Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: BOO/TDss.M im Masterbootsektor/HD0 entdeckt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.07.2011, 11:12   #1
Ifron
 
BOO/TDss.M im Masterbootsektor/HD0 entdeckt - Standard

BOO/TDss.M im Masterbootsektor/HD0 entdeckt



Einen schönen guten Tag,

ich habe auf meinem Laptop während der letzten Virenprüfung mit Avira Antivir feststellen müssen, dass ich einen Virus "BOO/TDss.M" im Masterbootsektor/HD0 habe. Nach beendigung des Avira Suchlaufs wurde der restsuchlauf beendet und mir wurden komischerweise 0 Funde angezeigt. Seit dem wird mir bei jedem Neustart des PCs durch ein Avira Popup angezeigt das der Virus noch da ist (auch wenn ich in besagtem Popup auf "Entfernen" klicke). Dadurch das der Laptop auch von meiner (mittlerweile) Ex-freundin genutzt wurde, kann ich leider keine genauen Angaben dazu machen, auf welchen Websites sie war oder ob sie irgentwelche Datein runtergeladen hat die zu diesem Virus geführt haben könnten. Das Hochfahren des Laptops dauert echt ewig mittlerweile. Verschiedene Internetseiten haben sich in meinem Browser auch geöffnet, das kam aber bis auf das eine mal nicht mehr vor. Unternommen habe ich noch nicht wirklich viel, außer das ich bestimmt 5 mal einen Virenscan mit Avira durchgeührt habe und mir (auf anraten des Antivirenprogramms) ein Bootsektor Repair tool runtergeladen hab, was ich aber noch nicht genutzt habe, da das Prog es ja nicht mal schafft den Virus zu entfernen. Die defogger und OTL logs sind im Anhang gezipt. ich hoffe ihr könnt mir helfen... An dem Laptop arbeite ich nämlich auch, und wenn der nicht mehr zu gebrauchen wäre, dann wär das.... schon recht schade, um es mal so zu sagen

Alt 23.07.2011, 14:47   #2
M-K-D-B
/// TB-Ausbilder
 
BOO/TDss.M im Masterbootsektor/HD0 entdeckt - Standard

BOO/TDss.M im Masterbootsektor/HD0 entdeckt





Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:
  • Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
  • Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
  • Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
  • Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
  • Bitte kein Crossposting (posten in mehreren Foren).
  • Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
  • Bitte füge alle Logfiles in sog. Codeboxen ein. Das Symbol dafür findest du über dem Textfeld, es sieht in etwa so aus: #.
  • Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
  • Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.


Ich bereite jetzt einen Fix vor und melde mich so bald als möglich mit weiteren Anweisungen.
__________________

__________________

Alt 23.07.2011, 15:04   #3
M-K-D-B
/// TB-Ausbilder
 
BOO/TDss.M im Masterbootsektor/HD0 entdeckt - Standard

BOO/TDss.M im Masterbootsektor/HD0 entdeckt



Hallo Ifron,






Schritt # 1: FileSharing Programme
Ich sehe das Du sogenannte Peer to Peer oder Filesharing Programme verwendest.

In deinem Fall µTorrent.

Diese Programme erlauben es Dir, Daten mit anderen Usern auszutauschen.

Leider ist auch p2p oder Filesharing nicht ausgenommen, infizierte Dateien zu verteilen und ist auch ein Grund warum sich Malware so schnell verbreitet.
Es ist also möglich, dass Du Dir eine Infizierte Datei herunter ladest. Du kannst niemals wissen, woher diese stammen. Daher sollte diese Art Software mit äußerster Vorsicht benutzt werden.

Ein ebenfalls wichtiger Punkt ist, dass das Verbreiten von Media und Entertainment Dateien in den meisten Ländern der Welt gegen Copyright Rechte verstößt.
Natürlich gibt es auch einen legalen Weg zur Nutzung dieses Service. Zum Beispiel zum Downloaden von Linux oder Open Office.
Denoch würde ich Dich ersuchen, diese Art von Software nicht weiterhin zu verwenden.
Bitte gehe zu

Start --> Systemsteuerung --> Programme deinstallieren

und deinstalliere die oben genannte Software.

Bitte sag bescheid wenn Du eines der gelisteten Programme nicht finden kannst.





Schritt # 2: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • eine Rückmeldung bezüglich der Deinstallation von uTorrent und
  • das Logfile von aswMBR.
__________________
__________________

Alt 23.07.2011, 17:46   #4
Ifron
 
BOO/TDss.M im Masterbootsektor/HD0 entdeckt - Standard

BOO/TDss.M im Masterbootsektor/HD0 entdeckt



Vielen Dank für die wirklich schnelle Antwort als aller erstes.

Zum Thema UTorrent: Ich habe mir das mal runtergeladen weil ich auf chip.de die Möglichkeit gesehen habe das man eben auch Torrents runterladen kann und das mal geschwindigkeitsmäßig testen wollte. Das das so unsicher ist wusste ich nicht. Das Programm befindet sich auf einer externen Festplatte zu der ich keinen Zugriff mehr habe, Deinstallieren war also weder möglich noch nötig. ^^

Hier die Logfiles von aswMBR:

Code:
ATTFilter
aswMBR version 0.9.8.977 Copyright(c) 2011 AVAST Software
Run date: 2011-07-23 18:25:18
-----------------------------
18:25:18.172    OS Version: Windows x64 6.1.7600 
18:25:18.172    Number of processors: 2 586 0x2505
18:25:18.188    ComputerName: ANN-MARIE-1  UserName: Ann-Marie
18:25:21.526    Initialize success
18:26:09.955    AVAST engine defs: 11072301
18:26:33.745    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
18:26:33.745    Disk 0 Vendor: WDC_WD50 01.0 Size: 476940MB BusType: 3
18:26:33.761    Device \Driver\iaStor -> MajorFunction fffffa8004ad16c0
18:26:35.773    Disk 0 MBR read successfully
18:26:35.773    Disk 0 MBR scan
18:26:35.804    Disk 0 MBR:Alureon-G [Rtk]
18:26:35.804    Disk 0 TDL4@MBR code has been found
18:26:35.820    Disk 0 MBR hidden
18:26:35.820    Disk 0 MBR [TDL4]  **ROOTKIT**
18:26:35.835    Disk 0 trace - called modules:
18:26:35.835    ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0xfffffa8004ad16c0]<<
18:26:35.835    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004ab7760]
18:26:35.851    3 CLASSPNP.SYS[fffff88001abf43f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa80048ee050]
18:26:35.851    \Driver\iaStor[0xfffffa8004acee70] -> IRP_MJ_CREATE -> 0xfffffa8004ad16c0
18:26:38.082    AVAST engine scan C:\Windows
18:26:43.183    AVAST engine scan C:\Windows\system32
18:28:38.062    AVAST engine scan C:\Windows\system32\drivers
18:28:49.496    AVAST engine scan C:\Users\Ann-Marie
18:31:19.243    File: C:\Users\Ann-Marie\AppData\Local\Temp\Temp1_MagicISO_5.xx.zip\patch.exe  **INFECTED** Win32:Trojan-gen
18:32:23.702    File: C:\Users\Ann-Marie\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56\43cab8f8-578d78f2  **INFECTED** Win32:Kryptik-DUX [Trj]
18:35:03.540    AVAST engine scan C:\ProgramData
18:37:28.480    Scan finished successfully
18:39:42.484    Disk 0 MBR has been saved successfully to "C:\Users\Ann-Marie\Desktop\MBR.dat"
18:39:42.484    The log file has been saved successfully to "C:\Users\Ann-Marie\Desktop\aswMBR.txt"
         

Alt 23.07.2011, 18:30   #5
M-K-D-B
/// TB-Ausbilder
 
BOO/TDss.M im Masterbootsektor/HD0 entdeckt - Standard

BOO/TDss.M im Masterbootsektor/HD0 entdeckt



Hallo Ifron,



Zitat:
Zitat von Ifron Beitrag anzeigen
Das Programm befindet sich auf einer externen Festplatte zu der ich keinen Zugriff mehr habe, Deinstallieren war also weder möglich noch nötig. ^^
Laut dem Logfile von OTL ist uTorrent auf dem Rechner installiert. Folglich solltest du es auch über die Systemsteuerung deinstallieren können. Oder verstehe ich hier etwas falsch? Findest du uTorrent nicht in der Liste unter Systemsteuerung -> Programme deinstallieren? Es gibt mehrere Wege, diese Software von deinem Rechner zu entfernen.

Hast du eine Windows 7 DVD zur Hand? Wenn ja, handelt es sich dabei um eine normale Windows DVD oder eine Recovery DVD? Was steht genau drauf?
Du hast u.a. ein Rootkit im Master Boot Sektor. So gehts weiter:





Schritt # 1: TDSS Killer ausführen
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.
  • Schließe alle laufenden Programme.
  • Trenne dich von Internet.
  • Deaktiviere deine AntiViren Software.
  • Starte TDSSkiller.exe mit Doppelklick.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Drücke auf Start scan.
    Mache während dem Scan nichts am Rechner
    1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
    2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
      Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
  • Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
  • Bitte poste mir den Inhalt hier in deinen Thread.




Schritt # 2: ComboFix ausführen
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop
  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
  • ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
  • Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.
**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • die Beantwortung der gestellten Fragen,
  • das Logfile des TDSS Killers und
  • das Logfile von ComboFix.

__________________
Grüße aus Bayern

=========================

Das Trojaner-Board unterstützen

Alt 23.07.2011, 19:17   #6
Ifron
 
BOO/TDss.M im Masterbootsektor/HD0 entdeckt - Standard

BOO/TDss.M im Masterbootsektor/HD0 entdeckt



Bevor ich weiter mache, wollte ich noch sagen, dass ich keine Win 7 DVD besitze, da ich keine bekommen habe als ich diesen Laptop gekauft habe. Sollte ich die angegebenen Schritte trotzdem ausführen, oder muss ich unbedingt eine Win 7 DVD dazu haben?
Zu dem Torrent Programm: Soweit ich mich erinnern kann habe ich dieses Programm vor einiger Zeit über meinen Laptop auf eine externe Festplatte installiert. Als ich versucht habe es zu deinstallieren kam eine Meldung die besagte, dass das besagte Programm nicht deinstalliert werden konnte, da der Dateipfad nciht gefunden wurde... Ich bin nicht so der PC kenner... gibt es einen weg wie ich es trotzdem deinstallieren kann bzw. wie ich herausfinden kann ob es doch auf meinen Laptop installiert ist?

Alt 23.07.2011, 19:21   #7
M-K-D-B
/// TB-Ausbilder
 
BOO/TDss.M im Masterbootsektor/HD0 entdeckt - Standard

BOO/TDss.M im Masterbootsektor/HD0 entdeckt



Hallo Ifron,


Zitat:
Zitat von Ifron Beitrag anzeigen
Zu dem Torrent Programm: Soweit ich mich erinnern kann habe ich dieses Programm vor einiger Zeit über meinen Laptop auf eine externe Festplatte installiert. Als ich versucht habe es zu deinstallieren kam eine Meldung die besagte, dass das besagte Programm nicht deinstalliert werden konnte, da der Dateipfad nciht gefunden wurde... Ich bin nicht so der PC kenner... gibt es einen weg wie ich es trotzdem deinstallieren kann bzw. wie ich herausfinden kann ob es doch auf meinen Laptop installiert ist?
Darum kümmern wir uns später. Die Bereinigung ist wichtiger.


Zitat:
Zitat von Ifron Beitrag anzeigen
Bevor ich weiter mache, wollte ich noch sagen, dass ich keine Win 7 DVD besitze, da ich keine bekommen habe als ich diesen Laptop gekauft habe. Sollte ich die angegebenen Schritte trotzdem ausführen, oder muss ich unbedingt eine Win 7 DVD dazu haben?
Du kannst loslegen!

Ich warte auf deine Rückmeldung.
__________________
Grüße aus Bayern

=========================

Das Trojaner-Board unterstützen

Alt 23.07.2011, 20:04   #8
Ifron
 
BOO/TDss.M im Masterbootsektor/HD0 entdeckt - Standard

BOO/TDss.M im Masterbootsektor/HD0 entdeckt



Hier die Logfiles:

