Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Backdoor oder Trojaner noch immer auf meinem System?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.09.2010, 12:12   #1
bmw-m3
 
Backdoor oder Trojaner noch immer auf meinem System? - Standard

Backdoor oder Trojaner noch immer auf meinem System?



Hallo erstmal!

Ich wende mich heute hier an euch, weil ich vor ca. 14 Tagen bemerkte, dass ich allmählich die Kontrolle über meinen Firmenlaptop verlor und ausspioniert wurde. Leider konnte ich den Übeltäter bisher nichtmal identifizieren und kann nur die mir aufgefallen Symptome umschreiben: Es wurden Logfiles mit dubiosen Endungen erstellt denen man beim Wachsen zusehen konnte. Diese enthielten meine Dateiverzeichnisse, Textfragmente von mir Geschriebenem, Installierte Software und deren Key´s, Kamerabilder und was weiß ich noch alles mehr. Einstellungen die ich vornahm, wurden wieder geändert (z.B. versteckte Dateien einblenden wurde durch einen "Hide" Shell-Eintrag ausgehebelt). Rechte in der Registry wurden mir entzogen. Neue Dienste wurden erstellt und an bestehenden die Rechte übernommen. Genauso die Prozesse. Nicht-PnP Treiber wurden erstellt. Und das Übel scheint seine Handlungen immer vor deren Ausführung "unsichtbar" zu machen. Überall in der Registry, den Diensten und Prozessen tauchen dann immer mehr dubiose Root-Befehle und merkwürdige Strings die mit einer Verschlüsselung aufhören. Datei-Endungen wurden in Ihrer Funktion geändert, Virenkiller haben mitten im Scannen einfach aufgehört und sich ohne Meldungen einfach beendet. Bei G-Data kam sogar mitten in der Installation die Meldung der Dienst "Windows Installer" stünde nicht zur Verfügung.

Ich habe mein System mittlerweile bestimmt 10 mal neu aufgesetzt, zuletzt mit der Befehlsfolge: fixmbr, fixboot, format c: und hatte bis gestern Abend auch ein recht gutes Gefühl den Hund endlich losgeworden zu sein, aber nun habe ich doch wieder Bedenken. Der "Bootkit Remover" meldete mir den Fund eines "Unknown Boot code"...

Habe Anleitung A abgearbeitet, wobei es zu erwähnen gibt, dass mir beim Ausführen der gmer.exe ein svchost-Dienst eine 100%-CPU-Last beschert hat und ich daraufhin nicht mehr normal herunterfahren konnte. Hier die benötigten Logfiles:

PHP-Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4539

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03.09.2010 22:55:10
mbam-log-2010-09-03 (22-55-10).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 134300
Laufzeit: 3 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden) 
PHP-Code:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 23:01 on 03/09/2010 (XPS-1730)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=
E.O.F=- 

PHP-Code:
.text           ntkrnlpa.exe!ZwCallbackReturn 2CE0                                                        8050457C 4 Bytes  JMP C9A4F308 
?               SYMDS.SYS                                                                                   Das System kann die angegebene Datei nicht finden. !
?               
SYMEFA.SYS                                                                                  Das System kann die angegebene Datei nicht finden. !
.
text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                    section is writeable [0xB54473A00x59FFE50xE8000020]
init            C:\WINDOWS\system32\Drivers\OEM02Afx.sys                                                    entry point in "init" section [0xAE9B6310]

---- 
User code sections GMER 1.0.15 ----

.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3080USER32.dll!DialogBoxParamW                7E3747AB 5 Bytes  JMP 41195501 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3080USER32.dll!CreateWindowExW                7E37D0A3 5 Bytes  JMP 4126DB24 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3080USER32.dll!DialogBoxIndirectParamW        7E382072 5 Bytes  JMP 41364B6F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3080USER32.dll!MessageBoxIndirectA            7E38A082 5 Bytes  JMP 41364AA1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3080USER32.dll!DialogBoxParamA                7E38B144 5 Bytes  JMP 41364B0C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3080USER32.dll!MessageBoxExW                  7E3A0838 5 Bytes  JMP 41364972 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3080USER32.dll!MessageBoxExA                  7E3A085C 5 Bytes  JMP 413649D4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3080USER32.dll!DialogBoxIndirectParamA        7E3A6D7D 5 Bytes  JMP 41364BD2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3080USER32.dll!MessageBoxIndirectW            7E3B64D5 5 Bytes  JMP 41364A36 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172ntdll.dll!RtlValidateUnicodeString 554  7C9263BE 10 Bytes  JMP 0249003A 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172USER32.dll!DialogBoxParamW                7E3747AB 5 Bytes  JMP 41195501 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172USER32.dll!SetWindowsHookExW              7E37820F 5 Bytes  JMP 41269AD5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172USER32.dll!CallNextHookEx                 7E37B3C6 5 Bytes  JMP 4125D135 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172USER32.dll!CreateWindowExW                7E37D0A3 5 Bytes  JMP 4126DB24 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172USER32.dll!UnhookWindowsHookEx            7E37D5F3 5 Bytes  JMP 411D4666 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172USER32.dll!DialogBoxIndirectParamW        7E382072 5 Bytes  JMP 41364B6F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172USER32.dll!MessageBoxIndirectA            7E38A082 5 Bytes  JMP 41364AA1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172USER32.dll!DialogBoxParamA                7E38B144 5 Bytes  JMP 41364B0C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172USER32.dll!MessageBoxExW                  7E3A0838 5 Bytes  JMP 41364972 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172USER32.dll!MessageBoxExA                  7E3A085C 5 Bytes  JMP 413649D4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172USER32.dll!DialogBoxIndirectParamA        7E3A6D7D 5 Bytes  JMP 41364BD2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172USER32.dll!MessageBoxIndirectW            7E3B64D5 5 Bytes  JMP 41364A36 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172ole32.dll!OleInitialize E37             774D0521 7 Bytes  JMP 024900F3 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172ole32.dll!CoCreateInstance                774D057E 5 Bytes  JMP 4126DB80 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.
text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172ole32.dll!CoImpersonateClient 51        774E56C0 7 Bytes  JMP 024901A9 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172ole32.dll!OleLoadFromStream               774F9C85 5 Bytes  JMP 41364EF0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- 
Devices GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                    SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                     SynTP.sys (Synaptics Touchpad Driver/SynapticsInc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                   SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                   SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                 SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

---- 
EOF GMER 1.0.15 ---- 

Die OTL-File mußte ich wohl wegen Ihrer Größe anhängen.


Kann mir denn bitte bitte jemand helfen und mir sagen, ob mein XPS nun sauber ist oder nicht? Da ich nichtmal weiß was ich mir da eingefangen hatte und wie ich mich davor schützen kann, trau ich mich zur Zeit nicht an meine gesicherten Dateien (die sind ja viel. oder sogar bestimmt auch "verseuch") Ich verdiene mit diesem Laptop meinen Lebensunterhalt und bin mit meinem Latein sowie meinen Nerven echt am Ende. Darum wäre euch euch für eine schnelle Hilfe wirklich sehr dankbar.
Angehängte Dateien
Dateityp: txt OTL ansi.Txt (90,4 KB, 229x aufgerufen)

Alt 05.09.2010, 16:44   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor oder Trojaner noch immer auf meinem System? - Standard

Backdoor oder Trojaner noch immer auf meinem System?



Zitat:
Ich habe mein System mittlerweile bestimmt 10 mal neu aufgesetzt, zuletzt mit der Befehlsfolge: fixmbr, fixboot, format c: und hatte bis gestern Abend auch ein recht gutes Gefühl den Hund endlich losgeworden zu sein, aber nun habe ich doch wieder Bedenken. Der "Bootkit Remover" meldete mir den Fund eines "Unknown Boot code"...
Eine Formatierung überlebt kein Schädling. Hast Du danach Setups wieder ausgeführt, die auch vom infizierten System verarbeitet wurden?

Wurde vor dem ersten Gang ins Internet zumindest das SP3 offline eingespielt? Erst dann kannst Du rel. gefahrlos ins Internet und weitere Updates installieren lassen.
__________________

__________________

Alt 05.09.2010, 18:17   #3
bmw-m3
 
Backdoor oder Trojaner noch immer auf meinem System? - Standard

Backdoor oder Trojaner noch immer auf meinem System?



Erster Gang ins Internet zwar nur mit SP2, aber dafür erst NIS 2011 und dann direkt über den Sicherheitscenter die Updates abgerufen (natürlich inkl. SP3).

Bisher hab ich bis auf 5 Excel-Dateien, die ich wirklich dringend zum Arbeiten benötigte, überhaupt keine Datei aufgespielt und auch kein Setup von irgendetwas das infiziert sein könnte. Alles Original-CD´s bzw. beim jeweiligen Hersteller direkt von dessen Homepage gedownloadet, außer etlichen Prüfprogrammen von eurer Seite. Die Excel-Dateien musste ich mir allerdings über einen USB-Stick von einer vielleicht infizierten Platte holen. Diese liefen allerdings zuerst durch Lavasoft Ad-Aware und AVG IS auf einem anderen Laptop (den habe ich heute nach mit DBAN platt gemacht und neu aufgesetzt), dann durch Malwarebytes und den NIS auf meinem Firmenlaptop. Keinerlei Meldung.

