| |
| |||||||
Log-Analyse und Auswertung: Mehere Trojaner und Malware gefundenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
27.02.2012, 23:02
| #1 |
 |  Mehere Trojaner und Malware gefunden Guten Tag, gestern wurde ich via antivir auf folgenden Befund aufmerksam gemacht: (der Rechner zeigt bislang keine offensichtliche Dysfunktion ) Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 27. Februar 2012 00:47
Es wird nach 3499677 Virenstämmen gesucht.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Michael
Computername : PLATZ0
Versionsinformationen:
BUILD.DAT : 9.0.0.429 21701 Bytes 06.10.2010 09:59:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 20.11.2009 11:00:22
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 11:00:22
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 18:58:08
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 23:35:16
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 14:13:19
VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 14:14:22
VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 14:14:46
VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 14:14:47
VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 14:14:47
VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 14:14:48
VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 14:14:48
VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 14:14:50
VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 14:14:50
VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 14:14:50
VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 14:16:34
VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 14:13:02
VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 13:28:18
VBASE016.VDF : 7.11.22.154 144896 Bytes 08.02.2012 13:29:03
VBASE017.VDF : 7.11.22.220 183296 Bytes 13.02.2012 21:41:00
VBASE018.VDF : 7.11.23.34 202752 Bytes 15.02.2012 08:16:44
VBASE019.VDF : 7.11.23.98 126464 Bytes 17.02.2012 08:46:15
VBASE020.VDF : 7.11.23.150 148480 Bytes 20.02.2012 08:51:21
VBASE021.VDF : 7.11.23.224 172544 Bytes 23.02.2012 08:49:42
VBASE022.VDF : 7.11.23.225 2048 Bytes 23.02.2012 08:49:42
VBASE023.VDF : 7.11.23.226 2048 Bytes 23.02.2012 08:49:49
VBASE024.VDF : 7.11.23.227 2048 Bytes 23.02.2012 08:49:49
VBASE025.VDF : 7.11.23.228 2048 Bytes 23.02.2012 08:49:49
VBASE026.VDF : 7.11.23.229 2048 Bytes 23.02.2012 08:49:50
VBASE027.VDF : 7.11.23.230 2048 Bytes 23.02.2012 08:49:50
VBASE028.VDF : 7.11.23.231 2048 Bytes 23.02.2012 08:49:50
VBASE029.VDF : 7.11.23.232 2048 Bytes 23.02.2012 08:49:51
VBASE030.VDF : 7.11.23.233 2048 Bytes 23.02.2012 08:49:51
VBASE031.VDF : 7.11.24.8 96768 Bytes 26.02.2012 23:37:34
Engineversion : 8.2.10.8
AEVDF.DLL : 8.1.2.2 106868 Bytes 25.10.2011 14:37:02
AESCRIPT.DLL : 8.1.4.7 442746 Bytes 24.02.2012 08:50:50
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 17:10:19
AESBX.DLL : 8.2.4.5 434549 Bytes 01.12.2011 17:46:17
AERDL.DLL : 8.1.9.15 639348 Bytes 09.09.2011 10:57:26
AEPACK.DLL : 8.2.16.3 799094 Bytes 10.02.2012 13:40:13
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30.12.2011 09:27:22
AEHEUR.DLL : 8.1.4.0 4436342 Bytes 24.02.2012 08:50:43
AEHELP.DLL : 8.1.19.0 254327 Bytes 20.01.2012 13:18:29
AEGEN.DLL : 8.1.5.21 409971 Bytes 03.02.2012 14:18:59
AEEXP.DLL : 8.1.0.23 70005 Bytes 24.02.2012 08:50:51
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 17:15:47
AECORE.DLL : 8.1.25.4 201079 Bytes 13.02.2012 21:41:06
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 09:36:28
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 18:41:45
AVREP.DLL : 10.0.0.9 174120 Bytes 05.03.2011 13:15:12
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 20.11.2009 11:00:22
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+SPR,
Beginn des Suchlaufs: Montag, 27. Februar 2012 00:47
Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '107457' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PcScnSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tmproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TmPfw.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Tmntsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rfx-server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PcCtlCom.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TMAS_OEMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OpWareSE4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pccguide.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '37' Prozesse mit '37' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '66' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <Lokaler Datenträger>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61\27be6c3d-10bef566
[0] Archivtyp: ZIP
--> apps/MyApplet.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3544
--> apps/MyWorker.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Vedenbi.Gen
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\0.028547357837511278.exe
[FUND] Ist das Trojanische Pferd TR/Ransom.EJ.28
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\jar_cache49088.tmp
[0] Archivtyp: ZIP
--> Applet.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2011-3544.BU.1
Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61\27be6c3d-10bef566
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4facd45c.qua' verschoben!
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\0.028547357837511278.exe
[FUND] Ist das Trojanische Pferd TR/Ransom.EJ.28
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f7ad453.qua' verschoben!
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\jar_cache49088.tmp
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fbcd486.qua' verschoben!
Ende des Suchlaufs: Montag, 27. Februar 2012 01:53
Benötigte Zeit: 1:03:01 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
6497 Verzeichnisse wurden überprüft
289279 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
289274 Dateien ohne Befall
2802 Archive wurden durchsucht
1 Warnungen
4 Hinweise
107457 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.02.26.07 Windows XP Service Pack 2 x86 NTFS Internet Explorer 7.0.5730.11 Michael :: PLATZ0 [Administrator] Schutz: Aktiviert 27.02.2012 10:46:36 mbam-log-2012-02-27 (10-46-36).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 297651 Laufzeit: 1 Stunde(n), 35 Minute(n), 37 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 4 HKCR\CLSID\{DB3C772E-16F4-40e7-AAF2-5DEBA1354917} (Password.Stealer) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DB3C772E-16F4-40E7-AAF2-5DEBA1354917} (Password.Stealer) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB3C772E-16F4-40E7-AAF2-5DEBA1354917} (Password.Stealer) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\DbgMgr (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 8 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|hp32_nword (Trojan.Agent) -> Daten: C:\Dokumente und Einstellungen\Michael\hp32_nword.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\MSN|BN (Trojan.Ambler) -> Daten: F^B_NM -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\MSN|gd (Trojan.Ambler) -> Daten: lSU$T %R:&!Q#:#'r :VVQ%:"SRUV&$"#.& j -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\MSN|D1 (Trojan.Ambler) -> Daten: ! -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\MSN|D2 (Trojan.Ambler) -> Daten: ! -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\MSN|D3 (Trojan.Ambler) -> Daten: !!# -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\MSN|pr (Trojan.Ambler) -> Daten: rte`8rzf8}{p{:r{ -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Internet Connection Wizard Setup Tool (Trojan.Downloader) -> Daten: C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 10 c:\system volume information\_restore{5542117f-8e15-42fa-ac38-3e6d8c573666}\rp1069\a0065692.exe (Backdoor.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\c2d.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\ck.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\idm.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\jc.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\q1.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Michael\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\AppPatch\WG_List.dat (Trojan.Apppatch) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=7.00.6000.16827 (vista_gdr.090226-1506)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=3b398bb2e6e68748a50dbbb8695b9ffa
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-27 12:51:20
# local_time=2012-02-27 01:51:20 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=512 16777179 100 0 148258769 148258769 0 0
# compatibility_mode=1797 16775141 100 100 47237 105858235 39824 0
# compatibility_mode=4096 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 3840 3840 0 0
# scanned=120074
# found=1
# cleaned=0
# scan_time=4152
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Eigene Bilder\ben\01_09_2010_kl-ktn\stickBackup21012011\Ablage\Ablage\Neuer Ordner\Setup_FreeFlvConverter52.exe Win32/Adware.Toolbar.Dealio application (unable to clean) 00000000000000000000000000000000 I
Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.02.27.01 Windows XP Service Pack 2 x86 NTFS Internet Explorer 7.0.5730.11 Michael :: PLATZ0 [Administrator] Schutz: Aktiviert 27.02.2012 14:07:17 mbam-log-2012-02-27 (14-07-17).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 297907 Laufzeit: 1 Stunde(n), 10 Minute(n), 56 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) (in dem Fall würden die zahlreichen, längst überfälligen Sicherheitsmaßnahmen wie SP3, Javaupdate, adminrechte, ect. gemäß den hier auf dem Board dokumentierten Hinweise natürlich direkt im Anschluß umgesetzt) Herzlichen Dank im Voraus! |
|
29.02.2012, 16:03
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Mehere Trojaner und Malware gefunden CustomScan mit OTL
__________________Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
__________________ |
|
29.02.2012, 16:48
| #3 |
| | Mehere Trojaner und Malware gefunden Danke! Anweisung ausgeführt:
__________________Code:
ATTFilter OTL logfile created on: 29.02.2012 16:31:18 - Run 1 OTL by OldTimer - Version 3.2.33.2 Folder = C:\Dokumente und Einstellungen\Michael\Desktop Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.11) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,26 Gb Available Physical Memory | 63,16% Memory free 3,35 Gb Paging File | 2,74 Gb Available in Paging File | 81,93% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 298,08 Gb Total Space | 112,60 Gb Free Space | 37,77% Space Free | Partition Type: NTFS Computer Name: PLATZ0 | User Name: Michael | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.02.29 16:29:10 | 000,583,680 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Michael\Desktop\OTL.exe PRC - [2012.01.13 14:53:18 | 000,652,360 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe PRC - [2012.01.13 14:53:18 | 000,460,872 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe PRC - [2011.11.18 14:51:12 | 003,673,944 | ---- | M] () -- C:\Programme\Tobit Radio.fx\Server\rfx-server.exe PRC - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2009.03.02 12:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2007.03.14 02:43:44 | 000,083,608 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre1.6.0_01\bin\jusched.exe PRC - [2006.10.11 11:45:12 | 000,075,304 | ---- | M] (ScanSoft, Inc.) -- C:\Programme\ScanSoft\OmniPageSE4.0\OpWareSE4.exe PRC - [2006.09.29 10:15:46 | 003,117,056 | ---- | M] (Trend Micro Inc.) -- C:\Programme\Trend Micro\Internet Security 2007\pccguide.exe PRC - [2006.09.29 09:52:48 | 000,503,808 | ---- | M] (Trend Micro Inc.) -- C:\Programme\Trend Micro\Internet Security 2007\Tmntsrv.exe PRC - [2006.09.29 09:48:56 | 000,196,608 | ---- | M] (Trend Micro Inc.) -- C:\Programme\Trend Micro\Internet Security 2007\PcScnSrv.exe PRC - [2006.09.29 09:48:10 | 001,544,192 | ---- | M] (Trend Micro Inc.) -- C:\Programme\Trend Micro\Internet Security 2007\PcCtlCom.exe PRC - [2006.09.26 21:23:32 | 000,315,392 | ---- | M] (Trend Micro Inc.) -- C:\Programme\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe PRC - [2006.09.14 21:34:20 | 000,561,223 | ---- | M] (Trend Micro Inc.) -- C:\Programme\Trend Micro\Internet Security 2007\tmproxy.exe PRC - [2006.09.14 21:31:52 | 000,933,952 | ---- | M] (Trend Micro Inc.) -- C:\Programme\Trend Micro\Internet Security 2007\TmPfw.exe PRC - [2006.06.01 12:32:12 | 000,094,208 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe PRC - [2006.02.28 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe ========== Modules (No Company Name) ========== MOD - [2011.11.18 14:51:12 | 003,673,944 | ---- | M] () -- C:\Programme\Tobit Radio.fx\Server\rfx-server.exe MOD - [2009.01.28 15:03:49 | 000,326,401 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2006.10.22 11:22:00 | 000,212,992 | ---- | M] () -- C:\WINDOWS\system32\nvapi.dll MOD - [2006.09.29 09:53:08 | 000,290,816 | ---- | M] () -- C:\Programme\Trend Micro\Internet Security 2007\tmdbg.dll MOD - [2006.09.26 21:23:34 | 000,077,824 | ---- | M] () -- C:\Programme\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEHook.dll ========== Win32 Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- -- (HidServ) SRV - [2012.01.13 14:53:18 | 000,652,360 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2011.11.18 14:51:12 | 003,673,944 | ---- | M] () [Auto | Running] -- C:\Programme\Tobit Radio.fx\Server\rfx-server.exe -- (Radio.fx) SRV - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2006.09.29 09:52:48 | 000,503,808 | ---- | M] (Trend Micro Inc.) [Auto | Running] -- C:\Programme\Trend Micro\Internet Security 2007\Tmntsrv.exe -- (Tmntsrv) SRV - [2006.09.29 09:48:56 | 000,196,608 | ---- | M] (Trend Micro Inc.) [On_Demand | Running] -- C:\Programme\Trend Micro\Internet Security 2007\PcScnSrv.exe -- (PcScnSrv) SRV - [2006.09.29 09:48:10 | 001,544,192 | ---- | M] (Trend Micro Inc.) [Auto | Running] -- C:\Programme\Trend Micro\Internet Security 2007\PcCtlCom.exe -- (PcCtlCom) SRV - [2006.09.14 21:34:20 | 000,561,223 | ---- | M] (Trend Micro Inc.) [Auto | Running] -- C:\Programme\Trend Micro\Internet Security 2007\tmproxy.exe -- (tmproxy) SRV - [2006.09.14 21:31:52 | 000,933,952 | ---- | M] (Trend Micro Inc.) [Auto | Running] -- C:\Programme\Trend Micro\Internet Security 2007\TmPfw.exe -- (TmPfw) ========== Driver Services (SafeList) ========== DRV - [2011.12.10 15:24:06 | 000,020,464 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector) DRV - [2009.12.07 19:05:02 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2009.05.22 00:02:26 | 000,225,296 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\tmxpflt.sys -- (tmxpflt) DRV - [2009.05.22 00:00:40 | 000,036,368 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\tmpreflt.sys -- (Tmpreflt) DRV - [2009.05.21 23:45:58 | 001,220,120 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\VsapiNT.sys -- (Vsapint) DRV - [2009.05.11 09:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.03.30 09:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2009.02.13 11:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2007.12.24 16:37:00 | 000,138,384 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\tmcomm.sys -- (tmcomm) DRV - [2006.09.14 21:28:34 | 000,101,888 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\tm_mbd_c.sys -- (tmmbd) DRV - [2006.09.14 21:28:08 | 000,068,224 | ---- | M] (Trend Micro Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\tmtdi.sys -- (tmtdi) DRV - [2006.08.24 22:58:58 | 000,281,600 | ---- | M] (Trend Micro Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\TM_CFW.sys -- (tmcfw) DRV - [2006.06.07 05:09:26 | 004,284,928 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2006.02.28 06:46:20 | 000,081,408 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtnicxp.sys -- (RTL8023xp) DRV - [2005.03.09 14:53:00 | 000,043,008 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8) DRV - [2005.01.07 16:07:16 | 000,145,920 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService) DRV - [2004.08.13 19:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor) DRV - [1998.04.02 09:36:14 | 000,025,824 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\drivers\A4SII300.SYS -- (A4SII300) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-1993962763-1482476501-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKU\S-1-5-21-1993962763-1482476501-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "about:blank" FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.7 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKCU\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.12.27 12:41:39 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.11.01 10:07:04 | 000,000,000 | ---D | M] [2011.10.15 18:19:28 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Mozilla\Extensions [2012.02.27 00:48:43 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\u0l86gd0.default\extensions [2010.01.17 18:44:07 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\u0l86gd0.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2012.02.27 00:48:43 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2011.08.31 17:15:56 | 000,000,000 | ---D | M] (Click to call with Skype) -- C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} [2007.06.17 14:16:24 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} [2011.11.01 10:06:58 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2011.11.01 10:06:58 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2011.11.01 10:06:58 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2007.06.17 13:42:34 | 000,000,080 | RH-- | M] () -- C:\Programme\mozilla firefox\searchplugins\WG_List.dat [2011.11.01 10:06:58 | 000,000,986 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2011.11.01 10:06:58 | 000,000,801 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2006.02.28 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (Reg Error: Value error.) - {7441C85A-EF6E-4817-9D4C-0A0D60292D0B} - C:\WINDOWS\system32\offfiltd.dll File not found O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [High Definition Audio Property Page Shortcut] C:\WINDOWS\System32\HdAShCut.exe (Windows (R) Server 2003 DDK provider) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NWEReboot] File not found O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [OpwareSE4] C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe (ScanSoft, Inc.) O4 - HKLM..\Run: [pccguide.exe] C:\Programme\Trend Micro\Internet Security 2007\pccguide.exe (Trend Micro Inc.) O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_01\bin\jusched.exe (Sun Microsystems, Inc.) O4 - HKU\S-1-5-21-1993962763-1482476501-839522115-1003..\Run: [{249A4D52-183C-11DC-84C2-806D6172696F}] C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\torrent.exe File not found O4 - HKU\S-1-5-21-1993962763-1482476501-839522115-1003..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG) O4 - HKU\S-1-5-21-1993962763-1482476501-839522115-1003..\Run: [OE] C:\Programme\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe (Trend Micro Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WG_List.dat () O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WISO Urteilsmonitor.lnk = C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe () O4 - Startup: C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\WG_List.dat () O4 - Startup: C:\Dokumente und Einstellungen\Michael\Startmenü\Programme\Autostart\WG_List.dat () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-1993962763-1482476501-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 181 O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - C:\Programme\Microsoft Office\Office\1031\PHDINTL.DLL (Microsoft Corporation) O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll (Sun Microsystems, Inc.) O9 - Extra Button: Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01) O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Java Plug-in 1.6.0) O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{2443C4EA-E7C1-4291-A0B3-F5E2AF7056FD}: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007.06.11 16:10:24 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: 6to4 - File not found NetSvcs: HidServ - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found SafeBootMin: Base - Driver Group SafeBootMin: Boot Bus Extender - Driver Group SafeBootMin: Boot file system - Driver Group SafeBootMin: File system - Driver Group SafeBootMin: Filter - Driver Group SafeBootMin: PCI Configuration - Driver Group SafeBootMin: PNP Filter - Driver Group SafeBootMin: Primary disk - Driver Group SafeBootMin: SCSI Class - Driver Group SafeBootMin: sermouse.sys - Driver SafeBootMin: System Bus Extender - Driver Group SafeBootMin: vga.sys - Driver SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices SafeBootNet: Base - Driver Group SafeBootNet: Boot Bus Extender - Driver Group SafeBootNet: Boot file system - Driver Group SafeBootNet: File system - Driver Group SafeBootNet: Filter - Driver Group SafeBootNet: NDIS Wrapper - Driver Group SafeBootNet: NetBIOSGroup - Driver Group SafeBootNet: NetDDEGroup - Driver Group SafeBootNet: Network - Driver Group SafeBootNet: NetworkProvider - Driver Group SafeBootNet: PCI Configuration - Driver Group SafeBootNet: PNP Filter - Driver Group SafeBootNet: PNP_TDI - Driver Group SafeBootNet: Primary disk - Driver Group SafeBootNet: SCSI Class - Driver Group SafeBootNet: sermouse.sys - Driver SafeBootNet: Streams Drivers - Driver Group SafeBootNet: System Bus Extender - Driver Group SafeBootNet: TDI - Driver Group SafeBootNet: vga.sys - Driver SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789) ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Macromedia Shockwave Flash ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation) Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.) Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.) Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation) Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.) Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation) Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation) CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2012.02.29 16:29:45 | 000,583,680 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Michael\Desktop\OTL.exe [2012.02.27 12:38:08 | 000,000,000 | ---D | C] -- C:\Programme\ESET [2012.02.27 10:44:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Malwarebytes [2012.02.27 10:44:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2012.02.27 10:43:58 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.02.27 10:43:58 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.02.29 16:29:10 | 000,583,680 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Michael\Desktop\OTL.exe [2012.02.29 11:27:08 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.02.29 11:24:53 | 000,088,566 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml [2012.02.29 11:24:49 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.02.27 17:22:00 | 000,000,458 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job [2012.02.16 10:51:17 | 000,001,054 | ---- | M] () -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\wklnhst.dat [2012.02.12 18:33:51 | 000,000,778 | ---- | M] () -- C:\WINDOWS\ULead32.ini [2012.02.09 12:35:20 | 000,000,151 | ---- | M] () -- C:\WINDOWS\PhotoSnapViewer.INI [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.01.16 09:20:40 | 000,554,496 | ---- | C] () -- C:\WINDOWS\System32\dvmsg.dll [2010.12.05 19:05:20 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat ========== LOP Check ========== [2008.07.08 10:31:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH [2011.06.14 15:56:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lernwerkstatt 7 [2011.09.08 14:14:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MIOS_Studio [2007.06.17 13:42:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft [2008.07.08 10:33:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Buhl Data Service [2007.06.17 13:42:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Canon [2007.06.17 13:42:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\ScanSoft [2007.09.17 17:03:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Template [2011.01.16 09:20:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Tobit [2012.02.27 17:22:00 | 000,000,458 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job [2007.06.17 13:42:47 | 000,000,034 | RH-- | M] () -- C:\WINDOWS\Tasks\WG_List.dat ========== Purity Check ========== ========== Custom Scans ========== < %ALLUSERSPROFILE%\Application Data\*. > [2009.08.05 16:16:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Application Data\Microsoft < %ALLUSERSPROFILE%\Application Data\*.exe /s > < %APPDATA%\*. > [2009.10.17 12:09:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Adobe [2008.06.25 21:05:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Ahead [2007.06.17 13:42:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\ArcSoft [2008.07.08 10:33:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Buhl Data Service [2007.06.17 13:42:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Canon [2012.01.19 12:04:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\dvdcss [2007.06.21 13:40:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Help [2007.06.17 13:42:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Identities [2008.07.08 10:31:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\InstallShield [2007.06.18 12:01:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Macromedia [2012.02.27 10:44:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Malwarebytes [2012.02.27 00:38:57 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft [2007.06.17 13:42:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft Web Folders [2011.10.15 18:19:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Mozilla [2007.06.17 13:42:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\ScanSoft [2012.02.29 16:31:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Skype [2011.08.31 17:12:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\skypePM [2007.06.17 13:42:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Sun [2007.06.17 13:42:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Talkback [2007.09.17 17:03:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Template [2011.01.16 09:20:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Tobit [2007.06.17 13:42:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\vlc < %APPDATA%\*.exe /s > [2007.07.03 21:04:18 | 000,003,310 | R--- | M] () -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_12db153c.exe [2007.07.03 21:04:18 | 000,002,550 | R--- | M] () -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_16496df1.exe [2007.07.03 21:04:18 | 000,001,078 | R--- | M] () -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_18be6784.exe [2007.07.03 21:04:18 | 000,001,078 | R--- | M] () -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_26e91eb.exe [2007.07.03 21:04:18 | 000,001,078 | R--- | M] () -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_294823.exe [2007.07.03 21:04:18 | 000,001,078 | R--- | M] () -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_2cd672ae.exe [2007.07.03 21:04:18 | 000,001,078 | R--- | M] () -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_4ae13d6c.exe [2007.07.03 21:04:18 | 000,008,478 | R--- | M] () -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_5af141bb.exe [2007.07.03 21:04:18 | 000,001,078 | R--- | M] () -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_69525f90.exe [2007.07.03 21:04:18 | 000,004,846 | R--- | M] () -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_7e87390c.exe [2007.07.03 21:04:18 | 000,003,310 | R--- | M] () -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\Installer\{ABC52CF9-2D43-4278-A152-CB2CD3ED8FE9}\_bb32ea6.exe < %SYSTEMDRIVE%\*.exe > < MD5 for: AGP440.SYS > [2006.02.28 13:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys [2008.04.13 19:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\SoftwareDistribution\Download\7d084ddd2c07c476a226e31c4ef032ff\agp440.sys < MD5 for: ATAPI.SYS > [2006.02.28 13:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys [2008.04.13 19:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\SoftwareDistribution\Download\7d084ddd2c07c476a226e31c4ef032ff\atapi.sys [2006.02.28 13:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\drivers\atapi.sys < MD5 for: EVENTLOG.DLL > [2008.04.14 03:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\SoftwareDistribution\Download\7d084ddd2c07c476a226e31c4ef032ff\eventlog.dll [2006.02.28 13:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\system32\dllcache\eventlog.dll [2006.02.28 13:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\system32\eventlog.dll < MD5 for: NETLOGON.DLL > [2008.04.14 03:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\SoftwareDistribution\Download\7d084ddd2c07c476a226e31c4ef032ff\netlogon.dll [2006.02.28 13:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\system32\dllcache\netlogon.dll [2006.02.28 13:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\system32\netlogon.dll < MD5 for: SCECLI.DLL > [2008.04.14 03:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\SoftwareDistribution\Download\7d084ddd2c07c476a226e31c4ef032ff\scecli.dll [2006.02.28 13:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\system32\dllcache\scecli.dll [2006.02.28 13:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\system32\scecli.dll < MD5 for: USER32.DLL > [2005.03.02 19:09:46 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=3751D7CF0E0A113D84414992146BCE6A -- C:\WINDOWS\$NtUninstallKB925902$\user32.dll [2007.03.08 16:36:30 | 000,579,072 | ---- | M] (Microsoft Corporation) MD5=492E166CFD26A50FB9160DB536FF7D2B -- C:\WINDOWS\system32\dllcache\user32.dll [2007.03.08 16:36:30 | 000,579,072 | ---- | M] (Microsoft Corporation) MD5=492E166CFD26A50FB9160DB536FF7D2B -- C:\WINDOWS\system32\user32.dll [2005.03.02 19:19:56 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=4C90159A69A5FD3EB39C71411F28FCFF -- C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll [2006.02.28 13:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtUninstallKB890859$\user32.dll [2007.03.08 16:48:39 | 000,579,584 | ---- | M] (Microsoft Corporation) MD5=78785EFF8CB90CEC1862A4CCFD9A3C3A -- C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll [2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\SoftwareDistribution\Download\7d084ddd2c07c476a226e31c4ef032ff\user32.dll < MD5 for: USERINIT.EXE > [2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\SoftwareDistribution\Download\7d084ddd2c07c476a226e31c4ef032ff\userinit.exe [2006.02.28 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\dllcache\userinit.exe [2006.02.28 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\userinit.exe < MD5 for: WINLOGON.EXE > [2006.02.28 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\system32\dllcache\winlogon.exe [2006.02.28 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\system32\winlogon.exe [2012.01.13 14:53:20 | 000,182,856 | ---- | M] () MD5=63EEC8A8B221AB79045E776E5F592868 -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe [2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\SoftwareDistribution\Download\7d084ddd2c07c476a226e31c4ef032ff\winlogon.exe < MD5 for: WS2IFSL.SYS > [2006.02.28 13:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys [2006.02.28 13:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > [2007.06.11 17:58:21 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav [2007.06.11 17:58:21 | 000,663,552 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav [2007.06.11 17:58:21 | 000,450,560 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < End of report > |
|
29.02.2012, 18:45
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Mehere Trojaner und Malware gefunden Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
O4 - HKU\S-1-5-21-1993962763-1482476501-839522115-1003..\Run: [{249A4D52-183C-11DC-84C2-806D6172696F}] C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Microsoft\torrent.exe File not found
O4 - Startup: C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\WG_List.dat ()
O4 - Startup: C:\Dokumente und Einstellungen\Michael\Startmenü\Programme\Autostart\WG_List.dat ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1993962763-1482476501-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 181
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.06.11 16:10:24 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
:Commands
[emptytemp]
[resethosts]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
29.02.2012, 21:47
| #5 |
| | Mehere Trojaner und Malware gefunden Danke fürs Fix! Der Rechner hat sich mehrmals aufgehangen (vermutl. Bedienfehler) , schließlich lief das fix aber reibungslos durch. Hier das Log: Code:
ATTFilter All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-1993962763-1482476501-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\\{249A4D52-183C-11DC-84C2-806D6172696F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{249A4D52-183C-11DC-84C2-806D6172696F}\ not found.
