Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 27.02.2012, 17:18   #1
Hamlon
 
PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry - Standard

PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry



Hallo, ich hatte die letzte Woche damit angefangen so nützliche Sachen zu installieren wie TrueCrypt, GPG, nen Backuptool, Jondofox und Tor (hatte grad ein bischen Zeit mich einzuarbeiten) und dachte mir ich mache bevor ich Schlüssel erzeuge oder anfange Passwörter für die Verschlüsselung einzurichten noch nen Virenscan zur Sicherheit.

Ich habe dann die neue mbam Version installiert und nen Vollscan im abgesicherten Modus gemacht. (Abges. Modus weil ich mal gelesen hab das da die Chancen besser sind was zu finden)

Zu meiner Überraschung wurden dabei sogar zwei infizierte registry Einträge gefunden die dann unter Quarantäne gestellt wurden.

Hier sind die Logs von mbam und DDS nach Defogger

Code:
ATTFilter
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.26.01

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus)
Internet Explorer 9.0.8112.16421
HP :: YUBYUP [Administrator]

26.02.2012 14:11:59
mbam-log-2012-02-26 (14-11-59).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P
Deaktivierte Suchlaufeinstellungen: 
Durchsuchte Objekte: 500200
Laufzeit: 1 Stunde(n), 29 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Invictus (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
Code:
ATTFilter
.
DDS (Ver_2011-08-26.01) - NTFSAMD64 
Internet Explorer: 9.0.8112.16421  BrowserJavaVersion: 10.3.1
Run by HP at 16:18:40 on 2012-02-27
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.2813.1944 [GMT 1:00]
.
AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\Hpservice.exe
C:\Windows\system32\atieclxx.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\AEADISRV.EXE
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files (x86)\GNU\GnuPG\dirmngr.exe
C:\Program Files\Sandboxie\SbieSvc.exe
C:\Program Files (x86)\Secunia\PSI\PSIA.exe
C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe
C:\Program Files (x86)\Secunia\PSI\sua.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\conhost.exe
C:\Windows\SysWOW64\cscript.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = about:blank
mWinlogon: Userinit=userinit.exe,
BHO: KeyScramblerBHO Class: {2b9f5787-88a5-4945-90e7-c4b18563bc5e} - C:\Program Files (x86)\KeyScrambler\KeyScramblerIE.dll
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll
uRun: [SandboxieControl] "C:\Program Files\Sandboxie\SbieCtrl.exe"
uRun: [KeePass Password Safe 2] "C:\Program Files (x86)\KeePass Password Safe 2\KeePass.exe"
uRun: [TrueCrypt] "C:\Program Files\TrueCrypt\TrueCrypt.exe" /q preferences /a logon
mRun: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
mRun: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
mRun: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
mRun: [KeePass 2 PreLoad] "C:\Program Files (x86)\KeePass Password Safe 2\KeePass.exe" --preload
mRun: [<NO NAME>] 
StartupFolder: C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\Startup\SECUNI~1.LNK - C:\Program Files (x86)\Secunia\PSI\psi_tray.exe
mPolicies-explorer: NoActiveDesktop = 1 (0x1)
mPolicies-explorer: NoActiveDesktopChanges = 1 (0x1)
mPolicies-system: ConsentPromptBehaviorAdmin = 1 (0x1)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Nach Microsoft &Excel exportieren - C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - {B745F984-EF2E-40D6-A9AC-D8CED7230E61} - C:\Program Files (x86)\KeyScrambler\KeyScramblerIE.dll
Trusted Zone: microsoft.com\*.update
Trusted Zone: microsoft.com\update
Trusted Zone: secunia.com\psi
Trusted Zone: windowsupdate.com\download
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
DPF: {CAFEEFAC-0017-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_03-windows-i586.cab
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{10BCBD70-3268-43EF-9081-74F2FB159054} : DhcpNameServer = 192.168.1.1
TCP: Interfaces\{3811B58C-5ED8-4279-96C9-033CED27408C}\7574F534C616E6 : DhcpNameServer = 192.168.2.1
TCP: Interfaces\{3811B58C-5ED8-4279-96C9-033CED27408C}\75C414E4D284F6D656 : DhcpNameServer = 192.168.2.1
{2B9F5787-88A5-4945-90E7-C4B18563BC5E}
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
{DBC80044-A445-435b-BC74-9C25C1C588A9}
mRun-x64: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
mRun-x64: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
mRun-x64: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
mRun-x64: [KeePass 2 PreLoad] "C:\Program Files (x86)\KeePass Password Safe 2\KeePass.exe" --preload
mRun-x64: [(Standard)] 
.
================= FIREFOX ===================
.
FF - ProfilePath - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\JonDoFox\
FF - prefs.js: browser.search.selectedEngine - Startingpage HTTPS - Deutsch
FF - prefs.js: browser.startup.homepage - hxxps://startpage.com/do/mypage.pl?prf=a2d1ece1398370b0e8129333d0592721
FF - prefs.js: keyword.enabled - false
FF - prefs.js: network.proxy.gopher - 
FF - prefs.js: network.proxy.gopher_port - 0
FF - prefs.js: network.proxy.type - 1
FF - plugin: C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: C:\Program Files (x86)\Google\Update\1.3.21.99\npGoogleUpdate3.dll
FF - plugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: C:\Program Files (x86)\Java\jre6\bin\plugin2\npdeployJava1.dll
FF - plugin: C:\Program Files (x86)\Oracle\JavaFX 2.0 Runtime\bin\plugin2\npjp2.dll
FF - plugin: C:\Windows\system32\npdeployJava1.dll
FF - plugin: C:\Windows\system32\npmproxy.dll
FF - plugin: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll
.
============= SERVICES / DRIVERS ===============
.
R1 vwififlt;Virtual WiFi Filter Driver;C:\Windows\system32\DRIVERS\vwififlt.sys --> C:\Windows\system32\DRIVERS\vwififlt.sys [?]
R2 AMD External Events Utility;AMD External Events Utility;C:\Windows\system32\atiesrxx.exe --> C:\Windows\system32\atiesrxx.exe [?]
R2 AntiVirSchedulerService;Avira AntiVir Planer;C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [2010-6-14 136360]
R2 AntiVirService;Avira AntiVir Guard;C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [2010-6-14 269480]
R2 avgntflt;avgntflt;C:\Windows\system32\DRIVERS\avgntflt.sys --> C:\Windows\system32\DRIVERS\avgntflt.sys [?]
R2 DirMngr;DirMngr;C:\Program Files (x86)\GNU\GnuPG\dirmngr.exe [2011-3-2 224256]
R2 hpsrv;HP Service;C:\Windows\system32\Hpservice.exe --> C:\Windows\system32\Hpservice.exe [?]
R2 Secunia PSI Agent;Secunia PSI Agent;C:\Program Files (x86)\Secunia\PSI\psia.exe [2010-12-21 987704]
R2 Secunia Update Agent;Secunia Update Agent;C:\Program Files (x86)\Secunia\PSI\sua.exe [2010-12-21 399416]
R2 TeamViewer7;TeamViewer 7;C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe [2011-12-24 2984832]
R3 KeyScrambler;KeyScrambler;C:\Windows\system32\drivers\keyscrambler.sys --> C:\Windows\system32\drivers\keyscrambler.sys [?]
R3 PSI;PSI;C:\Windows\system32\DRIVERS\psi_mf.sys --> C:\Windows\system32\DRIVERS\psi_mf.sys [?]
R3 SbieDrv;SbieDrv;C:\Program Files\Sandboxie\SbieDrv.sys [2012-2-8 161432]
R3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;C:\Windows\system32\DRIVERS\yk62x64.sys --> C:\Windows\system32\DRIVERS\yk62x64.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-3-18 138576]
S2 gupdate;Google Update Service (gupdate);C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2010-6-22 136176]
S3 gupdatem;Google Update-Dienst (gupdatem);C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2010-6-22 136176]
S3 StorSvc;Speicherdienst;C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted [2009-7-14 20992]
S3 TsUsbFlt;TsUsbFlt;C:\Windows\system32\drivers\tsusbflt.sys --> C:\Windows\system32\drivers\tsusbflt.sys [?]
S3 USBAAPL64;Apple Mobile USB Driver;C:\Windows\system32\Drivers\usbaapl64.sys --> C:\Windows\system32\Drivers\usbaapl64.sys [?]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;C:\Windows\system32\DRIVERS\vwifimp.sys --> C:\Windows\system32\DRIVERS\vwifimp.sys [?]
S3 yukonx64;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller;C:\Windows\system32\DRIVERS\yk60x64.sys --> C:\Windows\system32\DRIVERS\yk60x64.sys [?]
.
=============== Created Last 30 ================
.
2012-02-25 22:43:23	--------	d-----w-	C:\Users\HP\AppData\Roaming\gnupg
2012-02-25 22:43:11	--------	d-----w-	C:\Program Files (x86)\GNU
2012-02-25 22:37:19	--------	d-----w-	C:\Users\HP\AppData\Local\Lupinho.Net
2012-02-25 22:36:52	--------	d-----w-	C:\Program Files\Lupinho.Net
2012-02-25 21:53:58	509952	----a-w-	C:\Windows\System32\ntshrui.dll
2012-02-25 21:53:58	442880	----a-w-	C:\Windows\SysWow64\ntshrui.dll
2012-02-25 21:53:56	515584	----a-w-	C:\Windows\System32\timedate.cpl
2012-02-25 21:53:56	478720	----a-w-	C:\Windows\SysWow64\timedate.cpl
2012-02-25 18:47:10	414368	----a-w-	C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
2012-02-25 17:51:36	23152	----a-w-	C:\Windows\System32\drivers\mbam.sys
2012-02-25 17:51:35	--------	d-----w-	C:\Program Files (x86)\Malwarebytes' Anti-Malware
2012-02-22 20:32:23	--------	d-----w-	C:\Program Files (x86)\Oracle
2012-02-22 20:30:47	637848	----a-w-	C:\Windows\SysWow64\npdeployJava1.dll
2012-02-17 15:29:53	--------	d-----w-	C:\opt
2012-02-15 09:28:58	3145728	----a-w-	C:\Windows\System32\win32k.sys
2012-02-15 09:28:57	498688	----a-w-	C:\Windows\System32\drivers\afd.sys
2012-02-15 09:28:51	690688	----a-w-	C:\Windows\SysWow64\msvcrt.dll
2012-02-15 09:28:51	634880	----a-w-	C:\Windows\System32\msvcrt.dll
2012-02-13 19:48:18	--------	d-----w-	C:\Users\HP\AppData\Roaming\tor
2012-02-13 19:32:06	--------	d-----w-	C:\Program Files (x86)\Tor
2012-02-12 00:11:21	--------	d-----w-	C:\Users\HP\AppData\Roaming\JonDo
2012-02-11 22:57:00	--------	d-----w-	C:\Program Files (x86)\JonDo
2012-02-08 22:52:59	--------	d-----w-	C:\Users\HP\AppData\Local\Eclipse
2012-01-28 18:01:55	--------	d-----w-	C:\Users\HP\AppData\Roaming\Tracker Software
.
==================== Find3M  ====================
.
2012-01-10 12:57:10	567696	----a-w-	C:\Windows\SysWow64\deployJava1.dll
2011-12-23 17:26:06	230864	----a-w-	C:\Windows\System32\drivers\truecrypt.sys
2011-12-15 00:46:42	222904	----a-w-	C:\Windows\System32\drivers\keyscrambler.sys
2011-12-14 07:11:03	2308096	----a-w-	C:\Windows\System32\jscript9.dll
2011-12-14 07:04:30	1390080	----a-w-	C:\Windows\System32\wininet.dll
2011-12-14 07:03:38	1493504	----a-w-	C:\Windows\System32\inetcpl.cpl
2011-12-14 06:57:28	2382848	----a-w-	C:\Windows\System32\mshtml.tlb
2011-12-14 03:04:54	1798656	----a-w-	C:\Windows\SysWow64\jscript9.dll
2011-12-14 02:57:18	1127424	----a-w-	C:\Windows\SysWow64\wininet.dll
2011-12-14 02:56:58	1427456	----a-w-	C:\Windows\SysWow64\inetcpl.cpl
2011-12-14 02:50:04	2382848	----a-w-	C:\Windows\SysWow64\mshtml.tlb
.
============= FINISH: 16:19:34,81 ===============
         
Über irgendwelche Systemprobleme oder sonstige Probleme mit meinem Laptop konnte ich vorher nicht klagen und kann das auch bis jetzt noch nicht. Alles Funktioniert so wie ich mir das vorstelle.