erst der tdsskiller log

Code:
ATTFilter
2011/07/23 20:30:47.0700 1976	TDSS rootkit removing tool 2.5.11.0 Jul 11 2011 16:56:56
2011/07/23 20:30:47.0856 1976	================================================================================
2011/07/23 20:30:47.0856 1976	SystemInfo:
2011/07/23 20:30:47.0856 1976	
2011/07/23 20:30:47.0856 1976	OS Version: 6.1.7600 ServicePack: 0.0
2011/07/23 20:30:47.0856 1976	Product type: Workstation
2011/07/23 20:30:47.0856 1976	ComputerName: ANN-MARIE-1
2011/07/23 20:30:47.0856 1976	UserName: Ann-Marie
2011/07/23 20:30:47.0856 1976	Windows directory: C:\Windows
2011/07/23 20:30:47.0856 1976	System windows directory: C:\Windows
2011/07/23 20:30:47.0856 1976	Running under WOW64
2011/07/23 20:30:47.0856 1976	Processor architecture: Intel x64
2011/07/23 20:30:47.0856 1976	Number of processors: 2
2011/07/23 20:30:47.0856 1976	Page size: 0x1000
2011/07/23 20:30:47.0856 1976	Boot type: Normal boot
2011/07/23 20:30:47.0856 1976	================================================================================
2011/07/23 20:30:48.0324 1976	Initialize success
2011/07/23 20:30:55.0531 4864	================================================================================
2011/07/23 20:30:55.0531 4864	Scan started
2011/07/23 20:30:55.0531 4864	Mode: Manual; 
2011/07/23 20:30:55.0531 4864	================================================================================
2011/07/23 20:30:56.0217 4864	1394ohci        (1b00662092f9f9568b995902f0cc40d5) C:\Windows\system32\DRIVERS\1394ohci.sys
2011/07/23 20:30:56.0326 4864	ACPI            (6f11e88748cdefd2f76aa215f97ddfe5) C:\Windows\system32\DRIVERS\ACPI.sys
2011/07/23 20:30:56.0592 4864	AcpiPmi         (63b05a0420ce4bf0e4af6dcc7cada254) C:\Windows\system32\DRIVERS\acpipmi.sys
2011/07/23 20:30:56.0701 4864	adp94xx         (2f6b34b83843f0c5118b63ac634f5bf4) C:\Windows\system32\DRIVERS\adp94xx.sys
2011/07/23 20:30:56.0826 4864	adpahci         (597f78224ee9224ea1a13d6350ced962) C:\Windows\system32\DRIVERS\adpahci.sys
2011/07/23 20:30:56.0982 4864	adpu320         (e109549c90f62fb570b9540c4b148e54) C:\Windows\system32\DRIVERS\adpu320.sys
2011/07/23 20:30:57.0153 4864	AFD             (b9384e03479d2506bc924c16a3db87bc) C:\Windows\system32\drivers\afd.sys
2011/07/23 20:30:57.0278 4864	agp440          (608c14dba7299d8cb6ed035a68a15799) C:\Windows\system32\DRIVERS\agp440.sys
2011/07/23 20:30:57.0403 4864	aliide          (5812713a477a3ad7363c7438ca2ee038) C:\Windows\system32\DRIVERS\aliide.sys
2011/07/23 20:30:57.0512 4864	amdide          (1ff8b4431c353ce385c875f194924c0c) C:\Windows\system32\DRIVERS\amdide.sys
2011/07/23 20:30:57.0621 4864	AmdK8           (7024f087cff1833a806193ef9d22cda9) C:\Windows\system32\DRIVERS\amdk8.sys
2011/07/23 20:30:57.0746 4864	AmdPPM          (1e56388b3fe0d031c44144eb8c4d6217) C:\Windows\system32\DRIVERS\amdppm.sys
2011/07/23 20:30:57.0871 4864	amdsata         (7a4b413614c055935567cf88a9734d38) C:\Windows\system32\DRIVERS\amdsata.sys
2011/07/23 20:30:57.0996 4864	amdsbs          (f67f933e79241ed32ff46a4f29b5120b) C:\Windows\system32\DRIVERS\amdsbs.sys
2011/07/23 20:30:58.0105 4864	amdxata         (b4ad0cacbab298671dd6f6ef7e20679d) C:\Windows\system32\DRIVERS\amdxata.sys
2011/07/23 20:30:58.0245 4864	AmUStor         (391887990cdaa83de5c56c3fde966da1) C:\Windows\system32\drivers\AmUStor.SYS
2011/07/23 20:30:58.0401 4864	ApfiltrService  (fab590e0fc28cb474b965f8267458e14) C:\Windows\system32\DRIVERS\Apfiltr.sys
2011/07/23 20:30:58.0510 4864	AppID           (42fd751b27fa0e9c69bb39f39e409594) C:\Windows\system32\drivers\appid.sys
2011/07/23 20:30:58.0666 4864	arc             (c484f8ceb1717c540242531db7845c4e) C:\Windows\system32\DRIVERS\arc.sys
2011/07/23 20:30:58.0744 4864	arcsas          (019af6924aefe7839f61c830227fe79c) C:\Windows\system32\DRIVERS\arcsas.sys
2011/07/23 20:30:58.0869 4864	AsyncMac        (769765ce2cc62867468cea93969b2242) C:\Windows\system32\DRIVERS\asyncmac.sys
2011/07/23 20:30:58.0978 4864	atapi           (02062c0b390b7729edc9e69c680a6f3c) C:\Windows\system32\DRIVERS\atapi.sys
2011/07/23 20:30:59.0119 4864	athr            (e642491f64e58cd5bc8fb8b347dcf65f) C:\Windows\system32\DRIVERS\athrx.sys
2011/07/23 20:30:59.0322 4864	atksgt          (09149d03629a44f4773e621c432d1d89) C:\Windows\system32\DRIVERS\atksgt.sys
2011/07/23 20:30:59.0509 4864	avgntflt        (b1224e6b086cd6548315b04ab575a23e) C:\Windows\system32\DRIVERS\avgntflt.sys
2011/07/23 20:30:59.0634 4864	avipbb          (ed45f12cfa62b83765c9c1496758cc87) C:\Windows\system32\DRIVERS\avipbb.sys
2011/07/23 20:30:59.0805 4864	b06bdrv         (3e5b191307609f7514148c6832bb0842) C:\Windows\system32\DRIVERS\bxvbda.sys
2011/07/23 20:30:59.0961 4864	b57nd60a        (b5ace6968304a3900eeb1ebfd9622df2) C:\Windows\system32\DRIVERS\b57nd60a.sys
2011/07/23 20:31:00.0148 4864	BCM43XX         (9e84a931dbee0292e38ed672f6293a99) C:\Windows\system32\DRIVERS\bcmwl664.sys
2011/07/23 20:31:00.0351 4864	Beep            (16a47ce2decc9b099349a5f840654746) C:\Windows\system32\drivers\Beep.sys
2011/07/23 20:31:00.0476 4864	blbdrive        (61583ee3c3a17003c4acd0475646b4d3) C:\Windows\system32\DRIVERS\blbdrive.sys
2011/07/23 20:31:00.0601 4864	bowser          (91ce0d3dc57dd377e690a2d324022b08) C:\Windows\system32\DRIVERS\bowser.sys
2011/07/23 20:31:00.0694 4864	BrFiltLo        (f09eee9edc320b5e1501f749fde686c8) C:\Windows\system32\DRIVERS\BrFiltLo.sys
2011/07/23 20:31:00.0741 4864	BrFiltUp        (b114d3098e9bdb8bea8b053685831be6) C:\Windows\system32\DRIVERS\BrFiltUp.sys
2011/07/23 20:31:00.0788 4864	Brserid         (43bea8d483bf1870f018e2d02e06a5bd) C:\Windows\System32\Drivers\Brserid.sys
2011/07/23 20:31:00.0819 4864	BrSerWdm        (a6eca2151b08a09caceca35c07f05b42) C:\Windows\System32\Drivers\BrSerWdm.sys
2011/07/23 20:31:00.0866 4864	BrUsbMdm        (b79968002c277e869cf38bd22cd61524) C:\Windows\System32\Drivers\BrUsbMdm.sys
2011/07/23 20:31:00.0897 4864	BrUsbSer        (a87528880231c54e75ea7a44943b38bf) C:\Windows\System32\Drivers\BrUsbSer.sys
2011/07/23 20:31:01.0006 4864	BTHMODEM        (9da669f11d1f894ab4eb69bf546a42e8) C:\Windows\system32\DRIVERS\bthmodem.sys
2011/07/23 20:31:01.0131 4864	cdfs            (b8bd2bb284668c84865658c77574381a) C:\Windows\system32\DRIVERS\cdfs.sys
2011/07/23 20:31:01.0240 4864	cdrom           (83d2d75e1efb81b3450c18131443f7db) C:\Windows\system32\DRIVERS\cdrom.sys
2011/07/23 20:31:01.0381 4864	circlass        (d7cd5c4e1b71fa62050515314cfb52cf) C:\Windows\system32\DRIVERS\circlass.sys
2011/07/23 20:31:01.0474 4864	CLFS            (fe1ec06f2253f691fe36217c592a0206) C:\Windows\system32\CLFS.sys
2011/07/23 20:31:01.0662 4864	CmBatt          (0840155d0bddf1190f84a663c284bd33) C:\Windows\system32\DRIVERS\CmBatt.sys
2011/07/23 20:31:01.0740 4864	cmdide          (e19d3f095812725d88f9001985b94edd) C:\Windows\system32\DRIVERS\cmdide.sys
2011/07/23 20:31:01.0802 4864	CNG             (f95fd4cb7da00ba2a63ce9f6b5c053e1) C:\Windows\system32\Drivers\cng.sys
2011/07/23 20:31:01.0958 4864	Compbatt        (102de219c3f61415f964c88e9085ad14) C:\Windows\system32\DRIVERS\compbatt.sys
2011/07/23 20:31:02.0083 4864	CompositeBus    (f26b3a86f6fa87ca360b879581ab4123) C:\Windows\system32\DRIVERS\CompositeBus.sys
2011/07/23 20:31:02.0192 4864	crcdisk         (1c827878a998c18847245fe1f34ee597) C:\Windows\system32\DRIVERS\crcdisk.sys
2011/07/23 20:31:02.0364 4864	DfsC            (3f1dc527070acb87e40afe46ef6da749) C:\Windows\system32\Drivers\dfsc.sys
2011/07/23 20:31:02.0442 4864	discache        (13096b05847ec78f0977f2c0f79e9ab3) C:\Windows\system32\drivers\discache.sys
2011/07/23 20:31:02.0488 4864	Disk            (9819eee8b5ea3784ec4af3b137a5244c) C:\Windows\system32\DRIVERS\disk.sys
2011/07/23 20:31:02.0613 4864	drmkaud         (9b19f34400d24df84c858a421c205754) C:\Windows\system32\drivers\drmkaud.sys
2011/07/23 20:31:02.0785 4864	DXGKrnl         (24ce1ecf9d0ae0301775b07f5fea175b) C:\Windows\System32\drivers\dxgkrnl.sys
2011/07/23 20:31:03.0034 4864	ebdrv           (dc5d737f51be844d8c82c695eb17372f) C:\Windows\system32\DRIVERS\evbda.sys
2011/07/23 20:31:03.0300 4864	elxstor         (0e5da5369a0fcaea12456dd852545184) C:\Windows\system32\DRIVERS\elxstor.sys
2011/07/23 20:31:03.0378 4864	ErrDev          (34a3c54752046e79a126e15c51db409b) C:\Windows\system32\DRIVERS\errdev.sys
2011/07/23 20:31:03.0487 4864	exfat           (a510c654ec00c1e9bdd91eeb3a59823b) C:\Windows\system32\drivers\exfat.sys
2011/07/23 20:31:03.0549 4864	fastfat         (0adc83218b66a6db380c330836f3e36d) C:\Windows\system32\drivers\fastfat.sys
2011/07/23 20:31:03.0643 4864	fdc             (d765d19cd8ef61f650c384f62fac00ab) C:\Windows\system32\DRIVERS\fdc.sys
2011/07/23 20:31:03.0721 4864	FileInfo        (655661be46b5f5f3fd454e2c3095b930) C:\Windows\system32\drivers\fileinfo.sys
2011/07/23 20:31:03.0783 4864	Filetrace       (5f671ab5bc87eea04ec38a6cd5962a47) C:\Windows\system32\drivers\filetrace.sys
2011/07/23 20:31:03.0908 4864	flpydisk        (c172a0f53008eaeb8ea33fe10e177af5) C:\Windows\system32\DRIVERS\flpydisk.sys
2011/07/23 20:31:03.0970 4864	FltMgr          (f7866af72abbaf84b1fa5aa195378c59) C:\Windows\system32\drivers\fltmgr.sys
2011/07/23 20:31:04.0064 4864	FsDepends       (d43703496149971890703b4b1b723eac) C:\Windows\system32\drivers\FsDepends.sys
2011/07/23 20:31:04.0189 4864	fssfltr         (6c06701bf1db05405804d7eb610991ce) C:\Windows\system32\DRIVERS\fssfltr.sys
2011/07/23 20:31:04.0298 4864	Fs_Rec          (e95ef8547de20cf0603557c0cf7a9462) C:\Windows\system32\drivers\Fs_Rec.sys
2011/07/23 20:31:04.0423 4864	fvevol          (ae87ba80d0ec3b57126ed2cdc15b24ed) C:\Windows\system32\DRIVERS\fvevol.sys
2011/07/23 20:31:04.0548 4864	gagp30kx        (8c778d335c9d272cfd3298ab02abe3b6) C:\Windows\system32\DRIVERS\gagp30kx.sys
2011/07/23 20:31:04.0704 4864	GEARAspiWDM     (e403aacf8c7bb11375122d2464560311) C:\Windows\system32\DRIVERS\GEARAspiWDM.sys
2011/07/23 20:31:04.0860 4864	hcw85cir        (f2523ef6460fc42405b12248338ab2f0) C:\Windows\system32\drivers\hcw85cir.sys
2011/07/23 20:31:04.0953 4864	HdAudAddService (6410f6f415b2a5a9037224c41da8bf12) C:\Windows\system32\drivers\HdAudio.sys
2011/07/23 20:31:05.0125 4864	HDAudBus        (0a49913402747a0b67de940fb42cbdbb) C:\Windows\system32\DRIVERS\HDAudBus.sys
2011/07/23 20:31:05.0234 4864	HECIx64         (b6ac71aaa2b10848f57fc49d55a651af) C:\Windows\system32\DRIVERS\HECIx64.sys
2011/07/23 20:31:05.0359 4864	HidBatt         (78e86380454a7b10a5eb255dc44a355f) C:\Windows\system32\DRIVERS\HidBatt.sys
2011/07/23 20:31:05.0421 4864	HidBth          (7fd2a313f7afe5c4dab14798c48dd104) C:\Windows\system32\DRIVERS\hidbth.sys
2011/07/23 20:31:05.0468 4864	HidIr           (0a77d29f311b88cfae3b13f9c1a73825) C:\Windows\system32\DRIVERS\hidir.sys
2011/07/23 20:31:05.0624 4864	HidUsb          (b3bf6b5b50006def50b66306d99fcf6f) C:\Windows\system32\DRIVERS\hidusb.sys
2011/07/23 20:31:05.0733 4864	HpSAMD          (0886d440058f203eba0e1825e4355914) C:\Windows\system32\DRIVERS\HpSAMD.sys
2011/07/23 20:31:05.0796 4864	HTTP            (cee049cac4efa7f4e1e4ad014414a5d4) C:\Windows\system32\drivers\HTTP.sys
2011/07/23 20:31:05.0858 4864	hwpolicy        (f17766a19145f111856378df337a5d79) C:\Windows\system32\drivers\hwpolicy.sys
