Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.11.2011, 09:07   #1
tafkar
 
GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich - Standard

GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich



Hallo,

mir wurde ein Rechner vorgesetzt, der wohl mit dem GEMA-Trojaner infiziert ist. Selbst im abgesicherten Modus startet der Trojaner und lässt keinen Zugriff auf den Rechner zu. STRG-ALT-ENTF bringt zwar das Fenster "Windows-Sicherheit", aber der Taskmanager-Button ist ausgegraut und kann nicht angeklickt werden.

Wie bekomme ich wieder Zugriff auf den Rechner und wie entferne ich den Schädling? Bitte helft mir!

Alt 17.11.2011, 09:50   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich - Standard

GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich



Downloade dir bitte srep.exe und speichere diese auf einen USB Stick. Wichtig: Nicht in einen Ordner speichern.
  • Starte den infizierten Rechner neu auf.
  • Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
  • Logge dich nun in das infizierte Benutzerkonto ein.
  • Schließe den USB Stick an den infizierten Rechner an.
  • Nun ist etwas Handarbeit gefragt.
    • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
    • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
      Zitat:
      Das System kann das angegeben Laufwerk nicht finden
      versuche einen anderen Laufwerksbuchstaben. ( zB F: )
  • Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
    start srep.exe
  • Bestätige den Disclaimer mit OK.
  • Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.
Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.
__________________

__________________

Alt 17.11.2011, 10:41   #3
tafkar
 
GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich - Standard

GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich



Im abgesicherten Modus ohne Netzwerktreiber mit Eingeabeaufforderung konnte ich mich leider nicht als der betroffene Benutzer anmelden, sondern nur als lokaler Administrator.
Habe srep.exe dann ausgeführt, der Rechner startete neu. Nach Anmeldung als ursprünglicher Benutzer war auch für ein paar Sekunden die Taskleiste zu sehen, aber dann startete der Trojaner wieder. Nachfolgend nun das Log von srep.exe:

Code:
ATTFilter
WIN_XP X86 Service Pack 3
Running from E:\

Modified HKLM shell extension. Current Shell File = C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe
.
.
File C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe moved to E:\\infected or not found
HKCU\..\Winlogon; Shell not found
.


[System Process]
System
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
svchost.exe
svchost.exe
cmd.exe
srep.exe


HKLM\..\Run [RTHDCPL] = RTHDCPL.EXE
HKLM\..\Run [Alcmtr] = ALCMTR.EXE
HKLM\..\Run [IgfxTray] = C:\WINDOWS\system32\igfxtray.exe
HKLM\..\Run [HotKeysCmds] = C:\WINDOWS\system32\hkcmd.exe
HKLM\..\Run [Persistence] = C:\WINDOWS\system32\igfxpers.exe
HKLM\..\Run [eDoc] = C:\PROGRA~1\GEMEIN~1\MAYCOM~1\EDOCPR~1\eDoc.exe
HKLM\..\Run [FreePDF Assistant] = C:\Programme\FreePDF_XP\fpassist.exe
HKLM\..\Run [SfWinStartInfo] = "C:\Programme\SFirm32\sfWinStartupInfo.exe"
HKLM\..\Run [WireLessMouse ] = C:\Programme\TCM\TCM COMBO SET\MouseDrv.exe
HKLM\..\Run [WireLessKeyboard ] = C:\Programme\TCM\TCM COMBO SET\PS2USBKbdDrv.exe
HKLM\..\Run [Adobe Reader Speed Launcher] = "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM\..\Run [bgsmsnd.exe] = C:\WINDOWS\system32\bgsmsnd.exe
HKLM\..\Run [Immunet Protect] = "C:\Programme\Immunet\3.0.1\iptray.exe"
HKLM\..\Run [SunJavaUpdateSched] = "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
HKLM\..\Run [Ats81dFW1TA5VRA] = C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe

HKCU\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\ctfmon.exe

HKU\.DEFAULT\..\Winlogon; Shell = \54uhjseiu6rtjut.exe
HKU\S-1-5-20\..\Winlogon; Shell = 
HKU\S-1-5-20_Classes\..\Winlogon; Shell = 
HKU\S-1-5-21-3651140217-2801312803-1851599612-500\..\Winlogon; Shell = 
HKU\S-1-5-21-3651140217-2801312803-1851599612-500_Classes\..\Winlogon; Shell = 
HKU\S-1-5-18\..\Winlogon; Shell = \54uhjseiu6rtjut.exe

HKU\.DEFAULT\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\.DEFAULT\..\Run [45huys55hy5rts] = \4aygerhye4.exe
HKU\.DEFAULT\..\Run [Ats81dFW1TA5VRA] = \54uhjseiu6rtjut.exe
HKU\S-1-5-20\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-21-3651140217-2801312803-1851599612-500\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\ctfmon.exe
HKU\S-1-5-18\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-18\..\Run [45huys55hy5rts] = \4aygerhye4.exe
HKU\S-1-5-18\..\Run [Ats81dFW1TA5VRA] = \54uhjseiu6rtjut.exe

==== FINISH 17.11-11.28 ====
         
__________________

Alt 17.11.2011, 10:49   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich - Standard

GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich



Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.11.2011, 12:00   #5
tafkar
 
GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich - Standard

GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich



OTL.Txt:
Code:
ATTFilter
OTL logfile created on: 11/17/2011 12:57:47 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 84.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 95.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149.04 Gb Total Space | 98.26 Gb Free Space | 65.93% Space Free | Partition Type: NTFS
Drive D: | 3.82 Gb Total Space | 3.82 Gb Free Space | 99.95% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011/06/07 08:55:18 | 003,519,864 | ---- | M] (pcvisit Software ag) [On_Demand] -- C:\Dokumente und Einstellungen\n.Koch\Lokale Einstellungen\Temp\nsrBF.tmp\caloa_app.exe -- (Caloa Agent Service 1.0)
SRV - [2011/05/05 03:57:45 | 000,327,680 | ---- | M] (S.C. BitDefender S.R.L) [On_Demand] -- C:\Programme\Immunet\tetra\scan.dll -- (scan)
SRV - [2011/05/05 03:57:43 | 000,741,272 | ---- | M] (Sourcefire, Inc.) [Auto] -- C:\Programme\Immunet\3.0.1\agent.exe -- (ImmunetProtect)
SRV - [2009/08/19 07:27:37 | 000,054,784 | ---- | M] (Macrovision) [Auto] -- C:\WINDOWS\system32\drivers\CDAC11BA.EXE -- (C-DillaCdaC11BA)
SRV - [2003/07/28 06:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003/06/19 17:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2011/05/05 03:57:45 | 000,304,712 | ---- | M] (BitDefender S.R.L.) [File_System | On_Demand] -- C:\WINDOWS\system32\drivers\Trufos.sys -- (Trufos)
DRV - [2011/05/05 03:57:44 | 000,047,440 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [File_System | System] -- C:\WINDOWS\system32\drivers\ImmunetProtect.sys -- (ImmunetProtectDriver)
DRV - [2011/05/05 03:57:44 | 000,031,952 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [File_System | System] -- C:\WINDOWS\system32\drivers\ImmunetSelfProtect.sys -- (ImmunetSelfProtectDriver)
DRV - [2010/02/24 08:11:07 | 000,455,680 | ---- | M] () [File_System | System] -- C:\WINDOWS\system32\drivers\mrxsmb.sys -- (MRxSmb)
DRV - [2009/08/19 07:27:38 | 000,012,464 | ---- | M] (Macrovision Europe Ltd) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\CDAC15BA.SYS -- (CdaC15BA)
DRV - [2009/02/03 11:22:00 | 005,030,912 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008/08/05 14:10:12 | 001,684,736 | ---- | M] (Creative) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2008/02/27 06:49:00 | 000,003,840 | ---- | M] () [Kernel | System] -- C:\WINDOWS\System32\Drivers\BANTExt.sys -- (BANTExt)
DRV - [2008/01/03 16:10:16 | 000,105,856 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2006/11/22 03:01:48 | 000,693,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock)
DRV - [2006/01/04 09:41:48 | 001,389,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2004/08/13 03:56:20 | 000,005,810 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\a.kuchnia_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://companyweb
IE - HKU\a.kuchnia_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://companyweb
IE - HKU\a.kuchnia_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\admin.MICHALSKI.000_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Admin.MICHALSKI_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://companyweb
IE - HKU\Admin.MICHALSKI_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://companyweb
IE - HKU\Admin.MICHALSKI_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Admin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\administrator.MICHALSKI.000_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\administrator.MICHALSKI_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\c.vorwald_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.surfmusic.de/
IE - HKU\c.vorwald_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\ehlert_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\ehlert_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\n.Koch_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://companyweb
IE - HKU\n.Koch_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.maler-michalski.de/
IE - HKU\n.Koch_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\rupprecht.MICHALSKI_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\rupprecht_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\t.krause_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: linkfilter@kaspersky.ru:9.0.0.736
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.22\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011/09/14 02:05:39 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.22\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011/09/14 02:05:39 | 000,000,000 | ---D | M]
 
