Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Vrschlüsselungstrojaner - wie starten?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.05.2012, 08:28   #1
jonni
 
Vrschlüsselungstrojaner - wie starten? - Standard

Vrschlüsselungstrojaner - wie starten?



Hallo,

ich habe hier einen PC mit Windows XP pro SP3 auf dem der Verschlüsselungstrojaner durch öffnen eines Mailanhangs aktiviert wurde.
Da kein abgesicherter Modus möglich ist habe ich mir die "OTL"-CD gebrannt.
Von CD startet der PC auch problemlos. Jetzt rufe ich den Scanner auf.
Dann wird hier immer geschrieben ich soll den Haken bei "Automatisch Profile anderer User laden" (oder so ähnlich) weg machen. Auf welchen User soll ich das aber stellen? Standardmäßig steht der hier auf dem Nutzer "Local Services" und nicht auf dem (einzigen) eingerichteten Benutzer.

Danke für die Hilfe

p.s. Soll ich die Mail als sample verschicken? Noch habe ich die hier vorliegen.

Alt 10.05.2012, 23:54   #2
Psychotic
/// Malwareteam
 
Vrschlüsselungstrojaner - wie starten? - Standard

Vrschlüsselungstrojaner - wie starten?





Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
  • Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren) - wenn du die anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
  • Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
  • Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. Erschwert mir nämlich das Auswerten.


Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.



Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
    Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von mit der OTLPE CD.
Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.
__________________

__________________

Alt 11.05.2012, 18:05   #3
jonni
 
Vrschlüsselungstrojaner - wie starten? - Standard

Vrschlüsselungstrojaner - wie starten?



Hallo Marius,

vielen Dank für Deinen Einsatz. Ich habe OTLpe gestartet und es kam aber nur eine OTL.Txt heraus. Keine Extras.Txt

OTL.Txt:

OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 5/11/2012 7:57:27 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 87.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 96.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298.08 Gb Total Space | 266.11 Gb Free Space | 89.27% Space Free | Partition Type: NTFS
Drive D: | 14.89 Gb Total Space | 9.44 Gb Free Space | 63.43% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2012/04/23 14:38:30 | 000,785,304 | ---- | M] (Spigot, Inc.) [Auto] -- C:\Programme\Application Updater\ApplicationUpdater.exe -- (Application Updater)
SRV - [2011/07/21 06:08:02 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/04/21 01:52:51 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2003/07/28 06:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003/06/19 17:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2011/07/21 06:11:12 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/07/21 06:11:11 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011/06/13 05:03:54 | 000,306,664 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2010/04/16 08:59:44 | 001,521,544 | ---- | M] (Syntek) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\StkCMini.sys -- (StkCMini)
DRV - [2010/02/25 11:08:56 | 005,864,480 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2009/10/08 11:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/09/29 10:05:15 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2001/08/17 07:53:32 | 000,003,328 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\qv2kux.sys -- (QV2KUX)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\user1_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.witthoeft.de/
IE - HKU\user1_ON_C\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\5.6\pdfforgeToolbarIE.dll (Spigot, Inc.)
IE - HKU\user1_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
 
 
O1 HOSTS File: ([2008/04/14 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\5.6\pdfforgeToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\5.6\pdfforgeToolbarIE.dll (Spigot, Inc.)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [SearchSettings] C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
O4 - HKLM..\Run: [SfWinStartInfo] C:\Programme\SFirm\sfWinStartupInfo.exe (SFirm Hannover)
O4 - HKU\user1_ON_C..\Run: [1Y7C9I1C5ZWVZIYVINLUSP] C:\update64\1E7298122BD.exe ()
O4 - HKU\user1_ON_C..\Run: [8CB5BCC1] C:\WINDOWS\system32\09916F248CB5BCC15B47.exe (arnese esca)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Synchredible.lnk = C:\Programme\ASCOMP Software\Synchredible\synchredible.exe (ASCOMP Software GmbH)
O4 - Startup: C:\Dokumente und Einstellungen\user1\Startmenü\Programme\Autostart\Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe (sw4you, Siegfried Weckmann)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\user1_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\user1_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\user1_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O16 - DPF: {173D9E48-B527-4AA0-A929-30B446002AA8} hxxp://tsw.dyndns.tv:5400/DVRemoteAx.cab (DVRemoteControl Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011/09/28 17:26:50 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009/06/10 22:44:56 | 000,000,043 | ---- | M] () - D:\autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/05/07 12:23:18 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2012/05/07 05:41:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\Pnfk
[2012/05/07 05:34:00 | 000,069,120 | -H-- | C] (arnese esca) -- C:\WINDOWS\System32\09916F248CB5BCC15B47.exe
[2012/05/04 08:46:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\Search Settings
[2012/05/04 08:46:19 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Spigot
[2012/05/04 08:46:19 | 000,000,000 | ---D | C] -- C:\Programme\pdfforge Toolbar
[2012/05/04 08:46:19 | 000,000,000 | ---D | C] -- C:\Programme\Application Updater
[2012/04/25 04:24:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user1\Desktop\Homepage HTV Carina
[2012/04/22 09:00:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user1\Desktop\Horst Kerkhoff
[2012/04/17 06:31:02 | 000,000,000 | ---D | C] -- C:\Programme\MAPILab Ltd
[2012/04/17 06:31:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user1\Startmenü\Programme\MAPILab
[2012/04/17 06:30:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/05/09 13:58:47 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/05/09 13:57:03 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012/05/09 13:53:43 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/05/07 09:22:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012/05/07 09:03:32 | 000,320,424 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/05/07 09:03:32 | 000,314,644 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/05/07 09:03:32 | 000,049,372 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/05/07 09:03:32 | 000,040,972 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012/05/07 05:42:32 | 611,533,824 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Eigene Dateien\Archiv - Outlook 2009.pst
[2012/05/07 05:42:32 | 188,957,696 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Eigene Dateien\Archiv - Outlook 2008.pst
[2012/05/07 05:42:32 | 000,525,312 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Eigene Dateien\Archiv - Outlook 2004.pst
[2012/05/07 05:34:00 | 000,069,120 | -H-- | M] (arnese esca) -- C:\WINDOWS\System32\09916F248CB5BCC15B47.exe
[2012/05/04 03:58:56 | 000,000,192 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Desktop\Regenradar.url
[2012/05/03 23:52:20 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh325
[2012/05/03 23:41:54 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh324
[2012/05/03 23:27:28 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323
[2012/05/03 23:26:12 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322
[2012/05/03 23:23:16 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321
[2012/05/03 23:20:38 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320
[2012/05/03 11:01:42 | 000,033,027 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Desktop\CC_RECHNUNG_32897682_B205034715_WITTHOEFTGABRIELE_MRS_04.05.2012_4E6EJL_SEITE_1.pdf
[2012/05/03 09:41:09 | 000,032,622 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Desktop\buchung-3589167-4E6EJL.mdi
[2012/05/02 10:42:00 | 000,000,126 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Desktop\Willkommen bei der Damen Tennisbundesliga.url
[2012/05/02 08:21:31 | 000,000,115 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Desktop\TennisLive.net.url
[2012/05/02 05:33:03 | 000,000,195 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Desktop\Tennis Live-Ticker, Tennis Ergebnisse, Livescore.url
[2012/05/02 05:20:21 | 000,000,195 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Desktop\ITF - International Tennis Federation.url
[2012/04/30 08:41:20 | 000,000,327 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Desktop\Galileo Petroleum.url
[2012/04/24 02:21:43 | 000,000,166 | ---- | M] () -- C:\Dokumente und Einstellungen\user1\Desktop\Google.url
[2012/04/12 21:00:41 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/05/07 05:41:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325
[2012/05/07 05:41:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012/05/07 05:41:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012/05/07 05:41:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012/05/07 05:41:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012/05/07 05:41:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320
[2012/05/03 11:01:40 | 000,033,027 | ---- | C] () -- C:\Dokumente und Einstellungen\user1\Desktop\CC_RECHNUNG_32897682_B205034715_WITTHOEFTGABRIELE_MRS_04.05.2012_4E6EJL_SEITE_1.pdf
[2012/05/03 09:41:09 | 000,032,622 | ---- | C] () -- C:\Dokumente und Einstellungen\user1\Desktop\buchung-3589167-4E6EJL.mdi
[2012/05/02 10:42:00 | 000,000,126 | ---- | C] () -- C:\Dokumente und Einstellungen\user1\Desktop\Willkommen bei der Damen Tennisbundesliga.url
[2012/05/02 08:21:31 | 000,000,115 | ---- | C] () -- C:\Dokumente und Einstellungen\user1\Desktop\TennisLive.net.url
[2012/05/02 05:32:53 | 000,000,195 | ---- | C] () -- C:\Dokumente und Einstellungen\user1\Desktop\Tennis Live-Ticker, Tennis Ergebnisse, Livescore.url
[2012/05/02 05:20:03 | 000,000,195 | ---- | C] () -- C:\Dokumente und Einstellungen\user1\Desktop\ITF - International Tennis Federation.url
[2012/04/30 08:40:49 | 000,000,327 | ---- | C] () -- C:\Dokumente und Einstellungen\user1\Desktop\Galileo Petroleum.url
[2012/02/16 06:40:23 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012/01/30 11:05:50 | 000,000,028 | ---- | C] () -- C:\WINDOWS\pdf995.ini
[2011/12/15 08:38:26 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2011/12/15 04:24:15 | 000,007,168 | ---- | C] () -- C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/11/30 10:36:53 | 000,197,648 | ---- | C] () -- C:\WINDOWS\System32\drivers\StkCSF.sys
[2011/11/30 10:36:53 | 000,084,616 | ---- | C] () -- C:\WINDOWS\StkUnist.exe
[2011/10/17 03:47:54 | 000,000,680 | ---- | C] () -- C:\WINDOWS\System32\iCMS.dat
[2011/09/30 09:48:21 | 000,051,716 | ---- | C] () -- C:\WINDOWS\System32\pdf995mon.dll
[2011/09/30 09:48:21 | 000,000,108 | ---- | C] () -- C:\WINDOWS\wpd99.drv
[2011/09/30 09:14:26 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\eSTsnmp.dll
[2011/09/30 09:13:27 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\user1\Ÿ9Ÿ9
[2011/09/30 09:07:06 | 000,178,807 | ---- | C] () -- C:\WINDOWS\hphins25.dat
[2011/09/30 09:07:06 | 000,000,879 | ---- | C] () -- C:\WINDOWS\hphmdl25.dat
[2011/09/30 08:37:30 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2011/09/28 18:15:28 | 000,982,196 | ---- | C] () -- C:\WINDOWS\System32\igkrng500.bin
[2011/09/28 18:15:27 | 000,417,344 | ---- | C] () -- C:\WINDOWS\System32\igcompkrng500.bin
[2011/09/28 18:15:22 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011/09/28 18:14:32 | 000,131,688 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011/09/28 17:28:12 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011/09/28 17:24:32 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010/09/23 09:46:34 | 000,081,936 | ---- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2008/04/14 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008/04/14 08:00:00 | 000,320,424 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008/04/14 08:00:00 | 000,314,644 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008/04/14 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008/04/14 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008/04/14 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008/04/14 08:00:00 | 000,049,372 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008/04/14 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008/04/14 08:00:00 | 000,040,972 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008/04/14 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008/04/14 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008/04/14 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008/04/14 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008/04/14 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2007/11/07 03:15:28 | 000,010,752 | ---- | C] () -- C:\WINDOWS\System32\KODJOJ_L.DLL
[2004/11/30 04:19:45 | 000,000,618 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2004/03/17 03:33:22 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004/03/17 03:32:28 | 000,004,530 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2003/02/20 11:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
 
