BKA 100 € /UKASH:Laptop gesperrt, Kasperski Rescue Disk wird nicht erkannt

Calixus · 08.07.2013, 20:51

Hallo,

ich habe mal wieder auf einem Rechner Besuch von der GVU, allerdings hat das gute Stück seit dem letzten Mal vor einem Jahr anscheinend dazugelernt und ich komme nicht mehr in den abgesicherten Modus von Windows Vista, da in diesen Modi jeweils sofort eine Boot-Schleife getriggert wird.

Ich habe versucht eine Kasperski Rescue Disk zu erstellen. Diese funktionierte auf dem erstellenden Laptop, jedoch wird sie mysteriöserweise vom infizierten Laptop nicht erkannt.
(Das Laufwerk ist im BIOS aktiviert und die Bootreihenfolge ist auf DVD, USB, Harddrive eingestellt.)

Also habe ich versucht OTLPE mittels eepcfr auf einen USB-stick zu bringen.
Dazu nutze ich einen 8GB Emtec USB-2-Stick, den ich auf FAT32 vorformatiert habe.

Mein Problem ist zunächst, dass eepcfr im Konfigurationsfenster oben im Pulldown angibt, dass kein USB-Stick gefunden wurde, und ich somit den Stick nicht anwählen kann, um überhaupt einen Bootstick zu erstellen.

Hätte jemand Hilfe für mich?

markusg · 08.07.2013, 20:57

Hi,
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade

OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Bebilderte Anleitung: OTLpe-Scan

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Calixus · 08.07.2013, 21:56

Zitat:

Zitat von Calixus

Ich habe versucht eine Kasperski Rescue Disk zu erstellen. Diese funktionierte auf dem erstellenden Laptop, jedoch wird sie mysteriöserweise vom infizierten Laptop nicht erkannt.
(Das Laufwerk ist im BIOS aktiviert und die Bootreihenfolge ist auf DVD, USB, Harddrive eingestellt.)

Den selben Effekt habe ich jetzt auch mit der OTLPE-CD erzielt. Der infizierte Rechner erkennt die CD nicht (die CD bootet jedoch den sauberen Rechner) und geht dann in der Bootreihenfolge weiter.

markusg · 08.07.2013, 21:58

hast du auch die Boot reihenfolge im Bios geändert?

Calixus · 08.07.2013, 22:26

Ich möchte nicht undankbar erscheinen, aber das hatte ich bereits zweimal geschrieben.

Zitat:

(Das Laufwerk ist im BIOS aktiviert und die Bootreihenfolge ist auf DVD, USB, Harddrive eingestellt.)

markusg · 08.07.2013, 23:26

Sorry, hatte das zitat nur überrflogen, und es beim ersten mal nicht gelesen.
aber wir haben ja noch Möglichkeiten.
Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 64-Bit

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

Starte den Rechner neu.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu und starte von der CD.

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Calixus · 09.07.2013, 17:27

So ... hier der FRST.txt

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 09-07-2013 01
Ran by SYSTEM on 09-07-2013 18:22:39
Running from I:\
Windows 7 Home Premium (X64) OS Language: English(US)
Internet Explorer Version 9
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [SynTPEnh] - %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe [2104104 2010-04-09] (Synaptics Incorporated)
HKLM\...\Run: [SysTrayApp] - C:\Program Files\IDT\WDM\sttray64.exe [487424 2010-01-13] (IDT, Inc.)
HKLM\...\Run: [HP Quick Launch] - C:\Program Files\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe [451072 2010-01-18] (Hewlett-Packard Company)
HKLM\...\Run: [SmartMenu] - C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe /background [611896 2010-01-20] ()
HKLM\...\Run: [HPToneControl] - C:\Program Files\Hewlett-Packard\HPToneControl\HPTonectl.exe [107832 2009-08-19] (Hewlett-Packard )
HKLM\...\Run: [HPWirelessAssistant] - C:\Program Files\Hewlett-Packard\HP Wireless Assistant\DelayedAppStarter.exe 120 C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Main.exe /hidden [363064 2009-12-16] (Hewlett-Packard)
HKLM\...\Run: [IntelliPoint] - "C:\Program Files\Microsoft IntelliPoint\ipoint.exe" [2417032 2011-08-01] (Microsoft Corporation)
HKLM\...\RunOnce: [*WerKernelReporting] - %SYSTEMROOT%\SYSTEM32\WerFault.exe -k -rq [415232 2009-07-13] (Microsoft Corporation)
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,
Winlogon\Notify\WB: C:\Program Files (x86)\Stardock\MyColors\fast64.dll [X]
HKLM-x32\...\Run: [NUSB3MON] - "C:\Program Files (x86)\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [106496 2009-11-20] (NEC Electronics Corporation)
HKLM-x32\...\Run: [MSN Toolbar] - "C:\Program Files (x86)\MSN Toolbar\Platform\4.0.0369.0\mswinext.exe" [240472 2009-11-30] (Microsoft Corp.)
HKLM-x32\...\Run: [Microsoft Default Manager] - "C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" -resume [288080 2009-07-17] (Microsoft Corporation)
HKLM-x32\...\Run: [HP Envy Guides AutoPlay] - C:\Program Files (x86)\Hewlett-Packard\HP ENVY Document Card Utilities\hpdocstart.exe [76584 2010-03-23] (Hewlett-Packard Development Company, L.P.)
HKLM-x32\...\Run: [VirtualCloneDrive] - "C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s [89456 2011-03-07] (Elaborate Bytes AG)
HKLM-x32\...\Run: [Nero MediaHome 4] - "C:\Program Files (x86)\Nero\Nero MediaHome 4\NeroMediaHome.exe" /AUTORUN [4891944 2009-06-23] (Nero AG)
HKLM-x32\...\Run: [HP Software Update] - C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe [54576 2009-11-18] (Hewlett-Packard)
HKLM-x32\...\Run: [] -  [x]
HKLM-x32\...\Run: [WinampAgent] - "C:\Program Files (x86)\Winamp\winampa.exe" [x]
HKLM-x32\...\Run: [FreePDF Assistant] - "C:\Program Files (x86)\FreePDF_XP\fpassist.exe" [371200 2011-02-23] (shbox.de)
HKLM-x32\...\Run: [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [TkBellExe] - "C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe"  -osboot [296096 2012-10-11] (RealNetworks, Inc.)
HKLM-x32\...\Run: [StartCCC] - "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun [642728 2012-09-28] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [APSDaemon] - "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59280 2012-10-11] (Apple Inc.)
HKLM-x32\...\Run: [QuickTime Task] - "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime [421888 2012-10-24] (Apple Inc.)
HKLM-x32\...\Run: [KiesTrayAgent] - C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe [311152 2013-05-22] (Samsung Electronics Co., Ltd.)
HKU\Default\...\RunOnce: [mctadmin] - C:\Windows\System32\mctadmin.exe [97280 2009-07-13] (Microsoft Corporation)
HKU\Default User\...\RunOnce: [mctadmin] - C:\Windows\System32\mctadmin.exe [97280 2009-07-13] (Microsoft Corporation)
HKU\Gast\...\Run: [Steam] - "C:\Program Files (x86)\Steam\steam.exe" -silent [1641896 2013-06-06] (Valve Corporation)
HKU\Gast\...\Run: [Pando Media Booster] - C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe [3046808 2011-02-28] ()
HKU\media\...\Run: [Pando Media Booster] - C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe [3046808 2011-02-28] ()
HKU\media\...\Run: [Skype] - "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun [18643048 2013-02-28] (Skype Technologies S.A.)
HKU\media\...\Run: [KiesPreload] - C:\Program Files (x86)\Samsung\Kies\Kies.exe /preload [1561968 2013-05-22] (Samsung)
HKU\media\...\Run: [KiesAirMessage] - C:\Program Files (x86)\Samsung\Kies\KiesAirMessage.exe -startup [x]
HKU\media\...\Run: [] - C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe [1106288 2013-05-22] (Samsung)
HKU\media\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe [43008 2013-07-05] (NVIDIA Corporation) <===== ATTENTION
HKU\media\...\Winlogon: [Shell] cmd.exe [344576 2009-07-13] (Microsoft Corporation) <==== ATTENTION 
HKU\media\...\Command Processor: "C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe" <===== ATTENTION!
HKU\NeroMediaHomeUser.4\...\RunOnce: [mctadmin] - C:\Windows\System32\mctadmin.exe [97280 2009-07-13] (Microsoft Corporation)
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IconPackager.lnk
ShortcutTarget: IconPackager.lnk -> C:\Program Files (x86)\Stardock\MyColors\IconPackager.exe (Stardock Corporation)
Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IconPackager.lnk
ShortcutTarget: IconPackager.lnk -> C:\Program Files (x86)\Stardock\MyColors\IconPackager.exe (Stardock Corporation)
Startup: C:\Users\NeroMediaHomeUser.4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IconPackager.lnk
ShortcutTarget: IconPackager.lnk -> C:\Program Files (x86)\Stardock\MyColors\IconPackager.exe (Stardock Corporation)

