| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: PC startet plötzlich und ohne Vorwarnung neuWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
28.11.2012, 17:16
| #16 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  PC startet plötzlich und ohne Vorwarnung neu 1. aswMBR Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop. Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!
Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button. 2. TDSS-Killer Download TDSS-Killer auf Desktop siehe => http://www.trojaner-board.de/82358-t...entfernen.html Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm! Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs. Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! 
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
29.11.2012, 14:44
| #17 |
 | PC startet plötzlich und ohne Vorwarnung neu Vielen Dank!
__________________Anbei die Logs: aswMBR.txt: Code:
ATTFilter aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2012-11-29 12:50:27
-----------------------------
12:50:27.859 OS Version: Windows 5.1.2600 Service Pack 3
12:50:27.859 Number of processors: 2 586 0x6B02
12:50:27.859 ComputerName: KIR-PC UserName:
12:50:29.546 Initialize success
12:55:24.812 AVAST engine defs: 12112900
12:55:38.328 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-12
12:55:38.328 Disk 0 Vendor: Maxtor_6Y080L0 YAR41BW0 Size: 78167MB BusType: 3
12:55:38.328 Disk 0 MBR read successfully
12:55:38.328 Disk 0 MBR scan
12:55:38.453 Disk 0 Windows XP default MBR code
12:55:38.468 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 43081 MB offset 63
12:55:38.468 Disk 0 Partition - 00 05 Extended 35085 MB offset 88231934
12:55:38.484 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 35084 MB offset 88231997
12:55:38.531 Disk 0 scanning sectors +160086016
12:55:38.671 Disk 0 scanning C:\WINDOWS\system32\drivers
12:56:06.796 Service scanning
12:57:01.656 Modules scanning
12:57:31.468 Disk 0 trace - called modules:
12:57:31.484 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys
12:57:31.484 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a3b9ab8]
12:57:31.484 3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\0000005f[0x8a3bbf18]
12:57:31.484 5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-12[0x8a3f4d98]
12:57:32.656 AVAST engine scan C:\WINDOWS
12:57:53.250 AVAST engine scan C:\WINDOWS\system32
13:08:10.640 AVAST engine scan C:\WINDOWS\system32\drivers
13:08:37.093 AVAST engine scan C:\Dokumente und Einstellungen\KIR Resonanz
13:08:50.265 File: C:\Dokumente und Einstellungen\KIR Resonanz\Anwendungsdaten\Dsbayjrvpfh\95A91C625CE3391ED792.exe **INFECTED** Win32:Karagany-FS [Trj]
13:09:50.593 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\KIR Resonanz\Desktop\MBR.dat"
13:09:50.593 The log file has been saved successfully to "C:\Dokumente und Einstellungen\KIR Resonanz\Desktop\aswMBR.txt"
tdsskiller: Code:
ATTFilter 13:10:02.0828 0148 TDSS rootkit removing tool 2.8.15.0 Oct 31 2012 21:47:35
13:10:03.0187 0148 ============================================================
13:10:03.0187 0148 Current date / time: 2012/11/29 13:10:03.0187
13:10:03.0187 0148 SystemInfo:
13:10:03.0187 0148
13:10:03.0187 0148 OS Version: 5.1.2600 ServicePack: 3.0
13:10:03.0187 0148 Product type: Workstation
13:10:03.0187 0148 ComputerName: KIR-PC
13:10:03.0187 0148 UserName: KIR Resonanz
13:10:03.0187 0148 Windows directory: C:\WINDOWS
13:10:03.0187 0148 System windows directory: C:\WINDOWS
13:10:03.0187 0148 Processor architecture: Intel x86
13:10:03.0187 0148 Number of processors: 2
13:10:03.0187 0148 Page size: 0x1000
13:10:03.0187 0148 Boot type: Normal boot
13:10:03.0187 0148 ============================================================
13:10:06.0046 0148 Drive \Device\Harddisk0\DR0 - Size: 0x1315740000 (76.34 Gb), SectorSize: 0x200, Cylinders: 0x26EC, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
13:10:06.0046 0148 ============================================================
13:10:06.0046 0148 \Device\Harddisk0\DR0:
13:10:06.0046 0148 MBR partitions:
13:10:06.0046 0148 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x54248AA
13:10:06.0062 0148 \Device\Harddisk0\DR0\Partition2: MBR, Type 0x7, StartLBA 0x542503D, BlocksNum 0x44867C3
13:10:06.0062 0148 ============================================================
13:10:06.0125 0148 C: <-> \Device\Harddisk0\DR0\Partition1
13:10:06.0250 0148 G: <-> \Device\Harddisk0\DR0\Partition2
13:10:06.0250 0148 ============================================================
13:10:06.0250 0148 Initialize success
13:10:06.0250 0148 ============================================================
13:10:35.0265 0152 ============================================================
13:10:35.0265 0152 Scan started
13:10:35.0265 0152 Mode: Manual; SigCheck; TDLFS;
13:10:35.0265 0152 ============================================================
13:10:35.0593 0152 ================ Scan system memory ========================
13:10:35.0593 0152 System memory - ok
13:10:35.0593 0152 ================ Scan services =============================
13:10:36.0015 0152 Abiosdsk - ok
13:10:36.0031 0152 abp480n5 - ok
13:10:36.0187 0152 [ AC407F1A62C3A300B4F2B5A9F1D55B2C ] ACPI C:\WINDOWS\system32\DRIVERS\ACPI.sys
13:10:36.0562 0152 ACPI - ok
13:10:36.0593 0152 [ 9E1CA3160DAFB159CA14F83B1E317F75 ] ACPIEC C:\WINDOWS\system32\drivers\ACPIEC.sys
13:10:36.0734 0152 ACPIEC - ok
13:10:36.0968 0152 [ 44C00A385CA9DBC1D5CF3781F8C26AEA ] AdobeFlashPlayerUpdateSvc C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
13:10:36.0984 0152 AdobeFlashPlayerUpdateSvc - ok
13:10:36.0984 0152 adpu160m - ok
13:10:37.0125 0152 [ 8BED39E3C35D6A489438B8141717A557 ] aec C:\WINDOWS\system32\drivers\aec.sys
13:10:37.0343 0152 aec - ok
13:10:37.0468 0152 [ 1E44BC1E83D8FD2305F8D452DB109CF9 ] AFD C:\WINDOWS\System32\drivers\afd.sys
13:10:37.0468 0152 Suspicious file (Forged): C:\WINDOWS\System32\drivers\afd.sys. Real md5: 1E44BC1E83D8FD2305F8D452DB109CF9, Fake md5: 88C28E140745CD5DBC9DE4422B19C53B
13:10:37.0468 0152 AFD ( ForgedFile.Multi.Generic ) - warning
13:10:37.0468 0152 AFD - detected ForgedFile.Multi.Generic (1)