========== LOP Check ==========
 
[2011/12/15 08:38:53 | 000,000,000 | ---D | M] -- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Application Updater
[2012/03/07 05:10:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\ASCOMP Software
[2011/10/17 03:38:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\DVRemote
[2012/04/10 06:53:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\EasyPCGate
[2012/04/03 06:16:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\HeidiSQL
[2012/04/10 06:53:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\ImagesWords
[2012/01/30 11:05:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\pdf995
[2011/12/16 06:26:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\pdfforge
[2012/05/07 05:41:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\Pnfk
[2012/05/04 08:46:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\Search Settings
[2011/09/30 10:14:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\user1\Anwendungsdaten\TeamViewer
[2012/04/03 06:16:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HeidiSQL
[2012/05/06 08:03:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdf995
[2012/05/03 08:17:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SFirm
[2011/09/30 09:59:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SFirm Hannover
[2012/04/10 11:37:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp
 
========== Purity Check ==========
 
 
< End of report >
         
--- --- ---



Besten Gruß

Jonni
__________________

Alt 13.05.2012, 12:41   #4
Psychotic
/// Malwareteam
 
Vrschlüsselungstrojaner - wie starten? - Standard

Vrschlüsselungstrojaner - wie starten?



Schritt 1: Fix mit OTLPE

  • An einem anderen PC, klicke auf Start-->ausführen.
  • Schreibe Notepad in die Textbox, klicke OK.
  • Kopiere nun den Inhalt der folgenden Codebox vollständig in das leere Textdokument:
    Code:
    ATTFilter
    :OTL
    O4 - HKU\user1_ON_C..\Run: [1Y7C9I1C5ZWVZIYVINLUSP] C:\update64\1E7298122BD.exe ()
    O4 - HKU\user1_ON_C..\Run: [8CB5BCC1] C:\WINDOWS\system32\09916F248CB5BCC15B47.exe (arnese esca)
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
    O7 - HKU\user1_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
    O7 - HKU\user1_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
    [2012/05/07 05:34:00 | 000,069,120 | -H-- | C] (arnese esca) -- C:\WINDOWS\System32\09916F248CB5BCC15B47.exe
    :FILES
    C:\WINDOWS\System32\winsh325
    C:\WINDOWS\System32\winsh324
    C:\WINDOWS\System32\winsh323
    C:\WINDOWS\System32\winsh322
    C:\WINDOWS\System32\winsh321
    C:\WINDOWS\System32\winsh320
             
  • Speichere die Datei als fix.txt auf einem USB-Stick.
  • Am infizierten Rechner, schließe den USB-Stick an, boote OTLPEN.
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Klicke nun bitte auf den Fix Button.
  • Lade die fix.txt von deinem Stick.
  • Klicke den Fix-Button.
  • Starte Windows nun normal. Es sollte sich eine OTL.txt öffnen, poste deren Inhalt in deinem nächsten Thread.


Schritt 2: DDS


Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. dds.com dds.scr dds.pif
  • Schließe alle laufenden Programme.
  • Starte DDS mit Doppelklick.
  • Es wird 2 Logfiles erstellen.
    • dds.txt
    • attach.txt
  • Speichere beide Logfiles auf deinem Desktop
  • Poste beide Logfiles hier.


Schritt 3: GMER


Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
  • keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
  • nichts am Rechner arbeiten,
  • nach jedem Scan der Rechner neu gestarten.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen). Vista und Win7 User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei:
    • IAT/EAT
    • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
    • Show all (sollte abgehackt sein)
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Schritt 4: TDSS-Killer


Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop
  • Starte die TDSSKiller.exe
  • Drücke Start Scan
  • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt
Poste den Inhalt bitte hier in deinen Thread.
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 15.05.2012, 13:17   #5
Psychotic
/// Malwareteam
 
Vrschlüsselungstrojaner - wie starten? - Standard

Vrschlüsselungstrojaner - wie starten?



Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 15.05.2012, 13:50   #6
jonni
 
Vrschlüsselungstrojaner - wie starten? - Standard

Vrschlüsselungstrojaner - wie starten?



Unbedingt!

Schonmal dieses:
- Nach dem ich normal gebootet habe ist KEIN OTL.txt aufgetaucht.
- Ich habe es bislang nicht geschafft ein Logfile von GMER zu sichern, weil sich scheinbar der Rechner an einem bestimmten Punkt immer selbst bootet. (GMER selber läuft viele Stunden)

Die restlichen Logfiles schicke ich heute Abend

Jonni

Alt 15.05.2012, 14:22   #7
Psychotic
/// Malwareteam
 
Vrschlüsselungstrojaner - wie starten? - Standard

Vrschlüsselungstrojaner - wie starten?



Nimm statt Gmer

aswMBR


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 15.05.2012, 19:26   #8
jonni
 
Vrschlüsselungstrojaner - wie starten? - Standard

Vrschlüsselungstrojaner - wie starten?



So. Hat dann doch mit GMER geklappt. Hier also die verschiedenen Logs:

dds.txt
[code]
.DDS Logfile:
Code:
ATTFilter
DDS (Ver_2011-08-26.01) - NTFSx86 
Internet Explorer: 8.0.6001.18702
Run by user1 at 20:59:12 on 2012-05-14
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2013.1545 [GMT 2:00]
.
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Application Updater\ApplicationUpdater.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\svchost.exe -k hpdevmgmt
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\ASCOMP Software\Synchredible\synchredible.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
\\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.witthoeft.de/
uURLSearchHooks: pdfforge Toolbar: {b922d405-6d13-4a2b-ae89-08a030da4402} - c:\programme\pdfforge toolbar\ie\5.6\pdfforgeToolbarIE.dll
BHO: HP Print Enhancer: {0347c33e-8762-4905-bf09-768834316c61} - c:\programme\hp\digital imaging\smart web printing\hpswp_printenhancer.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: pdfforge Toolbar: {b922d405-6d13-4a2b-ae89-08a030da4402} - c:\programme\pdfforge toolbar\ie\5.6\pdfforgeToolbarIE.dll
BHO: HP Smart BHO Class: {ffffffff-cf4e-4f2b-bdc2-0e72e116a856} - c:\programme\hp\digital imaging\smart web printing\hpswp_BHO.dll
TB: pdfforge Toolbar: {b922d405-6d13-4a2b-ae89-08a030da4402} - c:\programme\pdfforge toolbar\ie\5.6\pdfforgeToolbarIE.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
mRun: [HP Software Update] c:\programme\hp\hp software update\HPWuSchd2.exe
mRun: [hpqSRMon] c:\programme\hp\digital imaging\bin\hpqSRMon.exe
mRun: [SfWinStartInfo] "c:\programme\sfirm\sfWinStartupInfo.exe"
mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe"
mRun: [<NO NAME>] 
mRun: [SearchSettings] "c:\programme\gemeinsame dateien\spigot\search settings\SearchSettings.exe"
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\user1\startm~1\progra~1\autost~1\hardcopy.lnk - c:\programme\hardcopy\hardcopy.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\hpdigi~1.lnk - c:\programme\hp\digital imaging\bin\hpqtra08.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\synchr~1.lnk - c:\programme\ascomp software\synchredible\synchredible.exe
mPolicies-system: EnableLinkedConnections = 1 (0x1)
IE: Nach Microsoft &Excel exportieren - c:\progra~1\micros~2\office11\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office11\REFIEBAR.DLL
IE: {DDE87865-83C5-48c4-8357-2F5B1AA84522} - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - c:\programme\hp\digital imaging\smart web printing\hpswp_BHO.dll
DPF: {173D9E48-B527-4AA0-A929-30B446002AA8} - hxxp://tsw.dyndns.tv:5400/DVRemoteAx.cab
TCP: DhcpNameServer = 192.168.0.1
TCP: Interfaces\{0858605E-E1B8-4F23-8AC9-81D8793B19CC} : DhcpNameServer = 192.168.0.1
Notify: igfxcui - igfxdev.dll
.
============= SERVICES / DRIVERS ===============
.
R1 avgio;avgio;c:\programme\avira\antivir desktop\avgio.sys [2011-9-30 11608]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\avira\antivir desktop\sched.exe [2011-9-30 136360]
R2 AntiVirService;Avira AntiVir Guard;c:\programme\avira\antivir desktop\avguard.exe [2011-9-30 269480]
R2 Application Updater;Application Updater;c:\programme\application updater\ApplicationUpdater.exe [2012-4-23 785304]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-9-30 66616]
S2 gupdate;Google Update-Dienst (gupdate);c:\programme\google\update\GoogleUpdate.exe [2011-9-30 136176]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\google\update\GoogleUpdate.exe [2011-9-30 136176]
S3 StkCMini;Syntek AVStream USB2.0 ATV;c:\windows\system32\drivers\StkCMini.sys [2011-11-30 1521544]
.
=============== Created Last 30 ================
.
2012-05-15 02:51:39	--------	d-----w-	C:\_OTL
2012-05-07 16:23:18	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0
2012-05-07 09:41:30	--------	d-----w-	c:\dokumente und einstellungen\user1\anwendungsdaten\Pnfk
2012-05-04 12:46:21	--------	d-----w-	c:\dokumente und einstellungen\user1\anwendungsdaten\Search Settings
2012-05-04 12:46:19	--------	d-----w-	c:\programme\pdfforge Toolbar
2012-05-04 12:46:19	--------	d-----w-	c:\programme\gemeinsame dateien\Spigot
2012-05-04 12:46:19	--------	d-----w-	c:\programme\Application Updater
2012-04-17 10:31:03	49152	----a-r-	c:\dokumente und einstellungen\user1\anwendungsdaten\microsoft\installer\{7b4174e8-fe92-4269-808a-3b8d116d9538}\NewShortcut8_7B4174E8FE924269808A3B8D116D9538.exe
2012-04-17 10:31:03	49152	----a-r-	c:\dokumente und einstellungen\user1\anwendungsdaten\microsoft\installer\{7b4174e8-fe92-4269-808a-3b8d116d9538}\NewShortcut7_7B4174E8FE924269808A3B8D116D9538.exe
2012-04-17 10:31:03	49152	----a-r-	c:\dokumente und einstellungen\user1\anwendungsdaten\microsoft\installer\{7b4174e8-fe92-4269-808a-3b8d116d9538}\NewShortcut5_7B4174E8FE924269808A3B8D116D9538_1.exe
2012-04-17 10:31:02	--------	d-----w-	c:\programme\MAPILab Ltd
2012-04-17 10:30:40	--------	d-----w-	c:\dokumente und einstellungen\user1\lokale einstellungen\anwendungsdaten\Downloaded Installations
.
==================== Find3M  ====================
.
2012-03-01 11:00:09	916992	----a-w-	c:\windows\system32\wininet.dll
2012-03-01 11:00:08	43520	------w-	c:\windows\system32\licmgr10.dll
2012-03-01 11:00:08	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-02-29 14:09:48	177664	----a-w-	c:\windows\system32\wintrust.dll
2012-02-29 14:09:48	148480	----a-w-	c:\windows\system32\imagehlp.dll
2012-02-29 12:17:40	385024	------w-	c:\windows\system32\html.iec
.
============= FINISH: 20:59:38,54 ===============
         
