de)
HKEY_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{59F6FA5D-2B79-2935-6C51-A8D630D14B74} (Trojan.ZbotR.Gen | Systemneuinstallation empfohlen!)
HKEY_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|3266 (Trojan.Agent | Systemneuinstallation dringend empfohlen!)
HKEY_Local_Machine\SYSTEM\ControlSet001\services\gaopdxserv.sys (Rootkit.Win32.TDSS.tdl2 | Systemneuinstallation dringend empfohlen!)
HKEY_Local_Machine\SYSTEM\ControlSet002\services\gaopdxserv.sys (Rootkit.Win32.TDSS.tdl2 | Systemneuinstallation dringend empfohlen!)
HKEY_Local_Machine\System\CurrentControlSet\Services\gaopdxserv.sys (Trojan.Agent)
HKEY_Current_User\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Spyware.Zeus | Systemneuinstallation unbedingt notwendig!) -> Bösartig: (C:\Users\"Benutzername"\LOCALS~1\Temp\mstfaiu.com) Gut: ()
HKEY_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|20494 (Trojan.Agent.Gen | Systemneuinstallation dringend empfohlen!)
HKEY_Local_Machine\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{6B44BF35-F525-B276-2F84-76FB763FFACD}
HKEY_Classes_Root\CLSID\{975670D0-7EFB-4fa8-90FA-3AE575B9FB77} (Trojan.Banker | Systemneuinstallation dringend empfohlen!)
HKEY_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{975670D0-7EFB-4FA8-90FA-3AE575B9FB77} (Trojan.Banker | Systemneuinstallation dringend empfohlen!)
HKEY_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{975670D0-7EFB-4FA8-90FA-3AE575B9FB77} (Trojan.Banker | Systemneuinstallation dringend empfohlen!)
HKEY_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1)
HKEY_Current_User\SOFTWARE\XTREMERAT (Malware.Trace | Systemneuinstallation dringend empfohlen!)
HKEY_Current_User\Software\XtremeRAT | Mutex (Malware.Trace | Systemneuinstallation dringend empfohlen!)-> Daten: EhUqbFXNfA3Dk0R
HKEY_Current_User\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | Load (Spyware.Zeus | Systemneuinstallation unbedingt notwendig!) -> Bösartig: (C:\Users\"Benutzername"\LOCALS~1\Temp\msuidxs.bat) Gut: ()
HKEY_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|65480 (Trojan.Agent | Systemneuinstallation dringend empfohlen!)
HKEY_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ypdpyrugitbqrze
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nbuxijdejmuivhr
HKEY_Classes_Root\CLSID\{F99BD4F5-D402-4c21-A8BC-510830B6BE37} (Trojan.Banker | Systemneuinstallation dringend empfohlen!)
HKEY_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F99BD4F5-D402-4C21-A8BC-510830B6BE37} (Trojan.Banker | Systemneuinstallation dringend empfohlen!)
HKEY_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{F99BD4F5-D402-4C21-A8BC-510830B6BE37} (Trojan.Banker | Systemneuinstallation dringend empfohlen!)
HKEY_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F99BD4F5-D402-4C21-A8BC-510830B6BE37} (Trojan.Banker | Systemneuinstallation dringend empfohlen!)
HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run|lxuigdeqheoccfz ( | )
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run|lxuigdeqheoccfz ( | )
HKEY_Current_User\Software\HiSoft\CrackDownloader (CrackTool.Agent | Systemneuinstallation unbedingt notwendig!)
HKEY_Current_User\Control Panel\don't load|scui.cpl (Hijack.SecurityCenter) -> Daten: No <- Deaktivierung des SecurityCenters
HKEY_Current_User\Control Panel\don't load|wscui.cpl (Hijack.SecurityCenter) -> Daten: No <- Deaktivierung des SecurityCenters
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run|sysav (Rogue.WinPCDefender | )
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run|Upgrade (Trojan.Downloader | )
HKEY_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Launcher.exe (Security.Hijack | ) <- Umstellung des Startenden Bildschirms auf einen falschen Debugger
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run|msidll (Trojan.Agent | ) <- dort hinterlegt "msikye32.dll,lovdAUu"
HKEY_Local_Machine\Software\Microsoft\Shared Tools\MSConfig\startupreg\tkwgxfvibidgyfq
HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform|SRS_IT_E8790773BC7654553FAF94 (Malware.Trace| Systemneuinstallation empfohlen!)
HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform|SRS_IT_E8790772B476545B31AA95 (Malware.Trace | Systemneuinstallation empfohlen!)
HKEY_Local_Machine\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_265.dll ( | )
$R0V14CJ.exe (Backdoor.Bot | Systemneuinstallation unbedingt notwendig!) <- gefunden in C:\$RECYCLE.BIN\S-1-5-21-1286090972-1896707857-2003500970-1001\
stub_ddlr.exe (Trojan.Downloader | ) <- gefunden in C:\Users\"Benutzername"\AppData\Local\Temp\
jar_cache3678357747369109392.tmp (Java/Exploit.CVE-2012-4681.AB Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\Users\"Benutzername"\AppData\Local\Temp\
jar_cache4852401076944954868.tmp (Java/Exploit.CVE-2012-4681.AB Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\Users\"Benutzername"\AppData\Local\Temp\
jar_cache6407303937136192226.tmp (Java/Exploit.CVE-2012-4681.AB Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\Users\"Benutzername"\AppData\Local\Temp\
HKEY_Current_User\CLSID\DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker | Systemneuinstallation unbedingt notwendig!)
HKEY_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker | Systemneuinstallation unbedingt notwendig!)
HKEY_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker | Systemneuinstallation unbedingt notwendig!)
HKEY_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker | Systemneuinstallation unbedingt notwendig!)
HKEY_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Userinit (Trojan.Agent | )
HKEY_Users\"Benutzername"\Software\Microsoft\ShellNoRoam\MUICache ( | )

