Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.05.2012, 22:35   #1
atca
 
Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup? - Standard

Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?



Hallo,

mein Bürosystem ist ein Windows XP System, Windows jeweils auf dem aktuellen Stand.

Ca. Anfang März dieses Jahres habe ich mir auf diesem System eine Infektion mit einer Version des "Bundespolizeivirus" geholt. Mit einer Kaspersky-Boot-CD ist es mit dann letztlich gelungen, den PC wieder lauffähig zu machen, zumindest vordergründig.

Da alles wieder normal lief, dachte ich, das Problem sei behoben.

Vor gut zwei Wochen wurde dann Ende April mein ebay-Account gehackt. Die Neueinrichtigung des Passwortes habe ich dann auch vom Büro aus vorgenommen. Kurz darauf, noch innerhalb eines Tages, war mein neues ebay-Passwort schon wieder geändert worden. Das war für mich völlig neu und erschreckend zugleich.

Erst dann bin ich darauf gekommen, dass sich auf dem PC wohl ein Keylogger eingerichtet haben muß. Da mir außer dem Bundespolizei-Virus zuvor nichts aufgefallen war, dachte ich, dass es damit zusammenhängt.

Anschließend habe ich Scans mit Security Essentials und MBAM gemacht. Security Essentilas aber insbesondere auch MBAM haben zwei drei Sachen gefunden, allerdings weiß ich nicht mehr, was es war. Ich wollte ohnehin bei nächster Gelegenheit ein Image zurückspielen und die fehlenden Daten wieder ergänzen.

Heute habe ich heute nach Formatierung des Systemlaufwerkes ein Acronis-Image zurückgespielt. Dieses habe ich anschließend mit Security Essentials auf aktuellem Stand ohne Befund vollgescannt.
Danach habe ich einen Vollscan von Spyware-Terminator laufen lassen, ebenfalls ohne Befund.

Zu guter letzt habe ich mich dann noch für MBAM entschieden. Und MBAM findet im Quickscan jetzt folgendes:

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 189358
Laufzeit: 3 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\WINDOWS\Temp\TMP00000001F2FC1F03AC2AE68D (Trojan.Dropper) -> Keine Aktion durchgeführt.

(Ende)


Komisch erscheint mir dabei, dass die angeblich infizierte Datei keine Endung trägt, und 256kb groß ist, so wie mehrere weitere ähnlich bezeichnete "TMP0000....."-Dateien gleicher Größe.

Danach habe ich laut Eurer Anleitung Scans mit dds und danach mir GMER gemacht.

Die Ergebnisse habe ich angefügt.

Mich interessiert nun, ob ich den MBAM-Fund in den temporären Dateien einfach löschen und das System weiter nutzen kann oder ob es weiterhin Anzeichen für eine ernsthafte Gefährdung gibt, d.h. bereits zum Zeitpunkt der Erstellung des Acronis Image nicht zu beseitigende Schadsoftware auf dem System vorhanden war.

Da das Neuaufsetzen sehr zeitaufwendig wäre und genau dies durch die Fertigung eines Acronis Image vermieden werden sollte, wäre ich dankbar, wenn es auch ohne dies ginge, das System im jetzigen Zustand weiter zu nutzen und ggf. noch besser abzusichern.

Im Voraus schon vielen Dank für Eure Engagement,

Markus

Alt 21.05.2012, 14:04   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup? - Standard

Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?



Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________

__________________

Alt 22.05.2012, 17:25   #3
atca
 
Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup? - Standard

Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?



Hallo Cosinus,

hab´s erst heute geschafft:

zuerst Vollscan von Malwarebytes:

Code:
ATTFilter
 Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.22.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
WKST2 :: WKST2-0BB47DDCB [Administrator]

22.05.2012 08:58:53
mbam-log-2012-05-22 (08-58-53).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 243841
Laufzeit: 3 Stunde(n), 41 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\WINDOWS\Temp\TMP00000001F2FC1F03AC2AE68D (Trojan.Dropper) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
und anschließend von ESET:

Code:
ATTFilter
 ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=031bb320f9749a42b25a04a5a905d87a
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-22 04:09:57
# local_time=2012-05-22 06:09:57 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=5891 16776533 42 92 651 5431322 0 0
# compatibility_mode=7937 16777214 28 75 256035 4788106 0 0
# compatibility_mode=8192 67108863 100 0 1931 1931 0 0
# scanned=57972
# found=0
# cleaned=0
# scan_time=6223
         
Und nun?
__________________

Alt 22.05.2012, 19:19   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup? - Standard

Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?



Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.05.2012, 20:28   #5
atca
 
Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup? - Standard

Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?



Hallo,

nein, leider nicht. Hatte Malwarebytes bei Erstellung des zurückgespielten Acronis Image noch nicht installiert. Deswegen hab ich keine weiteren Logs davon.

Viele Grüße,
Markus


Alt 22.05.2012, 20:38   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup? - Standard

Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?



Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Setze oben mittig den Haken bei Scanne alle Benutzer
  • Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
--> Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?

Alt 22.05.2012, 20:44   #7
atca
 
Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup? - Standard

Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?



Hallo,

ok. Danke, den OTL-Scan werd ich morgen machen. Komme jetzt nicht an den Rechner. Bedeutet "schließe alle Programme" auch, den im Hintergrund laufenden Spyware- und Virenschutz vor dem Scan zu deaktivieren?

Grüße,
Markus

Alt 22.05.2012, 20:47   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup? - Standard

Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?



Ja nach Möglichkeit alles deaktivieren bzw beenden
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.05.2012, 08:52   #9
atca
 
Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup? - Standard

Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?



Guten Morgen,

anbei das Ergebnis des OTL-Scans:

OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 23.05.2012 09:29:53 - Run 1
OTL by OldTimer - Version 3.2.43.1     Folder = C:\Dokumente und Einstellungen\WKST2\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,37 Gb Total Physical Memory | 0,97 Gb Available Physical Memory | 70,40% Memory free
1,79 Gb Paging File | 1,50 Gb Available in Paging File | 83,58% Paging File free
Paging file location(s): C:\pagefile.sys 576 1152 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,06 Gb Total Space | 27,42 Gb Free Space | 70,19% Space Free | Partition Type: NTFS
Drive D: | 40,02 Gb Total Space | 12,17 Gb Free Space | 30,42% Space Free | Partition Type: NTFS
Drive R: | 24,47 Gb Total Space | 16,02 Gb Free Space | 65,48% Space Free | Partition Type: NTFS
 
Computer Name: WKST2-0BB47DDCB | User Name: WKST2 | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.05.23 09:23:01 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\WKST2\Desktop\OTL.exe
PRC - [2012.05.20 16:35:39 | 000,161,736 | ---- | M] (Oracle Corporation) -- C:\Programme\Java\jre7\bin\jqs.exe
PRC - [2012.03.28 06:24:50 | 000,482,992 | ---- | M] (Crawler.com) -- C:\Programme\Spyware Terminator\st_rsser.exe
PRC - [2012.03.26 17:03:40 | 000,011,552 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\MsMpEng.exe
PRC - [2012.01.17 11:07:54 | 000,252,296 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2006.07.13 16:59:48 | 000,131,131 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
PRC - [2006.07.13 16:59:32 | 000,065,599 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
PRC - [2006.04.03 18:04:02 | 000,020,543 | ---- | M] (Apache Software Foundation) -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
PRC - [2005.10.14 20:00:38 | 001,005,386 | ---- | M] (Acronis) -- C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
PRC - [2005.10.14 20:00:38 | 000,172,032 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
PRC - [2005.10.14 20:00:38 | 000,118,784 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2006.07.13 06:19:00 | 000,466,944 | ---- | M] () -- C:\WINDOWS\system32\nvshell.dll
MOD - [2006.04.03 18:04:02 | 000,876,544 | ---- | M] () -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\libeay32.dll
MOD - [2006.04.03 18:04:02 | 000,159,744 | ---- | M] () -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\ssleay32.dll
MOD - [2006.04.03 18:04:02 | 000,024,691 | ---- | M] () -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\modules\mod_auth.so
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)
SRV - [2012.05.21 10:13:39 | 000,257,696 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.05.20 16:35:39 | 000,161,736 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2012.05.19 16:43:01 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.03.28 06:24:50 | 000,482,992 | ---- | M] (Crawler.com) [Auto | Running] -- C:\Programme\Spyware Terminator\st_rsser.exe -- (ST2012_Svc)
SRV - [2012.03.26 17:03:40 | 000,011,552 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Programme\Microsoft Security Client\MsMpEng.exe -- (MsMpSvc)
SRV - [2010.02.26 12:05:42 | 000,176,128 | ---- | M] (OLYMPUS IMAGING CORP.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Olympus Shared\DeviceManager\olydvrsv.exe -- (Olympus DVR Service)
SRV - [2006.07.13 16:59:48 | 000,131,131 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe -- (nSvcIp)
SRV - [2006.07.13 16:59:32 | 000,065,599 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe -- (nSvcLog)
SRV - [2006.04.03 18:04:02 | 000,020,543 | ---- | M] (Apache Software Foundation) [Auto | Running] -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe -- (ForcewareWebInterface)
SRV - [2005.10.14 20:00:38 | 000,172,032 | ---- | M] (Acronis) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2003.07.28 13:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2012.02.04 13:05:27 | 000,393,088 | ---- | M] (Sensaura) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\senfilt.sys -- (SenFiltService)
DRV - [2011.09.21 11:25:34 | 000,021,992 | ---- | M] (CPUID) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\cpuz135_x32.sys -- (cpuz135)
DRV - [2011.06.21 11:24:06 | 000,032,768 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\sp_rsdrv2.sys -- (sp_rsdrv2)
DRV - [2010.06.11 13:02:36 | 000,249,152 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\timntr.sys -- (timounter)
DRV - [2010.06.11 13:02:36 | 000,030,688 | ---- | M] (Acronis) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\tifsfilt.sys -- (tifsfilter)
DRV - [2010.06.11 13:02:25 | 000,096,320 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\snapman.sys -- (snapman)
DRV - [2006.07.12 14:38:30 | 000,020,480 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2006.07.12 14:38:28 | 000,057,856 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2006.07.01 23:30:28 | 000,043,520 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)
DRV - [2006.03.17 02:51:32 | 000,099,840 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\NvAtaBus.sys -- (nvatabus)
DRV - [2005.12.20 18:00:00 | 000,005,685 | R--- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AsIO.sys -- (AsIO)
DRV - [2004.08.11 18:00:00 | 000,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-1229272821-308236825-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\S-1-5-21-1229272821-308236825-839522115-1003\..\SearchScopes,DefaultScope = {15FB1A5F-2F8C-4902-9FA1-BD38468B4217}
IE - HKU\S-1-5-21-1229272821-308236825-839522115-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1229272821-308236825-839522115-1003\..\SearchScopes\{15FB1A5F-2F8C-4902-9FA1-BD38468B4217}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKU\S-1-5-21-1229272821-308236825-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..network.proxy.type: 0
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.4.0: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.4.0: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.05.19 16:43:03 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
 
