PUM.Hijack.StartMenu die Zweite

Sylvester · 07.08.2012, 16:10

So da isser

Code:

ATTFilter

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveAutoRun deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDrives deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveAutoRun deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveAutoRun not found.
Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.
Registry value HKEY_USERS\S-1-5-21-1801674531-308236825-682003330-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: xxx
->Temp folder emptied: 1927015544 bytes
->Temporary Internet Files folder emptied: 66024 bytes
->FireFox cache emptied: 591254230 bytes
->Flash cache emptied: 6066 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Roxio Log Files
 
User: UserA
->Temp folder emptied: 3628873034 bytes
->Temporary Internet Files folder emptied: 1863914 bytes
->FireFox cache emptied: 72644846 bytes
->Flash cache emptied: 602 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 41443 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 5.934,00 mb
 
 
[EMPTYFLASH]
 
User: Administrator
 
User: All Users
 
User: Default User
 
User: xxx
->Flash cache emptied: 0 bytes
 
User: LocalService
 
User: NetworkService
 
User: Roxio Log Files
 
User: UserA
->Flash cache emptied: 0 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.56.0 log created on 08072012_170011

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

cosinus · 08.08.2012, 16:00

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C

nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

Sylvester · 08.08.2012, 18:22

So da isser

Code:

ATTFilter

19:12:01.0671 3308	TDSS rootkit removing tool 2.7.48.0 Jul 24 2012 13:16:32
19:12:01.0812 3308	============================================================
19:12:01.0812 3308	Current date / time: 2012/08/08 19:12:01.0812
19:12:01.0812 3308	SystemInfo:
19:12:01.0812 3308	
19:12:01.0812 3308	OS Version: 5.1.2600 ServicePack: 3.0
19:12:01.0812 3308	Product type: Workstation
19:12:01.0812 3308	ComputerName: HP625
19:12:01.0812 3308	UserName: UserA
19:12:01.0812 3308	Windows directory: C:\WINDOWS
19:12:01.0812 3308	System windows directory: C:\WINDOWS
19:12:01.0812 3308	Processor architecture: Intel x86
19:12:01.0812 3308	Number of processors: 2
19:12:01.0812 3308	Page size: 0x1000
19:12:01.0812 3308	Boot type: Normal boot
19:12:01.0812 3308	============================================================
19:12:03.0265 3308	Drive \Device\Harddisk0\DR0 - Size: 0x4A85D56000 (298.09 Gb), SectorSize: 0x200, Cylinders: 0x9801, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
19:12:03.0265 3308	============================================================
19:12:03.0265 3308	\Device\Harddisk0\DR0:
19:12:03.0265 3308	MBR partitions:
19:12:03.0265 3308	\Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x3A962B1
19:12:03.0281 3308	\Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x3A9632F, BlocksNum 0x10C8ECFA
19:12:03.0312 3308	\Device\Harddisk0\DR0\Partition2: MBR, Type 0x7, StartLBA 0x14725068, BlocksNum 0x10D04798
19:12:03.0312 3308	============================================================
19:12:03.0343 3308	C: <-> \Device\Harddisk0\DR0\Partition0
19:12:03.0375 3308	D: <-> \Device\Harddisk0\DR0\Partition1
19:12:03.0406 3308	E: <-> \Device\Harddisk0\DR0\Partition2
19:12:03.0406 3308	============================================================
19:12:03.0406 3308	Initialize success
19:12:03.0406 3308	============================================================
19:13:29.0125 0728	============================================================
19:13:29.0125 0728	Scan started
19:13:29.0125 0728	Mode: Manual; SigCheck; TDLFS; 
19:13:29.0125 0728	============================================================
19:13:29.0500 0728	Abiosdsk - ok
19:13:29.0515 0728	abp480n5 - ok
19:13:29.0546 0728	ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
19:13:30.0281 0728	ACPI - ok
19:13:30.0312 0728	ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
19:13:30.0437 0728	ACPIEC - ok
19:13:30.0531 0728	AcrSch2Svc      (97e4f91b996420b253fbec98b817e29f) C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
19:13:30.0562 0728	AcrSch2Svc - ok
19:13:30.0562 0728	adpu160m - ok
19:13:30.0609 0728	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
19:13:30.0750 0728	aec - ok
19:13:30.0781 0728	AESTAud         (822d53766d57c90c437536232ece9023) C:\WINDOWS\system32\drivers\AESTAud.sys
19:13:30.0828 0728	AESTAud - ok
19:13:30.0859 0728	afcdp           (53696ad8ffc5fac51949a525ff65a689) C:\WINDOWS\system32\DRIVERS\afcdp.sys
19:13:30.0890 0728	afcdp - ok
19:13:31.0093 0728	afcdpsrv        (af44f7e027037628f1fac3c13cde73e6) C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
19:13:31.0250 0728	afcdpsrv - ok
19:13:31.0406 0728	AFD             (1e44bc1e83d8fd2305f8d452db109cf9) C:\WINDOWS\System32\drivers\afd.sys
19:13:31.0437 0728	AFD - ok
19:13:31.0437 0728	Aha154x - ok
19:13:31.0453 0728	aic78u2 - ok
19:13:31.0453 0728	aic78xx - ok
19:13:31.0484 0728	Alerter         (738d80cc01d7bc7584be917b7f544394) C:\WINDOWS\system32\alrsvc.dll
19:13:31.0578 0728	Alerter - ok
19:13:31.0609 0728	ALG             (190cd73d4984f94d823f9444980513e5) C:\WINDOWS\System32\alg.exe
19:13:31.0656 0728	ALG - ok
19:13:31.0656 0728	AliIde - ok
19:13:31.0671 0728	amsint - ok
19:13:31.0890 0728	AntiVirSchedulerService (466a0d95960dad3222c896d2cea99993) C:\Programme\Avira\AntiVir Desktop\sched.exe
19:13:31.0906 0728	AntiVirSchedulerService - ok
19:13:31.0937 0728	AntiVirService  (a489be6bb0aa1ff406b488b60542314b) C:\Programme\Avira\AntiVir Desktop\avguard.exe
19:13:31.0953 0728	AntiVirService - ok
19:13:31.0984 0728	AppMgmt         (d45960be52c3c610d361977057f98c54) C:\WINDOWS\System32\appmgmts.dll
19:13:32.0062 0728	AppMgmt - ok
19:13:32.0062 0728	asc - ok
19:13:32.0062 0728	asc3350p - ok
19:13:32.0078 0728	asc3550 - ok
19:13:32.0171 0728	aspnet_state    (0e5e4957549056e2bf2c49f4f6b601ad) C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
19:13:32.0218 0728	aspnet_state - ok
19:13:32.0234 0728	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
19:13:32.0343 0728	AsyncMac - ok
19:13:32.0375 0728	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
19:13:32.0468 0728	atapi - ok
19:13:32.0468 0728	Atdisk - ok
19:13:32.0546 0728	Ati HotKey Poller (e7d80b6b1fcae400c9eba9d103b43a04) C:\WINDOWS\system32\Ati2evxx.exe
19:13:32.0562 0728	Ati HotKey Poller - ok
19:13:32.0828 0728	ati2mtag        (991f30c921a8244421aed43af6900ce4) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
19:13:32.0984 0728	ati2mtag - ok
19:13:33.0140 0728	AtiHdmiService  (e3b9fe6d478dc12ee9fb5169ee98d1ba) C:\WINDOWS\system32\drivers\AtiHdmi.sys
19:13:33.0171 0728	AtiHdmiService - ok
19:13:33.0187 0728	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
19:13:33.0296 0728	Atmarpc - ok
19:13:33.0328 0728	AudioSrv        (58ed0d5452df7be732193e7999c6b9a4) C:\WINDOWS\System32\audiosrv.dll
19:13:33.0468 0728	AudioSrv - ok
19:13:33.0500 0728	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
19:13:33.0609 0728	audstub - ok
19:13:33.0656 0728	avgntflt        (d5541f0afb767e85fc412fc609d96a74) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
19:13:33.0656 0728	avgntflt - ok
19:13:33.0703 0728	avipbb          (7d967a682d4694df7fa57d63a2db01fe) C:\WINDOWS\system32\DRIVERS\avipbb.sys
19:13:33.0718 0728	avipbb - ok
19:13:33.0765 0728	avkmgr          (53e56450da16a1a7f0d002f511113f67) C:\WINDOWS\system32\DRIVERS\avkmgr.sys
19:13:33.0781 0728	avkmgr - ok
19:13:33.0953 0728	BCM43XX         (5d4893633b7161fa25500eb7aeabec94) C:\WINDOWS\system32\DRIVERS\bcmwl5.sys
19:13:34.0093 0728	BCM43XX - ok
19:13:34.0250 0728	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