Bisherige infizierte Ordnernamen:
09A52917-B4FC-4f02-AE3B-BF55D9351F4A (Trojan.Agent) <- gefunden in ...\Roaming
L1E247-E7D0-4328-92BD-01D3573F6F55}/RP88/ (Trojan.win32.Menti.kxen | Systemneuinstallation empfohlen!)
Exycm <- gefunden in ...\Roaming
Wenep <- gefunden in ...\Roaming
Mozilla Helper <- gefunden in ...\AppData
tmpb72ae00c <- gefunden in ...\AppData\Local\Temp
3475a842-6d2f903e (Erkennungsmuster aus Exploit EXP/CVE-2010-0840.EJ | Erkennungsmuster aus Exploit EXP/JAVA.EG | Erkennungsmuster aus Exploit EXP/OpenConnect.CF | Erkennungsmuster aus Exploit EXP/CVE-2010-0840.L | Erkennungsmuster aus Exploit EXP/CVE-2010-0840.BB | Erkennungsmuster aus Exploit EXP/2010-0840.AG | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2

11e0505b-734c2ab9 (Erkennungsmuster aus Exploit EXP/JAVA.EG | Erkennungsmuster aus Exploit EXP/OpenConnect.CF | Erkennungsmuster aus Exploit EXP/CVE-2010-0840.L | Erkennungsmuster aus Exploit EXP/CVE-2010-0840.BB | TR/Crypt.ZPACK.Gen | Erkennungsmuster des JAVA-Virus JAVA/Applet.K | Erkennungsmuster aus Exploit EXP/CVE-2010-0094.R | Erkennungsmuster aus Exploit EXP/CVE-2010-0094.BA | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2

3246bde7-65f01841 (Erkennungsmuster aus Sample CC/2011.BHQ | Erkennungsmuster aus Exploit EXP/CVE-2010-0840 | Erkennungsmuster aus Exploit EXP/CVE-2010-0840.EO | Erkennungsmuster aus Sample CC/2011.BHZ | Trojaner TR/Slenfbot.143360 | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39 & \5 & \55 & \57

66389bb9-6b71cabc (Erkennungsmuster aus Java-Virus JAVA/Agent.HO | Erkennungsmuster aus Exploit EXP/CVE-2008-5353.TV | Erkennungsmuster aus Exploit EXP/CVE-2010-0094.AB | Erkennungsmuster aus Exploit EXP/CVE-2008-5353.UJ | Erkennungsmuster aus Java-Virus JAVA/Agent.HR | Erkennungsmuster aus Exploit EXP/CVE-2010-0094.BV | Erkennungsmuster aus Exploit EXP/CVE-2010-0094.BS | Trojaner TR/Mesdesh.A.6 | Erkennungsmuster aus Exploit EXP/CVE-2008-5353.TZ | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57

Ebqe <- gefunden in ...\Roaming
{86B3D24E-E701-5E3B-B8FC-8A90D9FF1F3C} <- gefunden in ...\
5aa6e4f1-4a3a6b49 (Trojan.Downloader.lb) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49
4ac35833-5ac97532 (Trojan.VUPX.ON1) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51
Washer2.rar <- gefunden unter C:\
InetAccelerator <- gefunden in ...\AppData\Roaming
Microsoft <- gefunden in ...\Appdata\Roaming\
GEMA <- gefunden in ..\Appdata

ece1db-6525f15f (Erkennungsmuster aus Exploit EXP/CVE-2010-0840.W | Erkennungsmuster aus Java-Virus JAVA/Agent.A | Erkennungsmuster aus Exploit EXP/CVE-2010-0840.O | Erkennungsmuster aus Exploit EXP/CVE-2010-0840.BO | Erkennungsmuster aus Java-Virus JAVA/Exdoer.F | Erkennungsmuster aus Exploits EXP/Java.J | Erkennungsmuster aus Java-Virus JAVA/Exdoer.A | Exploits EXP/Java.CK | Systemneuinstallation empfohlen!) <- gefunden in ...\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\27\

48a5427d-135d041c (Erkennungsmuster aus Java-Virus JAVA/Exdoer.O | Erkennungsmuster aus Exploits EXP/CVE-2010-0840.E | Systemneuinstallation empfohlen!) <- gefunden in \Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61\

2dcd1d63cb45e6613582211c3d5f4b23 (Win32/OpenCandy) <- gefunden in C:\Program Files\ICQ7.5\upgrade\

\Device\Harddisk0\DR0 (Backdoor.Win32.Sinowal.knf | Systemneuinstallation dringend empfohlen!)