2011/07/23 20:31:05.0952 4864	i8042prt        (fa55c73d4affa7ee23ac4be53b4592d3) C:\Windows\system32\DRIVERS\i8042prt.sys
2011/07/23 20:31:06.0076 4864	iaStor          (abbf174cb394f5c437410a788b7e404a) C:\Windows\system32\DRIVERS\iaStor.sys
2011/07/23 20:31:06.0186 4864	iaStorV         (d83efb6fd45df9d55e9a1afc63640d50) C:\Windows\system32\DRIVERS\iaStorV.sys
2011/07/23 20:31:06.0544 4864	igfx            (2a22ab054f4630d2ef4bab2853f6d5f6) C:\Windows\system32\DRIVERS\igdkmd64.sys
2011/07/23 20:31:06.0903 4864	iirsp           (5c18831c61933628f5bb0ea2675b9d21) C:\Windows\system32\DRIVERS\iirsp.sys
2011/07/23 20:31:07.0044 4864	Impcd           (dd587a55390ed2295bce6d36ad567da9) C:\Windows\system32\DRIVERS\Impcd.sys
2011/07/23 20:31:07.0215 4864	IntcAzAudAddService (e8017f1662d9142f45ceab694d013c00) C:\Windows\system32\drivers\RTKVHD64.sys
2011/07/23 20:31:07.0371 4864	IntcDAud        (58cf58dee26c909bd6f977b61d246295) C:\Windows\system32\DRIVERS\IntcDAud.sys
2011/07/23 20:31:07.0496 4864	intelide        (f00f20e70c6ec3aa366910083a0518aa) C:\Windows\system32\DRIVERS\intelide.sys
2011/07/23 20:31:07.0652 4864	intelppm        (ada036632c664caa754079041cf1f8c1) C:\Windows\system32\DRIVERS\intelppm.sys
2011/07/23 20:31:07.0746 4864	IpFilterDriver  (722dd294df62483cecaae6e094b4d695) C:\Windows\system32\DRIVERS\ipfltdrv.sys
2011/07/23 20:31:07.0839 4864	IPMIDRV         (e2b4a4494db7cb9b89b55ca268c337c5) C:\Windows\system32\DRIVERS\IPMIDrv.sys
2011/07/23 20:31:07.0917 4864	IPNAT           (af9b39a7e7b6caa203b3862582e9f2d0) C:\Windows\system32\drivers\ipnat.sys
2011/07/23 20:31:08.0058 4864	IRENUM          (3abf5e7213eb28966d55d58b515d5ce9) C:\Windows\system32\drivers\irenum.sys
2011/07/23 20:31:08.0136 4864	isapnp          (2f7b28dc3e1183e5eb418df55c204f38) C:\Windows\system32\DRIVERS\isapnp.sys
2011/07/23 20:31:08.0229 4864	iScsiPrt        (fa4d2557de56d45b0a346f93564be6e1) C:\Windows\system32\DRIVERS\msiscsi.sys
2011/07/23 20:31:08.0416 4864	k57nd60a        (12e27942dbb7c91880163634b0d8a776) C:\Windows\system32\DRIVERS\k57nd60a.sys
2011/07/23 20:31:08.0557 4864	kbdclass        (bc02336f1cba7dcc7d1213bb588a68a5) C:\Windows\system32\DRIVERS\kbdclass.sys
2011/07/23 20:31:08.0666 4864	kbdhid          (6def98f8541e1b5dceb2c822a11f7323) C:\Windows\system32\DRIVERS\kbdhid.sys
2011/07/23 20:31:08.0760 4864	KSecDD          (e8b6fcc9c83535c67f835d407620bd27) C:\Windows\system32\Drivers\ksecdd.sys
2011/07/23 20:31:08.0853 4864	KSecPkg         (a8c63880ef6f4d3fec7b616b9c060215) C:\Windows\system32\Drivers\ksecpkg.sys
2011/07/23 20:31:08.0947 4864	ksthunk         (6869281e78cb31a43e969f06b57347c4) C:\Windows\system32\drivers\ksthunk.sys
2011/07/23 20:31:09.0103 4864	L1E             (2ac603c3188c704cfce353659aa7ad71) C:\Windows\system32\DRIVERS\L1E62x64.sys
2011/07/23 20:31:09.0228 4864	lirsgt          (5ea407821bb3104c31a705175ab4f309) C:\Windows\system32\DRIVERS\lirsgt.sys
2011/07/23 20:31:09.0493 4864	lltdio          (1538831cf8ad2979a04c423779465827) C:\Windows\system32\DRIVERS\lltdio.sys
2011/07/23 20:31:09.0649 4864	LSI_FC          (1a93e54eb0ece102495a51266dcdb6a6) C:\Windows\system32\DRIVERS\lsi_fc.sys
2011/07/23 20:31:09.0742 4864	LSI_SAS         (1047184a9fdc8bdbff857175875ee810) C:\Windows\system32\DRIVERS\lsi_sas.sys
2011/07/23 20:31:09.0836 4864	LSI_SAS2        (30f5c0de1ee8b5bc9306c1f0e4a75f93) C:\Windows\system32\DRIVERS\lsi_sas2.sys
2011/07/23 20:31:09.0883 4864	LSI_SCSI        (0504eacaff0d3c8aed161c4b0d369d4a) C:\Windows\system32\DRIVERS\lsi_scsi.sys
2011/07/23 20:31:09.0914 4864	luafv           (43d0f98e1d56ccddb0d5254cff7b356e) C:\Windows\system32\drivers\luafv.sys
2011/07/23 20:31:10.0054 4864	megasas         (a55805f747c6edb6a9080d7c633bd0f4) C:\Windows\system32\DRIVERS\megasas.sys
2011/07/23 20:31:10.0132 4864	MegaSR          (baf74ce0072480c3b6b7c13b2a94d6b3) C:\Windows\system32\DRIVERS\MegaSR.sys
2011/07/23 20:31:10.0226 4864	Modem           (800ba92f7010378b09f9ed9270f07137) C:\Windows\system32\drivers\modem.sys
2011/07/23 20:31:10.0273 4864	monitor         (b03d591dc7da45ece20b3b467e6aadaa) C:\Windows\system32\DRIVERS\monitor.sys
2011/07/23 20:31:10.0444 4864	mouclass        (7d27ea49f3c1f687d357e77a470aea99) C:\Windows\system32\DRIVERS\mouclass.sys
2011/07/23 20:31:10.0538 4864	mouhid          (d3bf052c40b0c4166d9fd86a4288c1e6) C:\Windows\system32\DRIVERS\mouhid.sys
2011/07/23 20:31:10.0663 4864	mountmgr        (791af66c4d0e7c90a3646066386fb571) C:\Windows\system32\drivers\mountmgr.sys
2011/07/23 20:31:10.0741 4864	mpio            (609d1d87649ecc19796f4d76d4c15cea) C:\Windows\system32\DRIVERS\mpio.sys
2011/07/23 20:31:10.0819 4864	mpsdrv          (6c38c9e45ae0ea2fa5e551f2ed5e978f) C:\Windows\system32\drivers\mpsdrv.sys
2011/07/23 20:31:10.0866 4864	MRxDAV          (30524261bb51d96d6fcbac20c810183c) C:\Windows\system32\drivers\mrxdav.sys
2011/07/23 20:31:10.0897 4864	mrxsmb          (767a4c3bcf9410c286ced15a2db17108) C:\Windows\system32\DRIVERS\mrxsmb.sys
2011/07/23 20:31:10.0944 4864	mrxsmb10        (920ee0ff995fcfdeb08c41605a959e1c) C:\Windows\system32\DRIVERS\mrxsmb10.sys
2011/07/23 20:31:10.0975 4864	mrxsmb20        (740d7ea9d72c981510a5292cf6adc941) C:\Windows\system32\DRIVERS\mrxsmb20.sys
2011/07/23 20:31:11.0100 4864	msahci          (5c37497276e3b3a5488b23a326a754b7) C:\Windows\system32\DRIVERS\msahci.sys
2011/07/23 20:31:11.0178 4864	msdsm           (8d27b597229aed79430fb9db3bcbfbd0) C:\Windows\system32\DRIVERS\msdsm.sys
2011/07/23 20:31:11.0271 4864	Msfs            (aa3fb40e17ce1388fa1bedab50ea8f96) C:\Windows\system32\drivers\Msfs.sys
2011/07/23 20:31:11.0318 4864	mshidkmdf       (f9d215a46a8b9753f61767fa72a20326) C:\Windows\System32\drivers\mshidkmdf.sys
2011/07/23 20:31:11.0474 4864	msisadrv        (d916874bbd4f8b07bfb7fa9b3ccae29d) C:\Windows\system32\DRIVERS\msisadrv.sys
2011/07/23 20:31:11.0661 4864	MSKSSRV         (49ccf2c4fea34ffad8b1b59d49439366) C:\Windows\system32\drivers\MSKSSRV.sys
2011/07/23 20:31:11.0833 4864	MSPCLOCK        (bdd71ace35a232104ddd349ee70e1ab3) C:\Windows\system32\drivers\MSPCLOCK.sys
2011/07/23 20:31:12.0004 4864	MSPQM           (4ed981241db27c3383d72092b618a1d0) C:\Windows\system32\drivers\MSPQM.sys
2011/07/23 20:31:12.0160 4864	MsRPC           (89cb141aa8616d8c6a4610fa26c60964) C:\Windows\system32\drivers\MsRPC.sys
2011/07/23 20:31:12.0348 4864	mssmbios        (0eed230e37515a0eaee3c2e1bc97b288) C:\Windows\system32\DRIVERS\mssmbios.sys
2011/07/23 20:31:12.0519 4864	MSTEE           (2e66f9ecb30b4221a318c92ac2250779) C:\Windows\system32\drivers\MSTEE.sys
2011/07/23 20:31:12.0675 4864	MTConfig        (7ea404308934e675bffde8edf0757bcd) C:\Windows\system32\DRIVERS\MTConfig.sys
2011/07/23 20:31:12.0831 4864	Mup             (f9a18612fd3526fe473c1bda678d61c8) C:\Windows\system32\Drivers\mup.sys
2011/07/23 20:31:13.0034 4864	NativeWifiP     (1ea3749c4114db3e3161156ffffa6b33) C:\Windows\system32\DRIVERS\nwifi.sys
2011/07/23 20:31:13.0221 4864	NDIS            (cad515dbd07d082bb317d9928ce8962c) C:\Windows\system32\drivers\ndis.sys
2011/07/23 20:31:13.0471 4864	NdisCap         (9f9a1f53aad7da4d6fef5bb73ab811ac) C:\Windows\system32\DRIVERS\ndiscap.sys
2011/07/23 20:31:13.0611 4864	NdisTapi        (30639c932d9fef22b31268fe25a1b6e5) C:\Windows\system32\DRIVERS\ndistapi.sys
2011/07/23 20:31:13.0752 4864	Ndisuio         (f105ba1e22bf1f2ee8f005d4305e4bec) C:\Windows\system32\DRIVERS\ndisuio.sys
2011/07/23 20:31:13.0861 4864	NdisWan         (557dfab9ca1fcb036ac77564c010dad3) C:\Windows\system32\DRIVERS\ndiswan.sys
2011/07/23 20:31:14.0032 4864	NDProxy         (659b74fb74b86228d6338d643cd3e3cf) C:\Windows\system32\drivers\NDProxy.sys
2011/07/23 20:31:14.0220 4864	NetBIOS         (86743d9f5d2b1048062b14b1d84501c4) C:\Windows\system32\DRIVERS\netbios.sys
2011/07/23 20:31:14.0407 4864	NetBT           (9162b273a44ab9dce5b44362731d062a) C:\Windows\system32\DRIVERS\netbt.sys
2011/07/23 20:31:14.0656 4864	nfrd960         (77889813be4d166cdab78ddba990da92) C:\Windows\system32\DRIVERS\nfrd960.sys
2011/07/23 20:31:14.0828 4864	Npfs            (1e4c4ab5c9b8dd13179bbdc75a2a01f7) C:\Windows\system32\drivers\Npfs.sys
2011/07/23 20:31:15.0031 4864	nsiproxy        (e7f5ae18af4168178a642a9247c63001) C:\Windows\system32\drivers\nsiproxy.sys
2011/07/23 20:31:15.0249 4864	Ntfs            (356698a13c4630d5b31c37378d469196) C:\Windows\system32\drivers\Ntfs.sys
2011/07/23 20:31:15.0468 4864	NTIDrvr         (64ddd0dee976302f4bd93e5efcc2f013) C:\Windows\system32\drivers\NTIDrvr.sys
2011/07/23 20:31:15.0592 4864	Null            (9899284589f75fa8724ff3d16aed75c1) C:\Windows\system32\drivers\Null.sys
2011/07/23 20:31:15.0811 4864	nvraid          (3e38712941e9bb4ddbee00affe3fed3d) C:\Windows\system32\DRIVERS\nvraid.sys
2011/07/23 20:31:16.0014 4864	nvstor          (477dc4d6deb99be37084c9ac6d013da1) C:\Windows\system32\DRIVERS\nvstor.sys
2011/07/23 20:31:16.0232 4864	nv_agp          (270d7cd42d6e3979f6dd0146650f0e05) C:\Windows\system32\DRIVERS\nv_agp.sys
2011/07/23 20:31:16.0450 4864	ohci1394        (3589478e4b22ce21b41fa1bfc0b8b8a0) C:\Windows\system32\DRIVERS\ohci1394.sys
2011/07/23 20:31:16.0731 4864	Parport         (0086431c29c35be1dbc43f52cc273887) C:\Windows\system32\DRIVERS\parport.sys
2011/07/23 20:31:16.0903 4864	partmgr         (7daa117143316c4a1537e074a5a9eaf0) C:\Windows\system32\drivers\partmgr.sys
2011/07/23 20:31:17.0106 4864	pci             (f36f6504009f2fb0dfd1b17a116ad74b) C:\Windows\system32\DRIVERS\pci.sys
2011/07/23 20:31:17.0277 4864	pciide          (b5b8b5ef2e5cb34df8dcf8831e3534fa) C:\Windows\system32\DRIVERS\pciide.sys
2011/07/23 20:31:17.0480 4864	pcmcia          (b2e81d4e87ce48589f98cb8c05b01f2f) C:\Windows\system32\DRIVERS\pcmcia.sys
2011/07/23 20:31:17.0683 4864	pcw             (d6b9c2e1a11a3a4b26a182ffef18f603) C:\Windows\system32\drivers\pcw.sys
2011/07/23 20:31:17.0870 4864	PEAUTH          (68769c3356b3be5d1c732c97b9a80d6e) C:\Windows\system32\drivers\peauth.sys
2011/07/23 20:31:18.0166 4864	PptpMiniport    (27cc19e81ba5e3403c48302127bda717) C:\Windows\system32\DRIVERS\raspptp.sys
2011/07/23 20:31:18.0354 4864	Processor       (0d922e23c041efb1c3fac2a6f943c9bf) C:\Windows\system32\DRIVERS\processr.sys
2011/07/23 20:31:18.0603 4864	Psched          (ee992183bd8eaefd9973f352e587a299) C:\Windows\system32\DRIVERS\pacer.sys
2011/07/23 20:31:18.0775 4864	PxHlpa64        (87b04878a6d59d6c79251dc960c674c1) C:\Windows\system32\Drivers\PxHlpa64.sys
2011/07/23 20:31:19.0009 4864	ql2300          (a53a15a11ebfd21077463ee2c7afeef0) C:\Windows\system32\DRIVERS\ql2300.sys
2011/07/23 20:31:19.0212 4864	ql40xx          (4f6d12b51de1aaeff7dc58c4d75423c8) C:\Windows\system32\DRIVERS\ql40xx.sys
2011/07/23 20:31:19.0368 4864	QWAVEdrv        (76707bb36430888d9ce9d705398adb6c) C:\Windows\system32\drivers\qwavedrv.sys
2011/07/23 20:31:19.0539 4864	RasAcd          (5a0da8ad5762fa2d91678a8a01311704) C:\Windows\system32\DRIVERS\rasacd.sys
2011/07/23 20:31:19.0711 4864	RasAgileVpn     (7ecff9b22276b73f43a99a15a6094e90) C:\Windows\system32\DRIVERS\AgileVpn.sys
2011/07/23 20:31:19.0929 4864	Rasl2tp         (87a6e852a22991580d6d39adc4790463) C:\Windows\system32\DRIVERS\rasl2tp.sys