13:10:37.0484 0152 Aha154x - ok
13:10:37.0484 0152 aic78u2 - ok
13:10:37.0500 0152 aic78xx - ok
13:10:37.0546 0152 [ 738D80CC01D7BC7584BE917B7F544394 ] Alerter C:\WINDOWS\system32\alrsvc.dll
13:10:37.0671 0152 Alerter - ok
13:10:37.0718 0152 [ 190CD73D4984F94D823F9444980513E5 ] ALG C:\WINDOWS\System32\alg.exe
13:10:37.0781 0152 ALG - ok
13:10:37.0796 0152 AliIde - ok
13:10:37.0859 0152 [ 58BE3C2F1AA041EA56F7305A6463035C ] AmdK8 C:\WINDOWS\system32\DRIVERS\AmdK8.sys
13:10:37.0906 0152 AmdK8 - ok
13:10:37.0921 0152 amsint - ok
13:10:38.0109 0152 [ 466A0D95960DAD3222C896D2CEA99993 ] AntiVirSchedulerService C:\Programme\Avira\AntiVir Desktop\sched.exe
13:10:38.0125 0152 AntiVirSchedulerService - ok
13:10:38.0203 0152 [ A489BE6BB0AA1FF406B488B60542314B ] AntiVirService C:\Programme\Avira\AntiVir Desktop\avguard.exe
13:10:38.0218 0152 AntiVirService - ok
13:10:38.0234 0152 AppMgmt - ok
13:10:38.0234 0152 asc - ok
13:10:38.0250 0152 asc3350p - ok
13:10:38.0265 0152 asc3550 - ok
13:10:38.0390 0152 [ 0E5E4957549056E2BF2C49F4F6B601AD ] aspnet_state C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
13:10:38.0453 0152 aspnet_state - ok
13:10:38.0484 0152 [ B153AFFAC761E7F5FCFA822B9C4E97BC ] AsyncMac C:\WINDOWS\system32\DRIVERS\asyncmac.sys
13:10:38.0609 0152 AsyncMac - ok
13:10:38.0703 0152 [ 9F3A2F5AA6875C72BF062C712CFA2674 ] atapi C:\WINDOWS\system32\DRIVERS\atapi.sys
13:10:38.0843 0152 atapi - ok
13:10:38.0843 0152 Atdisk - ok
13:10:39.0171 0152 [ 29B2874B3956B62C0DBEA32D75A8E776 ] Ati HotKey Poller C:\WINDOWS\system32\Ati2evxx.exe
13:10:39.0406 0152 Ati HotKey Poller - ok
13:10:40.0812 0152 [ A1789368B4A31D2111AF7AEDA0C8D3FC ] ati2mtag C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
13:10:42.0062 0152 ati2mtag - ok
13:10:42.0140 0152 [ 9916C1225104BA14794209CFA8012159 ] Atmarpc C:\WINDOWS\system32\DRIVERS\atmarpc.sys
13:10:42.0296 0152 Atmarpc - ok
13:10:42.0359 0152 [ 58ED0D5452DF7BE732193E7999C6B9A4 ] AudioSrv C:\WINDOWS\System32\audiosrv.dll
13:10:42.0515 0152 AudioSrv - ok
13:10:42.0562 0152 [ D9F724AA26C010A217C97606B160ED68 ] audstub C:\WINDOWS\system32\DRIVERS\audstub.sys
13:10:42.0687 0152 audstub - ok
13:10:42.0765 0152 [ D5541F0AFB767E85FC412FC609D96A74 ] avgntflt C:\WINDOWS\system32\DRIVERS\avgntflt.sys
13:10:43.0000 0152 avgntflt - ok
13:10:43.0125 0152 [ 7D967A682D4694DF7FA57D63A2DB01FE ] avipbb C:\WINDOWS\system32\DRIVERS\avipbb.sys
13:10:43.0140 0152 avipbb - ok
13:10:43.0187 0152 [ 271CFD1A989209B1964E24D969552BF7 ] avkmgr C:\WINDOWS\system32\DRIVERS\avkmgr.sys
13:10:43.0218 0152 avkmgr - ok
13:10:43.0531 0152 [ 06C3528E0686A58701367749B0145A4A ] AVM WLAN Connection Service C:\Programme\avmwlanstick\WlanNetService.exe
13:10:43.0968 0152 AVM WLAN Connection Service ( UnsignedFile.Multi.Generic ) - warning
13:10:43.0968 0152 AVM WLAN Connection Service - detected UnsignedFile.Multi.Generic (1)
13:10:44.0000 0152 [ 263CF9D248FD5E020A1333ED4F7EAA88 ] avmeject C:\WINDOWS\system32\drivers\avmeject.sys
13:10:44.0015 0152 avmeject ( UnsignedFile.Multi.Generic ) - warning
13:10:44.0015 0152 avmeject - detected UnsignedFile.Multi.Generic (1)
13:10:44.0062 0152 [ DA1F27D85E0D1525F6621372E7B685E9 ] Beep C:\WINDOWS\system32\drivers\Beep.sys
13:10:44.0203 0152 Beep - ok
13:10:44.0515 0152 [ D6F603772A789BB3228F310D650B8BD1 ] BITS C:\WINDOWS\system32\qmgr.dll
13:10:45.0046 0152 BITS - ok
13:10:45.0156 0152 [ B71549F23736ADF83A571061C47777FD ] Browser C:\WINDOWS\System32\browser.dll
13:10:45.0328 0152 Browser - ok
13:10:45.0375 0152 [ 90A673FC8E12A79AFBED2576F6A7AAF9 ] cbidf2k C:\WINDOWS\system32\drivers\cbidf2k.sys
13:10:45.0500 0152 cbidf2k - ok
13:10:45.0515 0152 cd20xrnt - ok
13:10:45.0562 0152 [ C1B486A7658353D33A10CC15211A873B ] Cdaudio C:\WINDOWS\system32\drivers\Cdaudio.sys
13:10:45.0687 0152 Cdaudio - ok
13:10:45.0765 0152 [ C885B02847F5D2FD45A24E219ED93B32 ] Cdfs C:\WINDOWS\system32\drivers\Cdfs.sys
13:10:45.0906 0152 Cdfs - ok
13:10:45.0984 0152 [ 1F4260CC5B42272D71F79E570A27A4FE ] Cdrom C:\WINDOWS\system32\DRIVERS\cdrom.sys
13:10:46.0109 0152 Cdrom - ok
13:10:46.0125 0152 Changer - ok
13:10:46.0156 0152 [ 28E3040D1F1CA2008CD6B29DFEBC9A5E ] CiSvc C:\WINDOWS\system32\cisvc.exe
13:10:46.0312 0152 CiSvc - ok
13:10:46.0343 0152 [ 778A30ED3C134EB7E406AFC407E9997D ] ClipSrv C:\WINDOWS\system32\clipsrv.exe
13:10:46.0484 0152 ClipSrv - ok
13:10:46.0578 0152 [ D87ACAED61E417BBA546CED5E7E36D9C ] clr_optimization_v2.0.50727_32 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
13:10:46.0718 0152 clr_optimization_v2.0.50727_32 - ok
13:10:46.0718 0152 CmdIde - ok
13:10:46.0734 0152 COMSysApp - ok
13:10:46.0750 0152 Cpqarray - ok
13:10:46.0828 0152 [ 611F824E5C703A5A899F84C5F1699E4D ] CryptSvc C:\WINDOWS\System32\cryptsvc.dll
13:10:47.0000 0152 CryptSvc - ok
13:10:47.0000 0152 dac2w2k - ok
13:10:47.0015 0152 dac960nt - ok
13:10:47.0328 0152 [ 3127AFBF2C1ED0AB14A1BBB7AAECB85B ] DcomLaunch C:\WINDOWS\system32\rpcss.dll
13:10:47.0562 0152 DcomLaunch - ok
13:10:47.0687 0152 [ C29A1C9B75BA38FA37F8C44405DEC360 ] Dhcp C:\WINDOWS\System32\dhcpcsvc.dll
13:10:47.0828 0152 Dhcp - ok
13:10:47.0875 0152 [ 044452051F3E02E7963599FC8F4F3E25 ] Disk C:\WINDOWS\system32\DRIVERS\disk.sys
13:10:48.0015 0152 Disk - ok
13:10:48.0015 0152 dmadmin - ok
13:10:48.0593 0152 [ 0DCFC8395A99FECBB1EF771CEC7FE4EA ] dmboot C:\WINDOWS\system32\drivers\dmboot.sys
13:10:49.0562 0152 dmboot - ok
13:10:49.0687 0152 [ 53720AB12B48719D00E327DA470A619A ] dmio C:\WINDOWS\system32\drivers\dmio.sys
13:10:49.0937 0152 dmio - ok
13:10:49.0968 0152 [ E9317282A63CA4D188C0DF5E09C6AC5F ] dmload C:\WINDOWS\system32\drivers\dmload.sys
13:10:50.0109 0152 dmload - ok
13:10:50.0156 0152 [ 25C83FFBBA13B554EB6D59A9B2E2EE78 ] dmserver C:\WINDOWS\System32\dmserver.dll
13:10:50.0328 0152 dmserver - ok
13:10:50.0390 0152 [ 8A208DFCF89792A484E76C40E5F50B45 ] DMusic C:\WINDOWS\system32\drivers\DMusic.sys
13:10:50.0531 0152 DMusic - ok
13:10:50.0593 0152 [ 407F3227AC618FD1CA54B335B083DE07 ] Dnscache C:\WINDOWS\System32\dnsrslvr.dll
13:10:50.0671 0152 Dnscache - ok
13:10:50.0796 0152 [ 676E36C4FF5BCEA1900F44182B9723E6 ] Dot3svc C:\WINDOWS\System32\dot3svc.dll
13:10:50.0984 0152 Dot3svc - ok
