Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Vieren waren gestern, hier sind die ROOTKITS!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 19.11.2013, 20:23   #1
Jenner77
 
Vieren waren gestern, hier sind die ROOTKITS! - Standard

Vieren waren gestern, hier sind die ROOTKITS!



so männer, ich kämpf seit gut zwei monaten vergeblich um die alleinige kontrolle über meinen pc und geb nun auf, nun richt ich mich an euch und hoffe ihr könnt helfen. Hauptsyntome sind kopien meiner eigenen dateien die sich immer weiter vermehren, schreibgeschütz, unsichtbar und für meinen zugriff gesperrt sind. dieses symtom weitet sich auf immer mehr meiner dateien aus und überhäufen binnen kurzer zeit mein ganzes system so das mir nur eine komplette Neuinstallation bleibt. wenn es nur damit erledigt wäre kein problem aber das hilft nix. ich nehm an da versteckt sich ein übelst fieser Rootkit irgendwo in meiner kiste. aber wo? hab mehrmals schon die ram´s gezogen und entladen, bios auf werkseinstellung zurückgesetzt und auch de pille (notversorgungsbatterie) entfernt. selbst eine andere windowsversion draufgezogen aber umsonst. ich geb euch mal ein Farbar Recovery Scan log und hoff ihr könnt helfen. danke männer
FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 18-11-2013
Ran by derJenner (administrator) on JENNERS-PC on 19-11-2013 16:26:25
Running from C:\Users\derJenner\Downloads
Microsoft® Windows Vista™ Home Premium (X86) OS Language: German Standard
Internet Explorer Version 7
Boot Mode: Normal
 
==================== Processes (Whitelisted) ===================
 
(Microsoft Corporation) C:\Windows\system32\SLsvc.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\AVG2014\avgwdsvc.exe
(AVG) C:\Program Files\AVG\AVG PC TuneUp\TuneUpUtilitiesService32.exe
(AVG) C:\Program Files\AVG\AVG PC TuneUp\TuneUpUtilitiesApp32.exe
(Realtek Semiconductor) C:\Windows\RtHDVCpl.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\AVG2014\avgui.exe
(AVG Technologies CZ, s.r.o.) C:\Program Files\AVG\AVG2014\avgcfgex.exe
(Microsoft Corporation) C:\Windows\system32\conime.exe
 
==================== Registry (Whitelisted) ==================
 
HKLM\...\Run: [RtHDVCpl] - C:\Windows\RtHDVCpl.exe [6139904 2008-05-07] (Realtek Semiconductor)
HKLM\...\Run: [Skytel] - C:\Windows\SkyTel.exe [1826816 2007-11-20] (Realtek Semiconductor Corp.)
HKLM\...\Run: [AVG_UI] - C:\Program Files\AVG\AVG2014\avgui.exe [4908592 2013-10-07] (AVG Technologies CZ, s.r.o.)
HKU\Default\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
HKU\Default User\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
 
==================== Internet (Whitelisted) ====================
 
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
 
FireFox:
========
FF ProfilePath: C:\Users\derJenner\AppData\Roaming\Mozilla\Firefox\Profiles\mg6pglr0.default
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\yahoo-de.xml
FF Extension: WOT - C:\Users\derJenner\AppData\Roaming\Mozilla\Firefox\Profiles\mg6pglr0.default\Extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}
FF Extension: Adblock Plus - C:\Users\derJenner\AppData\Roaming\Mozilla\Firefox\Profiles\mg6pglr0.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
 
========================== Services (Whitelisted) =================
 
S2 avgfws; C:\Program Files\AVG\AVG2014\avgfws.exe [1358944 2013-09-25] (AVG Technologies CZ, s.r.o.)
S2 AVGIDSAgent; C:\Program Files\AVG\AVG2014\avgidsagent.exe [3538480 2013-10-03] (AVG Technologies CZ, s.r.o.)
R2 avgwd; C:\Program Files\AVG\AVG2014\avgwdsvc.exe [301152 2013-09-25] (AVG Technologies CZ, s.r.o.)
R2 TuneUp.UtilitiesSvc; C:\Program Files\AVG\AVG PC TuneUp\TuneUpUtilitiesService32.exe [1739064 2013-10-08] (AVG)
 
==================== Drivers (Whitelisted) ====================
 
R1 Avgdiskx; C:\Windows\System32\DRIVERS\avgdiskx.sys [120632 2013-09-25] (AVG Technologies CZ, s.r.o.)
R1 Avgfwfd; C:\Windows\System32\DRIVERS\avgfwd6x.sys [47928 2013-09-26] (AVG Technologies CZ, s.r.o.)
R1 AVGIDSDriver; C:\Windows\System32\DRIVERS\avgidsdriverx.sys [209208 2013-09-02] (AVG Technologies CZ, s.r.o.)
R0 AVGIDSHX; C:\Windows\System32\DRIVERS\avgidshx.sys [145720 2013-09-02] (AVG Technologies CZ, s.r.o.)
R1 AVGIDSShim; C:\Windows\System32\DRIVERS\avgidsshimx.sys [22840 2013-09-10] (AVG Technologies CZ, s.r.o.)
R1 Avgldx86; C:\Windows\System32\DRIVERS\avgldx86.sys [176952 2013-09-02] (AVG Technologies CZ, s.r.o.)
R0 Avglogx; C:\Windows\System32\DRIVERS\avglogx.sys [223032 2013-09-02] (AVG Technologies CZ, s.r.o.)
R0 Avgmfx86; C:\Windows\System32\DRIVERS\avgmfx86.sys [102200 2013-08-20] (AVG Technologies CZ, s.r.o.)
R0 Avgrkx86; C:\Windows\System32\DRIVERS\avgrkx86.sys [27448 2013-09-08] (AVG Technologies CZ, s.r.o.)
R1 Avgtdix; C:\Windows\System32\DRIVERS\avgtdix.sys [193848 2013-08-01] (AVG Technologies CZ, s.r.o.)
S3 gdrv; C:\Windows\gdrv.sys [16608 2013-11-19] (Windows (R) 2000 DDK provider)
R3 TuneUpUtilitiesDrv; C:\Program Files\AVG\AVG PC TuneUp\TuneUpUtilitiesDriver32.sys [12320 2013-09-18] (TuneUp Software)
U5 AppMgmt; C:\Windows\system32\svchost.exe [22016 2006-11-02] (Microsoft Corporation)
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x]
S3 catchme; \??\C:\Users\DERJEN~1\AppData\Local\Temp\catchme.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]
 