19:13:34.0359 0728	Beep - ok
19:13:34.0421 0728	BITS            (d6f603772a789bb3228f310d650b8bd1) C:\WINDOWS\system32\qmgr.dll
19:13:34.0515 0728	BITS - ok
19:13:34.0546 0728	Browser         (b42057f06bbb98b31876c0b3f2b54e33) C:\WINDOWS\System32\browser.dll
19:13:34.0671 0728	Browser - ok
19:13:34.0734 0728	btaudio         (4c1e8749d280f9b8e41c4eff6a6bbc04) C:\WINDOWS\system32\drivers\btaudio.sys
19:13:34.0765 0728	btaudio - ok
19:13:34.0796 0728	BTDriver        (a47b37b97f9348e81a60c44b99011416) C:\WINDOWS\system32\DRIVERS\btport.sys
19:13:34.0812 0728	BTDriver - ok
19:13:34.0890 0728	BTKRNL          (8f3952b72cc7349d628b36d3b62e86fc) C:\WINDOWS\system32\DRIVERS\btkrnl.sys
19:13:34.0937 0728	BTKRNL - ok
19:13:35.0031 0728	btwdins         (b9dbbbb70ebbcd7880af03c33b2312bb) C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
19:13:35.0046 0728	btwdins - ok
19:13:35.0078 0728	BTWDNDIS        (eb80e51cb4045571066d8ad1871e284e) C:\WINDOWS\system32\DRIVERS\btwdndis.sys
19:13:35.0093 0728	BTWDNDIS - ok
19:13:35.0125 0728	BTWUSB          (68420305b621fa6d96b05525a627041a) C:\WINDOWS\system32\Drivers\btwusb.sys
19:13:35.0140 0728	BTWUSB - ok
19:13:35.0171 0728	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
19:13:35.0281 0728	cbidf2k - ok
19:13:35.0296 0728	CCDECODE        (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
19:13:35.0406 0728	CCDECODE - ok
19:13:35.0406 0728	cd20xrnt - ok
19:13:35.0437 0728	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
19:13:35.0546 0728	Cdaudio - ok
19:13:35.0562 0728	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
19:13:35.0656 0728	Cdfs - ok
19:13:35.0703 0728	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
19:13:35.0812 0728	Cdrom - ok
19:13:35.0812 0728	Changer - ok
19:13:35.0859 0728	CiSvc           (28e3040d1f1ca2008cd6b29dfebc9a5e) C:\WINDOWS\system32\cisvc.exe
19:13:35.0953 0728	CiSvc - ok
19:13:35.0968 0728	ClipSrv         (778a30ed3c134eb7e406afc407e9997d) C:\WINDOWS\system32\clipsrv.exe
19:13:36.0078 0728	ClipSrv - ok
19:13:36.0140 0728	clr_optimization_v2.0.50727_32 (d87acaed61e417bba546ced5e7e36d9c) C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
19:13:36.0187 0728	clr_optimization_v2.0.50727_32 - ok
19:13:36.0203 0728	CmBatt          (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
19:13:36.0328 0728	CmBatt - ok
19:13:36.0328 0728	CmdIde - ok
19:13:36.0343 0728	Compbatt        (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
19:13:36.0453 0728	Compbatt - ok
19:13:36.0453 0728	COMSysApp - ok
19:13:36.0468 0728	Cpqarray - ok
19:13:36.0500 0728	CryptSvc        (611f824e5c703a5a899f84c5f1699e4d) C:\WINDOWS\System32\cryptsvc.dll
19:13:36.0593 0728	CryptSvc - ok
19:13:36.0609 0728	dac2w2k - ok
19:13:36.0609 0728	dac960nt - ok
19:13:36.0687 0728	DcomLaunch      (3127afbf2c1ed0ab14a1bbb7aaecb85b) C:\WINDOWS\system32\rpcss.dll
19:13:36.0718 0728	DcomLaunch - ok
19:13:36.0750 0728	Dhcp            (c29a1c9b75ba38fa37f8c44405dec360) C:\WINDOWS\System32\dhcpcsvc.dll
19:13:36.0843 0728	Dhcp - ok
19:13:36.0875 0728	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
19:13:36.0984 0728	Disk - ok
19:13:36.0984 0728	dmadmin - ok
19:13:37.0062 0728	dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
19:13:37.0187 0728	dmboot - ok
19:13:37.0203 0728	dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
19:13:37.0296 0728	dmio - ok
19:13:37.0312 0728	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
19:13:37.0406 0728	dmload - ok
19:13:37.0421 0728	dmserver        (25c83ffbba13b554eb6d59a9b2e2ee78) C:\WINDOWS\System32\dmserver.dll
19:13:37.0531 0728	dmserver - ok
19:13:37.0546 0728	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
19:13:37.0671 0728	DMusic - ok
19:13:37.0703 0728	Dnscache        (407f3227ac618fd1ca54b335b083de07) C:\WINDOWS\System32\dnsrslvr.dll
19:13:37.0703 0728	Dnscache - ok
19:13:37.0734 0728	Dot3svc         (676e36c4ff5bcea1900f44182b9723e6) C:\WINDOWS\System32\dot3svc.dll
19:13:37.0843 0728	Dot3svc - ok
19:13:37.0843 0728	dpti2o - ok
19:13:37.0890 0728	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
19:13:37.0984 0728	drmkaud - ok
19:13:38.0000 0728	EapHost         (4e4f2fddab0a0736d7671134dcce91fb) C:\WINDOWS\System32\eapsvc.dll
19:13:38.0109 0728	EapHost - ok
19:13:38.0125 0728	ElbyCDFL        (ce37e3d51912e59c80c6d84337c0b4cd) C:\WINDOWS\system32\Drivers\ElbyCDFL.sys
19:13:38.0156 0728	ElbyCDFL - ok
19:13:38.0156 0728	ElbyCDIO        (178cc9403816c082d22a1d47fa1f9c85) C:\WINDOWS\system32\Drivers\ElbyCDIO.sys
19:13:38.0171 0728	ElbyCDIO - ok
19:13:38.0187 0728	ERSvc           (877c18558d70587aa7823a1a308ac96b) C:\WINDOWS\System32\ersvc.dll
19:13:38.0296 0728	ERSvc - ok
19:13:38.0328 0728	Eventlog        (a3edbe9053889fb24ab22492472b39dc) C:\WINDOWS\system32\services.exe
19:13:38.0343 0728	Eventlog - ok
19:13:38.0390 0728	EventSystem     (af4f6b5739d18ca7972ab53e091cbc74) C:\WINDOWS\system32\es.dll
19:13:38.0421 0728	EventSystem - ok
19:13:38.0453 0728	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
19:13:38.0562 0728	Fastfat - ok
19:13:38.0593 0728	FastUserSwitchingCompatibility (2db7d303c36ddd055215052f118e8e75) C:\WINDOWS\System32\shsvcs.dll
19:13:38.0609 0728	FastUserSwitchingCompatibility - ok
19:13:38.0640 0728	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
19:13:38.0734 0728	Fdc - ok
19:13:38.0734 0728	Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
19:13:38.0828 0728	Fips - ok
19:13:38.0843 0728	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
19:13:38.0937 0728	Flpydisk - ok
19:13:38.0984 0728	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
19:13:39.0078 0728	FltMgr - ok
19:13:39.0187 0728	FontCache3.0.0.0 (8ba7c024070f2b7fdd98ed8a4ba41789) C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
19:13:39.0203 0728	FontCache3.0.0.0 - ok
19:13:39.0218 0728	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
19:13:39.0328 0728	Fs_Rec - ok
19:13:39.0375 0728	FTDIBUS         (b7aa8283ec551d3a3b924e520e0621a7) C:\WINDOWS\system32\drivers\ftdibus.sys
19:13:39.0390 0728	FTDIBUS - ok
19:13:39.0406 0728	Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
19:13:39.0515 0728	Ftdisk - ok
19:13:39.0531 0728	FTSER2K         (596d31583ce332b5514520d74837f434) C:\WINDOWS\system32\drivers\ftser2k.sys
19:13:39.0546 0728	FTSER2K - ok
19:13:39.0578 0728	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
19:13:39.0671 0728	Gpc - ok
19:13:39.0703 0728	HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
19:13:39.0796 0728	HDAudBus - ok
19:13:39.0843 0728	helpsvc         (cb66bf85bf599befd6c6a57c2e20357f) C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll
19:13:39.0937 0728	helpsvc - ok
19:13:39.0937 0728	HidServ         (b35da85e60c0103f2e4104532da2f12b) C:\WINDOWS\System32\hidserv.dll
19:13:40.0046 0728	HidServ - ok
19:13:40.0093 0728	hidusb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
19:13:40.0187 0728	hidusb - ok
19:13:40.0218 0728	hkmsvc          (ed29f14101523a6e0e808107405d452c) C:\WINDOWS\System32\kmsvc.dll
19:13:40.0312 0728	hkmsvc - ok
19:13:40.0312 0728	hpn - ok
19:13:40.0375 0728	HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
19:13:40.0390 0728	HTTP - ok
19:13:40.0421 0728	HTTPFilter      (9e4adb854cebcfb81a4b36718feecd16) C:\WINDOWS\System32\w3ssl.dll
19:13:40.0531 0728	HTTPFilter - ok
19:13:40.0531 0728	i2omgmt - ok
19:13:40.0546 0728	i2omp - ok
19:13:40.0578 0728	i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
19:13:40.0671 0728	i8042prt - ok
19:13:40.0765 0728	idsvc           (c01ac32dc5c03076cfb852cb5da5229c) C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
19:13:40.0843 0728	idsvc - ok
19:13:40.0890 0728	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
19:13:40.0984 0728	Imapi - ok