==================== Services (Whitelisted) =================

S2 AAV UpdateService; C:\Program Files (x86)\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [128296 2008-10-24] ()
S2 AESTFilters; C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_1c0e2d1db9f5b08e\AESTSr64.exe [89600 2009-03-03] (Andrea Electronics Corporation)
S2 DvmMDES; C:\SwSetup\QuickWeb\QW.SYS\config\DVMExportService.exe [338168 2010-02-08] (DeviceVM, Inc.)
S3 hpdoccardsvc; C:\Program Files (x86)\Hewlett-Packard\HP ENVY Document Card Utilities\doccardsvc.exe [83240 2010-03-23] (Hewlett-Packard Developement Company, L.P.)
S2 HPWMISVC; C:\Program Files\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe [20480 2010-01-18] ()
S2 MBAMScheduler; C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [399432 2012-09-07] (Malwarebytes Corporation)
S2 MBAMService; C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [676936 2012-09-07] (Malwarebytes Corporation)
S2 NeroMediaHomeService.4; C:\Program Files (x86)\Nero\Nero MediaHome 4\NMMediaServerService.exe [259368 2009-06-23] (Nero AG)
S2 NIS; C:\Program Files (x86)\Norton Internet Security\Engine\20.4.0.40\ccSvcHst.exe [144368 2013-05-20] (Symantec Corporation)
S2 PnkBstrA; C:\Windows\SysWow64\PnkBstrA.exe [75136 2011-05-15] ()
S2 STacSV; C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_1c0e2d1db9f5b08e\STacSV64.exe [244736 2010-01-13] (IDT, Inc.)

==================== Drivers (Whitelisted) ====================

S3 ASPI; C:\Windows\SysWow64\DRIVERS\ASPI32.sys [84832 2002-07-17] (Adaptec)
S2 atksgt; C:\Windows\System32\DRIVERS\atksgt.sys [88480 2012-10-02] ()
S1 BHDrvx64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.4.0.40\Definitions\BASHDefs\20130702.001\BHDrvx64.sys [1393240 2013-05-20] (Symantec Corporation)
S1 BHDrvx64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.4.0.40\Definitions\BASHDefs\20130702.001\BHDrvx64.sys [1393240 2013-05-20] (Symantec Corporation)
S1 ccSet_NIS; C:\Windows\system32\drivers\NISx64\1404000.028\ccSetx64.sys [169048 2013-04-15] (Symantec Corporation)
S1 DVMIO; C:\Windows\System32\DRIVERS\dvmio.sys [20056 2010-01-29] (DeviceVM, Inc.)
S1 eeCtrl; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys [484512 2012-08-09] (Symantec Corporation)
S1 eeCtrl; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys [484512 2012-08-09] (Symantec Corporation)
S3 EraserUtilRebootDrv; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [138912 2013-04-20] (Symantec Corporation)
S1 IDSVia64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.4.0.40\Definitions\IPSDefs\20130705.001\IDSvia64.sys [513184 2013-06-26] (Symantec Corporation)
S1 IDSVia64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.4.0.40\Definitions\IPSDefs\20130705.001\IDSvia64.sys [513184 2013-06-26] (Symantec Corporation)
S2 lirsgt; C:\Windows\System32\DRIVERS\lirsgt.sys [46400 2012-10-02] ()
S3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [25928 2012-09-07] (Malwarebytes Corporation)
S3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [25928 2012-09-07] (Malwarebytes Corporation)
S3 NAVENG; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.4.0.40\Definitions\VirusDefs\20130705.002\ENG64.SYS [126040 2013-06-25] (Symantec Corporation)
S3 NAVENG; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.4.0.40\Definitions\VirusDefs\20130705.002\ENG64.SYS [126040 2013-06-25] (Symantec Corporation)
S3 NAVEX15; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.4.0.40\Definitions\VirusDefs\20130705.002\EX64.SYS [2098776 2013-06-25] (Symantec Corporation)
S3 NAVEX15; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.4.0.40\Definitions\VirusDefs\20130705.002\EX64.SYS [2098776 2013-06-25] (Symantec Corporation)
S3 SRTSP; C:\Windows\System32\Drivers\NISx64\1404000.028\SRTSP64.SYS [796760 2013-05-15] (Symantec Corporation)
S1 SRTSPX; C:\Windows\system32\drivers\NISx64\1404000.028\SRTSPX64.SYS [36952 2013-03-04] (Symantec Corporation)
S0 SymDS; C:\Windows\System32\drivers\NISx64\1404000.028\SYMDS64.SYS [493656 2013-05-20] (Symantec Corporation)
S0 SymEFA; C:\Windows\System32\drivers\NISx64\1404000.028\SYMEFA64.SYS [1139800 2013-05-22] (Symantec Corporation)
S3 SymEvent; C:\Windows\system32\Drivers\SYMEVENT64x86.SYS [177312 2013-06-26] (Symantec Corporation)
S1 SymIM; C:\Windows\System32\DRIVERS\SymIMv.sys [43680 2013-03-04] (Symantec Corporation)
S1 SymIRON; C:\Windows\system32\drivers\NISx64\1404000.028\Ironx64.SYS [224416 2013-03-04] (Symantec Corporation)
S1 SymNetS; C:\Windows\System32\Drivers\NISx64\1404000.028\SYMNETS.SYS [433752 2013-04-24] (Symantec Corporation)
S1 uigxrdr; C:\Windows\System32\DRIVERS\uigxrdr.sys [199752 2011-11-16] (1&1 Mail & Media GmbH)
S2 {55662437-DA8C-40c0-AADA-2C816A897A49}; c:\Program Files (x86)\Hewlett-Packard\Media\DVD\000.fcl [146928 2010-01-27] (CyberLink Corp.)
S2 {55662437-DA8C-40c0-AADA-2C816A897A49}; c:\Program Files (x86)\Hewlett-Packard\Media\DVD\000.fcl [146928 2010-01-27] (CyberLink Corp.)
S3 ASPI; \??\C:\Windows\System32\DRIVERS\ASPI32.sys [x]
S3 dgderdrv; System32\drivers\dgderdrv.sys [x]
S3 X6va011; \??\C:\Windows\SysWOW64\Drivers\X6va011 [x]