==================== NetSvcs (Whitelisted) ===================
 
 
==================== One Month Created Files and Folders ========
 
2013-11-19 16:26 - 2013-11-19 16:26 - 00005012 _____ C:\Users\derJenner\Downloads\FRST.txt
2013-11-19 16:26 - 2013-11-19 16:26 - 00000000 ____D C:\FRST
2013-11-19 16:24 - 2013-11-19 16:25 - 00000480 _____ C:\Users\derJenner\Downloads\defogger_disable.log
2013-11-19 16:24 - 2013-11-19 16:24 - 00000000 _____ C:\Users\derJenner\defogger_reenable
2013-11-19 16:20 - 2013-11-19 16:20 - 00000798 _____ C:\Windows\PFRO.log
2013-11-19 16:18 - 2013-11-19 16:18 - 00377856 _____ C:\Users\derJenner\Downloads\uoq2o31h.exe
2013-11-19 16:17 - 2013-11-19 16:17 - 00000000 ____D C:\Users\derJenner\AppData\Roaming\AVG2014
2013-11-19 16:16 - 2013-11-19 16:16 - 01090881 _____ (Farbar) C:\Users\derJenner\Downloads\FRST.exe
2013-11-19 16:16 - 2013-11-19 16:16 - 00050477 _____ C:\Users\derJenner\Downloads\Defogger.exe
2013-11-19 16:16 - 2013-11-19 16:16 - 00000000 ____D C:\Users\derJenner\AppData\Roaming\TuneUp Software
2013-11-19 16:15 - 2013-11-19 16:17 - 00000000 ____D C:\ProgramData\AVG2014
2013-11-19 16:15 - 2013-11-19 16:15 - 00000000 ___HD C:\$AVG
2013-11-19 16:13 - 2013-11-19 16:18 - 00000000 ____D C:\ProgramData\MFAData
2013-11-19 16:13 - 2013-11-19 16:17 - 00000000 ____D C:\Users\derJenner\AppData\Local\Avg2014
2013-11-19 16:13 - 2013-11-19 16:13 - 00000000 ____D C:\Users\derJenner\AppData\Local\MFAData
2013-11-19 16:12 - 2013-11-19 16:12 - 04434976 _____ (AVG Technologies) C:\Users\derJenner\Downloads\avg_isct_stb_all_2014_4161.exe
2013-11-19 16:11 - 2013-09-03 13:35 - 00238872 ____N (Microsoft Corporation) C:\Windows\system32\MpSigStub.exe
2013-11-19 15:03 - 2013-11-19 15:03 - 00004074 _____ C:\ComboFix.txt
2013-11-19 14:59 - 2013-11-19 15:03 - 00000000 ____D C:\Qoobox
2013-11-19 14:59 - 2013-11-19 15:03 - 00000000 ____D C:\ComboFix
2013-11-19 14:59 - 2013-11-19 15:02 - 00000000 ____D C:\Windows\erdnt
2013-11-19 14:59 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe
2013-11-19 14:59 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe
2013-11-19 14:59 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2013-11-19 14:59 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2013-11-19 14:59 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2013-11-19 14:59 - 2000-08-31 01:00 - 00212480 _____ (SteelWerX) C:\Windows\SWXCACLS.exe
2013-11-19 14:59 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe
2013-11-19 14:59 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe
2013-11-19 14:59 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe
2013-11-19 14:58 - 2013-11-19 14:59 - 05146522 ____R (Swearware) C:\Users\derJenner\Downloads\ComboFix.exe
2013-11-19 14:56 - 2013-11-19 14:56 - 00000000 ____D C:\Users\derJenner\AppData\Roaming\Mozilla
2013-11-19 14:56 - 2013-11-19 14:56 - 00000000 ____D C:\Users\derJenner\AppData\Local\Mozilla
2013-11-19 11:12 - 2013-11-19 11:12 - 00000000 ____D C:\Program Files\7-Zip
2013-11-19 11:07 - 2013-11-19 11:07 - 00000000 ____D C:\Windows\Cache
2013-11-19 11:07 - 2013-11-19 11:07 - 00000000 ____D C:\ProgramData\Adobe
2013-11-19 11:07 - 2013-11-19 11:07 - 00000000 ____D C:\Program Files\Adobe
2013-11-19 10:06 - 2013-11-19 10:06 - 00000000 ____D C:\ProgramData\Mozilla
2013-11-19 10:06 - 2013-11-19 10:06 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-11-19 10:06 - 2013-11-19 10:06 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-11-19 10:01 - 2007-11-14 08:18 - 00000553 ____R C:\Windows\USetup.iss
2013-11-19 10:00 - 2013-11-19 10:00 - 00319456 _____ (Microsoft Corporation) C:\Windows\DIFxAPI.dll
2013-11-19 10:00 - 2013-11-19 10:00 - 00315392 _____ (Realtek Semiconductor Corp.) C:\Windows\HideWin.exe
2013-11-19 10:00 - 2013-11-19 10:00 - 00000000 ____D C:\Windows\system32\RTCOM
2013-11-19 10:00 - 2013-11-19 10:00 - 00000000 ____D C:\Program Files\Common Files\InstallShield
2013-11-19 10:00 - 2008-05-07 12:22 - 02134424 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\Drivers\RTKVHDA.sys
2013-11-19 10:00 - 2008-05-07 09:19 - 06139904 _____ (Realtek Semiconductor) C:\Windows\RtHDVCpl.exe
2013-11-19 10:00 - 2008-05-07 09:19 - 00694784 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RtkPgExt.dll
2013-11-19 10:00 - 2008-05-07 09:17 - 02172928 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RtkAPO.dll
2013-11-19 10:00 - 2008-05-06 08:29 - 00031232 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RtkCoInst.dll
2013-11-19 10:00 - 2008-04-30 05:18 - 00159744 _____ (Waves Audio Ltd.) C:\Windows\system32\MaxxAudioAPO20.dll
2013-11-19 10:00 - 2008-04-29 07:55 - 01933312 _____ (Waves Audio Ltd.) C:\Windows\system32\MaxxAudioEQ.dll
2013-11-19 10:00 - 2008-04-29 07:55 - 01777664 _____ (Waves Audio Ltd.) C:\Windows\system32\WavesLib.dll
2013-11-19 10:00 - 2008-04-21 09:21 - 00143360 _____ (Windows (R) Codename Longhorn DDK provider) C:\Windows\system32\FMAPO.dll
2013-11-19 10:00 - 2008-04-02 02:27 - 01196032 _____ (Realtek Semiconductor Corp.) C:\Windows\RtlUpd.exe
2013-11-19 10:00 - 2008-03-28 03:59 - 00285216 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RtkApoApi.dll
2013-11-19 10:00 - 2008-03-05 11:07 - 00520192 ____R (Realtek Semiconductor Corp.) C:\Windows\RtlExUpd.dll
2013-11-19 10:00 - 2007-11-20 11:15 - 01826816 _____ (Realtek Semiconductor Corp.) C:\Windows\SkyTel.exe
2013-11-19 10:00 - 2007-11-13 05:35 - 00532480 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\RTSndMgr.cpl
2013-11-19 10:00 - 2007-07-30 11:26 - 00126976 _____ (Waves Audio Ltd.) C:\Windows\system32\MaxxAudioAPO.dll
2013-11-19 10:00 - 2007-07-25 02:33 - 00135168 _____ (SRS Labs, Inc.) C:\Windows\system32\SRSWOW.dll
2013-11-19 10:00 - 2007-05-17 04:26 - 00185776 _____ (SRS Labs, Inc.) C:\Windows\system32\SRSTSHD.dll
2013-11-19 10:00 - 2007-04-16 10:09 - 00167936 _____ (SRS Labs, Inc.) C:\Windows\system32\SRSHP360.dll
2013-11-19 10:00 - 2006-12-13 03:30 - 00339968 _____ (SRS Labs, Inc.) C:\Windows\system32\SRSTSXT.dll
2013-11-19 09:58 - 2013-11-19 09:58 - 00000000 ____D C:\Program Files\Intel
2013-11-19 09:58 - 2008-03-26 04:15 - 00053248 ____R (Windows XP Bundled build C-Centric Single User) C:\Windows\system32\CSVer.dll
2013-11-19 09:57 - 2013-11-19 10:00 - 00000000 ___HD C:\Program Files\InstallShield Installation Information
2013-11-19 09:57 - 2013-11-19 10:00 - 00000000 ____D C:\Program Files\Realtek
2013-11-19 09:57 - 2013-11-19 09:57 - 00000000 ____D C:\Users\derJenner\AppData\Roaming\InstallShield
2013-11-19 09:57 - 2013-11-19 09:57 - 00000000 ____D C:\Intel
2013-11-19 09:57 - 2008-02-14 07:56 - 00118784 _____ (Realtek Corporation ) C:\Windows\system32\Drivers\Rtlh86.sys
2013-11-19 09:56 - 2013-11-19 11:03 - 00016608 _____ (Windows (R) 2000 DDK provider) C:\Windows\gdrv.sys
2013-11-19 09:56 - 2013-11-19 11:03 - 00000010 _____ C:\Windows\GSetup.ini
2013-11-19 09:56 - 2007-06-21 07:34 - 00203328 ____R () C:\Windows\GSetup.exe
2013-11-19 09:49 - 2013-11-19 09:49 - 00000000 ____D C:\Users\derJenner\AppData\Roaming\AVG
2013-11-19 09:49 - 2013-10-08 13:46 - 00036152 _____ (AVG) C:\Windows\system32\TURegOpt.exe
2013-11-19 09:49 - 2013-10-08 13:46 - 00025400 _____ (AVG) C:\Windows\system32\authuitu.dll
2013-11-19 09:48 - 2013-11-19 16:15 - 00000000 ____D C:\Program Files\AVG
2013-11-19 09:47 - 2013-11-19 09:51 - 00000000 __SHD C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308}
2013-11-19 09:47 - 2013-11-19 09:51 - 00000000 ____D C:\ProgramData\AVG
2013-11-19 09:46 - 2013-11-19 16:24 - 00000000 ____D C:\Users\derJenner
2013-11-19 09:46 - 2013-11-19 09:46 - 00048600 _____ C:\Users\derJenner\AppData\Local\GDIPFONTCACHEV1.DAT
2013-11-19 09:46 - 2013-11-19 09:46 - 00000949 _____ C:\Users\derJenner\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2013-11-19 09:46 - 2013-11-19 09:46 - 00000944 _____ C:\Users\derJenner\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk
2013-11-19 09:46 - 2013-11-19 09:46 - 00000915 _____ C:\Users\derJenner\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Mail.lnk
2013-11-19 09:46 - 2013-11-19 09:46 - 00000020 ___SH C:\Users\derJenner\ntuser.ini
2013-11-19 09:46 - 2013-11-19 09:46 - 00000000 _SHDL C:\Users\derJenner\Startmenü
2013-11-19 09:46 - 2013-11-19 09:46 - 00000000 _SHDL C:\Users\derJenner\Netzwerkumgebung
2013-11-19 09:46 - 2013-11-19 09:46 - 00000000 _SHDL C:\Users\derJenner\Druckumgebung
2013-11-19 09:46 - 2013-11-19 09:46 - 00000000 _SHDL C:\Users\derJenner\Documents\Eigene Musik
2013-11-19 09:46 - 2013-11-19 09:46 - 00000000 _SHDL C:\Users\derJenner\Documents\Eigene Bilder
2013-11-19 09:46 - 2013-11-19 09:46 - 00000000 _SHDL C:\Users\derJenner\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2013-11-19 09:46 - 2013-11-19 09:46 - 00000000 _SHDL C:\Users\derJenner\AppData\Local\Verlauf
2013-11-19 09:46 - 2013-11-19 09:46 - 00000000 ____D C:\Users\derJenner\AppData\Local\VirtualStore
2013-11-19 09:46 - 2006-11-02 13:54 - 00000000 ___RD C:\Users\derJenner\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
2013-11-19 09:46 - 2006-11-02 13:50 - 00000000 ___RD C:\Users\derJenner\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Public\Documents\Eigene Musik
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Public\Documents\Eigene Bilder
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default\Startmenü
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default\Netzwerkumgebung
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default\Druckumgebung
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default\Documents\Eigene Musik
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default\Documents\Eigene Bilder
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default\AppData\Local\Verlauf
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default User\Documents\Eigene Musik
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default User\Documents\Eigene Bilder
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default User\AppData\Local\Verlauf
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Programme
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\ProgramData\Startmenü
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\ProgramData\Dokumente
2013-11-19 09:38 - 2013-11-19 09:38 - 00000000 _____ C:\Windows\system32\atiicdxx.dat
2013-11-19 09:36 - 2013-11-19 09:39 - 00001313 _____ C:\Windows\TSSysprep.log
2013-11-19 09:34 - 2013-11-19 09:39 - 00000000 ____D C:\Windows\Panther
2013-11-19 09:34 - 2013-11-19 09:34 - 00008192 ___RS C:\BOOTSECT.BAK
2013-11-19 09:34 - 2006-11-02 10:53 - 00438840 __RSH C:\bootmgr
2013-11-18 19:13 - 1999-10-15 07:50 - 01056768 _____ (Blue Sky Software Corporation.) C:\Windows\system32\Roboex32.dll
2013-11-18 19:13 - 1996-05-07 15:59 - 00047104 _____ (WexTech Systems, Inc.) C:\Windows\system32\D2htls32.dll
 