19:13:41.0015 0728	ImapiService    (d4b413aa210c21e46aedd2ba5b68d38e) C:\WINDOWS\system32\imapi.exe
19:13:41.0109 0728	ImapiService - ok
19:13:41.0109 0728	ini910u - ok
19:13:41.0125 0728	IntelIde - ok
19:13:41.0140 0728	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
19:13:41.0250 0728	Ip6Fw - ok
19:13:41.0281 0728	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
19:13:41.0375 0728	IpFilterDriver - ok
19:13:41.0390 0728	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
19:13:41.0484 0728	IpInIp - ok
19:13:41.0515 0728	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
19:13:41.0609 0728	IpNat - ok
19:13:41.0625 0728	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
19:13:41.0734 0728	IPSec - ok
19:13:41.0765 0728	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
19:13:41.0828 0728	IRENUM - ok
19:13:41.0843 0728	isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
19:13:41.0953 0728	isapnp - ok
19:13:42.0000 0728	ISODrive        (bf71a06ff065e3fd7e32ea67dca34885) C:\Programme\UltraISO\drivers\ISODrive.sys
19:13:42.0015 0728	ISODrive ( UnsignedFile.Multi.Generic ) - warning
19:13:42.0015 0728	ISODrive - detected UnsignedFile.Multi.Generic (1)
19:13:42.0109 0728	JavaQuickStarterService (a456937acc87bb40d7e2331f1e3a2ac5) C:\Programme\Java\jre7\bin\jqs.exe
19:13:42.0125 0728	JavaQuickStarterService - ok
19:13:42.0156 0728	Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
19:13:42.0250 0728	Kbdclass - ok
19:13:42.0281 0728	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
19:13:42.0375 0728	kmixer - ok
19:13:42.0406 0728	KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
19:13:42.0421 0728	KSecDD - ok
19:13:42.0453 0728	LanmanServer    (2bbdcb79900990f0716dfcb714e72de7) C:\WINDOWS\System32\srvsvc.dll
19:13:42.0468 0728	LanmanServer - ok
19:13:42.0515 0728	lanmanworkstation (1869b14b06b44b44af70548e1ea3303f) C:\WINDOWS\System32\wkssvc.dll
19:13:42.0531 0728	lanmanworkstation - ok
19:13:42.0531 0728	lbrtfdc - ok
19:13:42.0562 0728	LmHosts         (636714b7d43c8d0c80449123fd266920) C:\WINDOWS\System32\lmhsvc.dll
19:13:42.0671 0728	LmHosts - ok
19:13:42.0703 0728	MBAMProtector   (6dfe7f2e8e8a337263aa5c92a215f161) C:\WINDOWS\system32\drivers\mbam.sys
19:13:42.0718 0728	MBAMProtector - ok
19:13:42.0796 0728	MBAMService     (43683e970f008c93c9429ef428147a54) C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
19:13:42.0828 0728	MBAMService - ok
19:13:42.0921 0728	MDM             (11f714f85530a2bd134074dc30e99fca) C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
19:13:42.0937 0728	MDM - ok
19:13:42.0968 0728	Messenger       (b7550a7107281d170ce85524b1488c98) C:\WINDOWS\System32\msgsvc.dll
19:13:43.0078 0728	Messenger - ok
19:13:43.0093 0728	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
19:13:43.0187 0728	mnmdd - ok
19:13:43.0203 0728	mnmsrvc         (c2f1d365fd96791b037ee504868065d3) C:\WINDOWS\system32\mnmsrvc.exe
19:13:43.0296 0728	mnmsrvc - ok
19:13:43.0312 0728	Modem           (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
19:13:43.0421 0728	Modem - ok
19:13:43.0437 0728	Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
19:13:43.0531 0728	Mouclass - ok
19:13:43.0546 0728	mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
19:13:43.0640 0728	mouhid - ok
19:13:43.0671 0728	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
19:13:43.0765 0728	MountMgr - ok
19:13:43.0765 0728	mraid35x - ok
19:13:43.0796 0728	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
19:13:43.0890 0728	MRxDAV - ok
19:13:43.0937 0728	MRxSmb          (7d304a5eb4344ebeeab53a2fe3ffb9f0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
19:13:43.0953 0728	MRxSmb - ok
19:13:43.0984 0728	MSDTC           (35a031af38c55f92d28aa03ee9f12cc9) C:\WINDOWS\system32\msdtc.exe
19:13:44.0078 0728	MSDTC - ok
19:13:44.0109 0728	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
19:13:44.0218 0728	Msfs - ok
19:13:44.0218 0728	MSIServer - ok
19:13:44.0250 0728	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
19:13:44.0343 0728	MSKSSRV - ok
19:13:44.0359 0728	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
19:13:44.0437 0728	MSPCLOCK - ok
19:13:44.0453 0728	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
19:13:44.0562 0728	MSPQM - ok
19:13:44.0578 0728	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
19:13:44.0671 0728	mssmbios - ok
19:13:44.0687 0728	MSTEE           (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
19:13:44.0781 0728	MSTEE - ok
19:13:44.0812 0728	Mup             (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
19:13:44.0843 0728	Mup - ok
19:13:44.0875 0728	NABTSFEC        (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
19:13:44.0968 0728	NABTSFEC - ok
19:13:45.0031 0728	napagent        (46bb15ae2ac7d025d6d2567b876817bd) C:\WINDOWS\System32\qagentrt.dll
19:13:45.0140 0728	napagent - ok
19:13:45.0187 0728	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
19:13:45.0281 0728	NDIS - ok
19:13:45.0296 0728	NdisIP          (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
19:13:45.0390 0728	NdisIP - ok
19:13:45.0421 0728	NdisTapi        (0109c4f3850dfbab279542515386ae22) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
19:13:45.0437 0728	NdisTapi - ok
19:13:45.0468 0728	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
19:13:45.0562 0728	Ndisuio - ok
19:13:45.0609 0728	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
19:13:45.0703 0728	NdisWan - ok
19:13:45.0718 0728	NDProxy         (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
19:13:45.0734 0728	NDProxy - ok
19:13:45.0859 0728	Nero BackItUp Scheduler 3 (78073f606ae3b24f6c1f555759aa8511) C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
19:13:45.0890 0728	Nero BackItUp Scheduler 3 - ok
19:13:45.0937 0728	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
19:13:46.0031 0728	NetBIOS - ok
19:13:46.0078 0728	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
19:13:46.0171 0728	NetBT - ok
19:13:46.0203 0728	NetDDE          (8ace4251bffd09ce75679fe940e996cc) C:\WINDOWS\system32\netdde.exe
19:13:46.0312 0728	NetDDE - ok
19:13:46.0312 0728	NetDDEdsdm      (8ace4251bffd09ce75679fe940e996cc) C:\WINDOWS\system32\netdde.exe
19:13:46.0406 0728	NetDDEdsdm - ok
19:13:46.0437 0728	Netlogon        (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
19:13:46.0531 0728	Netlogon - ok
19:13:46.0546 0728	Netman          (e6d88f1f6745bf00b57e7855a2ab696c) C:\WINDOWS\System32\netman.dll
19:13:46.0640 0728	Netman - ok
19:13:46.0750 0728	NetTcpPortSharing (d34612c5d02d026535b3095d620626ae) C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
19:13:46.0781 0728	NetTcpPortSharing - ok
19:13:46.0828 0728	Nla             (f1b67b6b0751ae0e6e964b02821206a3) C:\WINDOWS\System32\mswsock.dll
19:13:46.0859 0728	Nla - ok
19:13:46.0937 0728	NMIndexingService (62f68443d244024845b875b44d76a92f) C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
19:13:46.0968 0728	NMIndexingService - ok
19:13:47.0000 0728	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
19:13:47.0093 0728	Npfs - ok
19:13:47.0140 0728	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
19:13:47.0265 0728	Ntfs - ok
19:13:47.0265 0728	NtLmSsp         (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
19:13:47.0359 0728	NtLmSsp - ok
19:13:47.0406 0728	NtmsSvc         (56af4064996fa5bac9c449b1514b4770) C:\WINDOWS\system32\ntmssvc.dll
19:13:47.0515 0728	NtmsSvc - ok
19:13:47.0546 0728	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
19:13:47.0640 0728	Null - ok
19:13:47.0687 0728	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
19:13:47.0796 0728	NwlnkFlt - ok
19:13:47.0796 0728	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
19:13:47.0906 0728	NwlnkFwd - ok