Auf der evtl. infizierten Platte liegen allerdings noch ca. 350 GB Daten (leider auch Setup´s) welche ich unbedingt brauche. Was kann ich mehr tun um mich weitestgehend zu schützen? Ich arbeite eigentlich sehr akribisch und kann mir absolut nicht vorstellen, wie ich mir das Teil wieder und wieder einfangen konnte. Ich hatte mein XP neu aufgesetzt und weder eine Internet-Verbindung noch eine Datei per USB-Stick aufgespielt und trotzdem wurden neue Nicht-PnP-Treiber installiert und immer mehr unbekannte Prozesse eingerichtet, ohne dass ich neue Programme oder Hardware installiert habe. Ich kann nur vermuten dass es an meiner Formatierungsweise lag und der Backdoor (vermute ich zumindest) sich in der MBR verborg. Leider konnte ich das Übel bisher ja leider nicht mal identifizieren und bin deshalb immer noch besorgt...

Ich hab hier noch eine hjt-logfile von meinem mittlerweile auch neu aufgesetztem zweitem Notebook (vielleicht hilft die ja):

PHP-Code:
 [CODE
                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 
                        
º                                    º 
                                    hjtscanlist v2.0              
                        º                                    º 
                        
$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 

Microsoft Windows [Version 6.1.7600]
 
 
C:

  
29.08.2010 14:27     C:\Windows --------- 24576   
  29.08.2010 14
:27     C:\ProgramData --------- 4096   
       C
:\pagefile.sys ---------    
       
C:\hiberfil.sys ---------    
  
29.08.2010 13:55     C:\aaw7boot.log --------- 4479   
  29.08.2010 12
:35     C:\System Volume Information --------- 8192   
  29.08.2010 11
:21     C:\IO.SYS --------- 0   
  29.08.2010 11
:21     C:\MSDOS.SYS --------- 0   
  29.08.2010 00
:23     C:\Program Files --------- 8192   
  24.08.2010 04
:58     C:\BOOTSECT.BAK --------- 8192   
  24.08.2010 04
:58     C:\Boot --------- 4096   
  23.08.2010 19
:28     C:\$Recycle.Bin --------- 0   
  23.08.2010 19
:28     C:\Users --------- 4096   
  23.08.2010 19
:28     C:\Recovery --------- 0   
  23.08.2010 19
:28     C:\Programme --------- 0   
  23.08.2010 19
:28     C:\Dokumente und Einstellungen --------- 0   
  14.07.2009 06
:53     C:\Documents and Settings --------- 0   
  14.07.2009 04
:37     C:\PerfLogs --------- 0   
  14.07.2009 03
:38     C:\bootmgr --------- 383562   
----------------------------------------

 
C:\Windows

  29.08.2010 14
:27     C:\Windows\ntbtlog.txt --------- 375574   
  29.08.2010 13
:55     C:\Windows\bootstat.dat --------- 67584   
  29.08.2010 12
:56     C:\Windows\WindowsUpdate.log --------- 734729   
  29.08.2010 12
:20     C:\Windows\setupact.log --------- 224   
  28.08.2010 00
:05     C:\Windows\setuperr.log --------- 0   
  31.10.2009 07
:45     C:\Windows\explorer.exe --------- 2614272   
  14.07.2009 06
:54     C:\Windows\win.ini --------- 403   
  14.07.2009 06
:41     C:\Windows\WindowsShell.Manifest --------- 749   
  14.07.2009 03
:16     C:\Windows\twain_32.dll --------- 51200   
  14.07.2009 03
:14     C:\Windows\write.exe --------- 9216   
  14.07.2009 03
:14     C:\Windows\winhlp32.exe --------- 9728   
  14.07.2009 03
:14     C:\Windows\twunk_32.exe --------- 31232   
  14.07.2009 03
:14     C:\Windows\regedit.exe --------- 398336   
  14.07.2009 03
:14     C:\Windows\notepad.exe --------- 179712   
  14.07.2009 03
:14     C:\Windows\hh.exe --------- 15360   
  14.07.2009 03
:14     C:\Windows\HelpPane.exe --------- 497152   
  14.07.2009 03
:14     C:\Windows\fveupdate.exe --------- 13824   
  14.07.2009 03
:14     C:\Windows\bfsvc.exe --------- 65024   
  14.07.2009 00
:58     C:\Windows\mib.bin --------- 43131   
  10.06.2009 23
:46     C:\Windows\system.ini --------- 219   
  10.06.2009 23
:42     C:\Windows\_default.pif --------- 707   
  10.06.2009 23
:42     C:\Windows\winhelp.exe --------- 256192   
  10.06.2009 23
:41     C:\Windows\twunk_16.exe --------- 49680   
  10.06.2009 23
:41     C:\Windows\twain.dll --------- 94784   
  10.06.2009 23
:34     C:\Windows\WMSysPr9.prx --------- 316640   
  10.06.2009 23
:19     C:\Windows\msdfmap.ini --------- 1405   
  10.06.2009 23
:14     C:\Windows\Starter.xml --------- 48201   
  10.06.2009 23
:14     C:\Windows\HomePremium.xml --------- 48265   
----------------------------------------

 
C:\Windows\System

 13.07.2009 23
:41      C:\Windows\System\OLESVR.DLL --------- 24064 
 13.07.2009 23
:41      C:\Windows\System\WFWNET.DRV --------- 12704 
 13.07.2009 23
:41      C:\Windows\System\COMMDLG.DLL --------- 32816 
 13.07.2009 23
:41      C:\Windows\System\TIMER.DRV --------- 4048 
 13.07.2009 23
:41      C:\Windows\System\MMSYSTEM.DLL --------- 68992 
 13.07.2009 23
:41      C:\Windows\System\mmtask.tsk --------- 1152 
 13.07.2009 23
:41      C:\Windows\System\mouse.drv --------- 2032 
 13.07.2009 23
:41      C:\Windows\System\vga.drv --------- 2176 
 13.07.2009 23
:41      C:\Windows\System\sound.drv --------- 1744 
 13.07.2009 23
:41      C:\Windows\System\keyboard.drv --------- 2000 
 13.07.2009 23
:41      C:\Windows\System\SHELL.DLL --------- 5120 
 13.07.2009 23
:41      C:\Windows\System\system.drv --------- 3360 
 10.06.2009 23
:42      C:\Windows\System\ver.dll --------- 9008 
 10.06.2009 23
:42      C:\Windows\System\olecli.dll --------- 82944 
 10.06.2009 23
:42      C:\Windows\System\lzexpand.dll --------- 9936 
 10.06.2009 23
:25      C:\Windows\System\stdole.tlb --------- 5532 
 10.06.2009 23
:21      C:\Windows\System\msvideo.dll --------- 126912 
 10.06.2009 23
:21      C:\Windows\System\mciwave.drv --------- 28160 
 10.06.2009 23
:21      C:\Windows\System\mciseq.drv --------- 25264 
 10.06.2009 23
:21      C:\Windows\System\mciavi.drv --------- 73376 
 10.06.2009 23
:21      C:\Windows\System\avifile.dll --------- 109456 
 10.06.2009 23
:21      C:\Windows\System\avicap.dll --------- 69584 
----------------------------------------