==================== One Month Modified Files and Folders =======
 
2013-11-19 16:26 - 2013-11-19 16:26 - 00005012 _____ C:\Users\derJenner\Downloads\FRST.txt
2013-11-19 16:26 - 2013-11-19 16:26 - 00000000 ____D C:\FRST
2013-11-19 16:26 - 2006-11-02 13:52 - 01089545 _____ C:\Windows\WindowsUpdate.log
2013-11-19 16:25 - 2013-11-19 16:24 - 00000480 _____ C:\Users\derJenner\Downloads\defogger_disable.log
2013-11-19 16:25 - 2006-11-02 11:33 - 01407444 _____ C:\Windows\system32\PerfStringBackup.INI
2013-11-19 16:24 - 2013-11-19 16:24 - 00000000 _____ C:\Users\derJenner\defogger_reenable
2013-11-19 16:24 - 2013-11-19 09:46 - 00000000 ____D C:\Users\derJenner
2013-11-19 16:21 - 2006-11-02 14:01 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-11-19 16:21 - 2006-11-02 13:47 - 00003552 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-11-19 16:21 - 2006-11-02 13:47 - 00003552 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-11-19 16:20 - 2013-11-19 16:20 - 00000798 _____ C:\Windows\PFRO.log
2013-11-19 16:19 - 2006-11-02 14:01 - 00002610 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2013-11-19 16:18 - 2013-11-19 16:18 - 00377856 _____ C:\Users\derJenner\Downloads\uoq2o31h.exe
2013-11-19 16:18 - 2013-11-19 16:13 - 00000000 ____D C:\ProgramData\MFAData
2013-11-19 16:17 - 2013-11-19 16:17 - 00000000 ____D C:\Users\derJenner\AppData\Roaming\AVG2014
2013-11-19 16:17 - 2013-11-19 16:15 - 00000000 ____D C:\ProgramData\AVG2014
2013-11-19 16:17 - 2013-11-19 16:13 - 00000000 ____D C:\Users\derJenner\AppData\Local\Avg2014
2013-11-19 16:16 - 2013-11-19 16:16 - 01090881 _____ (Farbar) C:\Users\derJenner\Downloads\FRST.exe
2013-11-19 16:16 - 2013-11-19 16:16 - 00050477 _____ C:\Users\derJenner\Downloads\Defogger.exe
2013-11-19 16:16 - 2013-11-19 16:16 - 00000000 ____D C:\Users\derJenner\AppData\Roaming\TuneUp Software
2013-11-19 16:15 - 2013-11-19 16:15 - 00000000 ___HD C:\$AVG
2013-11-19 16:15 - 2013-11-19 09:48 - 00000000 ____D C:\Program Files\AVG
2013-11-19 16:13 - 2013-11-19 16:13 - 00000000 ____D C:\Users\derJenner\AppData\Local\MFAData
2013-11-19 16:12 - 2013-11-19 16:12 - 04434976 _____ (AVG Technologies) C:\Users\derJenner\Downloads\avg_isct_stb_all_2014_4161.exe
2013-11-19 15:03 - 2013-11-19 15:03 - 00004074 _____ C:\ComboFix.txt
2013-11-19 15:03 - 2013-11-19 14:59 - 00000000 ____D C:\Qoobox
2013-11-19 15:03 - 2013-11-19 14:59 - 00000000 ____D C:\ComboFix
2013-11-19 15:03 - 2006-11-02 12:18 - 00000000 __RHD C:\Users\Default
2013-11-19 15:03 - 2006-11-02 12:18 - 00000000 ___RD C:\Users\Public
2013-11-19 15:02 - 2013-11-19 14:59 - 00000000 ____D C:\Windows\erdnt
2013-11-19 15:02 - 2006-11-02 11:23 - 00000215 _____ C:\Windows\system.ini
2013-11-19 14:59 - 2013-11-19 14:58 - 05146522 ____R (Swearware) C:\Users\derJenner\Downloads\ComboFix.exe
2013-11-19 14:56 - 2013-11-19 14:56 - 00000000 ____D C:\Users\derJenner\AppData\Roaming\Mozilla
2013-11-19 14:56 - 2013-11-19 14:56 - 00000000 ____D C:\Users\derJenner\AppData\Local\Mozilla
2013-11-19 12:09 - 2006-11-02 12:18 - 00000000 ____D C:\Windows\rescache
2013-11-19 11:12 - 2013-11-19 11:12 - 00000000 ____D C:\Program Files\7-Zip
2013-11-19 11:07 - 2013-11-19 11:07 - 00000000 ____D C:\Windows\Cache
2013-11-19 11:07 - 2013-11-19 11:07 - 00000000 ____D C:\ProgramData\Adobe
2013-11-19 11:07 - 2013-11-19 11:07 - 00000000 ____D C:\Program Files\Adobe
2013-11-19 11:03 - 2013-11-19 09:56 - 00016608 _____ (Windows (R) 2000 DDK provider) C:\Windows\gdrv.sys
2013-11-19 11:03 - 2013-11-19 09:56 - 00000010 _____ C:\Windows\GSetup.ini
2013-11-19 10:06 - 2013-11-19 10:06 - 00000000 ____D C:\ProgramData\Mozilla
2013-11-19 10:06 - 2013-11-19 10:06 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-11-19 10:06 - 2013-11-19 10:06 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-11-19 10:00 - 2013-11-19 10:00 - 00319456 _____ (Microsoft Corporation) C:\Windows\DIFxAPI.dll
2013-11-19 10:00 - 2013-11-19 10:00 - 00315392 _____ (Realtek Semiconductor Corp.) C:\Windows\HideWin.exe
2013-11-19 10:00 - 2013-11-19 10:00 - 00000000 ____D C:\Windows\system32\RTCOM
2013-11-19 10:00 - 2013-11-19 10:00 - 00000000 ____D C:\Program Files\Common Files\InstallShield
2013-11-19 10:00 - 2013-11-19 09:57 - 00000000 ___HD C:\Program Files\InstallShield Installation Information
2013-11-19 10:00 - 2013-11-19 09:57 - 00000000 ____D C:\Program Files\Realtek
2013-11-19 09:58 - 2013-11-19 09:58 - 00000000 ____D C:\Program Files\Intel
2013-11-19 09:57 - 2013-11-19 09:57 - 00000000 ____D C:\Users\derJenner\AppData\Roaming\InstallShield
2013-11-19 09:57 - 2013-11-19 09:57 - 00000000 ____D C:\Intel
2013-11-19 09:51 - 2013-11-19 09:47 - 00000000 __SHD C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308}
2013-11-19 09:51 - 2013-11-19 09:47 - 00000000 ____D C:\ProgramData\AVG
2013-11-19 09:49 - 2013-11-19 09:49 - 00000000 ____D C:\Users\derJenner\AppData\Roaming\AVG
2013-11-19 09:47 - 2006-11-02 13:52 - 00018069 _____ C:\Windows\setupact.log
2013-11-19 09:47 - 2006-11-02 13:37 - 00000000 ____D C:\Windows\system32\restore
2013-11-19 09:46 - 2013-11-19 09:46 - 00048600 _____ C:\Users\derJenner\AppData\Local\GDIPFONTCACHEV1.DAT
2013-11-19 09:46 - 2013-11-19 09:46 - 00000949 _____ C:\Users\derJenner\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2013-11-19 09:46 - 2013-11-19 09:46 - 00000944 _____ C:\Users\derJenner\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk
2013-11-19 09:46 - 2013-11-19 09:46 - 00000915 _____ C:\Users\derJenner\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Mail.lnk
2013-11-19 09:46 - 2013-11-19 09:46 - 00000020 ___SH C:\Users\derJenner\ntuser.ini
2013-11-19 09:46 - 2013-11-19 09:46 - 00000000 _SHDL C:\Users\derJenner\Startmenü
2013-11-19 09:46 - 2013-11-19 09:46 - 00000000 _SHDL C:\Users\derJenner\Netzwerkumgebung
2013-11-19 09:46 - 2013-11-19 09:46 - 00000000 _SHDL C:\Users\derJenner\Druckumgebung
2013-11-19 09:46 - 2013-11-19 09:46 - 00000000 _SHDL C:\Users\derJenner\Documents\Eigene Musik
2013-11-19 09:46 - 2013-11-19 09:46 - 00000000 _SHDL C:\Users\derJenner\Documents\Eigene Bilder
2013-11-19 09:46 - 2013-11-19 09:46 - 00000000 _SHDL C:\Users\derJenner\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2013-11-19 09:46 - 2013-11-19 09:46 - 00000000 _SHDL C:\Users\derJenner\AppData\Local\Verlauf
2013-11-19 09:46 - 2013-11-19 09:46 - 00000000 ____D C:\Users\derJenner\AppData\Local\VirtualStore
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Public\Documents\Eigene Musik
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Public\Documents\Eigene Bilder
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default\Startmenü
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default\Netzwerkumgebung
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default\Druckumgebung
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default\Documents\Eigene Musik
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default\Documents\Eigene Bilder
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default\AppData\Local\Verlauf
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default User\Documents\Eigene Musik
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default User\Documents\Eigene Bilder
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Users\Default User\AppData\Local\Verlauf
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\Programme
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\ProgramData\Startmenü
2013-11-19 09:43 - 2013-11-19 09:43 - 00000000 _SHDL C:\ProgramData\Dokumente
2013-11-19 09:43 - 2006-11-02 12:18 - 00000000 ____D C:\Program Files\Windows NT
2013-11-19 09:41 - 2006-11-02 13:47 - 00228840 _____ C:\Windows\system32\FNTCACHE.DAT
2013-11-19 09:39 - 2013-11-19 09:36 - 00001313 _____ C:\Windows\TSSysprep.log
2013-11-19 09:39 - 2013-11-19 09:34 - 00000000 ____D C:\Windows\Panther
2013-11-19 09:38 - 2013-11-19 09:38 - 00000000 _____ C:\Windows\system32\atiicdxx.dat
2013-11-19 09:36 - 2006-11-02 13:48 - 00001816 _____ C:\Windows\DtcInstall.log
2013-11-19 09:34 - 2013-11-19 09:34 - 00008192 ___RS C:\BOOTSECT.BAK
2013-11-19 09:34 - 2006-11-02 13:43 - 00037888 ____H C:\Windows\system32\config\BCD-Template.LOG
2013-11-19 09:34 - 2006-11-02 13:37 - 00262144 _____ C:\Windows\system32\config\BCD-Template
2013-11-19 09:34 - 2006-11-02 12:18 - 00000000 ____D C:\Windows\system32\de-DE
 