[2011.05.13 17:25:58 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\WKST2\Anwendungsdaten\Mozilla\Extensions
[2012.05.19 16:47:18 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\WKST2\Anwendungsdaten\Mozilla\Firefox\Profiles\sb5lttml.default\extensions
[2011.05.13 17:07:54 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.05.19 16:43:02 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.05.19 16:42:57 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.05.19 16:42:57 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.05.19 16:42:57 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.05.19 16:42:57 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.05.19 16:42:57 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.05.19 16:42:57 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.04 12:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [MSC] c:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SpywareTerminatorShield] C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe (Crawler.com)
O4 - HKLM..\Run: [SpywareTerminatorUpdater] C:\Programme\Spyware Terminator\SpywareTerminatorUpdate.exe (Crawler.com)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe (Acronis)
O4 - Startup: C:\Dokumente und Einstellungen\WKST2\Startmenü\Programme\Autostart\klickTel OEM Frühjahr 2010 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel OEM Frühjahr 2010\KSTART32.EXE (telegate MEDIA AG)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1229272821-308236825-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {0067DBFC-A752-458C-AE6E-B9C7E63D4824} hxxp://www.logitech.com/devicedetector/plugins/LogitechDeviceDetection32.cab (Geräteerkennung)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{7B9CDB97-0121-4EEF-A766-6DCB2017D291}: NameServer = 192.168.0.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O30 - LSA: Authentication Packages - (relog_ap) - C:\WINDOWS\System32\relog_ap.dll (Acronis)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.05.21 11:04:33 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
NetSvcs: 6to4 -  File not found
NetSvcs: HidServ - %SystemRoot%\System32\hidserv.dll File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
 
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: MsMpSvc - c:\Programme\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: sermouse.sys - Driver
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: vds - Service
SafeBootMin: vga.sys - Driver
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: MsMpSvc - c:\Programme\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: sermouse.sys - Driver
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: vga.sys - Driver
SafeBootNet: {1a3e09be-1e45-494b-9174-d7385b45bbf5} - Reg Error: Value error.
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
ActiveX: {05466845-FF44-4671-92C1-A5FD0F9EEE1C} - Microsoft Reader
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.8
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {B508B3F1-A24A-32C0-B310-85786919EF28} - .NET Framework
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\INF\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.05.23 09:23:56 | 000,595,968 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\WKST2\Desktop\OTL.exe
[2012.05.22 15:59:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SecCommerce SecSigner
[2012.05.22 15:59:52 | 000,000,000 | ---D | C] -- C:\Programme\SecCommerce
[2012.05.22 15:59:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer
[2012.05.22 15:54:03 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2012.05.21 14:58:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Office Live Add-in
[2012.05.21 14:58:10 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft
[2012.05.21 09:36:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\WKST2\Lokale Einstellungen\Anwendungsdaten\Sun
[2012.05.20 16:46:14 | 000,607,260 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\WKST2\Desktop\dds.com
[2012.05.20 16:46:14 | 000,607,260 | ---- | C] (Swearware) -- C:\Dokumente und Einstellungen\WKST2\Desktop\dds.scr
[2012.05.20 16:37:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2012.05.20 16:37:31 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2012.05.20 16:35:25 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2012.05.19 18:07:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\WKST2\Anwendungsdaten\Sun
[2012.05.19 17:18:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\WKST2\Anwendungsdaten\Spyware Terminator
[2012.05.19 17:18:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator
[2012.05.19 17:18:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spyware Terminator 2012
[2012.05.19 17:17:26 | 000,000,000 | ---D | C] -- C:\Programme\Spyware Terminator
[2012.05.19 16:47:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\WKST2\Anwendungsdaten\Malwarebytes
[2012.05.19 16:47:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.05.19 16:47:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.05.19 16:47:05 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.05.19 16:47:05 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.05.19 16:43:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla
[2012.05.19 16:43:05 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Maintenance Service
[9 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.05.23 09:28:01 | 000,000,386 | -H-- | M] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2012.05.23 09:23:01 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\WKST2\Desktop\OTL.exe
[2012.05.23 09:18:15 | 000,073,451 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2012.05.23 09:18:15 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.05.23 09:17:50 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.05.22 18:13:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012.05.21 18:07:17 | 000,000,725 | ---- | M] () -- C:\WINDOWS\DictaNet.ini
[2012.05.21 17:19:20 | 000,000,176 | ---- | M] () -- C:\WINDOWS\ktel.ini
[2012.05.20 17:30:59 | 000,201,736 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.05.20 16:45:15 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\WKST2\defogger_reenable
[2012.05.19 18:51:10 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\WKST2\Desktop\w3jr1zlc.exe
[2012.05.19 18:49:26 | 000,607,260 | ---- | M] (Swearware) -- C:\Dokumente und Einstellungen\WKST2\Desktop\dds.scr
[2012.05.19 18:49:18 | 000,607,260 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\WKST2\Desktop\dds.com
[2012.05.19 18:23:40 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012.05.19 18:19:17 | 000,448,898 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.05.19 18:19:17 | 000,432,784 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.05.19 18:19:17 | 000,080,338 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.05.19 18:19:17 | 000,067,740 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.05.19 18:15:17 | 000,001,912 | ---- | M] () -- C:\WINDOWS\epplauncher.mif
[2012.05.19 17:18:42 | 000,000,705 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Spyware Terminator 2012.lnk
[2012.05.19 16:47:15 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[9 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.05.22 15:56:33 | 000,049,152 | ---- | C] ( ) -- C:\WINDOWS\Interop.IWshRuntimeLibrary.dll
[2012.05.20 16:51:50 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\WKST2\Desktop\w3jr1zlc.exe
[2012.05.20 16:45:15 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\WKST2\defogger_reenable
[2012.05.20 16:41:22 | 000,000,386 | -H-- | C] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2012.05.20 16:38:30 | 000,000,884 | ---- | C] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012.05.19 18:15:10 | 000,001,678 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Security Essentials.lnk
[2012.05.19 17:18:45 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\drivers\sp_rsdrv2.sys
[2012.05.19 17:18:42 | 000,000,705 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Spyware Terminator 2012.lnk
[2012.05.19 16:47:15 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.05.19 14:56:19 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012.05.19 14:56:19 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\dllcache\iacenc.dll
[2012.02.04 15:20:31 | 000,306,488 | ---- | C] () -- C:\WINDOWS\rmx.deinstallation.exe
[2012.02.04 15:19:38 | 000,000,222 | ---- | C] () -- C:\WINDOWS\Support.ini
[2011.05.13 17:25:41 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011.01.10 18:13:19 | 000,172,032 | ---- | C] () -- C:\WINDOWS\System32\32EAcomn.dll
[2011.01.10 18:13:19 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\32EAclnt.dll
[2010.09.09 16:44:26 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\WKST2\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.06.18 10:45:28 | 000,000,176 | ---- | C] () -- C:\WINDOWS\ktel.ini
[2010.05.25 15:49:12 | 000,000,040 | ---- | C] () -- C:\WINDOWS\ERROR.INI
 
========== LOP Check ==========
 
[2010.06.11 13:05:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
[2012.05.23 09:19:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator
[2012.05.22 15:59:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer
[2010.06.18 10:57:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\WKST2\Anwendungsdaten\klickTel
[2010.06.11 17:40:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\WKST2\Anwendungsdaten\OpenOffice.org
[2012.05.19 17:18:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\WKST2\Anwendungsdaten\Spyware Terminator
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2012.02.04 15:23:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\WKST2\Anwendungsdaten\Adobe
[2010.05.21 11:55:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\WKST2\Anwendungsdaten\Identities
[2010.06.18 10:57:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\WKST2\Anwendungsdaten\klickTel
[2010.05.23 20:21:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\WKST2\Anwendungsdaten\Macromedia
[2012.05.19 16:47:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\WKST2\Anwendungsdaten\Malwarebytes
[2012.02.04 13:13:29 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\WKST2\Anwendungsdaten\Microsoft
[2010.05.21 11:59:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\WKST2\Anwendungsdaten\Microsoft Web Folders
[2011.05.13 17:25:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\WKST2\Anwendungsdaten\Mozilla
[2010.06.11 17:40:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\WKST2\Anwendungsdaten\OpenOffice.org
[2012.05.19 17:18:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\WKST2\Anwendungsdaten\Spyware Terminator
[2012.05.19 18:07:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\WKST2\Anwendungsdaten\Sun
 
< %APPDATA%\*.exe /s >
 
< %SYSTEMDRIVE%\*.exe >
 
< MD5 for: AGP440.SYS  >
[2004.08.04 12:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2008.04.14 08:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
[2008.04.14 08:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys
 
< MD5 for: ATAPI.SYS  >
[2004.08.04 12:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2008.04.14 08:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2008.04.14 08:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2004.08.04 12:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 07:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008.04.14 07:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
[2004.08.04 12:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll
 
< MD5 for: IASTOR.SYS  >
[2006.02.22 00:44:30 | 000,250,368 | ---- | M] (Intel Corporation) MD5=88B1943ECFF661F765228099138CF6AB -- C:\WINDOWS\dell\iastor\iastor.sys
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 07:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008.04.14 07:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
[2004.08.04 12:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtUninstallKB968389_1$\netlogon.dll
[2009.02.06 20:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB968389\SP2QFE\netlogon.dll
[2009.02.06 20:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB975467\SP2QFE\netlogon.dll
[2009.02.06 20:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll
[2009.02.06 20:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$NtUninstallKB975467_1$\netlogon.dll
 
< MD5 for: NVATABUS.SYS  >
[2006.06.29 10:38:56 | 000,105,088 | R--- | M] (NVIDIA Corporation) MD5=9ECCD189A9554C30A0D18A429778C7BA -- C:\Dokumente und Einstellungen\WKST2\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für 32bit.zip\IDE\Win2K\sataraid\nvatabus.sys
[2006.06.29 10:38:56 | 000,105,088 | R--- | M] (NVIDIA Corporation) MD5=9ECCD189A9554C30A0D18A429778C7BA -- C:\Dokumente und Einstellungen\WKST2\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für 32bit.zip\IDE\WinXP\sataraid\nvatabus.sys
[2006.03.17 02:51:32 | 000,099,840 | ---- | M] (NVIDIA Corporation) MD5=B7FB72492B753930EC70A0F49D04F12F -- C:\WINDOWS\dell\nvraid\NvAtaBus.sys
[2006.03.17 02:51:32 | 000,099,840 | ---- | M] (NVIDIA Corporation) MD5=B7FB72492B753930EC70A0F49D04F12F -- C:\WINDOWS\system32\drivers\NvAtaBus.sys
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
[2004.08.04 12:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll
 
< MD5 for: USER32.DLL  >
[2004.08.04 12:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 07:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008.04.14 07:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
[2004.08.04 12:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2012.04.04 15:56:38 | 000,199,240 | ---- | M] () MD5=097D0E812D7A9A3101CE46CB2BE0474D -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2004.08.04 12:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2004.08.04 12:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2004.08.04 12:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2010.05.21 12:53:56 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
[2010.05.21 12:53:56 | 000,663,552 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2010.05.21 12:53:56 | 000,430,080 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[4 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

< End of report >
         
--- --- ---
[/code]

OTl hat ferner eine Datei "Extras.Txt" generiert. Brauchst Du die auch?

Und dann ist mir aufgefallen, dass man das mögl. Dateialter bei OTL auf bis zu 360 Tage hochsetzen kann. Macht das evtl. Sinn, weil ich ein Image zurückgespielt habe und das System an sich schon einiges älter ist?