19:13:47.0968 0728	ose             (7a56cf3e3f12e8af599963b16f50fb6a) C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
19:13:47.0984 0728	ose - ok
19:13:48.0031 0728	Parport         (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\drivers\Parport.sys
19:13:48.0125 0728	Parport - ok
19:13:48.0156 0728	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
19:13:48.0234 0728	PartMgr - ok
19:13:48.0265 0728	ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
19:13:48.0359 0728	ParVdm - ok
19:13:48.0359 0728	PCI             (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
19:13:48.0453 0728	PCI - ok
19:13:48.0468 0728	PCIDump - ok
19:13:48.0484 0728	PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
19:13:48.0562 0728	PCIIde - ok
19:13:48.0593 0728	Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
19:13:48.0687 0728	Pcmcia - ok
19:13:48.0703 0728	PDCOMP - ok
19:13:48.0703 0728	PDFRAME - ok
19:13:48.0718 0728	PDRELI - ok
19:13:48.0718 0728	PDRFRAME - ok
19:13:48.0734 0728	perc2 - ok
19:13:48.0734 0728	perc2hib - ok
19:13:48.0781 0728	PLFlash DeviceIoControl Service (875e4e0661f3a5994df9e5e3a0a4f96b) C:\WINDOWS\system32\IoctlSvc.exe
19:13:48.0796 0728	PLFlash DeviceIoControl Service ( UnsignedFile.Multi.Generic ) - warning
19:13:48.0796 0728	PLFlash DeviceIoControl Service - detected UnsignedFile.Multi.Generic (1)
19:13:48.0828 0728	PlugPlay        (a3edbe9053889fb24ab22492472b39dc) C:\WINDOWS\system32\services.exe
19:13:48.0843 0728	PlugPlay - ok
19:13:48.0843 0728	PolicyAgent     (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
19:13:48.0937 0728	PolicyAgent - ok
19:13:48.0953 0728	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
19:13:49.0062 0728	PptpMiniport - ok
19:13:49.0093 0728	PrecSim         (c3127bfdab6200769b5a0184fab48573) C:\WINDOWS\system32\DRIVERS\precsim.sys
19:13:49.0109 0728	PrecSim ( UnsignedFile.Multi.Generic ) - warning
19:13:49.0109 0728	PrecSim - detected UnsignedFile.Multi.Generic (1)
19:13:49.0125 0728	Processor       (2cb55427c58679f49ad600fccba76360) C:\WINDOWS\system32\DRIVERS\processr.sys
19:13:49.0218 0728	Processor - ok
19:13:49.0218 0728	ProtectedStorage (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
19:13:49.0312 0728	ProtectedStorage - ok
19:13:49.0328 0728	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
19:13:49.0421 0728	PSched - ok
19:13:49.0421 0728	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
19:13:49.0531 0728	Ptilink - ok
19:13:49.0531 0728	ql1080 - ok
19:13:49.0546 0728	Ql10wnt - ok
19:13:49.0546 0728	ql12160 - ok
19:13:49.0562 0728	ql1240 - ok
19:13:49.0562 0728	ql1280 - ok
19:13:49.0578 0728	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
19:13:49.0671 0728	RasAcd - ok
19:13:49.0703 0728	RasAuto         (f5ba6caccdb66c8f048e867563203246) C:\WINDOWS\System32\rasauto.dll
19:13:49.0812 0728	RasAuto - ok
19:13:49.0843 0728	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
19:13:49.0937 0728	Rasl2tp - ok
19:13:49.0968 0728	RasMan          (f9a7b66ea345726edb5862a46b1eccd5) C:\WINDOWS\System32\rasmans.dll
19:13:50.0078 0728	RasMan - ok
19:13:50.0093 0728	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
19:13:50.0187 0728	RasPppoe - ok
19:13:50.0187 0728	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
19:13:50.0281 0728	Raspti - ok
19:13:50.0343 0728	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
19:13:50.0437 0728	Rdbss - ok
19:13:50.0453 0728	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
19:13:50.0546 0728	RDPCDD - ok
19:13:50.0609 0728	rdpdr           (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
19:13:50.0703 0728	rdpdr - ok
19:13:50.0765 0728	RDPWD           (6589db6e5969f8eee594cf71171c5028) C:\WINDOWS\system32\drivers\RDPWD.sys
19:13:50.0781 0728	RDPWD - ok
19:13:50.0828 0728	RDSessMgr       (263af18af0f3db99f574c95f284ccec9) C:\WINDOWS\system32\sessmgr.exe
19:13:50.0921 0728	RDSessMgr - ok
19:13:50.0953 0728	redbook         (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
19:13:51.0062 0728	redbook - ok
19:13:51.0109 0728	RemoteAccess    (0e97ec96d6942ceec2d188cc2eb69a01) C:\WINDOWS\System32\mprdim.dll
19:13:51.0203 0728	RemoteAccess - ok
19:13:51.0250 0728	RemoteRegistry  (e4cd1f3d84e1c2ca0b8cf7501e201593) C:\WINDOWS\system32\regsvc.dll
19:13:51.0343 0728	RemoteRegistry - ok
19:13:51.0375 0728	RpcLocator      (2a02e21867497df20b8fc95631395169) C:\WINDOWS\system32\locator.exe
19:13:51.0484 0728	RpcLocator - ok
19:13:51.0531 0728	RpcSs           (3127afbf2c1ed0ab14a1bbb7aaecb85b) C:\WINDOWS\System32\rpcss.dll
19:13:51.0562 0728	RpcSs - ok
19:13:51.0593 0728	RSVP            (4bdd71b4b521521499dfd14735c4f398) C:\WINDOWS\system32\rsvp.exe
19:13:51.0703 0728	RSVP - ok
19:13:51.0734 0728	RTLE8023xp      (e47c52f0380f0950e2bc9f1bcdc0de9b) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
19:13:51.0765 0728	RTLE8023xp - ok
19:13:51.0796 0728	SamSs           (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe
19:13:51.0890 0728	SamSs - ok
19:13:51.0906 0728	SCardSvr        (dcec079fad95d36c8dd5cb6d779dfe32) C:\WINDOWS\System32\SCardSvr.exe
19:13:52.0015 0728	SCardSvr - ok
19:13:52.0046 0728	Schedule        (a050194a44d7fa8d7186ed2f4e8367ae) C:\WINDOWS\system32\schedsvc.dll
19:13:52.0156 0728	Schedule - ok
19:13:52.0187 0728	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
19:13:52.0234 0728	Secdrv - ok
19:13:52.0250 0728	seclogon        (bee4cfd1d48c23b44cf4b974b0b79b2b) C:\WINDOWS\System32\seclogon.dll
19:13:52.0343 0728	seclogon - ok
19:13:52.0359 0728	SENS            (2aac9b6ed9eddffb721d6452e34d67e3) C:\WINDOWS\system32\sens.dll
19:13:52.0453 0728	SENS - ok
19:13:52.0484 0728	Ser2pl          (de0a165d9f8ea295e62ea702ef2f8125) C:\WINDOWS\system32\DRIVERS\ser2pl.sys
19:13:52.0500 0728	Ser2pl - ok
19:13:52.0531 0728	Serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
19:13:52.0625 0728	Serenum - ok
19:13:52.0671 0728	Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\drivers\Serial.sys
19:13:52.0765 0728	Serial - ok
19:13:52.0796 0728	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
19:13:52.0890 0728	Sfloppy - ok
19:13:52.0937 0728	SharedAccess    (cad058d5f8b889a87ca3eb3cf624dcef) C:\WINDOWS\System32\ipnathlp.dll
19:13:53.0031 0728	SharedAccess - ok
19:13:53.0062 0728	ShellHWDetection (2db7d303c36ddd055215052f118e8e75) C:\WINDOWS\System32\shsvcs.dll
19:13:53.0078 0728	ShellHWDetection - ok
19:13:53.0078 0728	Simbad - ok
19:13:53.0109 0728	SLIP            (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
19:13:53.0203 0728	SLIP - ok
19:13:53.0234 0728	snapman         (eb49860e776ce860dc3cfb9edb1ba517) C:\WINDOWS\system32\DRIVERS\snapman.sys
19:13:53.0265 0728	snapman - ok
19:13:53.0296 0728	SONYPVU1        (a1eceeaa5c5e74b2499eb51d38185b84) C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS
19:13:53.0390 0728	SONYPVU1 - ok
19:13:53.0390 0728	Sparrow - ok
19:13:53.0421 0728	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
19:13:53.0515 0728	splitter - ok
19:13:53.0531 0728	Spooler         (60784f891563fb1b767f70117fc2428f) C:\WINDOWS\system32\spoolsv.exe
19:13:53.0562 0728	Spooler - ok
19:13:53.0593 0728	sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
19:13:53.0671 0728	sr - ok
19:13:53.0703 0728	srservice       (fe77a85495065f3ad59c5c65b6c54182) C:\WINDOWS\system32\srsvc.dll
19:13:53.0750 0728	srservice - ok
19:13:53.0796 0728	Srv             (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
19:13:53.0812 0728	Srv - ok
19:13:53.0859 0728	SSDPSRV         (4df5b05dfaec29e13e1ed6f6ee12c500) C:\WINDOWS\System32\ssdpsrv.dll
19:13:53.0921 0728	SSDPSRV - ok
19:13:53.0953 0728	ssmdrv          (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
19:13:53.0953 0728	ssmdrv - ok
19:13:54.0015 0728	STacSV          (43dc7ada838f6a24b93b7c7ff2fcd08d) c:\programme\idt\wdm\STacSV.exe