 
C:\Windows\System32

 29.08.2010 14
:27     C:\Windows\system32\drivers --------- 65536  
 29.08.2010 14
:27     C:\Windows\system32\catroot2 --------- 16384  
 29.08.2010 14
:25     C:\Windows\system32\catroot --------- 0  
 29.08.2010 14
:25     C:\Windows\system32\DriverStore --------- 4096  
 29.08.2010 13
:59     C:\Windows\system32\perfh009.dat --------- 615810  
 29.08.2010 13
:59     C:\Windows\system32\perfc009.dat --------- 106190  
 29.08.2010 13
:59     C:\Windows\system32\perfh007.dat --------- 653928  
 29.08.2010 13
:59     C:\Windows\system32\perfc007.dat --------- 129800  
 29.08.2010 13
:59     C:\Windows\system32\PerfStringBackup.INI --------- 1498506  
 29.08.2010 12
:54     C:\Windows\system32\rpcnetp.exe --------- 17408  
 29.08.2010 12
:36     C:\Windows\system32\config --------- 49152  
 29.08.2010 12
:27     C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 --------- 14800  
 29.08.2010 12
:27     C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 --------- 14800  
 29.08.2010 12
:23     C:\Windows\system32\agremove.exe --------- 44544  
 29.08.2010 11
:34     C:\Windows\system32\Tasks --------- 4096  
 29.08.2010 10
:21     C:\Windows\system32\javaws.exe --------- 153376  
 29.08.2010 10
:21     C:\Windows\system32\javaw.exe --------- 145184  
 29.08.2010 10
:21     C:\Windows\system32\java.exe --------- 145184  
 29.08.2010 10
:21     C:\Windows\system32\deployJava1.dll --------- 423656  
 29.08.2010 09
:23     C:\Windows\system32\NDF --------- 4096  
 29.08.2010 00
:23     C:\Windows\system32\wbem --------- 65536  
 29.08.2010 00
:19     C:\Windows\system32\LogFiles --------- 4096  
 28.08.2010 00
:56     C:\Windows\system32\migwiz --------- 8192  
 28.08.2010 00
:56     C:\Windows\system32\oobe --------- 8192  
 28.08.2010 00
:56     C:\Windows\system32\winrm --------- 4096  
 28.08.2010 00
:56     C:\Windows\system32\sysprep --------- 4096  
 28.08.2010 00
:56     C:\Windows\system32\Boot --------- 4096  
 28.08.2010 00
:56     C:\Windows\system32\slmgr --------- 4096  
 28.08.2010 00
:56     C:\Windows\system32\migration --------- 8192  
 28.08.2010 00
:56     C:\Windows\system32\Setup --------- 4096  
 28.08.2010 00
:56     C:\Windows\system32\XPSViewer --------- 4096  
 28.08.2010 00
:56     C:\Windows\system32\en-US --------- 147456  
 28.08.2010 00
:56     C:\Windows\system32\WCN --------- 4096  
 28.08.2010 00
:56     C:\Windows\system32\Dism --------- 8192  
 28.08.2010 00
:56     C:\Windows\system32\MUI --------- 4096  
 28.08.2010 00
:56     C:\Windows\system32\Printing_Admin_Scripts --------- 4096  
 28.08.2010 00
:56     C:\Windows\system32\hu-HU --------- 217088  
 28.08.2010 00
:56     C:\Windows\system32\com --------- 4096  
 28.08.2010 00
:54     C:\Windows\system32\tr-TR --------- 217088  
 28.08.2010 00
:52     C:\Windows\system32\cs-CZ --------- 299008  
 28.08.2010 00
:49     C:\Windows\system32\th-TH --------- 65536  
 28.08.2010 00
:48     C:\Windows\system32\es-ES --------- 221184  
 28.08.2010 00
:46     C:\Windows\system32\sl-SI --------- 65536  
 28.08.2010 00
:44     C:\Windows\system32\sk-SK --------- 61440  
 28.08.2010 00
:42     C:\Windows\system32\sv-SE --------- 217088  
 28.08.2010 00
:40     C:\Windows\system32\ru-RU --------- 299008  
 28.08.2010 00
:37     C:\Windows\system32\ro-RO --------- 65536  
 28.08.2010 00
:35     C:\Windows\system32\pt-PT --------- 286720  
 26.08.2010 16
:36     C:\Windows\system32\pt-BR --------- 299008  
 26.08.2010 16
:35     C:\Windows\system32\pl-PL --------- 217088  
 26.08.2010 16
:35     C:\Windows\system32\nb-NO --------- 327680  
 26.08.2010 16
:34     C:\Windows\system32\nl-NL --------- 221184  
 26.08.2010 16
:34     C:\Windows\system32\ko-KR --------- 299008  
 26.08.2010 16
:33     C:\Windows\system32\ja-JP --------- 221184  
 26.08.2010 16
:33     C:\Windows\system32\it-IT --------- 221184  
 26.08.2010 16
:32     C:\Windows\system32\he-IL --------- 143360  
 26.08.2010 16
:32     C:\Windows\system32\el-GR --------- 286720  
 26.08.2010 16
:31     C:\Windows\system32\fr-FR --------- 221184  
 26.08.2010 16
:31     C:\Windows\system32\fi-FI --------- 217088  
 26.08.2010 16
:30     C:\Windows\system32\da-DK --------- 217088  
 26.08.2010 16
:29     C:\Windows\system32\zh-TW --------- 299008  
 25.08.2010 18
:48     C:\Windows\system32\DRVSTORE --------- 0  
 25.08.2010 18
:44     C:\Windows\system32\de-DE --------- 327680  
 25.08.2010 17
:01     C:\Windows\system32\wdi --------- 4096  
 25.08.2010 15
:08     C:\Windows\system32\FNTCACHE.DAT --------- 265640  
 25.08.2010 14
:56     C:\Windows\system32\WinBioPlugIns --------- 4096  
 25.08.2010 12
:24     C:\Windows\system32\zh-HK --------- 12288  
 25.08.2010 12
:23     C:\Windows\system32\zh-CN --------- 299008  
 25.08.2010 12
:21     C:\Windows\system32\ar-SA --------- 147456  
 25.08.2010 12
:17     C:\Windows\system32\restore --------- 0  
 23.08.2010 19
:28     C:\Windows\system32\Recovery --------- 0  
 23.08.2010 19
:20     C:\Windows\system32\license.rtf --------- 52953  
 12.08.2010 14
:15     C:\Windows\system32\lsdelete.exe --------- 15880  
 03.08.2010 11
:09     C:\Windows\system32\MRT.exe --------- 35962312  
 29.07.2010 08
:30     C:\Windows\system32\ir32_32.dll --------- 197632  
 29.07.2010 08
:30     C:\Windows\system32\iccvid.dll --------- 82944  
 27.07.2010 16
:03     C:\Windows\system32\shell32.dll --------- 12867584  
 30.06.2010 08
:25     C:\Windows\system32\wininet.dll --------- 978432  
 30.06.2010 08
:25     C:\Windows\system32\urlmon.dll --------- 1226240  
 30.06.2010 08
:22     C:\Windows\system32\mstime.dll --------- 606208  
 30.06.2010 08
:22     C:\Windows\system32\mshtml.dll --------- 5971456  
 30.06.2010 08
:22     C:\Windows\system32\msfeedsbs.dll --------- 64512  
 30.06.2010 08
:21     C:\Windows\system32\jsproxy.dll --------- 48128  
 30.06.2010 08
:21     C:\Windows\system32\ieui.dll --------- 176640  
 30.06.2010 08
:21     C:\Windows\system32\iepeers.dll --------- 185856  
 30.06.2010 08
:21     C:\Windows\system32\ieframe.dll --------- 10985472  
 30.06.2010 08
:21     C:\Windows\system32\iedkcs32.dll --------- 381440  
 30.06.2010 08
:19     C:\Windows\system32\msfeedssync.exe --------- 12800  
 30.06.2010 06
:21     C:\Windows\system32\mshtml.tlb --------- 1638912  
 19.06.2010 08
:33     C:\Windows\system32\ntoskrnl.exe --------- 3899784  
 19.06.2010 08
:33     C:\Windows\system32\ntkrnlpa.exe --------- 3955080  
 19.06.2010 08
:23     C:\Windows\system32\rtutils.dll --------- 37376  
 19.06.2010 06
:07     C:\Windows\system32\win32k.sys --------- 2326016  
 16.06.2010 07
:48     C:\Windows\system32\schannel.dll --------- 224256  
 08.06.2010 08
:02     C:\Windows\system32\msxml3.dll --------- 1233920  
 27.05.2010 09
:24     C:\Windows\system32\atmlib.dll --------- 34304  
 27.05.2010 05
:49     C:\Windows\system32\atmfd.dll --------- 293888  
 09.05.2010 11
:14     C:\Windows\system32\CPFilters.dll --------- 641536  
 09.05.2010 11
:14     C:\Windows\system32\msdri.dll --------- 417792  
 09.05.2010 11
:13     C:\Windows\system32\MSNP.ax --------- 204288  
----------------------------------------