kodak\ (Trojan.Agent) <- gefunden in ..\Appdata\Roaming

{4B9E11E4-A867-88DA-18F5-CE3C464E367C} <- gefunden in ...\APPDATA\Roaming
Dypiby <- gefunden in ...\APPDATA\Local\Temp
Ufwea <- gefunden in ...\APPDATA\Local\Temp
kodak <- gefunden in ...\Appdata\Roaming\
rst6is56t67 <- gefunden in ...\Appdata\Roaming\
Viict <- gefunden in ...\Appdata\Roaming\
f_0000d9 <- gefunden in C:\Users\"Benutzername"\AppData\Local\Google\Chrome\User Data\Default\Cache\
f_0000da <- gefunden in C:\Users\"Benutzername"\AppData\Local\Google\Chrome\User Data\Default\Cache\
uidsave.dat (Malware.Trace | Systemneuinstallation empfohlen!) <- gefunden in C:\Users\"Benutzername"\
4c9a72c6-5a04b059 (Java/Exploit.CVE-2011-3544.T | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\Appdata\LocalLow\Sun\Java\Deployment\cache\6.0\

Sopuky
580cc9b5-7db3da2f (Erkennungsmuster des Exploits EXP/2011-3544.BU | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53

GLFE229
F3A05d01 (HTML/Fraud.BG Trojaner) <- gefunden in ...\AppData\Local\Mozilla\Firefox\Profiles\4wsyxu5k.default\Cache\A\59\
Ortoedi
5DFC3d01 (JS/Kryptik.JO Trojaner) <- gefunden in ...\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\nmdjcsph.default\Cache(3)\D\C2\
5eaf40eb-4e35e0b2 (Variante von Win32/Kryptik.ACVE | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\

5ebdda1f-7048c2be (Variante von Win32/Kryptik.ACVS Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31\
gizza
7a37a25e-344b2183 (Erkennungsmuster des Exploits EXP/2011-3544.DI.1 | Erkennungsmuster des Exploits EXP/2011-3544.DJ.1 | Erkennungsmuster des Exploits EXP/3544.CU.1.A | Erkennungsmuster des Exploits EXP/CVE-2011-3544.CB | Erkennungsmuster des Exploits EXP/2011-3544.DK.1 | Erkennungsmuster des Exploits EXP/2011-3544.CR | Enthält Erkennungsmuster des Exploits EXP/2011-3544.DL.1 | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\
timerintray (Trojan.SpyEyes | Systemneuinstallation unbedingt notwendig!) <- gefunden in C:\
xmldm (Stolen.Data | Systemneuinstallation dringend empfohlen!) <- gefunden in C:\Windows\system32
2dcd1d63cb45e6613582211c3d5f4b23 (Win32/OpenCandy Anwendung) <- gefunden in C:\Program Files (x86)\ICQ7.5\upgrade\
4babf7e1-1ebdfd57 (Variante von Java/TrojanDownloader.Agent.NDR | Systemneuinstallation empfohlen!) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\

7560f91-3e59e277 (Variante von Java/TrojanDownloader.OpenStream.NCC Trojaner | Systemneuinstallation dringend empfohlen!)<- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\

58ec35a7-7c6aa4fb (Variante von Java/Exploit.CVE-2010-4452.A Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39\

22d83725-1a8eaa9c (Erkennungsmuster des Exploits EXP/3544.CU.1.B | Erkennungsmuster des Exploits EXP/CVE-2011-3544.CC | Erkennungsmuster des Exploits EXP/CVE-2011-3544.CB | Erkennungsmuster des Exploits EXP/CVE-2011-3544.CE | Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen | Erkennungsmuster des Exploits EXP/2011-3544.DP.2 | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37\

40f44a3c-768bf811 (Erkennungsmuster des Exploits EXP/CVE-2012-0507.A | Erkennungsmuster des Exploits EXP/ASF.GetCodec.Gen | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60

1[1] (Backdoor:Win32/Losfondup.G Trojaner | Systemneuinstallation unbedingt erforderlich!) <- gefunden in ...\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6KH9QVTQ\

88743cf-7fa610ff (Java/TrojanDownloader.Agent.ME | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\15\

fe48b4f-14fd3304 (Variante von Java/Exploit.CVE-2010-4452.B Trojaner | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\15\

27b84623-524142db (Variante von Java/Exploit.CVE-2010-4452.A Trojaner | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35\

78a7dab-1c78132d (Variante von Java/Agent.DT Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43\

5b3f757f-53b06348 (Variante von Win32/Kryptik.OEY Trojaner | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\63\

02DDCd01 (JS/Kryptik.MD Trojaner | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...\Anwendungsdaten\Mozilla\Firefox\Profiles\yvekxfwd.default\Cache\1\E3\