--- --- ---


attach.txt
Code:
ATTFilter
.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft Windows XP Professional
Boot Device: \Device\HarddiskVolume1
Install Date: 28.09.2011 23:28:10
System Uptime: 14.05.2012 20:54:55 (0 hours ago)
.
Motherboard: FOXCONN |  | 2A8C
Processor: Intel Pentium III Xeon-Prozessor | CPU 1 | 2599/800mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 298 GiB total, 265,844 GiB free.
D: is CDROM ()
E: is Removable
F: is Removable
.
==== Disabled Device Manager Items =============
.
Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description: SM-Bus-Controller
Device ID: PCI\VEN_8086&DEV_27DA&SUBSYS_2A8C103C&REV_01\3&11583659&0&FB
Manufacturer: 
Name: SM-Bus-Controller
PNP Device ID: PCI\VEN_8086&DEV_27DA&SUBSYS_2A8C103C&REV_01\3&11583659&0&FB
Service: 
.
==== System Restore Points ===================
.
RP1: 07.05.2012 14:59:52 - Systemprüfpunkt
.
==== Installed Programs ======================
.
32 Bit HP CIO Components Installer
Adobe Flash Player 11 ActiveX
Adobe Reader X (10.1.3) - Deutsch
Advanced Security for Outlook
Akademie Witthöft 1.0.0
ATI Problem Report Wizard
Avira AntiVir Personal - Free Antivirus
BufferChm
CustomerResearchQFolder
D2500
D2500_Help
DeviceDiscovery
DeviceManagementQFolder
DirSync  2.8
DJ_SF_03_D2500_ProductContext
DJ_SF_03_D2500_Software
DJ_SF_03_D2500_Software_Min
eSupportQFolder
Google Earth
Google Update Helper
GPBaseService
Hardcopy (C:\Programme\Hardcopy)
HeidiSQL 6.0
Hotfix für Windows XP (KB2570791)
Hotfix für Windows XP (KB2633952)
Hotfix für Windows XP (KB952287)
Hotfix for Windows XP (KB976002-v5)
HP Customer Participation Program 10.0
HP Deskjet D2500 Printer Driver Software 10.0 Rel .3
HP Imaging Device Functions 10.0
HP Photosmart Essential 2.5
HP Smart Web Printing
HP Solution Center 10.0
HP Update
HPProductAssistant
HPSSupply
HydraVision
iCMS
Intel(R) Graphics Media Accelerator Driver
MarketResearch
Mein CEWE FOTOBUCH
Microsoft Office Basic Edition 2003
Microsoft Office PowerPoint Viewer 2007 (German)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Pdf995
PDFCreator
pdfforge Toolbar v5.6
PSSWCORE
Realtek High Definition Audio Driver
SFirm
Shop for HP Supplies
Sicherheitsupdate für Microsoft Windows (KB2564958)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2510531)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2544521)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2559049)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2586448)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2618444)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2647516)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2675157)
Sicherheitsupdate für Windows Internet Explorer 8 (KB982381)
Sicherheitsupdate für Windows Media Player (KB2378111)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB954155)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player (KB975558)
Sicherheitsupdate für Windows Media Player (KB978695)
Sicherheitsupdate für Windows XP (KB2079403)
Sicherheitsupdate für Windows XP (KB2115168)
Sicherheitsupdate für Windows XP (KB2229593)
Sicherheitsupdate für Windows XP (KB2296011)
Sicherheitsupdate für Windows XP (KB2347290)
Sicherheitsupdate für Windows XP (KB2360937)
Sicherheitsupdate für Windows XP (KB2387149)
Sicherheitsupdate für Windows XP (KB2393802)
Sicherheitsupdate für Windows XP (KB2412687)
Sicherheitsupdate für Windows XP (KB2419632)
Sicherheitsupdate für Windows XP (KB2423089)
Sicherheitsupdate für Windows XP (KB2440591)
Sicherheitsupdate für Windows XP (KB2443105)
Sicherheitsupdate für Windows XP (KB2476490)
Sicherheitsupdate für Windows XP (KB2478960)
Sicherheitsupdate für Windows XP (KB2478971)
Sicherheitsupdate für Windows XP (KB2479943)
Sicherheitsupdate für Windows XP (KB2481109)
Sicherheitsupdate für Windows XP (KB2483185)
Sicherheitsupdate für Windows XP (KB2485663)
Sicherheitsupdate für Windows XP (KB2503665)
Sicherheitsupdate für Windows XP (KB2506212)
Sicherheitsupdate für Windows XP (KB2507618)
Sicherheitsupdate für Windows XP (KB2507938)
Sicherheitsupdate für Windows XP (KB2508272)
Sicherheitsupdate für Windows XP (KB2508429)
Sicherheitsupdate für Windows XP (KB2509553)
Sicherheitsupdate für Windows XP (KB2510581)
Sicherheitsupdate für Windows XP (KB2535512)
Sicherheitsupdate für Windows XP (KB2536276-v2)
Sicherheitsupdate für Windows XP (KB2544521)
Sicherheitsupdate für Windows XP (KB2544893-v2)
Sicherheitsupdate für Windows XP (KB2544893)
Sicherheitsupdate für Windows XP (KB2555917)
Sicherheitsupdate für Windows XP (KB2559049)
Sicherheitsupdate für Windows XP (KB2562937)
Sicherheitsupdate für Windows XP (KB2566454)
Sicherheitsupdate für Windows XP (KB2567053)
Sicherheitsupdate für Windows XP (KB2567680)
Sicherheitsupdate für Windows XP (KB2570222)
Sicherheitsupdate für Windows XP (KB2570947)
Sicherheitsupdate für Windows XP (KB2584146)
Sicherheitsupdate für Windows XP (KB2585542)
Sicherheitsupdate für Windows XP (KB2592799)
Sicherheitsupdate für Windows XP (KB2598479)
Sicherheitsupdate für Windows XP (KB2603381)
Sicherheitsupdate für Windows XP (KB2618451)
Sicherheitsupdate für Windows XP (KB2619339)
Sicherheitsupdate für Windows XP (KB2620712)
Sicherheitsupdate für Windows XP (KB2621440)
Sicherheitsupdate für Windows XP (KB2624667)
Sicherheitsupdate für Windows XP (KB2631813)
Sicherheitsupdate für Windows XP (KB2633171)
Sicherheitsupdate für Windows XP (KB2639417)
Sicherheitsupdate für Windows XP (KB2641653)
Sicherheitsupdate für Windows XP (KB2646524)
Sicherheitsupdate für Windows XP (KB2647518)
Sicherheitsupdate für Windows XP (KB2653956)
Sicherheitsupdate für Windows XP (KB2660465)
Sicherheitsupdate für Windows XP (KB2661637)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956744)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB969059)
Sicherheitsupdate für Windows XP (KB970430)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB972270)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973869)
Sicherheitsupdate für Windows XP (KB973904)
Sicherheitsupdate für Windows XP (KB974112)
Sicherheitsupdate für Windows XP (KB974318)
Sicherheitsupdate für Windows XP (KB974392)
Sicherheitsupdate für Windows XP (KB974571)
Sicherheitsupdate für Windows XP (KB975025)
Sicherheitsupdate für Windows XP (KB975467)
Sicherheitsupdate für Windows XP (KB975560)
Sicherheitsupdate für Windows XP (KB975562)
Sicherheitsupdate für Windows XP (KB975713)
Sicherheitsupdate für Windows XP (KB977816)
Sicherheitsupdate für Windows XP (KB977914)
Sicherheitsupdate für Windows XP (KB978338)
Sicherheitsupdate für Windows XP (KB978542)
Sicherheitsupdate für Windows XP (KB978601)
Sicherheitsupdate für Windows XP (KB978706)
Sicherheitsupdate für Windows XP (KB979309)
Sicherheitsupdate für Windows XP (KB979482)
Sicherheitsupdate für Windows XP (KB979687)
Sicherheitsupdate für Windows XP (KB980436)
Sicherheitsupdate für Windows XP (KB981322)
Sicherheitsupdate für Windows XP (KB981997)
Sicherheitsupdate für Windows XP (KB982132)
Sicherheitsupdate für Windows XP (KB982665)
SmartWebPrintingOC
smile 2010
SolutionCenter
Status
Synchredible v3.3
TeamViewer 6
Tennis-Park Jenfeld 1.0.1
Toolbox
Tournament 14
TrayApp
UnloadSupport
Update für Windows Internet Explorer 8 (KB2447568)
Update für Windows XP (KB2345886)
Update für Windows XP (KB2467659)
Update für Windows XP (KB2541763)
Update für Windows XP (KB2616676-v2)
Update für Windows XP (KB2641690)
Update für Windows XP (KB898461)
Update für Windows XP (KB951978)
Update für Windows XP (KB955759)
Update für Windows XP (KB968389)
Update für Windows XP (KB971029)
Update für Windows XP (KB971737)
Update für Windows XP (KB973687)
Update für Windows XP (KB973815)
USB2.0 Grabber
VideoToolkit01
WebFldrs XP
WebReg
Windows Genuine Advantage Notifications (KB905474)
Windows Internet Explorer 8
.
==== End Of File ===========================
         
GMER.txt
GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-05-15 19:18:09
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-6 WDC_WD3200AAJS-60Z0A0 rev.03.03E03
Running: mv952ouj.exe; Driver: C:\DOKUME~1\user1\LOKALE~1\Temp\ugrdqpow.sys


---- System - GMER 1.0.15 ----

SSDT            BA762224                                                                                         ZwClose
SSDT            BA7621DE                                                                                         ZwCreateKey
SSDT            BA76222E                                                                                         ZwCreateSection
SSDT            BA7621D4                                                                                         ZwCreateThread
SSDT            BA7621E3                                                                                         ZwDeleteKey
SSDT            BA7621ED                                                                                         ZwDeleteValueKey
SSDT            BA76221F                                                                                         ZwDuplicateObject
SSDT            BA7621F2                                                                                         ZwLoadKey
SSDT            BA7621C0                                                                                         ZwOpenProcess
SSDT            BA7621C5                                                                                         ZwOpenThread
SSDT            BA7621FC                                                                                         ZwReplaceKey
SSDT            BA7621F7                                                                                         ZwRestoreKey
SSDT            BA762233                                                                                         ZwSetContextThread
SSDT            BA7621E8                                                                                         ZwSetValueKey
SSDT            BA7621CF                                                                                         ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwCallbackReturn + 2FB8                                                             80504870 4 Bytes  CALL 930ABE96 