Über "HKCU\SOFTWARE\Invictus (Trojan.FakeAlert)" habe ich bisher herausgefunden, dass Invictus Games Ltd. eine scheinbar Russische Frima ist die unter anderem das Spiel LevelR betreibt, welches ich (im Herbst 2010 glaube ich) mal ein paar Wochen lang installiert hatte. Habe dann noch einamal die Suche bemüht und bin auf einen Thread in einem LevelR Forum gestoßen, wo wohl einige einen ähnlichen Fund hatten, allerdings ohne dort ein konkretes Ergebnis zu finden. Hier der Link:
hxxp://levelr.gamigo.de/forum/showthread.php?t=11662

Kann mich auch damals an keinerlei Probleme erinnern (Ausser, dass beim Gamigo Account der "löschen" knopf fehlt)

Bei dem anderen Eintrag habe ich keine Ahnung wozu der gehört oder wie der dorthin gekommen sein kann.

In dem Zusammenhang habe ich mich dann allerdings daran erinnert das Avira vor ein paar Monaten mal einen Fund hatte den ich false positive eingestuft hatte, mir aber jetzt nicht mehr ganz sicher bin. Da die logs leider nur noch von den letzten 30 Tagen zur Verfügung stehen (hab das jetzt geändert) konnte ich das leider nur in der Quarantäne noch einsehen. Das war die unins000.exe von Ashampoo Burning Studio 2010 (von Chip geladen). Genaueres dazu habe ich im Anhang mitgeschickt.

Ich habe auch noch eine altes mbam log von 2010 (Stelle auch mit Erschrecken fest, dass mein letzter Vollscan so lange zurück liegt) und eines von heute Mittag nach Quarantäne beigefügt.

Ich Hoffe ihr könnt mir Helfen diese Funde zu interpretieren. Ich bin gerade etwas beunruhigt weil die Dinge die da sind oder vielleicht mal da waren dann wahrscheinlich schon vor über einem Jahr da waren (zumindest Invictus Trojan.Fakealert).

Vielen Dank und liebe Grüße
Hamlon

Alt 28.02.2012, 13:00   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry - Standard

PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry



Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.
__________________

__________________

Alt 28.02.2012, 17:10   #3
Hamlon
 
PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry - Standard

PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry



Hallo cosinus,
Ich hatte leider bei meinem ersten Post den Anhang vergessen. Das ist mir leider erst aufgefallen als die bearbeitungszeit rum war. Daher kommt der hier jetzt wirklich und mit allen zusätzlichen mbam logs.

Inhalt von logs.zip:
- der einzige mbam Vollscan der vor meinem Fund stattgefunden hat
- ein mbam Vollscan den ich am Tag nach dem Fund und nach Quarantäne gemacht habe
- die attach.txt von DDS
- eine bericht zu meinem Quarantäne fund (false positiv?) bei antivir, unins000.exe
- den Virus Total scan von unins000.exe

Inhalt von "mbam logs.zip"
Alle anderen mbam logs (alles Quickscans) zu denen ich sagen muss, dass ich mbam öfter mal aus dem Explorer Menü gestartet habe und entweder nur eine Datei (meist download von Chip, Heise, oder ähnliches) oder halt auch mal nen USB stick, mp3-player oder usb-Festplatte gescannt hatte. Von daher kann ich nicht sicher sagen welche der Quickscans von meinem System sind und welche nicht. Die vermutlich relevanten logs habe ich daher im logs.zip raussortiert.

Im übrigen ist mir aufgefallen, dass ich vielleicht weniger vermutlich sichere Downloads scannen sollte und statt dessen lieber mal mein System so einmal im Monat. Irgendwie hatte ich von antivir in erinnerung das sowas dann nen tag dauert und habe mir wohl gesagt ich machs ein anderes mal. Werde da in Zukunft besser aufpassen.

Danke für deine Hilfe
Hamlon
__________________

Alt 28.02.2012, 19:57   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry - Standard

PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry



Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.02.2012, 10:05   #5
Hamlon
 
PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry - Standard

PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry



Hab den ESET scan heute Nacht durchlaufen lassen. Der hat nichts gefunden. Habe nun aber zu meinem bedauern festgestellt, dass ESET die logs löscht wenn man es deinstalliert. Zumindest ist bei mir der komplette ESET Ordner weg. Habe leider nach dem Scan noch ESET wieder deinstallieren angekreuzt und auch grad gesehen, dass das nicht in der Anleitung stand.

Eigentlich ist das ja schön, dass ein Programm sich komplett entfernt, wenn man es deinstalliert. Da ich es sonst gewohnt bin gespeicherte Nutzereinstullungen oder sowas immer nochmal per Hand zu löschen war ich allerdings doch etwas überrascht.

Ich werde dann wohl den Scan noch einmal machen nachher.

Liebe Grüße
Hamlon


Alt 29.02.2012, 20:35   #6
Hamlon
 
PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry - Standard

PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry



Hab den ESET scan jetzt noch einmal fertig und dieses mal ist auch das log noch da. Die externe Festplatte war angeschlossen. Gefunden wurde nichts. hier ist das Log.

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=e9ccdbfb0a36e049aa0c7c8746fe8caa
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-29 08:24:52
# local_time=2012-02-29 09:24:52 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1797 16775165 100 94 193126 67072232 89943 0
# compatibility_mode=5893 16776574 66 85 31963830 82165226 0 0
# compatibility_mode=8192 67108863 100 0 3730 3730 0 0
# scanned=345106
# found=0
# cleaned=0
# scan_time=11715
         
Sorry, dass ich etwas länger gebraucht habe.
Hamlon

Alt 01.03.2012, 12:40   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry - Standard

PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry



Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Setze oben mittig den Haken bei Scanne alle Benutzer
  • Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 01.03.2012, 19:42   #8
Hamlon
 
PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry - Standard

PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry



Ich habe den OTL Scan mit deinen Anweisungen ausgeführt. Hier ist das log, oder auch nicht. Das log ist zu lang und kommt als Anhang.

Hoffe das war so richtig. Liebe Grüße
Hamlon

Alt 01.03.2012, 19:52   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry - Standard

PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry



Zitat:
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
Sagmal, gehörst du auch zur der Fraktion, die sich Serien und Kinofilme über dubiose Portale anschaut?
Wenn ja: in Zukunft Finger weg, diese illegalen Portale verbreiten Malware und wenn du in Zukunft malwarefrei sein wilst, musst du auf legale Alternativen ausweichen und auf solche riskanten Streamingseiten verzichten!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 02.03.2012, 10:52   #10
Hamlon
 
PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry - Standard

PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry



Nein eigentlich gehöre ich nicht zu dieser Fraktion. Ich verbringe meine Zeit eher mit dem Lernen für die Uni, starcraft 2 gucken und spielen und dem Lesen von Fantasy Büchern. Leider habe ich vor Weihnachten davon erfahren, dass das erste Buch von "A song of ice and fire" von einem amerikanischen TV Sender als Serie verfilmt wurde. Ich kann daher leider nicht ausschliessen, dass ich mich kurzzeitig auf solchen dubiosen Seiten aufgehalten habe. Allerdings bin ich schnell zu der Einsicht gelangt, dass die Verfilmung nicht so gut ist wie viele Leute behaupten und habe mir das Divx plugin damit wohl ziemlich umsonst installiert.
Dass der Besuch solcher Seiten deutlich gefährlicher ist als das tägliche Klicken auf unbekannte Ergebnisse einer bekannten Suchmaschine war mir bisher nicht klar. Ich werde in Zukunft bewusst einen großen Bogen um solche Seite machen.

Falls du übrigens eine Seite kennst auf der erklärt ist, wie man Firefox plugins relativ einfach deinstalliert, wäre ich dir dankbar für einen Link. Ansonstenwerde ich mich selbst mal schlau machen. Ich habe zwar standardmässig alles ausser Flash deaktiviert aber auch googleupdate, googlearth, JDK, Office 2003 brauche ich absolut nicht im Browser. Die werden aber auch gerne mal ohne grosses Nachfragen mitinstalliert hab ich den Eindruck.

Es wäre toll, wenn du trotzdem ein Statement zu en beiden Funden abgeben könntest. Ich habe bisher den Eindruck bekommen, dass, falls da mal was versucht hat sich einzunisten, es entweder absolut unauffällig war und sich sehr gut versteckt hält oder das nicht so wirklich geklappt hat. Ich habe aber keine Ahnung wie wahrscheinlich diese Szenarien sind.

Vielen Dank
Hamlon

Alt 02.03.2012, 13:03   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry - Standard

PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry



Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-1293802354-3010322213-347200627-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1293802354-3010322213-347200627-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - prefs.js..browser.search.selectedEngine: "Startpage.com"
FF - prefs.js..browser.search.suggest.enabled: false
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "https://ixquick.com/deu/"
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableCAD = 0
O8:64bit: - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 File not found
:Commands
[emptytemp]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 03.03.2012, 13:20   #12
Hamlon
 
PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry - Standard

PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry



Hier das Log vom OTL Fix.

Code:
ATTFilter
All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Local Page| /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKU\S-1-5-21-1293802354-3010322213-347200627-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Unable to set value : HKEY_USERS\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E!
Registry key HKEY_USERS\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKU\S-1-5-21-1293802354-3010322213-347200627-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
Prefs.js: "Startpage.com" removed from browser.search.selectedEngine
Prefs.js: false removed from browser.search.suggest.enabled
Prefs.js: false removed from browser.search.update
Prefs.js: true removed from browser.search.useDBForOrder
Prefs.js: "https://ixquick.com/deu/" removed from browser.startup.homepage
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableCAD deleted successfully.
64bit-Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Nach Microsoft &Excel exportieren\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Nach Microsoft &Excel exportieren\ not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: HP
->Temp folder emptied: 2685768 bytes
->Temporary Internet Files folder emptied: 1270674 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 104864515 bytes
->Flash cache emptied: 470 bytes
 
User: Public
 
User: ******
->Temp folder emptied: 280585 bytes
->Temporary Internet Files folder emptied: 279610 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 246440 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67899 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 751 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 105,00 mb
 
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.34.0 log created on 03032012_134742

Files\Folders moved on Reboot...
C:\Users\HP\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...
         