Recycle.Bin (Trojan.Spyeyes | Systemneuinstallation unbedingt notwendig!) <- gefunden in C:\
Qndfhnhuvum <- gefunden unter ..\AppData\Roaming\
3d6a7ab4-2007a5ca (JAVA/Mabowl.F | Systemneuinstallation dringend empfohlen!) <- gefunden in \AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\
4a2e8034-776ed9b6 (Erkennungsmuster des Exploits EXP/2011-3544.BY | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\
5293a7b4-7d6016f4 (Erkennungsmuster des Exploits EXP/12-0507.BD.1.B | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\
47cf1f3b-1279a9f2 (Erkennungsmuster des Exploits EXP/2011-3544.BY | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59\
Recycle.Bin ( | ) <- gefunden in C:\
7c688c12-5fba16c1 (Trojan.Ransom | Systemneuinstallation dringend empfeohlen!) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18\
ABD09d01 (HTML/Fraud.BD.Gen Trojaner | ) <- gefunden in ...\AppData\Local\Mozilla\Firefox\Profiles\rl1y2g3s.default\Cache\0\28\
D68F5d01 (HTML/Fraud.BD.Gen Trojaner | ) <- gefunden in ...\AppData\Local\Mozilla\Firefox\Profiles\rl1y2g3s.default\Cache\4\4C\
78565d01 (JS/Agent.NEJ Trojaner | ) <- gefunden in ...\AppData\Local\Mozilla\Firefox\Profiles\rl1y2g3s.default\Cache\6\65\
6826Ed01 (HTML/ScrInject.B.Gen Virus | Systemneuninstallation empfohlen!) <- gefunden in ...\AppData\Local\Mozilla\Firefox\Profiles\rl1y2g3s.default\Cache\9\BA\
FD16Cd01 (HTML/Fraud.BD.Gen Trojaner | ) <- gefunden in ...\AppData\Local\Mozilla\Firefox\Profiles\rl1y2g3s.default\Cache\B\B4\
6CCD9d01 (HTML/Fraud.BD.Gen Trojaner | ) <- gefunden in ...\AppData\Local\Mozilla\Firefox\Profiles\rl1y2g3s.default\Cache\D\0C\
Inina ( | ) <- gefunden in ...\AppData\Roaming
ozpyvxcqiomaxc ( | ) <- gefunden in ...\Appdata\Local
12ced844-7907140a ( | ) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4\
7f1a5d0c-2a6bffbf (Java/Exploit.CVE-2012-1723.AV | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\
593a0e99-45e5042e (Mehrere Bedrohungen | ) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\
72c6285c-229fd4d0 (Mehrere Bedrohungen | ) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\
45930648-2bbf76c6 (Java/Exploit.CVE-2012-4681.P Trojaner | Systemneuinstallation dringend empfohlen!) <- gefunden in ...\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\
jixutibzxyjlmvn ( | ) <- gefunden in C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\
hellomoto (Trojan.Ransom.FGen | ) <- gefunden in C:\Users\"Benutzername"\AppData\Roaming
323e3d78-7705905e (Backdoor.Bot | Systemneuinstallation unbedingt notwendig!) <- gefunden in C:\Users\"Benutzername"\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56\
hellomoto (Trojan.Ransom.FGen | ) <- gefunden in ...\Appdata\Roaming\hellomoto
gegl-0.0 ( | ) <- gefunden in C:\Dokumente und Einstellungen\"Benutzername"\Lokale Einstellungen\Temponary Internet Files\