 
C:\Windows\Prefetch

 29.08.2010 12
:54     C:\Windows\Prefetch\ReadyBoot --------- 0  
 29.08.2010 12
:36     C:\Windows\Prefetch\AgGlFgAppHistory.db --------- 812319  
 29.08.2010 12
:36     C:\Windows\Prefetch\AgGlFaultHistory.db --------- 724903  
 29.08.2010 12
:36     C:\Windows\Prefetch\AgGlGlobalHistory.db --------- 2670165  
 29.08.2010 12
:36     C:\Windows\Prefetch\AgRobust.db --------- 542988  
 29.08.2010 12
:36     C:\Windows\Prefetch\PfSvPerfStats.bin --------- 508  
 29.08.2010 12
:35     C:\Windows\Prefetch\SEARCHFILTERHOST.EXE-AA7A1FDD.pf --------- 15600  
 29.08.2010 12
:35     C:\Windows\Prefetch\SEARCHPROTOCOLHOST.EXE-AFAD3EF9.pf --------- 12740  
 29.08.2010 12
:35     C:\Windows\Prefetch\WERMGR.EXE-2A1BCBC7.pf --------- 11168  
 29.08.2010 12
:35     C:\Windows\Prefetch\DRVINST.EXE-5F8E77CD.pf --------- 69172  
 29.08.2010 12
:34     C:\Windows\Prefetch\VDS.EXE-AD27F0DC.pf --------- 34726  
 29.08.2010 12
:34     C:\Windows\Prefetch\SVCHOST.EXE-8FD92526.pf --------- 17268  
 29.08.2010 12
:34     C:\Windows\Prefetch\VSSVC.EXE-04D079CC.pf --------- 28360  
 29.08.2010 12
:34     C:\Windows\Prefetch\WBENGINE.EXE-FA409116.pf --------- 26140  
 29.08.2010 12
:34     C:\Windows\Prefetch\RSTRUI.EXE-4841C8C8.pf --------- 38340  
 29.08.2010 12
:34     C:\Windows\Prefetch\VDSLDR.EXE-85F9A1C6.pf --------- 16822  
 29.08.2010 12
:34     C:\Windows\Prefetch\DLLHOST.EXE-893DDF55.pf --------- 16684  
 29.08.2010 12
:34     C:\Windows\Prefetch\CONSENT.EXE-65F6206D.pf --------- 124336  
 29.08.2010 12
:33     C:\Windows\Prefetch\AVGUI.EXE-DE2CE7F2.pf --------- 111544  
 29.08.2010 12
:30     C:\Windows\Prefetch\EXPLORER.EXE-7A3328DA.pf --------- 95168  
 29.08.2010 12
:30     C:\Windows\Prefetch\TASKMGR.EXE-72398DC0.pf --------- 37276  
 29.08.2010 12
:30     C:\Windows\Prefetch\WMIADAP.EXE-369DF1CD.pf --------- 18508  
 29.08.2010 12
:29     C:\Windows\Prefetch\LOGONUI.EXE-1BEE4A84.pf --------- 49868  
 29.08.2010 12
:29     C:\Windows\Prefetch\RUNDLL32.EXE-AFD98684.pf --------- 13724  
 29.08.2010 12
:29     C:\Windows\Prefetch\SVCHOST.EXE-B1D6DE75.pf --------- 16574  
 29.08.2010 12
:29     C:\Windows\Prefetch\AUDIODG.EXE-D0D776AC.pf --------- 25890  
 29.08.2010 12
:29     C:\Windows\Prefetch\WMPNSCFG.EXE-DF1DD51A.pf --------- 33482  
 29.08.2010 12
:27     C:\Windows\Prefetch\JAVA.EXE-066C5985.pf --------- 12976  
 29.08.2010 12
:23     C:\Windows\Prefetch\AgCx_SC4.db --------- 109137  
 29.08.2010 12
:23     C:\Windows\Prefetch\AAWTRAY.EXE-3D459FD4.pf --------- 24208  
 29.08.2010 12
:23     C:\Windows\Prefetch\AGREMOVE.EXE-B39BFF01.pf --------- 13546  
 29.08.2010 12
:23     C:\Windows\Prefetch\SVCHOST.EXE-DB4C36D7.pf --------- 29260  
 29.08.2010 12
:22     C:\Windows\Prefetch\INSTM32.EXE-E9D3DEC3.pf --------- 8076  
 29.08.2010 12
:22     C:\Windows\Prefetch\AVGIDSMONITOR.EXE-40CD811D.pf --------- 17140  
 29.08.2010 12
:22     C:\Windows\Prefetch\JUSCHED.EXE-07F32FAE.pf --------- 13278  
 29.08.2010 12
:22     C:\Windows\Prefetch\SEARCHINDEXER.EXE-77D27BAC.pf --------- 34480  
 29.08.2010 12
:22     C:\Windows\Prefetch\SVCHOST.EXE-135A30D8.pf --------- 223072  
 29.08.2010 12
:22     C:\Windows\Prefetch\WMPNETWK.EXE-BD0344CA.pf --------- 79098  
 29.08.2010 12
:22     C:\Windows\Prefetch\SPPSVC.EXE-CBE91656.pf --------- 31004  
 29.08.2010 12
:22     C:\Windows\Prefetch\TASKHOST.EXE-437C05A8.pf --------- 48390  
 29.08.2010 12
:22     C:\Windows\Prefetch\MSCORSVW.EXE-FAA88858.pf --------- 10354  
 29.08.2010 12
:22     C:\Windows\Prefetch\WMIPRVSE.EXE-43972D0F.pf --------- 39822  
 29.08.2010 12
:21     C:\Windows\Prefetch\IEXPLORE.EXE-1B894AFB.pf --------- 183722  
 29.08.2010 12
:21     C:\Windows\Prefetch\SVCHOST.EXE-86A716FC.pf --------- 18774  
 29.08.2010 12
:21     C:\Windows\Prefetch\AAWWSC.EXE-08B112D5.pf --------- 25692  
 29.08.2010 12
:11     C:\Windows\Prefetch\AVGCMGR.EXE-ACAA8D81.pf --------- 20064  
 29.08.2010 12
:11     C:\Windows\Prefetch\CONHOST.EXE-3218E401.pf --------- 14426  
 29.08.2010 12
:10     C:\Windows\Prefetch\NET1.EXE-B8A8247B.pf --------- 10854  
 29.08.2010 12
:10     C:\Windows\Prefetch\NET.EXE-1DF3A2F6.pf --------- 8708  
 29.08.2010 12
:09     C:\Windows\Prefetch\AD-AWAREADMIN.EXE-0A79D12E.pf --------- 78456  
 29.08.2010 12
:09     C:\Windows\Prefetch\THREATWORK.EXE-EC305F76.pf --------- 24072  
 29.08.2010 12
:07     C:\Windows\Prefetch\SC.EXE-BC6DAF49.pf --------- 5310  
 29.08.2010 12
:05     C:\Windows\Prefetch\RUNDLL32.EXE-C050E39E.pf --------- 86070  
 29.08.2010 12
:05     C:\Windows\Prefetch\HELP.EXE-DC994220.pf --------- 4616  
 29.08.2010 12
:04     C:\Windows\Prefetch\AgGlUAD_P_S-1-5-21-1875988965-3958140160-1139022571-1000.db --------- 975457  
 29.08.2010 12
:04     C:\Windows\Prefetch\AgGlUAD_S-1-5-21-1875988965-3958140160-1139022571-1000.db --------- 587395  
 29.08.2010 12
:02     C:\Windows\Prefetch\AVGSRMAX.EXE-CC1450B3.pf --------- 25078  
 29.08.2010 12
:02     C:\Windows\Prefetch\FIXCFG.EXE-1CB406C1.pf --------- 31164  
 29.08.2010 12
:02     C:\Windows\Prefetch\RUNDLL32.EXE-4D4D5EAA.pf --------- 30208  
 29.08.2010 12
:02     C:\Windows\Prefetch\CONTROL.EXE-9459D5A0.pf --------- 25324  
 29.08.2010 12
:01     C:\Windows\Prefetch\AVGUPD.EXE-E067FCA1.pf --------- 51976  
 29.08.2010 11
:34     C:\Windows\Prefetch\AD-AWARE.EXE-45491D81.pf --------- 64624  
 29.08.2010 11
:34     C:\Windows\Prefetch\AUTOLAUNCH.EXE-0690D12B.pf --------- 22094  
 29.08.2010 11
:33     C:\Windows\Prefetch\REGEDIT.EXE-4748FE01.pf --------- 20916  
 29.08.2010 11
:33     C:\Windows\Prefetch\REGEDT32.EXE-784B44B3.pf --------- 24568  
 29.08.2010 11
:32     C:\Windows\Prefetch\TRUSTEDINSTALLER.EXE-031B6478.pf --------- 17344  
 29.08.2010 11
:32     C:\Windows\Prefetch\MMC.EXE-9A24D321.pf --------- 121000  
 29.08.2010 11
:29     C:\Windows\Prefetch\CMD.EXE-89305D47.pf --------- 11426  
 29.08.2010 11
:29     C:\Windows\Prefetch\IPCONFIG.EXE-62724FE6.pf --------- 17926  
 29.08.2010 11
:28     C:\Windows\Prefetch\MSRA.EXE-5A73ECCA.pf --------- 31906  