Nach dem Fix war meine Tastatur Lokalisation auf etwas nicht deutsches gestellt (tippe mal US). Hab leider nicht nachgeschaut da ich deutsch und schwedisch auf Hotkeys hab. Außerdem braucht mein UAC jetzt keine Passworteingabe mehr.

Andere Änderungen oder Probleme sind mir noch nicht aufgefallen.
Liebe Grüße
Hamlon

Geändert von Hamlon (03.03.2012 um 13:30 Uhr)

Alt 05.03.2012, 11:18   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry - Standard

PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry



Zitat:
Außerdem braucht mein UAC jetzt keine Passworteingabe mehr.
Bitte?
Wenn du ein Admin bist, brauchtest du noch nie ein Passwort eintippen wenn sich die UAC gemeldet hat!

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.03.2012, 15:02   #14
Hamlon
 
PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry - Standard

PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry



Das ging Fix. Habe TDSS-Killer mit den genannten Einstellungen ausgeführt. Es gab keine Funde. Hier ist das Log.

Code:
ATTFilter
14:26:16.0875 2992	TDSS rootkit removing tool 2.7.19.0 Mar  5 2012 11:23:39
14:26:16.0906 2992	============================================================
14:26:16.0906 2992	Current date / time: 2012/03/05 14:26:16.0906
14:26:16.0906 2992	SystemInfo:
14:26:16.0906 2992	
14:26:16.0906 2992	OS Version: 6.1.7601 ServicePack: 1.0
14:26:16.0906 2992	Product type: Workstation
14:26:16.0906 2992	ComputerName: YUBYUP
14:26:16.0906 2992	UserName: HP
14:26:16.0906 2992	Windows directory: C:\Windows
14:26:16.0906 2992	System windows directory: C:\Windows
14:26:16.0906 2992	Running under WOW64
14:26:16.0906 2992	Processor architecture: Intel x64
14:26:16.0906 2992	Number of processors: 2
14:26:16.0906 2992	Page size: 0x1000
14:26:16.0906 2992	Boot type: Normal boot
14:26:16.0906 2992	============================================================
14:26:18.0232 2992	Drive \Device\Harddisk0\DR0 - Size: 0x3A38B2E000 (232.89 Gb), SectorSize: 0x200, Cylinders: 0x76C1, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000040
14:26:18.0232 2992	\Device\Harddisk0\DR0:
14:26:18.0232 2992	MBR used
14:26:18.0232 2992	\Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x800, BlocksNum 0x1D1C4970
14:26:18.0263 2992	Initialize success
14:26:18.0263 2992	============================================================
14:26:34.0828 3712	============================================================
14:26:34.0828 3712	Scan started
14:26:34.0828 3712	Mode: Manual; SigCheck; TDLFS; 
14:26:34.0828 3712	============================================================
14:26:35.0327 3712	1394ohci        (a87d604aea360176311474c87a63bb88) C:\Windows\system32\drivers\1394ohci.sys
14:26:35.0499 3712	1394ohci - ok
14:26:35.0561 3712	Accelerometer   (5c368f4b04ed2a923e6afca2d37baff5) C:\Windows\system32\DRIVERS\Accelerometer.sys
14:26:35.0609 3712	Accelerometer - ok
14:26:35.0671 3712	ACPI            (d81d9e70b8a6dd14d42d7b4efa65d5f2) C:\Windows\system32\drivers\ACPI.sys
14:26:35.0687 3712	ACPI - ok
14:26:35.0812 3712	AcpiPmi         (99f8e788246d495ce3794d7e7821d2ca) C:\Windows\system32\drivers\acpipmi.sys
14:26:35.0936 3712	AcpiPmi - ok
14:26:36.0030 3712	ADIHdAudAddService (560649e6a9c11f6124f97310ef387c45) C:\Windows\system32\drivers\ADIHdAud.sys
14:26:36.0155 3712	ADIHdAudAddService - ok
14:26:36.0280 3712	adp94xx         (2f6b34b83843f0c5118b63ac634f5bf4) C:\Windows\system32\DRIVERS\adp94xx.sys
14:26:36.0358 3712	adp94xx - ok
14:26:36.0404 3712	adpahci         (597f78224ee9224ea1a13d6350ced962) C:\Windows\system32\DRIVERS\adpahci.sys
14:26:36.0420 3712	adpahci - ok
14:26:36.0467 3712	adpu320         (e109549c90f62fb570b9540c4b148e54) C:\Windows\system32\DRIVERS\adpu320.sys
14:26:36.0482 3712	adpu320 - ok
14:26:36.0593 3712	AFD             (1c7857b62de5994a75b054a9fd4c3825) C:\Windows\system32\drivers\afd.sys
14:26:36.0702 3712	AFD - ok
14:26:36.0827 3712	AgereSoftModem  (98022774d9930ecbb292e70db7601df6) C:\Windows\system32\DRIVERS\agrsm64.sys
14:26:36.0967 3712	AgereSoftModem - ok
14:26:37.0061 3712	agp440          (608c14dba7299d8cb6ed035a68a15799) C:\Windows\system32\drivers\agp440.sys
14:26:37.0092 3712	agp440 - ok
14:26:37.0185 3712	aliide          (5812713a477a3ad7363c7438ca2ee038) C:\Windows\system32\drivers\aliide.sys
14:26:37.0201 3712	aliide - ok
14:26:37.0279 3712	amdide          (1ff8b4431c353ce385c875f194924c0c) C:\Windows\system32\drivers\amdide.sys
14:26:37.0295 3712	amdide - ok
14:26:37.0357 3712	AmdK8           (7024f087cff1833a806193ef9d22cda9) C:\Windows\system32\DRIVERS\amdk8.sys
14:26:37.0451 3712	AmdK8 - ok
14:26:37.0529 3712	AmdPPM          (1e56388b3fe0d031c44144eb8c4d6217) C:\Windows\system32\DRIVERS\amdppm.sys
14:26:37.0591 3712	AmdPPM - ok
14:26:37.0717 3712	amdsata         (d4121ae6d0c0e7e13aa221aa57ef2d49) C:\Windows\system32\drivers\amdsata.sys
14:26:37.0748 3712	amdsata - ok
14:26:37.0795 3712	amdsbs          (f67f933e79241ed32ff46a4f29b5120b) C:\Windows\system32\DRIVERS\amdsbs.sys
14:26:37.0826 3712	amdsbs - ok
14:26:37.0857 3712	amdxata         (540daf1cea6094886d72126fd7c33048) C:\Windows\system32\drivers\amdxata.sys
14:26:37.0888 3712	amdxata - ok
14:26:38.0029 3712	AppID           (89a69c3f2f319b43379399547526d952) C:\Windows\system32\drivers\appid.sys
14:26:38.0263 3712	AppID - ok
14:26:38.0403 3712	arc             (c484f8ceb1717c540242531db7845c4e) C:\Windows\system32\DRIVERS\arc.sys
14:26:38.0419 3712	arc - ok
14:26:38.0450 3712	arcsas          (019af6924aefe7839f61c830227fe79c) C:\Windows\system32\DRIVERS\arcsas.sys
14:26:38.0466 3712	arcsas - ok
14:26:38.0528 3712	AsyncMac        (769765ce2cc62867468cea93969b2242) C:\Windows\system32\DRIVERS\asyncmac.sys
14:26:38.0747 3712	AsyncMac - ok
14:26:38.0857 3712	atapi           (02062c0b390b7729edc9e69c680a6f3c) C:\Windows\system32\drivers\atapi.sys
14:26:38.0888 3712	atapi - ok
14:26:39.0091 3712	atikmdag        (c7c8a63a356d34823aae5a226c1048f1) C:\Windows\system32\DRIVERS\atikmdag.sys
14:26:39.0449 3712	atikmdag - ok
14:26:39.0559 3712	AtiPcie         (7c5d273e29dcc5505469b299c6f29163) C:\Windows\system32\DRIVERS\AtiPcie.sys
14:26:39.0574 3712	AtiPcie - ok
14:26:39.0653 3712	avgntflt        (b1224e6b086cd6548315b04ab575a23e) C:\Windows\system32\DRIVERS\avgntflt.sys
14:26:39.0684 3712	avgntflt - ok
14:26:39.0731 3712	avipbb          (ed45f12cfa62b83765c9c1496758cc87) C:\Windows\system32\DRIVERS\avipbb.sys
14:26:39.0762 3712	avipbb - ok
14:26:39.0825 3712	b06bdrv         (3e5b191307609f7514148c6832bb0842) C:\Windows\system32\DRIVERS\bxvbda.sys
14:26:39.0950 3712	b06bdrv - ok
14:26:40.0059 3712	b57nd60a        (b5ace6968304a3900eeb1ebfd9622df2) C:\Windows\system32\DRIVERS\b57nd60a.sys
14:26:40.0137 3712	b57nd60a - ok
14:26:40.0340 3712	BCM43XX         (0e14a0071fe26a570bcaff5401014717) C:\Windows\system32\DRIVERS\bcmwl664.sys
14:26:40.0496 3712	BCM43XX - ok
14:26:40.0636 3712	Beep            (16a47ce2decc9b099349a5f840654746) C:\Windows\system32\drivers\Beep.sys
14:26:40.0731 3712	Beep - ok
14:26:40.0809 3712	blbdrive        (61583ee3c3a17003c4acd0475646b4d3) C:\Windows\system32\DRIVERS\blbdrive.sys
14:26:40.0855 3712	blbdrive - ok
14:26:40.0933 3712	bowser          (6c02a83164f5cc0a262f4199f0871cf5) C:\Windows\system32\DRIVERS\bowser.sys
14:26:41.0011 3712	bowser - ok
14:26:41.0105 3712	BrFiltLo        (f09eee9edc320b5e1501f749fde686c8) C:\Windows\system32\DRIVERS\BrFiltLo.sys
14:26:41.0230 3712	BrFiltLo - ok
14:26:41.0261 3712	BrFiltUp        (b114d3098e9bdb8bea8b053685831be6) C:\Windows\system32\DRIVERS\BrFiltUp.sys
14:26:41.0308 3712	BrFiltUp - ok
14:26:41.0355 3712	Brserid         (43bea8d483bf1870f018e2d02e06a5bd) C:\Windows\System32\Drivers\Brserid.sys
14:26:41.0433 3712	Brserid - ok
14:26:41.0526 3712	BrSerWdm        (a6eca2151b08a09caceca35c07f05b42) C:\Windows\System32\Drivers\BrSerWdm.sys
14:26:41.0573 3712	BrSerWdm - ok
14:26:41.0620 3712	BrUsbMdm        (b79968002c277e869cf38bd22cd61524) C:\Windows\System32\Drivers\BrUsbMdm.sys
14:26:41.0683 3712	BrUsbMdm - ok
14:26:41.0730 3712	BrUsbSer        (a87528880231c54e75ea7a44943b38bf) C:\Windows\System32\Drivers\BrUsbSer.sys