C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\WG_List.dat moved successfully.
C:\Dokumente und Einstellungen\Michael\Startmenü\Programme\Autostart\WG_List.dat moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.
Registry value HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1993962763-1482476501-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default User
->Temp folder emptied: 13 bytes
->Temporary Internet Files folder emptied: 33337 bytes
User: LocalService
->Temp folder emptied: 13 bytes
->Temporary Internet Files folder emptied: 39316065 bytes
User: Michael
->Temp folder emptied: 3579911102 bytes
->Temporary Internet Files folder emptied: 454050300 bytes
->Java cache emptied: 15283419 bytes
->FireFox cache emptied: 49591735 bytes
->Flash cache emptied: 270697 bytes
User: NetworkService
->Temp folder emptied: 13 bytes
->Temporary Internet Files folder emptied: 33430 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2129337 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4630771 bytes
RecycleBin emptied: 79525 bytes
Total Files Cleaned = 3.953,00 mb
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
OTL by OldTimer - Version 3.2.33.2 log created on 02292012_213754
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
|
|
01.03.2012, 13:46
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Mehere Trojaner und Malware gefunden Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm! Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C nach, da speichert der TDSS-Killer seine Logs.Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!  Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )  Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________ --> Mehere Trojaner und Malware gefunden |
|
01.03.2012, 15:37
| #7 |
| | Mehere Trojaner und Malware gefunden Alles klar, hier das Log: (keine Probleme nach scan, somit unhide.exe nicht ausgeführt) Code:
ATTFilter 15:30:05.0792 1812 TDSS rootkit removing tool 2.7.17.0 Feb 29 2012 14:02:24
15:30:06.0370 1812 ============================================================
15:30:06.0370 1812 Current date / time: 2012/03/01 15:30:06.0370
15:30:06.0370 1812 SystemInfo:
15:30:06.0370 1812
15:30:06.0370 1812 OS Version: 5.1.2600 ServicePack: 2.0
15:30:06.0370 1812 Product type: Workstation
15:30:06.0370 1812 ComputerName: PLATZ0
15:30:06.0370 1812 UserName: Michael
15:30:06.0370 1812 Windows directory: C:\WINDOWS
15:30:06.0370 1812 System windows directory: C:\WINDOWS
15:30:06.0370 1812 Processor architecture: Intel x86
15:30:06.0370 1812 Number of processors: 2
15:30:06.0370 1812 Page size: 0x1000
15:30:06.0370 1812 Boot type: Normal boot
15:30:06.0370 1812 ============================================================
15:30:08.0057 1812 Drive \Device\Harddisk0\DR0 - Size: 0x4A85D56000 (298.09 Gb), SectorSize: 0x200, Cylinders: 0x9801, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
15:30:08.0073 1812 \Device\Harddisk0\DR0:
15:30:08.0073 1812 MBR used
15:30:08.0073 1812 \Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x254297C1
15:30:08.0073 1812 Initialize success
15:30:08.0073 1812 ============================================================
15:30:22.0089 3500 ============================================================
15:30:22.0089 3500 Scan started
15:30:22.0089 3500 Mode: Manual; SigCheck; TDLFS;
15:30:22.0089 3500 ============================================================
15:30:22.0307 3500 A4SII300 (c49cd8dbc7bfcdd0ae81590af34b56ac) C:\WINDOWS\System32\drivers\A4SII300.SYS
15:30:22.0401 3500 A4SII300 ( UnsignedFile.Multi.Generic ) - warning
15:30:22.0401 3500 A4SII300 - detected UnsignedFile.Multi.Generic (1)
15:30:22.0417 3500 Abiosdsk - ok
15:30:22.0432 3500 abp480n5 - ok
15:30:22.0479 3500 ACPI (94b4741d2cf9ed38140b831293d1601a) C:\WINDOWS\system32\DRIVERS\ACPI.sys
15:30:23.0620 3500 ACPI - ok
15:30:23.0682 3500 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
15:30:23.0839 3500 ACPIEC - ok
15:30:23.0854 3500 adpu160m - ok
15:30:23.0917 3500 aec (1ee7b434ba961ef845de136224c30fec) C:\WINDOWS\system32\drivers\aec.sys
15:30:24.0167 3500 aec - ok
15:30:24.0229 3500 AFD (55e6e1c51b6d30e54335750955453702) C:\WINDOWS\System32\drivers\afd.sys
15:30:24.0260 3500 AFD - ok
15:30:24.0276 3500 Aha154x - ok
15:30:24.0292 3500 aic78u2 - ok
15:30:24.0292 3500 aic78xx - ok
15:30:24.0354 3500 AliIde - ok
15:30:24.0417 3500 AmdK8 (769844eb65df6a62aa51b886290fe51d) C:\WINDOWS\system32\DRIVERS\AmdK8.sys
15:30:24.0479 3500 AmdK8 - ok
15:30:24.0479 3500 amsint - ok
15:30:24.0510 3500 asc - ok
15:30:24.0526 3500 asc3350p - ok
15:30:24.0542 3500 asc3550 - ok
15:30:24.0589 3500 AsyncMac (02000abf34af4c218c35d257024807d6) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
15:30:24.0698 3500 AsyncMac - ok
15:30:24.0714 3500 atapi (cdfe4411a69c224bd1d11b2da92dac51) C:\WINDOWS\system32\DRIVERS\atapi.sys
15:30:24.0839 3500 atapi - ok
15:30:24.0839 3500 Atdisk - ok
15:30:24.0854 3500 Atmarpc (ec88da854ab7d7752ec8be11a741bb7f) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
15:30:24.0979 3500 Atmarpc - ok
15:30:25.0042 3500 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
15:30:25.0167 3500 audstub - ok
15:30:25.0292 3500 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
15:30:25.0307 3500 avgio - ok
15:30:25.0323 3500 avgntflt (14fe36d8f2c6a2435275338d061a0b66) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
15:30:25.0432 3500 avgntflt - ok
15:30:25.0495 3500 avipbb (6d52060b59e7d79cd2a044b6add1f1ef) C:\WINDOWS\system32\DRIVERS\avipbb.sys
15:30:25.0495 3500 avipbb - ok
15:30:25.0542 3500 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
15:30:25.0682 3500 Beep - ok
15:30:25.0714 3500 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
15:30:25.0839 3500 cbidf2k - ok
15:30:25.0870 3500 CCDECODE (6163ed60b684bab19d3352ab22fc48b2) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
15:30:25.0979 3500 CCDECODE - ok
15:30:25.0995 3500 cd20xrnt - ok
15:30:26.0026 3500 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
15:30:26.0151 3500 Cdaudio - ok
15:30:26.0167 3500 Cdfs (cd7d5152df32b47f4e36f710b35aae02) C:\WINDOWS\system32\drivers\Cdfs.sys
15:30:26.0292 3500 Cdfs - ok
15:30:26.0354 3500 Cdrom (af9c19b3100fe010496b1a27181fbf72) C:\WINDOWS\system32\DRIVERS\cdrom.sys
15:30:26.0479 3500 Cdrom - ok
15:30:26.0510 3500 Changer - ok
15:30:26.0542 3500 CmdIde - ok
15:30:26.0573 3500 Cpqarray - ok
15:30:26.0589 3500 dac2w2k - ok
15:30:26.0604 3500 dac960nt - ok
15:30:26.0635 3500 Disk (00ca44e4534865f8a3b64f7c0984bff0) C:\WINDOWS\system32\DRIVERS\disk.sys
15:30:26.0776 3500 Disk - ok
15:30:26.0839 3500 dmboot (5789b83ba87fc84c3568cf86cacef8ce) C:\WINDOWS\system32\drivers\dmboot.sys
15:30:26.0979 3500 dmboot - ok
15:30:27.0010 3500 dmio (084eb0a50a4f7b4705c8a57f234e5291) C:\WINDOWS\system32\drivers\dmio.sys
15:30:27.0120 3500 dmio - ok
15:30:27.0135 3500 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
15:30:27.0245 3500 dmload - ok
15:30:27.0307 3500 DMusic (a6f881284ac1150e37d9ae47ff601267) C:\WINDOWS\system32\drivers\DMusic.sys