2011/07/23 20:31:20.0132 4864	RasPppoe        (855c9b1cd4756c5e9a2aa58a15f58c25) C:\Windows\system32\DRIVERS\raspppoe.sys
2011/07/23 20:31:20.0319 4864	RasSstp         (e8b1e447b008d07ff47d016c2b0eeecb) C:\Windows\system32\DRIVERS\rassstp.sys
2011/07/23 20:31:20.0475 4864	rdbss           (3bac8142102c15d59a87757c1d41dce5) C:\Windows\system32\DRIVERS\rdbss.sys
2011/07/23 20:31:20.0647 4864	rdpbus          (302da2a0539f2cf54d7c6cc30c1f2d8d) C:\Windows\system32\DRIVERS\rdpbus.sys
2011/07/23 20:31:20.0756 4864	RDPCDD          (cea6cc257fc9b7715f1c2b4849286d24) C:\Windows\system32\DRIVERS\RDPCDD.sys
2011/07/23 20:31:20.0881 4864	RDPENCDD        (bb5971a4f00659529a5c44831af22365) C:\Windows\system32\drivers\rdpencdd.sys
2011/07/23 20:31:20.0928 4864	RDPREFMP        (216f3fa57533d98e1f74ded70113177a) C:\Windows\system32\drivers\rdprefmp.sys
2011/07/23 20:31:21.0006 4864	RDPWD           (8a3e6bea1c53ea6177fe2b6eba2c80d7) C:\Windows\system32\drivers\RDPWD.sys
2011/07/23 20:31:21.0146 4864	rdyboost        (e5dc9ba9e439d6dbdd79f8caacb5bf01) C:\Windows\system32\drivers\rdyboost.sys
2011/07/23 20:31:21.0349 4864	rspndr          (ddc86e4f8e7456261e637e3552e804ff) C:\Windows\system32\DRIVERS\rspndr.sys
2011/07/23 20:31:21.0552 4864	sbp2port        (e3bbb89983daf5622c1d50cf49f28227) C:\Windows\system32\DRIVERS\sbp2port.sys
2011/07/23 20:31:21.0723 4864	scfilter        (c94da20c7e3ba1dca269bc8460d98387) C:\Windows\system32\DRIVERS\scfilter.sys
2011/07/23 20:31:21.0910 4864	secdrv          (3ea8a16169c26afbeb544e0e48421186) C:\Windows\system32\drivers\secdrv.sys
2011/07/23 20:31:22.0098 4864	Serenum         (cb624c0035412af0debec78c41f5ca1b) C:\Windows\system32\DRIVERS\serenum.sys
2011/07/23 20:31:22.0285 4864	Serial          (c1d8e28b2c2adfaec4ba89e9fda69bd6) C:\Windows\system32\DRIVERS\serial.sys
2011/07/23 20:31:22.0456 4864	sermouse        (1c545a7d0691cc4a027396535691c3e3) C:\Windows\system32\DRIVERS\sermouse.sys
2011/07/23 20:31:22.0644 4864	sffdisk         (a554811bcd09279536440c964ae35bbf) C:\Windows\system32\DRIVERS\sffdisk.sys
2011/07/23 20:31:22.0800 4864	sffp_mmc        (ff414f0baefeba59bc6c04b3db0b87bf) C:\Windows\system32\DRIVERS\sffp_mmc.sys
2011/07/23 20:31:22.0956 4864	sffp_sd         (178298f767fe638c9fedcbdef58bb5e4) C:\Windows\system32\DRIVERS\sffp_sd.sys
2011/07/23 20:31:23.0127 4864	sfloppy         (a9d601643a1647211a1ee2ec4e433ff4) C:\Windows\system32\DRIVERS\sfloppy.sys
2011/07/23 20:31:23.0314 4864	Sftfs           (72cd52403efc137290cb5a328510ebca) C:\Windows\system32\DRIVERS\Sftfslh.sys
2011/07/23 20:31:23.0517 4864	Sftplay         (31a36ef71af36eabcc4b4f8ab8f76465) C:\Windows\system32\DRIVERS\Sftplaylh.sys
2011/07/23 20:31:23.0704 4864	Sftredir        (2d969194fcc8eb41ed1d52863bfe7f52) C:\Windows\system32\DRIVERS\Sftredirlh.sys
2011/07/23 20:31:23.0860 4864	Sftvol          (08b36d2f63af3ca2248458a4280c0c50) C:\Windows\system32\DRIVERS\Sftvollh.sys
2011/07/23 20:31:24.0001 4864	SiSRaid2        (843caf1e5fde1ffd5ff768f23a51e2e1) C:\Windows\system32\DRIVERS\SiSRaid2.sys
2011/07/23 20:31:24.0110 4864	SiSRaid4        (6a6c106d42e9ffff8b9fcb4f754f6da4) C:\Windows\system32\DRIVERS\sisraid4.sys
2011/07/23 20:31:24.0235 4864	Smb             (548260a7b8654e024dc30bf8a7c5baa4) C:\Windows\system32\DRIVERS\smb.sys
2011/07/23 20:31:24.0438 4864	spldr           (b9e31e5cacdfe584f34f730a677803f9) C:\Windows\system32\drivers\spldr.sys
2011/07/23 20:31:24.0672 4864	sptd            (602884696850c86434530790b110e8eb) C:\Windows\System32\Drivers\sptd.sys
2011/07/23 20:31:24.0874 4864	srv             (de6f5658da951c4bc8e498570b5b0d5f) C:\Windows\system32\DRIVERS\srv.sys
2011/07/23 20:31:25.0077 4864	srv2            (4d33d59c0b930c523d29f9bd40cda9d2) C:\Windows\system32\DRIVERS\srv2.sys
2011/07/23 20:31:25.0280 4864	srvnet          (5a663fd67049267bc5c3f3279e631ffb) C:\Windows\system32\DRIVERS\srvnet.sys
2011/07/23 20:31:25.0467 4864	stexstor        (f3817967ed533d08327dc73bc4d5542a) C:\Windows\system32\DRIVERS\stexstor.sys
2011/07/23 20:31:25.0670 4864	swenum          (d01ec09b6711a5f8e7e6564a4d0fbc90) C:\Windows\system32\DRIVERS\swenum.sys
2011/07/23 20:31:25.0888 4864	Tcpip           (90a2d722cf64d911879d6c4a4f802a4d) C:\Windows\system32\drivers\tcpip.sys
2011/07/23 20:31:26.0138 4864	TCPIP6          (90a2d722cf64d911879d6c4a4f802a4d) C:\Windows\system32\DRIVERS\tcpip.sys
2011/07/23 20:31:26.0325 4864	tcpipreg        (76d078af6f587b162d50210f761eb9ed) C:\Windows\system32\drivers\tcpipreg.sys
2011/07/23 20:31:26.0497 4864	TDPIPE          (3371d21011695b16333a3934340c4e7c) C:\Windows\system32\drivers\tdpipe.sys
2011/07/23 20:31:26.0668 4864	TDTCP           (e4245bda3190a582d55ed09e137401a9) C:\Windows\system32\drivers\tdtcp.sys
2011/07/23 20:31:26.0809 4864	tdx             (079125c4b17b01fcaeebce0bcb290c0f) C:\Windows\system32\DRIVERS\tdx.sys
2011/07/23 20:31:27.0012 4864	TermDD          (c448651339196c0e869a355171875522) C:\Windows\system32\DRIVERS\termdd.sys
2011/07/23 20:31:27.0214 4864	tssecsrv        (61b96c26131e37b24e93327a0bd1fb95) C:\Windows\system32\DRIVERS\tssecsrv.sys
2011/07/23 20:31:27.0386 4864	tunnel          (3836171a2cdf3af8ef10856db9835a70) C:\Windows\system32\DRIVERS\tunnel.sys
2011/07/23 20:31:27.0558 4864	uagp35          (b4dd609bd7e282bfc683cec7eaaaad67) C:\Windows\system32\DRIVERS\uagp35.sys
2011/07/23 20:31:27.0729 4864	UBHelper        (2e22c1fd397a5a9ffef55e9d1fc96c00) C:\Windows\system32\drivers\UBHelper.sys
2011/07/23 20:31:27.0901 4864	udfs            (d47baead86c65d4f4069d7ce0a4edceb) C:\Windows\system32\DRIVERS\udfs.sys
2011/07/23 20:31:28.0088 4864	uliagpkx        (4bfe1bc28391222894cbf1e7d0e42320) C:\Windows\system32\DRIVERS\uliagpkx.sys
2011/07/23 20:31:28.0260 4864	umbus           (eab6c35e62b1b0db0d1b48b671d3a117) C:\Windows\system32\DRIVERS\umbus.sys
2011/07/23 20:31:28.0431 4864	UmPass          (b2e8e8cb557b156da5493bbddcc1474d) C:\Windows\system32\DRIVERS\umpass.sys
2011/07/23 20:31:28.0634 4864	USBAAPL64       (aa33fc47ed58c34e6e9261e4f850b7eb) C:\Windows\system32\Drivers\usbaapl64.sys
2011/07/23 20:31:28.0790 4864	usbccgp         (b26afb54a534d634523c4fb66765b026) C:\Windows\system32\DRIVERS\usbccgp.sys
2011/07/23 20:31:28.0962 4864	usbcir          (af0892a803fdda7492f595368e3b68e7) C:\Windows\system32\DRIVERS\usbcir.sys
2011/07/23 20:31:29.0133 4864	usbehci         (cb490987a7f6928a04bb838e3bd8a936) C:\Windows\system32\DRIVERS\usbehci.sys
2011/07/23 20:31:29.0336 4864	usbhub          (18124ef0a881a00ee222d02a3ee30270) C:\Windows\system32\DRIVERS\usbhub.sys
2011/07/23 20:31:29.0523 4864	usbohci         (58e546bbaf87664fc57e0f6081e4f609) C:\Windows\system32\DRIVERS\usbohci.sys
2011/07/23 20:31:29.0695 4864	usbprint        (73188f58fb384e75c4063d29413cee3d) C:\Windows\system32\DRIVERS\usbprint.sys
2011/07/23 20:31:29.0851 4864	USBSTOR         (080d3820da6c046be82fc8b45a893e83) C:\Windows\system32\DRIVERS\USBSTOR.SYS
2011/07/23 20:31:30.0022 4864	usbuhci         (81fb2216d3a60d1284455d511797db3d) C:\Windows\system32\DRIVERS\usbuhci.sys
2011/07/23 20:31:30.0163 4864	usbvideo        (7cb8c573c6e4a2714402cc0a36eab4fe) C:\Windows\system32\Drivers\usbvideo.sys
2011/07/23 20:31:30.0319 4864	vdrvroot        (c5c876ccfc083ff3b128f933823e87bd) C:\Windows\system32\DRIVERS\vdrvroot.sys
2011/07/23 20:31:30.0490 4864	vga             (da4da3f5e02943c2dc8c6ed875de68dd) C:\Windows\system32\DRIVERS\vgapnp.sys
2011/07/23 20:31:30.0662 4864	VgaSave         (53e92a310193cb3c03bea963de7d9cfc) C:\Windows\System32\drivers\vga.sys
2011/07/23 20:31:30.0834 4864	vhdmp           (c82e748660f62a242b2dfac1442f22a4) C:\Windows\system32\DRIVERS\vhdmp.sys
2011/07/23 20:31:30.0990 4864	viaide          (e5689d93ffe4e5d66c0178761240dd54) C:\Windows\system32\DRIVERS\viaide.sys
2011/07/23 20:31:31.0161 4864	volmgr          (2b1a3dae2b4e70dbba822b7a03fbd4a3) C:\Windows\system32\DRIVERS\volmgr.sys
2011/07/23 20:31:31.0333 4864	volmgrx         (99b0cbb569ca79acaed8c91461d765fb) C:\Windows\system32\drivers\volmgrx.sys
2011/07/23 20:31:31.0520 4864	volsnap         (58f82eed8ca24b461441f9c3e4f0bf5c) C:\Windows\system32\DRIVERS\volsnap.sys
2011/07/23 20:31:31.0707 4864	vsmraid         (5e2016ea6ebaca03c04feac5f330d997) C:\Windows\system32\DRIVERS\vsmraid.sys
2011/07/23 20:31:31.0879 4864	vwifibus        (36d4720b72b5c5d9cb2b9c29e9df67a1) C:\Windows\system32\DRIVERS\vwifibus.sys
2011/07/23 20:31:32.0035 4864	vwififlt        (6a3d66263414ff0d6fa754c646612f3f) C:\Windows\system32\DRIVERS\vwififlt.sys
2011/07/23 20:31:32.0222 4864	vwifimp         (6a638fc4bfddc4d9b186c28c91bd1a01) C:\Windows\system32\DRIVERS\vwifimp.sys
2011/07/23 20:31:32.0409 4864	WacomPen        (4e9440f4f152a7b944cb1663d3935a3e) C:\Windows\system32\DRIVERS\wacompen.sys
2011/07/23 20:31:32.0581 4864	WANARP          (47ca49400643effd3f1c9a27e1d69324) C:\Windows\system32\DRIVERS\wanarp.sys
2011/07/23 20:31:32.0612 4864	Wanarpv6        (47ca49400643effd3f1c9a27e1d69324) C:\Windows\system32\DRIVERS\wanarp.sys
2011/07/23 20:31:32.0784 4864	Wd              (72889e16ff12ba0f235467d6091b17dc) C:\Windows\system32\DRIVERS\wd.sys
2011/07/23 20:31:32.0971 4864	Wdf01000        (441bd2d7b4f98134c3a4f9fa570fd250) C:\Windows\system32\drivers\Wdf01000.sys
2011/07/23 20:31:33.0205 4864	WfpLwf          (611b23304bf067451a9fdee01fbdd725) C:\Windows\system32\DRIVERS\wfplwf.sys
2011/07/23 20:31:33.0408 4864	WIMMount        (05ecaec3e4529a7153b3136ceb49f0ec) C:\Windows\system32\drivers\wimmount.sys
2011/07/23 20:31:33.0657 4864	WinUsb          (817eaff5d38674edd7713b9dfb8e9791) C:\Windows\system32\DRIVERS\WinUsb.sys
2011/07/23 20:31:33.0876 4864	WmiAcpi         (f6ff8944478594d0e414d3f048f0d778) C:\Windows\system32\DRIVERS\wmiacpi.sys
2011/07/23 20:31:34.0141 4864	ws2ifsl         (6bcc1d7d2fd2453957c5479a32364e52) C:\Windows\system32\drivers\ws2ifsl.sys
2011/07/23 20:31:34.0328 4864	WudfPf          (7cadc74271dd6461c452c271b30bd378) C:\Windows\system32\drivers\WudfPf.sys
2011/07/23 20:31:34.0515 4864	WUDFRd          (3b197af0fff08aa66b6b2241ca538d64) C:\Windows\system32\DRIVERS\WUDFRd.sys
2011/07/23 20:31:34.0609 4864	MBR (0x1B8)     (04d4350ae5fb6fc2ad3e7c26b1323c68) \Device\Harddisk0\DR0
2011/07/23 20:31:34.0609 4864	\Device\Harddisk0\DR0 - detected Rootkit.Win32.TDSS.tdl4 (0)
2011/07/23 20:31:34.0640 4864	Boot (0x1200)   (51b7192ca82e325277c1af94fdea209d) \Device\Harddisk0\DR0\Partition0
2011/07/23 20:31:34.0656 4864	Boot (0x1200)   (9326f9cd04e10d7e6328a315feff1a8c) \Device\Harddisk0\DR0\Partition1
2011/07/23 20:31:34.0656 4864	================================================================================
2011/07/23 20:31:34.0656 4864	Scan finished
2011/07/23 20:31:34.0656 4864	================================================================================
2011/07/23 20:31:34.0671 0824	Detected object count: 1
2011/07/23 20:31:34.0671 0824	Actual detected object count: 1
2011/07/23 20:31:48.0524 0824	\Device\Harddisk0\DR0 (Rootkit.Win32.TDSS.tdl4) - will be cured after reboot
2011/07/23 20:31:48.0524 0824	\Device\Harddisk0\DR0 - ok
2011/07/23 20:31:48.0540 0824	Rootkit.Win32.TDSS.tdl4(\Device\Harddisk0\DR0) - User select action: Cure 
2011/07/23 20:31:59.0475 1244	Deinitialize success
         