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\ASCOMP Software\Synchredible\synchredible.exe[2008] kernel32.dll!CreateThread + 1A  7C8106F1 4 Bytes  CALL 004653DD C:\Programme\ASCOMP Software\Synchredible\synchredible.exe (Backup & Synchronisation/ASCOMP Software GmbH)
.text           C:\Programme\ASCOMP Software\Synchredible\synchredible.exe[2008] USER32.dll!SetScrollInfo        7E369056 8 Bytes  JMP 02890000 
.text           C:\Programme\ASCOMP Software\Synchredible\synchredible.exe[2008] USER32.dll!SetScrollPos         7E37F750 8 Bytes  JMP 028901CA 
.text           C:\Programme\ASCOMP Software\Synchredible\synchredible.exe[2008] USER32.dll!SetScrollRange       7E37F99B 8 Bytes  JMP 028900D9 

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                                                         fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         
--- --- ---


TDSSKiller-Log
Code:
ATTFilter
05:17:09.0484 0868	TDSS rootkit removing tool 2.7.34.0 May  2 2012 09:59:18
05:17:09.0656 0868	============================================================
05:17:09.0656 0868	Current date / time: 2012/05/15 05:17:09.0656
05:17:09.0656 0868	SystemInfo:
05:17:09.0656 0868	
05:17:09.0656 0868	OS Version: 5.1.2600 ServicePack: 3.0
05:17:09.0656 0868	Product type: Workstation
05:17:09.0656 0868	ComputerName: KAI-AMD
05:17:09.0656 0868	UserName: user1
05:17:09.0656 0868	Windows directory: C:\WINDOWS
05:17:09.0656 0868	System windows directory: C:\WINDOWS
05:17:09.0656 0868	Processor architecture: Intel x86
05:17:09.0656 0868	Number of processors: 2
05:17:09.0656 0868	Page size: 0x1000
05:17:09.0656 0868	Boot type: Normal boot
05:17:09.0656 0868	============================================================
05:17:10.0718 0868	Drive \Device\Harddisk0\DR0 - Size: 0x4A85D56000 (298.09 Gb), SectorSize: 0x200, Cylinders: 0x9801, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
05:17:10.0718 0868	Drive \Device\Harddisk1\DR6 - Size: 0x3BA300000 (14.91 Gb), SectorSize: 0x200, Cylinders: 0x79A, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W'
05:17:10.0734 0868	============================================================
05:17:10.0734 0868	\Device\Harddisk0\DR0:
05:17:10.0734 0868	MBR partitions:
05:17:10.0734 0868	\Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x254297C1
05:17:10.0734 0868	\Device\Harddisk1\DR6:
05:17:10.0734 0868	MBR partitions:
05:17:10.0734 0868	\Device\Harddisk1\DR6\Partition0: MBR, Type 0xC, StartLBA 0x800, BlocksNum 0x1DD0000
05:17:10.0734 0868	============================================================
05:17:10.0734 0868	C: <-> \Device\Harddisk0\DR0\Partition0
05:17:10.0734 0868	============================================================
05:17:10.0734 0868	Initialize success
05:17:10.0734 0868	============================================================
05:17:46.0703 3188	============================================================
05:17:46.0703 3188	Scan started
05:17:46.0703 3188	Mode: Manual; 
05:17:46.0703 3188	============================================================
05:17:46.0859 3188	Abiosdsk - ok
05:17:46.0859 3188	abp480n5 - ok
05:17:46.0906 3188	ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
05:17:46.0906 3188	ACPI - ok
05:17:46.0937 3188	ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
05:17:46.0937 3188	ACPIEC - ok
05:17:46.0937 3188	adpu160m - ok
05:17:46.0984 3188	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
05:17:47.0000 3188	aec - ok
05:17:47.0031 3188	AFD             (1e44bc1e83d8fd2305f8d452db109cf9) C:\WINDOWS\System32\drivers\afd.sys
05:17:47.0046 3188	AFD - ok
05:17:47.0046 3188	Aha154x - ok
05:17:47.0046 3188	aic78u2 - ok
05:17:47.0046 3188	aic78xx - ok
05:17:47.0093 3188	Alerter         (738d80cc01d7bc7584be917b7f544394) C:\WINDOWS\system32\alrsvc.dll
05:17:47.0093 3188	Alerter - ok
05:17:47.0109 3188	ALG             (190cd73d4984f94d823f9444980513e5) C:\WINDOWS\System32\alg.exe
05:17:47.0109 3188	ALG - ok
05:17:47.0109 3188	AliIde - ok
05:17:47.0125 3188	amsint - ok
05:17:47.0218 3188	AntiVirSchedulerService (c27d46b06d340293670450fce9dfb166) C:\Programme\Avira\AntiVir Desktop\sched.exe
05:17:47.0218 3188	AntiVirSchedulerService - ok
05:17:47.0250 3188	AntiVirService  (72d90e56563165984224493069c69ed4) C:\Programme\Avira\AntiVir Desktop\avguard.exe
05:17:47.0250 3188	AntiVirService - ok
05:17:47.0328 3188	Application Updater (f4c5530d92fa7f9a41c19edfc4c51bd4) C:\Programme\Application Updater\ApplicationUpdater.exe
05:17:47.0328 3188	Application Updater - ok
05:17:47.0375 3188	AppMgmt         (d45960be52c3c610d361977057f98c54) C:\WINDOWS\System32\appmgmts.dll
05:17:47.0375 3188	AppMgmt - ok
05:17:47.0375 3188	asc - ok
05:17:47.0390 3188	asc3350p - ok
05:17:47.0390 3188	asc3550 - ok
05:17:47.0421 3188	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
05:17:47.0421 3188	AsyncMac - ok
05:17:47.0468 3188	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
05:17:47.0468 3188	atapi - ok
05:17:47.0468 3188	Atdisk - ok
05:17:47.0515 3188	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
05:17:47.0515 3188	Atmarpc - ok
05:17:47.0546 3188	AudioSrv        (58ed0d5452df7be732193e7999c6b9a4) C:\WINDOWS\System32\audiosrv.dll
05:17:47.0546 3188	AudioSrv - ok
05:17:47.0593 3188	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
05:17:47.0593 3188	audstub - ok
05:17:47.0687 3188	avgio           (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
05:17:47.0687 3188	avgio - ok
05:17:47.0687 3188	avgntflt        (1e4114685de1ffa9675e09c6a1fb3f4b) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
05:17:47.0687 3188	avgntflt - ok
05:17:47.0703 3188	avipbb          (0f78d3dae6dedd99ae54c9491c62adf2) C:\WINDOWS\system32\DRIVERS\avipbb.sys
05:17:47.0703 3188	avipbb - ok
05:17:47.0750 3188	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
05:17:47.0750 3188	Beep - ok
05:17:47.0812 3188	BITS            (d6f603772a789bb3228f310d650b8bd1) C:\WINDOWS\system32\qmgr.dll
05:17:47.0828 3188	BITS - ok
05:17:47.0875 3188	Browser         (b42057f06bbb98b31876c0b3f2b54e33) C:\WINDOWS\System32\browser.dll
05:17:47.0875 3188	Browser - ok
05:17:47.0890 3188	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
05:17:47.0906 3188	cbidf2k - ok
05:17:47.0937 3188	CCDECODE        (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
05:17:47.0937 3188	CCDECODE - ok
05:17:47.0937 3188	cd20xrnt - ok
05:17:47.0968 3188	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
05:17:47.0968 3188	Cdaudio - ok
05:17:47.0984 3188	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
05:17:47.0984 3188	Cdfs - ok
05:17:48.0031 3188	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
05:17:48.0031 3188	Cdrom - ok
05:17:48.0031 3188	Changer - ok
05:17:48.0062 3188	CiSvc           (28e3040d1f1ca2008cd6b29dfebc9a5e) C:\WINDOWS\system32\cisvc.exe
05:17:48.0062 3188	CiSvc - ok
05:17:48.0078 3188	ClipSrv         (778a30ed3c134eb7e406afc407e9997d) C:\WINDOWS\system32\clipsrv.exe
05:17:48.0078 3188	ClipSrv - ok
05:17:48.0078 3188	CmdIde - ok
05:17:48.0078 3188	COMSysApp - ok
05:17:48.0093 3188	Cpqarray - ok
05:17:48.0125 3188	CryptSvc        (611f824e5c703a5a899f84c5f1699e4d) C:\WINDOWS\System32\cryptsvc.dll
05:17:48.0125 3188	CryptSvc - ok
05:17:48.0125 3188	dac2w2k - ok
05:17:48.0125 3188	dac960nt - ok
05:17:48.0187 3188	DcomLaunch      (3127afbf2c1ed0ab14a1bbb7aaecb85b) C:\WINDOWS\system32\rpcss.dll
05:17:48.0187 3188	DcomLaunch - ok
05:17:48.0234 3188	Dhcp            (c29a1c9b75ba38fa37f8c44405dec360) C:\WINDOWS\System32\dhcpcsvc.dll
05:17:48.0250 3188	Dhcp - ok
05:17:48.0265 3188	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
05:17:48.0265 3188	Disk - ok
05:17:48.0265 3188	dmadmin - ok
05:17:48.0328 3188	dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
05:17:48.0343 3188	dmboot - ok
05:17:48.0359 3188	dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
05:17:48.0359 3188	dmio - ok
05:17:48.0359 3188	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
05:17:48.0375 3188	dmload - ok
05:17:48.0390 3188	dmserver        (25c83ffbba13b554eb6d59a9b2e2ee78) C:\WINDOWS\System32\dmserver.dll
05:17:48.0390 3188	dmserver - ok
05:17:48.0437 3188	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
05:17:48.0437 3188	DMusic - ok
05:17:48.0484 3188	Dnscache        (407f3227ac618fd1ca54b335b083de07) C:\WINDOWS\System32\dnsrslvr.dll
05:17:48.0484 3188	Dnscache - ok
05:17:48.0515 3188	Dot3svc         (676e36c4ff5bcea1900f44182b9723e6) C:\WINDOWS\System32\dot3svc.dll
05:17:48.0531 3188	Dot3svc - ok
05:17:48.0531 3188	dpti2o - ok
05:17:48.0546 3188	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
05:17:48.0546 3188	drmkaud - ok
05:17:48.0562 3188	EapHost         (4e4f2fddab0a0736d7671134dcce91fb) C:\WINDOWS\System32\eapsvc.dll
05:17:48.0562 3188	EapHost - ok
05:17:48.0562 3188	ERSvc           (877c18558d70587aa7823a1a308ac96b) C:\WINDOWS\System32\ersvc.dll
05:17:48.0562 3188	ERSvc - ok
05:17:48.0609 3188	Eventlog        (a3edbe9053889fb24ab22492472b39dc) C:\WINDOWS\system32\services.exe
05:17:48.0609 3188	Eventlog - ok
05:17:48.0640 3188	EventSystem     (af4f6b5739d18ca7972ab53e091cbc74) C:\WINDOWS\system32\es.dll
05:17:48.0640 3188	EventSystem - ok
05:17:48.0671 3188	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
05:17:48.0671 3188	Fastfat - ok
05:17:48.0718 3188	FastUserSwitchingCompatibility (2db7d303c36ddd055215052f118e8e75) C:\WINDOWS\System32\shsvcs.dll
05:17:48.0718 3188	FastUserSwitchingCompatibility - ok
05:17:48.0734 3188	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
05:17:48.0734 3188	Fdc - ok
05:17:48.0750 3188	Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
05:17:48.0750 3188	Fips - ok
05:17:48.0750 3188	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
05:17:48.0750 3188	Flpydisk - ok
05:17:48.0796 3188	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
05:17:48.0796 3188	FltMgr - ok
05:17:48.0828 3188	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
05:17:48.0828 3188	Fs_Rec - ok
05:17:48.0843 3188	Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
05:17:48.0843 3188	Ftdisk - ok
05:17:48.0859 3188	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
05:17:48.0859 3188	Gpc - ok
05:17:48.0984 3188	gupdate         (f02a533f517eb38333cb12a9e8963773) C:\Programme\Google\Update\GoogleUpdate.exe
05:17:48.0984 3188	gupdate - ok
05:17:48.0984 3188	gupdatem        (f02a533f517eb38333cb12a9e8963773) C:\Programme\Google\Update\GoogleUpdate.exe
05:17:48.0984 3188	gupdatem - ok
05:17:49.0031 3188	HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
05:17:49.0031 3188	HDAudBus - ok
05:17:49.0062 3188	helpsvc         (cb66bf85bf599befd6c6a57c2e20357f) C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll
05:17:49.0062 3188	helpsvc - ok
05:17:49.0078 3188	HidServ         (b35da85e60c0103f2e4104532da2f12b) C:\WINDOWS\System32\hidserv.dll
05:17:49.0078 3188	HidServ - ok
05:17:49.0109 3188	hidusb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
05:17:49.0109 3188	hidusb - ok