========================== Drivers MD5 =======================

C:\Windows\system32\DRIVERS\1394ohci.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\Accelerometer.sys 1CFFE9C06E66A57DAE1452E449A58240
C:\Windows\System32\DRIVERS\ACPI.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\acpipmi.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\adp94xx.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\adpahci.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\adpu320.sys ==> MD5 is legit
C:\Windows\system32\drivers\afd.sys DB9D6C6B2CD95A9CA414D045B627422E
C:\Windows\system32\DRIVERS\agp440.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\aliide.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\amdide.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\amdk8.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\atikmdag.sys A3C0A15B39F979E8F3EABA901D72ECD7
C:\Windows\System32\DRIVERS\atikmpag.sys 20F3CD38B107C1BD747C0EA37D450165
C:\Windows\system32\DRIVERS\amdppm.sys ==> MD5 is legit
C:\Windows\system32\drivers\amdsata.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\amdsbs.sys ==> MD5 is legit
C:\Windows\System32\drivers\amdxata.sys ==> MD5 is legit
C:\Windows\system32\drivers\appid.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\arc.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\arcsas.sys ==> MD5 is legit
C:\Windows\SysWow64\DRIVERS\ASPI32.sys E54E27976E2C5A6465D44C10B1D87AC0
C:\Windows\System32\DRIVERS\asyncmac.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\atapi.sys ==> MD5 is legit
C:\Windows\System32\drivers\AtihdW76.sys B0790FF0E25B7A2674296052F2162C1A
C:\Windows\System32\drivers\AtiHdmi.sys 77C149E6D702737B2E372DEE166FAEF8
C:\Windows\System32\DRIVERS\atksgt.sys B4BDE3F758A34658A37DFED3D9783CD8
C:\Windows\system32\DRIVERS\bxvbda.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\b57nd60a.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\bcmwl664.sys E046CB1958CEBFFF7866E56588B10FC1
C:\Windows\System32\Drivers\Beep.sys ==> MD5 is legit
C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.4.0.40\Definitions\BASHDefs\20130702.001\BHDrvx64.sys 6E10DB69DB1AA96207F4B14B18FF12F8
C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.4.0.40\Definitions\BASHDefs\20130702.001\BHDrvx64.sys 6E10DB69DB1AA96207F4B14B18FF12F8
C:\Windows\system32\DRIVERS\blbdrive.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\bowser.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\BrFiltLo.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\BrFiltUp.sys ==> MD5 is legit
C:\Windows\System32\Drivers\Brserid.sys ==> MD5 is legit
C:\Windows\System32\Drivers\BrSerWdm.sys ==> MD5 is legit
C:\Windows\System32\Drivers\BrUsbMdm.sys ==> MD5 is legit
C:\Windows\System32\Drivers\BrUsbSer.sys ==> MD5 is legit
C:\Windows\system32\drivers\BthEnum.sys CF98190A94F62E405C8CB255018B2315
C:\Windows\System32\DRIVERS\bthmodem.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\bthpan.sys 02DD601B708DD0667E1331FA8518E9FF
C:\Windows\System32\Drivers\BTHport.sys D59773C7FDD3D795D6FE402EEEA8D71E
C:\Windows\System32\Drivers\BTHUSB.sys 8504842634DD144C075B6B0C982CCEC4
C:\Windows\System32\drivers\btwaudio.sys AF838D8029AE7C27470862D63FA54D24
C:\Windows\System32\DRIVERS\btwavdt.sys 5C849BD7C78791C5CEE9F4651D7FE38D
C:\Windows\System32\DRIVERS\btwl2cap.sys 6149301DC3F81D6F9667A3FBAC410975
C:\Windows\System32\DRIVERS\btwrchid.sys 3E1991AFA851A36DC978B0A1B0535C8B
C:\Windows\system32\drivers\NISx64\1404000.028\ccSetx64.sys 56685951208AC81CF923B9B08BEDF3B7
C:\Windows\System32\DRIVERS\cdfs.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\cdrom.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\circlass.sys ==> MD5 is legit
C:\Windows\System32\CLFS.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\CmBatt.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\cmdide.sys ==> MD5 is legit
C:\Windows\System32\Drivers\cng.sys CA7720B73446FDDEC5C69519C1174C98
C:\Windows\System32\DRIVERS\compbatt.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\CompositeBus.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\crcdisk.sys ==> MD5 is legit
C:\Windows\System32\Drivers\dfsc.sys ==> MD5 is legit
C:\Windows\System32\drivers\discache.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\disk.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\Dot4.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\Dot4Prt.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\dot4usb.sys ==> MD5 is legit
C:\Windows\System32\drivers\drmkaud.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\dvmio.sys A298AEA9FCA253E7EFF040A08C7C6376
C:\Windows\System32\drivers\dxgkrnl.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\evbda.sys ==> MD5 is legit
C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys 4353FF94D47A0A9D52B89ECCF0CDB013
C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys 4353FF94D47A0A9D52B89ECCF0CDB013
C:\Windows\System32\Drivers\ElbyCDIO.sys A05FC7ECA0966EBB70E4D17B855A853B
C:\Windows\system32\DRIVERS\elxstor.sys ==> MD5 is legit
C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys C5BCCB378D0A896304A3E71BE7215983
C:\Windows\system32\DRIVERS\errdev.sys ==> MD5 is legit
C:\Windows\System32\Drivers\exfat.sys ==> MD5 is legit
C:\Windows\System32\Drivers\fastfat.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\fdc.sys ==> MD5 is legit
C:\Windows\System32\drivers\fileinfo.sys ==> MD5 is legit
C:\Windows\System32\drivers\filetrace.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\flpydisk.sys ==> MD5 is legit
C:\Windows\System32\drivers\fltmgr.sys ==> MD5 is legit
C:\Windows\System32\drivers\FsDepends.sys ==> MD5 is legit
C:\Windows\System32\Drivers\Fs_Rec.sys D3E3F93D67821A2DB2B3D9FAC2DC2064
C:\Windows\System32\DRIVERS\fvevol.sys 1F44F8559E61A8306ECC67BB1E168B7C
C:\Windows\system32\DRIVERS\gagp30kx.sys ==> MD5 is legit
C:\Windows\system32\drivers\hcw85cir.sys ==> MD5 is legit
C:\Windows\System32\drivers\HdAudio.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\HDAudBus.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\HECIx64.sys B6AC71AAA2B10848F57FC49D55A651AF
C:\Windows\system32\DRIVERS\HidBatt.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\hidbth.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\hidir.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\hidusb.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\hpdskflt.sys 05712FDDBD45A5864EB326FAABC6A4E3
C:\Windows\system32\DRIVERS\HpSAMD.sys ==> MD5 is legit
C:\Windows\System32\drivers\HTTP.sys ==> MD5 is legit
C:\Windows\System32\drivers\hwpolicy.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\i8042prt.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\iaStor.sys 1384872112E8E7FD5786ECEB8BDDF4C9
C:\Windows\system32\drivers\iaStorV.sys ==> MD5 is legit
C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.4.0.40\Definitions\IPSDefs\20130705.001\IDSvia64.sys A48928D4CCA6F8B731989DB08CF2C0AB
C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.4.0.40\Definitions\IPSDefs\20130705.001\IDSvia64.sys A48928D4CCA6F8B731989DB08CF2C0AB
C:\Windows\System32\DRIVERS\igdkmd64.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\iirsp.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\intelide.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\intelppm.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\ipfltdrv.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\IPMIDrv.sys ==> MD5 is legit
C:\Windows\System32\drivers\ipnat.sys ==> MD5 is legit
C:\Windows\System32\drivers\irenum.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\isapnp.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\msiscsi.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\kbdclass.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\kbdhid.sys ==> MD5 is legit
C:\Windows\System32\Drivers\ksecdd.sys 4F4B5FDE429416877DE7143044582EB5
C:\Windows\System32\Drivers\ksecpkg.sys 6F40465A44ECDC1731BEFAFEC5BDD03C
C:\Windows\system32\drivers\ksthunk.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\lirsgt.sys 955982BF4421B77722196552B62E8DC2
C:\Windows\System32\DRIVERS\lltdio.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\lsi_fc.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\lsi_sas.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\lsi_sas2.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\lsi_scsi.sys ==> MD5 is legit
C:\Windows\system32\drivers\luafv.sys ==> MD5 is legit
C:\Windows\system32\drivers\mbam.sys B9FC4CCE5758B816F27DD4D1EED11841
C:\Windows\system32\drivers\mbam.sys B9FC4CCE5758B816F27DD4D1EED11841
C:\Windows\system32\DRIVERS\megasas.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\MegaSR.sys ==> MD5 is legit
C:\Windows\System32\drivers\modem.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\monitor.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\mouclass.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\mouhid.sys ==> MD5 is legit
C:\Windows\System32\drivers\mountmgr.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\mpio.sys ==> MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys ==> MD5 is legit
C:\Windows\system32\drivers\mrxdav.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\mrxsmb.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\mrxsmb10.sys F0067552F8F9B33D7C59403AB808A3CB
C:\Windows\System32\DRIVERS\mrxsmb20.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\msahci.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\msdsm.sys ==> MD5 is legit
C:\Windows\System32\Drivers\Msfs.sys ==> MD5 is legit
C:\Windows\System32\drivers\mshidkmdf.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\msisadrv.sys ==> MD5 is legit
C:\Windows\System32\drivers\MSKSSRV.sys ==> MD5 is legit
C:\Windows\System32\drivers\MSPCLOCK.sys ==> MD5 is legit
C:\Windows\System32\drivers\MSPQM.sys ==> MD5 is legit
C:\Windows\System32\Drivers\MsRPC.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\mssmbios.sys ==> MD5 is legit
C:\Windows\System32\drivers\MSTEE.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\MTConfig.sys ==> MD5 is legit