14:26:41.0808 3712	BrUsbSer - ok
14:26:41.0870 3712	BTHMODEM        (9da669f11d1f894ab4eb69bf546a42e8) C:\Windows\system32\DRIVERS\bthmodem.sys
14:26:41.0933 3712	BTHMODEM - ok
14:26:42.0026 3712	cdfs            (b8bd2bb284668c84865658c77574381a) C:\Windows\system32\DRIVERS\cdfs.sys
14:26:42.0136 3712	cdfs - ok
14:26:42.0260 3712	cdrom           (f036ce71586e93d94dab220d7bdf4416) C:\Windows\system32\DRIVERS\cdrom.sys
14:26:42.0354 3712	cdrom - ok
14:26:42.0448 3712	circlass        (d7cd5c4e1b71fa62050515314cfb52cf) C:\Windows\system32\DRIVERS\circlass.sys
14:26:42.0510 3712	circlass - ok
14:26:42.0557 3712	CLFS            (fe1ec06f2253f691fe36217c592a0206) C:\Windows\system32\CLFS.sys
14:26:42.0604 3712	CLFS - ok
14:26:42.0683 3712	CmBatt          (0840155d0bddf1190f84a663c284bd33) C:\Windows\system32\DRIVERS\CmBatt.sys
14:26:42.0714 3712	CmBatt - ok
14:26:42.0807 3712	cmdide          (e19d3f095812725d88f9001985b94edd) C:\Windows\system32\drivers\cmdide.sys
14:26:42.0839 3712	cmdide - ok
14:26:42.0917 3712	CNG             (c4943b6c962e4b82197542447ad599f4) C:\Windows\system32\Drivers\cng.sys
14:26:42.0995 3712	CNG - ok
14:26:43.0041 3712	Compbatt        (102de219c3f61415f964c88e9085ad14) C:\Windows\system32\DRIVERS\compbatt.sys
14:26:43.0057 3712	Compbatt - ok
14:26:43.0151 3712	CompositeBus    (03edb043586cceba243d689bdda370a8) C:\Windows\system32\drivers\CompositeBus.sys
14:26:43.0213 3712	CompositeBus - ok
14:26:43.0307 3712	crcdisk         (1c827878a998c18847245fe1f34ee597) C:\Windows\system32\DRIVERS\crcdisk.sys
14:26:43.0338 3712	crcdisk - ok
14:26:43.0447 3712	CSC             (54da3dfd29ed9f1619b6f53f3ce55e49) C:\Windows\system32\drivers\csc.sys
14:26:43.0572 3712	CSC - ok
14:26:43.0681 3712	DfsC            (9bb2ef44eaa163b29c4a4587887a0fe4) C:\Windows\system32\Drivers\dfsc.sys
14:26:43.0791 3712	DfsC - ok
14:26:43.0916 3712	discache        (13096b05847ec78f0977f2c0f79e9ab3) C:\Windows\system32\drivers\discache.sys
14:26:44.0010 3712	discache - ok
14:26:44.0088 3712	Disk            (9819eee8b5ea3784ec4af3b137a5244c) C:\Windows\system32\DRIVERS\disk.sys
14:26:44.0119 3712	Disk - ok
14:26:44.0181 3712	drmkaud         (9b19f34400d24df84c858a421c205754) C:\Windows\system32\drivers\drmkaud.sys
14:26:44.0244 3712	drmkaud - ok
14:26:44.0353 3712	DXGKrnl         (f5bee30450e18e6b83a5012c100616fd) C:\Windows\System32\drivers\dxgkrnl.sys
14:26:44.0415 3712	DXGKrnl - ok
14:26:44.0618 3712	ebdrv           (dc5d737f51be844d8c82c695eb17372f) C:\Windows\system32\DRIVERS\evbda.sys
14:26:44.0806 3712	ebdrv - ok
14:26:44.0915 3712	elxstor         (0e5da5369a0fcaea12456dd852545184) C:\Windows\system32\DRIVERS\elxstor.sys
14:26:44.0962 3712	elxstor - ok
14:26:45.0040 3712	ErrDev          (34a3c54752046e79a126e15c51db409b) C:\Windows\system32\drivers\errdev.sys
14:26:45.0103 3712	ErrDev - ok
14:26:45.0212 3712	exfat           (a510c654ec00c1e9bdd91eeb3a59823b) C:\Windows\system32\drivers\exfat.sys
14:26:45.0321 3712	exfat - ok
14:26:45.0383 3712	fastfat         (0adc83218b66a6db380c330836f3e36d) C:\Windows\system32\drivers\fastfat.sys
14:26:45.0477 3712	fastfat - ok
14:26:45.0524 3712	fdc             (d765d19cd8ef61f650c384f62fac00ab) C:\Windows\system32\DRIVERS\fdc.sys
14:26:45.0586 3712	fdc - ok
14:26:45.0695 3712	FileInfo        (655661be46b5f5f3fd454e2c3095b930) C:\Windows\system32\drivers\fileinfo.sys
14:26:45.0727 3712	FileInfo - ok
14:26:45.0759 3712	Filetrace       (5f671ab5bc87eea04ec38a6cd5962a47) C:\Windows\system32\drivers\filetrace.sys
14:26:45.0821 3712	Filetrace - ok
14:26:45.0868 3712	flpydisk        (c172a0f53008eaeb8ea33fe10e177af5) C:\Windows\system32\DRIVERS\flpydisk.sys
14:26:45.0899 3712	flpydisk - ok
14:26:45.0993 3712	FltMgr          (da6b67270fd9db3697b20fce94950741) C:\Windows\system32\drivers\fltmgr.sys
14:26:46.0024 3712	FltMgr - ok
14:26:46.0071 3712	FsDepends       (d43703496149971890703b4b1b723eac) C:\Windows\system32\drivers\FsDepends.sys
14:26:46.0086 3712	FsDepends - ok
14:26:46.0164 3712	Fs_Rec          (e95ef8547de20cf0603557c0cf7a9462) C:\Windows\system32\drivers\Fs_Rec.sys
14:26:46.0196 3712	Fs_Rec - ok
14:26:46.0305 3712	fvevol          (1f7b25b858fa27015169fe95e54108ed) C:\Windows\system32\DRIVERS\fvevol.sys
14:26:46.0336 3712	fvevol - ok
14:26:46.0383 3712	gagp30kx        (8c778d335c9d272cfd3298ab02abe3b6) C:\Windows\system32\DRIVERS\gagp30kx.sys
14:26:46.0414 3712	gagp30kx - ok
14:26:46.0539 3712	GEARAspiWDM     (e403aacf8c7bb11375122d2464560311) C:\Windows\system32\DRIVERS\GEARAspiWDM.sys
14:26:46.0554 3712	GEARAspiWDM - ok
14:26:46.0679 3712	HBtnKey         (965fc9d0bd1e13b02dc71b77b68092f4) C:\Windows\system32\DRIVERS\cpqbttn64.sys
14:26:46.0758 3712	HBtnKey - ok
14:26:46.0836 3712	hcw85cir        (f2523ef6460fc42405b12248338ab2f0) C:\Windows\system32\drivers\hcw85cir.sys
14:26:46.0899 3712	hcw85cir - ok
14:26:47.0008 3712	HdAudAddService (975761c778e33cd22498059b91e7373a) C:\Windows\system32\drivers\HdAudio.sys
14:26:47.0070 3712	HdAudAddService - ok
14:26:47.0164 3712	HDAudBus        (97bfed39b6b79eb12cddbfeed51f56bb) C:\Windows\system32\drivers\HDAudBus.sys
14:26:47.0226 3712	HDAudBus - ok
14:26:47.0289 3712	HidBatt         (78e86380454a7b10a5eb255dc44a355f) C:\Windows\system32\DRIVERS\HidBatt.sys
14:26:47.0335 3712	HidBatt - ok
14:26:47.0413 3712	HidBth          (7fd2a313f7afe5c4dab14798c48dd104) C:\Windows\system32\DRIVERS\hidbth.sys
14:26:47.0476 3712	HidBth - ok
14:26:47.0554 3712	HidIr           (0a77d29f311b88cfae3b13f9c1a73825) C:\Windows\system32\DRIVERS\hidir.sys
14:26:47.0632 3712	HidIr - ok
14:26:47.0758 3712	HidUsb          (9592090a7e2b61cd582b612b6df70536) C:\Windows\system32\drivers\hidusb.sys
14:26:47.0820 3712	HidUsb - ok
14:26:47.0898 3712	hpdskflt        (4e0bec0f78096ffd6d3314b497fc49d3) C:\Windows\system32\DRIVERS\hpdskflt.sys
14:26:47.0914 3712	hpdskflt - ok
14:26:48.0023 3712	HpqKbFiltr      (9af482d058be59cc28bce52e7c4b747c) C:\Windows\system32\DRIVERS\HpqKbFiltr.sys
14:26:48.0116 3712	HpqKbFiltr - ok
14:26:48.0226 3712	HpSAMD          (39d2abcd392f3d8a6dce7b60ae7b8efc) C:\Windows\system32\drivers\HpSAMD.sys
14:26:48.0257 3712	HpSAMD - ok
14:26:48.0366 3712	HTTP            (0ea7de1acb728dd5a369fd742d6eee28) C:\Windows\system32\drivers\HTTP.sys
14:26:48.0506 3712	HTTP - ok
14:26:48.0631 3712	hwpolicy        (a5462bd6884960c9dc85ed49d34ff392) C:\Windows\system32\drivers\hwpolicy.sys
14:26:48.0647 3712	hwpolicy - ok
14:26:48.0756 3712	i8042prt        (fa55c73d4affa7ee23ac4be53b4592d3) C:\Windows\system32\DRIVERS\i8042prt.sys
14:26:48.0788 3712	i8042prt - ok
14:26:48.0913 3712	iaStorV         (aaaf44db3bd0b9d1fb6969b23ecc8366) C:\Windows\system32\drivers\iaStorV.sys
14:26:48.0991 3712	iaStorV - ok
14:26:49.0053 3712	iirsp           (5c18831c61933628f5bb0ea2675b9d21) C:\Windows\system32\DRIVERS\iirsp.sys
14:26:49.0085 3712	iirsp - ok
14:26:49.0194 3712	intelide        (f00f20e70c6ec3aa366910083a0518aa) C:\Windows\system32\drivers\intelide.sys
14:26:49.0225 3712	intelide - ok
14:26:49.0303 3712	intelppm        (ada036632c664caa754079041cf1f8c1) C:\Windows\system32\DRIVERS\intelppm.sys
14:26:49.0350 3712	intelppm - ok
14:26:49.0459 3712	IpFilterDriver  (c9f0e1bd74365a8771590e9008d22ab6) C:\Windows\system32\DRIVERS\ipfltdrv.sys
14:26:49.0553 3712	IpFilterDriver - ok
14:26:49.0677 3712	IPMIDRV         (0fc1aea580957aa8817b8f305d18ca3a) C:\Windows\system32\drivers\IPMIDrv.sys
14:26:49.0709 3712	IPMIDRV - ok
14:26:49.0788 3712	IPNAT           (af9b39a7e7b6caa203b3862582e9f2d0) C:\Windows\system32\drivers\ipnat.sys
14:26:49.0881 3712	IPNAT - ok
14:26:50.0022 3712	IRENUM          (3abf5e7213eb28966d55d58b515d5ce9) C:\Windows\system32\drivers\irenum.sys
14:26:50.0146 3712	IRENUM - ok
14:26:50.0224 3712	isapnp          (2f7b28dc3e1183e5eb418df55c204f38) C:\Windows\system32\drivers\isapnp.sys
14:26:50.0256 3712	isapnp - ok
14:26:50.0302 3712	iScsiPrt        (d931d7309deb2317035b07c9f9e6b0bd) C:\Windows\system32\drivers\msiscsi.sys
14:26:50.0318 3712	iScsiPrt - ok
14:26:50.0380 3712	kbdclass        (bc02336f1cba7dcc7d1213bb588a68a5) C:\Windows\system32\DRIVERS\kbdclass.sys