[2010/07/27 05:59:12 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\mozilla\Extensions
[2011/09/14 02:15:49 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\mozilla\Firefox\Profiles\pd5wlvuz.default\extensions
[2010/11/25 02:50:52 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\mozilla\Firefox\Profiles\pd5wlvuz.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011/09/14 02:15:49 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010/05/06 03:29:45 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010/11/25 02:38:14 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011/05/05 04:02:06 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2010/05/06 03:43:23 | 000,000,000 | ---D | M] (Kaspersky URL Advisor) -- C:\Programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
[2009/07/01 04:18:16 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011/02/02 14:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011/09/14 02:05:32 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011/09/14 02:05:32 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011/09/14 02:05:32 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011/09/14 02:05:32 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011/09/14 02:05:32 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
Hosts file not found
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (pdfMachine) - {56CF4856-ECB4-4e46-A897-A378821F97B9} - C:\WINDOWS\system32\bgstb.dll (Broadgun Software)
O3 - HKLM\..\Toolbar: (pdfMachine) - {56CF4856-ECB4-4e46-A897-A378821F97B9} - C:\WINDOWS\system32\bgstb.dll (Broadgun Software)
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (pdfMachine) - {56CF4856-ECB4-4E46-A897-A378821F97B9} - C:\WINDOWS\system32\bgstb.dll (Broadgun Software)
O3 - HKU\n.Koch_ON_C\..\Toolbar\WebBrowser: (pdfMachine) - {56CF4856-ECB4-4E46-A897-A378821F97B9} - C:\WINDOWS\system32\bgstb.dll (Broadgun Software)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [Ats81dFW1TA5VRA] C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe (                            )
O4 - HKLM..\Run: [bgsmsnd.exe] C:\WINDOWS\system32\bgsmsnd.exe (Broadgun Software)
O4 - HKLM..\Run: [eDoc] C:\Programme\Gemeinsame Dateien\MAYComputer\eDocPrintPro\eDoc.exe (May Software)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [Immunet Protect] C:\Programme\Immunet\3.0.1\iptray.exe (Immunet)
O4 - HKLM..\Run: [SfWinStartInfo] C:\Programme\SFirm32\sfWinStartupInfo.exe (SFirm Hannover)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [WireLessKeyboard ] C:\Programme\TCM\TCM COMBO SET\PS2USBKbdDrv.exe ()
O4 - HKLM..\Run: [WireLessMouse ] C:\Programme\TCM\TCM COMBO SET\MouseDrv.exe ()
O4 - HKU\.DEFAULT..\Run: [45huys55hy5rts]  File not found
O4 - HKU\.DEFAULT..\Run: [Ats81dFW1TA5VRA]  File not found
O4 - HKU\n.Koch_ON_C..\Run: [45huys55hy5rts] C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\4aygerhye4.exe (                            )
O4 - HKU\n.Koch_ON_C..\Run: [Ats81dFW1TA5VRA] C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe (                            )
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: RunStartupScriptSync = 1
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\a.kuchnia_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\a.kuchnia_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\a.kuchnia_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\admin.MICHALSKI.000_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\admin.MICHALSKI.000_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\admin.MICHALSKI.000_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Admin.MICHALSKI_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\Admin.MICHALSKI_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\Admin.MICHALSKI_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Admin_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\Admin_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\Admin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\administrator.MICHALSKI.000_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\administrator.MICHALSKI.000_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\administrator.MICHALSKI.000_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\administrator.MICHALSKI_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\administrator.MICHALSKI_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\administrator.MICHALSKI_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\Administrator_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\c.vorwald_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\c.vorwald_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\c.vorwald_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\ehlert_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\ehlert_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\ehlert_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\LocalService_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\n.Koch_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\n.Koch_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\n.Koch_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\n.Koch_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\n.Koch_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\n.Koch_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\NetworkService_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\NetworkService_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\rupprecht.MICHALSKI_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\rupprecht.MICHALSKI_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\rupprecht.MICHALSKI_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\rupprecht_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\rupprecht_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\rupprecht_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\systemprofile_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\systemprofile_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\t.krause_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\t.krause_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\t.krause_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 -  File not found
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1267082229455 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = michalski.local
O18 - Protocol\Handler\belarc {6318E0AB-2E93-11D1-B8ED-00608CC9A71F} - C:\Programme\Belarc\Advisor\System\BAVoilaX.dll (Belarc, Inc.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe) - C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe (                            )
O20 - HKU\.DEFAULT Winlogon: Shell - (\54uhjseiu6rtjut.exe) -  File not found
O20 - HKU\n.Koch_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe) - C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe (                            )
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: 
O24 - Desktop BackupWallPaper: 
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/02/26 05:47:30 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{0e9a970e-f569-11e0-aa1c-002354a54a48}\Shell - "" = AutoRun
O33 - MountPoints2\{0e9a970e-f569-11e0-aa1c-002354a54a48}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{0e9a970e-f569-11e0-aa1c-002354a54a48}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MENNEKEN.vbs
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/11/17 05:32:23 | 000,528,384 | ---- | C] (                            ) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe
[2011/11/17 03:13:12 | 000,528,384 | ---- | C] (                            ) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\54uhjseiu6rtjut.exe
[2011/11/17 03:13:12 | 000,095,744 | ---- | C] (Kassl GmbH) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dwlGina3.dll
[2011/11/17 03:12:44 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\IETldCache
[2011/11/15 11:11:55 | 000,528,384 | ---- | C] (                            ) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\4aygerhye4.exe
[2011/11/15 11:11:55 | 000,095,744 | ---- | C] (Kassl GmbH) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\dwlGina3.dll
[2011/11/15 11:07:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2011/11/15 11:06:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2011/11/15 11:05:22 | 000,528,384 | ---- | C] (                            ) -- C:\54uhjseiu6rtjut.exe
[2011/11/15 11:05:22 | 000,528,384 | ---- | C] (                            ) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\4aygerhye4.exe
[2011/11/15 11:05:22 | 000,095,744 | ---- | C] (Kassl GmbH) -- C:\dwlGina3.dll
[2011/11/15 11:04:27 | 000,528,384 | ---- | C] (                            ) -- C:\4aygerhye4.exe
[2010/04/21 00:55:53 | 003,567,616 | ---- | C] ( ) -- C:\WINDOWS\System32\itextsharp.dll
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011/11/17 05:32:52 | 000,487,476 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011/11/17 05:32:52 | 000,444,164 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011/11/17 05:32:52 | 000,095,348 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011/11/17 05:32:52 | 000,072,040 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011/11/17 05:31:36 | 000,001,170 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011/11/17 05:31:00 | 000,000,426 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{3010C1AF-4F8F-494F-9795-ACFE4FCA4220}.job
[2011/11/17 05:29:26 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011/11/17 05:23:17 | 000,000,420 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{F6B97B13-1082-4A7F-B7BA-D5290DD717B6}.job
[2011/11/17 03:13:12 | 000,095,744 | ---- | M] (Kassl GmbH) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dwlGina3.dll
[2011/11/17 03:12:45 | 000,528,384 | ---- | M] (                            ) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\54uhjseiu6rtjut.exe
[2011/11/17 03:12:45 | 000,528,384 | ---- | M] (                            ) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\4aygerhye4.exe
[2011/11/15 11:11:55 | 000,095,744 | ---- | M] (Kassl GmbH) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\dwlGina3.dll
[2011/11/15 11:11:32 | 000,528,384 | ---- | M] (                            ) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe
[2011/11/15 11:11:32 | 000,528,384 | ---- | M] (                            ) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\4aygerhye4.exe
[2011/11/15 11:05:22 | 000,095,744 | ---- | M] (Kassl GmbH) -- C:\dwlGina3.dll
[2011/11/15 11:04:53 | 000,528,384 | ---- | M] (                            ) -- C:\54uhjseiu6rtjut.exe
[2011/11/15 11:04:53 | 000,528,384 | ---- | M] (                            ) -- C:\4aygerhye4.exe
[2011/11/15 09:48:12 | 000,002,537 | ---- | M] () -- C:\Dokumente und Einstellungen\n.Koch\Desktop\Microsoft Office Excel 2003.lnk
[2011/11/15 03:00:01 | 000,271,360 | ---- | M] () -- C:\Dokumente und Einstellungen\n.Koch\Eigene Dateien\archive.pst
[2011/11/07 13:32:51 | 000,105,277 | ---- | M] () -- C:\Dokumente und Einstellungen\n.Koch\Desktop\103751 Kreis Unna Lippe BK WDVS.pdf
[2011/11/04 07:46:32 | 000,002,509 | ---- | M] () -- C:\Dokumente und Einstellungen\n.Koch\Desktop\Microsoft Office Word 2003.lnk
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011/11/07 13:27:30 | 000,105,277 | ---- | C] () -- C:\Dokumente und Einstellungen\n.Koch\Desktop\103751 Kreis Unna Lippe BK WDVS.pdf
[2011/04/01 04:03:49 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\administrator.MICHALSKI.000\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2011/03/22 04:57:29 | 000,216,208 | ---- | C] () -- C:\WINDOWS\System32\bgsserv.exe
[2011/03/22 04:57:29 | 000,122,000 | ---- | C] () -- C:\WINDOWS\System32\bgsreses.dll
[2011/03/22 04:57:29 | 000,115,856 | ---- | C] () -- C:\WINDOWS\System32\bgsresfr.dll
[2011/03/22 04:57:29 | 000,114,320 | ---- | C] () -- C:\WINDOWS\System32\bgsresde.dll
[2011/03/22 04:57:29 | 000,112,784 | ---- | C] () -- C:\WINDOWS\System32\bgsresen.dll
[2011/03/22 04:57:29 | 000,062,096 | ---- | C] () -- C:\WINDOWS\System32\bgspmnt.dll
[2011/03/16 02:59:25 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\n.Koch\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/01/11 01:22:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\0mandanten.ini
[2010/10/30 04:11:13 | 000,000,816 | RHS- | C] () -- C:\Dokumente und Einstellungen\a.kuchnia\ntuser.pol
[2010/10/30 04:10:39 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\a.kuchnia\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010/07/28 08:18:35 | 000,000,816 | RHS- | C] () -- C:\Dokumente und Einstellungen\n.Koch\ntuser.pol
[2010/07/27 06:42:54 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\admin.MICHALSKI.000\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010/07/27 05:06:29 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\n.Koch\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010/03/09 05:31:18 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\rupprecht.MICHALSKI\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010/02/25 03:02:53 | 000,000,008 | RHS- | C] () -- C:\Dokumente und Einstellungen\rupprecht\ntuser.pol
[2010/02/25 03:02:36 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\rupprecht\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/09/04 07:41:53 | 000,006,144 | ---- | C] () -- C:\Dokumente und Einstellungen\ehlert\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/08/19 03:08:23 | 000,001,024 | ---- | C] () -- C:\WINDOWS\System32\SYSPWL.DLL
[2009/08/19 03:05:32 | 000,000,057 | ---- | C] () -- C:\WINDOWS\TCOMM32.INI
[2009/08/19 03:01:29 | 000,010,716 | ---- | C] () -- C:\WINDOWS\ASS_150E.INI
[2009/07/30 02:09:26 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\ehlert\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/07/28 09:46:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2009/07/28 04:54:57 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\c.vorwald\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/07/28 01:53:42 | 000,001,179 | ---- | C] () -- C:\WINDOWS\wincmd.ini
[2009/07/21 09:23:41 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\hlduinst.exe
[2009/07/21 09:23:41 | 000,006,836 | ---- | C] () -- C:\WINDOWS\System32\UNWISE.INI
[2009/07/21 09:23:40 | 000,153,088 | ---- | C] () -- C:\WINDOWS\System32\UNWISE.EXE
[2009/07/21 08:51:20 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\administrator.MICHALSKI\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/04/15 04:50:00 | 000,349,696 | ---- | C] () -- C:\WINDOWS\System32\MBUtil.dll
[2009/04/15 04:49:50 | 000,233,472 | ---- | C] () -- C:\WINDOWS\System32\MBLibMySQL.dll
[2009/04/15 04:45:20 | 000,006,421 | ---- | C] () -- C:\WINDOWS\oe_response.ini
[2009/04/08 03:38:31 | 000,003,840 | ---- | C] () -- C:\WINDOWS\System32\drivers\BANTExt.sys
[2009/03/17 07:09:45 | 000,000,090 | ---- | C] () -- C:\WINDOWS\uno.ini
[2009/03/16 11:46:18 | 000,000,226 | ---- | C] () -- C:\WINDOWS\ktel.ini
[2009/03/16 08:23:22 | 000,000,029 | ---- | C] () -- C:\WINDOWS\System32\sfdaten.ini.lock
[2009/03/16 02:16:03 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\unredmon.exe
[2009/03/13 06:16:38 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\c.vorwald\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/03/12 09:36:53 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\t.krause\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/03/12 09:33:54 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009/03/12 09:20:30 | 000,000,816 | RHS- | C] () -- C:\Dokumente und Einstellungen\Admin.MICHALSKI\ntuser.pol
[2009/03/12 09:20:23 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin.MICHALSKI\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/03/12 09:16:42 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/02/26 06:35:20 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2009/02/26 06:22:02 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll
[2009/02/26 06:02:53 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/02/26 05:59:54 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2009/02/26 05:48:41 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2009/02/26 05:45:40 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2009/02/26 05:41:55 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009/02/26 05:41:23 | 000,347,400 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009/02/26 05:35:54 | 000,005,810 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2009/02/26 05:35:53 | 000,002,480 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2009/02/26 05:35:51 | 000,487,476 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2009/02/26 05:35:51 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2009/02/26 05:35:51 | 000,095,348 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2009/02/26 05:35:51 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2009/02/26 05:35:47 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2009/02/26 05:35:46 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2009/02/26 05:35:46 | 000,444,164 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2009/02/26 05:35:46 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2009/02/26 05:35:46 | 000,072,040 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2009/02/26 05:35:46 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2009/02/26 05:35:46 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2009/02/26 05:35:46 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2009/02/26 05:35:45 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2009/02/26 05:35:45 | 000,455,680 | ---- | C] () -- C:\WINDOWS\System32\drivers\mrxsmb.sys
[2009/02/26 05:35:45 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2009/02/26 05:35:44 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2009/02/26 05:35:43 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008/05/26 16:23:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini
[2008/05/26 16:23:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini
[2008/05/26 16:23:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini
[2008/05/26 15:59:42 | 000,018,904 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschematrivial.bin
[2008/05/26 15:59:40 | 000,106,605 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschema.bin
[2003/02/20 11:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
 