==================== Bamital & volsnap Check =================
 
C:\Windows\explorer.exe
[2006-11-02 09:47] - [2006-11-02 10:45] - 2923520 ____A (Microsoft Corporation) FD8C53FB002217F6F888BCF6F5D7084D
 
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll
[2006-11-02 09:38] - [2006-11-02 10:46] - 0633856 ____A (Microsoft Corporation) E698A5437B89A285ACA3FF022356810A
 
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys
[2006-11-02 09:52] - [2006-11-02 10:51] - 0208488 ____A (Microsoft Corporation) 11EF6C1CAEF76B685233450A126125D6
 
 
 
LastRegBack: 2013-11-19 16:26
 
==================== End Of Log ============================
         
--- --- ---

Alt 20.11.2013, 01:03   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vieren waren gestern, hier sind die ROOTKITS! - Standard

Vieren waren gestern, hier sind die ROOTKITS!



Hallo und

Zitat:
Hauptsyntome sind kopien meiner eigenen dateien die sich immer weiter vermehren, schreibgeschütz, unsichtbar und für meinen zugriff gesperrt sind.
Hab ich noch nie als Symptom von Schädlingsbefall von gehört.

Zitat:
2013-11-19 15:03 - 2013-11-19 15:03 - 00004074 _____ C:\ComboFix.txt
2013-11-19 15:03 - 2013-11-19 14:59 - 00000000 ____D C:\Qoobox
Warum hast du CF laufen lassen, ohne Anweisung?
Wo ist das Log dazu?
__________________

__________________

Alt 20.11.2013, 06:54   #3
Jenner77
 
Vieren waren gestern, hier sind die ROOTKITS! - Standard

Vieren waren gestern, hier sind die ROOTKITS!



Ich wollte alles ausprobieren

Combofix Logfile:
Code:
ATTFilter
ComboFix 13-11-19.01 - derJenner 19.11.2013  15:00:30.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6000.0.1252.49.1031.18.2046.1154 [GMT 1:00]
ausgeführt von:: c:\users\derJenner\Downloads\ComboFix.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-10-19 bis 2013-11-19  ))))))))))))))))))))))))))))))
.
.
2013-11-19 14:02 . 2013-11-19 14:02	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-11-19 10:12 . 2013-11-19 10:12	--------	d-----w-	c:\program files\7-Zip
2013-11-19 10:07 . 2013-11-19 10:07	--------	d-----w-	c:\windows\Cache
2013-11-19 09:06 . 2013-11-19 09:06	--------	d-----w-	c:\program files\Mozilla Maintenance Service
2013-11-19 08:58 . 2013-11-19 08:58	--------	d-----w-	c:\program files\Intel
2013-11-19 08:58 . 2008-03-26 03:15	53248	----a-r-	c:\windows\system32\CSVer.dll
2013-11-19 08:57 . 2013-11-19 08:57	--------	d-----w-	C:\Intel
2013-11-19 08:57 . 2008-02-14 06:56	118784	----a-w-	c:\windows\system32\drivers\Rtlh86.sys
2013-11-19 08:57 . 2013-11-19 09:00	--------	d-----w-	c:\program files\Realtek
2013-11-19 08:57 . 2013-11-19 09:00	--------	d--h--w-	c:\program files\InstallShield Installation Information
2013-11-19 08:56 . 2007-06-21 06:34	203328	----a-r-	c:\windows\GSetup.exe
2013-11-19 08:56 . 2013-11-19 10:03	16608	----a-w-	c:\windows\gdrv.sys
2013-11-19 08:49 . 2013-10-08 12:46	36152	----a-w-	c:\windows\system32\TURegOpt.exe
2013-11-19 08:49 . 2013-10-08 12:46	25400	----a-w-	c:\windows\system32\authuitu.dll
2013-11-19 08:48 . 2013-11-19 08:48	--------	d-----w-	c:\program files\AVG
2013-11-19 08:47 . 2013-11-19 08:51	--------	d-----w-	c:\programdata\AVG
2013-11-19 08:47 . 2013-11-19 10:07	--------	d-sh--w-	c:\windows\Installer
2013-11-19 08:47 . 2013-11-19 08:51	--------	d-sh--w-	c:\programdata\{01BD4FC9-2F86-4706-A62E-774BB7E9D308}
2013-11-19 08:47 . 2013-11-19 08:47	--------	d--h--w-	c:\programdata\Common Files
2013-11-19 08:46 . 2013-11-19 09:00	--------	d-----w-	c:\users\derJenner
2013-11-19 08:37 . 2013-11-19 08:57	--------	d-----w-	c:\windows\system32\catroot2
2013-11-19 08:37 . 2013-11-19 08:43	--------	d-----w-	c:\windows\Debug
2013-11-19 08:34 . 2013-11-19 08:39	--------	d-----w-	c:\windows\Panther
2013-11-19 08:34 . 2013-11-19 08:34	--------	d-----w-	C:\Boot
2013-11-18 18:13 . 1999-10-15 06:50	1056768	----a-w-	c:\windows\system32\Roboex32.dll
2013-11-18 18:13 . 1996-05-07 14:59	47104	----a-w-	c:\windows\system32\D2htls32.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2008-05-07 6139904]
"Skytel"="Skytel.exe" [2007-11-20 1826816]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"WindowsWelcomeCenter"=rundll32.exe oobefldr.dll,ShowWelcomeCenter
.
.
------- Zusätzlicher Suchlauf -------
.
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\derJenner\AppData\Roaming\Mozilla\Firefox\Profiles\mg6pglr0.default\
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2013-11-19 15:02
Windows 6.0.6000  NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-11-19  15:03:11
ComboFix-quarantined-files.txt  2013-11-19 14:03
.
Vor Suchlauf: 5 Verzeichnis(se), 92.490.182.656 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 92.472.176.640 Bytes frei
.
- - End Of File - - FBC26996E7761AA75A99BB2A1D86BFF6
         
--- --- ---
5C616939100B85E558DA92B899A0FC36


dann noch Quarantine files:

2013-11-19 14:01:41 . 2013-11-19 14:01:41 5,189 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2013-11-19 14:00:29 . 2013-11-19 14:00:29 512 ----a-w- C:\Qoobox\Quarantine\MBR_HardDisk0.mbr
2013-11-19 13:59:52 . 2013-11-19 14:00:30 62 ----a-w- C:\Qoobox\Quarantine\catchme.log
__________________

Alt 20.11.2013, 09:45   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vieren waren gestern, hier sind die ROOTKITS! - Standard

Vieren waren gestern, hier sind die ROOTKITS!



Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.11.2013, 16:28   #5
Jenner77
 
Vieren waren gestern, hier sind die ROOTKITS! - Standard

Vieren waren gestern, hier sind die ROOTKITS!



---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.07.0.1007

(c) Malwarebytes Corporation 2011-2012

OS version: 6.0.6000 Windows Vista x86

Account is Administrative

Internet Explorer version: 7.0.6000.16386

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED, D:\ DRIVE_FIXED
CPU speed: 2.999000 GHz
Memory total: 2145255424, free: 1367691264

Could not load protection driver
Downloaded database version: v2013.11.20.07
Downloaded database version: v2013.10.11.02
=======================================
------------ Kernel report ------------
11/20/2013 15:01:45
------------ Loaded modules -----------
\SystemRoot\system32\ntkrnlpa.exe
\SystemRoot\system32\hal.dll
\SystemRoot\system32\kdcom.dll
\SystemRoot\system32\mcupdate_GenuineIntel.dll
\SystemRoot\system32\PSHED.dll
\SystemRoot\system32\BOOTVID.dll
\SystemRoot\system32\CLFS.SYS
\SystemRoot\system32\CI.dll
\SystemRoot\system32\drivers\Wdf01000.sys
\SystemRoot\system32\drivers\WDFLDR.SYS
\SystemRoot\system32\drivers\acpi.sys
\SystemRoot\system32\drivers\WMILIB.SYS
\SystemRoot\system32\drivers\msisadrv.sys
\SystemRoot\system32\drivers\pci.sys
\SystemRoot\system32\drivers\volmgr.sys
\SystemRoot\System32\drivers\mountmgr.sys
\SystemRoot\system32\drivers\pciide.sys
\SystemRoot\system32\drivers\PCIIDEX.SYS
\SystemRoot\System32\drivers\volmgrx.sys
\SystemRoot\system32\drivers\atapi.sys
\SystemRoot\system32\drivers\ataport.SYS
\SystemRoot\system32\drivers\fltmgr.sys
\SystemRoot\system32\drivers\fileinfo.sys
\SystemRoot\system32\drivers\ndis.sys
\SystemRoot\system32\drivers\msrpc.sys
\SystemRoot\system32\drivers\NETIO.SYS
\SystemRoot\System32\Drivers\Ntfs.sys
\SystemRoot\System32\Drivers\ksecdd.sys
\SystemRoot\system32\drivers\volsnap.sys
\SystemRoot\System32\Drivers\spldr.sys
\SystemRoot\System32\drivers\partmgr.sys
\SystemRoot\System32\Drivers\mup.sys
\SystemRoot\System32\drivers\ecache.sys
\SystemRoot\system32\drivers\disk.sys
\SystemRoot\system32\drivers\CLASSPNP.SYS
\SystemRoot\system32\drivers\crcdisk.sys
\SystemRoot\system32\DRIVERS\avgrkx86.sys
\SystemRoot\system32\DRIVERS\avglogx.sys
\SystemRoot\system32\DRIVERS\avgmfx86.sys
\SystemRoot\system32\DRIVERS\avgidshx.sys
\SystemRoot\system32\DRIVERS\tunnel.sys
\SystemRoot\system32\DRIVERS\tunmp.sys
\SystemRoot\system32\DRIVERS\intelppm.sys
\SystemRoot\system32\DRIVERS\atikmdag.sys
\SystemRoot\System32\drivers\dxgkrnl.sys
\SystemRoot\System32\drivers\watchdog.sys
\SystemRoot\system32\DRIVERS\usbuhci.sys
\SystemRoot\system32\DRIVERS\USBPORT.SYS
\SystemRoot\system32\DRIVERS\usbehci.sys
\SystemRoot\system32\DRIVERS\HDAudBus.sys
\SystemRoot\system32\DRIVERS\Rtlh86.sys
\SystemRoot\system32\DRIVERS\ohci1394.sys
\SystemRoot\system32\DRIVERS\1394BUS.SYS
\SystemRoot\system32\DRIVERS\fdc.sys
\SystemRoot\system32\DRIVERS\serial.sys
\SystemRoot\system32\DRIVERS\serenum.sys
\SystemRoot\system32\DRIVERS\parport.sys
\SystemRoot\system32\DRIVERS\cdrom.sys
\SystemRoot\system32\DRIVERS\msiscsi.sys
\SystemRoot\system32\DRIVERS\storport.sys
\SystemRoot\system32\DRIVERS\TDI.SYS
\SystemRoot\system32\DRIVERS\rasl2tp.sys
\SystemRoot\system32\DRIVERS\ndistapi.sys
\SystemRoot\system32\DRIVERS\ndiswan.sys
\SystemRoot\system32\DRIVERS\raspppoe.sys
\SystemRoot\system32\DRIVERS\raspptp.sys
\SystemRoot\system32\DRIVERS\termdd.sys
\SystemRoot\system32\DRIVERS\kbdclass.sys
\SystemRoot\system32\DRIVERS\mouclass.sys
\SystemRoot\system32\DRIVERS\swenum.sys
\SystemRoot\system32\DRIVERS\ks.sys
\SystemRoot\system32\DRIVERS\mssmbios.sys
\SystemRoot\system32\DRIVERS\umbus.sys
\SystemRoot\system32\DRIVERS\usbhub.sys
\SystemRoot\system32\DRIVERS\flpydisk.sys
\SystemRoot\System32\Drivers\NDProxy.SYS
\SystemRoot\system32\drivers\RTKVHDA.sys
\SystemRoot\system32\drivers\portcls.sys
\SystemRoot\system32\drivers\drmk.sys
\SystemRoot\System32\Drivers\Fs_Rec.SYS
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\SystemRoot\system32\DRIVERS\HIDPARSE.SYS
\SystemRoot\System32\drivers\vga.sys
\SystemRoot\System32\drivers\VIDEOPRT.SYS
\SystemRoot\System32\DRIVERS\RDPCDD.sys
\SystemRoot\system32\drivers\rdpencdd.sys
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\System32\DRIVERS\rasacd.sys
\SystemRoot\System32\drivers\tcpip.sys
\SystemRoot\System32\drivers\fwpkclnt.sys
\SystemRoot\system32\DRIVERS\avgfwd6x.sys
\SystemRoot\system32\DRIVERS\tdx.sys
\SystemRoot\system32\DRIVERS\smb.sys
\SystemRoot\system32\DRIVERS\avgtdix.sys
\SystemRoot\System32\DRIVERS\netbt.sys
\SystemRoot\system32\drivers\afd.sys
\SystemRoot\system32\drivers\ws2ifsl.sys
\SystemRoot\system32\DRIVERS\pacer.sys
\SystemRoot\system32\DRIVERS\netbios.sys
\SystemRoot\system32\DRIVERS\wanarp.sys
\SystemRoot\system32\DRIVERS\rdbss.sys
\SystemRoot\system32\drivers\nsiproxy.sys
\SystemRoot\System32\Drivers\dfsc.sys
\SystemRoot\system32\DRIVERS\avgldx86.sys
\SystemRoot\system32\DRIVERS\hidusb.sys
\SystemRoot\system32\DRIVERS\HIDCLASS.SYS
\SystemRoot\system32\DRIVERS\USBD.SYS
\SystemRoot\system32\DRIVERS\mouhid.sys
\SystemRoot\system32\DRIVERS\usbccgp.sys
\SystemRoot\system32\DRIVERS\kbdhid.sys
\SystemRoot\system32\DRIVERS\avgidsshimx.sys
\SystemRoot\system32\DRIVERS\avgidsdriverx.sys
\SystemRoot\system32\DRIVERS\avgdiskx.sys
\SystemRoot\system32\DRIVERS\cdfs.sys
\SystemRoot\System32\Drivers\fastfat.SYS
\SystemRoot\System32\Drivers\crashdmp.sys
\SystemRoot\System32\Drivers\dump_dumpata.sys
\SystemRoot\System32\Drivers\dump_atapi.sys
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\drivers\Dxapi.sys
\SystemRoot\system32\DRIVERS\monitor.sys
\SystemRoot\System32\TSDDD.dll
\SystemRoot\System32\cdd.dll
\SystemRoot\system32\drivers\luafv.sys
\SystemRoot\system32\drivers\spsys.sys
\SystemRoot\system32\DRIVERS\lltdio.sys
\SystemRoot\system32\DRIVERS\rspndr.sys
\SystemRoot\system32\drivers\HTTP.sys
\SystemRoot\System32\DRIVERS\srvnet.sys
\SystemRoot\system32\DRIVERS\bowser.sys
\SystemRoot\System32\drivers\mpsdrv.sys
\SystemRoot\system32\DRIVERS\mrxsmb.sys
\SystemRoot\system32\DRIVERS\mrxsmb10.sys
\SystemRoot\system32\DRIVERS\mrxsmb20.sys
\SystemRoot\System32\DRIVERS\srv2.sys
\SystemRoot\System32\DRIVERS\srv.sys
\SystemRoot\system32\DRIVERS\parvdm.sys
\SystemRoot\system32\drivers\peauth.sys
\SystemRoot\System32\Drivers\secdrv.SYS
\SystemRoot\System32\drivers\tcpipreg.sys
\??\C:\Program Files\AVG\AVG PC TuneUp\TuneUpUtilitiesDriver32.sys
\??\C:\Windows\system32\drivers\MBAMSwissArmy.sys
\Windows\System32\ntdll.dll
----------- End -----------
Done!
<<<1>>>
Upper Device Name: \Device\Harddisk0\DR0
Upper Device Object: 0xffffffff84b60868
Upper Device Driver Name: \Driver\disk\
Lower Device Name: \Device\Ide\IdeDeviceP3T0L0-3\
Lower Device Object: 0xffffffff843e7978
Lower Device Driver Name: \Driver\atapi\
<<<2>>>
Physical Sector Size: 512
Drive: 0, DevicePointer: 0xffffffff84b60868, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\disk\
--------- Disk Stack ------
DevicePointer: 0xffffffff84b60570, DeviceName: Unknown, DriverName: \Driver\partmgr\
DevicePointer: 0xffffffff84b60868, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\disk\
DevicePointer: 0xffffffff843e3b68, DeviceName: Unknown, DriverName: \Driver\ACPI\
DevicePointer: 0xffffffff843e7978, DeviceName: \Device\Ide\IdeDeviceP3T0L0-3\, DriverName: \Driver\atapi\
------------ End ----------
Alternate DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\disk\
Upper DeviceData: 0x0, 0x0, 0x0
Lower DeviceData: 0x0, 0x0, 0x0
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
<<<2>>>
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Scanning drivers directory: C:\WINDOWS\SYSTEM32\drivers...
<<<2>>>
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Done!
Drive 0
Scanning MBR on drive 0...
Inspecting partition table:
MBR Signature: 55AA
Disk Signature: BCA2181