15:30:27.0432 3500 DMusic - ok
15:30:27.0448 3500 dpti2o - ok
15:30:27.0495 3500 drmkaud (1ed4dbbae9f5d558dbba4cc450e3eb2e) C:\WINDOWS\system32\drivers\drmkaud.sys
15:30:27.0589 3500 drmkaud - ok
15:30:27.0620 3500 Fastfat (3117f595e9615e04f05a54fc15a03b20) C:\WINDOWS\system32\drivers\Fastfat.sys
15:30:27.0745 3500 Fastfat - ok
15:30:27.0760 3500 Fdc (ced2e8396a8838e59d8fd529c680e02c) C:\WINDOWS\system32\DRIVERS\fdc.sys
15:30:27.0870 3500 Fdc - ok
15:30:27.0885 3500 Fips (9e9af89f9b14aa6249065c309ce73bd8) C:\WINDOWS\system32\drivers\Fips.sys
15:30:28.0010 3500 Fips - ok
15:30:28.0026 3500 Flpydisk (0dd1de43115b93f4d85e889d7a86f548) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
15:30:28.0135 3500 Flpydisk - ok
15:30:28.0151 3500 FltMgr (3d234fb6d6ee875eb009864a299bea29) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
15:30:28.0448 3500 FltMgr - ok
15:30:28.0448 3500 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
15:30:28.0589 3500 Fs_Rec - ok
15:30:28.0604 3500 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
15:30:28.0698 3500 Ftdisk - ok
15:30:28.0729 3500 gagp30kx (4216cd545e5c30807b560c5dcaa812e6) C:\WINDOWS\system32\DRIVERS\gagp30kx.sys
15:30:28.0854 3500 gagp30kx - ok
15:30:28.0870 3500 Gpc (c0f1d4a21de5a415df8170616703debf) C:\WINDOWS\system32\DRIVERS\msgpc.sys
15:30:28.0979 3500 Gpc - ok
15:30:29.0010 3500 HdAudAddService (2a013e7530beab6e569faa83f517e836) C:\WINDOWS\system32\drivers\HdAudio.sys
15:30:29.0042 3500 HdAudAddService - ok
15:30:29.0073 3500 HDAudBus (3fcc124b6e08ee0e9351f717dd136939) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
15:30:29.0089 3500 HDAudBus - ok
15:30:29.0151 3500 HidUsb (1de6783b918f540149aa69943bdfeba8) C:\WINDOWS\system32\DRIVERS\hidusb.sys
15:30:29.0245 3500 HidUsb - ok
15:30:29.0260 3500 hpn - ok
15:30:29.0323 3500 HTTP (cb77bb47e67e84deb17ba29632501730) C:\WINDOWS\system32\Drivers\HTTP.sys
15:30:29.0620 3500 HTTP - ok
15:30:29.0635 3500 i2omgmt - ok
15:30:29.0651 3500 i2omp - ok
15:30:29.0682 3500 i8042prt (7c575018d0413440d75432a78b88c899) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
15:30:29.0823 3500 i8042prt - ok
15:30:29.0839 3500 Imapi (f8aa320c6a0409c0380e5d8a99d76ec6) C:\WINDOWS\system32\DRIVERS\imapi.sys
15:30:29.0932 3500 Imapi - ok
15:30:29.0948 3500 ini910u - ok
15:30:30.0151 3500 IntcAzAudAddService (3000e98f519cf6fda669bae8e47f7b4f) C:\WINDOWS\system32\drivers\RtkHDAud.sys
15:30:30.0323 3500 IntcAzAudAddService - ok
15:30:30.0339 3500 IntelIde - ok
15:30:30.0370 3500 Ip6Fw (4448006b6bc60e6c027932cfc38d6855) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
15:30:30.0464 3500 Ip6Fw - ok
15:30:30.0510 3500 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
15:30:30.0620 3500 IpFilterDriver - ok
15:30:30.0651 3500 IpInIp (e1ec7f5da720b640cd8fb8424f1b14bb) C:\WINDOWS\system32\DRIVERS\ipinip.sys
15:30:30.0760 3500 IpInIp - ok
15:30:30.0807 3500 IpNat (e2168cbc7098ffe963c6f23f472a3593) C:\WINDOWS\system32\DRIVERS\ipnat.sys
15:30:31.0104 3500 IpNat - ok
15:30:31.0167 3500 IPSec (64537aa5c003a6afeee1df819062d0d1) C:\WINDOWS\system32\DRIVERS\ipsec.sys
15:30:31.0276 3500 IPSec - ok
15:30:31.0323 3500 IRENUM (50708daa1b1cbb7d6ac1cf8f56a24410) C:\WINDOWS\system32\DRIVERS\irenum.sys
15:30:31.0385 3500 IRENUM - ok
15:30:31.0417 3500 isapnp (ce9b7afdf0a3d7dd8d1487262316b959) C:\WINDOWS\system32\DRIVERS\isapnp.sys
15:30:31.0542 3500 isapnp - ok
15:30:31.0557 3500 Kbdclass (b128fc0a5cd83f669d5de4b58f77c7d6) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
15:30:31.0651 3500 Kbdclass - ok
15:30:31.0667 3500 kbdhid (7ec877aa899323b92874fe62c7ddcde7) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
15:30:31.0792 3500 kbdhid - ok
15:30:31.0854 3500 kmixer (ba5deda4d934e6288c2f66caf58d2562) C:\WINDOWS\system32\drivers\kmixer.sys
15:30:32.0151 3500 kmixer - ok
15:30:32.0214 3500 KSecDD (eb7ffe87fd367ea8fca0506f74a87fbb) C:\WINDOWS\system32\drivers\KSecDD.sys
15:30:32.0307 3500 KSecDD - ok
15:30:32.0339 3500 lbrtfdc - ok
15:30:32.0370 3500 MBAMProtector (b7ca8cc3f978201856b6ab82f40953c3) C:\WINDOWS\system32\drivers\mbam.sys
15:30:32.0385 3500 MBAMProtector - ok
15:30:32.0401 3500 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
15:30:32.0526 3500 mnmdd - ok
15:30:32.0573 3500 Modem (91a3da4b12f6f1d760463a7f7857f748) C:\WINDOWS\system32\drivers\Modem.sys
15:30:32.0682 3500 Modem - ok
15:30:32.0698 3500 Mouclass (71e15ca47fd947552054afb28536268f) C:\WINDOWS\system32\DRIVERS\mouclass.sys
15:30:32.0792 3500 Mouclass - ok
15:30:32.0807 3500 MountMgr (65653f3b4477f3c63e68a9659f85ee2e) C:\WINDOWS\system32\drivers\MountMgr.sys
15:30:32.0901 3500 MountMgr - ok
15:30:32.0901 3500 mraid35x - ok
15:30:32.0917 3500 MRxDAV (46edcc8f2db2f322c24f48785cb46366) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
15:30:33.0026 3500 MRxDAV - ok
15:30:33.0073 3500 MRxSmb (6f2d483b97b395544e59749c47963c6a) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
15:30:33.0135 3500 MRxSmb - ok
15:30:33.0182 3500 Msfs (561b3a4333ca2dbdba28b5b956822519) C:\WINDOWS\system32\drivers\Msfs.sys
15:30:33.0276 3500 Msfs - ok
15:30:33.0307 3500 MSKSSRV (ae431a8dd3c1d0d0610cdbac16057ad0) C:\WINDOWS\system32\drivers\MSKSSRV.sys
15:30:33.0432 3500 MSKSSRV - ok
15:30:33.0448 3500 MSPCLOCK (13e75fef9dfeb08eeded9d0246e1f448) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
15:30:33.0542 3500 MSPCLOCK - ok
15:30:33.0542 3500 MSPQM (1988a33ff19242576c3d0ef9ce785da7) C:\WINDOWS\system32\drivers\MSPQM.sys
15:30:33.0667 3500 MSPQM - ok
15:30:33.0682 3500 mssmbios (469541f8bfd2b32659d5d463a6714bce) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
15:30:33.0760 3500 mssmbios - ok
15:30:33.0807 3500 MSTEE (bf13612142995096ab084f2db7f40f77) C:\WINDOWS\system32\drivers\MSTEE.sys
15:30:33.0901 3500 MSTEE - ok
15:30:33.0932 3500 MTsensor (d48659bb24c48345d926ecb45c1ebdf5) C:\WINDOWS\system32\DRIVERS\ASACPI.sys
15:30:33.0964 3500 MTsensor - ok
15:30:33.0979 3500 Mup (82035e0f41c2dd05ae41d27fe6cf7de1) C:\WINDOWS\system32\drivers\Mup.sys
15:30:34.0073 3500 Mup - ok
15:30:34.0104 3500 NABTSFEC (5c8dc6429c43dc6177c1fa5b76290d1a) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
15:30:34.0198 3500 NABTSFEC - ok
15:30:34.0214 3500 NDIS (558635d3af1c7546d26067d5d9b6959e) C:\WINDOWS\system32\drivers\NDIS.sys
15:30:34.0307 3500 NDIS - ok
15:30:34.0339 3500 NdisIP (520ce427a8b298f54112857bcf6bde15) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
15:30:34.0448 3500 NdisIP - ok
15:30:34.0479 3500 NdisTapi (08d43bbdacdf23f34d79e44ed35c1b4c) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
15:30:34.0573 3500 NdisTapi - ok
15:30:34.0620 3500 Ndisuio (34d6cd56409da9a7ed573e1c90a308bf) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
15:30:34.0714 3500 Ndisuio - ok
15:30:34.0729 3500 NdisWan (0b90e255a9490166ab368cd55a529893) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
15:30:34.0839 3500 NdisWan - ok
15:30:34.0854 3500 NDProxy (59fc3fb44d2669bc144fd87826bb571f) C:\WINDOWS\system32\drivers\NDProxy.sys
15:30:34.0948 3500 NDProxy - ok
15:30:34.0948 3500 NetBIOS (3a2aca8fc1d7786902ca434998d7ceb4) C:\WINDOWS\system32\DRIVERS\netbios.sys