========== LOP Check ==========
 
[2009/03/13 09:19:20 | 000,000,000 | ---D | M] -- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\eDocPrintPro
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Windows Desktop Search
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\a.kuchnia\Anwendungsdaten\Windows Desktop Search
[2010/10/30 04:11:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\a.kuchnia\Anwendungsdaten\Windows Small Business Server
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\admin.MICHALSKI.000\Anwendungsdaten\Windows Desktop Search
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin.MICHALSKI\Anwendungsdaten\Windows Desktop Search
[2009/04/15 04:44:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin.MICHALSKI\Anwendungsdaten\Windows Search
[2009/03/12 09:20:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin.MICHALSKI\Anwendungsdaten\Windows Small Business Server
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Windows Desktop Search
[2011/05/09 06:18:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.MICHALSKI.000\Anwendungsdaten\Immunet
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.MICHALSKI.000\Anwendungsdaten\Windows Desktop Search
[2011/04/01 04:03:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.MICHALSKI.000\Anwendungsdaten\Windows Small Business Server
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.MICHALSKI\Anwendungsdaten\Windows Desktop Search
[2009/07/21 09:26:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.MICHALSKI\Anwendungsdaten\Windows Search
[2009/07/21 08:51:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.MICHALSKI\Anwendungsdaten\Windows Small Business Server
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Desktop Search
[2009/03/13 06:41:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\c.vorwald\Anwendungsdaten\eDocPrintPro
[2009/03/17 01:25:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\c.vorwald\Anwendungsdaten\klickTel
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\c.vorwald\Anwendungsdaten\Windows Desktop Search
[2009/03/16 03:00:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\c.vorwald\Anwendungsdaten\Windows Search
[2009/03/13 06:16:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\c.vorwald\Anwendungsdaten\Windows Small Business Server
[2009/08/19 07:23:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ehlert\Anwendungsdaten\Autodesk
[2010/07/20 07:41:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ehlert\Anwendungsdaten\DBAV
[2009/10/20 00:49:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ehlert\Anwendungsdaten\eDocPrintPro
[2009/08/25 09:12:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ehlert\Anwendungsdaten\klickTel
[2009/08/19 03:03:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ehlert\Anwendungsdaten\Siemens
[2009/08/31 08:36:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ehlert\Anwendungsdaten\TeamViewer
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ehlert\Anwendungsdaten\Windows Desktop Search
[2009/07/30 09:26:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ehlert\Anwendungsdaten\Windows Search
[2009/07/30 02:09:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ehlert\Anwendungsdaten\Windows Small Business Server
[2009/03/13 06:41:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\eDocPrintPro
[2011/03/29 05:38:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\CommunicationClients
[2010/09/15 07:43:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\eDocPrintPro
[2011/05/05 03:58:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\Immunet
[2011/03/08 08:03:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\TeamViewer
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\Windows Desktop Search
[2010/09/08 02:52:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\Windows Search
[2010/07/28 08:18:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\Windows Small Business Server
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\rupprecht.MICHALSKI\Anwendungsdaten\Windows Desktop Search
[2010/03/09 05:31:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\rupprecht.MICHALSKI\Anwendungsdaten\Windows Small Business Server
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\rupprecht\Anwendungsdaten\Windows Desktop Search
[2010/02/25 03:02:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\rupprecht\Anwendungsdaten\Windows Small Business Server
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\t.krause\Anwendungsdaten\Windows Desktop Search
[2009/03/12 09:36:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\t.krause\Anwendungsdaten\Windows Small Business Server
[2009/08/19 07:26:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
[2011/04/21 00:20:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BIVG Hannover
[2011/03/29 05:14:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CC-Logs
[2011/11/15 01:43:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CommunicationsClients
[2009/03/16 02:16:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreePDF_XP
[2011/04/19 23:50:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SFirm Hannover
[2011/11/17 05:31:00 | 000,000,426 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{3010C1AF-4F8F-494F-9795-ACFE4FCA4220}.job
[2011/11/17 05:23:17 | 000,000,420 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{F6B97B13-1082-4A7F-B7BA-D5290DD717B6}.job
 
========== Purity Check ==========
 
 
< End of report >
         
Extras.Txt:
Code:
ATTFilter
OTL Extras logfile created on: 11/17/2011 12:57:47 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 84.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 95.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149.04 Gb Total Space | 98.26 Gb Free Space | 65.93% Space Free | Partition Type: NTFS
Drive D: | 3.82 Gb Total Space | 3.82 Gb Free Space | 99.95% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 1
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AuthorizedApplications]
"Enabled" = 1
"AllowUserPrefMerge" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\GloballyOpenPorts]
"Enabled" = 1
"AllowUserPrefMerge" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\GloballyOpenPorts\List]
"135:TCP:*:Enabled:Offer Remote Assistance - Port" = 135:TCP:*:Enabled:Offer Remote Assistance - Port
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\RemoteAdminSettings]
"Enabled" = 1
"RemoteAddresses" = localsubnet
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Services]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Services\FileAndPrint]
"Enabled" = 1
"RemoteAddresses" = localsubnet
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Services\RemoteDesktop]
"Enabled" = 1
"RemoteAddresses" = localsubnet
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\AuthorizedApplications]
"AllowUserPrefMerge" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\GloballyOpenPorts]
"AllowUserPrefMerge" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 7.0.1.321\German\setup.exe" = C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 7.0.1.321\German\setup.exe:*:Enabled:Installationsprogramm für Kaspersky Anti-Virus 7.0 -- (Kaspersky Lab)
"C:\Programme\MOSaik\Gilde.exe" = C:\Programme\MOSaik\Gilde.exe:*:Enabled:MOS'aik Projektverwaltung
"C:\Programme\MOSaik\Jade.exe" = C:\Programme\MOSaik\Jade.exe:*:Enabled:MOS'aik Datenbankverwaltung
"C:\Programme\MOSaik\Rubin.exe" = C:\Programme\MOSaik\Rubin.exe:*:Enabled:MOS'aik Dokumentverwaltung
"C:\Programme\MOSaik\Dracula.exe" = C:\Programme\MOSaik\Dracula.exe:*:Enabled:MOS'aik Finanzverwaltung
"C:\Programme\MOSaik\Topas.exe" = C:\Programme\MOSaik\Topas.exe:*:Enabled:MOS'aik Formularverwaltung
"C:\Programme\SFirm32\sfirm.exe" = C:\Programme\SFirm32\sfirm.exe:*:Enabled:SFirm -- (SFirm Hannover)
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE" = C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java(TM) 6 Update 24
"{292A9286-58C7-11D4-9882-005004EDBBBD}" = HiPath 3000 Manager C  62.50.40.0
"{33DC06E3-24D0-430A-B920-F60511F184F4}" = CommunicationsClients
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3D65631B-B94E-47C9-9AEA-E80AA431E841}" = OpenEdge 10.1B
"{492F8345-095D-467F-926C-278870D93ECF}" = Windows Small Business Server 2008 ClientAgent
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5581645F-E404-4A5B-8A16-CD6E796704CE}" = MOS'aik
"{5783F2D7-0201-0407-0002-0060B0CE6BBA}" = AutoCAD 2004
"{6206FD57-3E60-4A52-AD1B-7D9F7BA2777E}" = TCM Combo Set
"{67BA3CCF-0255-429F-AA2C-B00D22D2DF0C}" = Fa'MOS Farb- und Objektgestaltung
"{838257FC-952A-467B-86BF-21DB6B137A3F}" = Windows Small Business Server 2008 WMI Provider
"{888A6CDE-E161-492A-B94C-514E76C6A143}" = SFirm
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{91CA0407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Small Business Edition 2003
"{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU)
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A6EE99EA-420C-4FA6-8A7C-FDB60D278855}" = VS10RuntimeWin32
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1 - Deutsch
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D18FCB8E-A5A1-45D0-9E5E-DDB5826ECA70}" = klickTel Telefon- und Branchenbuch Frühjahr 2009
"{D88C3E7C-1DA6-4AD7-97FC-75BC8705B266}" = runtime
"{E407425C-B34B-465E-B00D-013B4BA3C3CF}" = HiPath TAPI 120 SP V2
"{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}" = Microsoft Office Suite Activation Assistant
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Autodesk Express Viewer" = Autodesk Express Viewer
"Belarc Advisor" = Belarc Advisor 7.2
"BroadGun pdfMachine" = BroadGun pdfMachine
"BZW 9.00 für Progress 10_is1" = BZW 9.00 für Progress 10
"CdaC13Ba" = SafeCast Shared Components
"Digitaler Berufsausbildungsvertrag 09_is1" = Digitaler Berufsausbildungsvertrag 09
"Digitaler Berufsausbildungsvertrag V.07_is1" = Digitaler Berufsausbildungsvertrag V.07
"eDocPrintPro" = eDocPrintPro
"Free PDF to Word Doc Converter_is1" = Free PDF to Word Doc Converter v1.1
"FreePDF_XP" = FreePDF XP (Remove only)
"GPL Ghostscript 8.62" = GPL Ghostscript 8.62
"GPL Ghostscript Fonts" = GPL Ghostscript Fonts
"Handicraft" = Handicraft für Windows
"Hardlock Gerätetreiber" = Hardlock Gerätetreiber
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"ie8" = Windows Internet Explorer 8
"Immunet Protect" = Immunet 3.0
"InstallShield_{5581645F-E404-4A5B-8A16-CD6E796704CE}" = MOS'aik - Die Software für den Mittelstand
"InstallShield_{6206FD57-3E60-4A52-AD1B-7D9F7BA2777E}" = TCM Combo Set
"InstallShield_{67BA3CCF-0255-429F-AA2C-B00D22D2DF0C}" = Fa'MOS Farb- und Objektgestaltung
"klickIdent 22_is1" = klickIdent 22
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.22)" = Mozilla Firefox (3.6.22)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"PERFIDIA Standalone" = PERFIDIA Standalone
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"Totalcmd" = Total Commander (Remove or Repair)
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\ehlert_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Yahoo! BrowserPlus" = Yahoo! BrowserPlus
 
< End of report >
         


Alt 17.11.2011, 12:31   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich - Standard

GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich



Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O4 - HKLM..\Run: [Ats81dFW1TA5VRA] C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe
O4 - HKU\.DEFAULT..\Run: [45huys55hy5rts]  File not found
O4 - HKU\.DEFAULT..\Run: [Ats81dFW1TA5VRA]  File not found
O4 - HKU\n.Koch_ON_C..\Run: [45huys55hy5rts] C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\4aygerhye4.exe (                            )
O4 - HKU\n.Koch_ON_C..\Run: [Ats81dFW1TA5VRA] C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe) - C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe (                            )
O20 - HKU\.DEFAULT Winlogon: Shell - (\54uhjseiu6rtjut.exe) -  File not found
O20 - HKU\n.Koch_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe) - C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe (                            )
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/02/26 05:47:30 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{0e9a970e-f569-11e0-aa1c-002354a54a48}\Shell - "" = AutoRun
O33 - MountPoints2\{0e9a970e-f569-11e0-aa1c-002354a54a48}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{0e9a970e-f569-11e0-aa1c-002354a54a48}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MENNEKEN.vbs
[2011/11/17 05:32:23 | 000,528,384 | ---- | C] (                            ) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe
[2011/11/17 03:13:12 | 000,528,384 | ---- | C] (                            ) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\54uhjseiu6rtjut.exe
[2011/11/17 03:13:12 | 000,095,744 | ---- | C] (Kassl GmbH) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dwlGina3.dll
[2011/11/15 11:11:55 | 000,528,384 | ---- | C] (                            ) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\4aygerhye4.exe
[2011/11/15 11:11:55 | 000,095,744 | ---- | C] (Kassl GmbH) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\dwlGina3.dll
[2011/11/15 11:05:22 | 000,528,384 | ---- | C] (                            ) -- C:\54uhjseiu6rtjut.exe
[2011/11/15 11:05:22 | 000,528,384 | ---- | C] (                            ) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\4aygerhye4.exe
[2011/11/15 11:05:22 | 000,095,744 | ---- | C] (Kassl GmbH) -- C:\dwlGina3.dll
[2011/11/15 11:04:27 | 000,528,384 | ---- | C] (                            ) -- C:\4aygerhye4.exe
[2011/11/17 03:13:12 | 000,095,744 | ---- | M] (Kassl GmbH) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dwlGina3.dll
[2011/11/17 03:12:45 | 000,528,384 | ---- | M] (                            ) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\54uhjseiu6rtjut.exe
[2011/11/17 03:12:45 | 000,528,384 | ---- | M] (                            ) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\4aygerhye4.exe
[2011/11/15 11:11:55 | 000,095,744 | ---- | M] (Kassl GmbH) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\dwlGina3.dll
[2011/11/15 11:11:32 | 000,528,384 | ---- | M] (                            ) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe
[2011/11/15 11:11:32 | 000,528,384 | ---- | M] (                            ) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\4aygerhye4.exe
[2011/11/15 11:05:22 | 000,095,744 | ---- | M] (Kassl GmbH) -- C:\dwlGina3.dll
[2011/11/15 11:04:53 | 000,528,384 | ---- | M] (                            ) -- C:\54uhjseiu6rtjut.exe
[2011/11/15 11:04:53 | 000,528,384 | ---- | M] (                            ) -- C:\4aygerhye4.exe
:Commands
[emptytemp]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
--> GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich

Alt 17.11.2011, 12:52   #7
tafkar
 
GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich - Standard

GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich



Habe den Fix angewendet, der Rechner hat neu gestartet, ich habe mich als der ursprüngliche User angemeldet. Der Trojaner ist augenscheinlich nicht wieder gestartet und folgende Log-Datei erschien:

Code:
ATTFilter
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Ats81dFW1TA5VRA deleted successfully.
C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe moved successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\45huys55hy5rts deleted successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\Ats81dFW1TA5VRA deleted successfully.
Registry value HKEY_USERS\n.Koch_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\45huys55hy5rts deleted successfully.
C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\4aygerhye4.exe moved successfully.
Registry value HKEY_USERS\n.Koch_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Ats81dFW1TA5VRA deleted successfully.
File C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe deleted successfully.
File C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe not found.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:\54uhjseiu6rtjut.exe deleted successfully.
Registry value HKEY_USERS\n.Koch_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe deleted successfully.
File C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe not found.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
File move failed. X:\AUTORUN.INF scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0e9a970e-f569-11e0-aa1c-002354a54a48}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0e9a970e-f569-11e0-aa1c-002354a54a48}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0e9a970e-f569-11e0-aa1c-002354a54a48}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0e9a970e-f569-11e0-aa1c-002354a54a48}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0e9a970e-f569-11e0-aa1c-002354a54a48}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0e9a970e-f569-11e0-aa1c-002354a54a48}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MENNEKEN.vbs not found.
File C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe not found.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\54uhjseiu6rtjut.exe moved successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dwlGina3.dll moved successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\4aygerhye4.exe moved successfully.
C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\dwlGina3.dll moved successfully.
C:\54uhjseiu6rtjut.exe moved successfully.
File C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\4aygerhye4.exe not found.
C:\dwlGina3.dll moved successfully.
C:\4aygerhye4.exe moved successfully.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dwlGina3.dll not found.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\54uhjseiu6rtjut.exe not found.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\4aygerhye4.exe not found.
File C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\dwlGina3.dll not found.
File C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe not found.
File C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\4aygerhye4.exe not found.
File C:\dwlGina3.dll not found.
File C:\54uhjseiu6rtjut.exe not found.
File C:\4aygerhye4.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: a.kuchnia
->Temp folder emptied: 783416 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->FireFox cache emptied: 34941855 bytes
->Flash cache emptied: 434 bytes
 
User: Admin
->Temp folder emptied: 641721 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: Admin.MICHALSKI
->Temp folder emptied: 6003364 bytes
->Temporary Internet Files folder emptied: 1696987 bytes
 
User: admin.MICHALSKI.000
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: Administrator
->Temp folder emptied: 174 bytes
->Temporary Internet Files folder emptied: 69783 bytes
 
User: administrator.MICHALSKI
->Temp folder emptied: 1254215 bytes
->Temporary Internet Files folder emptied: 7198924 bytes
->Flash cache emptied: 405 bytes
 
User: administrator.MICHALSKI.000
->Temp folder emptied: 6812488 bytes
->Temporary Internet Files folder emptied: 1680476 bytes
->Java cache emptied: 57494 bytes
->Flash cache emptied: 405 bytes
 
User: All Users
 
User: c.vorwald
->Temp folder emptied: 205188789 bytes
->Temporary Internet Files folder emptied: 108786180 bytes
->Java cache emptied: 13444891 bytes
->FireFox cache emptied: 60139796 bytes
->Flash cache emptied: 2057 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: ehlert
->Temp folder emptied: 88218653 bytes
->Temporary Internet Files folder emptied: 131234795 bytes
->Java cache emptied: 40359909 bytes
->FireFox cache emptied: 36148613 bytes
->Flash cache emptied: 15644 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: n.Koch
->Temp folder emptied: 396126144 bytes
->Temporary Internet Files folder emptied: 101283959 bytes
->Java cache emptied: 2647649 bytes
->FireFox cache emptied: 95663420 bytes
->Flash cache emptied: 6388 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1199011 bytes
->Flash cache emptied: 405 bytes
 
User: rupprecht
->Temp folder emptied: 2692096 bytes
->Temporary Internet Files folder emptied: 34324 bytes
->Flash cache emptied: 405 bytes
 
User: rupprecht.MICHALSKI
->Temp folder emptied: 2730378 bytes
->Temporary Internet Files folder emptied: 12844394 bytes
->Java cache emptied: 12118713 bytes
->FireFox cache emptied: 52332932 bytes
->Flash cache emptied: 434 bytes
 
User: t.krause
->Temp folder emptied: 804045 bytes
->Temporary Internet Files folder emptied: 638991 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 10249725 bytes
 
Total Files Cleaned = 1,370.00 mb
 
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 11172011_133950

Files\Folders moved on Reboot...
File\Folder X:\AUTORUN.INF not found!
File\Folder C:\Dokumente und Einstellungen\n.Koch\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\HL3WLB0W\RG9Dn3CZQnfWnGbwdATdI2Z2Ofu1k5WGIT4RzC0ouQVHCABfKVegXiepxGvHU8eKsKvqRP9yB5Bes9GAFJUK9AyfMmgbpFRddnrjQdj8IsntvmL9RQDldCuYnNE8VtuKCY8lm2uSa61L6CU4cvYukWvteuqJFvmfvNhD4to[1].gif not found!
File\Folder C:\Dokumente und Einstellungen\n.Koch\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\CS6DTSUB\oleNy4ZU86-W2NiZUucgTNFgplm4,NCJHJP51TcPQYmHoGL0rdilGp6qh3mv3VgMmXC2GUa2uFD07FZufatyKpaaAXe3nZNFzC2Wp1zR8Zfhd9dji9qGANH4oV31iYslBz-yPBsTT3fq3&callback=google.LU[1].featureMap not found!
File\Folder C:\Dokumente und Einstellungen\n.Koch\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\0QUB7VJE\data=LtgX-e3f8ctI3U5dJtbt7EJ1ZfRneYme,NCJHJP51TcPQYmHoGL0rdilGp6qh3mv3VgMmXC2GUa2uFD07FZufatyKpaaAXe3nZNFzC2Wp1zR8Zfhd9dji9qGANH4oV31iYslBz-yPBsTT3fq3[1].gif not found!

Registry entries deleted on Reboot...
         
Der Desktop ist nun leer, lediglich das Hintergrundbild wird angezeigt. Kann man die Icons wiederherstellen?

Alt 17.11.2011, 14:58   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich - Standard

GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich



Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen!
2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.11.2011, 15:28   #9
tafkar
 
GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich - Standard

GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich



Habe den gezippten Ordner hochgeladen, Dateiname MovedFiles.zip

Alt 17.11.2011, 15:38   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich - Standard

GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich



Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.11.2011, 15:57   #11
tafkar
 
GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich - Standard

GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich



Hier das Log von TDSS-Killer:
Code:
ATTFilter
16:52:23.0859 3588	TDSS rootkit removing tool 2.6.19.0 Nov 16 2011 12:18:50
16:52:25.0859 3588	============================================================
16:52:25.0859 3588	Current date / time: 2011/11/17 16:52:25.0859
16:52:25.0859 3588	SystemInfo:
16:52:25.0859 3588	
16:52:25.0859 3588	OS Version: 5.1.2600 ServicePack: 3.0
16:52:25.0859 3588	Product type: Workstation
16:52:25.0859 3588	ComputerName: PC2
16:52:25.0859 3588	UserName: m.baumhoff
16:52:25.0859 3588	Windows directory: C:\WINDOWS
16:52:25.0859 3588	System windows directory: C:\WINDOWS
16:52:25.0859 3588	Processor architecture: Intel x86
16:52:25.0859 3588	Number of processors: 2
16:52:25.0859 3588	Page size: 0x1000
16:52:25.0859 3588	Boot type: Normal boot
16:52:25.0859 3588	============================================================
16:52:27.0234 3588	Initialize success
16:52:38.0625 3880	============================================================
16:52:38.0625 3880	Scan started
16:52:38.0625 3880	Mode: Manual; SigCheck; TDLFS; 
16:52:38.0625 3880	============================================================
16:52:38.0921 3880	Abiosdsk - ok
16:52:38.0937 3880	abp480n5 - ok
16:52:39.0000 3880	ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
16:52:39.0625 3880	ACPI - ok
16:52:39.0796 3880	ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
16:52:39.0968 3880	ACPIEC - ok
16:52:39.0984 3880	adpu160m - ok
16:52:40.0171 3880	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
16:52:40.0265 3880	aec - ok
16:52:40.0359 3880	AFD             (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
16:52:40.0453 3880	AFD - ok
16:52:40.0453 3880	Aha154x - ok
16:52:40.0500 3880	aic78u2 - ok
16:52:40.0546 3880	aic78xx - ok
16:52:40.0546 3880	AliIde - ok
16:52:40.0593 3880	Ambfilt         (f6af59d6eee5e1c304f7f73706ad11d8) C:\WINDOWS\system32\drivers\Ambfilt.sys
16:52:40.0734 3880	Ambfilt - ok
16:52:40.0734 3880	amsint - ok
16:52:40.0750 3880	asc - ok
16:52:40.0765 3880	asc3350p - ok
16:52:40.0781 3880	asc3550 - ok
16:52:40.0843 3880	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
16:52:40.0968 3880	AsyncMac - ok
16:52:41.0000 3880	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
16:52:41.0218 3880	atapi - ok
16:52:41.0296 3880	Atdisk - ok
16:52:41.0406 3880	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
16:52:41.0531 3880	Atmarpc - ok
16:52:41.0609 3880	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
16:52:41.0734 3880	audstub - ok
16:52:41.0828 3880	BANTExt         (5d7be7b19e827125e016325334e58ff1) C:\WINDOWS\System32\Drivers\BANTExt.sys
16:52:41.0890 3880	BANTExt ( UnsignedFile.Multi.Generic ) - warning
16:52:41.0890 3880	BANTExt - detected UnsignedFile.Multi.Generic (1)
16:52:41.0984 3880	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
16:52:42.0109 3880	Beep - ok
16:52:42.0234 3880	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
16:52:42.0343 3880	cbidf2k - ok
16:52:42.0406 3880	cd20xrnt - ok
16:52:42.0515 3880	CdaC15BA        (f76cb7259aa575cc53f3996bc6b68c18) C:\WINDOWS\system32\drivers\CDAC15BA.SYS
16:52:42.0515 3880	CdaC15BA ( UnsignedFile.Multi.Generic ) - warning
16:52:42.0515 3880	CdaC15BA - detected UnsignedFile.Multi.Generic (1)
16:52:42.0609 3880	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
16:52:42.0734 3880	Cdaudio - ok
16:52:42.0812 3880	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
16:52:42.0937 3880	Cdfs - ok
16:52:43.0031 3880	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
16:52:43.0171 3880	Cdrom - ok
16:52:43.0203 3880	Changer - ok
16:52:43.0265 3880	CmdIde - ok
16:52:43.0281 3880	Cpqarray - ok
16:52:43.0296 3880	dac2w2k - ok
16:52:43.0296 3880	dac960nt - ok
16:52:43.0328 3880	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
16:52:43.0421 3880	Disk - ok
16:52:43.0562 3880	dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
16:52:43.0671 3880	dmboot - ok
16:52:43.0718 3880	dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
16:52:43.0828 3880	dmio - ok
16:52:43.0906 3880	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
16:52:44.0015 3880	dmload - ok
16:52:44.0203 3880	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
16:52:44.0343 3880	DMusic - ok
16:52:44.0437 3880	dpti2o - ok
16:52:44.0484 3880	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
16:52:44.0546 3880	drmkaud - ok
16:52:44.0671 3880	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
16:52:44.0750 3880	Fastfat - ok
16:52:44.0843 3880	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
16:52:44.0984 3880	Fdc - ok
16:52:45.0140 3880	Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
16:52:45.0234 3880	Fips - ok
16:52:45.0312 3880	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
16:52:45.0468 3880	Flpydisk - ok
16:52:45.0546 3880	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
16:52:45.0671 3880	FltMgr - ok
16:52:45.0781 3880	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
16:52:45.0921 3880	Fs_Rec - ok
16:52:46.0000 3880	Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
16:52:46.0187 3880	Ftdisk - ok
16:52:46.0281 3880	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
16:52:46.0421 3880	Gpc - ok
16:52:46.0609 3880	Hardlock        (d95554949082fd29a04d351b58396718) C:\WINDOWS\system32\drivers\hardlock.sys
16:52:46.0703 3880	Hardlock - ok
16:52:46.0750 3880	HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
16:52:46.0890 3880	HDAudBus - ok
16:52:46.0984 3880	HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
16:52:47.0171 3880	HidUsb - ok
16:52:47.0250 3880	hpn - ok
16:52:47.0328 3880	HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
16:52:47.0390 3880	HTTP - ok
16:52:47.0437 3880	i2omgmt - ok
16:52:47.0500 3880	i2omp - ok
16:52:47.0546 3880	i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
16:52:47.0640 3880	i8042prt - ok
16:52:47.0906 3880	ialm            (48846b31be5a4fa662ccfde7a1ba86b9) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
16:52:48.0171 3880	ialm - ok
16:52:48.0218 3880	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
16:52:48.0312 3880	Imapi - ok
16:52:48.0421 3880	ImmunetProtectDriver (e690d5b9fba32bc1ccd47c2a907e981e) C:\WINDOWS\system32\DRIVERS\ImmunetProtect.sys
16:52:48.0437 3880	ImmunetProtectDriver - ok
16:52:48.0531 3880	ImmunetSelfProtectDriver (d7c401435eca9f5feaf82894a99bb85e) C:\WINDOWS\system32\DRIVERS\ImmunetSelfProtect.sys
16:52:48.0531 3880	ImmunetSelfProtectDriver - ok
16:52:48.0640 3880	ini910u - ok
16:52:48.0843 3880	IntcAzAudAddService (f9bb9063a6557098dbaf7396e026c922) C:\WINDOWS\system32\drivers\RtkHDAud.sys
16:52:49.0062 3880	IntcAzAudAddService - ok
16:52:49.0078 3880	IntelIde - ok
16:52:49.0109 3880	intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
16:52:49.0250 3880	intelppm - ok
16:52:49.0328 3880	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
16:52:49.0546 3880	Ip6Fw - ok
16:52:49.0578 3880	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
16:52:49.0734 3880	IpFilterDriver - ok
16:52:49.0781 3880	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
16:52:49.0921 3880	IpInIp - ok
16:52:49.0984 3880	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
16:52:50.0218 3880	IpNat - ok
16:52:50.0312 3880	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
16:52:50.0500 3880	IPSec - ok
16:52:50.0546 3880	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
16:52:50.0703 3880	IRENUM - ok
16:52:50.0781 3880	isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
16:52:50.0968 3880	isapnp - ok
16:52:51.0046 3880	Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
16:52:51.0359 3880	Kbdclass - ok
16:52:51.0390 3880	kbdhid          (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
16:52:51.0515 3880	kbdhid - ok
16:52:51.0593 3880	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
16:52:51.0843 3880	kmixer - ok
16:52:51.0906 3880	KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
16:52:52.0000 3880	KSecDD - ok
16:52:52.0015 3880	lbrtfdc - ok
16:52:52.0140 3880	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
16:52:52.0296 3880	mnmdd - ok
16:52:52.0359 3880	Modem           (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
16:52:52.0546 3880	Modem - ok
16:52:52.0609 3880	Monfilt         (9fa7207d1b1adead88ae8eed9cdbbaa5) C:\WINDOWS\system32\drivers\Monfilt.sys
16:52:52.0953 3880	Monfilt - ok
16:52:53.0031 3880	Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
16:52:53.0171 3880	Mouclass - ok
16:52:53.0218 3880	mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
16:52:53.0375 3880	mouhid - ok
16:52:53.0453 3880	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
16:52:53.0640 3880	MountMgr - ok
16:52:53.0687 3880	mraid35x - ok
16:52:53.0718 3880	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
16:52:53.0890 3880	MRxDAV - ok
16:52:54.0031 3880	MRxSmb          (489147ac139f28ecbf2aeeae9cde024d) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
16:52:54.0031 3880	Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\mrxsmb.sys. Real md5: 489147ac139f28ecbf2aeeae9cde024d, Fake md5: f3aefb11abc521122b67095044169e98
16:52:54.0031 3880	MRxSmb ( Rootkit.Win32.ZAccess.h ) - infected
16:52:54.0031 3880	MRxSmb - detected Rootkit.Win32.ZAccess.h (0)
16:52:54.0171 3880	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
16:52:54.0312 3880	Msfs - ok
16:52:54.0421 3880	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
16:52:54.0578 3880	MSKSSRV - ok
16:52:54.0656 3880	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
16:52:54.0734 3880	MSPCLOCK - ok
16:52:54.0812 3880	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
16:52:54.0937 3880	MSPQM - ok
16:52:55.0109 3880	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
16:52:55.0187 3880	mssmbios - ok
16:52:55.0281 3880	MTsensor        (d48659bb24c48345d926ecb45c1ebdf5) C:\WINDOWS\system32\DRIVERS\ASACPI.sys
16:52:55.0359 3880	MTsensor - ok
16:52:55.0468 3880	Mup             (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
16:52:55.0546 3880	Mup - ok
16:52:55.0703 3880	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
16:52:55.0796 3880	NDIS - ok
16:52:55.0921 3880	NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
16:52:56.0062 3880	NdisTapi - ok
16:52:56.0265 3880	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
16:52:56.0406 3880	Ndisuio - ok
16:52:56.0484 3880	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
16:52:56.0671 3880	NdisWan - ok
16:52:56.0765 3880	NDProxy         (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
16:52:56.0843 3880	NDProxy - ok
16:52:56.0921 3880	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
16:52:57.0031 3880	NetBIOS - ok
16:52:57.0203 3880	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
16:52:57.0343 3880	NetBT - ok
16:52:57.0468 3880	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
16:52:57.0546 3880	Npfs - ok
16:52:57.0640 3880	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
16:52:57.0765 3880	Ntfs - ok
16:52:57.0812 3880	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
16:52:57.0953 3880	Null - ok
16:52:58.0000 3880	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
16:52:58.0203 3880	NwlnkFlt - ok
16:52:58.0265 3880	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
16:52:58.0390 3880	NwlnkFwd - ok
16:52:58.0562 3880	Parport         (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
16:52:58.0640 3880	Parport - ok
16:52:58.0718 3880	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
16:52:58.0828 3880	PartMgr - ok
16:52:58.0906 3880	ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
16:52:59.0046 3880	ParVdm - ok
16:52:59.0171 3880	PCI             (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
16:52:59.0281 3880	PCI - ok
16:52:59.0375 3880	PCIDump - ok
16:52:59.0437 3880	PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
16:52:59.0515 3880	PCIIde - ok
16:52:59.0625 3880	Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
16:52:59.0750 3880	Pcmcia - ok
16:52:59.0796 3880	PDCOMP - ok
16:52:59.0875 3880	PDFRAME - ok
16:52:59.0875 3880	PDRELI - ok
16:52:59.0890 3880	PDRFRAME - ok
16:52:59.0890 3880	perc2 - ok
16:52:59.0906 3880	perc2hib - ok
16:52:59.0937 3880	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
16:53:00.0015 3880	PptpMiniport - ok
16:53:00.0140 3880	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
16:53:00.0250 3880	PSched - ok
16:53:00.0359 3880	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
16:53:00.0468 3880	Ptilink - ok
16:53:00.0500 3880	ql1080 - ok
16:53:00.0578 3880	Ql10wnt - ok
16:53:00.0578 3880	ql12160 - ok
16:53:00.0593 3880	ql1240 - ok
16:53:00.0593 3880	ql1280 - ok
16:53:00.0625 3880	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
16:53:00.0703 3880	RasAcd - ok
16:53:00.0781 3880	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
16:53:00.0906 3880	Rasl2tp - ok
16:53:01.0031 3880	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
16:53:01.0187 3880	RasPppoe - ok
16:53:01.0281 3880	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
16:53:01.0390 3880	Raspti - ok
16:53:01.0468 3880	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
16:53:01.0609 3880	Rdbss - ok
16:53:01.0656 3880	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
16:53:01.0765 3880	RDPCDD - ok
16:53:01.0843 3880	rdpdr           (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
16:53:01.0968 3880	rdpdr - ok
16:53:02.0078 3880	RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
16:53:02.0187 3880	RDPWD - ok
16:53:02.0281 3880	redbook         (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
16:53:02.0406 3880	redbook - ok
16:53:02.0515 3880	RTLE8023xp      (89619ef503f949fae09252a8b883ee11) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
16:53:02.0546 3880	RTLE8023xp - ok
16:53:02.0687 3880	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
16:53:02.0734 3880	Secdrv - ok
16:53:02.0843 3880	serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
16:53:02.0921 3880	serenum - ok
16:53:03.0000 3880	Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
16:53:03.0187 3880	Serial - ok
16:53:03.0312 3880	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
16:53:03.0437 3880	Sfloppy - ok
16:53:03.0546 3880	Simbad - ok
16:53:03.0546 3880	Sparrow - ok
16:53:03.0609 3880	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
16:53:03.0687 3880	splitter - ok
16:53:03.0781 3880	sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
16:53:03.0859 3880	sr - ok
16:53:03.0953 3880	Srv             (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys
16:53:04.0046 3880	Srv - ok
16:53:04.0156 3880	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
16:53:04.0328 3880	swenum - ok
16:53:04.0406 3880	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
16:53:04.0546 3880	swmidi - ok
16:53:04.0593 3880	symc810 - ok
16:53:04.0671 3880	symc8xx - ok
16:53:04.0671 3880	sym_hi - ok
16:53:04.0687 3880	sym_u3 - ok
16:53:04.0750 3880	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
16:53:04.0812 3880	sysaudio - ok
16:53:04.0937 3880	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
16:53:05.0250 3880	Tcpip - ok
16:53:05.0328 3880	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
16:53:05.0468 3880	TDPIPE - ok
16:53:05.0546 3880	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
16:53:05.0687 3880	TDTCP - ok
16:53:05.0781 3880	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
16:53:05.0921 3880	TermDD - ok
16:53:06.0031 3880	TosIde - ok
16:53:06.0093 3880	Trufos          (d391f1171a2e3a7080df6faae7a20c0b) C:\WINDOWS\system32\DRIVERS\Trufos.sys
16:53:06.0109 3880	Trufos - ok
16:53:06.0187 3880	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
16:53:06.0359 3880	Udfs - ok
16:53:06.0437 3880	ultra - ok
16:53:06.0531 3880	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
16:53:06.0656 3880	Update - ok
16:53:06.0750 3880	usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
16:53:06.0875 3880	usbccgp - ok
16:53:07.0000 3880	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
16:53:07.0140 3880	usbehci - ok
16:53:07.0234 3880	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
16:53:07.0375 3880	usbhub - ok
16:53:07.0453 3880	USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
16:53:07.0578 3880	USBSTOR - ok
16:53:07.0656 3880	usbuhci         (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
16:53:07.0765 3880	usbuhci - ok
16:53:07.0843 3880	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
16:53:07.0953 3880	VgaSave - ok
16:53:07.0984 3880	ViaIde - ok
16:53:08.0109 3880	VolSnap         (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
16:53:08.0187 3880	VolSnap - ok
16:53:08.0328 3880	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
16:53:08.0406 3880	Wanarp - ok
16:53:08.0437 3880	WDICA - ok
16:53:08.0546 3880	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
16:53:08.0625 3880	wdmaud - ok
16:53:08.0796 3880	WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
16:53:08.0859 3880	WudfPf - ok
16:53:08.0937 3880	WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
16:53:08.0984 3880	WudfRd - ok
16:53:09.0031 3880	MBR (0x1B8)     (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
16:53:09.0375 3880	\Device\Harddisk0\DR0 - ok
16:53:09.0375 3880	MBR (0x1B8)     (6cf526a43b9dad256aba69ffd99f3f8c) \Device\Harddisk1\DR2
16:53:17.0750 3880	\Device\Harddisk1\DR2 - ok
16:53:17.0765 3880	Boot (0x1200)   (6cabc594071c71af8975256e782e6121) \Device\Harddisk0\DR0\Partition0
16:53:17.0765 3880	\Device\Harddisk0\DR0\Partition0 - ok
16:53:17.0781 3880	Boot (0x1200)   (c031cd9e6cf1ffc508254727424d82e2) \Device\Harddisk1\DR2\Partition0
16:53:17.0781 3880	\Device\Harddisk1\DR2\Partition0 - ok
16:53:17.0781 3880	============================================================
16:53:17.0781 3880	Scan finished
16:53:17.0781 3880	============================================================
16:53:17.0890 3872	Detected object count: 3
16:53:17.0890 3872	Actual detected object count: 3
16:53:46.0078 3872	BANTExt ( UnsignedFile.Multi.Generic ) - skipped by user
16:53:46.0078 3872	BANTExt ( UnsignedFile.Multi.Generic ) - User select action: Skip 
16:53:46.0078 3872	CdaC15BA ( UnsignedFile.Multi.Generic ) - skipped by user
16:53:46.0078 3872	CdaC15BA ( UnsignedFile.Multi.Generic ) - User select action: Skip 
16:53:46.0078 3872	MRxSmb ( Rootkit.Win32.ZAccess.h ) - skipped by user
16:53:46.0078 3872	MRxSmb ( Rootkit.Win32.ZAccess.h ) - User select action: Skip
         