14:26:50.0396 3712	kbdclass - ok
14:26:50.0521 3712	kbdhid          (0705eff5b42a9db58548eec3b26bb484) C:\Windows\system32\DRIVERS\kbdhid.sys
14:26:50.0568 3712	kbdhid - ok
14:26:50.0692 3712	KeyScrambler    (e3cf421210ebddacb4590ae67a0226dc) C:\Windows\system32\drivers\keyscrambler.sys
14:26:50.0739 3712	KeyScrambler - ok
14:26:50.0803 3712	KSecDD          (da1e991a61cfdd755a589e206b97644b) C:\Windows\system32\Drivers\ksecdd.sys
14:26:50.0834 3712	KSecDD - ok
14:26:50.0865 3712	KSecPkg         (7e33198d956943a4f11a5474c1e9106f) C:\Windows\system32\Drivers\ksecpkg.sys
14:26:50.0896 3712	KSecPkg - ok
14:26:50.0990 3712	ksthunk         (6869281e78cb31a43e969f06b57347c4) C:\Windows\system32\drivers\ksthunk.sys
14:26:51.0068 3712	ksthunk - ok
14:26:51.0208 3712	LHidFilt        (0a7d6ed578d85f0c35353424ee3f5245) C:\Windows\system32\DRIVERS\LHidFilt.Sys
14:26:51.0255 3712	LHidFilt - ok
14:26:51.0302 3712	lltdio          (1538831cf8ad2979a04c423779465827) C:\Windows\system32\DRIVERS\lltdio.sys
14:26:51.0380 3712	lltdio - ok
14:26:51.0458 3712	LMouFilt        (6542e2e6db58118fbb1b82a68ce3aff9) C:\Windows\system32\DRIVERS\LMouFilt.Sys
14:26:51.0489 3712	LMouFilt - ok
14:26:51.0567 3712	LSI_FC          (1a93e54eb0ece102495a51266dcdb6a6) C:\Windows\system32\DRIVERS\lsi_fc.sys
14:26:51.0598 3712	LSI_FC - ok
14:26:51.0645 3712	LSI_SAS         (1047184a9fdc8bdbff857175875ee810) C:\Windows\system32\DRIVERS\lsi_sas.sys
14:26:51.0661 3712	LSI_SAS - ok
14:26:51.0723 3712	LSI_SAS2        (30f5c0de1ee8b5bc9306c1f0e4a75f93) C:\Windows\system32\DRIVERS\lsi_sas2.sys
14:26:51.0739 3712	LSI_SAS2 - ok
14:26:51.0801 3712	LSI_SCSI        (0504eacaff0d3c8aed161c4b0d369d4a) C:\Windows\system32\DRIVERS\lsi_scsi.sys
14:26:51.0833 3712	LSI_SCSI - ok
14:26:51.0911 3712	luafv           (43d0f98e1d56ccddb0d5254cff7b356e) C:\Windows\system32\drivers\luafv.sys
14:26:52.0020 3712	luafv - ok
14:26:52.0130 3712	LUsbFilt        (da3494df01c62d821911ed91ce5e1642) C:\Windows\system32\Drivers\LUsbFilt.Sys
14:26:52.0161 3712	LUsbFilt - ok
14:26:52.0239 3712	megasas         (a55805f747c6edb6a9080d7c633bd0f4) C:\Windows\system32\DRIVERS\megasas.sys
14:26:52.0270 3712	megasas - ok
14:26:52.0317 3712	MegaSR          (baf74ce0072480c3b6b7c13b2a94d6b3) C:\Windows\system32\DRIVERS\MegaSR.sys
14:26:52.0348 3712	MegaSR - ok
14:26:52.0395 3712	Modem           (800ba92f7010378b09f9ed9270f07137) C:\Windows\system32\drivers\modem.sys
14:26:52.0457 3712	Modem - ok
14:26:52.0520 3712	monitor         (b03d591dc7da45ece20b3b467e6aadaa) C:\Windows\system32\DRIVERS\monitor.sys
14:26:52.0582 3712	monitor - ok
14:26:52.0707 3712	mouclass        (7d27ea49f3c1f687d357e77a470aea99) C:\Windows\system32\drivers\mouclass.sys
14:26:52.0738 3712	mouclass - ok
14:26:52.0785 3712	mouhid          (d3bf052c40b0c4166d9fd86a4288c1e6) C:\Windows\system32\DRIVERS\mouhid.sys
14:26:52.0833 3712	mouhid - ok
14:26:52.0926 3712	mountmgr        (32e7a3d591d671a6df2db515a5cbe0fa) C:\Windows\system32\drivers\mountmgr.sys
14:26:52.0957 3712	mountmgr - ok
14:26:53.0035 3712	mpio            (a44b420d30bd56e145d6a2bc8768ec58) C:\Windows\system32\drivers\mpio.sys
14:26:53.0067 3712	mpio - ok
14:26:53.0145 3712	mpsdrv          (6c38c9e45ae0ea2fa5e551f2ed5e978f) C:\Windows\system32\drivers\mpsdrv.sys
14:26:53.0223 3712	mpsdrv - ok
14:26:53.0301 3712	MRxDAV          (dc722758b8261e1abafd31a3c0a66380) C:\Windows\system32\drivers\mrxdav.sys
14:26:53.0425 3712	MRxDAV - ok
14:26:53.0503 3712	mrxsmb          (a5d9106a73dc88564c825d317cac68ac) C:\Windows\system32\DRIVERS\mrxsmb.sys
14:26:53.0550 3712	mrxsmb - ok
14:26:53.0675 3712	mrxsmb10        (d711b3c1d5f42c0c2415687be09fc163) C:\Windows\system32\DRIVERS\mrxsmb10.sys
14:26:53.0737 3712	mrxsmb10 - ok
14:26:53.0800 3712	mrxsmb20        (9423e9d355c8d303e76b8cfbd8a5c30c) C:\Windows\system32\DRIVERS\mrxsmb20.sys
14:26:53.0831 3712	mrxsmb20 - ok
14:26:53.0910 3712	msahci          (c25f0bafa182cbca2dd3c851c2e75796) C:\Windows\system32\drivers\msahci.sys
14:26:53.0926 3712	msahci - ok
14:26:54.0004 3712	msdsm           (db801a638d011b9633829eb6f663c900) C:\Windows\system32\drivers\msdsm.sys
14:26:54.0035 3712	msdsm - ok
14:26:54.0128 3712	Msfs            (aa3fb40e17ce1388fa1bedab50ea8f96) C:\Windows\system32\drivers\Msfs.sys
14:26:54.0191 3712	Msfs - ok
14:26:54.0238 3712	mshidkmdf       (f9d215a46a8b9753f61767fa72a20326) C:\Windows\System32\drivers\mshidkmdf.sys
14:26:54.0316 3712	mshidkmdf - ok
14:26:54.0362 3712	msisadrv        (d916874bbd4f8b07bfb7fa9b3ccae29d) C:\Windows\system32\drivers\msisadrv.sys
14:26:54.0378 3712	msisadrv - ok
14:26:54.0440 3712	MSKSSRV         (49ccf2c4fea34ffad8b1b59d49439366) C:\Windows\system32\drivers\MSKSSRV.sys
14:26:54.0550 3712	MSKSSRV - ok
14:26:54.0643 3712	MSPCLOCK        (bdd71ace35a232104ddd349ee70e1ab3) C:\Windows\system32\drivers\MSPCLOCK.sys
14:26:54.0752 3712	MSPCLOCK - ok
14:26:54.0799 3712	MSPQM           (4ed981241db27c3383d72092b618a1d0) C:\Windows\system32\drivers\MSPQM.sys
14:26:54.0894 3712	MSPQM - ok
14:26:54.0987 3712	MsRPC           (759a9eeb0fa9ed79da1fb7d4ef78866d) C:\Windows\system32\drivers\MsRPC.sys
14:26:55.0019 3712	MsRPC - ok
14:26:55.0097 3712	mssmbios        (0eed230e37515a0eaee3c2e1bc97b288) C:\Windows\system32\drivers\mssmbios.sys
14:26:55.0128 3712	mssmbios - ok
14:26:55.0237 3712	MSTEE           (2e66f9ecb30b4221a318c92ac2250779) C:\Windows\system32\drivers\MSTEE.sys
14:26:55.0346 3712	MSTEE - ok
14:26:55.0393 3712	MTConfig        (7ea404308934e675bffde8edf0757bcd) C:\Windows\system32\DRIVERS\MTConfig.sys
14:26:55.0471 3712	MTConfig - ok
14:26:55.0533 3712	Mup             (f9a18612fd3526fe473c1bda678d61c8) C:\Windows\system32\Drivers\mup.sys
14:26:55.0565 3712	Mup - ok
14:26:55.0674 3712	NativeWifiP     (1ea3749c4114db3e3161156ffffa6b33) C:\Windows\system32\DRIVERS\nwifi.sys
14:26:55.0783 3712	NativeWifiP - ok
14:26:56.0127 3712	NDIS            (79b47fd40d9a817e932f9d26fac0a81c) C:\Windows\system32\drivers\ndis.sys
14:26:56.0205 3712	NDIS - ok
14:26:56.0314 3712	NdisCap         (9f9a1f53aad7da4d6fef5bb73ab811ac) C:\Windows\system32\DRIVERS\ndiscap.sys
14:26:56.0392 3712	NdisCap - ok
14:26:56.0439 3712	NdisTapi        (30639c932d9fef22b31268fe25a1b6e5) C:\Windows\system32\DRIVERS\ndistapi.sys
14:26:56.0517 3712	NdisTapi - ok
14:26:56.0595 3712	Ndisuio         (136185f9fb2cc61e573e676aa5402356) C:\Windows\system32\DRIVERS\ndisuio.sys
14:26:56.0689 3712	Ndisuio - ok
14:26:56.0767 3712	NdisWan         (53f7305169863f0a2bddc49e116c2e11) C:\Windows\system32\DRIVERS\ndiswan.sys
14:26:56.0860 3712	NdisWan - ok
14:26:56.0971 3712	NDProxy         (015c0d8e0e0421b4cfd48cffe2825879) C:\Windows\system32\drivers\NDProxy.sys
14:26:57.0064 3712	NDProxy - ok
14:26:57.0127 3712	NetBIOS         (86743d9f5d2b1048062b14b1d84501c4) C:\Windows\system32\DRIVERS\netbios.sys
14:26:57.0220 3712	NetBIOS - ok
14:26:57.0314 3712	NetBT           (09594d1089c523423b32a4229263f068) C:\Windows\system32\DRIVERS\netbt.sys
14:26:57.0361 3712	NetBT - ok
14:26:57.0485 3712	nfrd960         (77889813be4d166cdab78ddba990da92) C:\Windows\system32\DRIVERS\nfrd960.sys
14:26:57.0517 3712	nfrd960 - ok
14:26:57.0595 3712	Npfs            (1e4c4ab5c9b8dd13179bbdc75a2a01f7) C:\Windows\system32\drivers\Npfs.sys
14:26:57.0657 3712	Npfs - ok
14:26:57.0704 3712	nsiproxy        (e7f5ae18af4168178a642a9247c63001) C:\Windows\system32\drivers\nsiproxy.sys
14:26:57.0782 3712	nsiproxy - ok
14:26:57.0939 3712	Ntfs            (a2f74975097f52a00745f9637451fdd8) C:\Windows\system32\drivers\Ntfs.sys
14:26:58.0048 3712	Ntfs - ok
14:26:58.0095 3712	Null            (9899284589f75fa8724ff3d16aed75c1) C:\Windows\system32\drivers\Null.sys
14:26:58.0157 3712	Null - ok
14:26:58.0251 3712	nvraid          (0a92cb65770442ed0dc44834632f66ad) C:\Windows\system32\drivers\nvraid.sys
14:26:58.0282 3712	nvraid - ok
14:26:58.0344 3712	nvstor          (dab0e87525c10052bf65f06152f37e4a) C:\Windows\system32\drivers\nvstor.sys
14:26:58.0360 3712	nvstor - ok
14:26:58.0454 3712	nv_agp          (270d7cd42d6e3979f6dd0146650f0e05) C:\Windows\system32\drivers\nv_agp.sys