15:30:35.0057 3500 NetBIOS - ok
15:30:35.0104 3500 NetBT (0c80e410cd2f47134407ee7dd19cc86b) C:\WINDOWS\system32\DRIVERS\netbt.sys
15:30:35.0214 3500 NetBT - ok
15:30:35.0260 3500 Npfs (4f601bcb8f64ea3ac0994f98fed03f8e) C:\WINDOWS\system32\drivers\Npfs.sys
15:30:35.0354 3500 Npfs - ok
15:30:35.0401 3500 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
15:30:35.0417 3500 Ntfs ( UnsignedFile.Multi.Generic ) - warning
15:30:35.0417 3500 Ntfs - detected UnsignedFile.Multi.Generic (1)
15:30:35.0464 3500 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
15:30:35.0573 3500 Null - ok
15:30:35.0745 3500 nv (ba1b732c1a70cfea0c1b64f2850bf44f) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
15:30:35.0995 3500 nv - ok
15:30:36.0057 3500 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
15:30:36.0167 3500 NwlnkFlt - ok
15:30:36.0167 3500 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
15:30:36.0276 3500 NwlnkFwd - ok
15:30:36.0307 3500 Parport (b2f17a2edb5450e61973a037f63a595b) C:\WINDOWS\system32\DRIVERS\parport.sys
15:30:36.0401 3500 Parport - ok
15:30:36.0417 3500 PartMgr (3334430c29dc338092f79c38ef7b4cd0) C:\WINDOWS\system32\drivers\PartMgr.sys
15:30:36.0495 3500 PartMgr - ok
15:30:36.0542 3500 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
15:30:36.0635 3500 ParVdm - ok
15:30:36.0682 3500 PCI (6fb463e5b243fbd6f3d3c83f914d94fb) C:\WINDOWS\system32\DRIVERS\pci.sys
15:30:36.0792 3500 PCI - ok
15:30:36.0807 3500 PCIDump - ok
15:30:36.0839 3500 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
15:30:36.0964 3500 PCIIde - ok
15:30:36.0995 3500 Pcmcia (e2363f4c1daff89abee5f593e13d8a05) C:\WINDOWS\system32\drivers\Pcmcia.sys
15:30:37.0120 3500 Pcmcia - ok
15:30:37.0135 3500 PDCOMP - ok
15:30:37.0151 3500 PDFRAME - ok
15:30:37.0151 3500 PDRELI - ok
15:30:37.0167 3500 PDRFRAME - ok
15:30:37.0182 3500 perc2 - ok
15:30:37.0198 3500 perc2hib - ok
15:30:37.0245 3500 PptpMiniport (1c5cc65aac0783c344f16353e60b72ac) C:\WINDOWS\system32\DRIVERS\raspptp.sys
15:30:37.0339 3500 PptpMiniport - ok
15:30:37.0385 3500 Processor (3d7f196e77f986c106e9320b81a5ebbf) C:\WINDOWS\system32\DRIVERS\processr.sys
15:30:37.0510 3500 Processor - ok
15:30:37.0526 3500 PSched (48671f327553dcf1d27f6197f622a668) C:\WINDOWS\system32\DRIVERS\psched.sys
15:30:37.0620 3500 PSched - ok
15:30:37.0620 3500 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
15:30:37.0714 3500 Ptilink - ok
15:30:37.0729 3500 ql1080 - ok
15:30:37.0745 3500 Ql10wnt - ok
15:30:37.0745 3500 ql12160 - ok
15:30:37.0760 3500 ql1240 - ok
15:30:37.0776 3500 ql1280 - ok
15:30:37.0807 3500 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
15:30:37.0901 3500 RasAcd - ok
15:30:37.0932 3500 Rasl2tp (98faeb4a4dcf812ba1c6fca4aa3e115c) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
15:30:38.0026 3500 Rasl2tp - ok
15:30:38.0042 3500 RasPppoe (7306eeed8895454cbed4669be9f79faa) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
15:30:38.0135 3500 RasPppoe - ok
15:30:38.0135 3500 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
15:30:38.0229 3500 Raspti - ok
15:30:38.0292 3500 Rdbss (03b965b1ca47f6ef60eb5e51cb50e0af) C:\WINDOWS\system32\DRIVERS\rdbss.sys
15:30:38.0604 3500 Rdbss - ok
15:30:38.0635 3500 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
15:30:38.0729 3500 RDPCDD - ok
15:30:38.0776 3500 rdpdr (a2cae2c60bc37e0751ef9dda7ceaf4ad) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
15:30:38.0885 3500 rdpdr - ok
15:30:38.0948 3500 RDPWD (b54cd38a9ebfbf2b3561426e3fe26f62) C:\WINDOWS\system32\drivers\RDPWD.sys
15:30:39.0276 3500 RDPWD - ok
15:30:39.0292 3500 redbook (aa56702e230860565cb8d43680f57f33) C:\WINDOWS\system32\DRIVERS\redbook.sys
15:30:39.0385 3500 redbook - ok
15:30:39.0479 3500 RTL8023xp (8e34400ffc7d647946d9c820678775af) C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys
15:30:39.0542 3500 RTL8023xp - ok
15:30:39.0589 3500 Secdrv (d26e26ea516450af9d072635c60387f4) C:\WINDOWS\system32\DRIVERS\secdrv.sys
15:30:39.0667 3500 Secdrv - ok
15:30:39.0698 3500 serenum (a2d868aeeff612e70e213c451a70cafb) C:\WINDOWS\system32\DRIVERS\serenum.sys
15:30:39.0792 3500 serenum - ok
15:30:39.0823 3500 Serial (cd5b9995afcdb466c9efc048d167e3be) C:\WINDOWS\system32\DRIVERS\serial.sys
15:30:39.0917 3500 Serial - ok
15:30:39.0932 3500 Sfloppy (0d13b6df6e9e101013a7afb0ce629fe0) C:\WINDOWS\system32\DRIVERS\sfloppy.sys
15:30:40.0042 3500 Sfloppy - ok
15:30:40.0057 3500 Simbad - ok
15:30:40.0104 3500 SLIP (5caeed86821fa2c6139e32e9e05ccdc9) C:\WINDOWS\system32\DRIVERS\SLIP.sys
15:30:40.0214 3500 SLIP - ok
15:30:40.0229 3500 Sparrow - ok
15:30:40.0292 3500 splitter (0ce218578fff5f4f7e4201539c45c78f) C:\WINDOWS\system32\drivers\splitter.sys
15:30:40.0589 3500 splitter - ok
15:30:40.0651 3500 sr (e4200cb2f418d8fc4acdd7e38c419d6a) C:\WINDOWS\system32\DRIVERS\sr.sys
15:30:40.0714 3500 sr - ok
15:30:40.0760 3500 Srv (ab9c79ed12d65e800aaad3d72a04792f) C:\WINDOWS\system32\DRIVERS\srv.sys
15:30:40.0776 3500 Srv - ok
15:30:40.0823 3500 ssmdrv (5ec550b8952882ee856b862cf648522d) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
15:30:40.0823 3500 ssmdrv - ok
15:30:40.0948 3500 streamip (284c57df5dc7abca656bc2b96a667afb) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
15:30:41.0042 3500 streamip - ok
15:30:41.0042 3500 swenum (03c1bae4766e2450219d20b993d6e046) C:\WINDOWS\system32\DRIVERS\swenum.sys
15:30:41.0151 3500 swenum - ok
15:30:41.0167 3500 swmidi (94abc808fc4b6d7d2bbf42b85e25bb4d) C:\WINDOWS\system32\drivers\swmidi.sys
15:30:41.0260 3500 swmidi - ok
15:30:41.0260 3500 symc810 - ok
15:30:41.0276 3500 symc8xx - ok
15:30:41.0292 3500 sym_hi - ok
15:30:41.0307 3500 sym_u3 - ok
15:30:41.0339 3500 sysaudio (650ad082d46bac0e64c9c0e0928492fd) C:\WINDOWS\system32\drivers\sysaudio.sys
15:30:41.0448 3500 sysaudio - ok
15:30:41.0510 3500 Tcpip (2a5554fc5b1e04e131230e3ce035c3f9) C:\WINDOWS\system32\DRIVERS\tcpip.sys
15:30:41.0557 3500 Tcpip - ok
15:30:41.0573 3500 TDPIPE (38d437cf2d98965f239b0abcd66dcb0f) C:\WINDOWS\system32\drivers\TDPIPE.sys
15:30:41.0667 3500 TDPIPE - ok
15:30:41.0682 3500 TDTCP (ed0580af02502d00ad8c4c066b156be9) C:\WINDOWS\system32\drivers\TDTCP.sys
15:30:41.0792 3500 TDTCP - ok
15:30:41.0823 3500 TermDD (a540a99c281d933f3d69d55e48727f47) C:\WINDOWS\system32\DRIVERS\termdd.sys
15:30:41.0932 3500 TermDD - ok
15:30:41.0979 3500 tmcfw (a85edaa254d284be5628522b773959b2) C:\WINDOWS\system32\DRIVERS\TM_CFW.sys
15:30:42.0057 3500 tmcfw - ok
15:30:42.0104 3500 tmcomm (eb2283c0a4dfbd2e53d14f2c4d5a1e89) C:\WINDOWS\system32\drivers\tmcomm.sys
15:30:42.0120 3500 tmcomm - ok
15:30:42.0120 3500 tmmbd (3d97bdfb01ab153c01e83b58a9208591) C:\WINDOWS\system32\DRIVERS\tm_mbd_c.sys
15:30:42.0135 3500 tmmbd ( UnsignedFile.Multi.Generic ) - warning
15:30:42.0135 3500 tmmbd - detected UnsignedFile.Multi.Generic (1)
15:30:42.0214 3500 Tmpreflt (1615eb81a09c3c36ba8b4a1b1d525d8f) C:\WINDOWS\system32\drivers\Tmpreflt.sys
15:30:42.0229 3500 Tmpreflt - ok
15:30:42.0276 3500 tmtdi (0c2774249117930d9fc382b9f08b16b9) C:\WINDOWS\system32\DRIVERS\tmtdi.sys