Viele GRüße,
Markus

Alt 23.05.2012, 10:28   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup? - Standard

Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?



Nein das ist schon so ok alles

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.05.2012, 12:35   #11
atca
 
Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup? - Standard

Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?



Hallo Arne,

anbei das Log von Kaspersky.

Code:
ATTFilter
 13:25:16.0000 2276	TDSS rootkit removing tool 2.7.37.0 May 23 2012 08:15:30
13:25:16.0265 2276	============================================================
13:25:16.0265 2276	Current date / time: 2012/05/23 13:25:16.0265
13:25:16.0265 2276	SystemInfo:
13:25:16.0265 2276	
13:25:16.0265 2276	OS Version: 5.1.2600 ServicePack: 3.0
13:25:16.0265 2276	Product type: Workstation
13:25:16.0265 2276	ComputerName: WKST2-0BB47DDCB
13:25:16.0265 2276	UserName: WKST2
13:25:16.0265 2276	Windows directory: C:\WINDOWS
13:25:16.0265 2276	System windows directory: C:\WINDOWS
13:25:16.0265 2276	Processor architecture: Intel x86
13:25:16.0265 2276	Number of processors: 1
13:25:16.0265 2276	Page size: 0x1000
13:25:16.0265 2276	Boot type: Normal boot
13:25:16.0265 2276	============================================================
13:25:18.0671 2276	Drive \Device\Harddisk0\DR0 - Size: 0x25433D6000 (149.05 Gb), SectorSize: 0x200, Cylinders: 0x4C01, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
13:25:18.0703 2276	============================================================
13:25:18.0703 2276	\Device\Harddisk0\DR0:
13:25:18.0703 2276	MBR partitions:
13:25:18.0703 2276	\Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x4E1EDEC
13:25:18.0718 2276	\Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x4E1EE6A, BlocksNum 0x5009229
13:25:18.0734 2276	============================================================
13:25:18.0781 2276	C: <-> \Device\Harddisk0\DR0\Partition0
13:25:18.0828 2276	D: <-> \Device\Harddisk0\DR0\Partition1
13:25:18.0828 2276	============================================================
13:25:18.0828 2276	Initialize success
13:25:18.0828 2276	============================================================
13:27:44.0484 0896	============================================================
13:27:44.0484 0896	Scan started
13:27:44.0484 0896	Mode: Manual; SigCheck; TDLFS; 
13:27:44.0484 0896	============================================================
13:27:44.0796 0896	Abiosdsk - ok
13:27:44.0812 0896	abp480n5 - ok
13:27:44.0875 0896	ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
13:27:46.0375 0896	ACPI - ok
13:27:46.0406 0896	ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
13:27:46.0562 0896	ACPIEC - ok
13:27:46.0656 0896	AcrSch2Svc      (0299fc543421bac725160c905e51476e) C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
13:27:46.0718 0896	AcrSch2Svc ( UnsignedFile.Multi.Generic ) - warning
13:27:46.0718 0896	AcrSch2Svc - detected UnsignedFile.Multi.Generic (1)
13:27:46.0781 0896	ADIHdAudAddService (70b64d0706d089466bdbc814f0fe6663) C:\WINDOWS\system32\drivers\ADIHdAud.sys
13:27:46.0843 0896	ADIHdAudAddService - ok
13:27:46.0937 0896	AdobeFlashPlayerUpdateSvc (76d5a3d2a50402a0b9b6ed13c4371e79) C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
13:27:46.0984 0896	AdobeFlashPlayerUpdateSvc - ok
13:27:47.0000 0896	adpu160m - ok
13:27:47.0046 0896	AEAudioService  (f932a37fff15d1b35289213089e9c78d) C:\WINDOWS\system32\drivers\AEAudio.sys
13:27:47.0078 0896	AEAudioService - ok
13:27:47.0140 0896	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
13:27:47.0312 0896	aec - ok
13:27:47.0359 0896	AFD             (1e44bc1e83d8fd2305f8d452db109cf9) C:\WINDOWS\System32\drivers\afd.sys
13:27:47.0437 0896	AFD - ok
13:27:47.0453 0896	Aha154x - ok
13:27:47.0453 0896	aic78u2 - ok
13:27:47.0468 0896	aic78xx - ok
13:27:47.0484 0896	Alerter         (738d80cc01d7bc7584be917b7f544394) C:\WINDOWS\system32\alrsvc.dll
13:27:47.0640 0896	Alerter - ok
13:27:47.0671 0896	ALG             (190cd73d4984f94d823f9444980513e5) C:\WINDOWS\System32\alg.exe
13:27:47.0812 0896	ALG - ok
13:27:47.0828 0896	AliIde - ok
13:27:47.0875 0896	AmdK8           (58be3c2f1aa041ea56f7305a6463035c) C:\WINDOWS\system32\DRIVERS\AmdK8.sys
13:27:47.0921 0896	AmdK8 - ok
13:27:47.0921 0896	amsint - ok
13:27:48.0015 0896	AppMgmt         (d45960be52c3c610d361977057f98c54) C:\WINDOWS\System32\appmgmts.dll
13:27:48.0171 0896	AppMgmt - ok
13:27:48.0187 0896	asc - ok
13:27:48.0187 0896	asc3350p - ok
13:27:48.0203 0896	asc3550 - ok
13:27:48.0234 0896	AsIO            (19a1dac5bc607c212e8a94c05886ed52) C:\WINDOWS\system32\drivers\AsIO.sys
13:27:48.0250 0896	AsIO ( UnsignedFile.Multi.Generic ) - warning
13:27:48.0250 0896	AsIO - detected UnsignedFile.Multi.Generic (1)
13:27:48.0359 0896	aspnet_state    (0e5e4957549056e2bf2c49f4f6b601ad) C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
13:27:48.0375 0896	aspnet_state - ok
13:27:48.0421 0896	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
13:27:48.0562 0896	AsyncMac - ok
13:27:48.0593 0896	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
13:27:48.0734 0896	atapi - ok
13:27:48.0734 0896	Atdisk - ok
13:27:48.0765 0896	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
13:27:48.0921 0896	Atmarpc - ok
13:27:48.0984 0896	AudioSrv        (58ed0d5452df7be732193e7999c6b9a4) C:\WINDOWS\System32\audiosrv.dll
13:27:49.0140 0896	AudioSrv - ok
13:27:49.0171 0896	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
13:27:49.0328 0896	audstub - ok
13:27:49.0375 0896	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
13:27:49.0546 0896	Beep - ok
13:27:49.0640 0896	BITS            (d6f603772a789bb3228f310d650b8bd1) C:\WINDOWS\system32\qmgr.dll
13:27:49.0843 0896	BITS - ok
13:27:49.0890 0896	Browser         (b42057f06bbb98b31876c0b3f2b54e33) C:\WINDOWS\System32\browser.dll
13:27:50.0062 0896	Browser - ok
13:27:50.0093 0896	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
13:27:50.0265 0896	cbidf2k - ok
13:27:50.0281 0896	cd20xrnt - ok
13:27:50.0312 0896	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
13:27:50.0484 0896	Cdaudio - ok
13:27:50.0531 0896	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
13:27:50.0671 0896	Cdfs - ok
13:27:50.0703 0896	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
13:27:50.0828 0896	Cdrom - ok
13:27:50.0859 0896	cercsr6         (84853b3fd012251690570e9e7e43343f) C:\WINDOWS\system32\drivers\cercsr6.sys
13:27:50.0890 0896	cercsr6 ( UnsignedFile.Multi.Generic ) - warning
13:27:50.0890 0896	cercsr6 - detected UnsignedFile.Multi.Generic (1)
13:27:50.0890 0896	Changer - ok
13:27:50.0921 0896	CiSvc           (28e3040d1f1ca2008cd6b29dfebc9a5e) C:\WINDOWS\system32\cisvc.exe
13:27:51.0062 0896	CiSvc - ok
13:27:51.0093 0896	ClipSrv         (778a30ed3c134eb7e406afc407e9997d) C:\WINDOWS\system32\clipsrv.exe
13:27:51.0234 0896	ClipSrv - ok
13:27:51.0281 0896	clr_optimization_v2.0.50727_32 (d87acaed61e417bba546ced5e7e36d9c) C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
13:27:51.0375 0896	clr_optimization_v2.0.50727_32 - ok
13:27:51.0390 0896	CmdIde - ok
13:27:51.0390 0896	COMSysApp - ok
13:27:51.0406 0896	Cpqarray - ok
13:27:51.0453 0896	cpuz135         (3411fdf098aa20193eee5ffa36ba43b2) C:\WINDOWS\system32\drivers\cpuz135_x32.sys
13:27:51.0484 0896	cpuz135 - ok
13:27:51.0531 0896	CryptSvc        (611f824e5c703a5a899f84c5f1699e4d) C:\WINDOWS\System32\cryptsvc.dll
13:27:51.0687 0896	CryptSvc - ok
13:27:51.0687 0896	dac2w2k - ok
13:27:51.0703 0896	dac960nt - ok
13:27:51.0796 0896	DcomLaunch      (3127afbf2c1ed0ab14a1bbb7aaecb85b) C:\WINDOWS\system32\rpcss.dll
13:27:52.0000 0896	DcomLaunch - ok
13:27:52.0062 0896	Dhcp            (c29a1c9b75ba38fa37f8c44405dec360) C:\WINDOWS\System32\dhcpcsvc.dll
13:27:52.0203 0896	Dhcp - ok
13:27:52.0250 0896	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
13:27:52.0375 0896	Disk - ok
13:27:52.0390 0896	dmadmin - ok
13:27:52.0546 0896	dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
13:27:52.0843 0896	dmboot - ok
13:27:52.0875 0896	dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
13:27:53.0031 0896	dmio - ok
13:27:53.0078 0896	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
13:27:53.0234 0896	dmload - ok
13:27:53.0265 0896	dmserver        (25c83ffbba13b554eb6d59a9b2e2ee78) C:\WINDOWS\System32\dmserver.dll
13:27:53.0390 0896	dmserver - ok
13:27:53.0437 0896	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
13:27:53.0562 0896	DMusic - ok
13:27:53.0609 0896	Dnscache        (407f3227ac618fd1ca54b335b083de07) C:\WINDOWS\System32\dnsrslvr.dll
13:27:53.0734 0896	Dnscache - ok
13:27:53.0781 0896	Dot3svc         (676e36c4ff5bcea1900f44182b9723e6) C:\WINDOWS\System32\dot3svc.dll
13:27:53.0937 0896	Dot3svc - ok
13:27:53.0937 0896	dpti2o - ok
13:27:53.0984 0896	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
13:27:54.0109 0896	drmkaud - ok
13:27:54.0156 0896	EapHost         (4e4f2fddab0a0736d7671134dcce91fb) C:\WINDOWS\System32\eapsvc.dll
13:27:54.0296 0896	EapHost - ok
13:27:54.0328 0896	ERSvc           (877c18558d70587aa7823a1a308ac96b) C:\WINDOWS\System32\ersvc.dll