19:13:54.0046 0728	STacSV - ok
19:13:54.0156 0728	STHDA           (517746e78da290700d82976a5b7e99a7) C:\WINDOWS\system32\drivers\sthda.sys
19:13:54.0218 0728	STHDA - ok
19:13:54.0359 0728	stisvc          (bc2c5985611c5356b24aeb370953ded9) C:\WINDOWS\system32\wiaservc.dll
19:13:54.0453 0728	stisvc - ok
19:13:54.0500 0728	streamip        (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
19:13:54.0609 0728	streamip - ok
19:13:54.0625 0728	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
19:13:54.0718 0728	swenum - ok
19:13:54.0750 0728	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
19:13:54.0843 0728	swmidi - ok
19:13:54.0843 0728	SwPrv - ok
19:13:54.0859 0728	symc810 - ok
19:13:54.0859 0728	symc8xx - ok
19:13:54.0875 0728	sym_hi - ok
19:13:54.0875 0728	sym_u3 - ok
19:13:54.0921 0728	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
19:13:55.0015 0728	sysaudio - ok
19:13:55.0062 0728	SysmonLog       (2903fffa2523926d6219428040dce6b9) C:\WINDOWS\system32\smlogsvc.exe
19:13:55.0156 0728	SysmonLog - ok
19:13:55.0203 0728	TapiSrv         (05903cac4b98908d55ea5774775b382e) C:\WINDOWS\System32\tapisrv.dll
19:13:55.0296 0728	TapiSrv - ok
19:13:55.0343 0728	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
19:13:55.0359 0728	Tcpip - ok
19:13:55.0390 0728	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
19:13:55.0484 0728	TDPIPE - ok
19:13:55.0562 0728	tdrpman273      (431801fcc97034e04a6eff81136578d7) C:\WINDOWS\system32\DRIVERS\tdrpm273.sys
19:13:55.0609 0728	tdrpman273 - ok
19:13:55.0640 0728	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
19:13:55.0734 0728	TDTCP - ok
19:13:55.0765 0728	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
19:13:55.0859 0728	TermDD - ok
19:13:55.0906 0728	TermService     (b7de02c863d8f5a005a7bf375375a6a4) C:\WINDOWS\System32\termsrv.dll
19:13:56.0000 0728	TermService - ok
19:13:56.0031 0728	Themes          (2db7d303c36ddd055215052f118e8e75) C:\WINDOWS\System32\shsvcs.dll
19:13:56.0046 0728	Themes - ok
19:13:56.0109 0728	timounter       (a34d7024bb7140ec785c86bc065d4f60) C:\WINDOWS\system32\DRIVERS\timntr.sys
19:13:56.0156 0728	timounter - ok
19:13:56.0187 0728	TlntSvr         (03681a1ce77f51586903869a5ab1deab) C:\WINDOWS\system32\tlntsvr.exe
19:13:56.0250 0728	TlntSvr - ok
19:13:56.0265 0728	TosIde - ok
19:13:56.0281 0728	TrkWks          (626504572b175867f30f3215c04b3e2f) C:\WINDOWS\system32\trkwks.dll
19:13:56.0359 0728	TrkWks - ok
19:13:56.0390 0728	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
19:13:56.0484 0728	Udfs - ok
19:13:56.0500 0728	ultra - ok
19:13:56.0531 0728	UMWdf           (c81b8635dee0d3ef5f64b3dd643023a5) C:\WINDOWS\system32\wdfmgr.exe
19:13:56.0531 0728	UMWdf - ok
19:13:56.0593 0728	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
19:13:56.0718 0728	Update - ok
19:13:56.0750 0728	upnphost        (1dfd8975d8c89214b98d9387c1125b49) C:\WINDOWS\System32\upnphost.dll
19:13:56.0812 0728	upnphost - ok
19:13:56.0828 0728	UPS             (9b11e6118958e63e1fef129466e2bda7) C:\WINDOWS\System32\ups.exe
19:13:56.0921 0728	UPS - ok
19:13:56.0937 0728	usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
19:13:57.0046 0728	usbccgp - ok
19:13:57.0062 0728	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
19:13:57.0156 0728	usbehci - ok
19:13:57.0171 0728	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
19:13:57.0281 0728	usbhub - ok
19:13:57.0281 0728	usbohci         (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
19:13:57.0390 0728	usbohci - ok
19:13:57.0421 0728	USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
19:13:57.0515 0728	USBSTOR - ok
19:13:57.0531 0728	usbvideo        (63bbfca7f390f4c49ed4b96bfb1633e0) C:\WINDOWS\system32\Drivers\usbvideo.sys
19:13:57.0625 0728	usbvideo - ok
19:13:57.0656 0728	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
19:13:57.0765 0728	VgaSave - ok
19:13:57.0765 0728	ViaIde - ok
19:13:57.0812 0728	VolSnap         (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
19:13:57.0906 0728	VolSnap - ok
19:13:57.0968 0728	VSS             (68f106273be29e7b7ef8266977268e78) C:\WINDOWS\System32\vssvc.exe
19:13:58.0031 0728	VSS - ok
19:13:58.0062 0728	W32Time         (7b353059e665f8b7ad2bbeaef597cf45) C:\WINDOWS\system32\w32time.dll
19:13:58.0156 0728	W32Time - ok
19:13:58.0187 0728	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
19:13:58.0281 0728	Wanarp - ok
19:13:58.0312 0728	wceusbsh        (46a247f6617526afe38b6f12f5512120) C:\WINDOWS\system32\DRIVERS\wceusbsh.sys
19:13:58.0328 0728	wceusbsh - ok
19:13:58.0343 0728	WDICA - ok
19:13:58.0359 0728	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
19:13:58.0453 0728	wdmaud - ok
19:13:58.0484 0728	WebClient       (81727c9873e3905a2ffc1ebd07265002) C:\WINDOWS\System32\webclnt.dll
19:13:58.0562 0728	WebClient - ok
19:13:58.0640 0728	winmgmt         (6f3f3973d97714cc5f906a19fe883729) C:\WINDOWS\system32\wbem\WMIsvc.dll
19:13:58.0734 0728	winmgmt - ok
19:13:58.0781 0728	WmdmPmSN        (a477391b7a8b0a0daabadb17cf533a4b) C:\WINDOWS\system32\MsPMSNSv.dll
19:13:58.0812 0728	WmdmPmSN - ok
19:13:58.0875 0728	Wmi             (ffa4d901d46d07a5bab2d8307fbb51a6) C:\WINDOWS\System32\advapi32.dll
19:13:58.0937 0728	Wmi - ok
19:13:58.0953 0728	WmiAcpi         (c42584fd66ce9e17403aebca199f7bdb) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
19:13:59.0031 0728	WmiAcpi - ok
19:13:59.0062 0728	WmiApSrv        (93908111ba57a6e60ec2fa2de202105c) C:\WINDOWS\system32\wbem\wmiapsrv.exe
19:13:59.0156 0728	WmiApSrv - ok
19:13:59.0171 0728	WS2IFSL         (6abe6e225adb5a751622a9cc3bc19ce8) C:\WINDOWS\System32\drivers\ws2ifsl.sys
19:13:59.0250 0728	WS2IFSL - ok
19:13:59.0281 0728	wscsvc          (300b3e84faf1a5c1f791c159ba28035d) C:\WINDOWS\system32\wscsvc.dll
19:13:59.0375 0728	wscsvc - ok
19:13:59.0390 0728	WSTCODEC        (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
19:13:59.0484 0728	WSTCODEC - ok
19:13:59.0515 0728	wuauserv        (7b4fe05202aa6bf9f4dfd0e6a0d8a085) C:\WINDOWS\system32\wuauserv.dll
19:13:59.0593 0728	wuauserv - ok
19:13:59.0640 0728	WZCSVC          (c4f109c005f6725162d2d12ca751e4a7) C:\WINDOWS\System32\wzcsvc.dll
19:13:59.0750 0728	WZCSVC - ok
19:13:59.0781 0728	xmlprov         (0ada34871a2e1cd2caafed1237a47750) C:\WINDOWS\System32\xmlprov.dll
19:13:59.0890 0728	xmlprov - ok
19:13:59.0921 0728	MBR (0x1B8)     (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
19:14:00.0468 0728	\Device\Harddisk0\DR0 - ok
19:14:00.0468 0728	Boot (0x1200)   (3289e42ebcd3045435f3c3a01fb314e4) \Device\Harddisk0\DR0\Partition0
19:14:00.0468 0728	\Device\Harddisk0\DR0\Partition0 - ok
19:14:00.0484 0728	Boot (0x1200)   (a25251ca17618ebaf41cd2de48aa984e) \Device\Harddisk0\DR0\Partition1
19:14:00.0484 0728	\Device\Harddisk0\DR0\Partition1 - ok
19:14:00.0500 0728	Boot (0x1200)   (148a43f3096f6347374060452da853f9) \Device\Harddisk0\DR0\Partition2
19:14:00.0515 0728	\Device\Harddisk0\DR0\Partition2 - ok
19:14:00.0515 0728	============================================================
19:14:00.0515 0728	Scan finished
19:14:00.0515 0728	============================================================
19:14:00.0640 0956	Detected object count: 3
19:14:00.0640 0956	Actual detected object count: 3
19:14:19.0968 0956	ISODrive ( UnsignedFile.Multi.Generic ) - skipped by user
19:14:19.0968 0956	ISODrive ( UnsignedFile.Multi.Generic ) - User select action: Skip 
19:14:19.0968 0956	PLFlash DeviceIoControl Service ( UnsignedFile.Multi.Generic ) - skipped by user
19:14:19.0968 0956	PLFlash DeviceIoControl Service ( UnsignedFile.Multi.Generic ) - User select action: Skip 
19:14:19.0968 0956	PrecSim ( UnsignedFile.Multi.Generic ) - skipped by user
19:14:19.0968 0956	PrecSim ( UnsignedFile.Multi.Generic ) - User select action: Skip