C:\Windows\System32\Drivers\mup.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\nwifi.sys ==> MD5 is legit
C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.4.0.40\Definitions\VirusDefs\20130705.002\ENG64.SYS 56540E526B46E379A476FB5BC381B290
C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.4.0.40\Definitions\VirusDefs\20130705.002\ENG64.SYS 56540E526B46E379A476FB5BC381B290
C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.4.0.40\Definitions\VirusDefs\20130705.002\EX64.SYS 8A19D3991F9F14B885CDE8BC640F6B68
C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.4.0.40\Definitions\VirusDefs\20130705.002\EX64.SYS 8A19D3991F9F14B885CDE8BC640F6B68
C:\Windows\System32\drivers\ndis.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\ndiscap.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\ndistapi.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\ndisuio.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\ndiswan.sys ==> MD5 is legit
C:\Windows\System32\Drivers\NDProxy.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\netbios.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\netbt.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\netw5v64.sys 64428DFDAF6E88366CB51F45A79C5F69
C:\Windows\system32\DRIVERS\nfrd960.sys ==> MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys ==> MD5 is legit
C:\Windows\System32\Drivers\Ntfs.sys 9A6089B056EA1B83B36424FC9D0A300E
C:\Windows\System32\Drivers\Null.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\nusb3hub.sys 785298579B5F9B4032152DFBB992FDB6
C:\Windows\System32\DRIVERS\nusb3xhc.sys DF2750481B4964814467C974F2B0EEF1
C:\Windows\system32\drivers\nvraid.sys ==> MD5 is legit
C:\Windows\system32\drivers\nvstor.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\nv_agp.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\ohci1394.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\parport.sys ==> MD5 is legit
C:\Windows\System32\drivers\partmgr.sys 90061B1ACFE8CCAA5345750FFE08D8B8
C:\Windows\System32\DRIVERS\pci.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\pciide.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\pcmcia.sys ==> MD5 is legit
C:\Windows\System32\drivers\pcw.sys ==> MD5 is legit
C:\Windows\System32\drivers\peauth.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\point64.sys 4F0878FD62D5F7444C5F1C4C66D9D293
C:\Windows\System32\DRIVERS\raspptp.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\processr.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\pacer.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\ql2300.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\ql40xx.sys ==> MD5 is legit
C:\Windows\system32\drivers\qwavedrv.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\rasacd.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\AgileVpn.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\rasl2tp.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\raspppoe.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\rassstp.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\rdbss.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\rdpbus.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\RDPCDD.sys ==> MD5 is legit
C:\Windows\System32\drivers\rdpencdd.sys ==> MD5 is legit
C:\Windows\System32\drivers\rdprefmp.sys ==> MD5 is legit
C:\Windows\System32\Drivers\RDPWD.sys 447DE7E3DEA39D422C1504F245B668B1
C:\Windows\System32\drivers\rdyboost.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\rfcomm.sys 3DD798846E2C28102B922C56E71B7932
C:\Windows\System32\DRIVERS\rspndr.sys ==> MD5 is legit
C:\Windows\System32\Drivers\RtsUStor.sys 907C4464381B5EBDFDC60F6C7D0DEDFC
C:\Windows\System32\DRIVERS\Rt64win7.sys 777FC2C418465404E3D8A290DC247D24
C:\Windows\system32\DRIVERS\sbp2port.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\scfilter.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\sdbus.sys 54E47AD086782D3AE9417C155CDCEB9B
C:\Windows\System32\Drivers\secdrv.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\serenum.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\serial.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\sermouse.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\sffdisk.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\sffp_mmc.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\sffp_sd.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\sfloppy.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\SiSRaid2.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\sisraid4.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\smb.sys ==> MD5 is legit
C:\Windows\System32\Drivers\spldr.sys ==> MD5 is legit
C:\Windows\System32\Drivers\NISx64\1404000.028\SRTSP64.SYS 2FD9346F9D76CB4192D37329CFA47A82
C:\Windows\system32\drivers\NISx64\1404000.028\SRTSPX64.SYS 0E76CEF892C45734F7AED09FDDF35D4D
C:\Windows\System32\DRIVERS\srv.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\srv2.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\VSTAZL6.SYS 0C4540311E11664B245A263E1154CEF8
C:\Windows\System32\DRIVERS\VSTDPV6.SYS 02071D207A9858FBE3A48CBFD59C4A04
C:\Windows\System32\DRIVERS\VSTCNXT6.SYS 18E40C245DBFAF36FD0134A7EF2DF396
C:\Windows\System32\DRIVERS\srvnet.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\stexstor.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\stwrt64.sys 936A4D05F7A790B8AAB3B6BE61651E0E
C:\Windows\System32\DRIVERS\serscan.sys DECACB6921DED1A38642642685D77DAC
C:\Windows\system32\DRIVERS\swenum.sys ==> MD5 is legit
C:\Windows\System32\drivers\NISx64\1404000.028\SYMDS64.SYS 52DC0048D667757A8A2E4C87182890AC
C:\Windows\System32\drivers\NISx64\1404000.028\SYMEFA64.SYS 599872BAD7CFB45C7CE47CDED4B726D8
C:\Windows\system32\Drivers\SYMEVENT64x86.SYS F19E5E37ED8134B9E5F6287F2D3A75D7
C:\Windows\System32\DRIVERS\SymIMv.sys BFD99DC6C7FEB2F8B20D488FDF3A9A55
C:\Windows\system32\drivers\NISx64\1404000.028\Ironx64.SYS ADF37F1A715D6C56C8E065FD8569A9A4
C:\Windows\System32\Drivers\NISx64\1404000.028\SYMNETS.SYS 9CDCA70485BD6B9D230365F67C31F132
C:\Windows\System32\DRIVERS\SynTP.sys 7369D6268E21481A8DCB8E94063C47B1
C:\Windows\System32\drivers\tcpip.sys 5CFB7AB8F9524D1A1E14369DE63B83CC
C:\Windows\System32\DRIVERS\tcpip.sys 5CFB7AB8F9524D1A1E14369DE63B83CC
C:\Windows\System32\drivers\tcpipreg.sys ==> MD5 is legit
C:\Windows\System32\drivers\tdpipe.sys ==> MD5 is legit
C:\Windows\System32\drivers\tdtcp.sys 7518F7BCFD4B308ABC9192BACAF6C970
C:\Windows\System32\DRIVERS\tdx.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\termdd.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\tssecsrv.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\tunnel.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\uagp35.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\udfs.sys C06E6F4679CEB8F430B90A51D76D8D3C
C:\Windows\System32\DRIVERS\uigxrdr.sys FDB805B2749DACE784BD05125979B478
C:\Windows\system32\DRIVERS\uliagpkx.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\umbus.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\umpass.sys ==> MD5 is legit
C:\Windows\System32\drivers\usbaudio.sys 77B01BC848298223A95D4EC23E1785A1
C:\Windows\System32\DRIVERS\usbccgp.sys 537A4E03D7103C12D42DFD8FFDB5BDC9
C:\Windows\system32\DRIVERS\usbcir.sys ==> MD5 is legit
C:\Windows\system32\drivers\usbehci.sys FBB21EBE49F6D560DB37AC25FBC68E66
C:\Windows\System32\DRIVERS\usbhub.sys 6B7A8A99C4A459E73C286A6763EA24CC
C:\Windows\system32\drivers\usbohci.sys 8C88AA7617B4CBC2E4BED61D26B33A27
C:\Windows\System32\DRIVERS\usbprint.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\usbscan.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\USBSTOR.SYS ==> MD5 is legit
C:\Windows\system32\drivers\usbuhci.sys 0B5B3B2DF3FD1709618ACFA50B8392B0
C:\Windows\System32\Drivers\usbvideo.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\VClone.sys FD911873C0BB6945FA38C16E9A2B58F9
C:\Windows\System32\DRIVERS\vdrvroot.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\vgapnp.sys ==> MD5 is legit
C:\Windows\System32\drivers\vga.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\vhdmp.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\viaide.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\volmgr.sys ==> MD5 is legit
C:\Windows\System32\drivers\volmgrx.sys ==> MD5 is legit
C:\Windows\System32\drivers\volsnap.sys 9E425AC5C9A5A973273D169F43B4F5E1
C:\Windows\System32\DRIVERS\vpchbus.sys ABD9B4A7E2D0AE51A3B8DF1AF3152D61
C:\Windows\System32\DRIVERS\vpcnfltr.sys 8ACDA395841538CE9713A67FE8B2A3EB
C:\Windows\System32\DRIVERS\vpcusb.sys 31924E31BC315773E6D149B157DB46D5
C:\Windows\System32\drivers\vpcvmm.sys C5B651E52540E6F46DA66574C74B4898
C:\Windows\system32\DRIVERS\vsmraid.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\vwifibus.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\vwififlt.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\vwifimp.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\wacompen.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\wanarp.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\wanarp.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\wd.sys ==> MD5 is legit
C:\Windows\System32\drivers\Wdf01000.sys 442783E2CB0DA19873B7A63833FF4CB4
C:\Windows\System32\DRIVERS\wfplwf.sys ==> MD5 is legit
C:\Windows\System32\drivers\wimmount.sys ==> MD5 is legit
C:\Windows\SysWow64\drivers\wimmount.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\WinUsb.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\wmiacpi.sys ==> MD5 is legit
C:\Windows\system32\drivers\ws2ifsl.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\WSDPrint.sys 8D918B1DB190A4D9B1753A66FA8C96E8
C:\Windows\System32\drivers\WudfPf.sys AB886378EEB55C6C75B4F2D14B6C869F
C:\Windows\System32\DRIVERS\WUDFRd.sys DDA4CAF29D8C0A297F886BFE561E6659
C:\Windows\System32\DRIVERS\yk62x64.sys B3EEACF62445E24FBB2CD4B0FB4DB026
c:\Program Files (x86)\Hewlett-Packard\Media\DVD\000.fcl 74983ADDCA2D9618512C088D856D6615
c:\Program Files (x86)\Hewlett-Packard\Media\DVD\000.fcl 74983ADDCA2D9618512C088D856D6615