13:10:50.0984 0152 dpti2o - ok
13:10:51.0031 0152 [ 8F5FCFF8E8848AFAC920905FBD9D33C8 ] drmkaud C:\WINDOWS\system32\drivers\drmkaud.sys
13:10:51.0156 0152 drmkaud - ok
13:10:51.0218 0152 [ 4E4F2FDDAB0A0736D7671134DCCE91FB ] EapHost C:\WINDOWS\System32\eapsvc.dll
13:10:51.0359 0152 EapHost - ok
13:10:51.0406 0152 [ 877C18558D70587AA7823A1A308AC96B ] ERSvc C:\WINDOWS\System32\ersvc.dll
13:10:51.0531 0152 ERSvc - ok
13:10:51.0640 0152 [ A3EDBE9053889FB24AB22492472B39DC ] Eventlog C:\WINDOWS\system32\services.exe
13:10:51.0671 0152 Eventlog - ok
13:10:51.0875 0152 [ AF4F6B5739D18CA7972AB53E091CBC74 ] EventSystem C:\WINDOWS\system32\es.dll
13:10:51.0984 0152 EventSystem - ok
13:10:52.0109 0152 [ 38D332A6D56AF32635675F132548343E ] Fastfat C:\WINDOWS\system32\drivers\Fastfat.sys
13:10:52.0281 0152 Fastfat - ok
13:10:52.0406 0152 [ 2DB7D303C36DDD055215052F118E8E75 ] FastUserSwitchingCompatibility C:\WINDOWS\System32\shsvcs.dll
13:10:52.0468 0152 FastUserSwitchingCompatibility - ok
13:10:52.0531 0152 [ 92CDD60B6730B9F50F6A1A0C1F8CDC81 ] Fdc C:\WINDOWS\system32\DRIVERS\fdc.sys
13:10:52.0656 0152 Fdc - ok
13:10:52.0703 0152 [ B0678A548587C5F1967B0D70BACAD6C1 ] Fips C:\WINDOWS\system32\drivers\Fips.sys
13:10:52.0828 0152 Fips - ok
13:10:52.0859 0152 [ 9D27E7B80BFCDF1CDD9B555862D5E7F0 ] Flpydisk C:\WINDOWS\system32\DRIVERS\flpydisk.sys
13:10:52.0984 0152 Flpydisk - ok
13:10:53.0109 0152 [ B2CF4B0786F8212CB92ED2B50C6DB6B0 ] FltMgr C:\WINDOWS\system32\DRIVERS\fltMgr.sys
13:10:53.0281 0152 FltMgr - ok
13:10:53.0375 0152 [ 8BA7C024070F2B7FDD98ED8A4BA41789 ] FontCache3.0.0.0 c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
13:10:53.0406 0152 FontCache3.0.0.0 - ok
13:10:53.0437 0152 [ 3E1E2BD4F39B0E2B7DC4F4D2BCC2779A ] Fs_Rec C:\WINDOWS\system32\drivers\Fs_Rec.sys
13:10:53.0562 0152 Fs_Rec - ok
13:10:53.0671 0152 [ 8F1955CE42E1484714B542F341647778 ] Ftdisk C:\WINDOWS\system32\DRIVERS\ftdisk.sys
13:10:53.0796 0152 Ftdisk - ok
13:10:54.0109 0152 [ FC06A5BE1AB381CD47AF3D69006E88F0 ] fwlanusbn C:\WINDOWS\system32\DRIVERS\fwlanusbn.sys
13:10:54.0562 0152 fwlanusbn - ok
13:10:54.0609 0152 [ 0A02C63C8B144BD8C86B103DEE7C86A2 ] Gpc C:\WINDOWS\system32\DRIVERS\msgpc.sys
13:10:54.0734 0152 Gpc - ok
13:10:54.0875 0152 [ 573C7D0A32852B48F3058CFD8026F511 ] HDAudBus C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
13:10:54.0984 0152 HDAudBus - ok
13:10:55.0078 0152 [ CB66BF85BF599BEFD6C6A57C2E20357F ] helpsvc C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll
13:10:55.0312 0152 helpsvc - ok
13:10:55.0312 0152 HidServ - ok
13:10:55.0343 0152 [ CCF82C5EC8A7326C3066DE870C06DAF1 ] hidusb C:\WINDOWS\system32\DRIVERS\hidusb.sys
13:10:55.0484 0152 hidusb - ok
13:10:55.0562 0152 [ ED29F14101523A6E0E808107405D452C ] hkmsvc C:\WINDOWS\System32\kmsvc.dll
13:10:55.0687 0152 hkmsvc - ok
13:10:55.0687 0152 hpn - ok
13:10:55.0906 0152 [ F80A415EF82CD06FFAF0D971528EAD38 ] HTTP C:\WINDOWS\system32\Drivers\HTTP.sys
13:10:55.0968 0152 HTTP - ok
13:10:56.0015 0152 [ 9E4ADB854CEBCFB81A4B36718FEECD16 ] HTTPFilter C:\WINDOWS\System32\w3ssl.dll
13:10:56.0156 0152 HTTPFilter - ok
13:10:56.0156 0152 i2omgmt - ok
13:10:56.0171 0152 i2omp - ok
13:10:56.0234 0152 [ E283B97CFBEB86C1D86BAED5F7846A92 ] i8042prt C:\WINDOWS\system32\DRIVERS\i8042prt.sys
13:10:56.0390 0152 i8042prt - ok
13:10:57.0046 0152 [ C01AC32DC5C03076CFB852CB5DA5229C ] idsvc c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
13:10:58.0187 0152 idsvc - ok
13:10:58.0234 0152 [ 083A052659F5310DD8B6A6CB05EDCF8E ] Imapi C:\WINDOWS\system32\DRIVERS\imapi.sys
13:10:58.0421 0152 Imapi - ok
13:10:58.0546 0152 [ D4B413AA210C21E46AEDD2BA5B68D38E ] ImapiService C:\WINDOWS\system32\imapi.exe
13:10:58.0734 0152 ImapiService - ok
13:10:58.0750 0152 ini910u - ok
13:11:01.0937 0152 [ E37589414437A60797E94C0F57C546DB ] IntcAzAudAddService C:\WINDOWS\system32\drivers\RtkHDAud.sys
13:11:04.0937 0152 IntcAzAudAddService - ok
13:11:04.0953 0152 IntelIde - ok
13:11:05.0000 0152 [ 3BB22519A194418D5FEC05D800A19AD0 ] Ip6Fw C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
13:11:05.0140 0152 Ip6Fw - ok
13:11:05.0187 0152 [ 731F22BA402EE4B62748ADAF6363C182 ] IpFilterDriver C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
13:11:05.0343 0152 IpFilterDriver - ok
13:11:05.0390 0152 [ B87AB476DCF76E72010632B5550955F5 ] IpInIp C:\WINDOWS\system32\DRIVERS\ipinip.sys
13:11:05.0562 0152 IpInIp - ok
13:11:05.0687 0152 [ CC748EA12C6EFFDE940EE98098BF96BB ] IpNat C:\WINDOWS\system32\DRIVERS\ipnat.sys
13:11:05.0828 0152 IpNat - ok
13:11:05.0906 0152 [ 23C74D75E36E7158768DD63D92789A91 ] IPSec C:\WINDOWS\system32\DRIVERS\ipsec.sys
13:11:06.0031 0152 IPSec - ok
13:11:06.0078 0152 [ C93C9FF7B04D772627A3646D89F7BF89 ] IRENUM C:\WINDOWS\system32\DRIVERS\irenum.sys
13:11:06.0140 0152 IRENUM - ok
13:11:06.0187 0152 [ 6DFB88F64135C525433E87648BDA30DE ] isapnp C:\WINDOWS\system32\DRIVERS\isapnp.sys
13:11:06.0343 0152 isapnp - ok
13:11:06.0515 0152 [ 9AE07549A0D691A103FAF8946554BDB7 ] JavaQuickStarterService C:\Programme\Java\jre6\bin\jqs.exe
13:11:06.0656 0152 JavaQuickStarterService - ok
13:11:06.0703 0152 [ 1704D8C4C8807B889E43C649B478A452 ] Kbdclass C:\WINDOWS\system32\DRIVERS\kbdclass.sys
13:11:06.0828 0152 Kbdclass - ok
13:11:06.0875 0152 [ B6D6C117D771C98130497265F26D1882 ] kbdhid C:\WINDOWS\system32\DRIVERS\kbdhid.sys
13:11:07.0015 0152 kbdhid - ok
13:11:07.0156 0152 [ 692BCF44383D056AED41B045A323D378 ] kmixer C:\WINDOWS\system32\drivers\kmixer.sys
13:11:07.0328 0152 kmixer - ok
13:11:07.0421 0152 [ B467646C54CC746128904E1654C750C1 ] KSecDD C:\WINDOWS\system32\drivers\KSecDD.sys
13:11:07.0531 0152 KSecDD - ok
13:11:07.0640 0152 [ 2BBDCB79900990F0716DFCB714E72DE7 ] LanmanServer C:\WINDOWS\System32\srvsvc.dll
13:11:07.0687 0152 LanmanServer - ok
13:11:07.0812 0152 [ 1869B14B06B44B44AF70548E1EA3303F ] lanmanworkstation C:\WINDOWS\System32\wkssvc.dll
13:11:07.0859 0152 lanmanworkstation - ok
13:11:07.0875 0152 lbrtfdc - ok
13:11:07.0937 0152 [ 636714B7D43C8D0C80449123FD266920 ] LmHosts C:\WINDOWS\System32\lmhsvc.dll
13:11:08.0078 0152 LmHosts - ok
13:11:08.0125 0152 [ B7550A7107281D170CE85524B1488C98 ] Messenger C:\WINDOWS\System32\msgsvc.dll