VG

cosinus · 09.08.2012, 13:28

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Sylvester · 09.08.2012, 18:42

[CODE]
Combofix Logfile:

Code:

ATTFilter

ComboFix 12-08-09.01 - UserA 09.08.2012  19:30:19.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2812.2077 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\UserA\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\EventSystem.log
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-07-09 bis 2012-08-09  ))))))))))))))))))))))))))))))
.
.
2012-08-06 14:46 . 2012-08-06 14:46	--------	d-----w-	C:\_OTL
2012-08-04 20:54 . 2012-08-04 20:54	--------	d-----w-	c:\programme\ESET
2012-08-01 20:13 . 2012-08-01 20:13	--------	d-----w-	c:\windows\system32\wbem\Repository
2012-07-25 19:29 . 2009-09-27 07:39	369152	----a-w-	c:\windows\system32\avisynth.dll
2012-07-25 19:29 . 2005-07-14 10:31	32256	----a-w-	c:\windows\system32\AVSredirect.dll
2012-07-25 19:29 . 2004-02-22 08:11	719872	----a-w-	c:\windows\system32\devil.dll
2012-07-25 19:29 . 2004-01-24 22:00	70656	----a-w-	c:\windows\system32\yv12vfw.dll
2012-07-25 19:29 . 2004-01-24 22:00	70656	----a-w-	c:\windows\system32\i420vfw.dll
2012-07-25 19:29 . 2012-07-25 19:29	--------	d-----w-	c:\programme\AviSynth 2.5
2012-07-13 15:16 . 2012-07-03 11:46	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-07-13 15:16 . 2012-07-13 15:16	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-07-13 15:09 . 2012-07-13 15:09	711240	----a-w-	c:\windows\is-NDMIC.exe
2012-07-13 14:05 . 2012-07-13 14:05	711240	----a-w-	c:\windows\is-SR8V5.exe
2012-07-13 13:28 . 2008-04-14 12:00	221184	----a-w-	c:\windows\system32\wmpns.dll
2012-07-13 13:28 . 2012-08-08 17:19	--------	d-----w-	c:\dokumente und einstellungen\UserA
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-01 21:02 . 2012-07-05 03:42	426184	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-08-01 21:02 . 2011-08-17 21:57	70344	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-07-05 19:37 . 2012-07-05 19:37	772592	----a-w-	c:\windows\system32\npDeployJava1.dll
2012-07-05 19:37 . 2012-07-05 19:37	687600	----a-w-	c:\windows\system32\deployJava1.dll
2012-07-05 19:37 . 2012-07-05 19:37	143872	----a-w-	c:\windows\system32\javacpl.cpl
2012-06-13 13:55 . 2008-04-14 12:00	1866240	----a-w-	c:\windows\system32\win32k.sys
2012-06-05 15:49 . 2008-04-14 12:00	1372672	----a-w-	c:\windows\system32\msxml6.dll
2012-06-05 15:49 . 2008-04-14 12:00	1172480	----a-w-	c:\windows\system32\msxml3.dll
2012-06-04 04:32 . 2008-04-14 12:00	152576	----a-w-	c:\windows\system32\schannel.dll
2012-06-02 13:19 . 2011-08-17 21:13	329240	----a-w-	c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2011-08-17 21:13	219160	----a-w-	c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2011-08-17 21:13	210968	----a-w-	c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2009-08-06 17:24	18456	----a-w-	c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-08-06 17:24	15896	----a-w-	c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2011-08-17 21:13	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2011-08-17 21:13	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-02 13:19 . 2009-08-06 17:24	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2009-08-06 17:24	15896	----a-w-	c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2008-04-14 12:00	97304	----a-w-	c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2009-08-06 17:24	23576	----a-w-	c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2011-08-17 21:13	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2011-08-17 21:13	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 13:18 . 2011-08-18 19:45	275696	----a-w-	c:\windows\system32\mucltui.dll
2012-06-02 13:18 . 2011-08-18 19:45	214256	----a-w-	c:\windows\system32\muweb.dll
2012-06-02 13:18 . 2011-08-18 19:45	18160	----a-w-	c:\windows\system32\mucltui.dll.mui
2012-05-31 13:22 . 2008-04-14 12:00	604160	----a-w-	c:\windows\system32\crypt32.dll
2011-12-09 08:51 . 2011-09-05 16:01	1456640	----a-w-	c:\programme\Gemeinsame Dateien\Falk Navi-Manager.msi
2012-02-22 18:25 . 2011-08-22 16:22	134104	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
2006-05-03 10:06	163328	--sha-r-	c:\windows\system32\flvDX.dll
2007-02-21 11:47	31232	--sha-r-	c:\windows\system32\msfDX.dll
2008-03-16 13:30	216064	--sha-r-	c:\windows\system32\nbDX.dll
2010-01-06 22:00	107520	--sha-r-	c:\windows\system32\TAKDSDecoder.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-12-12 1840424]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-05-01 348624]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-17 252296]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLinkedConnections"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0\0sdnclean.exe
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
2011-06-27 23:46	395344	----a-w-	c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AESTFltr]
2009-04-21 19:01	737280	----a-w-	c:\windows\system32\AESTFltr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccleaner]
2011-04-25 13:47	2253112	----a-w-	c:\programme\CCleaner\CCleaner.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
2009-01-29 22:20	57344	----a-w-	c:\programme\SlySoft\CloneCD\CloneCDTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 12:00	15360	----a-w-	c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2008-12-02 13:29	2221352	----a-w-	c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2008-11-06 06:25	570664	----a-w-	c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SAOB Monitor]
2011-05-10 16:57	2570688	----a-w-	c:\programme\Acronis\TrueImageHome\OnlineBackupStandalone\TrueImageMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
2010-04-27 08:22	102400	----a-w-	c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
2011-06-27 23:45	5587672	----a-w-	c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Duolabs\\QBoxHD_Updater v.1.1.0\\QBOXHD Updater.exe"=
"c:\\totalcmd\\TOTALCMD.EXE"=
"c:\\Programme\\JDownloader\\jre\\bin\\javaw.exe"=
.
R0 PrecSim;PrecSim;c:\windows\system32\drivers\precsim.sys [22.05.2002 01:00 69600]
R0 tdrpman273;Acronis Try&Decide and Restore Points filter (build 273);c:\windows\system32\drivers\tdrpm273.sys [19.08.2011 00:05 752128]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [15.06.2012 18:01 36000]
R2 afcdpsrv;Acronis Nonstop Backup-Dienst;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [19.08.2011 00:05 3246040]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.06.2012 18:01 86224]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [13.07.2012 17:16 655944]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [18.08.2011 21:52 113664]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [19.08.2011 00:05 167968]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [13.07.2012 17:16 22344]
.
.
------- Zusätzlicher Suchlauf -------
.
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\UserA\Anwendungsdaten\Mozilla\Firefox\Profiles\wt6r5ydq.default\
FF - prefs.js: browser.startup.homepage - google.de
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-Adobe ARM - c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
MSConfigStartUp-PC Connection Agent - c:\programme\Microsoft ActiveSync\wcescomm.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-08-09 19:33
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1056)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
.
Zeit der Fertigstellung: 2012-08-09  19:34:38
ComboFix-quarantined-files.txt  2012-08-09 17:34
.
Vor Suchlauf: 7 Verzeichnis(se), 20.063.703.040 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 20.054.700.032 Bytes frei
.
- - End Of File - - BFDD361C3B3DFDAC1EFE72257C828BE6