Bisherige Zahlenkollonen-Dateinamen:
0.1649436047172249.exe
0.8829116670694427.exe
0.7383467063683786.exe
0.2561508233844674.exe
0.2859202659312702.exe
0.6880572802653021.exe
0.2009101053194351.exe
0.1811899016702101.exe
0.3222414293416097.exe
0.589876403705081.exe
0.5745581348248461.exe
0.5918488186663565.exe.SuppS
0.5665795674647988.exe
0.8137417025581771.exe
0.62714717106124832.exe
0.508055248116905.exe,SuppS
0.2827420429394011.exe
0.5810049444080696.exe,SuppS
0.9282698289720586.exe,SuppS
0.11303528518292527.exe
5067912944525801.exe
0.025652737164740285.exe
0.655215768868036.exe
0.024147726603396036
0.467617002081684.exe
0.467617002081684.exe, SuppS
0.49565886414758475.exe
0.300516526729134.exe
0.05289186994887851.exe
0.53…01123.exe
0.8829812141007091.exe (Trojan.Agent)
0.0022966491465834515.exe (Exploit.Drop.2 | Systemneuinstallation empfohlen!)
0.24860276746090348.exe (Exploit.Drop.2 | Systemneuinstallation empfohlen!)
0.2563325305999272.exe (Exploit.Drop.2 | Systemneuinstallation empfohlen!)
0.2878224106617806.exe (Exploit.Drop.2 | Systemneuinstallation empfohlen!)
0.7026068596176788.exe (Exploit.Drop.2 | Systemneuinstallation empfohlen!)
0.7984702466034316.exe (Exploit.Drop.2 | Systemneuinstallation empfohlen!)
0.934068566902507.exe
0.3989315980159258.exe
0.08945888.... .exe
0.7250649848009405.exe (Trojan.Agent)
0.8312263561232985.exe,F1122
0.3589681003562677.exe (TR/Dropper.Gen | Systemneuinstallation empfohlen!)
0.20174711154527136.exe,F1122
0.24142178072781073.exe,F1122
0.12958200280731613.exe (Trojan.Downloader.lb)
0.3802667699222966.exe
0.45691689391621837.exe
yr0.14035095803907882.exe (Exploit.Drop.7 | Systemneuinstallation empfohlen!)
0.07967146436162498.exe.lnkStartup
yr0.9262342618371953.exe (Exploit.Drop.7 | Systemneuinstallation empfohlen!)
0.8672869630663058.exe <- gefunden in ...\AppData\Local\
0.3728671015439696.exe,F1122 <- gefunden in ...\Appdata\Local\Temp
0.32007038300779367f76.exe
0.421226646261036346f76.exe
0.774634295768115667f76.exe,EqJg6
0.836620514491286367f76.exe,TYsdH
0.91774232572489367f76.exe,6bCQf
0.753866613973518867f76.exe,F1122
0.1845168566039191467f76.exe,CSFYH
0.532941004931044267f76.exe
0.307863933000295967f76.exe
0.947643014917074867f76.exe (Exploit.Drop.4 | Systemneuinstallation empfohlen!)
0.58600303220722167f76.exe
0.34353543545435......exe
0.267247309092139g8j8.exe,NameFunEx
0.8026066230596752g8j8.exe
0.0960235604883457.exe,SuppS
0.946291205653154.exe
0.6320166330574836.exe
0.10498183127087102.exe
0.33569678855167673g8j8.exe (Trojan-Dropper.Win32.Injector.dady | Systemneuinstallation dringend empfohlen!)
0.7953118693246444g8j8.exe
0.30033250830365155g8j8.exe (TR/Reveton.A.184)
0.7953118693246444g8j8.exe (TR/Reveton.A.184)
0.401935813736633g8j8.exe
0.6168200138313323.exe
0.4842725994626874.exe,NameFunEx
0.6184834252348955.exe (Exploit.Drop.2 | Systemneuinstallation empfohlen!)
0.007437981144770123g8j8.exe (Exploit.Drop.4 | Systemneuinstallation empfohlen!)
0.007437981144770123g8j8.exe.lnk (Backdoor.Agent | Systemneuinstallation dringend empfohlen!)
0,7526325888860662.exe <- gefunden in C:\Windows\system32
0.4842725994626874.exe,NameFunEx
0.24219163768547014.exe
0.36400093304745307.exe
0.6005963018930901.exe
0.9613449764168891.exe
0.4461799926187692.exe,NameFunEx
0.09462267961451121.exe (Dateiversion 6.2.0.0, Sprache Englisch (USA))
0.4821827813744306.exe
0.4461799926187692.exe
0.8029887247464996.exe
0.9744621385510983.exe,NameFunEx
0.5325060348766615.exe,NameFunEx
0.5722892435372213h7i.exe,NameFunEx (Exploit.Drop.2 | Systemneuinstallation empfohlen!)
0.5626272896023891.exe,NameFunEx
0.14755829940499932h7i.exe,NameFunEx
0.2959586249879813h7i.exe
0.7794154708760309h7i.exe,NameFunEx
0.21822213503815202.exe
0.17671630731304755.exe
0.144405108295475966.exe
0.33685531893302737.exe
0.4339279668209778.exe
0.13614178833720103.exe,NameFunEx
0.4973672124658618h7i.exe,NameFunEx
0.08019274331668717.exe
0.6767551018087442.exe
0.938865573449454.exe
.907903283900291h7i.exe
0.03337769968898774.exe
0.41017550361627764.exe (Spyware.Zbot.ES | Systemneuinstallation unbedingt notwendig!)
0.01679531722450811h7i.exe
0.9961043174025365h7i.exe (Variante von Win32/Kryptik.ACVE Trojaner | Systemneuinstallation dringend empfohlen!)
0.6278917318245881.exe (Variant of Win32/Kryptik.ACTU trojan | Systemneuinstallation dringend empfohlen!)
0.11329861147313924h7i.exe
0.9912730046443926.exe,NameFunEx
0.2701594751435721.exe,NameFunEx
0.554663317683098.exe,NameFunEx
0.5332868679257184.exe
0.18664965581061443.exe
0.8901400141006671.exe,NameFunEx
0a50e25a83046228c11dcaa7eeed09bb.exe
abd2bca3e572e998a09f73c81b93454a.exe
0.8452960328897615.exe
0.08904533871884224.exe
0.6362649576383447.exe
0.41271295278489994.exe (Trojan.Downloader.Gen)
0.37298937120640796.exe (Exploit.Drop.2 | Systemneuinstallation empfohlen!)
0.3441299507190718.exe
0.20256573186974036.exe
0.46519059047965383h7i.exe (Exploit.Drop.4 | Systemneuinstallation empfohlen!)
0.6627820965342169.exe
0.9480361662122981.exe
0.5335925465986541.exe (Backdoor.Agent | Systemneuinstallation unbedingt notwendig!)
0.582827140466233.exe (Backdoor.Agent | Systemneuinstallation unbedingt notwendig!)
0.9955686063849455.exe
0.9961447210903437.exe
0.465630411569499.exe
0.589756159314683.exe
0.6244297454790242.exe
0.6872585783630056.exe
0.46522059989955455.exe (Trojan.FakeMS)
0.6448736618790077.exe
0.26683571266562445.exe
0.5331986115660997.exe
0.6388096959324029h7i.exe
0.5871714081734142.exe
0.762870170263496.exe
0.4627489927.exe
0.9032096590678262.exe
060B6EC7BE9ED/7A68B1F.exe <- gefunden unter ...\AppData\Roming\Qndfhnhuvum
0.27664745325294426.exe (Trojan.Agent.H | Systemneuinstalltion empfohlen!) <- gefunden in C:\Users\"Benutzername"\
0.2967173960169188.exe,F1122
0.8377439476597986.exe
0.006928416175035146.exe (Win32/Weelsof.B Trojaner | Systemneuinstallation dringend empfohlen!)
0.18053485749279974.exe (TR/Weelsof.A.23 | Systemneuinstallation dringend empfohlen!)
0.33722665228319226.exe
0.4291993941229507.exe (Trojan.Ransom.P | ) <- gefunden in ...\Appdata
0.061344123726653654.exe (Exploit.Drop.2 | Systemneuinstallation empfohlen!) <- gefunden in ...C:\Dokumente und Einstellungen\"Benutzername"\Lokale Einstellungen\Temp
0.061344123726653654.exe.lnk (Backdoor.Agent | Systemneuinstallation unbedingt notwendig!) <- gefunden in ...C:\Dokumente und Einstellungen\"Benutzername"\Startmenü\Programme\Autostart
0.7564938472629802.exe (Win32/Kryptik.AIBS Trojaner | Systemneuinstallation unbedingt notwendig!) <- gefunden in C:\Users\"Benutzername"
0.42498234051567574.exe (Trojan.Agent.Gen | ) <- gefunden in C:\Users\"Benutzername"
0.6543702478488053.exe (Variant.Strictor.5308 | )
0.7384859761068614.exe ( | ) <- gefunden in C:\Users\"Benutzername"
0.3804438633144489.exe ( | )
0.985089812325574.exe ( | ) <- gefunden in C:\Users\"Benutzername"
0.9835746474161482.exe (Trojan.Winlock | ) <- gefunden in C:\Users\"Benutzername"
0.6966114025592473.exe (Trojan.Winlock | ) <- gefunden in C:\Dokumente und Einstellungen\"Benutzername"