unhide.exe wird als W32.ET.oenu von meinem Virenscanner erkannt. Ist das ein Fehlalarm?

Alt 17.11.2011, 16:05   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich - Standard

GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich



Zitat:
16:53:46.0078 3872 MRxSmb ( Rootkit.Win32.ZAccess.h ) - skipped by user
16:53:46.0078 3872 MRxSmb ( Rootkit.Win32.ZAccess.h ) - User select action: Skip
Hm du hast auch den ZeroAccess
Ich weiß nicht ob hier eine Bereinigung unbedingt noch Sinn macht, versuchen können wir es.
Bitte Rootkit.Win32.ZAccess.h mit dem TDSS-Killer löschen, Windows neu starten dann ein neues Log mit dem TDSS-Killer machen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.11.2011, 16:13   #13
tafkar
 
GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich - Standard

GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich



Ich glaube, er ist weg. Hier das Log:
Code:
ATTFilter
17:11:47.0453 0836	TDSS rootkit removing tool 2.6.19.0 Nov 16 2011 12:18:50
17:11:49.0453 0836	============================================================
17:11:49.0453 0836	Current date / time: 2011/11/17 17:11:49.0453
17:11:49.0453 0836	SystemInfo:
17:11:49.0453 0836	
17:11:49.0453 0836	OS Version: 5.1.2600 ServicePack: 3.0
17:11:49.0453 0836	Product type: Workstation
17:11:49.0453 0836	ComputerName: PC2
17:11:49.0453 0836	UserName: m.baumhoff
17:11:49.0453 0836	Windows directory: C:\WINDOWS
17:11:49.0453 0836	System windows directory: C:\WINDOWS
17:11:49.0453 0836	Processor architecture: Intel x86
17:11:49.0453 0836	Number of processors: 2
17:11:49.0453 0836	Page size: 0x1000
17:11:49.0453 0836	Boot type: Normal boot
17:11:49.0453 0836	============================================================
17:11:52.0421 0836	Initialize success
17:12:04.0906 0944	============================================================
17:12:04.0906 0944	Scan started
17:12:04.0906 0944	Mode: Manual; SigCheck; TDLFS; 
17:12:04.0906 0944	============================================================
17:12:05.0328 0944	Abiosdsk - ok
17:12:05.0343 0944	abp480n5 - ok
17:12:05.0406 0944	ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
17:12:06.0593 0944	ACPI - ok
17:12:06.0765 0944	ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
17:12:06.0921 0944	ACPIEC - ok
17:12:06.0937 0944	adpu160m - ok
17:12:07.0062 0944	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
17:12:07.0218 0944	aec - ok
17:12:07.0281 0944	AFD             (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
17:12:07.0406 0944	AFD - ok
17:12:07.0437 0944	Aha154x - ok
17:12:07.0531 0944	aic78u2 - ok
17:12:07.0593 0944	aic78xx - ok
17:12:07.0593 0944	AliIde - ok
17:12:07.0656 0944	Ambfilt         (f6af59d6eee5e1c304f7f73706ad11d8) C:\WINDOWS\system32\drivers\Ambfilt.sys
17:12:07.0796 0944	Ambfilt - ok
17:12:07.0812 0944	amsint - ok
17:12:07.0812 0944	asc - ok
17:12:07.0828 0944	asc3350p - ok
17:12:07.0828 0944	asc3550 - ok
17:12:07.0890 0944	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
17:12:08.0015 0944	AsyncMac - ok
17:12:08.0078 0944	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
17:12:08.0312 0944	atapi - ok
17:12:08.0390 0944	Atdisk - ok
17:12:08.0593 0944	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
17:12:08.0687 0944	Atmarpc - ok
17:12:08.0781 0944	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
17:12:08.0921 0944	audstub - ok
17:12:09.0015 0944	BANTExt         (5d7be7b19e827125e016325334e58ff1) C:\WINDOWS\System32\Drivers\BANTExt.sys
17:12:09.0062 0944	BANTExt ( UnsignedFile.Multi.Generic ) - warning
17:12:09.0062 0944	BANTExt - detected UnsignedFile.Multi.Generic (1)
17:12:09.0203 0944	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
17:12:09.0296 0944	Beep - ok
17:12:09.0453 0944	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
17:12:09.0562 0944	cbidf2k - ok
17:12:09.0640 0944	cd20xrnt - ok
17:12:09.0750 0944	CdaC15BA        (f76cb7259aa575cc53f3996bc6b68c18) C:\WINDOWS\system32\drivers\CDAC15BA.SYS
17:12:09.0750 0944	CdaC15BA ( UnsignedFile.Multi.Generic ) - warning
17:12:09.0750 0944	CdaC15BA - detected UnsignedFile.Multi.Generic (1)
17:12:09.0859 0944	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
17:12:09.0984 0944	Cdaudio - ok
17:12:10.0062 0944	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
17:12:10.0296 0944	Cdfs - ok
17:12:10.0406 0944	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
17:12:10.0546 0944	Cdrom - ok
17:12:10.0578 0944	Changer - ok
17:12:10.0656 0944	CmdIde - ok
17:12:10.0671 0944	Cpqarray - ok
17:12:10.0671 0944	dac2w2k - ok
17:12:10.0687 0944	dac960nt - ok
17:12:10.0718 0944	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
17:12:10.0796 0944	Disk - ok
17:12:10.0953 0944	dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
17:12:11.0078 0944	dmboot - ok
17:12:11.0109 0944	dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
17:12:11.0218 0944	dmio - ok
17:12:11.0296 0944	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
17:12:11.0406 0944	dmload - ok
17:12:11.0515 0944	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
17:12:11.0671 0944	DMusic - ok
17:12:11.0750 0944	dpti2o - ok
17:12:11.0812 0944	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
17:12:11.0906 0944	drmkaud - ok
17:12:12.0031 0944	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
17:12:12.0109 0944	Fastfat - ok
17:12:12.0187 0944	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
17:12:12.0328 0944	Fdc - ok
17:12:12.0546 0944	Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
17:12:12.0718 0944	Fips - ok
17:12:12.0843 0944	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
17:12:13.0046 0944	Flpydisk - ok
17:12:13.0171 0944	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
17:12:13.0343 0944	FltMgr - ok
17:12:13.0500 0944	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
17:12:13.0640 0944	Fs_Rec - ok
17:12:13.0734 0944	Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
17:12:13.0875 0944	Ftdisk - ok
17:12:13.0968 0944	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
17:12:14.0109 0944	Gpc - ok
17:12:14.0250 0944	Hardlock        (d95554949082fd29a04d351b58396718) C:\WINDOWS\system32\drivers\hardlock.sys
17:12:14.0343 0944	Hardlock - ok
17:12:14.0390 0944	HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
17:12:14.0484 0944	HDAudBus - ok
17:12:14.0640 0944	HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
17:12:14.0796 0944	HidUsb - ok
17:12:14.0843 0944	hpn - ok
17:12:14.0968 0944	HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
17:12:15.0015 0944	HTTP - ok
17:12:15.0031 0944	i2omgmt - ok
17:12:15.0140 0944	i2omp - ok
17:12:15.0187 0944	i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
17:12:15.0281 0944	i8042prt - ok
17:12:15.0515 0944	ialm            (48846b31be5a4fa662ccfde7a1ba86b9) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
17:12:15.0796 0944	ialm - ok
17:12:15.0859 0944	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
17:12:15.0953 0944	Imapi - ok
17:12:16.0109 0944	ImmunetProtectDriver (e690d5b9fba32bc1ccd47c2a907e981e) C:\WINDOWS\system32\DRIVERS\ImmunetProtect.sys
17:12:16.0125 0944	ImmunetProtectDriver - ok
17:12:16.0187 0944	ImmunetSelfProtectDriver (d7c401435eca9f5feaf82894a99bb85e) C:\WINDOWS\system32\DRIVERS\ImmunetSelfProtect.sys
17:12:16.0203 0944	ImmunetSelfProtectDriver - ok
17:12:16.0281 0944	ini910u - ok
17:12:16.0515 0944	IntcAzAudAddService (f9bb9063a6557098dbaf7396e026c922) C:\WINDOWS\system32\drivers\RtkHDAud.sys
17:12:16.0687 0944	IntcAzAudAddService - ok
17:12:16.0703 0944	IntelIde - ok
17:12:16.0750 0944	intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
17:12:16.0875 0944	intelppm - ok
17:12:16.0906 0944	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
17:12:17.0046 0944	Ip6Fw - ok
17:12:17.0125 0944	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
17:12:17.0265 0944	IpFilterDriver - ok
17:12:17.0281 0944	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
17:12:17.0421 0944	IpInIp - ok
17:12:17.0578 0944	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
17:12:17.0796 0944	IpNat - ok
17:12:17.0843 0944	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
17:12:18.0031 0944	IPSec - ok
17:12:18.0062 0944	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
17:12:18.0187 0944	IRENUM - ok
17:12:18.0281 0944	isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
17:12:18.0437 0944	isapnp - ok
17:12:18.0484 0944	Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
17:12:18.0687 0944	Kbdclass - ok
17:12:18.0734 0944	kbdhid          (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
17:12:18.0890 0944	kbdhid - ok
17:12:18.0921 0944	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
17:12:19.0140 0944	kmixer - ok
17:12:19.0156 0944	KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
17:12:19.0312 0944	KSecDD - ok
17:12:19.0359 0944	lbrtfdc - ok
17:12:19.0437 0944	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
17:12:19.0718 0944	mnmdd - ok
17:12:19.0750 0944	Modem           (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
17:12:19.0937 0944	Modem - ok
17:12:20.0015 0944	Monfilt         (9fa7207d1b1adead88ae8eed9cdbbaa5) C:\WINDOWS\system32\drivers\Monfilt.sys
17:12:20.0234 0944	Monfilt - ok
17:12:20.0250 0944	Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
17:12:20.0390 0944	Mouclass - ok
17:12:20.0453 0944	mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
17:12:20.0578 0944	mouhid - ok
17:12:20.0703 0944	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