--- --- ---

cosinus · 10.08.2012, 20:58

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Sylvester · 13.08.2012, 17:19

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-08-13 18:12:51
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD3200BEVT-60A23T0 rev.02.01A02
Running: l3r0799h.exe; Driver: C:\DOKUME~1\UserA\LOKALE~1\Temp\pgtdipob.sys


---- System - GMER 1.0.15 ----

SSDT            BA719184                                                    ZwClose
SSDT            BA71913E                                                    ZwCreateKey
SSDT            BA71918E                                                    ZwCreateSection
SSDT            BA719134                                                    ZwCreateThread
SSDT            BA719143                                                    ZwDeleteKey
SSDT            BA71914D                                                    ZwDeleteValueKey
SSDT            BA71917F                                                    ZwDuplicateObject
SSDT            BA719152                                                    ZwLoadKey
SSDT            BA719120                                                    ZwOpenProcess
SSDT            BA719125                                                    ZwOpenThread
SSDT            BA7191A7                                                    ZwQueryValueKey
SSDT            BA71915C                                                    ZwReplaceKey
SSDT            BA719198                                                    ZwRequestWaitReplyPort
SSDT            BA719157                                                    ZwRestoreKey
SSDT            BA719193                                                    ZwSetContextThread
SSDT            BA71919D                                                    ZwSetSecurityObject
SSDT            BA719148                                                    ZwSetValueKey
SSDT            BA7191A2                                                    ZwSystemDebugControl
SSDT            BA71912F                                                    ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                    section is writeable [0xA9688000, 0x235D07, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                      tdrpm273.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                      tdrpm273.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                      sr.sys (Dateisystemfilter-Treiber der Systemwiederherstellung/Microsoft Corporation)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                      tdrpm273.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                      sr.sys (Dateisystemfilter-Treiber der Systemwiederherstellung/Microsoft Corporation)

Device          \Driver\Cdrom \Device\CdRom0                                8A2BB96E
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                 8A2BD01C
Device          \Driver\atapi \Device\Ide\IdePort0                          8A2BD01C
Device          \Driver\atapi \Device\Ide\IdePort1                          8A2BD01C
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e                 8A2BD01C

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3                      tdrpm273.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3                      sr.sys (Dateisystemfilter-Treiber der Systemwiederherstellung/Microsoft Corporation)

Device          \Driver\Cdrom \Device\CdRom1                                8A2BB96E
Device          \Driver\PrecSim \Device\Scsi\PrecSim1Port0Path0Target0Lun0  8A2BD00C
Device          \Driver\PrecSim \Device\Scsi\PrecSim1                       8A2BD00C

---- EOF - GMER 1.0.15 ----

--- --- ---

Code:

ATTFilter

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-08-13 18:25:31
-----------------------------
18:25:31.015    OS Version: Windows 5.1.2600 Service Pack 3
18:25:31.015    Number of processors: 2 586 0x603
18:25:31.015    ComputerName: HP625  UserName: UserA
18:25:31.328    Initialize success
18:28:23.531    AVAST engine defs: 12081300
18:28:38.968    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
18:28:38.968    Disk 0 Vendor: WDC_WD3200BEVT-60A23T0 02.01A02 Size: 305245MB BusType: 3
18:28:39.015    Disk 0 MBR read successfully
18:28:39.015    Disk 0 MBR scan
18:28:39.062    Disk 0 Windows XP default MBR code
18:28:39.078    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        29996 MB offset 63
18:28:39.078    Disk 0 Partition - 00     0F Extended LBA            275238 MB offset 61432560
18:28:39.109    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       137501 MB offset 61432623
18:28:39.125    Disk 0 Partition - 00     05     Extended            137736 MB offset 343035945
18:28:39.140    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       137736 MB offset 343036008
18:28:39.171    Disk 0 scanning sectors +625121280
18:28:39.343    Disk 0 scanning C:\WINDOWS\system32\drivers
18:28:56.828    Service scanning
18:29:22.890    Modules scanning
18:29:45.187    Disk 0 trace - called modules:
18:29:45.218    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8a2bd01c]<<
18:29:45.218    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a2b4ab8]
18:29:45.218    3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\00000074[0x8a2c6c30]
18:29:45.234    5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x8a2b8628]
18:29:45.234    \Driver\atapi[0x8a2b9820] -> IRP_MJ_INTERNAL_DEVICE_CONTROL -> 0x8a2bd01c
18:29:45.484    AVAST engine scan C:\WINDOWS
18:29:58.468    AVAST engine scan C:\WINDOWS\system32
18:34:44.906    AVAST engine scan C:\WINDOWS\system32\drivers
18:35:06.812    AVAST engine scan C:\Dokumente und Einstellungen\UserA
18:35:34.187    AVAST engine scan C:\Dokumente und Einstellungen\All Users
18:36:01.656    Scan finished successfully
18:36:30.171    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\UserA\Desktop\MBR.dat"
18:36:30.171    The log file has been saved successfully to "C:\Dokumente und Einstellungen\UserA\Desktop\aswMBR.txt"

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 18:20:32 on 13.08.2012

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 10.0.2

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Boot Execute]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----
"BootExecute" - ? - sdnclean.exe  (File not found)