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-09 18:22 - 2013-07-09 18:22 - 00000000 ____D C:\FRST
2013-07-07 12:58 - 2013-07-07 12:58 - 00000000 ____D C:\55bfe61daf269b96559b4877d4f8
2013-07-05 15:48 - 2013-07-05 15:48 - 02927884 ____A C:\ProgramData\2433f433
2013-07-05 15:48 - 2013-07-05 15:48 - 02927869 ____A C:\Users\media\AppData\Roaming\2433f433
2013-07-05 15:48 - 2013-07-05 15:48 - 02927862 ____A C:\Users\media\AppData\Local\2433f433
2013-07-05 03:19 - 2013-07-05 03:19 - 00000000 ____D C:\Windows\System32\SPReview
2013-06-29 14:04 - 2013-06-29 14:04 - 00000000 ____D C:\Users\Public\Documents\CrashDump
2013-06-29 12:30 - 2013-07-08 12:56 - 00000374 ____A C:\Windows\System32\Drivers\etc\hosts.ics
2013-06-29 12:06 - 2013-06-29 12:06 - 00000000 ____D C:\Program Files (x86)\MarkAny
2013-06-29 12:05 - 2013-06-29 12:08 - 00001964 ____A C:\Users\Public\Desktop\Samsung Kies (Lite).lnk
2013-06-29 12:05 - 2013-06-29 12:05 - 00001954 ____A C:\Users\Public\Desktop\Samsung Kies.lnk
2013-06-29 12:05 - 2013-06-29 12:05 - 00000000 ____D C:\Users\Public\Documents\NativeFus_Log
2013-06-29 12:05 - 2013-06-29 12:05 - 00000000 ____D C:\Users\media\Documents\samsung
2013-06-29 12:05 - 2013-06-29 12:05 - 00000000 ____D C:\Users\media\AppData\Roaming\Samsung
2013-06-29 12:05 - 2013-06-29 12:05 - 00000000 ____D C:\Users\media\AppData\Local\Samsung
2013-06-29 12:05 - 2013-06-29 12:05 - 00000000 ____D C:\Program Files (x86)\MyFree Codec
2013-06-29 12:03 - 2013-04-18 09:08 - 04659712 ____A (Dmitry Streblechenko) C:\Windows\SysWOW64\Redemption.dll
2013-06-29 12:02 - 2013-04-18 09:06 - 00821824 ____A (Devguru Co., Ltd.) C:\Windows\SysWOW64\dgderapi.dll
2013-06-29 12:01 - 2013-06-29 12:25 - 00000000 ____D C:\Program Files (x86)\Samsung
2013-06-29 11:37 - 2013-06-29 11:45 - 00000000 ____D C:\Program Files\SAMSUNG
2013-06-29 11:36 - 2013-06-29 12:01 - 00000000 ____D C:\ProgramData\Samsung
2013-06-29 11:35 - 2013-06-21 08:13 - 00075770 ____A C:\script.bin
2013-06-29 11:35 - 2013-06-21 08:13 - 00000000 ____D C:\$PLUGINSDIR
2013-06-29 11:35 - 2013-06-21 08:13 - 00000000 ____D C:\$INSTDIR
2013-06-29 11:35 - 2013-06-21 08:13 - 00000000 ____A C:\file0301.bin
2013-06-26 11:40 - 2013-06-26 11:40 - 655490615 ____A C:\Windows\MEMORY.DMP
2013-06-26 11:40 - 2013-06-26 11:40 - 00275320 ____A C:\Windows\Minidump\062613-53633-01.dmp
2013-06-26 11:07 - 2013-06-26 11:07 - 00002463 ____A C:\Users\Public\Desktop\Norton Internet Security.lnk
2013-06-26 11:07 - 2013-03-04 10:14 - 00043680 ___RA (Symantec Corporation) C:\Windows\System32\Drivers\SymIMV.sys
2013-06-24 08:38 - 2013-06-24 08:40 - 00000000 ____D C:\bb1cd549222d0298df3b7920
2013-06-17 09:20 - 2013-07-04 10:29 - 00000951 ____A C:\Users\Public\Desktop\Second Life Beta Viewer.lnk
2013-06-17 09:19 - 2013-07-04 10:26 - 00000000 ____A C:\conversation.log
2013-06-16 06:09 - 2013-06-16 06:09 - 00000222 ____A C:\Users\media\Desktop\Crusader Kings II.url
2013-06-16 05:36 - 2013-06-16 12:36 - 00000000 ___RD C:\Users\media\Desktop\Progverknüpfungen
2013-06-16 05:34 - 2013-06-16 05:38 - 00000000 ____D C:\Users\media\Desktop\Sortieren
2013-06-16 05:30 - 2013-07-08 12:55 - 00002701 ____A C:\Windows\setupact.log
2013-06-16 05:30 - 2013-06-29 01:00 - 00004020 ____A C:\Windows\PFRO.log
2013-06-16 05:30 - 2013-06-16 05:30 - 00000000 ____A C:\Windows\setuperr.log
2013-06-16 05:08 - 2013-06-16 05:08 - 00000000 ____D C:\Program Files\CCleaner
2013-06-12 12:03 - 2013-06-12 12:03 - 09089416 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerInstaller.exe
2013-06-09 12:42 - 2013-06-09 12:42 - 00000969 ____A C:\Users\Public\Desktop\TeamSpeak 3 Client.lnk