05:17:49.0140 3188	hkmsvc          (ed29f14101523a6e0e808107405d452c) C:\WINDOWS\System32\kmsvc.dll
05:17:49.0140 3188	hkmsvc - ok
05:17:49.0140 3188	hpn - ok
05:17:49.0218 3188	hpqcxs08        (f50f7984fdd151edd8a70a8dbd9e2a44) C:\Programme\HP\Digital Imaging\bin\hpqcxs08.dll
05:17:49.0218 3188	hpqcxs08 - ok
05:17:49.0234 3188	hpqddsvc        (df446ba625cc441617843e87798ce048) C:\Programme\HP\Digital Imaging\bin\hpqddsvc.dll
05:17:49.0234 3188	hpqddsvc - ok
05:17:49.0281 3188	HPZid412        (d03d10f7ded688fecf50f8fbf1ea9b8a) C:\WINDOWS\system32\DRIVERS\HPZid412.sys
05:17:49.0281 3188	HPZid412 - ok
05:17:49.0281 3188	HPZipr12        (89f41658929393487b6b7d13c8528ce3) C:\WINDOWS\system32\DRIVERS\HPZipr12.sys
05:17:49.0281 3188	HPZipr12 - ok
05:17:49.0328 3188	HPZius12        (abcb05ccdbf03000354b9553820e39f8) C:\WINDOWS\system32\DRIVERS\HPZius12.sys
05:17:49.0328 3188	HPZius12 - ok
05:17:49.0375 3188	HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
05:17:49.0375 3188	HTTP - ok
05:17:49.0406 3188	HTTPFilter      (9e4adb854cebcfb81a4b36718feecd16) C:\WINDOWS\System32\w3ssl.dll
05:17:49.0406 3188	HTTPFilter - ok
05:17:49.0406 3188	i2omgmt - ok
05:17:49.0421 3188	i2omp - ok
05:17:49.0453 3188	i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\drivers\i8042prt.sys
05:17:49.0453 3188	i8042prt - ok
05:17:49.0781 3188	ialm            (ff2dc7b4f16cb9c72619fc12c0fb4c51) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
05:17:49.0906 3188	ialm - ok
05:17:50.0000 3188	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
05:17:50.0000 3188	Imapi - ok
05:17:50.0046 3188	ImapiService    (d4b413aa210c21e46aedd2ba5b68d38e) C:\WINDOWS\system32\imapi.exe
05:17:50.0046 3188	ImapiService - ok
05:17:50.0062 3188	ini910u - ok
05:17:50.0375 3188	IntcAzAudAddService (991f90d02ec0ec6a425e1c0b1d822562) C:\WINDOWS\system32\drivers\RtkHDAud.sys
05:17:50.0406 3188	IntcAzAudAddService - ok
05:17:50.0468 3188	IntelIde - ok
05:17:50.0531 3188	intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
05:17:50.0531 3188	intelppm - ok
05:17:50.0562 3188	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
05:17:50.0562 3188	Ip6Fw - ok
05:17:50.0578 3188	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
05:17:50.0578 3188	IpFilterDriver - ok
05:17:50.0578 3188	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
05:17:50.0593 3188	IpInIp - ok
05:17:50.0625 3188	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
05:17:50.0625 3188	IpNat - ok
05:17:50.0656 3188	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
05:17:50.0656 3188	IPSec - ok
05:17:50.0687 3188	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
05:17:50.0687 3188	IRENUM - ok
05:17:50.0718 3188	isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
05:17:50.0718 3188	isapnp - ok
05:17:50.0734 3188	Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
05:17:50.0734 3188	Kbdclass - ok
05:17:50.0734 3188	kbdhid          (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
05:17:50.0734 3188	kbdhid - ok
05:17:50.0796 3188	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
05:17:50.0812 3188	kmixer - ok
05:17:50.0828 3188	KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
05:17:50.0828 3188	KSecDD - ok
05:17:50.0859 3188	LanmanServer    (2bbdcb79900990f0716dfcb714e72de7) C:\WINDOWS\System32\srvsvc.dll
05:17:50.0859 3188	LanmanServer - ok
05:17:50.0906 3188	lanmanworkstation (1869b14b06b44b44af70548e1ea3303f) C:\WINDOWS\System32\wkssvc.dll
05:17:50.0906 3188	lanmanworkstation - ok
05:17:50.0906 3188	lbrtfdc - ok
05:17:50.0953 3188	LmHosts         (636714b7d43c8d0c80449123fd266920) C:\WINDOWS\System32\lmhsvc.dll
05:17:50.0953 3188	LmHosts - ok
05:17:51.0046 3188	MDM             (11f714f85530a2bd134074dc30e99fca) C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
05:17:51.0046 3188	MDM - ok
05:17:51.0078 3188	Messenger       (b7550a7107281d170ce85524b1488c98) C:\WINDOWS\System32\msgsvc.dll
05:17:51.0078 3188	Messenger - ok
05:17:51.0109 3188	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
05:17:51.0109 3188	mnmdd - ok
05:17:51.0125 3188	mnmsrvc         (c2f1d365fd96791b037ee504868065d3) C:\WINDOWS\system32\mnmsrvc.exe
05:17:51.0125 3188	mnmsrvc - ok
05:17:51.0156 3188	Modem           (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
05:17:51.0156 3188	Modem - ok
05:17:51.0187 3188	Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
05:17:51.0187 3188	Mouclass - ok
05:17:51.0187 3188	mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
05:17:51.0187 3188	mouhid - ok
05:17:51.0203 3188	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
05:17:51.0203 3188	MountMgr - ok
05:17:51.0218 3188	mraid35x - ok
05:17:51.0218 3188	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
05:17:51.0218 3188	MRxDAV - ok
05:17:51.0281 3188	MRxSmb          (7d304a5eb4344ebeeab53a2fe3ffb9f0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
05:17:51.0281 3188	MRxSmb - ok
05:17:51.0312 3188	MSDTC           (35a031af38c55f92d28aa03ee9f12cc9) C:\WINDOWS\system32\msdtc.exe
05:17:51.0312 3188	MSDTC - ok
05:17:51.0328 3188	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
05:17:51.0328 3188	Msfs - ok
05:17:51.0328 3188	MSIServer - ok
05:17:51.0343 3188	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
05:17:51.0343 3188	MSKSSRV - ok
05:17:51.0359 3188	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
05:17:51.0359 3188	MSPCLOCK - ok
05:17:51.0359 3188	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
05:17:51.0359 3188	MSPQM - ok
05:17:51.0390 3188	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
05:17:51.0390 3188	mssmbios - ok
05:17:51.0421 3188	MSTEE           (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
05:17:51.0421 3188	MSTEE - ok
05:17:51.0437 3188	Mup             (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
05:17:51.0437 3188	Mup - ok
05:17:51.0468 3188	NABTSFEC        (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
05:17:51.0468 3188	NABTSFEC - ok
05:17:51.0500 3188	napagent        (46bb15ae2ac7d025d6d2567b876817bd) C:\WINDOWS\System32\qagentrt.dll
05:17:51.0515 3188	napagent - ok
05:17:51.0562 3188	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
05:17:51.0562 3188	NDIS - ok
05:17:51.0609 3188	NdisIP          (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
05:17:51.0609 3188	NdisIP - ok
05:17:51.0640 3188	NdisTapi        (0109c4f3850dfbab279542515386ae22) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
05:17:51.0656 3188	NdisTapi - ok
05:17:51.0687 3188	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
05:17:51.0687 3188	Ndisuio - ok
05:17:51.0718 3188	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
05:17:51.0718 3188	NdisWan - ok
05:17:51.0750 3188	NDProxy         (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
05:17:51.0750 3188	NDProxy - ok
05:17:51.0796 3188	Net Driver HPZ12 (51c6d8bfbd4ea5b62a1ba7f4469250d3) C:\WINDOWS\system32\HPZinw12.dll
05:17:51.0796 3188	Net Driver HPZ12 - ok
05:17:51.0843 3188	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
05:17:51.0843 3188	NetBIOS - ok
05:17:51.0843 3188	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
05:17:51.0859 3188	NetBT - ok
05:17:51.0890 3188	NetDDE          (8ace4251bffd09ce75679fe940e996cc) C:\WINDOWS\system32\netdde.exe
05:17:51.0906 3188	NetDDE - ok
05:17:51.0906 3188	NetDDEdsdm      (8ace4251bffd09ce75679fe940e996cc) C:\WINDOWS\system32\netdde.exe
05:17:51.0906 3188	NetDDEdsdm - ok
05:17:51.0937 3188	Netlogon        (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
05:17:51.0937 3188	Netlogon - ok
05:17:51.0953 3188	Netman          (e6d88f1f6745bf00b57e7855a2ab696c) C:\WINDOWS\System32\netman.dll
05:17:51.0953 3188	Netman - ok
05:17:52.0000 3188	Nla             (f1b67b6b0751ae0e6e964b02821206a3) C:\WINDOWS\System32\mswsock.dll
05:17:52.0000 3188	Nla - ok
05:17:52.0000 3188	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
05:17:52.0000 3188	Npfs - ok
05:17:52.0046 3188	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
05:17:52.0046 3188	Ntfs - ok
05:17:52.0046 3188	NtLmSsp         (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
05:17:52.0062 3188	NtLmSsp - ok
05:17:52.0093 3188	NtmsSvc         (56af4064996fa5bac9c449b1514b4770) C:\WINDOWS\system32\ntmssvc.dll
05:17:52.0109 3188	NtmsSvc - ok
05:17:52.0140 3188	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
05:17:52.0140 3188	Null - ok
05:17:52.0171 3188	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
05:17:52.0171 3188	NwlnkFlt - ok
05:17:52.0171 3188	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
05:17:52.0171 3188	NwlnkFwd - ok
05:17:52.0250 3188	ose             (7a56cf3e3f12e8af599963b16f50fb6a) C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
05:17:52.0250 3188	ose - ok
05:17:52.0281 3188	Parport         (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\drivers\Parport.sys
05:17:52.0281 3188	Parport - ok
05:17:52.0296 3188	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
05:17:52.0296 3188	PartMgr - ok
05:17:52.0328 3188	ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
05:17:52.0328 3188	ParVdm - ok
05:17:52.0328 3188	PCI             (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
05:17:52.0328 3188	PCI - ok
05:17:52.0343 3188	PCIDump - ok
05:17:52.0343 3188	PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
05:17:52.0343 3188	PCIIde - ok
05:17:52.0375 3188	Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
05:17:52.0375 3188	Pcmcia - ok
05:17:52.0375 3188	PDCOMP - ok
05:17:52.0375 3188	PDFRAME - ok
05:17:52.0390 3188	PDRELI - ok
05:17:52.0390 3188	PDRFRAME - ok
05:17:52.0390 3188	perc2 - ok
05:17:52.0406 3188	perc2hib - ok
05:17:52.0453 3188	PlugPlay        (a3edbe9053889fb24ab22492472b39dc) C:\WINDOWS\system32\services.exe
05:17:52.0453 3188	PlugPlay - ok
05:17:52.0484 3188	Pml Driver HPZ12 (79834aa2fbf9fe81eebb229024f6f7fc) C:\WINDOWS\system32\HPZipm12.dll
05:17:52.0500 3188	Pml Driver HPZ12 - ok
05:17:52.0500 3188	PolicyAgent     (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
05:17:52.0500 3188	PolicyAgent - ok
05:17:52.0531 3188	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
05:17:52.0531 3188	PptpMiniport - ok
05:17:52.0546 3188	ProtectedStorage (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
05:17:52.0546 3188	ProtectedStorage - ok
05:17:52.0546 3188	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
05:17:52.0546 3188	PSched - ok
05:17:52.0562 3188	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
05:17:52.0562 3188	Ptilink - ok
05:17:52.0562 3188	ql1080 - ok
05:17:52.0562 3188	Ql10wnt - ok
05:17:52.0562 3188	ql12160 - ok
05:17:52.0578 3188	ql1240 - ok
05:17:52.0578 3188	ql1280 - ok
05:17:52.0609 3188	QV2KUX          (0087f01d35a65b32393cc8bba46ee4a6) C:\WINDOWS\system32\DRIVERS\qv2kux.sys
05:17:52.0609 3188	QV2KUX - ok
05:17:52.0640 3188	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
05:17:52.0640 3188	RasAcd - ok
05:17:52.0671 3188	RasAuto         (f5ba6caccdb66c8f048e867563203246) C:\WINDOWS\System32\rasauto.dll