 29.08.2010 11
:27     C:\Windows\Prefetch\USERACCOUNTCONTROLSETTINGS.EX-FE400219.pf --------- 16634  
 29.08.2010 11
:27     C:\Windows\Prefetch\DLLHOST.EXE-8FBC6B66.pf --------- 15696  
 29.08.2010 11
:27     C:\Windows\Prefetch\DLLHOST.EXE-22309572.pf --------- 24612  
 29.08.2010 11
:25     C:\Windows\Prefetch\MMC.EXE-DE8E7730.pf --------- 79224  
 29.08.2010 11
:25     C:\Windows\Prefetch\PERFMON.EXE-F629ACAE.pf --------- 16112  
 29.08.2010 11
:24     C:\Windows\Prefetch\DLLHOST.EXE-E50931CB.pf --------- 47410  
 29.08.2010 11
:21     C:\Windows\Prefetch\NTVDM.EXE-42770598.pf --------- 17364  
 29.08.2010 11
:21     C:\Windows\Prefetch\BOOTCFG.EXE-A4A58317.pf --------- 11040  
 29.08.2010 11
:12     C:\Windows\Prefetch\HELPPANE.EXE-D1016F9E.pf --------- 64442  
 29.08.2010 11
:12     C:\Windows\Prefetch\MSCONFIG.EXE-0B9585D9.pf --------- 36532  
 29.08.2010 11
:10     C:\Windows\Prefetch\FSUTIL.EXE-4137D2F6.pf --------- 9486  
 29.08.2010 11
:08     C:\Windows\Prefetch\SYSTEMINFO.EXE-F360EB78.pf --------- 17090  
 29.08.2010 10
:51     C:\Windows\Prefetch\RUNDLL32.EXE-E447C111.pf --------- 29560  
 29.08.2010 10
:48     C:\Windows\Prefetch\JAVAW.EXE-C4EA16F0.pf --------- 144580  
 29.08.2010 10
:48     C:\Windows\Prefetch\JAVAWS.EXE-25FD1E0F.pf --------- 17310  
 29.08.2010 10
:45     C:\Windows\Prefetch\JAVACPL.EXE-79179558.pf --------- 12236  
 29.08.2010 10
:41     C:\Windows\Prefetch\RUNDLL32.EXE-FA7BA004.pf --------- 15606  
 29.08.2010 10
:40     C:\Windows\Prefetch\JAUREG.EXE-DF073ACE.pf --------- 12564  
 29.08.2010 10
:40     C:\Windows\Prefetch\MSIEXEC.EXE-B5AFA339.pf --------- 63958  
 29.08.2010 10
:25     C:\Windows\Prefetch\SVCHOST.EXE-93CEEE07.pf --------- 7044  
 29.08.2010 10
:22     C:\Windows\Prefetch\WMIC.EXE-B77E8CD6.pf --------- 32534  
 29.08.2010 10
:21     C:\Windows\Prefetch\UNPACK200.EXE-3B408797.pf --------- 59856  
 29.08.2010 10
:21     C:\Windows\Prefetch\ZIPPER.EXE-7348E61C.pf --------- 6084  
 29.08.2010 10
:20     C:\Windows\Prefetch\JRE-6U21-WINDOWS-I586.EXE-263E7DBE.pf --------- 66170  
 29.08.2010 10
:20     C:\Windows\Prefetch\MSI6BC3.TMP-ACDDA0D0.pf --------- 10348  
 29.08.2010 10
:18     C:\Windows\Prefetch\DLLHOST.EXE-53B78AD0.pf --------- 17314  
 29.08.2010 09
:52     C:\Windows\Prefetch\RUNDLL32.EXE-1C86625A.pf --------- 94808  
 29.08.2010 09
:51     C:\Windows\Prefetch\RUNDLL32.EXE-C7F65988.pf --------- 46944  
 29.08.2010 09
:30     C:\Windows\Prefetch\UNSECAPP.EXE-CD982D99.pf --------- 19260  
 29.08.2010 09
:30     C:\Windows\Prefetch\AAWSERVICE.EXE-37729B41.pf --------- 58752  
 29.08.2010 09
:22     C:\Windows\Prefetch\MAKECAB.EXE-21F14B27.pf --------- 10854  
 29.08.2010 09
:22     C:\Windows\Prefetch\ROUTE.EXE-AA5DBD7E.pf --------- 10484  
 29.08.2010 09
:22     C:\Windows\Prefetch\SDIAGNHOST.EXE-67CD1457.pf --------- 121166  
 29.08.2010 09
:22     C:\Windows\Prefetch\MSDT.EXE-3D8E9353.pf --------- 52544  
 29.08.2010 09
:22     C:\Windows\Prefetch\CSC.EXE-4EF173D0.pf --------- 36218  
 29.08.2010 09
:22     C:\Windows\Prefetch\CVTRES.EXE-419E4E46.pf --------- 10562  
 29.08.2010 09
:20     C:\Windows\Prefetch\RUNDLL32.EXE-1013F9DC.pf --------- 32034  
 29.08.2010 09
:19     C:\Windows\Prefetch\DLLHOST.EXE-71214090.pf --------- 35494  
 29.08.2010 08
:53     C:\Windows\Prefetch\AVGCSRVX.EXE-0385AADA.pf --------- 18956  
 29.08.2010 08
:53     C:\Windows\Prefetch\LPKSETUP.EXE-62381863.pf --------- 11822  
 28.08.2010 22
:34     C:\Windows\Prefetch\AgCx_SC1.db --------- 446430  
 28.08.2010 22
:34     C:\Windows\Prefetch\AgCx_SC1.db.trx --------- 18594  
 28.08.2010 22
:34     C:\Windows\Prefetch\RUNDLL32.EXE-F452D79D.pf --------- 640  
 28.08.2010 19
:38     C:\Windows\Prefetch\SVCHOST.EXE-8DA0BAAD.pf --------- 14714  
 28.08.2010 19
:38     C:\Windows\Prefetch\DEFRAG.EXE-738093E8.pf --------- 14312  
 28.08.2010 19
:38     C:\Windows\Prefetch\Layout.ini --------- 367362  
 28.08.2010 16
:49     C:\Windows\Prefetch\XPSRCHVW.EXE-CFF6D18C.pf --------- 30814  
 28.08.2010 14
:50     C:\Windows\Prefetch\AVGTRAY.EXE-9943C4FC.pf --------- 45154  
 28.08.2010 14
:50     C:\Windows\Prefetch\DWM.EXE-AEABE78B.pf --------- 27454  
 28.08.2010 14
:50     C:\Windows\Prefetch\USERINIT.EXE-F39AB672.pf --------- 13168  
 28.08.2010 14
:35     C:\Windows\Prefetch\RELPOST.EXE-E4D0A138.pf --------- 18320  
 28.08.2010 13
:13     C:\Windows\Prefetch\VERCLSID.EXE-4D95F5A7.pf --------- 9876  
 28.08.2010 13
:10     C:\Windows\Prefetch\COMPMGMTLAUNCHER.EXE-0BF80059.pf --------- 28330  
 28.08.2010 12
:55     C:\Windows\Prefetch\AgCx_SC3_491622DD.db --------- 118991  
 28.08.2010 12
:54     C:\Windows\Prefetch\WINLOGON.EXE-8163EECC.pf --------- 31750  
 28.08.2010 12
:54     C:\Windows\Prefetch\CSRSS.EXE-8C04D631.pf --------- 19272  
 28.08.2010 12
:54     C:\Windows\Prefetch\AgCx_S1_S-1-5-21-1875988965-3958140160-1139022571-1000.snp.db --------- 1882841  
 28.08.2010 12
:54     C:\Windows\Prefetch\SMSS.EXE-1DCD0EB1.pf --------- 1988  
 28.08.2010 12
:51     C:\Windows\Prefetch\JAUCHECK.EXE-04AFF24E.pf --------- 29736  
 28.08.2010 12
:47     C:\Windows\Prefetch\WUDFHOST.EXE-81420B07.pf --------- 21728  
 28.08.2010 12
:47     C:\Windows\Prefetch\DINOTIFY.EXE-06EB7C61.pf --------- 16628  
 28.08.2010 12
:47     C:\Windows\Prefetch\RUNDLL32.EXE-9D41CD22.pf --------- 29786  
 28.08.2010 12
:46     C:\Windows\Prefetch\AVGDIAGEX.EXE-8523F3CE.pf --------- 46992  
 28.08.2010 11
:45     C:\Windows\Prefetch\RUNDLL32.EXE-55DD75AB.pf --------- 59028  
 28.08.2010 11
:34     C:\Windows\Prefetch\SDCLT.EXE-2D2C4DDD.pf --------- 2122  
 28.08.2010 11
:28     C:\Windows\Prefetch\NTOSBOOT-B00DFAAD.pf --------- 1322572  
 28.08.2010 02
:33     C:\Windows\Prefetch\MSIC6CF.TMP-F69E71BC.pf --------- 9274  
 28.08.2010 02
:24     C:\Windows\Prefetch\AgAppLaunch.db --------- 332116  
 28.08.2010 02
:22     C:\Windows\Prefetch\PROCEXP.EXE-E7CA5226.pf --------- 60090  
 28.08.2010 02
:16     C:\Windows\Prefetch\RUNDLL32.EXE-A7D7CDC9.pf --------- 20824  
----------------------------------------