15:30:42.0307 3500 tmtdi ( UnsignedFile.Multi.Generic ) - warning
15:30:42.0307 3500 tmtdi - detected UnsignedFile.Multi.Generic (1)
15:30:42.0323 3500 tmxpflt (44b4a683b8de31b709d1e5fc5d01dcc6) C:\WINDOWS\system32\drivers\TmXPFlt.sys
15:30:42.0339 3500 tmxpflt - ok
15:30:42.0354 3500 TosIde - ok
15:30:42.0401 3500 Udfs (12f70256f140cd7d52c58c7048fde657) C:\WINDOWS\system32\drivers\Udfs.sys
15:30:42.0510 3500 Udfs - ok
15:30:42.0542 3500 ultra - ok
15:30:42.0620 3500 Update (aff2e5045961bbc0a602bb6f95eb1345) C:\WINDOWS\system32\DRIVERS\update.sys
15:30:42.0714 3500 Update - ok
15:30:42.0776 3500 usbaudio (45a0d14b26c35497ad93bce7e15c9941) C:\WINDOWS\system32\drivers\usbaudio.sys
15:30:42.0885 3500 usbaudio - ok
15:30:42.0932 3500 usbccgp (bffd9f120cc63bcbaa3d840f3eef9f79) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
15:30:43.0026 3500 usbccgp - ok
15:30:43.0042 3500 usbehci (15e993ba2f6946b2bfbbfcd30398621e) C:\WINDOWS\system32\DRIVERS\usbehci.sys
15:30:43.0135 3500 usbehci - ok
15:30:43.0151 3500 usbhub (c72f40947f92cea56a8fb532edf025f1) C:\WINDOWS\system32\DRIVERS\usbhub.sys
15:30:43.0245 3500 usbhub - ok
15:30:43.0292 3500 usbprint (a42369b7cd8886cd7c70f33da6fcbcf5) C:\WINDOWS\system32\DRIVERS\usbprint.sys
15:30:43.0385 3500 usbprint - ok
15:30:43.0432 3500 usbscan (a6bc71402f4f7dd5b77fd7f4a8ddba85) C:\WINDOWS\system32\DRIVERS\usbscan.sys
15:30:43.0542 3500 usbscan - ok
15:30:43.0557 3500 USBSTOR (6cd7b22193718f1d17a47a1cd6d37e75) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
15:30:43.0651 3500 USBSTOR - ok
15:30:43.0682 3500 usbuhci (f8fd1400092e23c8f2f31406ef06167b) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
15:30:43.0776 3500 usbuhci - ok
15:30:43.0807 3500 usbvideo (8968ff3973a883c49e8b564200f565b9) C:\WINDOWS\system32\Drivers\usbvideo.sys
15:30:43.0917 3500 usbvideo - ok
15:30:43.0979 3500 VgaSave (8a60edd72b4ea5aea8202daf0e427925) C:\WINDOWS\System32\drivers\vga.sys
15:30:44.0073 3500 VgaSave - ok
15:30:44.0089 3500 ViaIde (59cb1338ad3654417bea49636457f65d) C:\WINDOWS\system32\DRIVERS\viaide.sys
15:30:44.0182 3500 ViaIde - ok
15:30:44.0214 3500 VolSnap (d6888520ff56d72a50437e371ca25fc9) C:\WINDOWS\system32\drivers\VolSnap.sys
15:30:44.0323 3500 VolSnap - ok
15:30:44.0432 3500 Vsapint (84b4bfc6808adfdeb0716af857dd9519) C:\WINDOWS\system32\drivers\VsapiNT.sys
15:30:44.0495 3500 Vsapint - ok
15:30:44.0542 3500 Wanarp (984ef0b9788abf89974cfed4bfbaacbc) C:\WINDOWS\system32\DRIVERS\wanarp.sys
15:30:44.0635 3500 Wanarp - ok
15:30:44.0651 3500 WDICA - ok
15:30:44.0698 3500 wdmaud (efd235ca22b57c81118c1aeb4798f1c1) C:\WINDOWS\system32\drivers\wdmaud.sys
15:30:45.0026 3500 wdmaud - ok
15:30:45.0120 3500 WSTCODEC (d5842484f05e12121c511aa93f6439ec) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
15:30:45.0229 3500 WSTCODEC - ok
15:30:45.0292 3500 MBR (0x1B8) (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
15:30:45.0510 3500 \Device\Harddisk0\DR0 - ok
15:30:45.0510 3500 Boot (0x1200) (c5d779d81cafa5dddbaaec3204b48a24) \Device\Harddisk0\DR0\Partition0
15:30:45.0510 3500 \Device\Harddisk0\DR0\Partition0 - ok
15:30:45.0526 3500 ============================================================
15:30:45.0526 3500 Scan finished
15:30:45.0526 3500 ============================================================
15:30:45.0651 0588 Detected object count: 4
15:30:45.0651 0588 Actual detected object count: 4
15:30:57.0057 0588 A4SII300 ( UnsignedFile.Multi.Generic ) - skipped by user
15:30:57.0057 0588 A4SII300 ( UnsignedFile.Multi.Generic ) - User select action: Skip
15:30:57.0057 0588 Ntfs ( UnsignedFile.Multi.Generic ) - skipped by user
15:30:57.0057 0588 Ntfs ( UnsignedFile.Multi.Generic ) - User select action: Skip
15:30:57.0057 0588 tmmbd ( UnsignedFile.Multi.Generic ) - skipped by user
15:30:57.0057 0588 tmmbd ( UnsignedFile.Multi.Generic ) - User select action: Skip
15:30:57.0057 0588 tmtdi ( UnsignedFile.Multi.Generic ) - skipped by user
15:30:57.0057 0588 tmtdi ( UnsignedFile.Multi.Generic ) - User select action: Skip
|
|
01.03.2012, 20:34
| #8 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Mehere Trojaner und Malware gefunden Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
01.03.2012, 21:47
| #9 |
| | Mehere Trojaner und Malware gefunden Combofix done: Code:
ATTFilter ComboFix 12-03-01.02 - Michael 01.03.2012 21:28:15.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2047.1457 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Trend Micro PC-cillin Internet Security 2007 *Disabled/Outdated* {7D2296BC-32CC-4519-917E-52E652474AF5}
FW: Trend Micro PC-cillin Internet Security *Enabled* {3E790E9E-6A5D-4303-A7F9-185EC20F3EB6}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\LocalService\Cookies\WG_List.dat
c:\dokumente und einstellungen\Michael\Anwendungsdaten\Microsoft\Windows\WG_List.dat
c:\dokumente und einstellungen\Michael\Cookies\WG_List.dat
c:\dokumente und einstellungen\Michael\Recent\Thumbs.db
c:\dokumente und einstellungen\Michael\WINDOWS
c:\dokumente und einstellungen\Michael\WINDOWS\system\WG_List.dat
c:\dokumente und einstellungen\Michael\WINDOWS\WG_List.dat
c:\dokumente und einstellungen\NetworkService\Cookies\WG_List.dat
c:\download\SkypeSetup.exe
c:\programme\D
c:\programme\D\D-Info Sommer 2006\WG_List.dat
c:\programme\D\WG_List.dat
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-02-01 bis 2012-03-01 ))))))))))))))))))))))))))))))
.
.
2012-02-29 18:03 . 2012-02-29 18:03 -------- d-----w- C:\_OTL
2012-02-27 11:38 . 2012-02-27 11:38 -------- d-----w- c:\programme\ESET
2012-02-27 09:44 . 2012-02-27 09:44 -------- d-----w- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Malwarebytes
2012-02-27 09:44 . 2012-02-27 09:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-02-27 09:43 . 2012-02-27 09:44 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-02-27 09:43 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-01 10:10 . 2011-12-31 12:47 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-14 . 78A08DD6A8D65E697C18E1DB01C5CDCA . 574976 . . [5.1.2600.5512] . . c:\windows\system32\drivers\NTFS.SYS
[-] 2008-04-13 . 78A08DD6A8D65E697C18E1DB01C5CDCA . 574976 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\7d084ddd2c07c476a226e31c4ef032ff\ntfs.sys
[7] 2007-02-09 . 05AB81909514BFD69CBB1F2C147CF6B9 . 574976 . . [5.1.2600.3081] . . c:\windows\$hf_mig$\KB930916\SP2QFE\ntfs.sys
[7] 2006-02-28 . B78BE402C3F63DD55521F73876951CDD . 574592 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB930916$\ntfs.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-06-01 94208]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2011-08-18 17360520]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-02 16208384]
"SkyTel"="SkyTel.EXE" [2006-05-17 2879488]
"pccguide.exe"="c:\programme\Trend Micro\Internet Security 2007\pccguide.exe" [2006-09-29 3117056]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 1622016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]
"OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 75304]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]
.