Dies geht über den Button Start > Ausführen > msconfig [ENTER]. Sollte dieser nicht erreichbar sein, so kann man es auch per [WindowsTaste]+[R] > msconfig [ENTER] probieren.

Letzte Möglichkeit an den Autostart des aktuellen Benutzers ranzukommen ist ist über den Taskmanager > Datei > Neuer Task (Ausführen...) > msconfig [OK]

Weiterhin nicht zu verachten, der regulär erreichbare Autostart über Start > Alle Programme > Autostart.

Unter WindowsXP Home Edition gibt es einen in der Regel ungesicherten Administrativen Zugang.
Dies kann im abgesicherten Modus genutzt werden um (wenn der Schädling es zu lässt) entweder den selbigen zu entfernen oder über die Systemsteuerung > Benutzerkonten einen neuen Administrativen Benuter anzulegen. Danach bootet man dann den Rechner OHNE Internet/WLan neu und loggt sich (am besten ebenfalls im abgesicherten Modus) als der neue Administrative Benutzer ein. Fortan kann man als dieser z.B. versuchen den Schädling loszuwerden.

Under Windeows Vista / Windows 7 Home Premium läuft es sehr ähnlich ab. Allerdings heißt der Lokale Administrative Benutzer meist schlicht "Admin". Sollte der eigentliche Admin mal aktiviert worden sein, so wäre das Benutzerkonto "Administrator". In der Regel sind diese Konten meines Wissens nach ebenfalls erstmal ohne Kennwortschutz.

Beschreibung gilt für Windows 7. Ist aber für Windows XP nicht viel anders!
Als erstes loggt man sich als ein Benutzer mit Administrativen Rechten ein...

Danach geht es folgendermaßen weiter:
+ Start
++ Systemsteuerung
++ Benutzerkonten (so heißt es im Ansichtsmodus „Große Symbole“)
+++ Benutzerkonten verwalten
+++ [Reiter Benutzer] wählen
+++ [Button] Hinzufügen… anklicken
+++ Name eingeben
+++ Administrator als Zugriffstufe festlegen
+ [Button] Fertigstellen drücken
Rechner neustarten und als neuer Benutzer anmelden.

Alternativ geht auch folgender Weg:
+ Start
+ [Rechte Maustaste auf] Computer
+ Verwaltung anklicken
++ Lokale Benutzer und Gruppen auswählen
+++ Benutzer auswählen
++++ [Rechte Maustaste] auf Benutzer
++++ Neuer Benutzer anlegen
++++ Name vergeben
++++ Kennwort vergeben
+++ [Button] Erstellen drücken
+++ Haken bei "Benutzer muss Kennwort bei der nächsten Anmeldung ändern“ entfernen
+ [Button] OK drücken.

++ Gruppen anwählen
+++ Administratoren anwählen
++++ [Button] Hinzufügen… anklicken
++++ Den neuen angelegten Benutzer auswählen
++ OK drücken
Rechner neustarten und als neuer Benutzer anmelden.

Die unsichtbaren meist Systemdateien kann man recht einfach im Windows-Explorer unter dem Menüpunkt Extras > Ordneroptionen > [Reiter] Ansicht unter den Punkten "Geschützte Systemdateien ausblenenden (empfohlen)" und "Ausgeblendete Dateien, Ordner und Laufwerke anzeigen" aktivieren bzw. deaktivieren.

Bei Windows 7 und Windows Vista ist dies sehr einfach.
Man lege die Installations-DVD ein und boote von dieser. Dann wählt man im ersten Menü die Sprache aus um dann einen Klick weiter die "Computerreperaturoptionen" anzuwählen. Ab dort wird man durchgeleitet um einen früheren Systemwiederherstellungspunkt wieder herzustellen.

Unter WindowsXP ist es noch etwas komplizierter. Man benötigt (soweit ich mich daran noch zurückerinnern kann *schmunzel*) noch Zugang zum System selbst, und wenn dies auch nur im Abgesicherten Modus wäre. Bekommt man diesen nicht, braucht man eine Boot-CD, wie z.B. einen ERD-Commander von Microsoft. (Diesen gibt es allerdings nur legal für MSDN-Kunden und fällt damit wohl für 98% aller Leute hier flach).

In den wohl meisten Fällen wirst Du/werden Sie eine Seite besucht haben, welche schon seit Jahren besucht wurde und nie etwas geschehen ist. Nun aber ist zum Beispiel einer von hunderten Werbebannern infiziert gewesen und hat genau jetzt zugeschlagen.
Es gibt auch die Möglichkeit das sich im Hintergrund ein PopUp geöffnet hat und dies den Schädling aufgerufen hat.
Oder es wurde ein Link angeklickt weil zum Beispiel mit einem Browserspiel geworben wurde.