14:26:58.0485 3712	nv_agp - ok
14:26:58.0578 3712	ohci1394        (3589478e4b22ce21b41fa1bfc0b8b8a0) C:\Windows\system32\drivers\ohci1394.sys
14:26:58.0625 3712	ohci1394 - ok
14:26:58.0703 3712	Parport         (0086431c29c35be1dbc43f52cc273887) C:\Windows\system32\DRIVERS\parport.sys
14:26:58.0734 3712	Parport - ok
14:26:58.0812 3712	partmgr         (871eadac56b0a4c6512bbe32753ccf79) C:\Windows\system32\drivers\partmgr.sys
14:26:58.0844 3712	partmgr - ok
14:26:58.0954 3712	pci             (94575c0571d1462a0f70bde6bd6ee6b3) C:\Windows\system32\drivers\pci.sys
14:26:58.0985 3712	pci - ok
14:26:59.0016 3712	pciide          (b5b8b5ef2e5cb34df8dcf8831e3534fa) C:\Windows\system32\drivers\pciide.sys
14:26:59.0032 3712	pciide - ok
14:26:59.0094 3712	pcmcia          (b2e81d4e87ce48589f98cb8c05b01f2f) C:\Windows\system32\DRIVERS\pcmcia.sys
14:26:59.0141 3712	pcmcia - ok
14:26:59.0188 3712	pcw             (d6b9c2e1a11a3a4b26a182ffef18f603) C:\Windows\system32\drivers\pcw.sys
14:26:59.0219 3712	pcw - ok
14:26:59.0281 3712	PEAUTH          (68769c3356b3be5d1c732c97b9a80d6e) C:\Windows\system32\drivers\peauth.sys
14:26:59.0406 3712	PEAUTH - ok
14:26:59.0578 3712	PptpMiniport    (f92a2c41117a11a00be01ca01a7fcde9) C:\Windows\system32\DRIVERS\raspptp.sys
14:26:59.0687 3712	PptpMiniport - ok
14:26:59.0765 3712	Processor       (0d922e23c041efb1c3fac2a6f943c9bf) C:\Windows\system32\DRIVERS\processr.sys
14:26:59.0812 3712	Processor - ok
14:26:59.0953 3712	Psched          (0557cf5a2556bd58e26384169d72438d) C:\Windows\system32\DRIVERS\pacer.sys
14:27:00.0016 3712	Psched - ok
14:27:00.0140 3712	PSI             (fb46e9a827a8799ebd7bfa9128c91f37) C:\Windows\system32\DRIVERS\psi_mf.sys
14:27:00.0172 3712	PSI - ok
14:27:00.0281 3712	ql2300          (a53a15a11ebfd21077463ee2c7afeef0) C:\Windows\system32\DRIVERS\ql2300.sys
14:27:00.0406 3712	ql2300 - ok
14:27:00.0468 3712	ql40xx          (4f6d12b51de1aaeff7dc58c4d75423c8) C:\Windows\system32\DRIVERS\ql40xx.sys
14:27:00.0499 3712	ql40xx - ok
14:27:00.0562 3712	QWAVEdrv        (76707bb36430888d9ce9d705398adb6c) C:\Windows\system32\drivers\qwavedrv.sys
14:27:00.0624 3712	QWAVEdrv - ok
14:27:00.0686 3712	RasAcd          (5a0da8ad5762fa2d91678a8a01311704) C:\Windows\system32\DRIVERS\rasacd.sys
14:27:00.0780 3712	RasAcd - ok
14:27:00.0842 3712	RasAgileVpn     (7ecff9b22276b73f43a99a15a6094e90) C:\Windows\system32\DRIVERS\AgileVpn.sys
14:27:00.0905 3712	RasAgileVpn - ok
14:27:01.0015 3712	Rasl2tp         (471815800ae33e6f1c32fb1b97c490ca) C:\Windows\system32\DRIVERS\rasl2tp.sys
14:27:01.0124 3712	Rasl2tp - ok
14:27:01.0202 3712	RasPppoe        (855c9b1cd4756c5e9a2aa58a15f58c25) C:\Windows\system32\DRIVERS\raspppoe.sys
14:27:01.0311 3712	RasPppoe - ok
14:27:01.0389 3712	RasSstp         (e8b1e447b008d07ff47d016c2b0eeecb) C:\Windows\system32\DRIVERS\rassstp.sys
14:27:01.0483 3712	RasSstp - ok
14:27:01.0608 3712	rdbss           (77f665941019a1594d887a74f301fa2f) C:\Windows\system32\DRIVERS\rdbss.sys
14:27:01.0701 3712	rdbss - ok
14:27:01.0795 3712	rdpbus          (302da2a0539f2cf54d7c6cc30c1f2d8d) C:\Windows\system32\DRIVERS\rdpbus.sys
14:27:01.0857 3712	rdpbus - ok
14:27:01.0920 3712	RDPCDD          (cea6cc257fc9b7715f1c2b4849286d24) C:\Windows\system32\DRIVERS\RDPCDD.sys
14:27:02.0030 3712	RDPCDD - ok
14:27:02.0155 3712	RDPDR           (1b6163c503398b23ff8b939c67747683) C:\Windows\system32\drivers\rdpdr.sys
14:27:02.0217 3712	RDPDR - ok
14:27:02.0311 3712	RDPENCDD        (bb5971a4f00659529a5c44831af22365) C:\Windows\system32\drivers\rdpencdd.sys
14:27:02.0389 3712	RDPENCDD - ok
14:27:02.0436 3712	RDPREFMP        (216f3fa57533d98e1f74ded70113177a) C:\Windows\system32\drivers\rdprefmp.sys
14:27:02.0498 3712	RDPREFMP - ok
14:27:02.0592 3712	RDPWD           (15b66c206b5cb095bab980553f38ed23) C:\Windows\system32\drivers\RDPWD.sys
14:27:02.0654 3712	RDPWD - ok
14:27:02.0763 3712	rdyboost        (34ed295fa0121c241bfef24764fc4520) C:\Windows\system32\drivers\rdyboost.sys
14:27:02.0794 3712	rdyboost - ok
14:27:02.0919 3712	rspndr          (ddc86e4f8e7456261e637e3552e804ff) C:\Windows\system32\DRIVERS\rspndr.sys
14:27:03.0014 3712	rspndr - ok
14:27:03.0107 3712	s3cap           (e60c0a09f997826c7627b244195ab581) C:\Windows\system32\drivers\vms3cap.sys
14:27:03.0170 3712	s3cap - ok
14:27:03.0232 3712	SbieDrv         (554cb4c2e076cc0960d9e5590e4c7fa5) C:\Program Files\Sandboxie\SbieDrv.sys
14:27:03.0263 3712	SbieDrv - ok
14:27:03.0373 3712	sbp2port        (ac03af3329579fffb455aa2daabbe22b) C:\Windows\system32\drivers\sbp2port.sys
14:27:03.0388 3712	sbp2port - ok
14:27:03.0482 3712	scfilter        (253f38d0d7074c02ff8deb9836c97d2b) C:\Windows\system32\DRIVERS\scfilter.sys
14:27:03.0560 3712	scfilter - ok
14:27:03.0638 3712	secdrv          (3ea8a16169c26afbeb544e0e48421186) C:\Windows\system32\drivers\secdrv.sys
14:27:03.0731 3712	secdrv - ok
14:27:03.0903 3712	Serenum         (cb624c0035412af0debec78c41f5ca1b) C:\Windows\system32\DRIVERS\serenum.sys
14:27:03.0934 3712	Serenum - ok
14:27:03.0965 3712	Serial          (c1d8e28b2c2adfaec4ba89e9fda69bd6) C:\Windows\system32\DRIVERS\serial.sys
14:27:03.0981 3712	Serial - ok
14:27:04.0060 3712	sermouse        (1c545a7d0691cc4a027396535691c3e3) C:\Windows\system32\DRIVERS\sermouse.sys
14:27:04.0091 3712	sermouse - ok
14:27:04.0185 3712	sffdisk         (a554811bcd09279536440c964ae35bbf) C:\Windows\system32\drivers\sffdisk.sys
14:27:04.0263 3712	sffdisk - ok
14:27:04.0341 3712	sffp_mmc        (ff414f0baefeba59bc6c04b3db0b87bf) C:\Windows\system32\drivers\sffp_mmc.sys
14:27:04.0388 3712	sffp_mmc - ok
14:27:04.0434 3712	sffp_sd         (dd85b78243a19b59f0637dcf284da63c) C:\Windows\system32\drivers\sffp_sd.sys
14:27:04.0481 3712	sffp_sd - ok
14:27:04.0544 3712	sfloppy         (a9d601643a1647211a1ee2ec4e433ff4) C:\Windows\system32\DRIVERS\sfloppy.sys
14:27:04.0575 3712	sfloppy - ok
14:27:04.0637 3712	SiSRaid2        (843caf1e5fde1ffd5ff768f23a51e2e1) C:\Windows\system32\DRIVERS\SiSRaid2.sys
14:27:04.0653 3712	SiSRaid2 - ok
14:27:04.0684 3712	SiSRaid4        (6a6c106d42e9ffff8b9fcb4f754f6da4) C:\Windows\system32\DRIVERS\sisraid4.sys
14:27:04.0700 3712	SiSRaid4 - ok
14:27:04.0793 3712	Smb             (548260a7b8654e024dc30bf8a7c5baa4) C:\Windows\system32\DRIVERS\smb.sys
14:27:04.0918 3712	Smb - ok
14:27:05.0122 3712	SNP2UVC         (84de101b4fa40cd28b84637924c060ce) C:\Windows\system32\DRIVERS\snp2uvc.sys
14:27:05.0184 3712	SNP2UVC - ok
14:27:05.0231 3712	spldr           (b9e31e5cacdfe584f34f730a677803f9) C:\Windows\system32\drivers\spldr.sys
14:27:05.0262 3712	spldr - ok
14:27:05.0293 3712	sptd - ok
14:27:05.0403 3712	srv             (441fba48bff01fdb9d5969ebc1838f0b) C:\Windows\system32\DRIVERS\srv.sys
14:27:05.0527 3712	srv - ok
14:27:05.0621 3712	srv2            (b4adebbf5e3677cce9651e0f01f7cc28) C:\Windows\system32\DRIVERS\srv2.sys
14:27:05.0715 3712	srv2 - ok
14:27:05.0824 3712	srvnet          (27e461f0be5bff5fc737328f749538c3) C:\Windows\system32\DRIVERS\srvnet.sys
14:27:05.0886 3712	srvnet - ok
14:27:06.0011 3712	StarOpen - ok
14:27:06.0090 3712	stexstor        (f3817967ed533d08327dc73bc4d5542a) C:\Windows\system32\DRIVERS\stexstor.sys
14:27:06.0106 3712	stexstor - ok
14:27:06.0293 3712	storflt         (7785dc213270d2fc066538daf94087e7) C:\Windows\system32\drivers\vmstorfl.sys
14:27:06.0324 3712	storflt - ok
14:27:06.0449 3712	storvsc         (d34e4943d5ac096c8edeebfd80d76e23) C:\Windows\system32\drivers\storvsc.sys
14:27:06.0480 3712	storvsc - ok
14:27:06.0574 3712	swenum          (d01ec09b6711a5f8e7e6564a4d0fbc90) C:\Windows\system32\drivers\swenum.sys
14:27:06.0605 3712	swenum - ok
14:27:06.0745 3712	SynTP           (d268d2a0db2a2bbe963e688d0b039267) C:\Windows\system32\DRIVERS\SynTP.sys
14:27:06.0823 3712	SynTP - ok
14:27:06.0917 3712	tap0901         (3b73c849b41fb20d77b0e553214061a5) C:\Windows\system32\DRIVERS\tap0901.sys
14:27:07.0010 3712	tap0901 - ok
14:27:07.0167 3712	Tcpip           (fc62769e7bff2896035aeed399108162) C:\Windows\system32\drivers\tcpip.sys
14:27:07.0277 3712	Tcpip - ok
14:27:07.0433 3712	TCPIP6          (fc62769e7bff2896035aeed399108162) C:\Windows\system32\DRIVERS\tcpip.sys