05:17:52.0671 3188	RasAuto - ok
05:17:52.0703 3188	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
05:17:52.0703 3188	Rasl2tp - ok
05:17:52.0718 3188	RasMan          (f9a7b66ea345726edb5862a46b1eccd5) C:\WINDOWS\System32\rasmans.dll
05:17:52.0734 3188	RasMan - ok
05:17:52.0734 3188	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
05:17:52.0734 3188	RasPppoe - ok
05:17:52.0734 3188	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
05:17:52.0734 3188	Raspti - ok
05:17:52.0750 3188	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
05:17:52.0750 3188	Rdbss - ok
05:17:52.0765 3188	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
05:17:52.0765 3188	RDPCDD - ok
05:17:52.0796 3188	rdpdr           (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
05:17:52.0796 3188	rdpdr - ok
05:17:52.0843 3188	RDPWD           (5b3055daa788bd688594d2f5981f2a83) C:\WINDOWS\system32\drivers\RDPWD.sys
05:17:52.0843 3188	RDPWD - ok
05:17:52.0875 3188	RDSessMgr       (263af18af0f3db99f574c95f284ccec9) C:\WINDOWS\system32\sessmgr.exe
05:17:52.0921 3188	RDSessMgr - ok
05:17:52.0953 3188	redbook         (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
05:17:52.0953 3188	redbook - ok
05:17:52.0984 3188	RemoteAccess    (0e97ec96d6942ceec2d188cc2eb69a01) C:\WINDOWS\System32\mprdim.dll
05:17:52.0984 3188	RemoteAccess - ok
05:17:53.0015 3188	RemoteRegistry  (e4cd1f3d84e1c2ca0b8cf7501e201593) C:\WINDOWS\system32\regsvc.dll
05:17:53.0015 3188	RemoteRegistry - ok
05:17:53.0062 3188	RpcLocator      (2a02e21867497df20b8fc95631395169) C:\WINDOWS\system32\locator.exe
05:17:53.0062 3188	RpcLocator - ok
05:17:53.0109 3188	RpcSs           (3127afbf2c1ed0ab14a1bbb7aaecb85b) C:\WINDOWS\system32\rpcss.dll
05:17:53.0109 3188	RpcSs - ok
05:17:53.0140 3188	RSVP            (4bdd71b4b521521499dfd14735c4f398) C:\WINDOWS\system32\rsvp.exe
05:17:53.0156 3188	RSVP - ok
05:17:53.0203 3188	RTLE8023xp      (41fa2d39c227073a448aa7000b636280) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
05:17:53.0203 3188	RTLE8023xp - ok
05:17:53.0250 3188	SamSs           (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
05:17:53.0250 3188	SamSs - ok
05:17:53.0265 3188	SCardSvr        (dcec079fad95d36c8dd5cb6d779dfe32) C:\WINDOWS\System32\SCardSvr.exe
05:17:53.0281 3188	SCardSvr - ok
05:17:53.0312 3188	Schedule        (a050194a44d7fa8d7186ed2f4e8367ae) C:\WINDOWS\system32\schedsvc.dll
05:17:53.0312 3188	Schedule - ok
05:17:53.0343 3188	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
05:17:53.0343 3188	Secdrv - ok
05:17:53.0375 3188	seclogon        (bee4cfd1d48c23b44cf4b974b0b79b2b) C:\WINDOWS\System32\seclogon.dll
05:17:53.0375 3188	seclogon - ok
05:17:53.0390 3188	SENS            (2aac9b6ed9eddffb721d6452e34d67e3) C:\WINDOWS\system32\sens.dll
05:17:53.0390 3188	SENS - ok
05:17:53.0421 3188	Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\drivers\Serial.sys
05:17:53.0421 3188	Serial - ok
05:17:53.0437 3188	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
05:17:53.0437 3188	Sfloppy - ok
05:17:53.0500 3188	SharedAccess    (cad058d5f8b889a87ca3eb3cf624dcef) C:\WINDOWS\System32\ipnathlp.dll
05:17:53.0500 3188	SharedAccess - ok
05:17:53.0546 3188	ShellHWDetection (2db7d303c36ddd055215052f118e8e75) C:\WINDOWS\System32\shsvcs.dll
05:17:53.0546 3188	ShellHWDetection - ok
05:17:53.0546 3188	Simbad - ok
05:17:53.0593 3188	SLIP            (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
05:17:53.0593 3188	SLIP - ok
05:17:53.0593 3188	Sparrow - ok
05:17:53.0640 3188	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
05:17:53.0640 3188	splitter - ok
05:17:53.0687 3188	Spooler         (60784f891563fb1b767f70117fc2428f) C:\WINDOWS\system32\spoolsv.exe
05:17:53.0687 3188	Spooler - ok
05:17:53.0734 3188	sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
05:17:53.0734 3188	sr - ok
05:17:53.0750 3188	srservice       (fe77a85495065f3ad59c5c65b6c54182) C:\WINDOWS\system32\srsvc.dll
05:17:53.0750 3188	srservice - ok
05:17:53.0781 3188	Srv             (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
05:17:53.0781 3188	Srv - ok
05:17:53.0812 3188	SSDPSRV         (4df5b05dfaec29e13e1ed6f6ee12c500) C:\WINDOWS\System32\ssdpsrv.dll
05:17:53.0812 3188	SSDPSRV - ok
05:17:53.0859 3188	ssmdrv          (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
05:17:53.0859 3188	ssmdrv - ok
05:17:53.0921 3188	stisvc          (bc2c5985611c5356b24aeb370953ded9) C:\WINDOWS\system32\wiaservc.dll
05:17:53.0921 3188	stisvc - ok
05:17:54.0031 3188	StkCMini        (36565318396a9d0a880687d1bb9c7f79) C:\WINDOWS\system32\Drivers\StkCMini.sys
05:17:54.0046 3188	StkCMini - ok
05:17:54.0078 3188	streamip        (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
05:17:54.0078 3188	streamip - ok
05:17:54.0109 3188	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
05:17:54.0109 3188	swenum - ok
05:17:54.0156 3188	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
05:17:54.0156 3188	swmidi - ok
05:17:54.0156 3188	SwPrv - ok
05:17:54.0156 3188	symc810 - ok
05:17:54.0171 3188	symc8xx - ok
05:17:54.0171 3188	sym_hi - ok
05:17:54.0171 3188	sym_u3 - ok
05:17:54.0234 3188	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
05:17:54.0234 3188	sysaudio - ok
05:17:54.0265 3188	SysmonLog       (2903fffa2523926d6219428040dce6b9) C:\WINDOWS\system32\smlogsvc.exe
05:17:54.0265 3188	SysmonLog - ok
05:17:54.0312 3188	TapiSrv         (05903cac4b98908d55ea5774775b382e) C:\WINDOWS\System32\tapisrv.dll
05:17:54.0312 3188	TapiSrv - ok
05:17:54.0359 3188	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
05:17:54.0359 3188	Tcpip - ok
05:17:54.0406 3188	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
05:17:54.0406 3188	TDPIPE - ok
05:17:54.0406 3188	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
05:17:54.0421 3188	TDTCP - ok
05:17:54.0453 3188	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
05:17:54.0453 3188	TermDD - ok
05:17:54.0500 3188	TermService     (b7de02c863d8f5a005a7bf375375a6a4) C:\WINDOWS\System32\termsrv.dll
05:17:54.0500 3188	TermService - ok
05:17:54.0562 3188	Themes          (2db7d303c36ddd055215052f118e8e75) C:\WINDOWS\System32\shsvcs.dll
05:17:54.0562 3188	Themes - ok
05:17:54.0593 3188	TlntSvr         (03681a1ce77f51586903869a5ab1deab) C:\WINDOWS\system32\tlntsvr.exe
05:17:54.0593 3188	TlntSvr - ok
05:17:54.0609 3188	TosIde - ok
05:17:54.0640 3188	TrkWks          (626504572b175867f30f3215c04b3e2f) C:\WINDOWS\system32\trkwks.dll
05:17:54.0640 3188	TrkWks - ok
05:17:54.0671 3188	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
05:17:54.0671 3188	Udfs - ok
05:17:54.0671 3188	ultra - ok
05:17:54.0718 3188	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
05:17:54.0734 3188	Update - ok
05:17:54.0765 3188	upnphost        (1dfd8975d8c89214b98d9387c1125b49) C:\WINDOWS\System32\upnphost.dll
05:17:54.0781 3188	upnphost - ok
05:17:54.0781 3188	UPS             (9b11e6118958e63e1fef129466e2bda7) C:\WINDOWS\System32\ups.exe
05:17:54.0781 3188	UPS - ok
05:17:54.0812 3188	usbaudio        (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
05:17:54.0812 3188	usbaudio - ok
05:17:54.0843 3188	usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
05:17:54.0843 3188	usbccgp - ok
05:17:54.0859 3188	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
05:17:54.0859 3188	usbehci - ok
05:17:54.0859 3188	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
05:17:54.0859 3188	usbhub - ok
05:17:54.0890 3188	usbprint        (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
05:17:54.0890 3188	usbprint - ok
05:17:54.0906 3188	usbstor         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
05:17:54.0906 3188	usbstor - ok
05:17:54.0921 3188	usbuhci         (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
05:17:54.0921 3188	usbuhci - ok
05:17:54.0953 3188	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
05:17:54.0953 3188	VgaSave - ok
05:17:54.0968 3188	ViaIde - ok
05:17:55.0000 3188	VolSnap         (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
05:17:55.0000 3188	VolSnap - ok
05:17:55.0031 3188	VSS             (68f106273be29e7b7ef8266977268e78) C:\WINDOWS\System32\vssvc.exe
05:17:55.0046 3188	VSS - ok
05:17:55.0078 3188	W32Time         (7b353059e665f8b7ad2bbeaef597cf45) C:\WINDOWS\system32\w32time.dll
05:17:55.0093 3188	W32Time - ok
05:17:55.0109 3188	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
05:17:55.0109 3188	Wanarp - ok
05:17:55.0109 3188	WDICA - ok
05:17:55.0156 3188	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
05:17:55.0156 3188	wdmaud - ok
05:17:55.0171 3188	WebClient       (81727c9873e3905a2ffc1ebd07265002) C:\WINDOWS\System32\webclnt.dll
05:17:55.0171 3188	WebClient - ok
05:17:55.0265 3188	winmgmt         (6f3f3973d97714cc5f906a19fe883729) C:\WINDOWS\system32\wbem\WMIsvc.dll
05:17:55.0265 3188	winmgmt - ok
05:17:55.0312 3188	WmdmPmSN        (6e18978b749f0696a774de3f2cb142dd) C:\WINDOWS\system32\mspmsnsv.dll
05:17:55.0312 3188	WmdmPmSN - ok
05:17:55.0375 3188	Wmi             (ffa4d901d46d07a5bab2d8307fbb51a6) C:\WINDOWS\System32\advapi32.dll
05:17:55.0390 3188	Wmi - ok
05:17:55.0421 3188	WmiAcpi         (c42584fd66ce9e17403aebca199f7bdb) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
05:17:55.0421 3188	WmiAcpi - ok
05:17:55.0468 3188	WmiApSrv        (93908111ba57a6e60ec2fa2de202105c) C:\WINDOWS\system32\wbem\wmiapsrv.exe
05:17:55.0468 3188	WmiApSrv - ok
05:17:55.0515 3188	wscsvc          (300b3e84faf1a5c1f791c159ba28035d) C:\WINDOWS\system32\wscsvc.dll
05:17:55.0515 3188	wscsvc - ok
05:17:55.0546 3188	WSTCODEC        (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
05:17:55.0546 3188	WSTCODEC - ok
05:17:55.0562 3188	wuauserv        (7b4fe05202aa6bf9f4dfd0e6a0d8a085) C:\WINDOWS\system32\wuauserv.dll
05:17:55.0562 3188	wuauserv - ok
05:17:55.0609 3188	WZCSVC          (c4f109c005f6725162d2d12ca751e4a7) C:\WINDOWS\System32\wzcsvc.dll
05:17:55.0609 3188	WZCSVC - ok
05:17:55.0656 3188	xmlprov         (0ada34871a2e1cd2caafed1237a47750) C:\WINDOWS\System32\xmlprov.dll
05:17:55.0656 3188	xmlprov - ok
05:17:55.0687 3188	MBR (0x1B8)     (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
05:17:55.0875 3188	\Device\Harddisk0\DR0 - ok
05:17:55.0875 3188	MBR (0x1B8)     (08b26729634452d0c2889c002b1bb97c) \Device\Harddisk1\DR6
05:17:56.0593 3188	\Device\Harddisk1\DR6 - ok
05:17:56.0593 3188	Boot (0x1200)   (cf58d2bf681277f731fd2eccc12fc1ca) \Device\Harddisk0\DR0\Partition0
05:17:56.0593 3188	\Device\Harddisk0\DR0\Partition0 - ok
05:17:56.0593 3188	Boot (0x1200)   (4359f8c41a1437362e9d7834ecd0cbf1) \Device\Harddisk1\DR6\Partition0
05:17:56.0593 3188	\Device\Harddisk1\DR6\Partition0 - ok
05:17:56.0609 3188	============================================================
05:17:56.0609 3188	Scan finished
05:17:56.0609 3188	============================================================
05:17:56.0609 0512	Detected object count: 0
05:17:56.0609 0512	Actual detected object count: 0
05:19:48.0343 3992	Deinitialize success
         