==================== One Month Modified Files and Folders =======

2013-07-09 18:22 - 2013-07-09 18:22 - 00000000 ____D C:\FRST
2013-07-08 14:40 - 2009-09-06 16:40 - 00000000 ____D C:\SwSetup
2013-07-08 12:56 - 2013-06-29 12:30 - 00000374 ____A C:\Windows\System32\Drivers\etc\hosts.ics
2013-07-08 12:55 - 2013-06-16 05:30 - 00002701 ____A C:\Windows\setupact.log
2013-07-08 12:55 - 2011-07-24 14:29 - 00000000 ____D C:\users\NeroMediaHomeUser.4
2013-07-08 12:55 - 2009-07-13 21:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-07-08 12:54 - 2010-09-14 03:02 - 00000000 ____D C:\users\media
2013-07-07 13:10 - 2013-02-09 11:27 - 00001104 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-07-07 12:58 - 2013-07-07 12:58 - 00000000 ____D C:\55bfe61daf269b96559b4877d4f8
2013-07-07 12:58 - 2010-08-19 15:24 - 01049288 ____A C:\Windows\WindowsUpdate.log
2013-07-05 15:48 - 2013-07-05 15:48 - 02927884 ____A C:\ProgramData\2433f433
2013-07-05 15:48 - 2013-07-05 15:48 - 02927869 ____A C:\Users\media\AppData\Roaming\2433f433
2013-07-05 15:48 - 2013-07-05 15:48 - 02927862 ____A C:\Users\media\AppData\Local\2433f433
2013-07-05 15:46 - 2011-03-01 10:06 - 00000000 ____D C:\Users\media\AppData\Roaming\TS3Client
2013-07-05 15:29 - 2013-02-09 11:27 - 00001108 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-07-05 15:03 - 2012-09-01 23:46 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-07-05 12:15 - 2011-11-17 10:17 - 00000000 ____D C:\Users\media\AppData\Roaming\Skype
2013-07-05 09:02 - 2011-02-28 13:55 - 00000000 ____D C:\Users\media\AppData\Local\PMB Files
2013-07-05 08:40 - 2009-07-13 20:45 - 00023248 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-05 08:40 - 2009-07-13 20:45 - 00023248 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-05 08:30 - 2011-04-16 08:06 - 00000000 ____D C:\Users\media\AppData\Local\CrashDumps
2013-07-05 03:20 - 2010-05-15 22:35 - 00709460 ____A C:\Windows\System32\perfh007.dat
2013-07-05 03:20 - 2010-05-15 22:35 - 00153780 ____A C:\Windows\System32\perfc007.dat
2013-07-05 03:20 - 2009-07-13 21:13 - 01642220 ____A C:\Windows\System32\PerfStringBackup.INI
2013-07-05 03:19 - 2013-07-05 03:19 - 00000000 ____D C:\Windows\System32\SPReview
2013-07-04 11:06 - 2011-02-28 16:47 - 00000000 ____D C:\Users\media\AppData\Local\SecondLife
2013-07-04 10:29 - 2013-06-17 09:20 - 00000951 ____A C:\Users\Public\Desktop\Second Life Beta Viewer.lnk
2013-07-04 10:26 - 2013-06-17 09:19 - 00000000 ____A C:\conversation.log
2013-07-02 10:38 - 2013-04-28 11:43 - 00003831 ____A C:\Users\media\Desktop\to DO Hochzeit.txt
2013-07-02 06:49 - 2011-02-25 10:17 - 00000000 ____D C:\Program Files (x86)\Steam
2013-06-29 14:04 - 2013-06-29 14:04 - 00000000 ____D C:\Users\Public\Documents\CrashDump
2013-06-29 12:26 - 2013-06-29 11:37 - 00000000 ____D C:\Program Files\SAMSUNG
2013-06-29 12:25 - 2013-06-29 12:01 - 00000000 ____D C:\Program Files (x86)\Samsung
2013-06-29 12:08 - 2013-06-29 12:05 - 00001964 ____A C:\Users\Public\Desktop\Samsung Kies (Lite).lnk
2013-06-29 12:08 - 2012-11-05 12:01 - 00000000 ____D C:\Users\media\AppData\Local\Downloaded Installations
2013-06-29 12:08 - 2010-05-15 13:02 - 00000000 ___HD C:\Program Files (x86)\InstallShield Installation Information
2013-06-29 12:06 - 2013-06-29 12:06 - 00000000 ____D C:\Program Files (x86)\MarkAny
2013-06-29 12:05 - 2013-06-29 12:05 - 00001954 ____A C:\Users\Public\Desktop\Samsung Kies.lnk
2013-06-29 12:05 - 2013-06-29 12:05 - 00000000 ____D C:\Users\Public\Documents\NativeFus_Log
2013-06-29 12:05 - 2013-06-29 12:05 - 00000000 ____D C:\Users\media\Documents\samsung
2013-06-29 12:05 - 2013-06-29 12:05 - 00000000 ____D C:\Users\media\AppData\Roaming\Samsung
2013-06-29 12:05 - 2013-06-29 12:05 - 00000000 ____D C:\Users\media\AppData\Local\Samsung
2013-06-29 12:05 - 2013-06-29 12:05 - 00000000 ____D C:\Program Files (x86)\MyFree Codec
2013-06-29 12:01 - 2013-06-29 11:36 - 00000000 ____D C:\ProgramData\Samsung
2013-06-29 12:00 - 2011-02-28 16:39 - 01623858 ____A C:\Windows\SysWOW64\PerfStringBackup.INI
2013-06-29 01:00 - 2013-06-16 05:30 - 00004020 ____A C:\Windows\PFRO.log
2013-06-26 11:40 - 2013-06-26 11:40 - 655490615 ____A C:\Windows\MEMORY.DMP
2013-06-26 11:40 - 2013-06-26 11:40 - 00275320 ____A C:\Windows\Minidump\062613-53633-01.dmp
2013-06-26 11:40 - 2010-09-14 05:51 - 00000000 ____D C:\Windows\Minidump
2013-06-26 11:09 - 2010-08-19 15:44 - 00000000 ____D C:\ProgramData\Norton
2013-06-26 11:08 - 2010-08-19 15:44 - 00000000 ____D C:\Windows\System32\Drivers\NISx64
2013-06-26 11:07 - 2013-06-26 11:07 - 00002463 ____A C:\Users\Public\Desktop\Norton Internet Security.lnk
2013-06-26 10:27 - 2011-02-26 07:30 - 00177312 ____A (Symantec Corporation) C:\Windows\System32\Drivers\SYMEVENT64x86.SYS
2013-06-26 10:27 - 2011-02-26 07:30 - 00007631 ____A C:\Windows\System32\Drivers\SYMEVENT64x86.CAT
2013-06-26 09:49 - 2011-05-03 11:23 - 00000000 ____D C:\Users\Public\Downloads\Norton
2013-06-24 08:40 - 2013-06-24 08:38 - 00000000 ____D C:\bb1cd549222d0298df3b7920
2013-06-21 08:13 - 2013-06-29 11:35 - 00075770 ____A C:\script.bin
2013-06-21 08:13 - 2013-06-29 11:35 - 00000000 ____D C:\$PLUGINSDIR
2013-06-21 08:13 - 2013-06-29 11:35 - 00000000 ____D C:\$INSTDIR
2013-06-21 08:13 - 2013-06-29 11:35 - 00000000 ____A C:\file0301.bin
2013-06-19 19:52 - 2012-08-30 21:50 - 00000000 ____D C:\ProgramData\Recovery
2013-06-18 14:03 - 2012-04-09 10:17 - 00000000 ____D C:\Users\media\AppData\Roaming\Dropbox
2013-06-16 12:36 - 2013-06-16 05:36 - 00000000 ___RD C:\Users\media\Desktop\Progverknüpfungen
2013-06-16 06:09 - 2013-06-16 06:09 - 00000222 ____A C:\Users\media\Desktop\Crusader Kings II.url
2013-06-16 05:38 - 2013-06-16 05:34 - 00000000 ____D C:\Users\media\Desktop\Sortieren
2013-06-16 05:34 - 2010-09-14 03:13 - 00000000 ____D C:\Users\media\AppData\Roaming\Stardock
2013-06-16 05:30 - 2013-06-16 05:30 - 00000000 ____A C:\Windows\setuperr.log
2013-06-16 05:17 - 2009-09-06 17:57 - 00000000 ____D C:\Windows\Panther
2013-06-16 05:08 - 2013-06-16 05:08 - 00000000 ____D C:\Program Files\CCleaner
2013-06-16 04:40 - 2011-12-30 03:57 - 00000000 ____D C:\Users\media\AppData\Roaming\Tropico 4
2013-06-16 01:43 - 2013-06-08 12:50 - 00000332 ____A C:\Windows\Tasks\HPCeeScheduleFormedia.job
2013-06-13 20:59 - 2012-04-09 10:20 - 00001020 ____A C:\Users\media\Desktop\Dropbox.lnk
2013-06-13 20:58 - 2012-11-05 12:21 - 00000000 ____D C:\Users\media\VR-Haushaltsbuch
2013-06-12 12:03 - 2013-06-12 12:03 - 09089416 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerInstaller.exe
2013-06-12 12:03 - 2012-09-01 23:46 - 00692104 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-06-12 12:03 - 2011-06-12 08:56 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-06-09 12:42 - 2013-06-09 12:42 - 00000969 ____A C:\Users\Public\Desktop\TeamSpeak 3 Client.lnk
2013-06-09 12:42 - 2011-03-07 10:34 - 00000000 ____D C:\Program Files\TeamSpeak 3 Client