13:27:54.0453 0896	ERSvc - ok
13:27:54.0500 0896	Eventlog        (a3edbe9053889fb24ab22492472b39dc) C:\WINDOWS\system32\services.exe
13:27:54.0546 0896	Eventlog - ok
13:27:54.0625 0896	EventSystem     (af4f6b5739d18ca7972ab53e091cbc74) C:\WINDOWS\system32\es.dll
13:27:54.0718 0896	EventSystem - ok
13:27:54.0750 0896	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
13:27:54.0921 0896	Fastfat - ok
13:27:54.0984 0896	FastUserSwitchingCompatibility (2db7d303c36ddd055215052f118e8e75) C:\WINDOWS\System32\shsvcs.dll
13:27:55.0062 0896	FastUserSwitchingCompatibility - ok
13:27:55.0109 0896	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
13:27:55.0234 0896	Fdc - ok
13:27:55.0250 0896	Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
13:27:55.0390 0896	Fips - ok
13:27:55.0406 0896	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
13:27:55.0546 0896	Flpydisk - ok
13:27:55.0593 0896	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
13:27:55.0734 0896	FltMgr - ok
13:27:55.0828 0896	FontCache3.0.0.0 (8ba7c024070f2b7fdd98ed8a4ba41789) c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
13:27:55.0859 0896	FontCache3.0.0.0 - ok
13:27:55.0953 0896	ForcewareWebInterface (b81f8778f5bb485f3b75114f0c99a49f) C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
13:27:55.0968 0896	ForcewareWebInterface ( UnsignedFile.Multi.Generic ) - warning
13:27:55.0968 0896	ForcewareWebInterface - detected UnsignedFile.Multi.Generic (1)
13:27:56.0015 0896	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
13:27:56.0156 0896	Fs_Rec - ok
13:27:56.0218 0896	Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
13:27:56.0406 0896	Ftdisk - ok
13:27:56.0437 0896	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
13:27:56.0578 0896	Gpc - ok
13:27:56.0625 0896	HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
13:27:56.0781 0896	HDAudBus - ok
13:27:56.0859 0896	helpsvc         (cb66bf85bf599befd6c6a57c2e20357f) C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll
13:27:57.0000 0896	helpsvc - ok
13:27:57.0015 0896	HidServ - ok
13:27:57.0062 0896	hkmsvc          (ed29f14101523a6e0e808107405d452c) C:\WINDOWS\System32\kmsvc.dll
13:27:57.0187 0896	hkmsvc - ok
13:27:57.0203 0896	hpn - ok
13:27:57.0281 0896	HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
13:27:57.0359 0896	HTTP - ok
13:27:57.0390 0896	HTTPFilter      (9e4adb854cebcfb81a4b36718feecd16) C:\WINDOWS\System32\w3ssl.dll
13:27:57.0531 0896	HTTPFilter - ok
13:27:57.0546 0896	i2omgmt - ok
13:27:57.0562 0896	i2omp - ok
13:27:57.0593 0896	i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
13:27:57.0750 0896	i8042prt - ok
13:27:57.0937 0896	idsvc           (c01ac32dc5c03076cfb852cb5da5229c) c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
13:27:58.0156 0896	idsvc - ok
13:27:58.0187 0896	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
13:27:58.0328 0896	Imapi - ok
13:27:58.0375 0896	ImapiService    (d4b413aa210c21e46aedd2ba5b68d38e) C:\WINDOWS\system32\imapi.exe
13:27:58.0531 0896	ImapiService - ok
13:27:58.0531 0896	ini910u - ok
13:27:58.0546 0896	IntelIde - ok
13:27:58.0593 0896	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
13:27:58.0718 0896	Ip6Fw - ok
13:27:58.0765 0896	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
13:27:58.0953 0896	IpFilterDriver - ok
13:27:58.0968 0896	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
13:27:59.0125 0896	IpInIp - ok
13:27:59.0171 0896	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
13:27:59.0328 0896	IpNat - ok
13:27:59.0375 0896	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
13:27:59.0515 0896	IPSec - ok
13:27:59.0531 0896	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
13:27:59.0671 0896	IRENUM - ok
13:27:59.0703 0896	isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
13:27:59.0828 0896	isapnp - ok
13:27:59.0968 0896	JavaQuickStarterService (8c5c59e1921eca3607390a1f641556df) C:\Programme\Java\jre7\bin\jqs.exe
13:28:00.0000 0896	JavaQuickStarterService - ok
13:28:00.0031 0896	Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
13:28:00.0171 0896	Kbdclass - ok
13:28:00.0234 0896	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
13:28:00.0359 0896	kmixer - ok
13:28:00.0406 0896	KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
13:28:00.0500 0896	KSecDD - ok
13:28:00.0562 0896	lanmanserver    (2bbdcb79900990f0716dfcb714e72de7) C:\WINDOWS\System32\srvsvc.dll
13:28:00.0640 0896	lanmanserver - ok
13:28:00.0687 0896	lanmanworkstation (1869b14b06b44b44af70548e1ea3303f) C:\WINDOWS\System32\wkssvc.dll
13:28:00.0765 0896	lanmanworkstation - ok
13:28:00.0765 0896	lbrtfdc - ok
13:28:00.0812 0896	LmHosts         (636714b7d43c8d0c80449123fd266920) C:\WINDOWS\System32\lmhsvc.dll
13:28:00.0968 0896	LmHosts - ok
13:28:01.0000 0896	Messenger       (b7550a7107281d170ce85524b1488c98) C:\WINDOWS\System32\msgsvc.dll
13:28:01.0140 0896	Messenger - ok
13:28:01.0171 0896	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
13:28:01.0328 0896	mnmdd - ok
13:28:01.0343 0896	mnmsrvc         (c2f1d365fd96791b037ee504868065d3) C:\WINDOWS\system32\mnmsrvc.exe
13:28:01.0484 0896	mnmsrvc - ok
13:28:01.0515 0896	Modem           (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
13:28:01.0656 0896	Modem - ok
13:28:01.0671 0896	Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
13:28:01.0812 0896	Mouclass - ok
13:28:01.0843 0896	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
13:28:01.0984 0896	MountMgr - ok
13:28:02.0031 0896	MozillaMaintenance (96aa8ba23142cc8e2b30f3cae0c80254) C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
13:28:02.0062 0896	MozillaMaintenance - ok
13:28:02.0125 0896	MpFilter        (d993bea500e7382dc4e760bf4f35efcb) C:\WINDOWS\system32\DRIVERS\MpFilter.sys
13:28:02.0171 0896	MpFilter - ok
13:28:02.0265 0896	MpKsl47657fe4   (a69630d039c38018689190234f866d77) c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{75A715C5-339F-4E45-B7D5-DEA93C707AA0}\MpKsl47657fe4.sys
13:28:02.0281 0896	MpKsl47657fe4 - ok
13:28:02.0296 0896	mraid35x - ok
13:28:02.0343 0896	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
13:28:02.0484 0896	MRxDAV - ok
13:28:02.0578 0896	MRxSmb          (7d304a5eb4344ebeeab53a2fe3ffb9f0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
13:28:02.0703 0896	MRxSmb - ok
13:28:02.0734 0896	MSDTC           (35a031af38c55f92d28aa03ee9f12cc9) C:\WINDOWS\system32\msdtc.exe
13:28:02.0875 0896	MSDTC - ok
13:28:02.0906 0896	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
13:28:03.0031 0896	Msfs - ok
13:28:03.0046 0896	MSIServer - ok
13:28:03.0078 0896	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
13:28:03.0203 0896	MSKSSRV - ok
13:28:03.0265 0896	MsMpSvc         (24516bf4e12a46cb67302e2cdcb8cddf) c:\Programme\Microsoft Security Client\MsMpEng.exe
13:28:03.0281 0896	MsMpSvc - ok
13:28:03.0312 0896	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
13:28:03.0437 0896	MSPCLOCK - ok
13:28:03.0453 0896	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
13:28:03.0578 0896	MSPQM - ok
13:28:03.0609 0896	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
13:28:03.0734 0896	mssmbios - ok
13:28:03.0765 0896	MTsensor        (d48659bb24c48345d926ecb45c1ebdf5) C:\WINDOWS\system32\DRIVERS\ASACPI.sys
13:28:03.0812 0896	MTsensor - ok
13:28:03.0859 0896	Mup             (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
13:28:03.0921 0896	Mup - ok
13:28:04.0000 0896	napagent        (46bb15ae2ac7d025d6d2567b876817bd) C:\WINDOWS\System32\qagentrt.dll
13:28:04.0187 0896	napagent - ok
13:28:04.0250 0896	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
13:28:04.0406 0896	NDIS - ok
13:28:04.0437 0896	NdisTapi        (0109c4f3850dfbab279542515386ae22) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
13:28:04.0484 0896	NdisTapi - ok
13:28:04.0500 0896	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
13:28:04.0625 0896	Ndisuio - ok
13:28:04.0671 0896	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
13:28:04.0812 0896	NdisWan - ok
13:28:04.0859 0896	NDProxy         (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
13:28:04.0921 0896	NDProxy - ok
13:28:04.0968 0896	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
13:28:05.0093 0896	NetBIOS - ok
13:28:05.0140 0896	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
13:28:05.0312 0896	NetBT - ok
13:28:05.0343 0896	NetDDE          (8ace4251bffd09ce75679fe940e996cc) C:\WINDOWS\system32\netdde.exe
13:28:05.0500 0896	NetDDE - ok
13:28:05.0500 0896	NetDDEdsdm      (8ace4251bffd09ce75679fe940e996cc) C:\WINDOWS\system32\netdde.exe
13:28:05.0625 0896	NetDDEdsdm - ok
13:28:05.0656 0896	Netlogon        (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
13:28:05.0781 0896	Netlogon - ok
13:28:05.0843 0896	Netman          (e6d88f1f6745bf00b57e7855a2ab696c) C:\WINDOWS\System32\netman.dll
13:28:06.0015 0896	Netman - ok
13:28:06.0125 0896	NetTcpPortSharing (d34612c5d02d026535b3095d620626ae) c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
13:28:06.0156 0896	NetTcpPortSharing - ok