13:11:08.0265 0152 Messenger - ok
13:11:08.0312 0152 [ 4AE068242760A1FB6E1A44BF4E16AFA6 ] mnmdd C:\WINDOWS\system32\drivers\mnmdd.sys
13:11:08.0437 0152 mnmdd - ok
13:11:08.0500 0152 [ C2F1D365FD96791B037EE504868065D3 ] mnmsrvc C:\WINDOWS\system32\mnmsrvc.exe
13:11:08.0625 0152 mnmsrvc - ok
13:11:08.0656 0152 [ 6FB74EBD4EC57A6F1781DE3852CC3362 ] Modem C:\WINDOWS\system32\drivers\Modem.sys
13:11:08.0796 0152 Modem - ok
13:11:08.0859 0152 [ B24CE8005DEAB254C0251E15CB71D802 ] Mouclass C:\WINDOWS\system32\DRIVERS\mouclass.sys
13:11:08.0984 0152 Mouclass - ok
13:11:09.0000 0152 [ 66A6F73C74E1791464160A7065CE711A ] mouhid C:\WINDOWS\system32\DRIVERS\mouhid.sys
13:11:09.0125 0152 mouhid - ok
13:11:09.0203 0152 [ A80B9A0BAD1B73637DBCBBA7DF72D3FD ] MountMgr C:\WINDOWS\system32\drivers\MountMgr.sys
13:11:09.0359 0152 MountMgr - ok
13:11:09.0484 0152 [ 8121C6DD654970FEDDBC195596D9706E ] MozillaMaintenance C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
13:11:09.0578 0152 MozillaMaintenance - ok
13:11:09.0578 0152 mraid35x - ok
13:11:09.0718 0152 [ 11D42BB6206F33FBB3BA0288D3EF81BD ] MRxDAV C:\WINDOWS\system32\DRIVERS\mrxdav.sys
13:11:09.0843 0152 MRxDAV - ok
13:11:10.0187 0152 [ 7D304A5EB4344EBEEAB53A2FE3FFB9F0 ] MRxSmb C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
13:11:10.0500 0152 MRxSmb - ok
13:11:10.0531 0152 [ 35A031AF38C55F92D28AA03EE9F12CC9 ] MSDTC C:\WINDOWS\system32\msdtc.exe
13:11:10.0687 0152 MSDTC - ok
13:11:10.0734 0152 [ C941EA2454BA8350021D774DAF0F1027 ] Msfs C:\WINDOWS\system32\drivers\Msfs.sys
13:11:10.0875 0152 Msfs - ok
13:11:10.0890 0152 MSIServer - ok
13:11:10.0921 0152 [ D1575E71568F4D9E14CA56B7B0453BF1 ] MSKSSRV C:\WINDOWS\system32\drivers\MSKSSRV.sys
13:11:11.0062 0152 MSKSSRV - ok
13:11:11.0109 0152 [ 325BB26842FC7CCC1FCCE2C457317F3E ] MSPCLOCK C:\WINDOWS\system32\drivers\MSPCLOCK.sys
13:11:11.0218 0152 MSPCLOCK - ok
13:11:11.0265 0152 [ BAD59648BA099DA4A17680B39730CB3D ] MSPQM C:\WINDOWS\system32\drivers\MSPQM.sys
13:11:11.0406 0152 MSPQM - ok
13:11:11.0453 0152 [ AF5F4F3F14A8EA2C26DE30F7A1E17136 ] mssmbios C:\WINDOWS\system32\DRIVERS\mssmbios.sys
13:11:11.0578 0152 mssmbios - ok
13:11:11.0625 0152 [ D48659BB24C48345D926ECB45C1EBDF5 ] MTsensor C:\WINDOWS\system32\DRIVERS\ASACPI.sys
13:11:11.0968 0152 MTsensor - ok
13:11:12.0062 0152 [ DE6A75F5C270E756C5508D94B6CF68F5 ] Mup C:\WINDOWS\system32\drivers\Mup.sys
13:11:12.0125 0152 Mup - ok
13:11:12.0375 0152 [ 46BB15AE2AC7D025D6D2567B876817BD ] napagent C:\WINDOWS\System32\qagentrt.dll
13:11:12.0656 0152 napagent - ok
13:11:12.0796 0152 [ 1DF7F42665C94B825322FAE71721130D ] NDIS C:\WINDOWS\system32\drivers\NDIS.sys
13:11:12.0921 0152 NDIS - ok
13:11:12.0953 0152 [ 0109C4F3850DFBAB279542515386AE22 ] NdisTapi C:\WINDOWS\system32\DRIVERS\ndistapi.sys
13:11:13.0000 0152 NdisTapi - ok
13:11:13.0046 0152 [ F927A4434C5028758A842943EF1A3849 ] Ndisuio C:\WINDOWS\system32\DRIVERS\ndisuio.sys
13:11:13.0171 0152 Ndisuio - ok
13:11:13.0265 0152 [ EDC1531A49C80614B2CFDA43CA8659AB ] NdisWan C:\WINDOWS\system32\DRIVERS\ndiswan.sys
13:11:13.0421 0152 NdisWan - ok
13:11:13.0484 0152 [ 9282BD12DFB069D3889EB3FCC1000A9B ] NDProxy C:\WINDOWS\system32\drivers\NDProxy.sys
13:11:13.0531 0152 NDProxy - ok
13:11:13.0593 0152 [ 5D81CF9A2F1A3A756B66CF684911CDF0 ] NetBIOS C:\WINDOWS\system32\DRIVERS\netbios.sys
13:11:13.0718 0152 NetBIOS - ok
13:11:13.0843 0152 [ 74B2B2F5BEA5E9A3DC021D685551BD3D ] NetBT C:\WINDOWS\system32\DRIVERS\netbt.sys
13:11:14.0031 0152 NetBT - ok
13:11:14.0125 0152 [ 8ACE4251BFFD09CE75679FE940E996CC ] NetDDE C:\WINDOWS\system32\netdde.exe
13:11:14.0343 0152 NetDDE - ok
13:11:14.0421 0152 [ 8ACE4251BFFD09CE75679FE940E996CC ] NetDDEdsdm C:\WINDOWS\system32\netdde.exe
13:11:14.0531 0152 NetDDEdsdm - ok
13:11:14.0578 0152 [ AFB8261B56CBA0D86AEB6DF682AF9785 ] Netlogon C:\WINDOWS\system32\lsass.exe
13:11:14.0703 0152 Netlogon - ok
13:11:14.0859 0152 [ E6D88F1F6745BF00B57E7855A2AB696C ] Netman C:\WINDOWS\System32\netman.dll
13:11:14.0984 0152 Netman - ok
13:11:15.0109 0152 [ D34612C5D02D026535B3095D620626AE ] NetTcpPortSharing c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
13:11:15.0203 0152 NetTcpPortSharing - ok
13:11:15.0421 0152 [ F1B67B6B0751AE0E6E964B02821206A3 ] Nla C:\WINDOWS\System32\mswsock.dll
13:11:15.0453 0152 Nla - ok
13:11:15.0484 0152 [ 3182D64AE053D6FB034F44B6DEF8034A ] Npfs C:\WINDOWS\system32\drivers\Npfs.sys
13:11:15.0609 0152 Npfs - ok
13:11:16.0078 0152 [ 78A08DD6A8D65E697C18E1DB01C5CDCA ] Ntfs C:\WINDOWS\system32\drivers\Ntfs.sys
13:11:16.0609 0152 Ntfs - ok
13:11:16.0640 0152 [ AFB8261B56CBA0D86AEB6DF682AF9785 ] NtLmSsp C:\WINDOWS\system32\lsass.exe
13:11:16.0765 0152 NtLmSsp - ok
13:11:17.0078 0152 [ 56AF4064996FA5BAC9C449B1514B4770 ] NtmsSvc C:\WINDOWS\system32\ntmssvc.dll
13:11:17.0640 0152 NtmsSvc - ok
13:11:17.0656 0152 [ 73C1E1F395918BC2C6DD67AF7591A3AD ] Null C:\WINDOWS\system32\drivers\Null.sys
13:11:17.0765 0152 Null - ok
13:11:17.0812 0152 [ B305F3FAD35083837EF46A0BBCE2FC57 ] NwlnkFlt C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
13:11:17.0937 0152 NwlnkFlt - ok
13:11:17.0968 0152 [ C99B3415198D1AAB7227F2C88FD664B9 ] NwlnkFwd C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
13:11:18.0093 0152 NwlnkFwd - ok
13:11:18.0156 0152 [ F84785660305B9B903FB3BCA8BA29837 ] Parport C:\WINDOWS\system32\DRIVERS\parport.sys
13:11:18.0328 0152 Parport - ok
13:11:18.0375 0152 [ BEB3BA25197665D82EC7065B724171C6 ] PartMgr C:\WINDOWS\system32\drivers\PartMgr.sys
13:11:18.0500 0152 PartMgr - ok
13:11:18.0546 0152 [ C2BF987829099A3EAA2CA6A0A90ECB4F ] ParVdm C:\WINDOWS\system32\drivers\ParVdm.sys
13:11:18.0671 0152 ParVdm - ok
13:11:18.0734 0152 [ 387E8DEDC343AA2D1EFBC30580273ACD ] PCI C:\WINDOWS\system32\DRIVERS\pci.sys
13:11:18.0859 0152 PCI - ok
13:11:18.0875 0152 PCIDump - ok
13:11:18.0906 0152 [ 59BA86D9A61CBCF4DF8E598C331F5B82 ] PCIIde C:\WINDOWS\system32\DRIVERS\pciide.sys
13:11:19.0015 0152 PCIIde - ok
13:11:19.0109 0152 [ A2A966B77D61847D61A3051DF87C8C97 ] Pcmcia C:\WINDOWS\system32\drivers\Pcmcia.sys
13:11:19.0296 0152 Pcmcia - ok
13:11:19.0312 0152 PDCOMP - ok
13:11:19.0312 0152 PDFRAME - ok
13:11:19.0328 0152 PDRELI - ok