und hier von combofix:

Code:
ATTFilter
ComboFix 11-07-23.04 - Ann-Marie 23.07.2011  20:41:32.1.2 - x64
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3764.2494 [GMT 2:00]
ausgeführt von:: c:\users\Ann-Marie\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\poooooooasi\1227DAA0653.exe
c:\users\Ann-Marie\AppData\Roaming\Adobe\shed
c:\users\Ann-Marie\AppData\Roaming\Adobe\shed\thr1.chm
c:\users\Ann-Marie\AppData\Roaming\chrtmp
c:\users\Ann-Marie\AppData\Roaming\Local
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\5.ddi
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\6.ddi
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\6dfb574e0fe44e74b45d05044aa2fd44.avi(2).ddr
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\6dfb574e0fe44e74b45d05044aa2fd44.avi.ddr
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\7.ddi
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Post_Install_RB_HiQ_de.divx.ddr
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\settings.ddi
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\(2).ddp
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\.ddp
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\6dfb574e0fe44e74b45d05044aa2fd44.avi(2).ddp
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\6dfb574e0fe44e74b45d05044aa2fd44.avi.ddp
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\jodel.avi(2).ddp
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\jodel.avi(3).ddp
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\jodel.avi(4).ddp
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\jodel.avi(5).ddp
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\jodel.avi.ddp
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\Post_Install_RB_HiQ_de.divx.ddp
c:\windows\IsUn0407.exe
c:\windows\Temp\log.txt
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-06-23 bis 2011-07-23  ))))))))))))))))))))))))))))))
.
.
2011-07-23 18:46 . 2011-07-23 18:46	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-07-20 18:11 . 2011-07-20 18:11	--------	d-----w-	c:\users\Ann-Marie\AppData\Roaming\Avira
2011-07-20 17:54 . 2011-07-20 19:18	88288	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-07-20 17:54 . 2011-07-20 19:18	123784	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-07-20 17:54 . 2011-07-20 17:54	--------	d-----w-	c:\programdata\Avira
2011-07-20 17:54 . 2011-07-20 17:54	--------	d-----w-	c:\program files\Avira
2011-07-20 17:10 . 2011-07-21 03:25	--------	d-----w-	c:\programdata\fH01602DkHfJ01602
2011-07-13 11:28 . 2011-07-13 14:36	--------	d-----w-	c:\users\Ann-Marie\AppData\Roaming\.minecraft
2011-07-13 10:40 . 2011-07-22 13:42	--------	d-----w-	c:\users\Ann-Marie\AppData\Roaming\Xyquy
2011-07-13 10:40 . 2011-07-16 20:38	--------	d-----w-	c:\users\Ann-Marie\AppData\Roaming\Xaeb
2011-07-07 18:46 . 2011-07-07 18:46	--------	d-----w-	c:\users\Ann-Marie\AppData\Local\SKIDROW
2011-07-06 09:28 . 2011-07-06 09:28	--------	d-----w-	c:\program files (x86)\Apple Software Update
2011-07-06 09:27 . 2011-07-06 09:27	--------	d-----w-	c:\program files\iPod
2011-07-06 09:27 . 2011-07-06 09:27	--------	d-----w-	c:\program files\iTunes
2011-07-06 09:25 . 2011-07-06 09:25	--------	d-----w-	c:\program files\Bonjour
2011-07-06 09:24 . 2011-07-06 09:24	--------	d-----w-	c:\program files (x86)\Safari
2011-07-03 01:36 . 2011-07-16 09:45	--------	d-----w-	c:\users\Ann-Marie\AppData\Roaming\uTorrent
2011-07-03 01:36 . 2011-07-03 01:36	--------	d-----w-	c:\users\Ann-Marie\AppData\Local\uTorrent
2011-07-02 17:10 . 2011-07-02 17:10	--------	d-----w-	c:\program files (x86)\Common Files\Blizzard Entertainment
2011-06-30 18:29 . 2011-07-23 18:49	--------	d-----w-	c:\users\Ann-Marie\AppData\Local\PMB Files
2011-06-30 18:29 . 2011-06-30 18:29	--------	d-----w-	c:\programdata\PMB Files
2011-06-30 18:29 . 2011-06-30 18:29	--------	d-----w-	c:\program files (x86)\Pando Networks
2011-06-27 19:51 . 2011-06-27 19:51	--------	d-----w-	c:\users\Ann-Marie\AppData\Roaming\InstallShield
2011-06-27 09:30 . 2011-06-27 09:30	--------	d-----w-	c:\programdata\Ubisoft
2011-06-24 00:04 . 2011-06-24 00:04	98304	----a-w-	c:\windows\SysWow64\CmdLineExt.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-19 16:35 . 2011-06-19 16:34	188128	----a-w-	c:\programdata\Microsoft\VCSExpress\10.0\1033\ResourceCache.dll
2011-05-10 06:06 . 2011-05-10 06:06	51712	----a-w-	c:\windows\system32\drivers\usbaapl64.sys
2011-05-10 06:06 . 2011-05-10 06:06	4517664	----a-w-	c:\windows\system32\usbaaplrc.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files (x86)\Windows Live\Messenger\msnmsgr.exe" [2010-11-10 4240760]
"Pando Media Booster"="c:\program files (x86)\Pando Networks\Media Booster\PMB.exe" [2011-06-30 3077528]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-28 35696]
"BackupManagerTray"="c:\program files (x86)\NewTech Infosystems\Packard Bell MyBackup\BackupManagerTray.exe" [2010-06-28 263936]
"LManager"="c:\program files (x86)\Launch Manager\LManager.exe" [2010-08-11 975952]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2010-12-09 1226608]
"DivX Download Manager"="c:\festplatte\Programme\DivX\DivX Plus Web Player\DDmService.exe" [2010-12-08 63360]
"iTunesHelper"="c:\festplatte\Programme\iTunes\iTunesHelper.exe" [2011-06-07 421160]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
VideoWebCamera.exe.lnk - c:\program files (x86)\Video Web Camera\VideoWebCamera.exe [2010-6-8 6329160]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS [x]
R3 dump_wmimmc;dump_wmimmc;f:\platte\Games\Flyff\GameGuard\dump_wmimmc.sys [x]
R3 GamesAppService;GamesAppService;c:\program files (x86)\WildTangent Games\App\GamesAppService.exe [2010-10-12 206072]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeActiveFileMonitor8.0;Adobe Active File Monitor V8;c:\program files (x86)\Adobe\Elements Organizer 8.0\PhotoshopElementsFileAgent.exe [2009-10-09 169312]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-21 136360]
S2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2010-02-28 821664]
S2 DsiWMIService;Dritek WMI Service;c:\program files (x86)\Launch Manager\dsiwmis.exe [2010-08-11 321104]
S2 ePowerSvc;Acer ePower Service;c:\program files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe [2010-06-11 868896]
S2 GREGService;GREGService;c:\program files (x86)\Packard Bell\Registration\GREGsvc.exe [2010-01-08 23584]
S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files (x86)\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe [2010-06-28 255744]
S2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2010-04-24 483688]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-03-03 2320920]
S2 Updater Service;Updater Service;c:\program files\Packard Bell\Packard Bell Updater\UpdaterService.exe [2010-01-28 243232]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [x]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [x]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [x]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [x]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [x]
S3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2010-04-24 209768]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AmIcoSinglun64"="c:\program files (x86)\AmIcoSingLun\AmIcoSinglun64.exe" [2010-06-10 324608]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-05-07 161304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-05-07 386584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-05-07 413208]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2010-07-29 11101800]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2009-10-22 325120]
"Acer ePower Management"="c:\program files\Packard Bell\Packard Bell Power Management\ePowerTray.exe" [2010-06-11 861216]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://packardbell.msn.com
uLocal Page = c:\windows\system32\blank.htm
mStart Page = hxxp://packardbell.msn.com
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube Download - c:\users\Ann-Marie\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to iPod Converter - c:\users\Ann-Marie\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetoipodconverter.htm
TCP: DhcpNameServer = 192.168.178.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
Wow6432Node-HKCU-Run-0X9W6E8C6H9Z5E2VUBKQVE - c:\poooooooasi\1227DAA0653.exe
Wow6432Node-HKLM-Run-SmcService - c:\festpl~1\PROGRA~1\SPF\smc.exe
Toolbar-Locked - (no file)
AddRemove-AquaNox 2 Revelation - f:\platte\Games\AQUANO~1\UNWISE.EXE
AddRemove-Audacity_is1 - c:\program files (x86)\Audacity\unins000.exe
AddRemove-DAEMON Tools Lite - f:\platte\software\DAEMON Tools Lite\uninst.exe
AddRemove-GameSpy Arcade - f:\platte\Games\HEGEMO~1\UNWISE.EXE
AddRemove-GoldWave v5.58 - c:\program files (x86)\GoldWave\unstall.exe
AddRemove-Hegemonia - f:\platte\Games\Hegemonia\uninst-hgm.exe
AddRemove-HGM_TSH - f:\platte\Games\Haegemonia - The Solon Heritage\uninst-HGM_TSH.exe
AddRemove-Magic ISO Maker v5.5 (build 0281) - f:\platte\software\MagicISO\UNWISE.EXE
AddRemove-Mozilla Firefox (3.6.13) - c:\festplatte\Programme\uninstall\helper.exe
AddRemove-PokerStars.net - f:\platte\Games\PokerStarsUninstall.exe
AddRemove-Port Royale_is1 - f:\platte\Games\Port Royal\unins000.exe
AddRemove-Postal 2_is1 - f:\platte\Games\Portal 2\unins000.exe
AddRemove-S.T.A.L.K.E.R. - Clear Sky_is1 - f:\platte\Games\S.T.A.L.K.E.R. - Clear Sky\unins000.exe
AddRemove-Warkeys - f:\platte\Games\Warcraft III\Warkeys\uninst.exe
AddRemove-Wolfenstein - Enemy Territory - f:\platte\Games\ET\Uninstall\Unwise.exe
AddRemove-X3TerranConflict_is1 - f:\platte\Games\X3 Terran Conflict\uninst\unins000.exe
AddRemove-{406FB8A4-F539-48A9-809C-F94706F9C9F6}_is1 - f:\platte\Games\S.T.A.L.K.E.R. - Call Of Pripyat\unins000.exe
AddRemove-{CC084EC0-5F74-4A17-8635-3ED61D501643}_is1 - f:\platte\Games\Flyff\unins000.exe
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1422427792-189484117-2329326468-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"
.
[HKEY_USERS\S-1-5-21-1422427792-189484117-2329326468-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Bonjour\mDNSResponder.exe
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files (x86)\Launch Manager\LMworker.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-07-23  20:54:14 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-07-23 18:54
.
Vor Suchlauf: 10 Verzeichnis(se), 432.066.994.176 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 433.206.317.056 Bytes frei
.
- - End Of File - - 45DC1B58533C41998E09291DF6746FC3
         