13:28:06.0218 0896	Nla             (f1b67b6b0751ae0e6e964b02821206a3) C:\WINDOWS\System32\mswsock.dll
13:28:06.0312 0896	Nla - ok
13:28:06.0359 0896	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
13:28:06.0468 0896	Npfs - ok
13:28:06.0578 0896	nSvcIp          (adc2d25754f8ca371aff9644b8eaa681) C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
13:28:06.0625 0896	nSvcIp ( UnsignedFile.Multi.Generic ) - warning
13:28:06.0625 0896	nSvcIp - detected UnsignedFile.Multi.Generic (1)
13:28:06.0671 0896	nSvcLog         (ee0f4d3e3fd2b5dacf7eedddbb243973) C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
13:28:06.0687 0896	nSvcLog ( UnsignedFile.Multi.Generic ) - warning
13:28:06.0687 0896	nSvcLog - detected UnsignedFile.Multi.Generic (1)
13:28:06.0796 0896	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
13:28:07.0031 0896	Ntfs - ok
13:28:07.0078 0896	NtLmSsp         (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
13:28:07.0187 0896	NtLmSsp - ok
13:28:07.0281 0896	NtmsSvc         (56af4064996fa5bac9c449b1514b4770) C:\WINDOWS\system32\ntmssvc.dll
13:28:07.0515 0896	NtmsSvc - ok
13:28:07.0546 0896	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
13:28:07.0687 0896	Null - ok
13:28:08.0343 0896	nv              (b19c2aae0922072ff4a467f2a37620ad) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
13:28:09.0250 0896	nv - ok
13:28:09.0437 0896	nvatabus        (b7fb72492b753930ec70a0f49d04f12f) C:\WINDOWS\system32\drivers\nvatabus.sys
13:28:09.0468 0896	nvatabus ( UnsignedFile.Multi.Generic ) - warning
13:28:09.0468 0896	nvatabus - detected UnsignedFile.Multi.Generic (1)
13:28:09.0515 0896	NVENETFD        (4d6f0d3fb17c1ba64942f415c73adcdb) C:\WINDOWS\system32\DRIVERS\NVENETFD.sys
13:28:09.0562 0896	NVENETFD - ok
13:28:09.0593 0896	nvnetbus        (921e63aa1e1a20302223d016acafb52b) C:\WINDOWS\system32\DRIVERS\nvnetbus.sys
13:28:09.0640 0896	nvnetbus - ok
13:28:09.0687 0896	NVSvc           (9f40402087b6d4a428571dd6ca83ac1e) C:\WINDOWS\system32\nvsvc32.exe
13:28:09.0750 0896	NVSvc - ok
13:28:09.0781 0896	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
13:28:09.0968 0896	NwlnkFlt - ok
13:28:10.0015 0896	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
13:28:10.0171 0896	NwlnkFwd - ok
13:28:10.0281 0896	Olympus DVR Service (45121447e0728a949329c1c1907bdcc2) C:\Programme\Gemeinsame Dateien\Olympus Shared\DeviceManager\olydvrsv.exe
13:28:10.0343 0896	Olympus DVR Service ( UnsignedFile.Multi.Generic ) - warning
13:28:10.0343 0896	Olympus DVR Service - detected UnsignedFile.Multi.Generic (1)
13:28:10.0406 0896	ose             (7a56cf3e3f12e8af599963b16f50fb6a) C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
13:28:10.0437 0896	ose - ok
13:28:10.0484 0896	Parport         (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
13:28:10.0625 0896	Parport - ok
13:28:10.0640 0896	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
13:28:10.0765 0896	PartMgr - ok
13:28:10.0812 0896	ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
13:28:10.0968 0896	ParVdm - ok
13:28:11.0000 0896	PCI             (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
13:28:11.0125 0896	PCI - ok
13:28:11.0125 0896	PCIDump - ok
13:28:11.0171 0896	PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
13:28:11.0343 0896	PCIIde - ok
13:28:11.0390 0896	Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
13:28:11.0531 0896	Pcmcia - ok
13:28:11.0531 0896	PDCOMP - ok
13:28:11.0546 0896	PDFRAME - ok
13:28:11.0546 0896	PDRELI - ok
13:28:11.0562 0896	PDRFRAME - ok
13:28:11.0578 0896	perc2 - ok
13:28:11.0578 0896	perc2hib - ok
13:28:11.0640 0896	PlugPlay        (a3edbe9053889fb24ab22492472b39dc) C:\WINDOWS\system32\services.exe
13:28:11.0687 0896	PlugPlay - ok
13:28:11.0734 0896	PolicyAgent     (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
13:28:11.0843 0896	PolicyAgent - ok
13:28:11.0890 0896	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
13:28:12.0031 0896	PptpMiniport - ok
13:28:12.0062 0896	Processor       (2cb55427c58679f49ad600fccba76360) C:\WINDOWS\system32\DRIVERS\processr.sys
13:28:12.0203 0896	Processor - ok
13:28:12.0203 0896	ProtectedStorage (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
13:28:12.0312 0896	ProtectedStorage - ok
13:28:12.0359 0896	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
13:28:12.0484 0896	PSched - ok
13:28:12.0531 0896	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
13:28:12.0703 0896	Ptilink - ok
13:28:12.0718 0896	ql1080 - ok
13:28:12.0718 0896	Ql10wnt - ok
13:28:12.0734 0896	ql12160 - ok
13:28:12.0734 0896	ql1240 - ok
13:28:12.0750 0896	ql1280 - ok
13:28:12.0781 0896	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
13:28:12.0953 0896	RasAcd - ok
13:28:13.0000 0896	RasAuto         (f5ba6caccdb66c8f048e867563203246) C:\WINDOWS\System32\rasauto.dll
13:28:13.0156 0896	RasAuto - ok
13:28:13.0187 0896	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
13:28:13.0312 0896	Rasl2tp - ok
13:28:13.0375 0896	RasMan          (f9a7b66ea345726edb5862a46b1eccd5) C:\WINDOWS\System32\rasmans.dll
13:28:13.0531 0896	RasMan - ok
13:28:13.0562 0896	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
13:28:13.0687 0896	RasPppoe - ok
13:28:13.0718 0896	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
13:28:13.0890 0896	Raspti - ok
13:28:13.0953 0896	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
13:28:14.0109 0896	Rdbss - ok
13:28:14.0125 0896	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
13:28:14.0265 0896	RDPCDD - ok
13:28:14.0343 0896	rdpdr           (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
13:28:14.0500 0896	rdpdr - ok
13:28:14.0562 0896	RDPWD           (5b3055daa788bd688594d2f5981f2a83) C:\WINDOWS\system32\drivers\RDPWD.sys
13:28:14.0609 0896	RDPWD - ok
13:28:14.0656 0896	RDSessMgr       (263af18af0f3db99f574c95f284ccec9) C:\WINDOWS\system32\sessmgr.exe
13:28:14.0796 0896	RDSessMgr - ok
13:28:14.0843 0896	redbook         (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
13:28:14.0984 0896	redbook - ok
13:28:15.0015 0896	RemoteAccess    (0e97ec96d6942ceec2d188cc2eb69a01) C:\WINDOWS\System32\mprdim.dll
13:28:15.0156 0896	RemoteAccess - ok
13:28:15.0187 0896	RemoteRegistry  (e4cd1f3d84e1c2ca0b8cf7501e201593) C:\WINDOWS\system32\regsvc.dll
13:28:15.0312 0896	RemoteRegistry - ok
13:28:15.0359 0896	RpcLocator      (2a02e21867497df20b8fc95631395169) C:\WINDOWS\system32\locator.exe
13:28:15.0500 0896	RpcLocator - ok
13:28:15.0593 0896	RpcSs           (3127afbf2c1ed0ab14a1bbb7aaecb85b) C:\WINDOWS\system32\rpcss.dll
13:28:15.0656 0896	RpcSs - ok
13:28:15.0718 0896	RSVP            (4bdd71b4b521521499dfd14735c4f398) C:\WINDOWS\system32\rsvp.exe
13:28:15.0890 0896	RSVP - ok
13:28:15.0953 0896	SamSs           (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
13:28:16.0062 0896	SamSs - ok
13:28:16.0109 0896	SCardSvr        (dcec079fad95d36c8dd5cb6d779dfe32) C:\WINDOWS\System32\SCardSvr.exe
13:28:16.0250 0896	SCardSvr - ok
13:28:16.0312 0896	Schedule        (a050194a44d7fa8d7186ed2f4e8367ae) C:\WINDOWS\system32\schedsvc.dll
13:28:16.0468 0896	Schedule - ok
13:28:16.0515 0896	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
13:28:16.0625 0896	Secdrv - ok
13:28:16.0671 0896	seclogon        (bee4cfd1d48c23b44cf4b974b0b79b2b) C:\WINDOWS\System32\seclogon.dll
13:28:16.0796 0896	seclogon - ok
13:28:16.0875 0896	SenFiltService  (23228966244cdd9627bde4141b3be1f0) C:\WINDOWS\system32\drivers\Senfilt.sys
13:28:17.0000 0896	SenFiltService - ok
13:28:17.0046 0896	SENS            (2aac9b6ed9eddffb721d6452e34d67e3) C:\WINDOWS\system32\sens.dll
13:28:17.0187 0896	SENS - ok
13:28:17.0203 0896	serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
13:28:17.0328 0896	serenum - ok
13:28:17.0375 0896	Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
13:28:17.0500 0896	Serial - ok
13:28:17.0546 0896	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
13:28:17.0671 0896	Sfloppy - ok
13:28:17.0750 0896	SharedAccess    (cad058d5f8b889a87ca3eb3cf624dcef) C:\WINDOWS\System32\ipnathlp.dll
13:28:17.0968 0896	SharedAccess - ok
13:28:18.0015 0896	ShellHWDetection (2db7d303c36ddd055215052f118e8e75) C:\WINDOWS\System32\shsvcs.dll
13:28:18.0031 0896	ShellHWDetection - ok
13:28:18.0046 0896	Simbad - ok
13:28:18.0109 0896	snapman         (90257773f4b4065bd0c6cc2164fd52e5) C:\WINDOWS\system32\DRIVERS\snapman.sys
13:28:18.0125 0896	snapman ( UnsignedFile.Multi.Generic ) - warning
13:28:18.0125 0896	snapman - detected UnsignedFile.Multi.Generic (1)
13:28:18.0140 0896	Sparrow - ok
13:28:18.0187 0896	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
13:28:18.0312 0896	splitter - ok
13:28:18.0359 0896	Spooler         (60784f891563fb1b767f70117fc2428f) C:\WINDOWS\system32\spoolsv.exe
13:28:18.0406 0896	Spooler - ok
13:28:18.0437 0896	sp_rsdrv2       (7b426b8e809edf081d771ef429345528) C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
13:28:18.0453 0896	sp_rsdrv2 ( UnsignedFile.Multi.Generic ) - warning
13:28:18.0453 0896	sp_rsdrv2 - detected UnsignedFile.Multi.Generic (1)
13:28:18.0484 0896	sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
13:28:18.0625 0896	sr - ok