13:11:19.0328 0152 PDRFRAME - ok
13:11:19.0343 0152 perc2 - ok
13:11:19.0343 0152 perc2hib - ok
13:11:19.0453 0152 [ A3EDBE9053889FB24AB22492472B39DC ] PlugPlay C:\WINDOWS\system32\services.exe
13:11:19.0468 0152 PlugPlay - ok
13:11:19.0484 0152 [ AFB8261B56CBA0D86AEB6DF682AF9785 ] PolicyAgent C:\WINDOWS\system32\lsass.exe
13:11:19.0609 0152 PolicyAgent - ok
13:11:19.0656 0152 [ EFEEC01B1D3CF84F16DDD24D9D9D8F99 ] PptpMiniport C:\WINDOWS\system32\DRIVERS\raspptp.sys
13:11:19.0781 0152 PptpMiniport - ok
13:11:19.0859 0152 [ 2CB55427C58679F49AD600FCCBA76360 ] Processor C:\WINDOWS\system32\DRIVERS\processr.sys
13:11:19.0984 0152 Processor - ok
13:11:20.0000 0152 [ AFB8261B56CBA0D86AEB6DF682AF9785 ] ProtectedStorage C:\WINDOWS\system32\lsass.exe
13:11:20.0125 0152 ProtectedStorage - ok
13:11:20.0187 0152 [ 09298EC810B07E5D582CB3A3F9255424 ] PSched C:\WINDOWS\system32\DRIVERS\psched.sys
13:11:20.0328 0152 PSched - ok
13:11:20.0343 0152 [ 80D317BD1C3DBC5D4FE7B1678C60CADD ] Ptilink C:\WINDOWS\system32\DRIVERS\ptilink.sys
13:11:20.0468 0152 Ptilink - ok
13:11:20.0468 0152 ql1080 - ok
13:11:20.0484 0152 Ql10wnt - ok
13:11:20.0500 0152 ql12160 - ok
13:11:20.0500 0152 ql1240 - ok
13:11:20.0515 0152 ql1280 - ok
13:11:20.0531 0152 [ FE0D99D6F31E4FAD8159F690D68DED9C ] RasAcd C:\WINDOWS\system32\DRIVERS\rasacd.sys
13:11:20.0656 0152 RasAcd - ok
13:11:20.0750 0152 [ F5BA6CACCDB66C8F048E867563203246 ] RasAuto C:\WINDOWS\System32\rasauto.dll
13:11:20.0921 0152 RasAuto - ok
13:11:20.0984 0152 [ 11B4A627BC9614B885C4969BFA5FF8A6 ] Rasl2tp C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
13:11:21.0109 0152 Rasl2tp - ok
13:11:21.0281 0152 [ F9A7B66EA345726EDB5862A46B1ECCD5 ] RasMan C:\WINDOWS\System32\rasmans.dll
13:11:21.0484 0152 RasMan - ok
13:11:21.0531 0152 [ 5BC962F2654137C9909C3D4603587DEE ] RasPppoe C:\WINDOWS\system32\DRIVERS\raspppoe.sys
13:11:21.0671 0152 RasPppoe - ok
13:11:21.0703 0152 [ FDBB1D60066FCFBB7452FD8F9829B242 ] Raspti C:\WINDOWS\system32\DRIVERS\raspti.sys
13:11:21.0828 0152 Raspti - ok
13:11:21.0953 0152 [ 7AD224AD1A1437FE28D89CF22B17780A ] Rdbss C:\WINDOWS\system32\DRIVERS\rdbss.sys
13:11:22.0093 0152 Rdbss - ok
13:11:22.0109 0152 [ 4912D5B403614CE99C28420F75353332 ] RDPCDD C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
13:11:22.0234 0152 RDPCDD - ok
13:11:22.0375 0152 [ 43AF5212BD8FB5BA6EED9754358BD8F7 ] RDPWD C:\WINDOWS\system32\drivers\RDPWD.sys
13:11:22.0437 0152 RDPWD - ok
13:11:22.0562 0152 [ 263AF18AF0F3DB99F574C95F284CCEC9 ] RDSessMgr C:\WINDOWS\system32\sessmgr.exe
13:11:22.0750 0152 RDSessMgr - ok
13:11:22.0812 0152 [ ED761D453856F795A7FE056E42C36365 ] redbook C:\WINDOWS\system32\DRIVERS\redbook.sys
13:11:22.0921 0152 redbook - ok
13:11:22.0984 0152 [ 0E97EC96D6942CEEC2D188CC2EB69A01 ] RemoteAccess C:\WINDOWS\System32\mprdim.dll
13:11:23.0125 0152 RemoteAccess - ok
13:11:23.0203 0152 [ 2A02E21867497DF20B8FC95631395169 ] RpcLocator C:\WINDOWS\system32\locator.exe
13:11:23.0359 0152 RpcLocator - ok
13:11:23.0640 0152 [ 3127AFBF2C1ED0AB14A1BBB7AAECB85B ] RpcSs C:\WINDOWS\system32\rpcss.dll
13:11:23.0843 0152 RpcSs - ok
13:11:23.0968 0152 [ 4BDD71B4B521521499DFD14735C4F398 ] RSVP C:\WINDOWS\system32\rsvp.exe
13:11:24.0140 0152 RSVP - ok
13:11:24.0234 0152 [ 25BE98C05808C57E4D8D26477DC12D39 ] RTLE8023xp C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
13:11:24.0343 0152 RTLE8023xp - ok
13:11:24.0375 0152 [ AFB8261B56CBA0D86AEB6DF682AF9785 ] SamSs C:\WINDOWS\system32\lsass.exe
13:11:24.0484 0152 SamSs - ok
13:11:24.0578 0152 [ DCEC079FAD95D36C8DD5CB6D779DFE32 ] SCardSvr C:\WINDOWS\System32\SCardSvr.exe
13:11:24.0734 0152 SCardSvr - ok
13:11:24.0906 0152 [ A050194A44D7FA8D7186ED2F4E8367AE ] Schedule C:\WINDOWS\system32\schedsvc.dll
13:11:25.0156 0152 Schedule - ok
13:11:25.0203 0152 [ 90A3935D05B494A5A39D37E71F09A677 ] Secdrv C:\WINDOWS\system32\DRIVERS\secdrv.sys
13:11:25.0265 0152 Secdrv - ok
13:11:25.0359 0152 [ BEE4CFD1D48C23B44CF4B974B0B79B2B ] seclogon C:\WINDOWS\System32\seclogon.dll
13:11:25.0515 0152 seclogon - ok
13:11:25.0562 0152 [ 2AAC9B6ED9EDDFFB721D6452E34D67E3 ] SENS C:\WINDOWS\system32\sens.dll
13:11:25.0687 0152 SENS - ok
13:11:25.0703 0152 [ 0F29512CCD6BEAD730039FB4BD2C85CE ] serenum C:\WINDOWS\system32\DRIVERS\serenum.sys
13:11:25.0828 0152 serenum - ok
13:11:25.0890 0152 [ CF24EB4F0412C82BCD1F4F35A025E31D ] Serial C:\WINDOWS\system32\DRIVERS\serial.sys
13:11:26.0015 0152 Serial - ok
13:11:26.0062 0152 [ 8E6B8C671615D126FDC553D1E2DE5562 ] Sfloppy C:\WINDOWS\system32\drivers\Sfloppy.sys
13:11:26.0203 0152 Sfloppy - ok
13:11:26.0453 0152 [ CAD058D5F8B889A87CA3EB3CF624DCEF ] SharedAccess C:\WINDOWS\System32\ipnathlp.dll
13:11:26.0812 0152 SharedAccess - ok
13:11:26.0921 0152 [ 2DB7D303C36DDD055215052F118E8E75 ] ShellHWDetection C:\WINDOWS\System32\shsvcs.dll
13:11:26.0937 0152 ShellHWDetection - ok
13:11:26.0937 0152 Simbad - ok
13:11:26.0953 0152 Sparrow - ok
13:11:27.0000 0152 [ AB8B92451ECB048A4D1DE7C3FFCB4A9F ] splitter C:\WINDOWS\system32\drivers\splitter.sys
13:11:27.0125 0152 splitter - ok
13:11:27.0203 0152 [ 60784F891563FB1B767F70117FC2428F ] Spooler C:\WINDOWS\system32\spoolsv.exe
13:11:27.0296 0152 Spooler - ok
13:11:27.0437 0152 [ 50FA898F8C032796D3B1B9951BB5A90F ] sr C:\WINDOWS\system32\DRIVERS\sr.sys
13:11:27.0515 0152 sr - ok
13:11:27.0656 0152 [ FE77A85495065F3AD59C5C65B6C54182 ] srservice C:\WINDOWS\system32\srsvc.dll
13:11:27.0796 0152 srservice - ok
13:11:28.0078 0152 [ 47DDFC2F003F7F9F0592C6874962A2E7 ] Srv C:\WINDOWS\system32\DRIVERS\srv.sys
13:11:28.0421 0152 Srv - ok
13:11:28.0500 0152 [ 4DF5B05DFAEC29E13E1ED6F6EE12C500 ] SSDPSRV C:\WINDOWS\System32\ssdpsrv.dll
13:11:28.0562 0152 SSDPSRV - ok
13:11:28.0609 0152 [ A36EE93698802CD899F98BFD553D8185 ] ssmdrv C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
13:11:28.0625 0152 ssmdrv - ok
13:11:28.0890 0152 [ BC2C5985611C5356B24AEB370953DED9 ] stisvc C:\WINDOWS\system32\wiaservc.dll
13:11:29.0390 0152 stisvc - ok
13:11:29.0421 0152 [ 3941D127AEF12E93ADDF6FE6EE027E0F ] swenum C:\WINDOWS\system32\DRIVERS\swenum.sys
13:11:29.0546 0152 swenum - ok
13:11:29.0593 0152 [ 8CE882BCC6CF8A62F2B2323D95CB3D01 ] swmidi C:\WINDOWS\system32\drivers\swmidi.sys