Alt 24.07.2011, 08:52   #9
M-K-D-B
/// TB-Ausbilder
 
BOO/TDss.M im Masterbootsektor/HD0 entdeckt - Standard

BOO/TDss.M im Masterbootsektor/HD0 entdeckt



Hallo Ifron,



Wichtiger Hinweis:
Du bist u.a. mit einem Trojaner infiziert, der Passwörter und Zugangsdaten ausspioniert. Darum bitte ich dich, bis auf weiteres kein Online-Banking oder andere Online Geschäfte zu tätigen.





Schritt # 1: CFScript mit ComboFix ausführen
Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
ATTFilter
DDS::
uInternet Settings,ProxyOverride = *.local

DirLook::
c:\poooooooasi
c:\programdata\fH01602DkHfJ01602
c:\users\Ann-Marie\AppData\Local\SKIDROW

Folder::
c:\users\Ann-Marie\AppData\Roaming\Xyquy
c:\users\Ann-Marie\AppData\Roaming\Xaeb
         
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:
  • Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
  • Mache nichts am PC solange ComboFix läuft.
  • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.





Schritt # 2: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • das neue Logfile von ComboFix.
__________________
Grüße aus Bayern

=========================

Das Trojaner-Board unterstützen

Alt 24.07.2011, 11:07   #10
Ifron
 
BOO/TDss.M im Masterbootsektor/HD0 entdeckt - Standard

BOO/TDss.M im Masterbootsektor/HD0 entdeckt



Hey M-K-D-B,

vielen dank für die schnelle Antwort und die Mühe!!
Hier der neue ComboFix Logfile:

Code:
ATTFilter
ComboFix 11-07-23.04 - Ann-Marie 24.07.2011  11:47:45.2.2 - x64
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3764.2540 [GMT 2:00]
ausgeführt von:: c:\users\Ann-Marie\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Ann-Marie\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Ann-Marie\AppData\Roaming\Xaeb
c:\users\Ann-Marie\AppData\Roaming\Xaeb\lurip.yki
c:\users\Ann-Marie\AppData\Roaming\Xaeb\lurip.yki.0
c:\users\Ann-Marie\AppData\Roaming\Xyquy
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-06-24 bis 2011-07-24  ))))))))))))))))))))))))))))))
.
.
2011-07-24 09:52 . 2011-07-24 09:52	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-07-24 09:52 . 2011-07-24 09:52	--------	d-----w-	c:\users\Administrator\AppData\Local\temp
2011-07-24 09:46 . 2011-07-24 09:46	--------	d-----w-	C:\32788R22FWJFW
2011-07-20 18:11 . 2011-07-20 18:11	--------	d-----w-	c:\users\Ann-Marie\AppData\Roaming\Avira
2011-07-20 17:54 . 2011-07-20 19:18	88288	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-07-20 17:54 . 2011-07-20 19:18	123784	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-07-20 17:54 . 2011-07-20 17:54	--------	d-----w-	c:\programdata\Avira
2011-07-20 17:54 . 2011-07-20 17:54	--------	d-----w-	c:\program files\Avira
2011-07-20 17:10 . 2011-07-21 03:25	--------	d-----w-	c:\programdata\fH01602DkHfJ01602
2011-07-13 11:28 . 2011-07-13 14:36	--------	d-----w-	c:\users\Ann-Marie\AppData\Roaming\.minecraft
2011-07-07 18:46 . 2011-07-07 18:46	--------	d-----w-	c:\users\Ann-Marie\AppData\Local\SKIDROW
2011-07-06 09:28 . 2011-07-06 09:28	--------	d-----w-	c:\program files (x86)\Apple Software Update
2011-07-06 09:27 . 2011-07-06 09:27	--------	d-----w-	c:\program files\iPod
2011-07-06 09:27 . 2011-07-06 09:27	--------	d-----w-	c:\program files\iTunes
2011-07-06 09:25 . 2011-07-06 09:25	--------	d-----w-	c:\program files\Bonjour
2011-07-06 09:24 . 2011-07-06 09:24	--------	d-----w-	c:\program files (x86)\Safari
2011-07-03 01:36 . 2011-07-16 09:45	--------	d-----w-	c:\users\Ann-Marie\AppData\Roaming\uTorrent
2011-07-03 01:36 . 2011-07-03 01:36	--------	d-----w-	c:\users\Ann-Marie\AppData\Local\uTorrent
2011-07-02 17:10 . 2011-07-02 17:10	--------	d-----w-	c:\program files (x86)\Common Files\Blizzard Entertainment
2011-06-30 18:29 . 2011-07-24 09:54	--------	d-----w-	c:\users\Ann-Marie\AppData\Local\PMB Files
2011-06-30 18:29 . 2011-06-30 18:29	--------	d-----w-	c:\programdata\PMB Files
2011-06-30 18:29 . 2011-06-30 18:29	--------	d-----w-	c:\program files (x86)\Pando Networks
2011-06-27 19:51 . 2011-06-27 19:51	--------	d-----w-	c:\users\Ann-Marie\AppData\Roaming\InstallShield
2011-06-27 09:30 . 2011-06-27 09:30	--------	d-----w-	c:\programdata\Ubisoft
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-24 00:04 . 2011-06-24 00:04	98304	----a-w-	c:\windows\SysWow64\CmdLineExt.dll
2011-06-19 16:35 . 2011-06-19 16:34	188128	----a-w-	c:\programdata\Microsoft\VCSExpress\10.0\1033\ResourceCache.dll
2011-05-10 06:06 . 2011-05-10 06:06	51712	----a-w-	c:\windows\system32\drivers\usbaapl64.sys
2011-05-10 06:06 . 2011-05-10 06:06	4517664	----a-w-	c:\windows\system32\usbaaplrc.dll
.
.
((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\poooooooasi ----
.
.
---- Directory of c:\programdata\fH01602DkHfJ01602 ----
.
2011-07-20 17:10 . 2011-07-20 17:16	208	----a-w-	c:\programdata\fH01602DkHfJ01602\fH01602DkHfJ01602
.
---- Directory of c:\users\Ann-Marie\AppData\Local\SKIDROW ----
.
2011-07-07 18:47 . 2011-07-11 04:13	356	----a-w-	c:\users\Ann-Marie\AppData\Local\SKIDROW\620\Stats.bin
.
.
(((((((((((((((((((((((((((((   SnapShot@2011-07-23_18.49.05   )))))))))))))))))))))))))))))))))))))))))
.
- 2011-07-23 18:49 . 2011-07-23 18:49	32768              c:\windows\Temp\Temporary Internet Files\Content.IE5\index.dat
+ 2011-07-24 09:54 . 2011-07-24 09:54	32768              c:\windows\Temp\Temporary Internet Files\Content.IE5\index.dat
- 2011-07-23 18:49 . 2011-07-23 18:49	16384              c:\windows\Temp\History\History.IE5\index.dat
+ 2011-07-24 09:54 . 2011-07-24 09:54	16384              c:\windows\Temp\History\History.IE5\index.dat
- 2011-07-23 18:49 . 2011-07-23 18:49	16384              c:\windows\Temp\Cookies\index.dat
+ 2011-07-24 09:54 . 2011-07-24 09:54	16384              c:\windows\Temp\Cookies\index.dat
+ 2011-07-24 09:52 . 2011-07-24 09:52	13360              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\SoftGrid Client\Icon Cache\icon_ex.dat
- 2011-07-23 18:47 . 2011-07-23 18:47	13360              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\SoftGrid Client\Icon Cache\icon_ex.dat
+ 2009-07-14 04:54 . 2011-07-24 09:53	16384              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-07-14 04:54 . 2011-07-23 18:48	16384              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-07-14 04:54 . 2011-07-24 09:53	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:54 . 2011-07-23 18:48	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:54 . 2011-07-23 18:48	16384              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:54 . 2011-07-24 09:53	16384              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-09-08 02:33 . 2011-07-24 09:30	55836              c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 05:10 . 2011-07-24 09:30	42902              c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2010-12-19 20:52 . 2011-07-24 09:30	10834              c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1422427792-189484117-2329326468-1001_UserData.bin
- 2010-12-20 02:40 . 2011-07-23 18:33	16384              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-12-20 02:40 . 2011-07-24 09:28	16384              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-12-20 02:40 . 2011-07-24 09:28	32768              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-12-20 02:40 . 2011-07-23 18:33	32768              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-07-14 04:54 . 2011-07-24 09:28	16384              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-07-14 04:54 . 2011-07-23 18:33	16384              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-12-19 21:15 . 2011-07-24 09:54	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2010-12-19 21:15 . 2011-07-23 18:50	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-12-19 21:15 . 2011-07-24 09:54	32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-12-19 21:15 . 2011-07-23 18:50	32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2010-12-19 21:15 . 2011-07-24 09:54	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2010-12-19 21:15 . 2011-07-23 18:50	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2010-12-19 20:52 . 2011-07-23 18:50	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-12-19 20:52 . 2011-07-24 09:54	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2010-12-19 20:52 . 2011-07-23 18:50	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-12-19 20:52 . 2011-07-24 09:54	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2011-07-24 09:53 . 2011-07-24 09:53	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2011-07-23 18:32 . 2011-07-23 18:48	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2011-07-23 18:32 . 2011-07-23 18:48	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2011-07-24 09:53 . 2011-07-24 09:53	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2009-07-14 02:36 . 2011-07-24 09:32	647950              c:\windows\system32\perfh009.dat
- 2009-07-14 02:36 . 2011-07-23 18:37	647950              c:\windows\system32\perfh009.dat
- 2010-10-16 10:04 . 2011-07-23 18:37	691976              c:\windows\system32\perfh007.dat
+ 2010-10-16 10:04 . 2011-07-24 09:32	691976              c:\windows\system32\perfh007.dat
- 2009-07-14 02:36 . 2011-07-23 18:37	118822              c:\windows\system32\perfc009.dat
+ 2009-07-14 02:36 . 2011-07-24 09:32	118822              c:\windows\system32\perfc009.dat
- 2010-10-16 10:04 . 2011-07-23 18:37	145284              c:\windows\system32\perfc007.dat
+ 2010-10-16 10:04 . 2011-07-24 09:32	145284              c:\windows\system32\perfc007.dat
+ 2009-07-14 05:12 . 2011-07-24 09:28	262144              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
- 2009-07-14 05:12 . 2011-07-23 18:33	262144              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
- 2009-07-14 05:01 . 2011-07-23 18:32	294952              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2009-07-14 05:01 . 2011-07-24 09:52	294952              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
- 2010-12-30 09:40 . 2011-07-23 18:32	4876376              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-1422427792-189484117-2329326468-1001-8192.dat
+ 2010-12-30 09:40 . 2011-07-24 09:52	4876376              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-1422427792-189484117-2329326468-1001-8192.dat
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files (x86)\Windows Live\Messenger\msnmsgr.exe" [2010-11-10 4240760]
"Pando Media Booster"="c:\program files (x86)\Pando Networks\Media Booster\PMB.exe" [2011-06-30 3077528]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-28 35696]
"BackupManagerTray"="c:\program files (x86)\NewTech Infosystems\Packard Bell MyBackup\BackupManagerTray.exe" [2010-06-28 263936]
"LManager"="c:\program files (x86)\Launch Manager\LManager.exe" [2010-08-11 975952]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2010-12-09 1226608]
"DivX Download Manager"="c:\festplatte\Programme\DivX\DivX Plus Web Player\DDmService.exe" [2010-12-08 63360]
"iTunesHelper"="c:\festplatte\Programme\iTunes\iTunesHelper.exe" [2011-06-07 421160]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
VideoWebCamera.exe.lnk - c:\program files (x86)\Video Web Camera\VideoWebCamera.exe [2010-6-8 6329160]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS [x]
R3 dump_wmimmc;dump_wmimmc;f:\platte\Games\Flyff\GameGuard\dump_wmimmc.sys [x]
R3 GamesAppService;GamesAppService;c:\program files (x86)\WildTangent Games\App\GamesAppService.exe [2010-10-12 206072]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeActiveFileMonitor8.0;Adobe Active File Monitor V8;c:\program files (x86)\Adobe\Elements Organizer 8.0\PhotoshopElementsFileAgent.exe [2009-10-09 169312]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-21 136360]
S2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2010-02-28 821664]
S2 DsiWMIService;Dritek WMI Service;c:\program files (x86)\Launch Manager\dsiwmis.exe [2010-08-11 321104]
S2 ePowerSvc;Acer ePower Service;c:\program files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe [2010-06-11 868896]
S2 GREGService;GREGService;c:\program files (x86)\Packard Bell\Registration\GREGsvc.exe [2010-01-08 23584]
S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files (x86)\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe [2010-06-28 255744]
S2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2010-04-24 483688]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-03-03 2320920]
S2 Updater Service;Updater Service;c:\program files\Packard Bell\Packard Bell Updater\UpdaterService.exe [2010-01-28 243232]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [x]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [x]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [x]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [x]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [x]
S3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2010-04-24 209768]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [x]
.
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AmIcoSinglun64"="c:\program files (x86)\AmIcoSingLun\AmIcoSinglun64.exe" [2010-06-10 324608]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-05-07 161304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-05-07 386584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-05-07 413208]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2010-07-29 11101800]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2009-10-22 325120]
"Acer ePower Management"="c:\program files\Packard Bell\Packard Bell Power Management\ePowerTray.exe" [2010-06-11 861216]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://packardbell.msn.com
uLocal Page = c:\windows\system32\blank.htm
mStart Page = hxxp://packardbell.msn.com
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Free YouTube Download - c:\users\Ann-Marie\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to iPod Converter - c:\users\Ann-Marie\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetoipodconverter.htm
TCP: DhcpNameServer = 192.168.178.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1422427792-189484117-2329326468-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"
.
[HKEY_USERS\S-1-5-21-1422427792-189484117-2329326468-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Bonjour\mDNSResponder.exe
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files (x86)\Launch Manager\LMworker.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-07-24  11:58:48 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-07-24 09:58
.
Vor Suchlauf: 13 Verzeichnis(se), 433.269.800.960 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 432.961.236.992 Bytes frei
.
- - End Of File - - 0CAE0A89DA2304984B8322B33A34A86A
         