17:12:20.0890 0944	MountMgr - ok
17:12:20.0921 0944	mraid35x - ok
17:12:20.0937 0944	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
17:12:21.0093 0944	MRxDAV - ok
17:12:21.0218 0944	MRxSmb          (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
17:12:21.0375 0944	MRxSmb - ok
17:12:21.0406 0944	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
17:12:21.0593 0944	Msfs - ok
17:12:21.0718 0944	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
17:12:21.0843 0944	MSKSSRV - ok
17:12:22.0000 0944	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
17:12:22.0078 0944	MSPCLOCK - ok
17:12:22.0156 0944	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
17:12:22.0296 0944	MSPQM - ok
17:12:22.0390 0944	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
17:12:22.0500 0944	mssmbios - ok
17:12:22.0593 0944	MTsensor        (d48659bb24c48345d926ecb45c1ebdf5) C:\WINDOWS\system32\DRIVERS\ASACPI.sys
17:12:22.0671 0944	MTsensor - ok
17:12:22.0734 0944	Mup             (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
17:12:22.0812 0944	Mup - ok
17:12:23.0015 0944	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
17:12:23.0109 0944	NDIS - ok
17:12:23.0234 0944	NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
17:12:23.0359 0944	NdisTapi - ok
17:12:23.0437 0944	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
17:12:23.0656 0944	Ndisuio - ok
17:12:23.0750 0944	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
17:12:23.0906 0944	NdisWan - ok
17:12:24.0015 0944	NDProxy         (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
17:12:24.0093 0944	NDProxy - ok
17:12:24.0171 0944	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
17:12:24.0281 0944	NetBIOS - ok
17:12:24.0375 0944	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
17:12:24.0515 0944	NetBT - ok
17:12:24.0625 0944	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
17:12:24.0703 0944	Npfs - ok
17:12:24.0796 0944	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
17:12:24.0953 0944	Ntfs - ok
17:12:24.0984 0944	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
17:12:25.0109 0944	Null - ok
17:12:25.0171 0944	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
17:12:25.0281 0944	NwlnkFlt - ok
17:12:25.0359 0944	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
17:12:25.0500 0944	NwlnkFwd - ok
17:12:25.0687 0944	Parport         (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
17:12:25.0765 0944	Parport - ok
17:12:25.0828 0944	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
17:12:25.0937 0944	PartMgr - ok
17:12:26.0031 0944	ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
17:12:26.0171 0944	ParVdm - ok
17:12:26.0250 0944	PCI             (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
17:12:26.0375 0944	PCI - ok
17:12:26.0500 0944	PCIDump - ok
17:12:26.0546 0944	PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
17:12:26.0640 0944	PCIIde - ok
17:12:26.0718 0944	Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
17:12:26.0843 0944	Pcmcia - ok
17:12:26.0890 0944	PDCOMP - ok
17:12:26.0953 0944	PDFRAME - ok
17:12:26.0968 0944	PDRELI - ok
17:12:26.0968 0944	PDRFRAME - ok
17:12:26.0984 0944	perc2 - ok
17:12:26.0984 0944	perc2hib - ok
17:12:27.0031 0944	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
17:12:27.0093 0944	PptpMiniport - ok
17:12:27.0187 0944	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
17:12:27.0312 0944	PSched - ok
17:12:27.0406 0944	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
17:12:27.0531 0944	Ptilink - ok
17:12:27.0562 0944	ql1080 - ok
17:12:27.0625 0944	Ql10wnt - ok
17:12:27.0625 0944	ql12160 - ok
17:12:27.0640 0944	ql1240 - ok
17:12:27.0640 0944	ql1280 - ok
17:12:27.0656 0944	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
17:12:27.0750 0944	RasAcd - ok
17:12:27.0843 0944	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
17:12:27.0968 0944	Rasl2tp - ok
17:12:28.0078 0944	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
17:12:28.0234 0944	RasPppoe - ok
17:12:28.0328 0944	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
17:12:28.0437 0944	Raspti - ok
17:12:28.0562 0944	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
17:12:28.0671 0944	Rdbss - ok
17:12:28.0734 0944	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
17:12:28.0859 0944	RDPCDD - ok
17:12:29.0015 0944	rdpdr           (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
17:12:29.0093 0944	rdpdr - ok
17:12:29.0187 0944	RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
17:12:29.0312 0944	RDPWD - ok
17:12:29.0406 0944	redbook         (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
17:12:29.0531 0944	redbook - ok
17:12:29.0687 0944	RTLE8023xp      (89619ef503f949fae09252a8b883ee11) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
17:12:29.0718 0944	RTLE8023xp - ok
17:12:29.0859 0944	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
17:12:29.0890 0944	Secdrv - ok
17:12:30.0000 0944	serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
17:12:30.0078 0944	serenum - ok
17:12:30.0156 0944	Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
17:12:30.0296 0944	Serial - ok
17:12:30.0453 0944	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
17:12:30.0531 0944	Sfloppy - ok
17:12:30.0593 0944	Simbad - ok
17:12:30.0656 0944	Sparrow - ok
17:12:30.0718 0944	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
17:12:30.0781 0944	splitter - ok
17:12:30.0890 0944	sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
17:12:30.0968 0944	sr - ok
17:12:31.0140 0944	Srv             (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys
17:12:31.0203 0944	Srv - ok
17:12:31.0328 0944	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
17:12:31.0468 0944	swenum - ok
17:12:31.0578 0944	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
17:12:31.0703 0944	swmidi - ok
17:12:31.0750 0944	symc810 - ok
17:12:31.0859 0944	symc8xx - ok
17:12:31.0875 0944	sym_hi - ok
17:12:31.0875 0944	sym_u3 - ok
17:12:31.0921 0944	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
17:12:31.0984 0944	sysaudio - ok
17:12:32.0093 0944	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
17:12:32.0234 0944	Tcpip - ok
17:12:32.0312 0944	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
17:12:32.0484 0944	TDPIPE - ok
17:12:32.0562 0944	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
17:12:32.0703 0944	TDTCP - ok
17:12:32.0796 0944	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
17:12:32.0937 0944	TermDD - ok
17:12:33.0015 0944	TosIde - ok
17:12:33.0109 0944	Trufos          (d391f1171a2e3a7080df6faae7a20c0b) C:\WINDOWS\system32\DRIVERS\Trufos.sys
17:12:33.0125 0944	Trufos - ok
17:12:33.0296 0944	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
17:12:33.0375 0944	Udfs - ok
17:12:33.0484 0944	ultra - ok
17:12:33.0609 0944	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
17:12:33.0734 0944	Update - ok
17:12:33.0859 0944	usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
17:12:33.0984 0944	usbccgp - ok
17:12:34.0125 0944	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
17:12:34.0265 0944	usbehci - ok
17:12:34.0359 0944	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
17:12:34.0500 0944	usbhub - ok
17:12:34.0609 0944	USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
17:12:34.0718 0944	USBSTOR - ok
17:12:34.0812 0944	usbuhci         (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
17:12:34.0937 0944	usbuhci - ok
17:12:35.0031 0944	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
17:12:35.0156 0944	VgaSave - ok
17:12:35.0187 0944	ViaIde - ok
17:12:35.0296 0944	VolSnap         (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
17:12:35.0375 0944	VolSnap - ok
17:12:35.0578 0944	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
17:12:35.0656 0944	Wanarp - ok
17:12:35.0671 0944	WDICA - ok
17:12:35.0796 0944	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
17:12:35.0875 0944	wdmaud - ok
17:12:36.0062 0944	WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
17:12:36.0109 0944	WudfPf - ok
17:12:36.0187 0944	WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
17:12:36.0234 0944	WudfRd - ok
17:12:36.0296 0944	MBR (0x1B8)     (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
17:12:36.0609 0944	\Device\Harddisk0\DR0 - ok
17:12:36.0609 0944	MBR (0x1B8)     (6cf526a43b9dad256aba69ffd99f3f8c) \Device\Harddisk1\DR2
17:12:44.0968 0944	\Device\Harddisk1\DR2 - ok
17:12:44.0984 0944	Boot (0x1200)   (6cabc594071c71af8975256e782e6121) \Device\Harddisk0\DR0\Partition0
17:12:44.0984 0944	\Device\Harddisk0\DR0\Partition0 - ok
17:12:44.0984 0944	Boot (0x1200)   (820e02c8270294d251ff8cff2c23d69c) \Device\Harddisk1\DR2\Partition0
17:12:44.0984 0944	\Device\Harddisk1\DR2\Partition0 - ok
17:12:44.0984 0944	============================================================
17:12:44.0984 0944	Scan finished
17:12:44.0984 0944	============================================================
17:12:45.0093 2392	Detected object count: 2
17:12:45.0093 2392	Actual detected object count: 2
17:12:49.0171 2392	BANTExt ( UnsignedFile.Multi.Generic ) - skipped by user
17:12:49.0171 2392	BANTExt ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:12:49.0171 2392	CdaC15BA ( UnsignedFile.Multi.Generic ) - skipped by user
17:12:49.0171 2392	CdaC15BA ( UnsignedFile.Multi.Generic ) - User select action: Skip
         

Alt 17.11.2011, 19:10   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich - Standard

GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.11.2011, 09:36   #15
tafkar
 
GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich - Standard

GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich



Hier das ComboFix-Log:
Code:
ATTFilter
ComboFix 11-11-18.01 - m.baumhoff 18.11.2011   9:22.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2039.1485 [GMT 1:00]
ausgeführt von:: E:\ComboFix.exe
AV: Immunet 3.0 *Disabled/Updated* {F1220F1F-7E2E-48CD-846D-B98C6F85CD37}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\CSC\d6
c:\windows\IsUn0407.exe
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
c:\windows\system32\ReadMe.txt
c:\windows\system32\Thumbs.db
c:\windows\system32\UNWISE.EXE
c:\windows\$NtUninstallKB15771$\1292899255 . . . . Nicht in der Lage zu löschen
.
---- Vorheriger Suchlauf -------
.
c:\windows\$NtUninstallKB15771$\3018165886\@
c:\windows\$NtUninstallKB15771$\3018165886\bckfg.tmp
c:\windows\$NtUninstallKB15771$\3018165886\cfg.ini
c:\windows\$NtUninstallKB15771$\3018165886\Desktop.ini
c:\windows\$NtUninstallKB15771$\3018165886\kwrd.dll
c:\windows\$NtUninstallKB15771$\3018165886\L\leimsieu
c:\windows\$NtUninstallKB15771$\3018165886\U\00000001.$
c:\windows\$NtUninstallKB15771$\3018165886\U\00000001.@
c:\windows\$NtUninstallKB15771$\3018165886\U\00000002.@
c:\windows\$NtUninstallKB15771$\3018165886\U\00000004.@
c:\windows\$NtUninstallKB15771$\3018165886\U\80000000.@
c:\windows\$NtUninstallKB15771$\3018165886\U\80000004.@
c:\windows\$NtUninstallKB15771$\3018165886\U\80000032.@
.
-- Vorheriger Suchlauf --
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\hid.dll . . . ist infiziert!!
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\hid.dll . . . ist infiziert!!
.
c:\windows\system32\midimap.dll . . . ist infiziert!!
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\hid.dll . . . ist infiziert!!
.
c:\windows\system32\midimap.dll . . . ist infiziert!!
.
c:\windows\system32\dsound.dll . . . ist infiziert!!
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\hid.dll . . . ist infiziert!!
.
c:\windows\system32\midimap.dll . . . ist infiziert!!
.
c:\windows\system32\dsound.dll . . . ist infiziert!!
.
c:\windows\system32\rasauto.dll . . . ist infiziert!!
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\hid.dll . . . ist infiziert!!
.
c:\windows\system32\midimap.dll . . . ist infiziert!!
.
c:\windows\system32\dsound.dll . . . ist infiziert!!
.
c:\windows\system32\rasauto.dll . . . ist infiziert!!
.
c:\windows\system32\qmgr.dll . . . ist infiziert!!
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\hid.dll . . . ist infiziert!!
.
c:\windows\system32\midimap.dll . . . ist infiziert!!
.
c:\windows\system32\dsound.dll . . . ist infiziert!!
.
c:\windows\system32\rasauto.dll . . . ist infiziert!!
.
c:\windows\system32\qmgr.dll . . . ist infiziert!!
.
c:\windows\system32\netlogon.dll . . . ist infiziert!!
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\hid.dll . . . ist infiziert!!
.
c:\windows\system32\midimap.dll . . . ist infiziert!!
.
c:\windows\system32\dsound.dll . . . ist infiziert!!
.
c:\windows\system32\rasauto.dll . . . ist infiziert!!
.
c:\windows\system32\qmgr.dll . . . ist infiziert!!
.
c:\windows\system32\netlogon.dll . . . ist infiziert!!
.
c:\windows\system32\scecli.dll . . . ist infiziert!!
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\hid.dll . . . ist infiziert!!
.
c:\windows\system32\midimap.dll . . . ist infiziert!!
.
c:\windows\system32\dsound.dll . . . ist infiziert!!
.
c:\windows\system32\rasauto.dll . . . ist infiziert!!
.
c:\windows\system32\qmgr.dll . . . ist infiziert!!
.
c:\windows\system32\netlogon.dll . . . ist infiziert!!
.
c:\windows\system32\scecli.dll . . . ist infiziert!!
.
c:\windows\system32\srsvc.dll . . . ist infiziert!!
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\hid.dll . . . ist infiziert!!
.
c:\windows\system32\midimap.dll . . . ist infiziert!!
.
c:\windows\system32\dsound.dll . . . ist infiziert!!
.
c:\windows\system32\rasauto.dll . . . ist infiziert!!
.
c:\windows\system32\qmgr.dll . . . ist infiziert!!
.
c:\windows\system32\netlogon.dll . . . ist infiziert!!
.
c:\windows\system32\scecli.dll . . . ist infiziert!!
.
c:\windows\system32\srsvc.dll . . . ist infiziert!!
.
c:\windows\system32\comres.dll . . . ist infiziert!!
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\hid.dll . . . ist infiziert!!
.
c:\windows\system32\midimap.dll . . . ist infiziert!!
.
c:\windows\system32\dsound.dll . . . ist infiziert!!
.
c:\windows\system32\rasauto.dll . . . ist infiziert!!
.
c:\windows\system32\qmgr.dll . . . ist infiziert!!
.
c:\windows\system32\netlogon.dll . . . ist infiziert!!
.
c:\windows\system32\scecli.dll . . . ist infiziert!!
.
c:\windows\system32\srsvc.dll . . . ist infiziert!!
.
c:\windows\system32\comres.dll . . . ist infiziert!!
.
c:\windows\system32\lpk.dll . . . ist infiziert!!
.
--------
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-10-18 bis 2011-11-18  ))))))))))))))))))))))))))))))
.
.
2011-11-17 18:39 . 2011-07-13 02:55	2237440	----a-r-	C:\OTLPE.exe
2011-11-17 18:39 . 2011-11-17 21:24	--------	d-----w-	C:\_OTL
2011-11-17 08:12 . 2011-11-17 08:12	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\IETldCache
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-17 16:10 . 2009-02-26 10:35	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-02-03 18085888]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"eDoc"="c:\progra~1\GEMEIN~1\MAYCOM~1\EDOCPR~1\eDoc.exe" [2007-10-25 417792]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-12-04 366592]
"SfWinStartInfo"="c:\programme\SFirm32\sfWinStartupInfo.exe" [2010-12-20 128392]
"WireLessMouse "="c:\programme\TCM\TCM COMBO SET\MouseDrv.exe" [2005-04-28 286720]
"WireLessKeyboard "="c:\programme\TCM\TCM COMBO SET\PS2USBKbdDrv.exe" [2005-06-22 614400]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"bgsmsnd.exe"="c:\windows\system32\bgsmsnd.exe" [2009-08-27 214160]
"Immunet Protect"="c:\programme\Immunet\3.0.1\iptray.exe" [2011-05-05 2581832]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
.
R1 ImmunetProtectDriver;ImmunetProtectDriver;c:\windows\system32\drivers\ImmunetProtect.sys [05.05.2011 09:57 47440]
R1 ImmunetSelfProtectDriver;ImmunetSelfProtectDriver;c:\windows\system32\drivers\ImmunetSelfProtect.sys [05.05.2011 09:57 31952]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [26.02.2009 12:17 1684736]
S3 Caloa Agent Service 1.0;Caloa Agent Service 1.0;c:\dokume~1\NBA4A~1.KOC\LOKALE~1\Temp\nsrBF.tmp\caloa_app.exe  --StartMode AsService  --> c:\dokume~1\NBA4A~1.KOC\LOKALE~1\Temp\nsrBF.tmp\caloa_app.exe  --StartMode AsService  [?]
S3 ImmunetProtect;Immunet 3.0;c:\programme\Immunet\3.0.1\agent.exe [05.05.2011 09:57 741272]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx	REG_MULTI_SZ   	scan sysagent
.
Inhalt des "geplante Tasks" Ordners
.
2011-11-18 c:\windows\Tasks\User_Feed_Synchronization-{3010C1AF-4F8F-494F-9795-ACFE4FCA4220}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
2011-11-18 c:\windows\Tasks\User_Feed_Synchronization-{F6B97B13-1082-4A7F-B7BA-D5290DD717B6}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.maler-michalski.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: radio912.de\www
FF - ProfilePath - c:\dokumente und einstellungen\n.Koch\Anwendungsdaten\Mozilla\Firefox\Profiles\pd5wlvuz.default\
FF - Ext: Kaspersky URL Advisor: linkfilter@kaspersky.ru - c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
SafeBoot-34287378.sys
AddRemove-BZW 9.00 für Progress 10_is1 - z:\zeit\unins000.exe
AddRemove-Digitaler Berufsausbildungsvertrag 09_is1 - f:\verwaltung\Mitarbeiter\Aktuelle Mitarbeiter\DBAV09\unins000.exe
AddRemove-Hardlock Gerätetreiber - c:\windows\system32\UNWISE.EXE
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-11-18 09:30
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040AC1900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2636)
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\drivers\CDAC11BA.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\SearchIndexer.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-11-18  09:34:20 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-11-18 08:34
.
Vor Suchlauf: 27 Verzeichnis(se), 106.974.044.160 Bytes frei
Nach Suchlauf: 28 Verzeichnis(se), 107.122.995.200 Bytes frei
.
- - End Of File - - EF4656594C17D71676FD634E63939F14
         

Antwort

Themen zu GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich
abgesicherte, abgesicherten, abgesicherten modus, angeklickt, ausgegraut, eingefangen, entferne, fenster, gefangen, geklickt, gema-trojaner, gen, helft, infiziert, kein zugriff, modus, rechner, schädling, schädling?, starte, startet, taskma, zugriff



Ähnliche Themen: GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich


  1. GUV-Trojaner eingefangen, kein abgesicherter Modus möglich
    Log-Analyse und Auswertung - 12.04.2015 (13)
  2. GVU/BKA Trojaner auf XP-Rechner, kein abgesicherter Modus möglich
    Plagegeister aller Art und deren Bekämpfung - 05.05.2014 (10)
  3. "Gesellschaft zur Verfügung von Urheberrechtsverletzungen" - kein Zugriff auf Rechner möglich
    Log-Analyse und Auswertung - 02.07.2013 (15)
  4. Wegen GVU Trojaner kein Zugriff mehr auf meinen PC möglich
    Plagegeister aller Art und deren Bekämpfung - 08.06.2013 (33)
  5. GVU Trojaner, kein Zugriff mehr möglich
    Log-Analyse und Auswertung - 19.02.2013 (5)
  6. GVU Trojaner - kein Zugriff auf Win7 möglich
    Plagegeister aller Art und deren Bekämpfung - 24.01.2013 (19)
  7. TROJANER - kein Zugriff auf Desktop mehr möglich
    Plagegeister aller Art und deren Bekämpfung - 27.09.2012 (3)
  8. Gema Trojaner, Win 7, kein Zugriff (Build7601, SP1)
    Plagegeister aller Art und deren Bekämpfung - 05.09.2012 (11)
  9. Wie System (HDD ausgebaut) an anderem Rechner scannen? Wg. BKA Trojaner, kein XP Zugriff
    Plagegeister aller Art und deren Bekämpfung - 31.05.2012 (1)
  10. Trojaner durch E-Mail eingefangen - Zugriff auf Rechner nicht mehr möglich
    Plagegeister aller Art und deren Bekämpfung - 23.05.2012 (5)
  11. Gema-Trojaner, kein Zugriff auf Rechner mehr möglich
    Plagegeister aller Art und deren Bekämpfung - 13.04.2012 (2)
  12. (2x) GEMA-Trojaner, kein Zugriff möglich, kein Laufwerk vorhanden
    Mülltonne - 25.03.2012 (1)
  13. GEMA Trojaner/Virus, abgesicherter Modus nicht möglich, kein CD-LW
    Plagegeister aller Art und deren Bekämpfung - 19.03.2012 (5)
  14. Gema Trojaner mit XP - Kein Abgesicherter Modus möglich
    Plagegeister aller Art und deren Bekämpfung - 27.02.2012 (55)
  15. [BKA Trojaner Malware] Zugriff auf PC möglich aber kein Taskmanager
    Plagegeister aller Art und deren Bekämpfung - 16.12.2011 (8)
  16. nach GEMA Virus kein Zugriff auf den Rechner
    Log-Analyse und Auswertung - 15.12.2011 (1)
  17. GEMA trojana kein zugriff mehr auf den desktop
    Plagegeister aller Art und deren Bekämpfung - 05.12.2011 (10)

Zum Thema GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich - Hallo, mir wurde ein Rechner vorgesetzt, der wohl mit dem GEMA-Trojaner infiziert ist. Selbst im abgesicherten Modus startet der Trojaner und lässt keinen Zugriff auf den Rechner zu. STRG-ALT-ENTF bringt - GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich...
Archiv
Du betrachtest: GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.