Partition information:

Partition 0 type is Primary (0x7)
Partition is ACTIVE.
Partition starts at LBA: 2048 Numsec = 209633280
Partition file system is NTFS
Partition is bootable

Partition 1 type is Other (0x6)
Partition is NOT ACTIVE.
Partition starts at LBA: 209635328 Numsec = 766869504

Partition 2 type is Empty (0x0)
Partition is NOT ACTIVE.
Partition starts at LBA: 0 Numsec = 0

Partition 3 type is Empty (0x0)
Partition is NOT ACTIVE.
Partition starts at LBA: 0 Numsec = 0

Disk Size: 499971544064 bytes
Sector size: 512 bytes

Scanning physical sectors of unpartitioned space on drive 0 (1-2047-976486922-976506922)...
Done!
Read File: File "c:\windows\system32\config\systemprofile\appdata\local\avg2014\log\avg-07a15309-d0fd-4549-b4ad-1c53c381a149.tmp" is compressed (flags = 1)
Scan finished
=======================================


Removal queue found; removal started
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR_0_i.mbam...
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\Bootstrap_0_0_2048_i.mbam...
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR_0_r.mbam...
Removal finished
---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.07.0.1007

(c) Malwarebytes Corporation 2011-2012

OS version: 6.0.6000 Windows Vista x86

Account is Administrative

Internet Explorer version: 7.0.6000.16982

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED, D:\ DRIVE_FIXED
CPU speed: 2.999000 GHz
Memory total: 2145255424, free: 1483386880

Could not load protection driver
Initializing...
======================
------------ Kernel report ------------
11/20/2013 15:42:20
------------ Loaded modules -----------
\SystemRoot\system32\ntkrnlpa.exe
\SystemRoot\system32\hal.dll
\SystemRoot\system32\kdcom.dll
\SystemRoot\system32\mcupdate_GenuineIntel.dll
\SystemRoot\system32\PSHED.dll
\SystemRoot\system32\BOOTVID.dll
\SystemRoot\system32\CLFS.SYS
\SystemRoot\system32\CI.dll
\SystemRoot\system32\drivers\Wdf01000.sys
\SystemRoot\system32\drivers\WDFLDR.SYS
\SystemRoot\system32\drivers\acpi.sys
\SystemRoot\system32\drivers\WMILIB.SYS
\SystemRoot\system32\drivers\msisadrv.sys
\SystemRoot\system32\drivers\pci.sys
\SystemRoot\system32\drivers\volmgr.sys
\SystemRoot\System32\drivers\mountmgr.sys
\SystemRoot\system32\drivers\pciide.sys
\SystemRoot\system32\drivers\PCIIDEX.SYS
\SystemRoot\System32\drivers\volmgrx.sys
\SystemRoot\system32\drivers\atapi.sys
\SystemRoot\system32\drivers\ataport.SYS
\SystemRoot\system32\drivers\fltmgr.sys
\SystemRoot\system32\drivers\fileinfo.sys
\SystemRoot\system32\drivers\ndis.sys
\SystemRoot\system32\drivers\msrpc.sys
\SystemRoot\system32\drivers\NETIO.SYS
\SystemRoot\System32\Drivers\Ntfs.sys
\SystemRoot\System32\Drivers\ksecdd.sys
\SystemRoot\system32\drivers\volsnap.sys
\SystemRoot\System32\Drivers\spldr.sys
\SystemRoot\System32\drivers\partmgr.sys
\SystemRoot\System32\Drivers\mup.sys
\SystemRoot\System32\drivers\ecache.sys
\SystemRoot\system32\drivers\disk.sys
\SystemRoot\system32\drivers\CLASSPNP.SYS
\SystemRoot\system32\drivers\crcdisk.sys
\SystemRoot\system32\DRIVERS\avgrkx86.sys
\SystemRoot\system32\DRIVERS\avglogx.sys
\SystemRoot\system32\DRIVERS\avgmfx86.sys
\SystemRoot\system32\DRIVERS\avgidshx.sys
\SystemRoot\system32\DRIVERS\tunnel.sys
\SystemRoot\system32\DRIVERS\tunmp.sys
\SystemRoot\system32\DRIVERS\intelppm.sys
\SystemRoot\system32\DRIVERS\atikmdag.sys
\SystemRoot\System32\drivers\dxgkrnl.sys
\SystemRoot\System32\drivers\watchdog.sys
\SystemRoot\system32\DRIVERS\usbuhci.sys
\SystemRoot\system32\DRIVERS\USBPORT.SYS
\SystemRoot\system32\DRIVERS\usbehci.sys
\SystemRoot\system32\DRIVERS\HDAudBus.sys
\SystemRoot\system32\DRIVERS\Rtlh86.sys
\SystemRoot\system32\DRIVERS\ohci1394.sys
\SystemRoot\system32\DRIVERS\1394BUS.SYS
\SystemRoot\system32\DRIVERS\fdc.sys
\SystemRoot\system32\DRIVERS\serial.sys
\SystemRoot\system32\DRIVERS\serenum.sys
\SystemRoot\system32\DRIVERS\parport.sys
\SystemRoot\system32\DRIVERS\cdrom.sys
\SystemRoot\system32\DRIVERS\msiscsi.sys
\SystemRoot\system32\DRIVERS\storport.sys
\SystemRoot\system32\DRIVERS\TDI.SYS
\SystemRoot\system32\DRIVERS\rasl2tp.sys
\SystemRoot\system32\DRIVERS\ndistapi.sys
\SystemRoot\system32\DRIVERS\ndiswan.sys
\SystemRoot\system32\DRIVERS\raspppoe.sys
\SystemRoot\system32\DRIVERS\raspptp.sys
\SystemRoot\system32\DRIVERS\termdd.sys
\SystemRoot\system32\DRIVERS\kbdclass.sys
\SystemRoot\system32\DRIVERS\mouclass.sys
\SystemRoot\system32\DRIVERS\swenum.sys
\SystemRoot\system32\DRIVERS\ks.sys
\SystemRoot\system32\DRIVERS\mssmbios.sys
\SystemRoot\system32\DRIVERS\umbus.sys
\SystemRoot\system32\DRIVERS\usbhub.sys
\SystemRoot\system32\DRIVERS\flpydisk.sys
\SystemRoot\System32\Drivers\NDProxy.SYS
\SystemRoot\system32\drivers\RTKVHDA.sys
\SystemRoot\system32\drivers\portcls.sys
\SystemRoot\system32\drivers\drmk.sys
\SystemRoot\System32\Drivers\Fs_Rec.SYS
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\Beep.SYS
\SystemRoot\system32\DRIVERS\HIDPARSE.SYS
\SystemRoot\System32\drivers\vga.sys
\SystemRoot\System32\drivers\VIDEOPRT.SYS
\SystemRoot\System32\DRIVERS\RDPCDD.sys
\SystemRoot\system32\drivers\rdpencdd.sys
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\System32\DRIVERS\rasacd.sys
\SystemRoot\System32\drivers\tcpip.sys
\SystemRoot\System32\drivers\fwpkclnt.sys
\SystemRoot\system32\DRIVERS\avgfwd6x.sys
\SystemRoot\system32\DRIVERS\tdx.sys
\SystemRoot\system32\DRIVERS\smb.sys
\SystemRoot\system32\DRIVERS\avgtdix.sys
\SystemRoot\System32\DRIVERS\netbt.sys
\SystemRoot\system32\drivers\afd.sys
\SystemRoot\system32\drivers\ws2ifsl.sys
\SystemRoot\system32\DRIVERS\pacer.sys
\SystemRoot\system32\DRIVERS\netbios.sys
\SystemRoot\system32\DRIVERS\wanarp.sys
\SystemRoot\system32\DRIVERS\rdbss.sys
\SystemRoot\system32\drivers\nsiproxy.sys
\SystemRoot\System32\Drivers\dfsc.sys
\SystemRoot\system32\DRIVERS\avgldx86.sys
\SystemRoot\system32\DRIVERS\hidusb.sys
\SystemRoot\system32\DRIVERS\HIDCLASS.SYS
\SystemRoot\system32\DRIVERS\USBD.SYS
\SystemRoot\system32\DRIVERS\mouhid.sys
\SystemRoot\system32\DRIVERS\usbccgp.sys
\SystemRoot\system32\DRIVERS\kbdhid.sys
\SystemRoot\system32\DRIVERS\avgidsshimx.sys
\SystemRoot\system32\DRIVERS\avgidsdriverx.sys
\SystemRoot\system32\DRIVERS\avgdiskx.sys
\SystemRoot\system32\DRIVERS\cdfs.sys
\SystemRoot\System32\Drivers\fastfat.SYS
\SystemRoot\System32\Drivers\crashdmp.sys
\SystemRoot\System32\Drivers\dump_dumpata.sys
\SystemRoot\System32\Drivers\dump_atapi.sys
\SystemRoot\System32\win32k.sys
\SystemRoot\System32\drivers\Dxapi.sys
\SystemRoot\system32\DRIVERS\monitor.sys
\SystemRoot\System32\TSDDD.dll
\SystemRoot\System32\cdd.dll
\SystemRoot\system32\drivers\luafv.sys
\SystemRoot\system32\drivers\spsys.sys
\SystemRoot\system32\DRIVERS\lltdio.sys
\SystemRoot\system32\DRIVERS\rspndr.sys
\SystemRoot\system32\drivers\HTTP.sys
\SystemRoot\System32\DRIVERS\srvnet.sys
\SystemRoot\system32\DRIVERS\bowser.sys
\SystemRoot\System32\drivers\mpsdrv.sys
\SystemRoot\system32\DRIVERS\mrxsmb.sys
\SystemRoot\system32\DRIVERS\mrxsmb10.sys
\SystemRoot\system32\DRIVERS\mrxsmb20.sys
\SystemRoot\System32\DRIVERS\srv2.sys
\SystemRoot\System32\DRIVERS\srv.sys
\SystemRoot\system32\DRIVERS\parvdm.sys
\SystemRoot\system32\drivers\peauth.sys
\SystemRoot\System32\Drivers\secdrv.SYS
\SystemRoot\System32\drivers\tcpipreg.sys
\??\C:\Program Files\AVG\AVG PC TuneUp\TuneUpUtilitiesDriver32.sys
\??\C:\Windows\system32\drivers\MBAMSwissArmy.sys
\Windows\System32\ntdll.dll
----------- End -----------
Done!
<<<1>>>
Upper Device Name: \Device\Harddisk0\DR0
Upper Device Object: 0xffffffff84acfad8
Upper Device Driver Name: \Driver\disk\
Lower Device Name: \Device\Ide\IdeDeviceP3T0L0-3\
Lower Device Object: 0xffffffff84408bb0
Lower Device Driver Name: \Driver\atapi\
<<<2>>>
Physical Sector Size: 512
Drive: 0, DevicePointer: 0xffffffff84acfad8, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\disk\
--------- Disk Stack ------
DevicePointer: 0xffffffff849cc178, DeviceName: Unknown, DriverName: \Driver\partmgr\
DevicePointer: 0xffffffff84acfad8, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\disk\
DevicePointer: 0xffffffff84437928, DeviceName: Unknown, DriverName: \Driver\ACPI\
DevicePointer: 0xffffffff84408bb0, DeviceName: \Device\Ide\IdeDeviceP3T0L0-3\, DriverName: \Driver\atapi\
------------ End ----------
Alternate DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\disk\
Upper DeviceData: 0x0, 0x0, 0x0
Lower DeviceData: 0x0, 0x0, 0x0
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
<<<2>>>
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Scanning drivers directory: C:\WINDOWS\SYSTEM32\drivers...
<<<2>>>
<<<3>>>
Volume: C:
File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Done!
Drive 0
Scanning MBR on drive 0...
Inspecting partition table:
MBR Signature: 55AA
Disk Signature: BCA2181