==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-07-04 10:25:20
Restore point made on: 2013-07-05 03:17:29
Restore point made on: 2013-07-07 12:58:15

==================== BCD ================================

Windows-Start-Manager
---------------------
Bezeichner              {bootmgr}
device                  partition=D:
description             Windows Boot Manager
locale                  de-DE
inherit                 {globalsettings}
extendedinput           Yes
default                 {default}
resumeobject            {c279be75-9b51-11de-9b93-a29d207e6d0e}
displayorder            {default}
toolsdisplayorder       {memdiag}
timeout                 30
customactions           0x1000085000001
                        0x5400000f
custom:5400000f         {current}

Windows-Startladeprogramm
-------------------------
Bezeichner              {current}
device                  ramdisk=[F:]\Recovery\WindowsRE\Winre.wim,{2d4f9f76-ac3b-11df-bc8c-98ec2263dbf9}
path                    \windows\system32\winload.exe
description             Windows Recovery Environment
inherit                 {bootloadersettings}
osdevice                ramdisk=[F:]\Recovery\WindowsRE\Winre.wim,{2d4f9f76-ac3b-11df-bc8c-98ec2263dbf9}
systemroot              \windows
nx                      OptIn
winpe                   Yes

Windows-Startladeprogramm
-------------------------
Bezeichner              {572bcd60-ffa7-11d9-aae0-0007e994107d}
device                  ramdisk=[boot]\sources\boot.wim,{ramdiskoptions}
path                    \windows\system32\boot\winload.exe
description             Microsoft Windows PE 2.0 
osdevice                ramdisk=[boot]\sources\boot.wim,{ramdiskoptions}
systemroot              \windows
detecthal               Yes
winpe                   Yes
ems                     Yes

Windows-Startladeprogramm
-------------------------
Bezeichner              {default}
device                  partition=C:
path                    \Windows\system32\winload.exe
description             Windows 7
locale                  de-DE
inherit                 {bootloadersettings}
recoverysequence        {current}
recoveryenabled         Yes
osdevice                partition=C:
systemroot              \Windows
resumeobject            {c279be75-9b51-11de-9b93-a29d207e6d0e}
nx                      OptIn

Wiederaufnahme aus dem Ruhezustand
----------------------------------
Bezeichner              {c279be75-9b51-11de-9b93-a29d207e6d0e}
device                  partition=C:
path                    \Windows\system32\winresume.exe
description             Windows Resume Application
locale                  de-DE
inherit                 {resumeloadersettings}
filedevice              partition=C:
filepath                \hiberfil.sys
debugoptionenabled      No

Windows-Speichertestprogramm
----------------------------
Bezeichner              {memdiag}
device                  partition=D:
path                    \boot\memtest.exe
description             Windows Memory Diagnostic
locale                  de-DE
inherit                 {globalsettings}
badmemoryaccess         Yes

EMS-Einstellungen
-----------------
Bezeichner              {emssettings}
bootems                 Yes

Debuggereinstellungen
---------------------
Bezeichner              {dbgsettings}
debugtype               Serial
debugport               1
baudrate                115200

RAM-Defekte
-----------
Bezeichner              {badmemory}

Globale Einstellungen
---------------------
Bezeichner              {globalsettings}
inherit                 {dbgsettings}
                        {emssettings}
                        {badmemory}

Startladeprogramm-Einstellungen
-------------------------------
Bezeichner              {bootloadersettings}
inherit                 {globalsettings}
                        {hypervisorsettings}

Hypervisoreinstellungen
-------------------
Bezeichner              {hypervisorsettings}
hypervisordebugtype     Serial
hypervisordebugport     1
hypervisorbaudrate      115200

Einstellungen zur Ladeprogrammfortsetzung
-----------------------------------------
Bezeichner              {resumeloadersettings}
inherit                 {globalsettings}

Ger„teoptionen
--------------
Bezeichner              {2d4f9f76-ac3b-11df-bc8c-98ec2263dbf9}
description             Ramdisk Options
ramdisksdidevice        partition=F:
ramdisksdipath          \Recovery\WindowsRE\boot.sdi

Optionen zum RAM-Datentr„gersetup
---------------------------------
Bezeichner              {ramdiskoptions}
description             Ramdisk Options
ramdisksdidevice        boot
ramdisksdipath          \boot\boot.sdi


==================== Memory info =========================== 

Percentage of memory in use: 18%
Total physical RAM: 4029.86 MB
Available physical RAM: 3282.62 MB
Total Pagefile: 4028 MB
Available Pagefile: 3269.59 MB
Total Virtual: 8192 MB
Available Virtual: 8191.85 MB