Natürlich könnte man auch auf einer illegelan Webseite gewesen sein, bzw. mit nicht legalen Inhalten. Dann widerum geschieht es sogesehen (auch wenn das jetzt böse klingt) fast schon zurecht das man sich so etwas einfängt.

Theoretisch wäre auch eine Verbreitung per CD/DVD, USB-Stick, USB-Festplatte, Netzwerk denkbar. Dies ist aber mir bislang noch nicht aufgefallen/untergekommen.

Die Verteilung des Links zu diesem angeblichen BKA-Teil, ist bislang auch wohl ebenfalls noch recht selten per Mail versandt worden.

Auszug von evild3ad:
Der BKA-Trojaner wird primär über Webseiten mit pornografischem Inhalt verbreitet.
Die Infektion erfolgt dabei, ohne Interaktion des Nutzers, über eine ungepatchte Betriebssystem-, Browser- oder Anwendungsschwachstelle beim Zugriff auf den präparierten bzw. manipulierten Web-Server (Drive-By-Infektion).
z.B. Exploit.Java.CVE-2010-0840.b

Passend dazu, gibt es heute folgende News -> 30.000 WordPress-Blogs mit Fake-Antivirus infiziert.
Das betrifft zwar "andere" Malware, aber im Endeffekt ist es ja dann doch wieder ein "Einheitsbrei" und kann für das GEMA/BKA-Teil genau das selbe sein...

Die Webseitenbetreiber können dagegen erst dann was machen wenn Sie es wissen! Da die meisten Leute sich diese Ransomware “nebenbei” einfangen und mehrere Seiten offen haben, wissen Sie nicht woher sie es haben könnten und warum.

Viele Browser haben die Möglichkeit für Addons/Plugins. Wer sich im Firefox z.B. AdBlock+ und evtl. noch NoScript installiert wäre davor zu 98% geschützt.
Das Problem ist dann halt, das jede Seite erstmal fast nicht nutzbar ist, weil der Benutzer/die Benutzerin diese Seite im Addon (2 Klicks) freigeben muss.

Und selbst das kann dann trotz Jahrelang vertrauenswürdiger Webseite schief gehen!

Das Problem liegt in diesem Fall daran, das es im Endeffekt 2 Varianten gibt wie eine Webseite infiziert sein könnte. Das 1te. wäre eine Infektion der Webseite selbst.
Dies geschieht wenn der Webmaster nicht achtgibt und der Webserver z.B. gehackt worden ist oder die Seiten unsicher programmiert sind. Denn dann kann ein Externer Code in die Webseite einschleußen welcher bei jedem Aufruf dann ausgeführt wird. Die 2.te Variante sind Werbebanner.
Wie gesagt, fast jeder Browser zeigt diese erstmal an. Da auf einer Webseite durchaus mehrere hundert/tausend Werbebanner in Rotation vorhanden sein können, ist es sehr schwierig rauszufinden welcher Werbebanner von dem Kooperationspartner da infiziert ist.
Ich glaube Winfuture.de hatte auch mal das Problem. Es hat dort zum identifizieren des Banners ca. (glaube) 5 Stunden gebraucht. Danach aber noch viele weitere Stunden bis der Kooperationspartner diesen Banner aus seiner Rotation rausgenommen hat.
Solange hätte jeder z.B. 100ste Besucher im schlechsten Fall einen Schädling untergeschoben bekommen. Da Winfuture.de das nicht riskieren konnte/wollte, haben Sie für diese Zeit die Werbung halt komplett abgeschaltet und lieber auf die Einnahmen verzichtet.

Wie man sieht, es ist definitiv nicht einfach bei alleine diesen beiden Methoden dieser “Last” Herr zu werden.

Eine genaue Erklärung muss ich dabei Schuldig bleiben. Aber zumindest kommt diese Art von Schädling bislang eigentlich ALLEN Fällen die mir bekannt sind an wohl nicht aktuellem JAVA vorbei. Bis der Virenscanner dies erkannt hat, ist es dann leider zu spät.
Java lässt sich eigentlich ganz einfach per Besuch der Webseite http://www.java.com aktuell halten. Noch einfacher ist das eigentlich immer wieder auftauchende Icon (orange) in der Taskleiste/Superbar bei der Systemuhr.
Dort den Download bestätigen und aktuell halten/bleiben. Der beste schutz gegen JAVA-Viren ist damit zumindest schon mal in Kraft. Nagut noch besser ist natürlich JAVA gar nicht auf dem System installiert zu haben. Da es aber häufig gebraucht wird, ist das leider nicht in allen Fällen möglich.

Zu JAVA gehört die jusched.exe welche im Autostart aktiviert sein sollte dazu. Diese Datei ist also, insofern sie nicht selbst infiziert wurde, eine ganz reguläre Datei und sollte nicht gelöscht werden.

Der Schädling selbst ist kein reiner Virus. Namentlich nennt sich solche Software “Ransomware”.
Prinzipiell richtet das Teil von sich ja auch erst mal keinen “Schaden” an. Es blockiert “nur”.
Und genau das wird zusammen mit der Erkennungsgeschwindigkeit des jeweiligen Scanners das Problem darstellen.

Die Virenscanner prüfen auf “reine” Viren nicht unbedingt aber auch auf Änderungen an nicht Systemdateien.
Weiterhin muss auch keine Prüfung zu sehen sein, weil viele User/Userinnen als Lokale Administrative Benutzer angemeldet sind (besonders bei Heimrechner).