Alt 24.07.2011, 11:31   #11
M-K-D-B
/// TB-Ausbilder
 
BOO/TDss.M im Masterbootsektor/HD0 entdeckt - Standard

BOO/TDss.M im Masterbootsektor/HD0 entdeckt



Hallo Ifron,



Gehe ich richtig in der Annahme, dass früher auf diesem Rechner eine Sygate Firewall installiert war? Ich sehe noch ein paar Reste in den Logfiles.
Mittlerweile ist diese ja deinstalliert, richtig?


Lösche bitte die vorhandene CFScript.txt von deinem Desktop.

Wir müssen ein neues CFScript ausführen:



Schritt # 1: CFScript mit ComboFix ausführen
Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
ATTFilter
Folder::
c:\poooooooasi
c:\programdata\fH01602DkHfJ01602
         
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:
  • Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
  • Mache nichts am PC solange ComboFix läuft.
  • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.





Schritt # 2: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)
Downloade Dir bitte Malwarebytes' Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.




Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • das neue Logfile von ComboFix und
  • das Logfile von MBAM.
__________________
Grüße aus Bayern

=========================

Das Trojaner-Board unterstützen

Alt 24.07.2011, 13:26   #12
Ifron
 
BOO/TDss.M im Masterbootsektor/HD0 entdeckt - Standard

BOO/TDss.M im Masterbootsektor/HD0 entdeckt



Hey M-K-D-B,

ja das ist richtig ich hatte mal die Sygate Personal firewall drauf, die habe ich aber schon ne ganze Weile nicht mehr, da die unter Win 7 nicht wirklich funktioniert hat (bzw. habe ich sie nicht zum laufen bekommen). Deinstalliert ist sie mittlerweile auch schon wieder.

Der neue Combofix logfile ist hier:

Code:
ATTFilter
ComboFix 11-07-23.04 - Ann-Marie 24.07.2011  13:49:04.3.2 - x64
Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.3764.2585 [GMT 2:00]
ausgeführt von:: c:\users\Ann-Marie\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Ann-Marie\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\fH01602DkHfJ01602
c:\programdata\fH01602DkHfJ01602\fH01602DkHfJ01602
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-06-24 bis 2011-07-24  ))))))))))))))))))))))))))))))
.
.
2011-07-24 11:53 . 2011-07-24 11:53	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-07-24 11:53 . 2011-07-24 11:53	--------	d-----w-	c:\users\Administrator\AppData\Local\temp
2011-07-24 09:46 . 2011-07-24 11:48	--------	d-----w-	C:\32788R22FWJFW
2011-07-20 18:11 . 2011-07-20 18:11	--------	d-----w-	c:\users\Ann-Marie\AppData\Roaming\Avira
2011-07-20 17:54 . 2011-07-20 19:18	88288	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-07-20 17:54 . 2011-07-20 19:18	123784	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-07-20 17:54 . 2011-07-20 17:54	--------	d-----w-	c:\programdata\Avira
2011-07-20 17:54 . 2011-07-20 17:54	--------	d-----w-	c:\program files\Avira
2011-07-13 11:28 . 2011-07-13 14:36	--------	d-----w-	c:\users\Ann-Marie\AppData\Roaming\.minecraft
2011-07-07 18:46 . 2011-07-07 18:46	--------	d-----w-	c:\users\Ann-Marie\AppData\Local\SKIDROW
2011-07-06 09:28 . 2011-07-06 09:28	--------	d-----w-	c:\program files (x86)\Apple Software Update
2011-07-06 09:27 . 2011-07-06 09:27	--------	d-----w-	c:\program files\iPod
2011-07-06 09:27 . 2011-07-06 09:27	--------	d-----w-	c:\program files\iTunes
2011-07-06 09:25 . 2011-07-06 09:25	--------	d-----w-	c:\program files\Bonjour
2011-07-06 09:24 . 2011-07-06 09:24	--------	d-----w-	c:\program files (x86)\Safari
2011-07-03 01:36 . 2011-07-16 09:45	--------	d-----w-	c:\users\Ann-Marie\AppData\Roaming\uTorrent
2011-07-03 01:36 . 2011-07-03 01:36	--------	d-----w-	c:\users\Ann-Marie\AppData\Local\uTorrent
2011-07-02 17:10 . 2011-07-02 17:10	--------	d-----w-	c:\program files (x86)\Common Files\Blizzard Entertainment
2011-06-30 18:29 . 2011-07-24 11:55	--------	d-----w-	c:\users\Ann-Marie\AppData\Local\PMB Files
2011-06-30 18:29 . 2011-06-30 18:29	--------	d-----w-	c:\programdata\PMB Files
2011-06-30 18:29 . 2011-06-30 18:29	--------	d-----w-	c:\program files (x86)\Pando Networks
2011-06-27 19:51 . 2011-06-27 19:51	--------	d-----w-	c:\users\Ann-Marie\AppData\Roaming\InstallShield
2011-06-27 09:30 . 2011-06-27 09:30	--------	d-----w-	c:\programdata\Ubisoft
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-24 00:04 . 2011-06-24 00:04	98304	----a-w-	c:\windows\SysWow64\CmdLineExt.dll
2011-06-19 16:35 . 2011-06-19 16:34	188128	----a-w-	c:\programdata\Microsoft\VCSExpress\10.0\1033\ResourceCache.dll
2011-05-10 06:06 . 2011-05-10 06:06	51712	----a-w-	c:\windows\system32\drivers\usbaapl64.sys
2011-05-10 06:06 . 2011-05-10 06:06	4517664	----a-w-	c:\windows\system32\usbaaplrc.dll
.
.
(((((((((((((((((((((((((((((   SnapShot_2011-07-24_09.54.14   )))))))))))))))))))))))))))))))))))))))))
.
- 2011-07-24 09:54 . 2011-07-24 09:54	32768              c:\windows\Temp\Temporary Internet Files\Content.IE5\index.dat
+ 2011-07-24 11:54 . 2011-07-24 11:54	32768              c:\windows\Temp\Temporary Internet Files\Content.IE5\index.dat
- 2011-07-24 09:54 . 2011-07-24 09:54	16384              c:\windows\Temp\History\History.IE5\index.dat
+ 2011-07-24 11:54 . 2011-07-24 11:54	16384              c:\windows\Temp\History\History.IE5\index.dat
- 2011-07-24 09:54 . 2011-07-24 09:54	16384              c:\windows\Temp\Cookies\index.dat
+ 2011-07-24 11:54 . 2011-07-24 11:54	16384              c:\windows\Temp\Cookies\index.dat
+ 2011-07-24 11:53 . 2011-07-24 11:53	13360              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\SoftGrid Client\Icon Cache\icon_ex.dat
- 2011-07-24 09:52 . 2011-07-24 09:52	13360              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\SoftGrid Client\Icon Cache\icon_ex.dat
+ 2009-07-14 04:54 . 2011-07-24 11:54	16384              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-07-14 04:54 . 2011-07-24 09:53	16384              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-07-14 04:54 . 2011-07-24 11:54	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:54 . 2011-07-24 09:53	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:54 . 2011-07-24 09:53	16384              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:54 . 2011-07-24 11:54	16384              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-09-08 02:33 . 2011-07-24 09:55	56166              c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 05:10 . 2011-07-24 09:55	42926              c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2010-12-19 20:52 . 2011-07-24 09:55	10882              c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1422427792-189484117-2329326468-1001_UserData.bin
- 2010-12-20 02:40 . 2011-07-24 09:28	16384              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-12-20 02:40 . 2011-07-24 09:54	16384              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-12-20 02:40 . 2011-07-24 09:54	32768              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-12-20 02:40 . 2011-07-24 09:28	32768              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-07-14 04:54 . 2011-07-24 09:54	16384              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-07-14 04:54 . 2011-07-24 09:28	16384              c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-12-19 21:15 . 2011-07-24 11:55	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2010-12-19 21:15 . 2011-07-24 09:54	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-12-19 21:15 . 2011-07-24 11:55	32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-12-19 21:15 . 2011-07-24 09:54	32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2010-12-19 21:15 . 2011-07-24 11:55	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2010-12-19 21:15 . 2011-07-24 09:54	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2010-12-19 20:52 . 2011-07-24 09:54	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-12-19 20:52 . 2011-07-24 11:55	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2010-12-19 20:52 . 2011-07-24 09:54	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-12-19 20:52 . 2011-07-24 11:55	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2011-07-24 09:53 . 2011-07-24 09:53	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2011-07-24 11:54 . 2011-07-24 11:54	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2011-07-24 11:54 . 2011-07-24 11:54	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2011-07-24 09:53 . 2011-07-24 09:53	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2009-07-14 02:36 . 2011-07-24 09:58	647950              c:\windows\system32\perfh009.dat
- 2009-07-14 02:36 . 2011-07-24 09:32	647950              c:\windows\system32\perfh009.dat
- 2010-10-16 10:04 . 2011-07-24 09:32	691976              c:\windows\system32\perfh007.dat
+ 2010-10-16 10:04 . 2011-07-24 09:58	691976              c:\windows\system32\perfh007.dat
- 2009-07-14 02:36 . 2011-07-24 09:32	118822              c:\windows\system32\perfc009.dat
+ 2009-07-14 02:36 . 2011-07-24 09:58	118822              c:\windows\system32\perfc009.dat
- 2010-10-16 10:04 . 2011-07-24 09:32	145284              c:\windows\system32\perfc007.dat
+ 2010-10-16 10:04 . 2011-07-24 09:58	145284              c:\windows\system32\perfc007.dat
+ 2009-07-14 05:12 . 2011-07-24 09:54	262144              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
- 2009-07-14 05:12 . 2011-07-24 09:28	262144              c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
- 2009-07-14 05:01 . 2011-07-24 09:52	294952              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2009-07-14 05:01 . 2011-07-24 11:53	294952              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
- 2010-12-30 09:40 . 2011-07-24 09:52	4876376              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-1422427792-189484117-2329326468-1001-8192.dat
+ 2010-12-30 09:40 . 2011-07-24 11:53	4876376              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-1422427792-189484117-2329326468-1001-8192.dat
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files (x86)\Windows Live\Messenger\msnmsgr.exe" [2010-11-10 4240760]
"Pando Media Booster"="c:\program files (x86)\Pando Networks\Media Booster\PMB.exe" [2011-06-30 3077528]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-28 35696]
"BackupManagerTray"="c:\program files (x86)\NewTech Infosystems\Packard Bell MyBackup\BackupManagerTray.exe" [2010-06-28 263936]
"LManager"="c:\program files (x86)\Launch Manager\LManager.exe" [2010-08-11 975952]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2010-12-09 1226608]
"DivX Download Manager"="c:\festplatte\Programme\DivX\DivX Plus Web Player\DDmService.exe" [2010-12-08 63360]
"iTunesHelper"="c:\festplatte\Programme\iTunes\iTunesHelper.exe" [2011-06-07 421160]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
VideoWebCamera.exe.lnk - c:\program files (x86)\Video Web Camera\VideoWebCamera.exe [2010-6-8 6329160]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS [x]
R3 dump_wmimmc;dump_wmimmc;f:\platte\Games\Flyff\GameGuard\dump_wmimmc.sys [x]
R3 GamesAppService;GamesAppService;c:\program files (x86)\WildTangent Games\App\GamesAppService.exe [2010-10-12 206072]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeActiveFileMonitor8.0;Adobe Active File Monitor V8;c:\program files (x86)\Adobe\Elements Organizer 8.0\PhotoshopElementsFileAgent.exe [2009-10-09 169312]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-21 136360]
S2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2010-02-28 821664]
S2 DsiWMIService;Dritek WMI Service;c:\program files (x86)\Launch Manager\dsiwmis.exe [2010-08-11 321104]
S2 ePowerSvc;Acer ePower Service;c:\program files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe [2010-06-11 868896]
S2 GREGService;GREGService;c:\program files (x86)\Packard Bell\Registration\GREGsvc.exe [2010-01-08 23584]
S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files (x86)\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe [2010-06-28 255744]
S2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2010-04-24 483688]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-03-03 2320920]
S2 Updater Service;Updater Service;c:\program files\Packard Bell\Packard Bell Updater\UpdaterService.exe [2010-01-28 243232]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [x]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [x]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [x]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [x]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [x]
S3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2010-04-24 209768]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [x]
.
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AmIcoSinglun64"="c:\program files (x86)\AmIcoSingLun\AmIcoSinglun64.exe" [2010-06-10 324608]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-05-07 161304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-05-07 386584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-05-07 413208]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2010-07-29 11101800]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2009-10-22 325120]
"Acer ePower Management"="c:\program files\Packard Bell\Packard Bell Power Management\ePowerTray.exe" [2010-06-11 861216]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://packardbell.msn.com
uLocal Page = c:\windows\system32\blank.htm
mStart Page = hxxp://packardbell.msn.com
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Free YouTube Download - c:\users\Ann-Marie\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to iPod Converter - c:\users\Ann-Marie\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetoipodconverter.htm
TCP: DhcpNameServer = 192.168.178.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1422427792-189484117-2329326468-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"
.
[HKEY_USERS\S-1-5-21-1422427792-189484117-2329326468-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Bonjour\mDNSResponder.exe
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files (x86)\Launch Manager\LMworker.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-07-24  13:59:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-07-24 11:59
.
Vor Suchlauf: 14 Verzeichnis(se), 433.010.642.944 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 432.956.051.456 Bytes frei
.
- - End Of File - - 5B14509FD6CF7176F103C0803F42BF86
         

und die MBAM files sind hier:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7261

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

24.07.2011 14:16:35
mbam-log-2011-07-24 (14-16-35).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 174054
Laufzeit: 2 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\TJHTHX1O7X (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Alt 24.07.2011, 13:37   #13
M-K-D-B
/// TB-Ausbilder
 
BOO/TDss.M im Masterbootsektor/HD0 entdeckt - Standard

BOO/TDss.M im Masterbootsektor/HD0 entdeckt



Hallo Ifron,



ich bitte um einen kleinen Zwischenbericht:

Wie läuft dein Rechner derzeit?
Gibt es Probleme? Wenn ja, welche?