 
C:\Windows\Tasks

 29.08.2010 13
:56     C:\Windows\Tasks\Ad-Aware Update (Weekly).job --------- 370  
 29.08.2010 12
:20     C:\Windows\Tasks\SA.DAT --------- 6  
 14.07.2009 06
:53     C:\Windows\Tasks\SCHEDLGU.TXT --------- 5160  
----------------------------------------

 
C:\Windows\Temp

----------------------------------------

 
C:\Users\BMW\AppData\Local\Temp

 29.08.2010 14
:27     C:\Users\BMW\AppData\Local\Temp\Iavg9inst_2010-08-29_12-25.log --------- 4908  
 29.08.2010 14
:27     C:\Users\BMW\AppData\Local\Temp\Davg9inst_2010-08-29_12-25.log --------- 13247532  
 29.08.2010 14
:27     C:\Users\BMW\AppData\Local\Temp\avg9inst_2010-08-29_12-25.xml --------- 5955  
 29.08.2010 14
:27     C:\Users\BMW\AppData\Local\Temp\~DFD3D40B8B8E3BA583.TMP --------- 1536  
 29.08.2010 14
:27     C:\Users\BMW\AppData\Local\Temp\mm2.mht --------- 13667  
 29.08.2010 14
:25     C:\Users\BMW\AppData\Local\Temp\mm1.mht --------- 14149  
 29.08.2010 14
:25     C:\Users\BMW\AppData\Local\Temp\~DF8EC0C8B13A6DCDA7.TMP --------- 1536  
 29.08.2010 14
:25     C:\Users\BMW\AppData\Local\Temp\avglng.log --------- 2854  
 29.08.2010 14
:25     C:\Users\BMW\AppData\Local\Temp\avglng.log.lock --------- 0  
 29.08.2010 12
:27     C:\Users\BMW\AppData\Local\Temp\jusched.log --------- 6380  
 29.08.2010 10
:51     C:\Users\BMW\AppData\Local\Temp\java_install_reg.log --------- 8463  
 29.08.2010 10
:40     C:\Users\BMW\AppData\Local\Temp\JAUReg.log --------- 415  
 29.08.2010 10
:40     C:\Users\BMW\AppData\Local\Temp\AUCHECK_PARSER.txt --------- 440  
 29.08.2010 10
:21     C:\Users\BMW\AppData\Local\Temp\java_install.log --------- 57852  
 29.08.2010 08
:58     C:\Users\BMW\AppData\Local\Temp\be621707-3df9-4f4b-9d11-e87e9f013f47.mht --------- 3418  
 28.08.2010 15
:18     C:\Users\BMW\AppData\Local\Temp\StructuredQuery.log --------- 2491  
 28.08.2010 13
:03     C:\Users\BMW\AppData\Local\Temp\~DF08137E015E2507C8.TMP --------- 16384  
 28.08.2010 12
:54     C:\Users\BMW\AppData\Local\Temp\BMW.bmp --------- 49208  
 28.08.2010 12
:51     C:\Users\BMW\AppData\Local\Temp\AUCHECK_CORE.txt --------- 302  
 28.08.2010 02
:55     C:\Users\BMW\AppData\Local\Temp\wmsetup.log --------- 3041  
 27.08.2010 23
:54     C:\Users\BMW\AppData\Local\Temp\tmpE4AC.tmp --------- 18888  
 27.08.2010 23
:43     C:\Users\BMW\AppData\Local\Temp\tmpE4AB.tmp --------- 0  
 27.08.2010 23
:43     C:\Users\BMW\AppData\Local\Temp\tmpE4AB.xml --------- 0  
 25.08.2010 14
:15     C:\Users\BMW\AppData\Local\Temp\setup.exe --------- 3586912  
 23.08.2010 19
:32     C:\Users\BMW\AppData\Local\Temp\FXSAPIDebugLogFile.txt --------- 0  
----------------------------------------

 
C:\Program Files

 29.08.2010 14
:27     C:\Program Files\AVG --------- 0  
 28.08.2010 02
:34     C:\Program Files\Java --------- 0  
 28.08.2010 00
:56     C:\Program Files\Windows Sidebar --------- 4096  
 28.08.2010 00
:56     C:\Program Files\Windows Mail --------- 4096  
 28.08.2010 00
:56     C:\Program Files\Internet Explorer --------- 8192  
 28.08.2010 00
:56     C:\Program Files\Windows Media Player --------- 8192  
 28.08.2010 00
:56     C:\Program Files\Windows Journal --------- 8192  
 28.08.2010 00
:56     C:\Program Files\Windows Photo Viewer --------- 4096  
 28.08.2010 00
:56     C:\Program Files\Windows Defender --------- 4096  
 26.08.2010 16
:30     C:\Program Files\DVD Maker --------- 8192  
 26.08.2010 08
:31     C:\Program Files\CCleaner --------- 0  
 25.08.2010 18
:41     C:\Program Files\Microsoft.NET --------- 0  
 25.08.2010 18
:15     C:\Program Files\Lavasoft --------- 0  
 25.08.2010 14
:55     C:\Program Files\Protector Suite --------- 0  
 23.08.2010 19
:28     C:\Program Files\Windows NT --------- 4096  
 23.08.2010 19
:28     C:\Program Files\Gemeinsame Dateien --------- 0  
 14.07.2009 09
:49     C:\Program Files\Microsoft Games --------- 4096  
 14.07.2009 06
:53     C:\Program Files\Uninstall Information --------- 0  
 14.07.2009 06
:52     C:\Program Files\Windows Portable Devices --------- 0  
 14.07.2009 06
:52     C:\Program Files\Reference Assemblies --------- 0  
 14.07.2009 06
:52     C:\Program Files\MSBuild --------- 0  
 14.07.2009 06
:41     C:\Program Files\desktop.ini --------- 174  
 14.07.2009 04
:37     C:\Program Files\Common Files --------- 4096  
----------------------------------------

 
C:\ProgramData\.. 

BMW    
Default    
Public    
Default 
User    
All Users    
desktop
.ini    
----------------------------------------

 
C:\Windows\system32\drivers\etc\hosts


----------------------------------------

 

Abbildname                     PID Sitzungsname       Sitz.-NrSpeichernutzung
========================= ======== ================ =========== ===============
System Idle Process              0 Services                   0            24 K
System                           4 Services                   0         8.152 K
smss
.exe                       252 Services                   0         1.644 K
csrss
.exe                      328 Services                   0         7.500 K
wininit
.exe                    364 Services                   0         8.860 K
csrss
.exe                      376 Console                    1         4.764 K
services
.exe                   416 Services                   0        11.644 K
winlogon
.exe                   448 Console                    1         9.360 K
lsass
.exe                      460 Services                   0        17.540 K
lsm
.exe                        468 Services                   0         6.160 K
svchost
.exe                    588 Services                   0        19.140 K
svchost
.exe                    664 Services                   0         4.552 K
svchost
.exe                    756 Services                   0         7.008 K
svchost
.exe                    788 Services                   0        13.920 K
svchost
.exe                    824 Services                   0         3.548 K
AAWService
.exe                 876 Services                   0        67.588 K
unsecapp
.exe                  1048 Services                   0        12.588 K
WmiPrvSE
.exe                  1144 Services                   0        16.004 K
explorer
.exe                  1232 Console                    1       115.204 K
ctfmon
.exe                    1404 Console                    1        10.416 K
AAWWSC
.exe                    1644 Services                   0        27.024 K
AAWTray
.exe                   1676 Console                    1           952 K
msconfig
.exe                  1768 Console                    1         9.552 K
taskmgr
.exe                   2044 Console                    1         7.468 K
svchost
.exe                   1456 Services                   0        16.232 K
svchost
.exe                   1784 Services                   0         6.848 K
cmd
.exe                       1944 Console                    1         3.116 K
conhost
.exe                    808 Console                    1         2.968 K
tasklist
.exe                   200 Console                    1         4.164 K
WmiPrvSE
.exe                  1796 Services                   0         4.784 K

 
***** Ende des Scans 29.08.2010 um 14:33:42,38 ***  
 

 [/
CODE
Wie sehen denn die bisher geposteten Files aus? System sauber?

Und vielen Dank dass Du Dich meinem Problem annimmst.
__________________

Alt 05.09.2010, 18:33   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor oder Trojaner noch immer auf meinem System? - Standard

Backdoor oder Trojaner noch immer auf meinem System?



Zitat:
aber dafür erst NIS 2011 und dann direkt über den Sicherheitscenter die Updates abgerufen (natürlich inkl. SP3).
Security-Suites sind schonmal Murks, weil die Dinger kontraproduktiv sind. Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen...

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?


Zitat:
leider auch Setup´s) welche ich unbedingt brauche.
Was für Setups? Liegen die nicht noch gesichert auf externen Medien wie LTO-Bänder oder DVDs?
Wenn keine Backups vorliegen frag ich mich, was das für eine Firma ist, die so große Risikobereitschaft hat, auf wichtige Backups zu verzichten


Zitat:
und kann mir absolut nicht vorstellen, wie ich mir das Teil wieder und wieder einfangen konnte.
Erstmal gibt es so keinen Hinweis auf Befall und direkt nach einer Formatierung sind die Schädlinge garantiert weg, weil das infizierte Windows ja gelöscht wurde. Die Logs sind unauffällig und Malwarebytes hat auch nichts gefunden.


Zitat:
wurden neue Nicht-PnP-Treiber installiert und immer mehr unbekannte Prozesse eingerichtet, ohne dass ich neue Programme oder Hardware installiert habe
Nur weil Du ein Prozess nicht sofort kennst, heißt das nicht, dass da was Böses hintersteckt.



Zitat:
Ich kann nur vermuten dass es an meiner Formatierungsweise lag und der Backdoor (vermute ich zumindest) sich in der MBR verborg. Leider konnte ich das Übel bisher ja leider nicht mal identifizieren und bin deshalb immer noch besorgt...
Das ist über DBAN ausgeschlossen, jedenfalls wenn man das gesamte Laufwerk löscht und nicht nur einzelne Partitionen. Was genau hast Du also gemacht?

Um den MBR zu prüfen:

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 06.09.2010, 20:10   #5
bmw-m3
 
Backdoor oder Trojaner noch immer auf meinem System? - Standard

Backdoor oder Trojaner noch immer auf meinem System?