13:11:29.0734 0152 swmidi - ok
13:11:29.0750 0152 SwPrv - ok
13:11:29.0765 0152 symc810 - ok
13:11:29.0765 0152 symc8xx - ok
13:11:29.0781 0152 sym_hi - ok
13:11:29.0781 0152 sym_u3 - ok
13:11:29.0875 0152 [ 8B83F3ED0F1688B4958F77CD6D2BF290 ] sysaudio C:\WINDOWS\system32\drivers\sysaudio.sys
13:11:30.0000 0152 sysaudio - ok
13:11:30.0093 0152 [ 2903FFFA2523926D6219428040DCE6B9 ] SysmonLog C:\WINDOWS\system32\smlogsvc.exe
13:11:30.0250 0152 SysmonLog - ok
13:11:30.0437 0152 [ 05903CAC4B98908D55EA5774775B382E ] TapiSrv C:\WINDOWS\System32\tapisrv.dll
13:11:30.0687 0152 TapiSrv - ok
13:11:30.0984 0152 [ 9AEFA14BD6B182D61E3119FA5F436D3D ] Tcpip C:\WINDOWS\system32\DRIVERS\tcpip.sys
13:11:31.0312 0152 Tcpip - ok
13:11:31.0375 0152 [ 6471A66807F5E104E4885F5B67349397 ] TDPIPE C:\WINDOWS\system32\drivers\TDPIPE.sys
13:11:31.0484 0152 TDPIPE - ok
13:11:31.0515 0152 [ C56B6D0402371CF3700EB322EF3AAF61 ] TDTCP C:\WINDOWS\system32\drivers\TDTCP.sys
13:11:31.0625 0152 TDTCP - ok
13:11:31.0687 0152 [ 88155247177638048422893737429D9E ] TermDD C:\WINDOWS\system32\DRIVERS\termdd.sys
13:11:31.0812 0152 TermDD - ok
13:11:32.0031 0152 [ B7DE02C863D8F5A005A7BF375375A6A4 ] TermService C:\WINDOWS\System32\termsrv.dll
13:11:32.0343 0152 TermService - ok
13:11:32.0453 0152 [ 2DB7D303C36DDD055215052F118E8E75 ] Themes C:\WINDOWS\System32\shsvcs.dll
13:11:32.0468 0152 Themes - ok
13:11:32.0484 0152 TosIde - ok
13:11:32.0562 0152 [ 626504572B175867F30F3215C04B3E2F ] TrkWks C:\WINDOWS\system32\trkwks.dll
13:11:32.0718 0152 TrkWks - ok
13:11:32.0796 0152 [ 5787B80C2E3C5E2F56C2A233D91FA2C9 ] Udfs C:\WINDOWS\system32\drivers\Udfs.sys
13:11:32.0921 0152 Udfs - ok
13:11:32.0937 0152 ultra - ok
13:11:33.0203 0152 [ 402DDC88356B1BAC0EE3DD1580C76A31 ] Update C:\WINDOWS\system32\DRIVERS\update.sys
13:11:33.0718 0152 Update - ok
13:11:33.0859 0152 [ 1DFD8975D8C89214B98D9387C1125B49 ] upnphost C:\WINDOWS\System32\upnphost.dll
13:11:34.0000 0152 upnphost - ok
13:11:34.0046 0152 [ 9B11E6118958E63E1FEF129466E2BDA7 ] UPS C:\WINDOWS\System32\ups.exe
13:11:34.0140 0152 UPS - ok
13:11:34.0203 0152 [ 173F317CE0DB8E21322E71B7E60A27E8 ] usbccgp C:\WINDOWS\system32\DRIVERS\usbccgp.sys
13:11:34.0343 0152 usbccgp - ok
13:11:34.0390 0152 [ 65DCF09D0E37D4C6B11B5B0B76D470A7 ] usbehci C:\WINDOWS\system32\DRIVERS\usbehci.sys
13:11:34.0500 0152 usbehci - ok
13:11:34.0578 0152 [ 1AB3CDDE553B6E064D2E754EFE20285C ] usbhub C:\WINDOWS\system32\DRIVERS\usbhub.sys
13:11:34.0687 0152 usbhub - ok
13:11:34.0718 0152 [ 0DAECCE65366EA32B162F85F07C6753B ] usbohci C:\WINDOWS\system32\DRIVERS\usbohci.sys
13:11:34.0843 0152 usbohci - ok
13:11:34.0890 0152 [ A32426D9B14A089EAA1D922E0C5801A9 ] USBSTOR C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
13:11:35.0015 0152 USBSTOR - ok
13:11:35.0046 0152 [ 0D3A8FAFCEACD8B7625CD549757A7DF1 ] VgaSave C:\WINDOWS\System32\drivers\vga.sys
13:11:35.0171 0152 VgaSave - ok
13:11:35.0171 0152 ViaIde - ok
13:11:35.0250 0152 [ A5A712F4E880874A477AF790B5186E1D ] VolSnap C:\WINDOWS\system32\drivers\VolSnap.sys
13:11:35.0390 0152 VolSnap - ok
13:11:35.0609 0152 [ 68F106273BE29E7B7EF8266977268E78 ] VSS C:\WINDOWS\System32\vssvc.exe
13:11:35.0812 0152 VSS - ok
13:11:35.0968 0152 [ 7B353059E665F8B7AD2BBEAEF597CF45 ] W32Time C:\WINDOWS\system32\w32time.dll
13:11:36.0250 0152 W32Time - ok
13:11:36.0296 0152 [ E20B95BAEDB550F32DD489265C1DA1F6 ] Wanarp C:\WINDOWS\system32\DRIVERS\wanarp.sys
13:11:36.0437 0152 Wanarp - ok
13:11:36.0500 0152 [ 0A716C08CB13C3A8F4F51E882DBF7416 ] wanatw C:\WINDOWS\system32\DRIVERS\wanatw4.sys
13:11:36.0531 0152 wanatw - ok
13:11:36.0531 0152 WDICA - ok
13:11:36.0609 0152 [ 6768ACF64B18196494413695F0C3A00F ] wdmaud C:\WINDOWS\system32\drivers\wdmaud.sys
13:11:36.0750 0152 wdmaud - ok
13:11:36.0812 0152 [ 81727C9873E3905A2FFC1EBD07265002 ] WebClient C:\WINDOWS\System32\webclnt.dll
13:11:36.0984 0152 WebClient - ok
13:11:37.0171 0152 [ 6F3F3973D97714CC5F906A19FE883729 ] winmgmt C:\WINDOWS\system32\wbem\WMIsvc.dll
13:11:37.0390 0152 winmgmt - ok
13:11:37.0468 0152 [ 6E18978B749F0696A774DE3F2CB142DD ] WmdmPmSN C:\WINDOWS\system32\mspmsnsv.dll
13:11:37.0593 0152 WmdmPmSN - ok
13:11:37.0718 0152 [ 93908111BA57A6E60EC2FA2DE202105C ] WmiApSrv C:\WINDOWS\system32\wbem\wmiapsrv.exe
13:11:37.0921 0152 WmiApSrv - ok
13:11:38.0031 0152 [ 300B3E84FAF1A5C1F791C159BA28035D ] wscsvc C:\WINDOWS\system32\wscsvc.dll
13:11:38.0187 0152 wscsvc - ok
13:11:38.0218 0152 [ 7B4FE05202AA6BF9F4DFD0E6A0D8A085 ] wuauserv C:\WINDOWS\system32\wuauserv.dll
13:11:38.0375 0152 wuauserv - ok
13:11:38.0734 0152 [ C4F109C005F6725162D2D12CA751E4A7 ] WZCSVC C:\WINDOWS\System32\wzcsvc.dll
13:11:39.0203 0152 WZCSVC - ok
13:11:39.0343 0152 [ 0ADA34871A2E1CD2CAAFED1237A47750 ] xmlprov C:\WINDOWS\System32\xmlprov.dll
13:11:39.0515 0152 xmlprov - ok
13:11:39.0515 0152 ================ Scan global ===============================
13:11:39.0593 0152 [ 2C60091CA5F67C3032EAB3B30390C27F ] C:\WINDOWS\system32\basesrv.dll
13:11:39.0828 0152 [ A28CE25B59C90E12743001A1F2AE3613 ] C:\WINDOWS\system32\winsrv.dll
13:11:40.0078 0152 [ A28CE25B59C90E12743001A1F2AE3613 ] C:\WINDOWS\system32\winsrv.dll
13:11:40.0078 0152 Suspicious file (Forged): C:\WINDOWS\system32\winsrv.dll. Real md5: A28CE25B59C90E12743001A1F2AE3613, Fake md5: 466B098E78689D122A0A6BD9A4353192
13:11:40.0171 0152 [ A3EDBE9053889FB24AB22492472B39DC ] C:\WINDOWS\system32\services.exe
13:11:40.0171 0152 [Global] - ok
13:11:40.0171 0152 ================ Scan MBR ==================================
13:11:40.0203 0152 [ 72B8CE41AF0DE751C946802B3ED844B4 ] \Device\Harddisk0\DR0
13:11:40.0796 0152 \Device\Harddisk0\DR0 - ok
13:11:40.0796 0152 ================ Scan VBR ==================================
13:11:40.0796 0152 [ D73DE6221E9AC3E61C3EF0B16CDC4671 ] \Device\Harddisk0\DR0\Partition1
13:11:40.0796 0152 \Device\Harddisk0\DR0\Partition1 - ok
13:11:40.0843 0152 [ F1D41E095487ACA41DB1978C6A26F7B2 ] \Device\Harddisk0\DR0\Partition2
13:11:40.0843 0152 \Device\Harddisk0\DR0\Partition2 - ok
13:11:40.0843 0152 ============================================================
13:11:40.0843 0152 Scan finished