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"btcpl.cpl" - "Broadcom Corporation." - C:\WINDOWS\system32\btcpl.cpl
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Oracle Corporation" - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero8\Nero Toolkit\NeroBurnRights.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Acronis Snapshots Manager" (snapman) - "Acronis" - C:\WINDOWS\System32\DRIVERS\snapman.sys
"Acronis Try&Decide and Restore Points filter (build 273)" (tdrpman273) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tdrpm273.sys
"afcdp" (afcdp) - "Acronis" - C:\WINDOWS\System32\DRIVERS\afcdp.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"avkmgr" (avkmgr) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avkmgr.sys
"catchme" (catchme) - ? - C:\DOKUME~1\UserA\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"ElbyCDFL" (ElbyCDFL) - "SlySoft, Inc." - C:\WINDOWS\System32\Drivers\ElbyCDFL.sys
"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"ISO DVD/CD-ROM Device Driver" (ISODrive) - "EZB Systems, Inc." - C:\Programme\UltraISO\drivers\ISODrive.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbam.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"pgtdipob" (pgtdipob) - ? - C:\DOKUME~1\UserA\LOKALE~1\Temp\pgtdipob.sys  (Hidden registry entry, rootkit activity | File not found)
"PrecSim" (PrecSim) - "Engelmann GmbH" - C:\WINDOWS\System32\DRIVERS\precsim.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} "Versions-Update für Internet Explorer" - "Microsoft Corporation" - C:\WINDOWS\system32\ieudinit.exe
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A} "PXCInfoShlExt Class" - "Tracker Software Products (Canada) Ltd." - C:\Programme\Tracker Software\Shell Extensions\XCShInfo.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MI1933~1\OFFICE11\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MI1933~1\OFFICE11\OLKFSTUB.DLL
{CF822AB4-6DB5-4FDA-BC28-E61DF36D2583} "PDF-XChange PDF Preview Provider" - "Tracker Software Products (Canada) Ltd." - C:\Programme\Tracker Software\Shell Extensions\XCShInfo.dll
{67EB453C-1BE1-48EC-AAF3-23B10277FCC1} "PDF-XChange PDF Property Handler" - "Tracker Software Products (Canada) Ltd." - C:\Programme\Tracker Software\Shell Extensions\XCShInfo.dll
{EBD0B8F4-A9A0-41B7-9695-030CD264D9C8} "PDF-XChange PDF Thumbnail Provider" - "Tracker Software Products (Canada) Ltd." - C:\Programme\Tracker Software\Shell Extensions\XCShInfo.dll
{5B043439-4F53-436E-8CFE-28F80934DBE6} "PXCPreviewHandlerXP Class" - "Tracker Software Products (Canada) Ltd." - C:\Programme\Tracker Software\Shell Extensions\PXCPrevHost.exe
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{52B87208-9CCF-42C9-B88E-069281105805} "Trojan Remover Shell Extension" - ? -   (File not found | COM-object registry key not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
XCShInfo "{B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A}" - ? -   (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10v.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"@btrez.dll,-4015" - ? - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Oracle Corporation" - C:\Programme\Java\jre7\bin\jp2ssv.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "Java(tm) Plug-In SSV Helper" - "Oracle Corporation" - C:\Programme\Java\jre7\bin\ssv.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\UserA\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" - "Nero AG" - "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira Operations GmbH & Co. KG" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Bluetooth-Druckeranschluss" - "Broadcom Corporation." - C:\WINDOWS\system32\bthcrp.dll
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Acronis Nonstop Backup-Dienst" (afcdpsrv) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
"Acronis Scheduler2 Service" (AcrSch2Svc) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira Echtzeit Scanner" (AntiVirService) - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira Planer" (AntiVirSchedulerService) - "Avira Operations GmbH & Co. KG" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Bluetooth Service" (btwdins) - "Broadcom Corporation." - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
"Java Quick Starter" (JavaQuickStarterService) - "Oracle Corporation" - C:\Programme\Java\jre7\bin\jqs.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
"MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
"Nero BackItUp Scheduler 3" (Nero BackItUp Scheduler 3) - "Nero AG" - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"PLFlash DeviceIoControl Service" (PLFlash DeviceIoControl Service) - "Prolific Technology Inc." - C:\WINDOWS\system32\IoctlSvc.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

cosinus · 13.08.2012, 18:29

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Sylvester · 13.08.2012, 21:02

Code:

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.13.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
UserA :: HP625 [Administrator]

Schutz: Aktiviert

13.08.2012 19:30:45
mbam-log-2012-08-13 (19-30-45).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 264083
Laufzeit: 54 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Code:

ATTFilter

SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 08/13/2012 bei 09:55 PM

Version der Applikation : 5.5.1012

Version der Kern-Datenbank : 9048
Version der Spur-Datenbank : 6860

Scan Art       : kompletter Scann
Totale Scann-Zeit : 00:34:45

Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Gescannte Speicherelemente  : 468
Erfasste Speicher-Bedrohungen  : 0
Gescannte Register-Elemente  : 34375
Erfasste Register-Bedrohungen  : 0
Gescannte Datei-Elemente     : 41134
Erfasste Datei-Elemente   : 0

cosinus · 14.08.2012, 14:47

Keine Funde!

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Sylvester · 14.08.2012, 18:16

Danke danke danke für die Hilfe und wertvollen Tips.

Ich frag mich bloß warum ich nun schon zum zweiten Mal diesen
PUM.Hijack.StartMenu eingefangen habe.
Kann es mit der Cookieblockierung schon eine Abhilfe sein oder
was nützt sonst noch.
Dachte eigentlich mit einen eingeschränkten Benutzerzugang wäre
das Problem gelöst, hat aber nix geholfen.

VG

cosinus · 15.08.2012, 18:27

Zitat:

Dachte eigentlich mit einen eingeschränkten Benutzerzugang wäre
das Problem gelöst, hat aber nix geholfen.

Das ist ja nun Quatsch
Schließlich wurde der angebliche PUM.Hijackthis in einem Teil der Registry gefunden, auf dem auch der eingeschränkte User Schreibzugriff hat, eigentlich nur er (HKEY_CURRENT_USER)
Hört sich ein wenig an bei dir wie "weil es nichts geholfen hat nehm ich wieder Adminrechte" und genau das ist die falsche Schlussfolgerung, denn als eingeschränkter Benutzer farfst du so erstmal nichts an Systembereichen ändern (zB Windows-Ordner, andere Benutzerprofile und in der Registry den System-Hive wie zB HKEY_LOCAL_MACHINE)

Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks => Adobe Flash Player Distribution | Adobe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Sylvester · 15.08.2012, 18:42

Zitat:

Zitat von cosinus

Hört sich ein wenig an bei dir wie "weil es nichts geholfen hat nehm ich wieder Adminrechte" und genau das ist die falsche Schlussfolgerung, denn als eingeschränkter Benutzer farfst du so erstmal nichts an Systembereichen ändern (zB Windows-Ordner, andere Benutzerprofile und in der Registry den System-Hive wie zB HKEY_LOCAL_MACHINE)

Ne ne , das ist nun wieder von dir Quatsch

Ich hab schon den eingeschränkten Zugang fürs Surfen und den üblichen Tra ra
Wenn ich aber wie z.B. bei dir Programme installieren müßte dann geh ich auf den Adminzugang.
Jetzt wirds aber kompliziert, dadurch müßte ich mit dem Adminzugang ins Netz,
genauso wie bei irgendwelchen Updates, ob Windoof oder anders.
Vor allen bei den EInstellereien bei den Tools hab ich immer mit Feuerfuchs gelesen, also auch online auf dem Trojaner Board.

Zum Teil schütze ich meinen Rechner schon mit noScript, WOT usw. usw. usw.

VG

cosinus · 16.08.2012, 08:35

Dann täuschte mich nur mein Eindruck

Und nein, du musst dich jedesmal ab- und als Admin wieder anmelden

Die Windows-Updates laufen als Systemdienst, das bekommt man auch als eingeschränkter User hin mit der Bedienung
Notfalls wird der Internet Explorer per Rechtsklick und "ausführen als" im Kontext eines Admins gestartet
Und die anderen Tools können ebenso gestartet werden wenn sie ein Update benötigen, auch eine setup.exe kann so als Admin gestartet werden

Sylvester · 16.08.2012, 08:40

Zitat:

Zitat von cosinus

Die Windows-Updates laufen als Systemdienst, das bekommt man auch als eingeschränkter User hin mit der Bedienung

Eigenartig ist nur das ich in meinen eingeschränkten Benutzerzugang kein Ausrufezeichen für ein Winupdate angezeigt bekomme.
Gehe ich in meinen Adminzugang , natürlich über Ab,- und Anmelden

zeigt es mir in der Taskleiste das Winupdate an

13.08.2012, 18:29	#23
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	PUM.Hijack.StartMenu die Zweite Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

PUM.Hijack.StartMenu die Zweite

Log-Analyse und Auswertung: PUM.Hijack.StartMenu die Zweite