Also nachdem gestern Abend Ad-Aware auf meinem privaten mit DBAN gesäubertes Notebook auf einem meiner Sticks eine Trojanermeldung brachte und ich wusste dass diese Datei auch schon auf meinem Firmenrechner ist, installierte ich dort auch Ad-Aware. Und obwohl NIS und Malwarebytes vor bei keinem Scan was meldete:

PHP-Code:
MSG [39642010/09/05 20:46:09Configure new scan with profilefull
MSG 
[39642010/09/05 20:46:09:  -> scanning critical objects
MSG 
[39642010/09/05 20:46:09:  -> scanning running processes
MSG 
[39642010/09/05 20:46:09:  -> scanning registry
MSG 
[39642010/09/05 20:46:09:  -> scanning lsp
MSG 
[39642010/09/05 20:46:09:  -> scanning ads
MSG 
[39642010/09/05 20:46:09:  -> scanning hosts file
MSG 
[39642010/09/05 20:46:09:  -> scanning mru objects
MSG 
[39642010/09/05 20:46:09:  -> scanning browser hijacks
MSG 
[39642010/09/05 20:46:09:  -> scanning cookies
MSG 
[39642010/09/05 20:46:09:  -> neutralizing rootkits
MSG 
[39642010/09/05 20:46:09:  -> use mild rootkit detection
MSG 
[39642010/09/05 20:46:09:  -> use spyware heuristics
MSG 
[39642010/09/05 20:46:09:  -> use medium heuristics
MSG 
[39642010/09/05 20:46:09:  -> scan archives
MSG 
[39642010/09/05 20:46:09:  -> file size limit 20480 kB (unlimited)
MSG [39642010/09/05 20:46:09:  -> scan file/path C:\
ERR [39642010/09/05 20:46:09SDKController::GetInfectionList -> Not in found infections state
MSG 
[37602010/09/05 21:22:28Scan was completed in 2179 seconds
MSG 
[37602010/09/05 21:22:28Objects processed40558infections detected13
MSG 
[32642010/09/05 21:22:29Remediating 13 infections
MSG 
[32642010/09/05 21:22:29Infections quarantined7removed6repaired0
MSG 
[32642010/09/05 21:22:29Infections ignored by remediation(0 whitelisted0 skipped).
MSG [39642010/09/05 21:22:30Dumping scan report:
>>> 
Logfile created05.09.2010 20:46:09
>>> Ad-Aware version8.3.2
>>> Extended engine3
>>> Extended engine version3.1.2770
>>> User performing scanXPS-1730
>>> 
>>> *********************** 
Definitions database information ***********************
>>> 
Lavasoft definition file150.74
>>> Genotype definition file version2010/08/31 14:13:17
>>> Extended engine definition file6836.0
>>> 
>>> ******************************** 
Scan results: *********************************
>>> 
Scan profile nameVollständiger Scan  (IDfull)
>>> 
Objects scanned40558
>>> Objects detected13
>>> 
>>> 
>>> 
Type              Detected
>>> ==========================
>>> 
Processes.......:        0
>>> Registry entries:        4
>>> Hostfile entries:        0
>>> Files...........:        3
>>> Folders.........:        0
>>> LSPs............:        0
>>> Cookies.........:        6
>>> Browser hijacks.:        0
>>> MRU objects.....:        0
>>> 
>>> 
>>> 
>>> 
Removed items:
>>> 
Description: *adfarm1.aditionFamily NameCookies Engine1 Clean statusSuccess Item ID409171 Family ID0
>>> Description: *apmebfFamily NameCookies Engine1 Clean statusSuccess Item ID409163 Family ID0
>>> Description: *doubleclickFamily NameCookies Engine1 Clean statusSuccess Item ID408875 Family ID0
>>> Description: *ivwboxFamily NameCookies Engine1 Clean statusSuccess Item ID409247 Family ID0
>>> Description: *mediaplexFamily NameCookies Engine1 Clean statusSuccess Item ID408991 Family ID0
>>> Description: *wunderloopFamily NameCookies Engine1 Clean statusSuccess Item ID599639 Family ID0
>>> 
>>> 
Quarantined items:
>>> 
Descriptionc:\dokumente und einstellungen\xps-1730\eigene dateien\downloads\osam_autorun_manager_5_0_portable\osam.exe Family NameTrojan.Win32.Generic!BT Engine3 Clean statusSuccess Item ID1 Family ID0 MD5678bd4a8c36d1b54db97a9737b7ed485
>>> Descriptionc:\dokumente und einstellungen\xps-1730\eigene dateien\downloads\osam_autorun_manager_5_0_portable.rar::osam.exe Family NameTrojan.Win32.Generic!BT Engine3 Clean statusSuccess Item ID1 Family ID0 MD5
>>> 
Descriptionc:\system volume information\_restore{d68a54fe-4f11-4d63-b7ca-8bc31e6d16ea}\rp5\a0002690.sys Family NameWin32.FraudTool.SpywareCease Engine1 Clean statusSuccess Item ID0 Family ID524429 MD5cbd3a6fd0cc383fc506371ebe1a1f266
>>> DescriptionHKLM:SYSTEM\ControlSet001\Enum\Root\LEGACY_RKHITFamily NameWin32.FraudTool.SpywareCease Engine1 Clean statusSuccess Item ID524438 Family ID524429
>>> DescriptionHKLM:SYSTEM\ControlSet001\Services\RkHitFamily NameWin32.FraudTool.SpywareCease Engine1 Clean statusSuccess Item ID524439 Family ID524429
>>> DescriptionHKLM:SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RKHITFamily NameWin32.FraudTool.SpywareCease Engine1 Clean statusSuccess Item ID524440 Family ID524429
>>> DescriptionHKLM:SYSTEM\CurrentControlSet\Services\RkHitFamily NameWin32.FraudTool.SpywareCease Engine1 Clean statusSuccess Item ID524441 Family ID524429
>>> 
>>> 
Scan and cleaning completeFinished correctly after 2179 seconds
>>> 
>>> *********************************** 
Settings ***********************************
>>> 
>>> 
Scan profile:
>>> 
IDfullenabled:1valueVollständiger Scan
>>>   IDfolderstoscanenabled:1valueC:\
>>>   
IDuseantivirusenabled:1valuetrue
>>>   IDsectionsenabled:1
>>>     IDscancriticalareasenabled:1valuetrue
>>>     IDscanrunningappsenabled:1valuetrue
>>>     IDscanregistryenabled:1valuetrue
>>>     IDscanlspenabled:1valuetrue
>>>     IDscanadsenabled:1valuetrue
>>>     IDscanhostsfileenabled:1valuetrue
>>>     IDscanmruenabled:1valuetrue
>>>     IDscanbrowserhijacksenabled:1valuetrue
>>>     IDscantrackingcookiesenabled:1valuetrue
>>>       IDclosebrowsersenabled:1valuefalse
>>>   IDfilescanningoptionsenabled:1
>>>     IDarchivesenabled:1valuetrue
>>>     IDonlyexecutablesenabled:1valuefalse
>>>     IDskiplargerthanenabled:1value20480
>>>     IDscanrootkitsenabled:1valuetrue
>>>       IDrootkitlevelenabled:1valuemilddomainmedium,mild,strict
>>>     IDusespywareheuristicsenabled:1valuetrue
>>> 
>>> 
Scan global:
>>> 
ID: global, enabled:1
>>>   IDaddtocontextmenuenabled:1valuetrue
>>>   IDplaysoundoninfectionenabled:1valuefalse
>>>     IDsoundfileenabled:0valueN/A
>>> 
>>> 
Scheduled scan settings:
>>> <Empty>
>>> 
>>> 
Update settings:
>>> 
IDupdatesenabled:1
>>>   IDlaunchthreatworksafterscanenabled:1valueoffdomainnormal,off,silently
>>>   IDdeffilesenabled:1valuedownloadandinstalldomaindontcheck,downloadandinstall
>>>   IDlicenseandinfoenabled:1valuedownloadandinstalldomaindontcheck,downloadandinstall
>>>   IDschedulesenabled:1valuetrue
>>>     IDupdatedaily1enabled:1valueDaily 1
>>>       IDtimeenabled:1valueSun Sep 05 20:37:00 2010
>>>       IDfrequencyenabled:1valuedailydomaindaily,monthly,once,systemstart,weekly
>>>       IDweekdaysenabled:1
>>>         IDmondayenabled:1valuefalse
>>>         IDtuesdayenabled:1valuefalse
>>>         IDwednesdayenabled:1valuefalse
>>>         IDthursdayenabled:1valuefalse
>>>         IDfridayenabled:1valuefalse
>>>         IDsaturdayenabled:1valuefalse
>>>         IDsundayenabled:1valuefalse
>>>       IDmonthlyenabled:1value1minvalue1maxvalue31
>>>       IDscanprofileenabled:1value
>>>       
IDauto_deal_with_infectionsenabled:1valuefalse
>>>     IDupdatedaily2enabled:1valueDaily 2
>>>       IDtimeenabled:1valueSun Sep 05 02:37:00 2010
>>>       IDfrequencyenabled:1valuedailydomaindaily,monthly,once,systemstart,weekly
>>>       IDweekdaysenabled:1
>>>         IDmondayenabled:1valuefalse
>>>         IDtuesdayenabled:1valuefalse
>>>         IDwednesdayenabled:1valuefalse
>>>         IDthursdayenabled:1valuefalse
>>>         IDfridayenabled:1valuefalse
>>>         IDsaturdayenabled:1valuefalse
>>>         IDsundayenabled:1valuefalse
>>>       IDmonthlyenabled:1value1minvalue1maxvalue31
>>>       IDscanprofileenabled:1value
>>>       
IDauto_deal_with_infectionsenabled:1valuefalse
>>>     IDupdatedaily3enabled:1valueDaily 3
>>>       IDtimeenabled:1valueSun Sep 05 08:37:00 2010
>>>       IDfrequencyenabled:1valuedailydomaindaily,monthly,once,systemstart,weekly