13:28:18.0687 0896	srservice       (fe77a85495065f3ad59c5c65b6c54182) C:\WINDOWS\system32\srsvc.dll
13:28:18.0843 0896	srservice - ok
13:28:18.0937 0896	Srv             (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
13:28:19.0062 0896	Srv - ok
13:28:19.0093 0896	SSDPSRV         (4df5b05dfaec29e13e1ed6f6ee12c500) C:\WINDOWS\System32\ssdpsrv.dll
13:28:19.0250 0896	SSDPSRV - ok
13:28:19.0468 0896	ST2012_Svc      (8e67b6fad3c2696ff8507a2a24f83286) C:\Programme\Spyware Terminator\st_rsser.exe
13:28:19.0578 0896	ST2012_Svc - ok
13:28:19.0656 0896	stisvc          (bc2c5985611c5356b24aeb370953ded9) C:\WINDOWS\system32\wiaservc.dll
13:28:19.0859 0896	stisvc - ok
13:28:19.0890 0896	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
13:28:20.0015 0896	swenum - ok
13:28:20.0062 0896	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
13:28:20.0187 0896	swmidi - ok
13:28:20.0203 0896	SwPrv - ok
13:28:20.0218 0896	symc810 - ok
13:28:20.0218 0896	symc8xx - ok
13:28:20.0234 0896	sym_hi - ok
13:28:20.0250 0896	sym_u3 - ok
13:28:20.0281 0896	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
13:28:20.0421 0896	sysaudio - ok
13:28:20.0468 0896	SysmonLog       (2903fffa2523926d6219428040dce6b9) C:\WINDOWS\system32\smlogsvc.exe
13:28:20.0609 0896	SysmonLog - ok
13:28:20.0671 0896	TapiSrv         (05903cac4b98908d55ea5774775b382e) C:\WINDOWS\System32\tapisrv.dll
13:28:20.0843 0896	TapiSrv - ok
13:28:20.0937 0896	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
13:28:21.0046 0896	Tcpip - ok
13:28:21.0093 0896	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
13:28:21.0218 0896	TDPIPE - ok
13:28:21.0250 0896	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
13:28:21.0375 0896	TDTCP - ok
13:28:21.0406 0896	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
13:28:21.0546 0896	TermDD - ok
13:28:21.0625 0896	TermService     (b7de02c863d8f5a005a7bf375375a6a4) C:\WINDOWS\System32\termsrv.dll
13:28:21.0796 0896	TermService - ok
13:28:21.0859 0896	Themes          (2db7d303c36ddd055215052f118e8e75) C:\WINDOWS\System32\shsvcs.dll
13:28:21.0875 0896	Themes - ok
13:28:21.0921 0896	tifsfilter      (7369f74dd9172c6527a8aceb010e28f1) C:\WINDOWS\system32\DRIVERS\tifsfilt.sys
13:28:21.0937 0896	tifsfilter ( UnsignedFile.Multi.Generic ) - warning
13:28:21.0937 0896	tifsfilter - detected UnsignedFile.Multi.Generic (1)
13:28:21.0984 0896	timounter       (53fec95b844c46489f6683dc0a606e01) C:\WINDOWS\system32\DRIVERS\timntr.sys
13:28:22.0031 0896	timounter ( UnsignedFile.Multi.Generic ) - warning
13:28:22.0046 0896	timounter - detected UnsignedFile.Multi.Generic (1)
13:28:22.0093 0896	TlntSvr         (03681a1ce77f51586903869a5ab1deab) C:\WINDOWS\system32\tlntsvr.exe
13:28:22.0218 0896	TlntSvr - ok
13:28:22.0234 0896	TosIde - ok
13:28:22.0281 0896	TrkWks          (626504572b175867f30f3215c04b3e2f) C:\WINDOWS\system32\trkwks.dll
13:28:22.0421 0896	TrkWks - ok
13:28:22.0468 0896	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
13:28:22.0593 0896	Udfs - ok
13:28:22.0609 0896	ultra - ok
13:28:22.0687 0896	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
13:28:22.0921 0896	Update - ok
13:28:23.0000 0896	upnphost        (1dfd8975d8c89214b98d9387c1125b49) C:\WINDOWS\System32\upnphost.dll
13:28:23.0156 0896	upnphost - ok
13:28:23.0203 0896	UPS             (9b11e6118958e63e1fef129466e2bda7) C:\WINDOWS\System32\ups.exe
13:28:23.0328 0896	UPS - ok
13:28:23.0359 0896	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
13:28:23.0484 0896	usbehci - ok
13:28:23.0531 0896	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
13:28:23.0671 0896	usbhub - ok
13:28:23.0703 0896	usbohci         (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
13:28:23.0828 0896	usbohci - ok
13:28:23.0875 0896	USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
13:28:24.0000 0896	USBSTOR - ok
13:28:24.0046 0896	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
13:28:24.0171 0896	VgaSave - ok
13:28:24.0187 0896	ViaIde - ok
13:28:24.0234 0896	VolSnap         (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
13:28:24.0359 0896	VolSnap - ok
13:28:24.0421 0896	VSS             (68f106273be29e7b7ef8266977268e78) C:\WINDOWS\System32\vssvc.exe
13:28:24.0609 0896	VSS - ok
13:28:24.0656 0896	W32Time         (7b353059e665f8b7ad2bbeaef597cf45) C:\WINDOWS\system32\w32time.dll
13:28:24.0796 0896	W32Time - ok
13:28:24.0812 0896	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
13:28:24.0953 0896	Wanarp - ok
13:28:24.0968 0896	WDICA - ok
13:28:25.0015 0896	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
13:28:25.0156 0896	wdmaud - ok
13:28:25.0203 0896	WebClient       (81727c9873e3905a2ffc1ebd07265002) C:\WINDOWS\System32\webclnt.dll
13:28:25.0343 0896	WebClient - ok
13:28:25.0437 0896	winmgmt         (6f3f3973d97714cc5f906a19fe883729) C:\WINDOWS\system32\wbem\WMIsvc.dll
13:28:25.0578 0896	winmgmt - ok
13:28:25.0625 0896	WmdmPmSN        (6e18978b749f0696a774de3f2cb142dd) C:\WINDOWS\system32\mspmsnsv.dll
13:28:25.0750 0896	WmdmPmSN - ok
13:28:25.0875 0896	Wmi             (ffa4d901d46d07a5bab2d8307fbb51a6) C:\WINDOWS\System32\advapi32.dll
13:28:26.0109 0896	Wmi - ok
13:28:26.0187 0896	WmiApSrv        (93908111ba57a6e60ec2fa2de202105c) C:\WINDOWS\system32\wbem\wmiapsrv.exe
13:28:26.0328 0896	WmiApSrv - ok
13:28:26.0531 0896	WMPNetworkSvc   (bf05650bb7df5e9ebdd25974e22403bb) C:\Programme\Windows Media Player\WMPNetwk.exe
13:28:26.0812 0896	WMPNetworkSvc - ok
13:28:26.0843 0896	wscsvc          (300b3e84faf1a5c1f791c159ba28035d) C:\WINDOWS\system32\wscsvc.dll
13:28:27.0000 0896	wscsvc - ok
13:28:27.0031 0896	wuauserv        (7b4fe05202aa6bf9f4dfd0e6a0d8a085) C:\WINDOWS\system32\wuauserv.dll
13:28:27.0171 0896	wuauserv - ok
13:28:27.0234 0896	WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
13:28:27.0281 0896	WudfPf - ok
13:28:27.0328 0896	WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
13:28:27.0359 0896	WudfRd - ok
13:28:27.0390 0896	WudfSvc         (05231c04253c5bc30b26cbaae680ed89) C:\WINDOWS\System32\WUDFSvc.dll
13:28:27.0421 0896	WudfSvc - ok
13:28:27.0531 0896	WZCSVC          (c4f109c005f6725162d2d12ca751e4a7) C:\WINDOWS\System32\wzcsvc.dll
13:28:27.0750 0896	WZCSVC - ok
13:28:27.0796 0896	xmlprov         (0ada34871a2e1cd2caafed1237a47750) C:\WINDOWS\System32\xmlprov.dll
13:28:27.0968 0896	xmlprov - ok
13:28:28.0000 0896	MBR (0x1B8)     (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
13:28:28.0578 0896	\Device\Harddisk0\DR0 - ok
13:28:28.0640 0896	Boot (0x1200)   (10abd2cd02b8bed6efebed5eca488354) \Device\Harddisk0\DR0\Partition0
13:28:28.0640 0896	\Device\Harddisk0\DR0\Partition0 - ok
13:28:28.0671 0896	Boot (0x1200)   (2d2edf93993ad4d7dc9e99aec1a4b1ac) \Device\Harddisk0\DR0\Partition1
13:28:28.0671 0896	\Device\Harddisk0\DR0\Partition1 - ok
13:28:28.0671 0896	============================================================
13:28:28.0671 0896	Scan finished
13:28:28.0671 0896	============================================================
13:28:28.0781 2156	Detected object count: 12
13:28:28.0781 2156	Actual detected object count: 12
13:28:50.0593 2156	AcrSch2Svc ( UnsignedFile.Multi.Generic ) - skipped by user
13:28:50.0593 2156	AcrSch2Svc ( UnsignedFile.Multi.Generic ) - User select action: Skip 
13:28:50.0593 2156	AsIO ( UnsignedFile.Multi.Generic ) - skipped by user
13:28:50.0593 2156	AsIO ( UnsignedFile.Multi.Generic ) - User select action: Skip 
13:28:50.0609 2156	cercsr6 ( UnsignedFile.Multi.Generic ) - skipped by user
13:28:50.0609 2156	cercsr6 ( UnsignedFile.Multi.Generic ) - User select action: Skip 
13:28:50.0609 2156	ForcewareWebInterface ( UnsignedFile.Multi.Generic ) - skipped by user
13:28:50.0609 2156	ForcewareWebInterface ( UnsignedFile.Multi.Generic ) - User select action: Skip 
13:28:50.0609 2156	nSvcIp ( UnsignedFile.Multi.Generic ) - skipped by user
13:28:50.0609 2156	nSvcIp ( UnsignedFile.Multi.Generic ) - User select action: Skip 
13:28:50.0609 2156	nSvcLog ( UnsignedFile.Multi.Generic ) - skipped by user
13:28:50.0609 2156	nSvcLog ( UnsignedFile.Multi.Generic ) - User select action: Skip 
13:28:50.0625 2156	nvatabus ( UnsignedFile.Multi.Generic ) - skipped by user
13:28:50.0625 2156	nvatabus ( UnsignedFile.Multi.Generic ) - User select action: Skip 
13:28:50.0625 2156	Olympus DVR Service ( UnsignedFile.Multi.Generic ) - skipped by user
13:28:50.0625 2156	Olympus DVR Service ( UnsignedFile.Multi.Generic ) - User select action: Skip 
13:28:50.0625 2156	snapman ( UnsignedFile.Multi.Generic ) - skipped by user
13:28:50.0625 2156	snapman ( UnsignedFile.Multi.Generic ) - User select action: Skip 
13:28:50.0625 2156	sp_rsdrv2 ( UnsignedFile.Multi.Generic ) - skipped by user
13:28:50.0625 2156	sp_rsdrv2 ( UnsignedFile.Multi.Generic ) - User select action: Skip 
13:28:50.0625 2156	tifsfilter ( UnsignedFile.Multi.Generic ) - skipped by user
13:28:50.0625 2156	tifsfilter ( UnsignedFile.Multi.Generic ) - User select action: Skip 
13:28:50.0640 2156	timounter ( UnsignedFile.Multi.Generic ) - skipped by user
13:28:50.0640 2156	timounter ( UnsignedFile.Multi.Generic ) - User select action: Skip
         