13:11:40.0843 0152 ============================================================
13:11:40.0953 4068 Detected object count: 3
13:11:40.0953 4068 Actual detected object count: 3
14:41:22.0218 4068 AFD ( ForgedFile.Multi.Generic ) - skipped by user
14:41:22.0218 4068 AFD ( ForgedFile.Multi.Generic ) - User select action: Skip
14:41:22.0218 4068 AVM WLAN Connection Service ( UnsignedFile.Multi.Generic ) - skipped by user
14:41:22.0218 4068 AVM WLAN Connection Service ( UnsignedFile.Multi.Generic ) - User select action: Skip
14:41:22.0218 4068 avmeject ( UnsignedFile.Multi.Generic ) - skipped by user
14:41:22.0218 4068 avmeject ( UnsignedFile.Multi.Generic ) - User select action: Skip
|
|
29.11.2012, 14:58
| #18 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | PC startet plötzlich und ohne Vorwarnung neu Dann bitte jetzt CF ausführen:
__________________ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
__________________ |
|
30.11.2012, 11:03
| #19 |
| | PC startet plötzlich und ohne Vorwarnung neu Wiederherstellungskonsole laut CF Installiert! ComboFix.txt: Code:
ATTFilter ComboFix 12-11-29.02 - KIR Resonanz 29.11.2012 17:03:23.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2942.2360 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\KIR Resonanz\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\_000022_.tmp.dll
c:\windows\system32\winsh320
c:\windows\system32\winsh321
c:\windows\system32\winsh322
c:\windows\system32\winsh323
c:\windows\system32\winsh324
c:\windows\system32\winsh325
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-10-28 bis 2012-11-29 ))))))))))))))))))))))))))))))
.
.
2012-11-27 20:29 . 2012-11-27 20:29 -------- d-----w- c:\dokumente und einstellungen\KIR Resonanz\Anwendungsdaten\Thunderbird
2012-11-27 18:26 . 2012-11-27 18:26 -------- d-----w- c:\programme\Mozilla Thunderbird
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-22 19:56 . 2008-04-14 12:00 1866496 ----a-w- c:\windows\system32\win32k.sys
2012-10-09 16:59 . 2012-07-20 00:15 696760 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-10-09 16:59 . 2012-07-20 00:15 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-10-02 18:04 . 2008-04-14 12:00 58368 ----a-w- c:\windows\system32\synceng.dll
2012-10-27 08:00 . 2012-10-27 07:58 261600 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-12-05 19:17 94208 ------w- c:\dokumente und einstellungen\KIR Resonanz\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-12-05 19:17 94208 ------w- c:\dokumente und einstellungen\KIR Resonanz\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-12-05 19:17 94208 ------w- c:\dokumente und einstellungen\KIR Resonanz\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-12-05 19:17 94208 ------w- c:\dokumente und einstellungen\KIR Resonanz\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-09-13 348664]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]
.
c:\dokumente und einstellungen\KIR Resonanz\Startmenü\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\KIR Resonanz\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2012-5-24 27112840]
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableRegedit"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegedit"= 1 (0x1)
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^KIR Resonanz^Startmenü^Programme^Autostart^Dropbox.lnk]
path=c:\dokumente und einstellungen\KIR Resonanz\Startmenü\Programme\Autostart\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-03 13:10 843712 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd]
2006-05-04 08:26 2808832 ----a-w- c:\windows\ALCWZRD.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient]
2008-02-25 00:00 1753088 ----a-w- c:\programme\avmwlanstick\WLanGUI.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 12:00 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2007-04-12 09:33 16132608 ----a-w- c:\windows\RTHDCPL.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2007-04-13 07:36 1822720 ----a-r- c:\windows\SkyTel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2006-07-21 08:14 86016 ------r- c:\windows\SoundMan.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 10:44 248552 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"JavaQuickStarterService"=2 (0x2)
"AOL ACS"=2 (0x2)
"TapiSrv"=3 (0x3)
"idsvc"=3 (0x3)
"helpsvc"=2 (0x2)
"AVM WLAN Connection Service"=2 (0x2)
"wuauserv"=2 (0x2)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Dokumente und Einstellungen\\KIR Resonanz\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer_Service.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [16.01.2012 01:22 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.01.2012 01:22 86224]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [16.01.2012 01:13 4352]
S3 fwlanusbn;FRITZ!WLAN N;c:\windows\system32\drivers\fwlanusbn.sys [16.01.2012 01:12 401920]
.
Inhalt des "geplante Tasks" Ordners
.
2012-11-29 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-03 16:59]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = "c:\programme\Outlook Express\msimn.exe" //mailurl:mailto:kontakt@nbz-rotensee.de
IE: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 4.0\resources\de-DE\local\search.html
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\KIR Resonanz\Anwendungsdaten\Mozilla\Firefox\Profiles\o1hzoiw9.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{1CFFA392-0898-4b1c-89D1-6E98F9D8EF78} - (no file)
MSConfigStartUp-5CE3391E - c:\windows\system32\1C32B0B85CE3391E5B5D.exe
MSConfigStartUp-Alcmtr - ALCMTR.EXE
MSConfigStartUp-AOL Fast Start - c:\programme\AOL 9.0 VRa\AOL.EXE
MSConfigStartUp-HostManager - c:\programme\Gemeinsame Dateien\AOL\1326679726\ee\AOLSoftware.exe
MSConfigStartUp-{1E27651C-E500-68B2-BAFF-AE835FF90BDE} - c:\dokumente und einstellungen\KIR Resonanz\Anwendungsdaten\Fasu\pyvoh.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-11-29 17:10
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2012-11-29 17:32:07
ComboFix-quarantined-files.txt 2012-11-29 16:32
.
Vor Suchlauf: 9 Verzeichnis(se), 25.779.867.648 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 25.949.044.736 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer
.