Nur, wie gesagt: einn OTL.txt ist bei mir nicht aufgepoppt und auch nicht zu finden.

Alt 15.05.2012, 22:48   #9
Psychotic
/// Malwareteam
 
Vrschlüsselungstrojaner - wie starten? - Standard

Vrschlüsselungstrojaner - wie starten?



Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
    Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 16.05.2012, 00:27   #10
jonni
 
Vrschlüsselungstrojaner - wie starten? - Standard

Vrschlüsselungstrojaner - wie starten?



combofix-log
Combofix Logfile:
Code:
ATTFilter
ComboFix 12-05-15.04 - user1 16.05.2012   0:12.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2013.1463 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\user1\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\1903124msHTMLEdit.html
c:\dokumente und einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\1967616msHTMLEdit.html
c:\dokumente und einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\1967616rmpStyle.css
c:\dokumente und einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\2753222msHTMLEdit.html
c:\dokumente und einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\2753222rmpStyle.css
c:\dokumente und einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\7538970msHTMLEdit.html
c:\dokumente und einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\7538970rmpStyle.css
c:\dokumente und einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\853976msHTMLEdit.html
c:\dokumente und einstellungen\user1\Lokale Einstellungen\Temporary Internet Files\853976rmpStyle.css
c:\dokumente und einstellungen\user1\WINDOWS
c:\windows\unin0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-04-15 bis 2012-05-15  ))))))))))))))))))))))))))))))
.
.
2012-05-15 02:52 . 2012-05-15 02:52	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2012-05-15 02:51 . 2012-05-15 02:51	--------	d-----w-	C:\_OTL
2012-05-15 02:48 . 2012-05-15 02:48	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Eigene Dateien
2012-05-07 16:23 . 2012-05-07 17:45	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0
2012-05-07 09:41 . 2012-05-07 09:41	--------	d-----w-	c:\dokumente und einstellungen\user1\Anwendungsdaten\Pnfk
2012-05-04 12:46 . 2012-05-04 12:46	--------	d-----w-	c:\dokumente und einstellungen\user1\Anwendungsdaten\Search Settings
2012-05-04 12:46 . 2012-05-04 12:46	--------	d-----w-	c:\programme\pdfforge Toolbar
2012-05-04 12:46 . 2012-05-04 12:46	--------	d-----w-	c:\programme\Gemeinsame Dateien\Spigot
2012-05-04 12:46 . 2012-05-04 12:46	--------	d-----w-	c:\programme\Application Updater
2012-04-17 10:31 . 2012-04-17 10:31	49152	----a-r-	c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{7B4174E8-FE92-4269-808A-3B8D116D9538}\NewShortcut8_7B4174E8FE924269808A3B8D116D9538.exe
2012-04-17 10:31 . 2012-04-17 10:31	49152	----a-r-	c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{7B4174E8-FE92-4269-808A-3B8D116D9538}\NewShortcut7_7B4174E8FE924269808A3B8D116D9538.exe
2012-04-17 10:31 . 2012-04-17 10:31	49152	----a-r-	c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{7B4174E8-FE92-4269-808A-3B8D116D9538}\NewShortcut5_7B4174E8FE924269808A3B8D116D9538_1.exe
2012-04-17 10:31 . 2012-04-17 10:31	--------	d-----w-	c:\programme\MAPILab Ltd
2012-04-17 10:30 . 2012-04-17 10:30	--------	d-----w-	c:\dokumente und einstellungen\user1\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-11 13:51 . 2008-04-14 07:30	2029056	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-04-11 13:51 . 2008-04-14 12:00	2150912	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-04-11 13:51 . 2008-04-14 12:00	1862400	----a-w-	c:\windows\system32\win32k.sys
2012-03-01 11:00 . 2008-04-14 12:00	916992	----a-w-	c:\windows\system32\wininet.dll
2012-03-01 11:00 . 2008-04-14 12:00	43520	------w-	c:\windows\system32\licmgr10.dll
2012-03-01 11:00 . 2008-04-14 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-02-29 14:09 . 2008-04-14 12:00	177664	----a-w-	c:\windows\system32\wintrust.dll
2012-02-29 14:09 . 2008-04-14 12:00	148480	----a-w-	c:\windows\system32\imagehlp.dll
2012-02-29 12:17 . 2008-04-14 12:00	385024	------w-	c:\windows\system32\html.iec
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2010-02-25 18791456]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-09-28 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-09-28 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-09-28 142872]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"hpqSRMon"="c:\programme\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]
"SfWinStartInfo"="c:\programme\SFirm\sfWinStartupInfo.exe" [2010-12-20 128392]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"SearchSettings"="c:\programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe" [2012-04-23 983904]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\user1\Startmenü\Programme\Autostart\
Hardcopy.LNK - c:\programme\Hardcopy\hardcopy.exe [2012-4-10 3537920]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
Synchredible.lnk - c:\programme\ASCOMP Software\Synchredible\synchredible.exe [2012-3-7 6551856]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLinkedConnections"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=
"c:\\Programme\\Akademie Witthöft\\IpaAkademie.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.09.2011 14:49 136360]
R2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [23.04.2012 20:38 785304]
S2 gupdate;Google Update-Dienst (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [30.09.2011 17:02 136176]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [30.09.2011 17:02 136176]
S3 StkCMini;Syntek AVStream USB2.0 ATV;c:\windows\system32\drivers\StkCMini.sys [30.11.2011 16:36 1521544]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 04844544
*NewlyCreated* - 22959014
*Deregistered* - 04844544
*Deregistered* - 22959014
*Deregistered* - ugrdqpow
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2012-05-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-09-30 15:02]
.
2012-05-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-09-30 15:02]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.witthoeft.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.1
DPF: {173D9E48-B527-4AA0-A929-30B446002AA8} - hxxp://tsw.dyndns.tv:5400/DVRemoteAx.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-05-16 00:16
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-05-16  00:17:04
ComboFix-quarantined-files.txt  2012-05-15 22:17
.
Vor Suchlauf: 12 Verzeichnis(se), 285.734.051.840 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 287.244.283.904 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 4B48848FEFE3A95805E5BB9343758924
         
--- --- ---

Alt 16.05.2012, 07:50   #11
Psychotic
/// Malwareteam
 
Vrschlüsselungstrojaner - wie starten? - Standard

Vrschlüsselungstrojaner - wie starten?