14:27:07.0526 3712	TCPIP6 - ok
14:27:07.0682 3712	tcpipreg        (df687e3d8836bfb04fcc0615bf15a519) C:\Windows\system32\drivers\tcpipreg.sys
14:27:07.0776 3712	tcpipreg - ok
14:27:07.0869 3712	TDPIPE          (3371d21011695b16333a3934340c4e7c) C:\Windows\system32\drivers\tdpipe.sys
14:27:07.0963 3712	TDPIPE - ok
14:27:08.0025 3712	TDTCP           (e4245bda3190a582d55ed09e137401a9) C:\Windows\system32\drivers\tdtcp.sys
14:27:08.0104 3712	TDTCP - ok
14:27:08.0214 3712	tdx             (ddad5a7ab24d8b65f8d724f5c20fd806) C:\Windows\system32\DRIVERS\tdx.sys
14:27:08.0323 3712	tdx - ok
14:27:08.0448 3712	TermDD          (561e7e1f06895d78de991e01dd0fb6e5) C:\Windows\system32\drivers\termdd.sys
14:27:08.0479 3712	TermDD - ok
14:27:08.0682 3712	truecrypt       (8de922cd4fea6f83b10805df965b9a08) C:\Windows\system32\drivers\truecrypt.sys
14:27:08.0713 3712	truecrypt - ok
14:27:08.0791 3712	tssecsrv        (ce18b2cdfc837c99e5fae9ca6cba5d30) C:\Windows\system32\DRIVERS\tssecsrv.sys
14:27:08.0900 3712	tssecsrv - ok
14:27:08.0994 3712	TsUsbFlt        (d11c783e3ef9a3c52c0ebe83cc5000e9) C:\Windows\system32\drivers\tsusbflt.sys
14:27:09.0025 3712	TsUsbFlt - ok
14:27:09.0182 3712	tunnel          (3566a8daafa27af944f5d705eaa64894) C:\Windows\system32\DRIVERS\tunnel.sys
14:27:09.0260 3712	tunnel - ok
14:27:09.0307 3712	uagp35          (b4dd609bd7e282bfc683cec7eaaaad67) C:\Windows\system32\DRIVERS\uagp35.sys
14:27:09.0338 3712	uagp35 - ok
14:27:09.0416 3712	udfs            (ff4232a1a64012baa1fd97c7b67df593) C:\Windows\system32\DRIVERS\udfs.sys
14:27:09.0509 3712	udfs - ok
14:27:09.0650 3712	uliagpkx        (4bfe1bc28391222894cbf1e7d0e42320) C:\Windows\system32\drivers\uliagpkx.sys
14:27:09.0665 3712	uliagpkx - ok
14:27:09.0759 3712	umbus           (dc54a574663a895c8763af0fa1ff7561) C:\Windows\system32\drivers\umbus.sys
14:27:09.0806 3712	umbus - ok
14:27:09.0899 3712	UmPass          (b2e8e8cb557b156da5493bbddcc1474d) C:\Windows\system32\DRIVERS\umpass.sys
14:27:09.0946 3712	UmPass - ok
14:27:10.0071 3712	USBAAPL64       (aa33fc47ed58c34e6e9261e4f850b7eb) C:\Windows\system32\Drivers\usbaapl64.sys
14:27:10.0150 3712	USBAAPL64 - ok
14:27:10.0259 3712	usbccgp         (6f1a3157a1c89435352ceb543cdb359c) C:\Windows\system32\DRIVERS\usbccgp.sys
14:27:10.0306 3712	usbccgp - ok
14:27:10.0400 3712	usbcir          (af0892a803fdda7492f595368e3b68e7) C:\Windows\system32\drivers\usbcir.sys
14:27:10.0462 3712	usbcir - ok
14:27:10.0556 3712	usbehci         (c025055fe7b87701eb042095df1a2d7b) C:\Windows\system32\DRIVERS\usbehci.sys
14:27:10.0618 3712	usbehci - ok
14:27:10.0743 3712	usbhub          (287c6c9410b111b68b52ca298f7b8c24) C:\Windows\system32\DRIVERS\usbhub.sys
14:27:10.0805 3712	usbhub - ok
14:27:10.0868 3712	usbohci         (9840fc418b4cbd632d3d0a667a725c31) C:\Windows\system32\DRIVERS\usbohci.sys
14:27:10.0930 3712	usbohci - ok
14:27:11.0024 3712	usbprint        (73188f58fb384e75c4063d29413cee3d) C:\Windows\system32\DRIVERS\usbprint.sys
14:27:11.0103 3712	usbprint - ok
14:27:11.0196 3712	usbscan         (aaa2513c8aed8b54b189fd0c6b1634c0) C:\Windows\system32\DRIVERS\usbscan.sys
14:27:11.0259 3712	usbscan - ok
14:27:11.0352 3712	USBSTOR         (fed648b01349a3c8395a5169db5fb7d6) C:\Windows\system32\DRIVERS\USBSTOR.SYS
14:27:11.0446 3712	USBSTOR - ok
14:27:11.0524 3712	usbuhci         (81fb2216d3a60d1284455d511797db3d) C:\Windows\system32\DRIVERS\usbuhci.sys
14:27:11.0586 3712	usbuhci - ok
14:27:11.0711 3712	usbvideo        (454800c2bc7f3927ce030141ee4f4c50) C:\Windows\System32\Drivers\usbvideo.sys
14:27:11.0789 3712	usbvideo - ok
14:27:11.0867 3712	vdrvroot        (c5c876ccfc083ff3b128f933823e87bd) C:\Windows\system32\drivers\vdrvroot.sys
14:27:11.0898 3712	vdrvroot - ok
14:27:11.0976 3712	vga             (da4da3f5e02943c2dc8c6ed875de68dd) C:\Windows\system32\DRIVERS\vgapnp.sys
14:27:11.0992 3712	vga - ok
14:27:12.0070 3712	VgaSave         (53e92a310193cb3c03bea963de7d9cfc) C:\Windows\System32\drivers\vga.sys
14:27:12.0164 3712	VgaSave - ok
14:27:12.0274 3712	vhdmp           (2ce2df28c83aeaf30084e1b1eb253cbb) C:\Windows\system32\drivers\vhdmp.sys
14:27:12.0305 3712	vhdmp - ok
14:27:12.0383 3712	viaide          (e5689d93ffe4e5d66c0178761240dd54) C:\Windows\system32\drivers\viaide.sys
14:27:12.0398 3712	viaide - ok
14:27:12.0476 3712	vmbus           (86ea3e79ae350fea5331a1303054005f) C:\Windows\system32\drivers\vmbus.sys
14:27:12.0508 3712	vmbus - ok
14:27:12.0570 3712	VMBusHID        (7de90b48f210d29649380545db45a187) C:\Windows\system32\drivers\VMBusHID.sys
14:27:12.0601 3712	VMBusHID - ok
14:27:12.0679 3712	volmgr          (d2aafd421940f640b407aefaaebd91b0) C:\Windows\system32\drivers\volmgr.sys
14:27:12.0710 3712	volmgr - ok
14:27:12.0804 3712	volmgrx         (a255814907c89be58b79ef2f189b843b) C:\Windows\system32\drivers\volmgrx.sys
14:27:12.0835 3712	volmgrx - ok
14:27:12.0898 3712	volsnap         (0d08d2f3b3ff84e433346669b5e0f639) C:\Windows\system32\drivers\volsnap.sys
14:27:12.0929 3712	volsnap - ok
14:27:12.0976 3712	vsmraid         (5e2016ea6ebaca03c04feac5f330d997) C:\Windows\system32\DRIVERS\vsmraid.sys
14:27:13.0007 3712	vsmraid - ok
14:27:13.0054 3712	vwifibus        (36d4720b72b5c5d9cb2b9c29e9df67a1) C:\Windows\system32\DRIVERS\vwifibus.sys
14:27:13.0085 3712	vwifibus - ok
14:27:13.0148 3712	vwififlt        (6a3d66263414ff0d6fa754c646612f3f) C:\Windows\system32\DRIVERS\vwififlt.sys
14:27:13.0164 3712	vwififlt - ok
14:27:13.0242 3712	vwifimp         (6a638fc4bfddc4d9b186c28c91bd1a01) C:\Windows\system32\DRIVERS\vwifimp.sys
14:27:13.0289 3712	vwifimp - ok
14:27:13.0320 3712	WacomPen        (4e9440f4f152a7b944cb1663d3935a3e) C:\Windows\system32\DRIVERS\wacompen.sys
14:27:13.0367 3712	WacomPen - ok
14:27:13.0492 3712	WANARP          (356afd78a6ed4457169241ac3965230c) C:\Windows\system32\DRIVERS\wanarp.sys
14:27:13.0554 3712	WANARP - ok
14:27:13.0570 3712	Wanarpv6        (356afd78a6ed4457169241ac3965230c) C:\Windows\system32\DRIVERS\wanarp.sys
14:27:13.0616 3712	Wanarpv6 - ok
14:27:13.0726 3712	Wd              (72889e16ff12ba0f235467d6091b17dc) C:\Windows\system32\DRIVERS\wd.sys
14:27:13.0757 3712	Wd - ok
14:27:13.0850 3712	Wdf01000        (441bd2d7b4f98134c3a4f9fa570fd250) C:\Windows\system32\drivers\Wdf01000.sys
14:27:13.0913 3712	Wdf01000 - ok
14:27:14.0022 3712	WfpLwf          (611b23304bf067451a9fdee01fbdd725) C:\Windows\system32\DRIVERS\wfplwf.sys
14:27:14.0084 3712	WfpLwf - ok
14:27:14.0131 3712	WIMMount        (05ecaec3e4529a7153b3136ceb49f0ec) C:\Windows\system32\drivers\wimmount.sys
14:27:14.0148 3712	WIMMount - ok
14:27:14.0273 3712	WmiAcpi         (f6ff8944478594d0e414d3f048f0d778) C:\Windows\system32\drivers\wmiacpi.sys
14:27:14.0335 3712	WmiAcpi - ok
14:27:14.0413 3712	ws2ifsl         (6bcc1d7d2fd2453957c5479a32364e52) C:\Windows\system32\drivers\ws2ifsl.sys
14:27:14.0491 3712	ws2ifsl - ok
14:27:14.0600 3712	WudfPf          (d3381dc54c34d79b22cee0d65ba91b7c) C:\Windows\system32\drivers\WudfPf.sys
14:27:14.0678 3712	WudfPf - ok
14:27:14.0772 3712	WUDFRd          (cf8d590be3373029d57af80914190682) C:\Windows\system32\DRIVERS\WUDFRd.sys
14:27:14.0912 3712	WUDFRd - ok
14:27:15.0021 3712	yukonw7         (64f88af327aa74e03658ae32b48ccb8b) C:\Windows\system32\DRIVERS\yk62x64.sys
14:27:15.0131 3712	yukonw7 - ok
14:27:15.0256 3712	yukonx64        (87ed1e703e88b30182b46275f0e02b99) C:\Windows\system32\DRIVERS\yk60x64.sys
14:27:15.0350 3712	yukonx64 - ok
14:27:15.0412 3712	MBR (0x1B8)     (a36c5e4f47e84449ff07ed3517b43a31) \Device\Harddisk0\DR0
14:27:15.0568 3712	\Device\Harddisk0\DR0 - ok
14:27:15.0568 3712	Boot (0x1200)   (aaaff7474ec29801e06e5da18b77a31e) \Device\Harddisk0\DR0\Partition0
14:27:15.0568 3712	\Device\Harddisk0\DR0\Partition0 - ok
14:27:15.0584 3712	============================================================
14:27:15.0584 3712	Scan finished
14:27:15.0584 3712	============================================================
14:27:15.0600 3876	Detected object count: 0
14:27:15.0600 3876	Actual detected object count: 0
14:29:49.0579 3560	Deinitialize success
         