Entsprechend kann ein Browser & Betriebssystemhersteller machen was er will. Es nützt nichts wenn ein User/eine Userin als lokaler Admin dran ist, evtl. auch noch UAC (User Access Control unter WindowsVista/Windows7) runtergestellt oder gar ausgeschaltet haben und dann noch JAVA für Browserspiele nutzen und dies dann nicht aktuell halten.

Die Verantwortung für solche Probleme liegt dann leider einzig und alleine beim User/bei der Userin.

Sollte ein WindowsXP-System keine *.exe-Dateien mehr ausführen können, dann hilft dieser Registry-Fix weiter (Rechte Maustaste > Ziel speichern unter... > Fix ausführen):
WindowsXP *.exe-Dateizuordnungen nach Virusbefall wiederherstellen

Klar wäre es das. Aber warum "Verbrechern" dieser Art auch noch Geld schenken?
Simple Antwort. Weil danach das selbe Bild zu 99% immernoch herrschen würde. Sprich Geld für immer weg, Schädling weiterhin da!
Es gibt sogar Varianten solcher oder ähnlicher Schädlinge welche NACH dem Bezahlen sogar noch mehr Schädlinge runterladen und damit das System meist komplett lahmlegen und eine Neuinstallation unabdingbar machen.

Wenn Du/sie die Geldsumme eintragen, so bleibt bei allen bis jetzt bekannten Varianten der Bildschirm unverändert. Im hintergrund aber, und das lässt sich mit geeigeneten Tools mitschneiden, wird der eingetragene Code an eine bzw. mehrere IPs übertragen. eine zusätzliche Meldung MUSS NICHT erscheinen, kann aber (je nach Variante).

Ja und Nein.
Die bisherigen Varianten welche man "zurückverfolgen" konnte, kamen alle augenscheinlich aus den USA oder aus der Ukraine. Das blöde an der Geschichte ist, das die IP (sowas wie bei Dir/Ihnen zuhause z.B: 192.168.1.2, nur halt global fürs Internet) nicht diejenige sein wird hinter der diese "Verbrecher" tatsächlich sitzen.
Mittlerweile gibt es genug Möglichkeiten um (wie man ja merkt) Tage/Wochen/Monate unerkannt bleiben zu können. Es lässt sich zwar im Endeffekt fast alles zurückverfolgen. Die Frage ist dann aber eher wie viel Aufwand und Zeit steckt man darein.
Im Endeffekt hört für die meisten Behörden - zumindest meiner subjektiven Meinung nach - nach ein paar Versuchen der Spaß erst mal auf und man versucht es evtl. später nochmal, wenn man mehr Kapaziäten etc. hat oder die Gesamtmenge der Meldung sich dermaßen erhöht hat.
Melden kann man sich mit diesem Problem in Deutschland beim BSI (Bundesamt für Sicherheit in der Informationstechnik):

Computer-Viren, Schadprogrammen
eMail an: antivir@bsi.bund.de
Telefonisch unter: 01805 274100 [1]

Oder wohl auch unter:
Blog.botfrei.de - Kontakt

Eine Meldung bei der Örtlichen Polizeibehörde wird oftmals wenig Erfolg haben, da man dort cermutlich mit einer Aussage wie "Wir können damit nichts anfangen, wir sind ja keine Computer-Spezialisten" kommen wird.^^

Zu einer Anzeige wird allerdings dennoch jeder Anwalt der sich mit Internetrecht befasst, raten.

Ich stehe Dir/Ihnen auch persönlich, gegen eine (kleine) Unkostenpauschale, nach Termin & Ortsabsprache zur Verfügung. Voraussetzung ist allerdings das Du/Sie in der Umgebung von Frankfurt (am Main) wohnst/wohnen.
Ich würde dann entweder zu Dir/Ihnen kommen oder Du/Sie kommen hier her. Daraufhin würde ich dann den PC/Laptop untersuchen und versuchen dem Schädling Herr zu werden.

In seltenen Fälle kann es aber natürlich dennoch vorkommen, so wie bei regulären Kunden in der Firma in welcher ich Hauptberuflich arbeite, das eine Neuinstallation mit vorheriger Datensicherung unabdingbar ist/wäre.

Voraussetzung: Man kann in die Registry rein.

WinTotal hat dies sehr gut beschrieben... (Klick)

Voraussetzung: Man kann in die Registry rein.

Eine ebenfalls bebilderte Beschreibung von Daniel Weihmann höchstselbst... (Klick)

Voraussetzung: Man kann in die Registry rein.

WinTotal hat dies sehr gut beschrieben... (Klick)

Voraussetzung: Man kann in die Registry rein.

Original-Anleitung von Microsoft selbst... (Klick)

Alternative (Danke an Bernd K.): In der Registry unter dem Schlüssel
[HKEY_Current_User\Software\Microsoft\Windows NT\TaskManager] die beiden REG_BINARY-Werte  "Preferences"  und  "UsrColumnSettings"
löschen.
Der Taskmanager legt sie beim nächsten Aufruf mit sauberen Standard-Werten wieder an.

Voraussetzung: Man kann als Administrativer Benutzer an das System angemeldet werden.

WinTotal hat dies sehr gut beschrieben... (Klick)

Voraussetzung: Man kann in die Registry rein.

Dr.Windows hat dies sehr gut beschrieben... (Klick)

Voraussetzung: Man kann in die Registry rein.
Voraussetzung: Kentnisse dessen was man da tut, denn es ist nicht ganz simpel und damit nichts zum "einfach mal so machen"!

PC-Welt hat dies recht gut beschrieben... (Klick)