==================== Drives ================================

Drive c: (OS) (Fixed) (Total:278.76 GB) (Free:133.28 GB) NTFS (Disk=1 Partition=2) ==>[System with boot components (obtained from reading drive)]
Drive d: (SYSTEM) (Fixed) (Total:0.19 GB) (Free:0.16 GB) NTFS (Disk=1 Partition=1) ==>[System with boot components (obtained from reading drive)]
Drive f: (RECOVERY) (Fixed) (Total:19.04 GB) (Free:2.76 GB) NTFS (Disk=1 Partition=3) ==>[System with boot components (obtained from reading drive)]
Drive g: (HP_TOOLS) (Fixed) (Total:0.1 GB) (Free:0.09 GB) FAT32 (Disk=1 Partition=4)
Drive i: (OTLPE) (Removable) (Total:7.45 GB) (Free:7.38 GB) NTFS (Disk=2 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (Datenlaufwerk) (Fixed) (Total:298.09 GB) (Free:95.24 GB) NTFS (Disk=0 Partition=1)

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 298 GB) (Disk ID: 98A9FDDA)
Partition 1: (Not Active) - (Size=298 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 298 GB) (Disk ID: B00F2068)
Partition 1: (Active) - (Size=199 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=279 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=19 GB) - (Type=07 NTFS)
Partition 4: (Not Active) - (Size=103 MB) - (Type=0C)

========================================================
Disk: 2 (MBR Code: Windows 7 or 8) (Size: 7 GB) (Disk ID: 00000000)
Partition 1: (Active) - (Size=7 GB) - (Type=07 NTFS)


LastRegBack: 2013-07-03 11:38

==================== End Of Log ============================

--- --- ---

markusg · 09.07.2013, 17:38

Hi,

Drücke bitte die

+ R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

HKU\media\...\Command Processor: "C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe" <===== ATTENTION!
C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe
HKU\media\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe [43008 2013-07-05] (NVIDIA Corporation) <=====
ATTENTION
C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe
HKU\media\...\Winlogon: [Shell] cmd.exe [344576 2009-07-13] (Microsoft Corporation) <==== ATTENTION 
HKU\media\...\Winlogon: [Shell] cmd.exe [344576 2009-07-13] (Microsoft Corporation) <==== ATTENTION 
HKU\media\...\Winlogon: [Shell] cmd.exe [344576 2009-07-13] (Microsoft Corporation) <==== ATTENTION 
HKU\media\...\Command Processor: "C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe" <===== ATTENTION!

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Navigiere bitte zu:
C:\FRST\Quarantine
Rechtsklick, mit Winrar oder einem anderen Archvierer packen und im Uploadchannel hochladen.
Trojaner-Board Upload Channel

Calixus · 09.07.2013, 18:43

Da sind wir...

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 09-07-2013 01
Ran by SYSTEM at 2013-07-09 19:40:38 Run:1
Running from I:\
Boot Mode: Recovery
==============================================

HKU\media\...\Command Processor: "C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe" <===== ATTENTION! C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe HKU\media\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe [43008 2013-07-05] (NVIDIA Corporation) <===== ATTENTION C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe HKU\media\...\Winlogon: [Shell] cmd.exe [344576 2009-07-13] (Microsoft Corporation) <==== ATTENTION  HKU\media\...\Winlogon: [Shell] cmd.exe [344576 2009-07-13] (Microsoft Corporation) <==== ATTENTION  HKU\media\...\Winlogon: [Shell] cmd.exe [344576 2009-07-13] (Microsoft Corporation) <==== ATTENTION  HKU\media\Software\Microsoft\Command Processor\\AutoRun => Value not found.
HKU\media\...\Command Processor: "C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe" <===== ATTENTION! C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe HKU\media\Software\Microsoft\Windows\CurrentVersion\Run\\qcgce2mrvjq91kk1e7pnbb19m52fx => Value not found.
HKU\media\...\Command Processor: "C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe" <===== ATTENTION! C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe HKU\media\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe [43008 2013-07-05] (NVIDIA Corporation) <===== ATTENTION C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe HKU\media\...\Winlogon: [Shell] cmd.exe [344576 2009-07-13] (Microsoft Corporation) <==== ATTENTION  HKU\media\...\Winlogon: [Shell] cmd.exe [344576 2009-07-13] (Microsoft Corporation) <==== ATTENTION  HKU\media\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value not found.

==== End of Fixlog ====

markusg · 09.07.2013, 18:46

bist du wieder im normalen Modus, dann mal weiter mit dem Upload

Calixus · 09.07.2013, 19:31

Hrm.

Beim Boot im Abgesicherten Modus mit Netzwerktreiber wird der Rechner unmittelbar wieder heruntergefahren.

Im Normalmodus immer noch der weisse GVU/BSI-Screen.

markusg · 09.07.2013, 19:33

hab ich mir fast gedacht, für den fix noch mal aus, da hast du anscheinend etwas nicht richtig gemacht.
edit:
der fix wurde von mir nicht als fließtext gepostet, du hast ihn aber so eingefügt. machs so bitte, wie es da steht

Calixus · 09.07.2013, 19:57

o.k. also nochmal

- Fixlist.txt auf den Stick gespeichert
- Stick an infizierten Lappie
- Bootmanager - Start von Festplatte
- F8 -Bootmenü
- Systemreparatur gestartet
- FRST64.exe vom stick gestartet
- gefixt
- Fixlog hier:

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 09-07-2013 01
Ran by SYSTEM at 2013-07-09 20:50:37 Run:2
Running from I:\
Boot Mode: Recovery
==============================================

HKU\media\...\Command Processor: "C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe" <===== ATTENTION! C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe HKU\media\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe [43008 2013-07-05] (NVIDIA Corporation) <===== ATTENTION C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe HKU\media\...\Winlogon: [Shell] cmd.exe [344576 2009-07-13] (Microsoft Corporation) <==== ATTENTION  HKU\media\...\Winlogon: [Shell] cmd.exe [344576 2009-07-13] (Microsoft Corporation) <==== ATTENTION  HKU\media\...\Winlogon: [Shell] cmd.exe [344576 2009-07-13] (Microsoft Corporation) <==== ATTENTION  HKU\media\Software\Microsoft\Command Processor\\AutoRun => Value not found.
HKU\media\...\Command Processor: "C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe" <===== ATTENTION! C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe HKU\media\Software\Microsoft\Windows\CurrentVersion\Run\\qcgce2mrvjq91kk1e7pnbb19m52fx => Value not found.
HKU\media\...\Command Processor: "C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe" <===== ATTENTION! C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe HKU\media\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe [43008 2013-07-05] (NVIDIA Corporation) <===== ATTENTION C:\Users\media\AppData\Local\Temp\nkycluhccthobtqcj.exe HKU\media\...\Winlogon: [Shell] cmd.exe [344576 2009-07-13] (Microsoft Corporation) <==== ATTENTION  HKU\media\...\Winlogon: [Shell] cmd.exe [344576 2009-07-13] (Microsoft Corporation) <==== ATTENTION  HKU\media\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value not found.

==== End of Fixlog ====

- als Nächstes
- Start im abgesicherten Modus mit Netzwerktreibern
- Defogger auf Desktop laden und weiter wie im Hinweis für Neuposter beschrieben...?

markusg · 09.07.2013, 20:11

schau dir doch mal bitte meinen fix an, und dann, was du daraus gemacht hast :-)
schon wieder ein fließtext

Calixus · 09.07.2013, 20:21

Ich habe mit dem "alles markieren Knopf" über dem Code alles markiert und dann mit Ctrl+V das Ganze in fixlist.txt kopiert.

BKA 100 € /UKASH:Laptop gesperrt, Kasperski Rescue Disk wird nicht erkannt

Plagegeister aller Art und deren Bekämpfung: BKA 100 € /UKASH:Laptop gesperrt, Kasperski Rescue Disk wird nicht erkannt