Schritt # 1: Systemscan mit OTL
  • Starte bitte OTL.exe.
  • Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
  • Poste die OTL.txt und die Extras.txt hier in deinen Thread.




Schritt # 2: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • die Beantwortung der gestellten Fragen und
  • die beiden neuen Logfiles von OTL (OTL.txt und Extras.txt).
__________________
Grüße aus Bayern

=========================

Das Trojaner-Board unterstützen

Alt 24.07.2011, 14:07   #14
Ifron
 
BOO/TDss.M im Masterbootsektor/HD0 entdeckt - Standard

BOO/TDss.M im Masterbootsektor/HD0 entdeckt



Hey M-K-D-B,

der Laptop läuft an sich wunderbar. Ich bin zwar der Meinung das das Hochfahren immernoch länger dauert als vor dem Virusbefall, es ist aber nur minimal und seid der bisherigen Bereinigung um EINIGES schneller geworden. Ansonsten fällt mir nichts auf was ungewöhnlich wäre, soweit ich das beurteilen kann.

Die Logfiles befinden sich im Anhang, da das Hochladen in den Codeboxen komischerweise nicht funktioniert hat. An sich funktionieren alle Funktionionen des Browsers einwandfrei, nur speziell diese Antwort in den Thread zu schreiben hat nicht funktioniert (der Rechner reagiert zwar aber lädt "unendlich" lang).

Alt 24.07.2011, 14:49   #15
M-K-D-B
/// TB-Ausbilder
 
BOO/TDss.M im Masterbootsektor/HD0 entdeckt - Standard

BOO/TDss.M im Masterbootsektor/HD0 entdeckt



Hallo Ifron,






Schritt # 1: Fix mit OTL
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
:OTL
DRV - [2004.02.02 11:53:28 | 000,018,518 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Boot | Stopped] -- C:\Windows\system32\drivers\wpsdrvnt.sys -- (wpsdrvnt)
DRV - [2004.02.02 11:51:04 | 000,055,891 | ---- | M] (Sygate Technologies, Inc.) [Kernel | System | Stopped] -- C:\Windows\SYSTEM32\Drivers\Teefer.sys -- (Teefer)
DRV - [2004.02.02 11:37:32 | 000,011,914 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Auto | Stopped] -- C:\Windows\SYSTEM32\Drivers\wg3n.sys -- (wg3n)
FF - prefs.js..browser.search.defaultthis.engineName: "Game Master 1.1 Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2856449&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Game Master 1.1 Customized Web Search"
FF - prefs.js..extensions.enabledItems: {872b5b88-9db5-4310-bdd0-ac189557e5f5}:3.3.3.2
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
[2011.06.26 12:10:46 | 000,000,000 | ---D | M] (DVDVideoSoftTB Community Toolbar) -- C:\Users\Ann-Marie\AppData\Roaming\mozilla\Firefox\Profiles\bl3lem6s.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
[2011.06.26 12:10:46 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Ann-Marie\AppData\Roaming\mozilla\Firefox\Profiles\bl3lem6s.default\extensions\engine@conduit.com
[2010.12.30 18:26:30 | 000,000,933 | ---- | M] () -- C:\Users\Ann-Marie\AppData\Roaming\Mozilla\Firefox\Profiles\bl3lem6s.default\searchplugins\conduit.xml
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
[2011.07.24 11:28:47 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{DDEF54B3-0B02-43E0-8134-DED37598DC14}
[2011.07.23 10:38:05 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{13D1B040-B56B-4B67-85D6-628BB3E80A81}
[2011.07.22 15:47:38 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{B342C8B4-5EF9-49E3-96CB-D70678747FDC}
[2011.07.20 19:39:40 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{CED6590A-550C-4BDC-9FDE-7DA5AA16B566}
[2011.07.20 19:29:40 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{D4F34911-DDD3-4080-9362-5E7E43772570}
[2011.07.20 12:43:47 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{58A7FFB2-7A6C-4829-BAD3-5D3C141FF498}
[2011.07.20 12:37:06 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{4A750548-BFCB-44A1-8FA9-A65945050B6A}
[2011.07.17 22:14:24 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{37E444B9-328A-4DC7-9DA5-CDF548036B97}
[2011.07.17 07:29:31 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{D50495AE-374D-4F2D-8676-A065A5A9484B}
[2011.07.16 10:22:18 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{ADE4BA66-CC25-4458-B292-E9DC94190A98}
[2011.07.15 11:36:39 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{D7C3F2DC-645F-44B2-B09C-3EA6F0507701}
[2011.07.14 14:28:27 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{D1AA260A-2E89-4507-9F7C-F60413894039}
[2011.07.13 13:48:54 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{727D3D80-261F-4BE2-A867-005CAD2F0EA2}
[2011.07.11 15:55:32 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{BA5EEFC1-A869-4382-AA98-ECFB5523B547}
[2011.07.10 10:33:41 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{50EA10F7-56BE-4F01-A195-BA4EDA0C250F}
[2011.07.09 00:15:20 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{827F7D1F-E9FE-43CE-AEC3-83D8BD8D3DE6}
[2011.07.06 17:48:34 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{786278F3-F4AF-4FDD-A10D-0062C2E14F8D}
[2011.07.06 16:30:31 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{04927D79-B2DA-4304-A0C9-ED1C882A35F8}
[2011.07.05 19:17:05 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{73F861E5-C43E-4944-9F8C-188DA170386E}
[2011.07.04 12:37:01 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{85CF987B-1571-441D-8F1B-1A42A54FA8A9}
[2011.07.03 17:05:13 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{E9298AAD-92BE-4761-BF74-191828F5BAA9}
[2011.07.01 09:09:11 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{09702910-F054-4AC9-AEF5-F435F98B2876}
[2011.06.30 10:55:38 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{38556073-EB8D-424F-8EB0-43E34B3C408B}
[2011.06.29 11:54:56 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{FD8A7B68-4071-466D-B3AD-3D67D91335E4}
[2011.06.28 11:14:13 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{622A6E00-B664-4645-80C9-CDC86D1110D8}
[2011.06.27 20:10:25 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{3C7A15F0-3BDB-455D-9508-BD67422CE3F1}
[2011.06.26 20:10:22 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{5FDC8781-A78A-40F8-BB69-16F919BDCA10}

:commands
[Emptytemp]
         
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread




Schritt # 2: Java deinstallieren/neu installieren
  • Schließe alle Internet Browser.
  • Folge dem Pfad: Start -> Systemsteuerung -> Programme deinstallieren
  • Deinstalliere bitte Java(TM) 6 Update 23
  • Lade dir anschließend Java(TM) 6 Update 26 (64-Bit) von hier auf deinen Desktop.
  • Installiere anschließend die neue Version mit Rechtsklick -> Als Administrator ausführen




Schritt # 3: Wichtige Updates
  • Deinstalliere bitte deine aktuelle Version von Adobe Reader:
    Start --> Systemsteuerung --> Programme deinstallieren --> Adobe Reader
    und lade dir die neue Version von Hier herunter.
  • Entferne den Hacken für den McAfee SecurityScan bzw. Google Chrome.




Schritt # 4: ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
  • Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
  • Dein Anti-Virus-Programm während des Scans deaktivieren.

    Button (<< klick) drücken.
    • Firefox-User:
      Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
    • IE-User:
      müssen das Installieren eines ActiveX Elements erlauben.
  • Setze den einen Hacken bei Yes, i accept the Terms of Use.
  • Drücke den Button.
  • Warte bis die Komponenten herunter geladen wurden.
  • Setze einen Haken bei "Scan archives".
  • Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
  • drücken.
  • Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.
Wenn der Scan beendet wurde
  • Klicke Finish.
  • Browser schließen.
Drücke bitte die + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Code:
ATTFilter
"%ProgramFiles(X86)%\Eset\Eset Online Scanner\log.txt"
         
Poste nun den Inhalt der log.txt.





Schritt # 5: Durchführung einer Sicherheitskontrolle
Downloade Dir bitte SecurityCheck
  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.
  • Poste den Inhalt bitte hier.




Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • das Logfile des OTL-Fix,
  • das Logfile des ESET Online Scanners und
  • das Logfile von SecurityCheck.
__________________
Grüße aus Bayern

=========================

Das Trojaner-Board unterstützen

Antwort

Themen zu BOO/TDss.M im Masterbootsektor/HD0 entdeckt
antivir, avira, avira antivir, beendet, boo/tdss.m, browser, datei, entdeck, entfernen, guten, hochfahren, internetseite, klicke, laptop, mas, neustart, nicht mehr, pcs, popup, scan, seite, seiten, tool, verschiedene, virus, websites



Ähnliche Themen: BOO/TDss.M im Masterbootsektor/HD0 entdeckt


  1. Virus 'BOO/TDss.O' im Masterbootsektor
    Log-Analyse und Auswertung - 08.09.2014 (24)
  2. Windows 7: Virus 'BOO/TDss.O' im Masterbootsektor
    Log-Analyse und Auswertung - 08.05.2014 (33)
  3. BOO/TDss.M im Masterbootsektor/HD0 entdeckt
    Plagegeister aller Art und deren Bekämpfung - 07.05.2014 (3)
  4. BOO/TDss.O im Masterbootsektor
    Log-Analyse und Auswertung - 17.04.2014 (11)
  5. Nach Avira Update: Win 7- BOO/TDss.O wurde im Masterbootsektor gefunden
    Log-Analyse und Auswertung - 22.01.2014 (23)
  6. BOO /TDss.O im Masterbootsektor gefunden nach Installation von Windows 7 auf einer zweiten internen Festplatte
    Plagegeister aller Art und deren Bekämpfung - 07.01.2014 (33)
  7. Windows 7: BOO/TDss.O in Masterbootsektor nach Formatierung
    Log-Analyse und Auswertung - 17.11.2013 (6)
  8. BOO/TDss.M in Masterbootsektor
    Plagegeister aller Art und deren Bekämpfung - 22.03.2012 (22)
  9. BOO/TDss.m Masterbootsektor verseucht! versuch zu bereinigen gescheitert
    Plagegeister aller Art und deren Bekämpfung - 06.01.2012 (27)
  10. Virus ? MasterBootSektor defekt ? Speicherveränderung wurde entdeckt
    Plagegeister aller Art und deren Bekämpfung - 26.12.2011 (28)
  11. BOO/TDss.M im Masterbootsektor gefunden.(Antivir) Auch nach Systemrücksetzung mit Samsung Recovery
    Plagegeister aller Art und deren Bekämpfung - 03.11.2011 (36)
  12. Dringend Hilfe gesucht!! Virus "BOO/TDss.D" auf dem Bootsektor, Masterbootsektor HD0
    Log-Analyse und Auswertung - 11.10.2011 (1)
  13. Masterbootsektor HD0 Virus BOO/TDss.D
    Plagegeister aller Art und deren Bekämpfung - 24.09.2011 (35)
  14. BOO/TDss.M im Masterbootsektor gefunden - wie entfernen?
    Log-Analyse und Auswertung - 20.05.2011 (26)
  15. Masterbootsektor mit BOO/TDss.M vereucht
    Plagegeister aller Art und deren Bekämpfung - 05.05.2011 (32)
  16. 'Masterbootsektor HD0'' BOO/TDss.M' [virus].Laptop lässt sich nicht herunterfahren!
    Plagegeister aller Art und deren Bekämpfung - 03.05.2011 (15)
  17. BOO/Sinowal.F im Masterbootsektor entdeckt - Brauche schnelle Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 15.09.2010 (7)

Zum Thema BOO/TDss.M im Masterbootsektor/HD0 entdeckt - Einen schönen guten Tag, ich habe auf meinem Laptop während der letzten Virenprüfung mit Avira Antivir feststellen müssen, dass ich einen Virus "BOO/TDss.M" im Masterbootsektor/HD0 habe. Nach beendigung des Avira - BOO/TDss.M im Masterbootsektor/HD0 entdeckt...
Archiv
Du betrachtest: BOO/TDss.M im Masterbootsektor/HD0 entdeckt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.