Viele Grüße,
Markus

Alt 23.05.2012, 13:14   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup? - Standard

Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.05.2012, 17:04   #13
atca
 
Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup? - Standard

Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?



Hallo Arne,

anbei der Combofix.log.

Vorab noch folgender Hinweis von mir, da ich nicht weiß, ob es wichtig ist:
Bei vorherigen Scans hatte ich wohl den Virenschutz von Microsoft "Security Essentials" nicht vollständig abgeschaltet. Das ist mir erst jetzt bei Ausführen von Combofix aufgefallen. Denn Combofix hat sich beschwert, dass Security Essentials noch aktiv sei.

tut mir leid. aber das liegt daran, dass sich Security Essentials nur über die Prozesse im Taskmanager beenden läßt. Und da habe ich dann jeweils die "Msseces.exe" beendet. Danach verschwand das Symbol aus der Taskleiste und ich dachte, das Programm sei beendet. Allerdings gehört wohl auch noch der Prozeß "MsMpEng.exe" dazu. jedenfalls, soweit ich das nach kurzer Google-Recherche richtig verstanden habe.

Sag mir bitte, falls ich deshalb den ein oder anderen Scan wiederholen muß.

Ansonsten nun die Combo-Fix-Logdatei

Combofix Logfile:
Code:
ATTFilter
ComboFix 12-05-23.01 - WKST2 23.05.2012  17:38:09.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1407.989 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\WKST2\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
AV: Microsoft Security Essentials *Enabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
FW: ActiveArmor Firewall *Disabled* {EDC10449-64D1-46c7-A59A-EC20D662F26D}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\ST6UNST.000
c:\windows\system32\dllcache\dlimport.exe
c:\windows\system32\SET58.tmp
c:\windows\system32\SET5C.tmp
c:\windows\system32\SET64.tmp
c:\windows\system32\UNWISE32.EXE
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-04-23 bis 2012-05-23  ))))))))))))))))))))))))))))))
.
.
2012-05-23 15:23 . 2012-05-23 15:23	56200	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{75A715C5-339F-4E45-B7D5-DEA93C707AA0}\offreg.dll
2012-05-23 11:25 . 2012-05-23 11:25	29904	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{75A715C5-339F-4E45-B7D5-DEA93C707AA0}\MpKsl47657fe4.sys
2012-05-22 13:59 . 2012-05-22 13:59	--------	d-----w-	c:\programme\SecCommerce
2012-05-22 13:59 . 2012-05-22 13:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer
2012-05-22 13:56 . 2011-03-29 09:24	49152	------w-	c:\windows\Interop.IWshRuntimeLibrary.dll
2012-05-22 13:54 . 2012-05-22 13:54	--------	d-----w-	c:\programme\ESET
2012-05-22 13:15 . 2012-05-08 07:40	6737808	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{75A715C5-339F-4E45-B7D5-DEA93C707AA0}\mpengine.dll
2012-05-21 12:58 . 2012-05-21 12:58	--------	d-----w-	c:\programme\Microsoft
2012-05-21 11:36 . 2012-05-08 07:40	6737808	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-05-21 07:36 . 2012-05-21 07:36	--------	d-----w-	c:\dokumente und einstellungen\WKST2\Lokale Einstellungen\Anwendungsdaten\Sun
2012-05-20 14:38 . 2012-05-21 08:13	419488	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-05-20 14:37 . 2012-05-20 14:37	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2012-05-20 14:37 . 2012-05-20 14:35	143872	----a-w-	c:\windows\system32\javacpl.cpl
2012-05-20 14:37 . 2012-05-20 14:35	772552	----a-w-	c:\windows\system32\npDeployJava1.dll
2012-05-20 14:37 . 2012-05-20 14:35	687560	----a-w-	c:\windows\system32\deployJava1.dll
2012-05-20 14:35 . 2012-05-20 14:35	--------	d-----w-	c:\programme\Java
2012-05-19 15:18 . 2011-06-21 09:24	32768	----a-w-	c:\windows\system32\drivers\sp_rsdrv2.sys
2012-05-19 15:18 . 2012-05-23 07:19	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2012-05-19 15:18 . 2012-05-19 15:18	--------	d-----w-	c:\dokumente und einstellungen\WKST2\Anwendungsdaten\Spyware Terminator
2012-05-19 15:17 . 2012-05-19 15:18	--------	d-----w-	c:\programme\Spyware Terminator
2012-05-19 14:47 . 2012-05-19 14:47	--------	d-----w-	c:\dokumente und einstellungen\WKST2\Anwendungsdaten\Malwarebytes
2012-05-19 14:47 . 2012-05-19 14:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-05-19 14:47 . 2012-05-19 14:47	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-05-19 14:47 . 2012-04-04 13:56	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-05-19 14:43 . 2012-05-19 14:43	--------	d-----w-	c:\programme\Mozilla Maintenance Service
2012-05-19 14:43 . 2012-05-19 14:43	588728	----a-w-	c:\programme\Mozilla Firefox\gkmedias.dll
2012-05-19 14:43 . 2012-05-19 14:43	43960	----a-w-	c:\programme\Mozilla Firefox\mozglue.dll
2012-05-19 14:43 . 2012-05-19 14:43	157352	----a-w-	c:\programme\Mozilla Firefox\maintenanceservice_installer.exe
2012-05-19 14:43 . 2012-05-19 14:43	129976	----a-w-	c:\programme\Mozilla Firefox\maintenanceservice.exe
2012-05-19 12:56 . 2012-01-11 19:06	3072	-c----w-	c:\windows\system32\dllcache\iacenc.dll
2012-05-19 12:56 . 2012-01-11 19:06	3072	------w-	c:\windows\system32\iacenc.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-21 08:13 . 2011-05-13 15:31	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-11 13:51 . 2010-05-23 17:05	2071424	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-04-11 13:51 . 2010-05-23 17:05	1862400	----a-w-	c:\windows\system32\win32k.sys
2012-04-11 13:51 . 2010-05-23 17:05	2194944	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-03-20 18:44 . 2009-12-02 13:23	171064	----a-w-	c:\windows\system32\drivers\MpFilter.sys
2012-03-19 13:44 . 2012-03-19 13:44	227176	----a-w-	c:\windows\system32\ddBACCTM.cpl
2012-03-19 13:44 . 2012-03-19 13:44	825192	----a-w-	c:\windows\system32\Ddbaccpl.cpl
2012-03-01 11:00 . 2006-03-04 03:34	916992	----a-w-	c:\windows\system32\wininet.dll
2012-03-01 11:00 . 2004-08-04 10:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-03-01 11:00 . 2004-08-04 10:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2012-02-29 14:09 . 2010-05-23 17:05	148480	----a-w-	c:\windows\system32\imagehlp.dll
2012-02-29 14:09 . 2004-08-04 10:00	177664	----a-w-	c:\windows\system32\wintrust.dll
2012-02-29 12:17 . 2004-08-04 10:00	385024	----a-w-	c:\windows\system32\html.iec
2012-05-19 14:43 . 2011-05-13 15:07	97208	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-13 7626752]
"nwiz"="nwiz.exe" [2006-07-13 1519616]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-10-14 1005386]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-14 118784]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-07-13 86016]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2012-02-04 925696]
"SpywareTerminatorShield"="c:\programme\Spyware Terminator\SpywareTerminatorShield.exe" [2012-03-28 2786480]
"SpywareTerminatorUpdater"="c:\programme\Spyware Terminator\SpywareTerminatorUpdate.exe" [2012-03-28 3669680]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-17 252296]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\WKST2\Startmenü\Programme\Autostart\
klickTel OEM Frühjahr 2010 - Schnellstarter.lnk - c:\programme\klickTel\klickTel OEM Frühjahr 2010\KSTART32.EXE [2010-6-18 464384]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\RA-MICRO\\RAMICRONET\\StartNet.exe"=
"c:\\Programme\\Spyware Terminator\\SpywareTerminator.exe"=
"c:\\Programme\\Spyware Terminator\\SpywareTerminatorUpdate.exe"=
.
R1 MpKsl47657fe4;MpKsl47657fe4;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{75A715C5-339F-4E45-B7D5-DEA93C707AA0}\MpKsl47657fe4.sys [23.05.2012 13:25 29904]
R1 sp_rsdrv2;Spyware Terminator 2012 Realtime Shield Driver;c:\windows\system32\drivers\sp_rsdrv2.sys [19.05.2012 17:18 32768]
R2 cpuz135;cpuz135;c:\windows\system32\drivers\cpuz135_x32.sys [04.02.2012 12:45 21992]
R2 ST2012_Svc;Spyware Terminator 2012 Realtime Shield Service;c:\programme\Spyware Terminator\st_rsser.exe [19.05.2012 17:18 482992]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [20.05.2012 16:38 257696]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [19.05.2012 16:43 129976]
S3 Olympus DVR Service;Olympus DVR Service;c:\programme\Gemeinsame Dateien\Olympus Shared\DeviceManager\olydvrsv.exe [26.02.2010 12:05 176128]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 97760822
*NewlyCreated* - MPKSL47657FE4
*Deregistered* - 97760822
.
Inhalt des "geplante Tasks" Ordners
.
2012-05-23 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-20 08:13]
.
2012-05-23 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job
- c:\programme\Microsoft Security Client\MpCmdRun.exe [2012-03-26 15:03]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: Interfaces\{7B9CDB97-0121-4EEF-A766-6DCB2017D291}: NameServer = 192.168.0.1
FF - ProfilePath - c:\dokumente und einstellungen\WKST2\Anwendungsdaten\Mozilla\Firefox\Profiles\sb5lttml.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-RA-MICRO Programmdateien - c:\windows\system32\UNWISE32.EXE
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-05-23 17:44
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040B10900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(836)
c:\windows\system32\relog_ap.dll
.
Zeit der Fertigstellung: 2012-05-23  17:46:43
ComboFix-quarantined-files.txt  2012-05-23 15:46
.
Vor Suchlauf: 9 Verzeichnis(se), 29.359.882.240 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 29.705.568.256 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer
.
- - End Of File - - 148DC43C7B623879BD855105AF4CB8B9
         
--- --- ---



Viele Grüße und nochmal Danke für die tolle Betreuung und Anleitung!
Markus

Alt 23.05.2012, 20:12   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup? - Standard

Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?



Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.05.2012, 11:33   #15
atca
 
Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup? - Standard

Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?



Hallo,

so, nach mehreren Versuchen ist auch GMER durchgelaufen:

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-05-24 10:39:39
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-e MAXTOR_STM3160211AS rev.3.AAE
Running: 5qhpxxb2.exe; Driver: C:\DOKUME~1\WKST2\LOKALE~1\Temp\kfeiapob.sys


---- System - GMER 1.0.15 ----

SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys  ZwClose [0xB37B2444]
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys  ZwCreateFile [0xB37B1C8A]
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys  ZwCreateKey [0xB37B1958]
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys  ZwCreateSection [0xB37B3520]
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys  ZwDeleteKey [0xB37B1A68]
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys  ZwDeleteValueKey [0xB37B1B5A]
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys  ZwLoadDriver [0xB37B2780]
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys  ZwOpenFile [0xB37B1F9C]
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys  ZwSetInformationFile [0xB37B20D2]
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys  ZwSetValueKey [0xB37B177E]
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys  ZwTerminateProcess [0xB37B26C8]
SSDT            \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys  ZwWriteFile [0xB37B22BC]

---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys       section is writeable [0xB92FD360, 0x242F4E, 0xE8000020]
init            C:\WINDOWS\system32\drivers\Senfilt.sys        entry point in "init" section [0xB409CA80]

---- Devices - GMER 1.0.15 ----

Device                                                         Ntfs.sys (NT File System Driver/Microsoft Corporation)
Device                                                         Fastfat.SYS (Fast FAT File System Driver/Microsoft Corporation)

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1         snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2         snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3         snapman.sys (Acronis Snapshot API/Acronis)

Device                                                         mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         
--- --- ---


Anschließend OSAM:

OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 10:52:31 on 24.05.2012

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 12.0

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"Adobe Flash Player Updater.job" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
"Microsoft Antimalware Scheduled Scan.job" - "Microsoft Corporation" - c:\Programme\Microsoft Security Client\MpCmdRun.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"Ddbaccpl.cpl" - "DataDesign AG" - C:\WINDOWS\system32\Ddbaccpl.cpl
"ddBACCTM.cpl" - "DataDesign AG" - C:\WINDOWS\system32\ddBACCTM.cpl
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Oracle Corporation" - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Acronis Snapshots Manager" (snapman) - "Acronis" - C:\WINDOWS\System32\DRIVERS\snapman.sys
"Acronis TrueImage Backup Archive Explorer" (timounter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\timntr.sys
"Acronis TrueImage FS Filter" (tifsfilter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tifsfilt.sys
"AsIO" (AsIO) - ? - C:\WINDOWS\System32\drivers\AsIO.sys  (File found, but it contains no detailed information)
"catchme" (catchme) - ? - C:\DOKUME~1\WKST2\LOKALE~1\Temp\catchme.sys  (File not found)
"cercsr6" (cercsr6) - "Adaptec, Inc." - C:\WINDOWS\system32\drivers\cercsr6.sys
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"cpuz135" (cpuz135) - "CPUID" - C:\WINDOWS\system32\drivers\cpuz135_x32.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"kfeiapob" (kfeiapob) - ? - C:\DOKUME~1\WKST2\LOKALE~1\Temp\kfeiapob.sys  (Hidden registry entry, rootkit activity | File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"nvatabus" (nvatabus) - "NVIDIA Corporation" - C:\WINDOWS\system32\drivers\nvatabus.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"Spyware Terminator 2012 Realtime Shield Driver" (sp_rsdrv2) - ? - C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? -   (File not found | COM-object registry key not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{09A47860-11B0-4DA5-AFA5-26D86198A780} "EPP" - "Microsoft Corporation" - c:\PROGRA~1\MI239C~1\shellext.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - c:\programme\microsoft office\OFFICE11\msohev.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{F32C83B9-DF1D-42AD-9741-C52909703957} "STShellHandler" - "Crawler.com" - C:\Programme\Spyware Terminator\STShell.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{0067DBFC-A752-458C-AE6E-B9C7E63D4824} "Geräteerkennung" - "Logitech, Inc." - C:\WINDOWS\DOWNLO~1\LOGITE~1.OCX / hxxp://www.logitech.com/devicedetector/plugins/LogitechDeviceDetection32.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Oracle Corporation" - C:\Programme\Java\jre7\bin\jp2ssv.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "Java(tm) Plug-In SSV Helper" - "Oracle Corporation" - C:\Programme\Java\jre7\bin\ssv.dll

[LSA Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )-----
"Authentication packages" - "Acronis" - C:\WINDOWS\system32\relog_ap.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\WKST2\Startmenü\Programme\Autostart\desktop.ini
"klickTel OEM Frühjahr 2010 - Schnellstarter.lnk" - "telegate MEDIA AG" - C:\Programme\klickTel\klickTel OEM Frühjahr 2010\KSTART32.EXE  (Shortcut exists | File exists)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Acronis Scheduler2 Service" - "Acronis" - "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"MSC" - "Microsoft Corporation" - "c:\Programme\Microsoft Security Client\msseces.exe" -hide -runkey
"nwiz" - "NVIDIA Corporation" - nwiz.exe /install
"SpywareTerminatorShield" - "Crawler.com" - C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
"SpywareTerminatorUpdater" - "Crawler.com" - C:\Programme\Spyware Terminator\SpywareTerminatorUpdate.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"TrueImageMonitor.exe" - "Acronis" - C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll
"PDF-XChange4" - "Tracker Software Products Ltd." - C:\WINDOWS\system32\pxc40pm.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Acronis Scheduler2 Service" (AcrSch2Svc) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
"Adobe Flash Player Update Service" (AdobeFlashPlayerUpdateSvc) - "Adobe Systems Incorporated" - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"ForceWare IP service" (nSvcIp) - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
"ForceWare user log service" (nSvcLog) - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
"Forceware Web Interface" (ForcewareWebInterface) - "Apache Software Foundation" - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
"Java Quick Starter" (JavaQuickStarterService) - "Oracle Corporation" - C:\Programme\Java\jre7\bin\jqs.exe
"Microsoft Antimalware Service" (MsMpSvc) - "Microsoft Corporation" - c:\Programme\Microsoft Security Client\MsMpEng.exe
"Mozilla Maintenance Service" (MozillaMaintenance) - "Mozilla Foundation" - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Olympus DVR Service" (Olympus DVR Service) - "OLYMPUS IMAGING CORP." - C:\Programme\Gemeinsame Dateien\Olympus Shared\DeviceManager\olydvrsv.exe
"Spyware Terminator 2012 Realtime Shield Service" (ST2012_Svc) - "Crawler.com" - C:\Programme\Spyware Terminator\st_rsser.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
         
Und zu guter letzt Aswmbr:

Code:
ATTFilter
 

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-05-24 10:55:06
-----------------------------
10:55:06.062    OS Version: Windows 5.1.2600 Service Pack 3
10:55:06.062    Number of processors: 1 586 0x5F02
10:55:06.062    ComputerName: WKST2-0BB47DDCB  UserName: WKST2
10:55:06.843    Initialize success
10:58:27.546    AVAST engine defs: 12052400
11:00:38.500    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-e
11:00:38.500    Disk 0 Vendor: MAXTOR_STM3160211AS 3.AAE Size: 152627MB BusType: 3
11:00:38.500    Disk 0 MBR read successfully
11:00:38.500    Disk 0 MBR scan
11:00:38.562    Disk 0 Windows XP default MBR code
11:00:38.578    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        39997 MB offset 63
11:00:38.578    Disk 0 Partition - 00     05     Extended            112627 MB offset 81915435
11:00:38.593    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        40978 MB offset 81915498
11:00:38.593    Disk 0 Partition - 00     05     Extended             51709 MB offset 206676225
11:00:38.640    Disk 0 scanning sectors +312576705
11:00:38.750    Disk 0 scanning C:\WINDOWS\system32\drivers
11:01:24.156    Service scanning
11:01:38.656    Service MpKsle2943712 c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{07447B16-B1ED-41AF-867D-D85589C9C5D3}\MpKsle2943712.sys **LOCKED** 32
11:02:04.468    Modules scanning
11:02:50.937    Disk 0 trace - called modules:
11:02:50.968    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys 
11:02:50.968    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x898b7ab8]
11:02:50.968    3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\00000066[0x8992df18]
11:02:50.968    5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-e[0x898e2940]
11:02:51.484    AVAST engine scan C:\WINDOWS
11:03:19.937    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\WKST2\Desktop\MBR.dat"
11:03:19.953    The log file has been saved successfully to "C:\Dokumente und Einstellungen\WKST2\Desktop\aswMBR.txt"
11:03:49.796    AVAST engine scan C:\WINDOWS\system32
11:18:41.828    AVAST engine scan C:\WINDOWS\system32\drivers
11:19:56.828    AVAST engine scan C:\Dokumente und Einstellungen\WKST2
11:54:16.937    AVAST engine scan C:\Dokumente und Einstellungen\All Users
11:55:12.312    Scan finished successfully
12:00:29.046    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\WKST2\Desktop\MBR.dat"
12:00:29.046    The log file has been saved successfully to "C:\Dokumente und Einstellungen\WKST2\Desktop\aswMBR.txt"
         
Ich hoffe,es hilft weiter.

Gruß,
Markus

Antwort

Themen zu Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?
aktuelle, anfang, anleitung, autostart, bundespolizei-virus, dateien, dateisystem, folge, formatierung, fund, gen, gmer, heuristiks/extra, heuristiks/shuriken, image, infektion, keylogger, löschen, malwarebytes, mbam, neues, nicht mehr, ohne befund, problem, security, speicher, temp, tmp, version, windows, windows xp



Ähnliche Themen: Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?


  1. Malwarebytes Fund: Trojan.Agent C:\Windows\SysWOW64\SVKP.sys
    Log-Analyse und Auswertung - 22.08.2015 (15)
  2. Seagate Dashboard Backup Antivir und Malwarebytes haben mehrere Virgen gefunden PUA/Crawler.Gen, PUA/DownloadSponsor.Gen
    Log-Analyse und Auswertung - 15.07.2015 (7)
  3. Fund von Win32: Rootkit-Gen von Avast und Trojan.Downloader von Malwarebytes!
    Plagegeister aller Art und deren Bekämpfung - 22.04.2015 (15)
  4. Trojan Agent - Fund von Malwarebytes
    Log-Analyse und Auswertung - 22.12.2014 (16)
  5. Win32 Dropper Gen Meldung von Avast, aber kein Fund durch Malwarebytes Anti-Rootkit
    Antiviren-, Firewall- und andere Schutzprogramme - 01.06.2014 (14)
  6. Doppelter Trojan.SpyEyes-Fund nach Scan mit Malwarebytes Anti-Malware
    Log-Analyse und Auswertung - 19.03.2014 (11)
  7. Windows 7: Trojan.Dropper.SP + weiterer Fund
    Plagegeister aller Art und deren Bekämpfung - 03.09.2013 (13)
  8. AVIRA-Fund: ADWARE/YONTOO.GEN2 und ESET-Fund: Win32/StartPage.OPH trojan
    Plagegeister aller Art und deren Bekämpfung - 04.04.2013 (12)
  9. FixCamera.exe (Trojan.Dropper) per Malwarebytes gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (4)
  10. Trojan.Agent/Gen-Autoit auf Ext. Backup HDD
    Log-Analyse und Auswertung - 04.04.2012 (13)
  11. TR/Dropper.Gen-Avira Fund - Malwarebytes Log negativ
    Plagegeister aller Art und deren Bekämpfung - 01.04.2011 (1)
  12. Trojan.BHO, Spyware.Passwords.XGen, Trojan.Dropper und Trojan.Agent mit Malware gefunden
    Plagegeister aller Art und deren Bekämpfung - 20.12.2010 (9)
  13. TR/Dropper.Gen von Avira AntiVir und Trojan.Agent.CK sowie Trojan.Orsam von Malwarebytes erkannt
    Plagegeister aller Art und deren Bekämpfung - 03.12.2010 (1)
  14. Diverse Trojaner vom Typ Trojan.Rodecap, Trojan.Dropper und Trojan.Agent! Brauche dringend Hilfe!
    Log-Analyse und Auswertung - 09.08.2010 (16)
  15. trojaner nicht löschbar (AVG u. Malwarebytes) (Trojan.Dropper / Trojan.SpamBot)
    Plagegeister aller Art und deren Bekämpfung - 20.05.2010 (7)
  16. Fund mehrerer Trojaner auf Büro-PC (trojan.dropper / .agent / .crypt)
    Plagegeister aller Art und deren Bekämpfung - 03.02.2009 (3)
  17. Trojan.Slob.EL in Backup Thunderbird ????
    Plagegeister aller Art und deren Bekämpfung - 29.10.2006 (4)

Zum Thema Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup? - Hallo, mein Bürosystem ist ein Windows XP System, Windows jeweils auf dem aktuellen Stand. Ca. Anfang März dieses Jahres habe ich mir auf diesem System eine Infektion mit einer Version - Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup?...
Archiv
Du betrachtest: Trojan.Dropper Fund von Malwarebytes in TrueImage-Backup? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.