- - End Of File - - D6BEB4E4934579CDCA83F4C8AC15C501
|
|
30.11.2012, 12:18
| #20 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | PC startet plötzlich und ohne Vorwarnung neu Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegedit"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableRegedit"=-
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
30.11.2012, 12:25
| #21 |
| | PC startet plötzlich und ohne Vorwarnung neu Nach dem ich die CFScript.txt in ComboFix gezogen habe, startet dieser - zeigt dann aber beim vorbereiten erneut die Aufforderung die Wiederherstellungskonsole würde fehlen. Erneut herunterladen und installieren? |
|
30.11.2012, 12:34
| #22 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | PC startet plötzlich und ohne Vorwarnung neu Hm  Mach ruhig mal, eigentlich kann da nichts passieren
__________________ Logfiles bitte immer in CODE-Tags posten |
|
30.11.2012, 12:37
| #23 |
| | PC startet plötzlich und ohne Vorwarnung neu alles klar :-) mal eine Frage am Rande: Ich bin über das kommende Wochenende nicht vor Ort - kann ich über teamviewer weiter machen? |
|
30.11.2012, 12:39
| #24 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | PC startet plötzlich und ohne Vorwarnung neu gegen teamviewer spricht eigentlich nichts, hauptsche du hast eine stabile internetverbindung
__________________ Logfiles bitte immer in CODE-Tags posten |
|
30.11.2012, 12:40
| #25 |
| | PC startet plötzlich und ohne Vorwarnung neu alles klar - Dank dir Der Rechner ist ja jetzt erstmal beschäftigt... |
|
03.12.2012, 11:33
| #26 |
| | PC startet plötzlich und ohne Vorwarnung neu Hallo cosinus, anbei die ComboFix.txt: Combofix Logfile: Code:
ATTFilter ComboFix 12-11-29.02 - KIR Resonanz 30.11.2012 12:38:32.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2942.2550 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\KIR Resonanz\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\KIR Resonanz\Desktop\CFScript.tx.txt
AV: Avira Desktop *Enabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-10-28 bis 2012-11-30 ))))))))))))))))))))))))))))))
.
.
2012-11-27 20:29 . 2012-11-27 20:29 -------- d-----w- c:\dokumente und einstellungen\KIR Resonanz\Anwendungsdaten\Thunderbird
2012-11-27 18:26 . 2012-11-27 18:26 -------- d-----w- c:\programme\Mozilla Thunderbird
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-22 19:56 . 2008-04-14 12:00 1866496 ----a-w- c:\windows\system32\win32k.sys
2012-10-09 16:59 . 2012-07-20 00:15 696760 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-10-09 16:59 . 2012-07-20 00:15 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-10-02 18:04 . 2008-04-14 12:00 58368 ----a-w- c:\windows\system32\synceng.dll
2012-10-27 08:00 . 2012-10-27 07:58 261600 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-12-05 19:17 94208 ------w- c:\dokumente und einstellungen\KIR Resonanz\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-12-05 19:17 94208 ------w- c:\dokumente und einstellungen\KIR Resonanz\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-12-05 19:17 94208 ------w- c:\dokumente und einstellungen\KIR Resonanz\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-12-05 19:17 94208 ------w- c:\dokumente und einstellungen\KIR Resonanz\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-09-13 348664]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]
.
c:\dokumente und einstellungen\KIR Resonanz\Startmenü\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\KIR Resonanz\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2012-5-24 27112840]
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^KIR Resonanz^Startmenü^Programme^Autostart^Dropbox.lnk]
path=c:\dokumente und einstellungen\KIR Resonanz\Startmenü\Programme\Autostart\Dropbox.lnk
backup=c:\windows\pss\Dropbox.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-03 13:10 843712 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd]
2006-05-04 08:26 2808832 ----a-w- c:\windows\ALCWZRD.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient]
2008-02-25 00:00 1753088 ----a-w- c:\programme\avmwlanstick\WLanGUI.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 12:00 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2007-04-12 09:33 16132608 ----a-w- c:\windows\RTHDCPL.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2007-04-13 07:36 1822720 ----a-r- c:\windows\SkyTel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2006-07-21 08:14 86016 ------r- c:\windows\SoundMan.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 10:44 248552 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"JavaQuickStarterService"=2 (0x2)
"AOL ACS"=2 (0x2)
"TapiSrv"=3 (0x3)
"idsvc"=3 (0x3)
"helpsvc"=2 (0x2)
"AVM WLAN Connection Service"=2 (0x2)
"wuauserv"=2 (0x2)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Dokumente und Einstellungen\\KIR Resonanz\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer_Service.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [16.01.2012 01:22 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.01.2012 01:22 86224]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [16.01.2012 01:13 4352]
S3 fwlanusbn;FRITZ!WLAN N;c:\windows\system32\drivers\fwlanusbn.sys [16.01.2012 01:12 401920]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2012-11-30 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-03 16:59]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = "c:\programme\Outlook Express\msimn.exe" //mailurl:mailto:kontakt@nbz-rotensee.de
IE: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 4.0\resources\de-DE\local\search.html
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\KIR Resonanz\Anwendungsdaten\Mozilla\Firefox\Profiles\o1hzoiw9.default\
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-11-30 12:44
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(2820)
c:\dokumente und einstellungen\KIR Resonanz\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2012-11-30 12:47:13
ComboFix-quarantined-files.txt 2012-11-30 11:47
.
Vor Suchlauf: 10 Verzeichnis(se), 25.945.722.880 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 25.935.831.040 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer
.
- - End Of File - - 371D4BD1ABF80247607DACE30446B718
Geändert von TT262 (03.12.2012 um 11:50 Uhr) |
|
03.12.2012, 14:49
| #27 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | PC startet plötzlich und ohne Vorwarnung neu adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren Downloade Dir bitte AdwCleaner auf deinen Desktop. Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
03.12.2012, 14:55
| #28 |
| | PC startet plötzlich und ohne Vorwarnung neuCode:
ATTFilter # AdwCleaner v2.011 - Datei am 03/12/2012 um 14:55:27 erstellt
# Aktualisiert am 02/12/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : KIR Resonanz - KIR-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\KIR Resonanz\Desktop\adwcleaner.exe
# Option [Suche]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Ordner Gefunden : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint
Ordner Gefunden : C:\Programme\Viewpoint
***** [Registrierungsdatenbank] *****
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Schlüssel Gefunden : HKLM\Software\MetaStream
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
Schlüssel Gefunden : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
Schlüssel Gefunden : HKLM\Software\Viewpoint
***** [Internet Browser] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Die Registrierungsdatenbank ist sauber.
-\\ Opera v11.61.1250.0
Datei : C:\Dokumente und Einstellungen\KIR Resonanz\Anwendungsdaten\Opera\Opera\operaprefs.ini
[OK] Die Datei ist sauber.
*************************
AdwCleaner[R1].txt - [1978 octets] - [03/12/2012 14:55:27]
########## EOF - C:\AdwCleaner[R1].txt - [2038 octets] ##########
|
|
03.12.2012, 15:03
| #29 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | PC startet plötzlich und ohne Vorwarnung neu adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen
Danach eine Kontrolle mit OTL bitte:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
03.12.2012, 17:31
| #30 |
| | PC startet plötzlich und ohne Vorwarnung neuCode:
ATTFilter # AdwCleaner v2.011 - Datei am 03/12/2012 um 15:24:06 erstellt
# Aktualisiert am 02/12/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : KIR Resonanz - KIR-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\KIR Resonanz\Desktop\adwcleaner.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint
Ordner Gelöscht : C:\Programme\Viewpoint
***** [Registrierungsdatenbank] *****
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Schlüssel Gelöscht : HKLM\Software\MetaStream
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
Schlüssel Gelöscht : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
Schlüssel Gelöscht : HKLM\Software\Viewpoint
***** [Internet Browser] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Die Registrierungsdatenbank ist sauber.
-\\ Opera v11.61.1250.0
Datei : C:\Dokumente und Einstellungen\KIR Resonanz\Anwendungsdaten\Opera\Opera\operaprefs.ini
[OK] Die Datei ist sauber.
*************************
AdwCleaner[R1].txt - [2107 octets] - [03/12/2012 14:55:27]
AdwCleaner[S1].txt - [2040 octets] - [03/12/2012 15:24:06]
########## EOF - C:\AdwCleaner[S1].txt - [2100 octets] ##########
|
|
| Themen zu PC startet plötzlich und ohne Vorwarnung neu |
| antivir, avg, avira, bho, bildschirm, einstellungen, email, error, erste mal, fehlercode 1, firefox, flash player, format, frage, gereinigt, helper, home, internet browser, logfile, mozilla, msiinstaller, nicht installiert, nicht öffnen, plug-in, problem, problembehandlung, realtek, registry, remote control, required, rundll, scan, schwarzer bildschirm, security, stick, tower, usb, windows internet |
Linear-Darstellung