CF-Script


Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
ATTFilter
DIRLOOK::
c:\dokumente und einstellungen\user1\Anwendungsdaten\Pnfk
         
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:
  • Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
  • Mache nichts am PC solange ComboFix läuft.
  • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 16.05.2012, 17:53   #12
jonni
 
Vrschlüsselungstrojaner - wie starten? - Standard

Vrschlüsselungstrojaner - wie starten?



So, auch das.
Combofix hatte ich mir von "BleepingComputer" herunter geladen. Beim Start hat mich Combofix gefragt, ob eine neue Version geladen werden soll. Mangels Internetverbindung am betreffenden PC habe ich "Nein" gesagt.

Hier das Logfile:

combofix.txt
Combofix Logfile:
Code:
ATTFilter
ComboFix 12-05-16.01 - user1 16.05.2012  17:43:52.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2013.1499 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\user1\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: e:\tools_apps\AntiMalware\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-04-16 bis 2012-05-16  ))))))))))))))))))))))))))))))
.
.
2012-05-15 02:52 . 2012-05-15 02:52	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2012-05-15 02:51 . 2012-05-15 02:51	--------	d-----w-	C:\_OTL
2012-05-15 02:48 . 2012-05-15 02:48	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Eigene Dateien
2012-05-07 16:23 . 2012-05-07 17:45	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0
2012-05-07 09:41 . 2012-05-07 09:41	--------	d-----w-	c:\dokumente und einstellungen\user1\Anwendungsdaten\Pnfk
2012-05-04 12:46 . 2012-05-04 12:46	--------	d-----w-	c:\dokumente und einstellungen\user1\Anwendungsdaten\Search Settings
2012-05-04 12:46 . 2012-05-04 12:46	--------	d-----w-	c:\programme\pdfforge Toolbar
2012-05-04 12:46 . 2012-05-04 12:46	--------	d-----w-	c:\programme\Gemeinsame Dateien\Spigot
2012-05-04 12:46 . 2012-05-04 12:46	--------	d-----w-	c:\programme\Application Updater
2012-04-17 10:31 . 2012-04-17 10:31	49152	----a-r-	c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{7B4174E8-FE92-4269-808A-3B8D116D9538}\NewShortcut8_7B4174E8FE924269808A3B8D116D9538.exe
2012-04-17 10:31 . 2012-04-17 10:31	49152	----a-r-	c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{7B4174E8-FE92-4269-808A-3B8D116D9538}\NewShortcut7_7B4174E8FE924269808A3B8D116D9538.exe
2012-04-17 10:31 . 2012-04-17 10:31	49152	----a-r-	c:\dokumente und einstellungen\user1\Anwendungsdaten\Microsoft\Installer\{7B4174E8-FE92-4269-808A-3B8D116D9538}\NewShortcut5_7B4174E8FE924269808A3B8D116D9538_1.exe
2012-04-17 10:31 . 2012-04-17 10:31	--------	d-----w-	c:\programme\MAPILab Ltd
2012-04-17 10:30 . 2012-04-17 10:30	--------	d-----w-	c:\dokumente und einstellungen\user1\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-11 13:51 . 2008-04-14 07:30	2029056	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-04-11 13:51 . 2008-04-14 12:00	2150912	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-04-11 13:51 . 2008-04-14 12:00	1862400	----a-w-	c:\windows\system32\win32k.sys
2012-03-01 11:00 . 2008-04-14 12:00	916992	----a-w-	c:\windows\system32\wininet.dll
2012-03-01 11:00 . 2008-04-14 12:00	43520	------w-	c:\windows\system32\licmgr10.dll
2012-03-01 11:00 . 2008-04-14 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-02-29 14:09 . 2008-04-14 12:00	177664	----a-w-	c:\windows\system32\wintrust.dll
2012-02-29 14:09 . 2008-04-14 12:00	148480	----a-w-	c:\windows\system32\imagehlp.dll
2012-02-29 12:17 . 2008-04-14 12:00	385024	------w-	c:\windows\system32\html.iec
.
.
((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\dokumente und einstellungen\user1\Anwendungsdaten\Pnfk ----
.
2012-05-07 09:41 . 2012-05-07 09:41	69120	---ha-w-	c:\dokumente und einstellungen\user1\Anwendungsdaten\Pnfk\52861A738CB5BCC17C40.exe
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-05-15_22.16.06   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-14 12:00 . 2012-05-15 01:21	40972              c:\windows\system32\perfc009.dat
+ 2008-04-14 12:00 . 2012-05-16 15:40	40972              c:\windows\system32\perfc009.dat
- 2008-04-14 12:00 . 2012-05-15 01:21	49372              c:\windows\system32\perfc007.dat
+ 2008-04-14 12:00 . 2012-05-16 15:40	49372              c:\windows\system32\perfc007.dat
+ 2008-04-14 12:00 . 2012-05-16 15:40	314644              c:\windows\system32\perfh009.dat
- 2008-04-14 12:00 . 2012-05-15 01:21	314644              c:\windows\system32\perfh009.dat
+ 2008-04-14 12:00 . 2012-05-16 15:40	320424              c:\windows\system32\perfh007.dat
- 2008-04-14 12:00 . 2012-05-15 01:21	320424              c:\windows\system32\perfh007.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2010-02-25 18791456]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-09-28 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-09-28 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-09-28 142872]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"hpqSRMon"="c:\programme\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]
"SfWinStartInfo"="c:\programme\SFirm\sfWinStartupInfo.exe" [2010-12-20 128392]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"SearchSettings"="c:\programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe" [2012-04-23 983904]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\user1\Startmenü\Programme\Autostart\
Hardcopy.LNK - c:\programme\Hardcopy\hardcopy.exe [2012-4-10 3537920]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
Synchredible.lnk - c:\programme\ASCOMP Software\Synchredible\synchredible.exe [2012-3-7 6551856]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLinkedConnections"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=
"c:\\Programme\\Akademie Witthöft\\IpaAkademie.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.09.2011 14:49 136360]
R2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [23.04.2012 20:38 785304]
S2 gupdate;Google Update-Dienst (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [30.09.2011 17:02 136176]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [30.09.2011 17:02 136176]
S3 StkCMini;Syntek AVStream USB2.0 ATV;c:\windows\system32\drivers\StkCMini.sys [30.11.2011 16:36 1521544]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2012-05-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-09-30 15:02]
.
2012-05-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-09-30 15:02]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.witthoeft.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.1
DPF: {173D9E48-B527-4AA0-A929-30B446002AA8} - hxxp://tsw.dyndns.tv:5400/DVRemoteAx.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-05-16 17:47
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(1396)
c:\programme\Hardcopy\HcDLL2_36_Win32.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2012-05-16  17:48:38
ComboFix-quarantined-files.txt  2012-05-16 15:48
ComboFix2.txt  2012-05-15 22:17
.
Vor Suchlauf: 15 Verzeichnis(se), 287.223.533.568 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 287.212.478.464 Bytes frei
.
- - End Of File - - F47BFC6FA050529286342CBDC50A374A
         
--- --- ---

Alt 21.05.2012, 08:16   #13
Psychotic
/// Malwareteam
 
Vrschlüsselungstrojaner - wie starten? - Standard

Vrschlüsselungstrojaner - wie starten?



Schritt 1: CF-Script


Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
ATTFilter
FOLDER::
C:\dokumente und einstellungen\user1\Anwendungsdaten\Pnfk
CLEARJAVACACHE::
         
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:
  • Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
  • Mache nichts am PC solange ComboFix läuft.
  • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.


Schritt 2: MBAM


Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen.(Hinweis: Alle Festplatten anhaken!
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 22.05.2012, 14:14   #14
Psychotic
/// Malwareteam
 
Vrschlüsselungstrojaner - wie starten? - Standard

Vrschlüsselungstrojaner - wie starten?



Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 23.05.2012, 07:34   #15
jonni
 
Vrschlüsselungstrojaner - wie starten? - Standard

Vrschlüsselungstrojaner - wie starten?



Guten Morgen,

der PC hat eine neue Festplatte mit einem frischen System bekommen.
Vielen Dank für Deine Hilfe.

Antwort

Themen zu Vrschlüsselungstrojaner - wie starten?
abgesicherter, abgesicherter modus möglich, aktiviert, anderer, automatisch, einzige, einzigen, haken, kein abgesicherter modus möglich, laden, local, modus, nutzer, profile, scan, scanner, services, sp3, starte, starten, startet, stelle, verschicken, verschlüsselungs, veschlüsselungstrojaner boot-cd, windows, windows xp, öffnen



Ähnliche Themen: Vrschlüsselungstrojaner - wie starten?


  1. Fehlermeldung beim Starten von Win 8.1 - RunDll Problem bei Starten Falscher Parameter
    Alles rund um Windows - 04.10.2015 (13)
  2. Windows 7 Firewall ist deaktiviert und lässt sich nicht starten & Basisfiltermodul lässt sich nicht starten
    Plagegeister aller Art und deren Bekämpfung - 23.06.2015 (15)
  3. Windows 7: Spiele starten nicht mehr und PC starten funktioniert manchmal nicht
    Plagegeister aller Art und deren Bekämpfung - 08.05.2015 (17)
  4. PC FAN ERROR BEIM STARTEN DES PC's
    Netzwerk und Hardware - 03.01.2014 (3)
  5. Win 7 Programme starten nicht
    Plagegeister aller Art und deren Bekämpfung - 18.08.2013 (3)
  6. PC friert beim Starten eines Browsers ein oder das Starten des PC`s läuft "schief"
    Log-Analyse und Auswertung - 12.05.2013 (3)
  7. trotz kazy exe starten
    Plagegeister aller Art und deren Bekämpfung - 07.09.2012 (1)
  8. Starten vom XP ging nicht
    Alles rund um Windows - 15.01.2012 (3)
  9. Piepen beim Starten des PCs
    Log-Analyse und Auswertung - 14.09.2011 (1)
  10. Worldshift will nicht Starten
    Alles rund um Windows - 19.04.2011 (6)
  11. Problem beim Starten
    Alles rund um Windows - 14.11.2008 (19)
  12. Programme, die nicht starten
    Log-Analyse und Auswertung - 26.08.2008 (12)
  13. PC starten ab und an neu
    Log-Analyse und Auswertung - 17.01.2008 (1)
  14. XP und Programme starten im langsamer!
    Log-Analyse und Auswertung - 12.08.2007 (6)
  15. Probleme beim Starten
    Log-Analyse und Auswertung - 11.03.2007 (2)
  16. starten nur im abgesicherten modus?
    Log-Analyse und Auswertung - 01.02.2006 (6)
  17. Fehler beim Starten
    Log-Analyse und Auswertung - 20.09.2005 (2)

Zum Thema Vrschlüsselungstrojaner - wie starten? - Hallo, ich habe hier einen PC mit Windows XP pro SP3 auf dem der Verschlüsselungstrojaner durch öffnen eines Mailanhangs aktiviert wurde. Da kein abgesicherter Modus möglich ist habe ich mir - Vrschlüsselungstrojaner - wie starten?...
Archiv
Du betrachtest: Vrschlüsselungstrojaner - wie starten? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.