Zu meinen Benutzereinstellungen,

Zitat:
Zitat von cosinus Beitrag anzeigen
Wenn du ein Admin bist, brauchtest du noch nie ein Passwort eintippen wenn sich die UAC gemeldet hat!
Man kann das bei Windows schon so einstellen, dass man auch als Admin das Passwort eingeben muss. Wie das geht stand mal in einer Anleitug bei Chip, Vorgänger von dieser hier.
hxxp://www.chip.de/artikel/Windows-7-perfekt-absichern-Security-Guide-2_37971546.html (Seiten 2 und 3)
Ich hab das aber damals auch noch über die registry Einträge gemacht (ConsentPromptBehaviorAdmin 1) und nicht über secpol.msc. Hatte damals auch die strg-alt-entf Einstellung vor Anmeldung aktiviert (DisableCAD 0) , die durch den OTL-Fix auch zurückgesetzt wurde. Spricht etwas dagegen, dass ich die, wenn wir hier zu einem positiven Ausgang für mich kommen, wieder meinen Vorlieben entsprechend anpasse? Aus der Anleitung hatte ich übrigens auch die Idee, dass Admin mit UAC auf höchster Stufe und standard-Nutzer das Selbe sind, was ich inzwischen allerdings anders sehe.

Falls du dafür Zeit hast wollte ich einmal kurz Fragen ob ich den OTL-Fix richtig verstanden habe:

Code:
ATTFilter
IE (Internetexplorer) -> ein paar einstellungen geändert/gelöscht z.b. startuppage, standardsuche. Kann mir egal sein da ich den nicht nutze.
FF (Firefox) -> Startuppage gelöscht, Sucheinstellungen gelöscht (Allerdings nur für das Default Profil, mein Jondofox Profil, welches ich standardmässig nutze, ist unverändert)
registry: -> Einträge gelöscht
 mctadmin = windows lokalisation? (denke deshalb war meine Tastatur auf US gestellt?)
 NoActiveDesktop = Sidebar und so? (War vorher aus, ist immernoch aus glaub ich)
 ConsentPromptBehaviorAdmin/User, DisableCAD = siehe Oben (wurde auf Win7 Standard zurückgesetzt danach. Nehme ich an?) 
 Nach Microsoft &Excel exportieren -> konnet gerne weg. Gemacht weil "file not found"?

[EMPTYTEMP] = Löscht temp. dateien
[resethosts] = keine Ahnung bzw. "HOSTS file reset successfully" (Prüft ob ein drittes Programm ändereungen am Hosts File verhindert und stellt den standard wieder her falls vorher was geändert wurde?)
         
Meine Neugier betrifft den Grund der FF und reg löschungen. Ich nehme an die wurden gelöscht und bei Bedarf beim Neustart mit standard Einstellungen neu erstellt.
Gründe:
a) Weil die Einstellungen schlecht/schädlich waren
b) einfach um den Standard wiederherzustellen
c) um nach dem Neustart zu sehen ob dritte Programme an den Einstellungen was drehen
d) ganz was anderes

Falls ich totalen Müll rede und du nicht die Zeit zum Antworten hast ist das auch OK.
Danke für deine Hilfe
Hamlon

Geändert von Hamlon (05.03.2012 um 15:09 Uhr)

Alt 05.03.2012, 15:13   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry - Standard

PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry



Zitat:
Man kann das bei Windows schon so einstellen, dass man auch als Admin das Passwort eingeben muss. Wie das geht stand mal in einer Anleitug bei Chip, Vorgänger von dieser hier
Ja aber das ist doch keine default Einstellung!

Zitat:
Meine Neugier betrifft den Grund der FF und reg löschungen.
Viele Einträge können eigentlich bleiben, aber ich lösch einige Unsinnseinträge meistens raus bzw. hab ich mri das angewöhnt, weil doch viele Toolbars ihren Müll in den Browser abladen.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry
.com, administrator, antivir, antivir guard, avira, dateien, dateisystem, defender, desktop, excel, explorer, firefox, gelöscht, google, google earth, heuristiks/extra, heuristiks/shuriken, ics, infizierte, löschen, microsoft, mozilla, neue, preferences, registry, scan, secunia psi, software, studio, suche, svchost.exe, system32, tracker



Ähnliche Themen: PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry


  1. PUM.Hijack.StartMenu bei RoutineScan gefunden
    Log-Analyse und Auswertung - 26.04.2014 (11)
  2. Problem -> PUM.Hijack.StartMenu
    Plagegeister aller Art und deren Bekämpfung - 02.02.2014 (14)
  3. Win XP - AntiMalware findet PUM.hijack.startmenu in der Registry
    Log-Analyse und Auswertung - 25.08.2013 (8)
  4. Trojan.Ransom.SUGen/PUM.Hijack.StartMenu/und Trojan Ransom
    Plagegeister aller Art und deren Bekämpfung - 16.04.2013 (2)
  5. Pum Hijack im Startmenu
    Plagegeister aller Art und deren Bekämpfung - 18.02.2013 (19)
  6. PUM.Hijack.StartMenu und Trojan.FakeAlert - das erste Mal ein Problem.
    Plagegeister aller Art und deren Bekämpfung - 14.11.2012 (3)
  7. Malewarebytes Fund Trojan.Ransom.Gen c:\..\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\ctfmon.Ink und Hijack.Shell.Gen
    Log-Analyse und Auswertung - 01.11.2012 (8)
  8. PUM.Hijack.StartMenu die Zweite
    Log-Analyse und Auswertung - 30.08.2012 (39)
  9. PUM.Hijack.StartMenu
    Log-Analyse und Auswertung - 19.07.2012 (43)
  10. Alle Dateien versteckt - Befall mit "trojan.fasagent" und "PUM.Hijack.StartMenu"
    Log-Analyse und Auswertung - 09.07.2012 (29)
  11. MBAM findet PUM.Hijack.StartMenu
    Log-Analyse und Auswertung - 25.05.2012 (3)
  12. Trojan.Fake.HDD und PUM.Hijack.StartMenu - Harddisk failure - nach AVG update
    Plagegeister aller Art und deren Bekämpfung - 02.02.2012 (16)
  13. Trojaner Trojan.Spyeyes, PUM.Hijack.Startmenu, Rogue.FakeAlert etc.
    Log-Analyse und Auswertung - 14.11.2011 (16)
  14. Trojan.FakeAlert in Registry gefunden
    Log-Analyse und Auswertung - 18.10.2011 (1)
  15. Malwarebytes' Anti-Malware findet PUM.Hijack.StartMenu in Registry
    Log-Analyse und Auswertung - 27.09.2011 (10)
  16. PUM.Hijack.Startmenu was das?
    Log-Analyse und Auswertung - 24.01.2011 (14)
  17. LogProt Frage - PUM.Hijack.StartMenu
    Log-Analyse und Auswertung - 24.01.2011 (10)

Zum Thema PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry - Hallo, ich hatte die letzte Woche damit angefangen so nützliche Sachen zu installieren wie TrueCrypt, GPG, nen Backuptool, Jondofox und Tor (hatte grad ein bischen Zeit mich einzuarbeiten) und dachte - PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry...
Archiv
Du betrachtest: PUM.Hijack.StartMenu & Trojan.FakeAlert in der registry auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.