Partition information:

Partition 0 type is Primary (0x7)
Partition is ACTIVE.
Partition starts at LBA: 2048 Numsec = 209633280
Partition file system is NTFS
Partition is bootable

Partition 1 type is Other (0x6)
Partition is NOT ACTIVE.
Partition starts at LBA: 209635328 Numsec = 766869504

Partition 2 type is Empty (0x0)
Partition is NOT ACTIVE.
Partition starts at LBA: 0 Numsec = 0

Partition 3 type is Empty (0x0)
Partition is NOT ACTIVE.
Partition starts at LBA: 0 Numsec = 0

Disk Size: 499971544064 bytes
Sector size: 512 bytes

Scanning physical sectors of unpartitioned space on drive 0 (1-2047-976486922-976506922)...
Done!
Scan finished
=======================================


Removal queue found; removal started
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR_0_i.mbam...
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\Bootstrap_0_0_2048_i.mbam...
Removing C:\ProgramData\Malwarebytes' Anti-Malware (portable)\MBR_0_r.mbam...
Removal finished
---------------------------------------
Malwarebytes Anti-Rootkit BETA 1.07.0.1007

(c) Malwarebytes Corporation 2011-2012

OS version: 6.0.6000 Windows Vista x86

Account is Administrative

Internet Explorer version: 7.0.6000.16982

File system is: NTFS
Disk drives: C:\ DRIVE_FIXED, D:\ DRIVE_FIXED
CPU speed: 2.999000 GHz
Memory total: 2145255424, free: 1554313216

Could not load protection driver
=======================================




Malwarebytes Anti-Rootkit BETA 1.07.0.1007
Malwarebytes : Free Anti-Malware download

Database version: v2013.11.20.07

Windows Vista x86 NTFS
Internet Explorer 7.0.6000.16386
derJenner :: JENNERS-PC [administrator]

20.11.2013 15:01:48
mbar-log-2013-11-20 (15-01-48).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Objects scanned: 190240
Time elapsed: 2 minute(s), 52 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)


Malwarebytes Anti-Rootkit BETA 1.07.0.1007
Malwarebytes : Free Anti-Malware download

Database version: v2013.11.20.07

Windows Vista x86 NTFS
Internet Explorer 7.0.6000.16982
derJenner :: JENNERS-PC [administrator]

20.11.2013 15:42:24
mbar-log-2013-11-20 (15-42-24).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Objects scanned: 190041
Time elapsed: 3 minute(s), 20 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)


Alt 20.11.2013, 16:39   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vieren waren gestern, hier sind die ROOTKITS! - Standard

Vieren waren gestern, hier sind die ROOTKITS!



Abgesehen davon, dass dein Vista völlig jungfräulich ist (kein SP2, kein IE9) seh ich nix auffälliges.
Aus deiner Problembeschreibung mit den sich "vermehrenden" Dateien werd ich ebenfalls nicht schlau. Versuch es mal detailierter zu beschreiben.
__________________
--> Vieren waren gestern, hier sind die ROOTKITS!

Alt 20.11.2013, 18:21   #7
Jenner77
 
Vieren waren gestern, hier sind die ROOTKITS! - Standard

Vieren waren gestern, hier sind die ROOTKITS!



ja weil hab ich heut früh erst wieder einmal zum x´ten mal frisch aufgezogen, müssen erst updates folgen usw. nun Programme, Dokumente Einstellungen, $RECYCLE.BIN, $AVG, System Volume Information, verknüpfung All User, verküpfung Default User, datei Default, verknüpfung Gemeinsame Dateien und weiss der geier wieviel zeug noch nach und nach entstehen ohne mein zutun, diese dateien sind versteckt schreibgeschützt und für mich gesperrt. irgendwer macht da ein auf superadmin und stopf mein windows mit kopien meiner eigenen dateien voll auf die ich keinerlei zugriffsrechte habe. das wird mit jedem neustart mehr und mehr. wie schon beschrieben rootkit- mailwarescans zeigen nix. rams entladen, pille ziehen und bios zurücksetzen bringt nix. windows7 drauf gespielt das selbe.

Alt 20.11.2013, 21:21   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vieren waren gestern, hier sind die ROOTKITS! - Standard

Vieren waren gestern, hier sind die ROOTKITS!