c:\dokumente und einstellungen\All Users\Application Data\Microsoft\Shortcuts\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
WISO Mein Steuer-Sparbuch heute.lnk - c:\programme\WISO\Steuersoftware 2011\mshaktuell.exe [2011-5-26 1199400]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Tobit Radio.fx\\Server\\rfx-server.exe"=
"c:\\Programme\\Tobit Radio.fx\\Client\\rfx-client.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.08.2009 21:27 108289]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [27.02.2012 10:43 652360]
R2 Radio.fx;Radio.fx Server;c:\programme\Tobit Radio.fx\Server\rfx-server.exe [16.01.2011 09:20 3673944]
R2 Tmntsrv;Trend Micro Real-time Service;c:\progra~1\TRENDM~1\INTERN~1\Tmntsrv.exe [29.09.2006 09:52 503808]
R2 TmPfw;Trend Micro Personal Firewall;c:\progra~1\TRENDM~1\INTERN~1\TmPfw.exe [14.09.2006 21:31 933952]
R2 Tmpreflt;Tmpreflt;c:\windows\system32\drivers\tmpreflt.sys [16.08.2006 19:20 36368]
R2 tmproxy;Trend Micro Proxy Service;c:\progra~1\TRENDM~1\INTERN~1\tmproxy.exe [14.09.2006 21:34 561223]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [27.02.2012 10:43 20464]
R3 tmcfw;Trend Micro Common Firewall Service;c:\windows\system32\drivers\TM_CFW.sys [14.09.2006 21:25 281600]
S2 A4SII300;A4SII300;c:\windows\system32\drivers\a4sii300.sys [14.06.2007 17:45 25824]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 83208229
*Deregistered* - 83208229
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Bild in &Microsoft PhotoDraw öffnen - c:\progra~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\u0l86gd0.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{7441C85A-EF6E-4817-9D4C-0A0D60292D0B} - c:\windows\system32\offfiltd.dll
HKLM-Run-NWEReboot - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-03-01 21:32
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-03-01 21:34:11
ComboFix-quarantined-files.txt 2012-03-01 20:34
.
Vor Suchlauf: 12 Verzeichnis(se), 124.921.782.272 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 124.905.558.016 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer
.
- - End Of File - - 16945BB719BE20F18436F75468E802AA
|
|
02.03.2012, 12:28
| #10 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Mehere Trojaner und Malware gefundenZitat:
Eine zusätzliche bzw. andere Software-Firewall und v.a. sowas wie SecuritySuites sind Quatsch mit Sauce, in vielen Fällen kontraproduktiv und Ursache für die "lustigsten" Fehler.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
02.03.2012, 14:07
| #11 |
| | Mehere Trojaner und Malware gefunden Verstanden - gemessen an den Tipps zur Sicherheitsoptimierung hier auf dem Board wird das nicht die einzige Maßnahme sein  Kann ich daraus schließen, dass die Säuberungsroutinen soweit erfolgreich waren, dass nun der Zeitpunkt für prophylaktische Verbesserungen gekommen ist? In jedem Fall herzlichen Dank für dein Hilfe! |
|
02.03.2012, 14:11
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Mehere Trojaner und Malware gefunden Melde dich erstmal wieder wenn du den Krempel deinstalliert hast
__________________ Logfiles bitte immer in CODE-Tags posten |
|
02.03.2012, 14:42
| #13 |
| | Mehere Trojaner und Malware gefunden Achso, sorry: deinstallation 'Trend Micro PC-cillin Internet Security' erfolgreich |
|
02.03.2012, 17:43
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Mehere Trojaner und Malware gefunden Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).
__________________ Logfiles bitte immer in CODE-Tags posten |
|
03.03.2012, 00:19
| #15 |
| | Mehere Trojaner und Malware gefunden gmer: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-03-02 20:47:02
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD3200YS-01PGB0 rev.21.00M21
Running: 2iep35rl.exe; Driver: C:\DOKUME~1\Michael\LOKALE~1\Temp\kxtdapob.sys
---- System - GMER 1.0.15 ----
SSDT BAF8069E ZwCreateKey
SSDT BAF80694 ZwCreateThread
SSDT BAF806A3 ZwDeleteKey
SSDT BAF806AD ZwDeleteValueKey
SSDT BAF806B2 ZwLoadKey
SSDT BAF80680 ZwOpenProcess
SSDT BAF80685 ZwOpenThread
SSDT BAF806BC ZwReplaceKey
SSDT BAF806B7 ZwRestoreKey
SSDT BAF806A8 ZwSetValueKey
SSDT BAF8068F ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xBA1D4360, 0x24BB1D, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\Tobit Radio.fx\Server\rfx-server.exe[1696] kernel32.dll!SetUnhandledExceptionFilter 7C8447ED 5 Bytes JMP 00641870 C:\Programme\Tobit Radio.fx\Server\rfx-server.exe
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls@C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lernwerkstatt 7\Data\Vokabeln\Franz\xf7sisch\Petit dÚjeuner\des \xa3ufs brouillÚs .jpg 1
---- EOF - GMER 1.0.15 ----
Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 20:50:13 on 02.03.2012 OS: Windows XP Professional Service Pack 2 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 7.00.6000.16827 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Control Panel Objects] -----( %SystemRoot%\system32 )----- "FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl "nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl "nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "Avira AntiVir Personal – Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "A4SII300" (A4SII300) - "Microsoft Corporation" - C:\WINDOWS\System32\drivers\A4SII300.SYS "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\DOKUME~1\Michael\LOKALE~1\Temp\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "kxtdapob" (kxtdapob) - ? - C:\DOKUME~1\Michael\LOKALE~1\Temp\kxtdapob.sys (Hidden registry entry, rootkit activity | File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbam.sys "Ntfs" (Ntfs) - "Microsoft Corporation" - C:\WINDOWS\system32\drivers\Ntfs.sys "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys (File signed by Microsoft | File found, but it contains no detailed information) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll {91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - ? - C:\Programme\7-Zip\7-zip.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} "Java Plug-in 1.6.0" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_01" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} "Java Plug-in 1.6.0_01" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_01" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab {7530BFB8-7293-4D34-9923-61A11451AFC5} "OnlineScanner Control" - "ESET" - C:\PROGRA~1\ESET\ESETON~1\ONLINE~1.OCX / hxxp://download.eset.com/special/eos/OnlineScanner.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Click to call with Skype" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype Browser Helper" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini "Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office\OSA9.EXE (Shortcut exists | File exists) "WG_List.dat" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WG_List.dat "WISO Urteilsmonitor.lnk" - ? - C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe (Shortcut exists | File found, but it contains no detailed information | File exists) -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\Michael\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" - "Nero AG" - "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" "Skype" - "Skype Technologies S.A." - "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray "NeroFilterCheck" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe "nwiz" - "NVIDIA Corporation" - nwiz.exe /install "OpwareSE4" - "ScanSoft, Inc." - "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" "SSBkgdUpdate" - "Nuance Communications, Inc." - "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe "Radio.fx Server" (Radio.fx) - ? - C:\Programme\Tobit Radio.fx\Server\rfx-server.exe [Winlogon] -----( HKCU\Control Panel\Desktop )----- "SCRNSAVE.EXE" - "Manfred Meyer, Martin Meyer" - C:\WINDOWS\MM_BAH~1.SCR -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru Code:
ATTFilter aswMBR version 0.9.9.1649 Copyright(c) 2011 AVAST Software
Run date: 2012-03-02 20:53:46
-----------------------------
20:53:46.859 OS Version: Windows 5.1.2600 Service Pack 2
20:53:46.859 Number of processors: 2 586 0x4B02
20:53:46.859 ComputerName: PLATZ0 UserName:
20:53:47.500 Initialize success
20:57:22.812 AVAST engine defs: 12030201
21:49:50.734 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
21:49:50.734 Disk 0 Vendor: WDC_WD3200YS-01PGB0 21.00M21 Size: 305245MB BusType: 3
21:49:50.859 Disk 0 MBR read successfully
21:49:50.859 Disk 0 MBR scan
21:49:50.875 Disk 0 Windows XP default MBR code
21:49:50.875 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 305234 MB offset 63
21:49:51.000 Disk 0 scanning sectors +625121280
21:49:51.093 Disk 0 scanning C:\WINDOWS\system32\drivers
21:50:15.218 Service scanning
21:50:26.500 Modules scanning
21:51:19.015 Disk 0 trace - called modules:
21:51:19.046
21:51:19.703 AVAST engine scan C:\WINDOWS
21:53:20.875 AVAST engine scan C:\WINDOWS\system32
22:03:01.078 AVAST engine scan C:\WINDOWS\system32\drivers
22:04:50.531 AVAST engine scan C:\Dokumente und Einstellungen\Michael
22:54:04.640 AVAST engine scan C:\Dokumente und Einstellungen\All Users
23:06:13.515 Scan finished successfully
00:09:37.125 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Michael\Desktop\MBR.dat"
00:09:37.125 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Michael\Desktop\aswMBR.txt"
|
|
| Themen zu Mehere Trojaner und Malware gefunden |
| .dll, administrator, antivir, avg, backdoor.agent.h, browser, dateisystem, desktop, einstellungen, exp/2011-3544.bu.1, exp/cve-2011-3544, helper, heuristiks/extra, heuristiks/shuriken, hook, iexplore.exe, javaupdate, malware, malware gefunden, modul, nt.dll, ordner, password.stealer, programme, prozesse, registry, rundll, services.exe, software, svchost.exe, tr/ransom.ej.28, trojan.apppatch, trojaner, verweise, vista, warnung, windows, winlogon.exe |
Textbox von OTL - wenn OTL auf deutsch ist wird sie mit 
beschriftet
.