Du siehst Gespenster bzw interpretierst die Anwesenheit dieser Objekte als Schädlingsbefall, weil du keine andere Erklärung hast

Die Funktionen der angesprochenen Ordner hättest du tw. durch simples Googlen gleich gefunden. Und die Ordner mit dem Schlossymbol unter Vista sind nichts anderes als Links, damit alte Programme die eigentlich nach Dokumente und Einstellungen wollen nach Users geleitet werden. Der Bentuzerprofilordner heißt aber Vista nämlich eben nicht mehr Dokumente und Einstellungen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.11.2013, 21:29   #9
Jenner77
 
Vieren waren gestern, hier sind die ROOTKITS! - Standard

Vieren waren gestern, hier sind die ROOTKITS!



meinst mein system ist sauber? hm gut vielleicht hab ich ja etwas paranoya aber immerhin tätige ich auch mein onlinebanking mit dem pc und lass mich auch nicht gern beobachten. wie kann ich ausschliessen das da jemand wartet damit ich eine inet verbindung herstell? wie kann ich meine ports zb kontrollieren? ich weiss das geht am besten im dos aber nach´ner weile überfordert

Alt 20.11.2013, 21:37   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vieren waren gestern, hier sind die ROOTKITS! - Standard

Vieren waren gestern, hier sind die ROOTKITS!



Zitat:
wie kann ich ausschliessen das da jemand wartet damit ich eine inet verbindung herstell?
PC ausschalten, aus dem Fenster werfen, ein paar mal mit ner Dampfwalze rüber und wegschmeißen so bist du 1000% sicher, dass keine digitalen Schädlinge mehr aktiv sind

Oder du findest dich damit ab, dass eine Formatierung und Neuinstallation die nächstsicherste Option ist, alle Schädlinge zu löschen

Mal davon abgesehen, dass du erstmal Ruhe bewahren solltest nur weil du dir irgendwelche Dateisystemobjekte nicht erklären kannst.

Zitat:
wie kann ich meine ports zb kontrollieren?
Was meinst du wohl wozu in Windows die Windows-Firewall ist? Und dein Router hat auch noch ein Wörtchen mitzureden. Selbst ohne Firewall kann niemand einfach so aus dem Internet an deinem Router vorbei, es sei denn du hast am Router rumgefummelt sprich Portforwardings auf deinen Rechner eingestellt. Die greifen aber auch nur dann wenn 1. die Windows-Firewall das erlaubt UND 2.) auch ein entsprechender Dienst auf diesem Port läuft/lauscht

Zitat:
ich weiss das geht am besten im dos aber nach´ner weile überfordert
DOS gibt es für die Consumer-Windows-Versionen schon seit WinXP nicht mehr. Falls du die Eingeaufforderung meinst: nein, die Windows-Firewall ist über die Systemsteuerung erreichbar. Sogar eine mit erweiterter Sicherheit gibt es seit Windows Vista, aber davon kann man Laien ohne besonders viel Wissen in TCP/IP nur von abraten. Also nimm die "einfache" Windows-Firewall.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.11.2013, 21:58   #11
Jenner77
 
Vieren waren gestern, hier sind die ROOTKITS! - Standard

Vieren waren gestern, hier sind die ROOTKITS!



Windows Firewall? also bitte die wurde doch schon vor jahren geknackt und heutzutage sind backdoorrotkits unterwegs die machen sich nicht mal die mühe über diese firewall zu lächeln. bei mir läuft die avg firewall und nicht mal die blockt die. neuinstallation bringt doch auch nix weil diese programme sich tief ins system fressen. an meinem router fummel ich nicht rum weil kein bock auf e mechaniker aber an mein rechner versuch ich alles um fremdzugriffe zu blockieren. sei es in windowseinstellungen (browser, system) oder in tiefern rootsystemen wie bios oder msdos (wo ich ohne probleme zugriff habe) aber dafür brauch ich eure hilfe!!!

Alt 20.11.2013, 22:04   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vieren waren gestern, hier sind die ROOTKITS! - Standard

Vieren waren gestern, hier sind die ROOTKITS!



Zitat:
Windows Firewall? also bitte die wurde doch schon vor jahren geknackt und heutzutage sind backdoorrotkits unterwegs
Och nö, wo schnappts du eigentlich diesen Unsinn auf, erst das mit einem Rootkit weil du legitime Dateisystemobjekte nicht erkennst und jetzt das
Zitat:
bei mir läuft die avg firewall und nicht mal die blockt die.
Genau das macht die Windows-Firewall auch. Aber wenn du meinst, dann nimm lieber etwas wovon die meisten Netzwerkexperten von abraten
Zitat:
neuinstallation bringt doch auch nix weil diese programme sich tief ins system fressen
.

Sry das ist Blödsinn. Du weißt offensichtlich nicht was format und Neuinstallation genau bedeutet

Zitat:
system) oder in tiefern rootsystemen wie bios oder msdos (wo ich ohne probleme zugriff habe) aber dafür brauch ich eure hilfe!!!
Es gibt kein DOS mehr! Seit WinXP! Und ohne triftigen Grund gehtman weder ins BIOS noch setzt man einfach so irgendwelche Befehle über die cmd.exe ab
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.11.2013, 09:59   #13
Jenner77
 
Vieren waren gestern, hier sind die ROOTKITS! - Standard

Vieren waren gestern, hier sind die ROOTKITS!



naja ich hoffe du hast recht auf jeden fall erstmal danke das du dir zeit genommen hast dafür

Alt 21.11.2013, 10:35   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vieren waren gestern, hier sind die ROOTKITS! - Standard

Vieren waren gestern, hier sind die ROOTKITS!



Zitat:
naja ich hoffe du hast recht auf jeden fall
Kannst mir ruhig glauben und meine Aussagen mit recherchierten Artikel etc über Google abgleichen, wenn du die Zeit und Lust dazu hast.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.11.2013, 12:21   #15
Jenner77
 
Vieren waren gestern, hier sind die ROOTKITS! - Standard

Vieren waren gestern, hier sind die ROOTKITS!



erstmal jetzt alle updates ziehen für mein vista und dann mein wot wieder zum laufen bringen und panzer fahrn dann werd ich mich weiter damit auseinandersetzen

Antwort

Themen zu Vieren waren gestern, hier sind die ROOTKITS!
adblock, administrator, adobe, avg, bios, browser, dll, explorer, farbar recovery scan tool, gesperrt, home, kis, log, mozilla, problem, realtek, registry, rootkit, rundll, scan, services.exe, software, svchost.exe, system, temp, versteckt sich, windows xp, winlogon.exe



Ähnliche Themen: Vieren waren gestern, hier sind die ROOTKITS!


  1. Gestern (11.5.) Trojaner über Facebook eingefangen, antimaleware hat 41 Objekte gefunden. Sind in Quarantäne. Wie geht es weiter? Log folgt
    Log-Analyse und Auswertung - 19.05.2014 (11)
  2. Hallo, bin hier neu Hallo! mein Problem: meine anklickbaren Wörter sind alle doppelt? was kann ich tun? Bin unter den gehackten PC's!
    Plagegeister aller Art und deren Bekämpfung - 13.04.2014 (1)
  3. Wie erfolgreich sind die hier angeratenen Maßnahmen (Erfahrungswerte)?
    Diskussionsforum - 30.06.2013 (3)
  4. Welche Viren waren oder sind immer noch die gefährlichsten?
    Diskussionsforum - 05.06.2012 (4)
  5. UN: Geklaute Zugangsdaten waren veraltet
    Nachrichten - 01.12.2011 (0)
  6. Internet Explorer extrem langsam/ hier sind meine Logs
    Log-Analyse und Auswertung - 15.09.2011 (25)
  7. TaskManager und regedit waren deaktiviert.
    Alles rund um Windows - 26.12.2010 (1)
  8. Problem mit Safari - da sind/waren bei mir wohl Hijacker an Bord
    Log-Analyse und Auswertung - 23.12.2009 (5)
  9. Was sind Rootkits?
    Anleitungen, FAQs & Links - 24.07.2008 (1)
  10. Favoriten sind seit gestern weg....
    Plagegeister aller Art und deren Bekämpfung - 05.05.2008 (15)
  11. Wo sind hier die Thread?
    Mülltonne - 06.01.2008 (0)
  12. Ihr sucht ein Auto,Bus,Lkw hier sind die Schnäpchen
    Mülltonne - 12.09.2007 (1)
  13. sind hier fehler?
    Log-Analyse und Auswertung - 27.03.2006 (8)
  14. Und da waren sie wieder meine 3 Probleme!!!
    Lob, Kritik und Wünsche - 22.01.2006 (3)
  15. Hier meine Logfile, ich hoffe alle Viren sind nun tot???
    Log-Analyse und Auswertung - 19.08.2005 (1)
  16. sind das vieren???
    Log-Analyse und Auswertung - 14.03.2005 (5)

Zum Thema Vieren waren gestern, hier sind die ROOTKITS! - so männer, ich kämpf seit gut zwei monaten vergeblich um die alleinige kontrolle über meinen pc und geb nun auf, nun richt ich mich an euch und hoffe ihr könnt - Vieren waren gestern, hier sind die ROOTKITS!...
Archiv
Du betrachtest: Vieren waren gestern, hier sind die ROOTKITS! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.