>>>       IDweekdaysenabled:1
>>>         IDmondayenabled:1valuefalse
>>>         IDtuesdayenabled:1valuefalse
>>>         IDwednesdayenabled:1valuefalse
>>>         IDthursdayenabled:1valuefalse
>>>         IDfridayenabled:1valuefalse
>>>         IDsaturdayenabled:1valuefalse
>>>         IDsundayenabled:1valuefalse
>>>       IDmonthlyenabled:1value1minvalue1maxvalue31
>>>       IDscanprofileenabled:1value
>>>       
IDauto_deal_with_infectionsenabled:1valuefalse
>>>     IDupdatedaily4enabled:1valueDaily 4
>>>       IDtimeenabled:1valueSun Sep 05 14:37:00 2010
>>>       IDfrequencyenabled:1valuedailydomaindaily,monthly,once,systemstart,weekly
>>>       IDweekdaysenabled:1
>>>         IDmondayenabled:1valuefalse
>>>         IDtuesdayenabled:1valuefalse
>>>         IDwednesdayenabled:1valuefalse
>>>         IDthursdayenabled:1valuefalse
>>>         IDfridayenabled:1valuefalse
>>>         IDsaturdayenabled:1valuefalse
>>>         IDsundayenabled:1valuefalse
>>>       IDmonthlyenabled:1value1minvalue1maxvalue31
>>>       IDscanprofileenabled:1value
>>>       
IDauto_deal_with_infectionsenabled:1valuefalse
>>>     IDupdateweekly1enabled:1valueWeekly
>>>       IDtimeenabled:1valueSun Sep 05 20:37:00 2010
>>>       IDfrequencyenabled:1valueweeklydomaindaily,monthly,once,systemstart,weekly
>>>       IDweekdaysenabled:1
>>>         IDmondayenabled:1valuefalse
>>>         IDtuesdayenabled:1valuefalse
>>>         IDwednesdayenabled:1valuetrue
>>>         IDthursdayenabled:1valuefalse
>>>         IDfridayenabled:1valuefalse
>>>         IDsaturdayenabled:1valuefalse
>>>         IDsundayenabled:1valuetrue
>>>       IDmonthlyenabled:1value1minvalue1maxvalue31
>>>       IDscanprofileenabled:1value
>>>       
IDauto_deal_with_infectionsenabled:1valuefalse
>>> 
>>> 
Appearance settings:
>>> 
IDappearanceenabled:1
>>>   IDskinenabled:1value: default.eglreglocationHKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Resource
>>>   IDshowtrayiconenabled:1valuetrue
>>>   IDautoentertainmentmodeenabled:1valuetrue
>>>   IDguimodeenabled:1valuemode_simpledomainmode_advanced,mode_simple
>>>   IDlanguageenabled:1valuedereglocationHKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Language
>>> 
>>> 
Realtime protection settings:
>>> 
IDrealtimeenabled:1
>>>   IDlayersenabled:1
>>>     IDuseantivirusenabled:1valuetrue
>>>     IDusespywareheuristicsenabled:1valuetrue
>>>   IDinfomessagesenabled:1valueonlyimportantdomaindisplay,dontnotify,onlyimportant
>>>   IDmodulesenabled:1
>>>     IDprocessprotectionenabled:1valuetrue
>>>     IDonaccessprotectionenabled:1valuetrue
>>>     IDregistryprotectionenabled:1valuetrue
>>>     IDnetworkprotectionenabled:1valuetrue
>>> 
>>> 
>>> ****************************** 
System information ******************************
>>> 
Computer nameBMW
>>> Processor nameIntel(RCore(TM)2 Extreme CPU X7900  2.80GHz
>>> Processor identifierx86 Family 6 Model 15 Stepping 11
>>> Processor speed: ~2792MHZ
>>> Raw infoprocessorarchitecture 0processortype 586processorlevel 6processor revision 3851number of processors 2processor features: [MMX,SSE,SSE2]
>>> 
Physical memory available2377256960 bytes
>>> Physical memory total3219103744 bytes
>>> Virtual memory available1880440832 bytes
>>> Virtual memory total2147352576 bytes
>>> Memory load26%
>>> 
Microsoft Windows XP Professional Service Pack 3 (build 2600)
>>> 
Windows startup mode:
>>> 
>>> 
Running processes:
>>> 
PID776 name: \SystemRoot\System32\smss.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID824 name: \??\C:\WINDOWS\system32\csrss.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID856 name: \??\C:\WINDOWS\system32\winlogon.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID900 nameC:\WINDOWS\system32\services.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID912 nameC:\WINDOWS\system32\lsass.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID1064 nameC:\WINDOWS\system32\nvsvc32.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID1100 nameC:\WINDOWS\system32\svchost.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID1176 nameC:\WINDOWS\system32\svchost.exe ownerNETZWERKDIENST domainNT-AUTORITÄT
>>> PID1220 nameC:\WINDOWS\System32\svchost.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID1248 nameC:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID1332 nameC:\Programme\Intel\Wireless\Bin\S24EvMon.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID1352 nameC:\WINDOWS\system32\svchost.exe ownerNETZWERKDIENST domainNT-AUTORITÄT
>>> PID1428 nameC:\WINDOWS\system32\svchost.exe ownerLOKALER DIENST domainNT-AUTORITÄT
>>> PID1664 nameC:\Programme\Lavasoft\Ad-Aware\AAWService.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID1748 nameC:\WINDOWS\system32\spoolsv.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID2044 nameC:\WINDOWS\system32\svchost.exe ownerLOKALER DIENST domainNT-AUTORITÄT
>>> PID296 nameC:\Programme\Intel\Wireless\Bin\EvtEng.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID360 nameC:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe owner: <UNKNOWNdomain: <UNKNOWN>
>>> 
PID472 nameC:\WINDOWS\system32\HPZipm12.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID684 nameC:\Programme\Intel\Wireless\Bin\RegSrvc.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID1296 nameC:\WINDOWS\system32\tcpsvcs.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID1304 nameC:\WINDOWS\Explorer.EXE ownerXPS-1730 domainBMW
>>> PID1504 nameC:\WINDOWS\System32\snmp.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID1652 nameC:\Programme\SigmaTel\C-Major Audio\DellXPM_5515v133\WDM\STacSV.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID1024 nameC:\WINDOWS\system32\svchost.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID1984 nameC:\Programme\Intel\Wireless\Bin\WLKeeper.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID2012 nameC:\Programme\Intel\Wireless\bin\ZCfgSvc.exe ownerXPS-1730 domainBMW
>>> PID396 nameC:\Programme\Intel\Wireless\Bin\ifrmewrk.exe ownerXPS-1730 domainBMW
>>> PID448 nameC:\Programme\Synaptics\SynTP\SynTPEnh.exe ownerXPS-1730 domainBMW
>>> PID452 nameC:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe ownerXPS-1730 domainBMW
>>> PID576 nameC:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe ownerXPS-1730 domainBMW
>>> PID564 nameC:\WINDOWS\OEM02Mon.exe ownerXPS-1730 domainBMW
>>> PID600 nameC:\WINDOWS\system32\RUNDLL32.EXE ownerXPS-1730 domainBMW
>>> PID644 nameC:\WINDOWS\system32\rundll32.exe ownerXPS-1730 domainBMW
>>> PID652 nameC:\WINDOWS\system32\ctfmon.exe ownerXPS-1730 domainBMW
>>> PID960 nameC:\Dokumente und Einstellungen\XPS-1730\Eigene Dateien\Downloads\MouseExtender.1.9.7.0\MouseExtender.exe ownerXPS-1730 domainBMW
>>> PID1604 nameC:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe ownerXPS-1730 domainBMW
>>> PID1808 nameC:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe ownerXPS-1730 domainBMW
>>> PID1848 nameC:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDPOP3.exe ownerXPS-1730 domainBMW
>>> PID2060 nameC:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe ownerXPS-1730 domainBMW
>>> PID2128 nameC:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe ownerXPS-1730 domainBMW
>>> PID2136 nameC:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe ownerXPS-1730 domainBMW
>>> PID2220 nameC:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE ownerXPS-1730 domainBMW
>>> PID3144 nameC:\WINDOWS\system32\wbem\wmiprvse.exe ownerNETZWERKDIENST domainNT-AUTORITÄT
>>> PID3636 nameC:\WINDOWS\system32\wbem\wmiprvse.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID3768 nameC:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe owner: <UNKNOWNdomain: <UNKNOWN>
>>> 
PID3948 nameC:\WINDOWS\system32\wbem\unsecapp.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID3260 nameC:\WINDOWS\System32\alg.exe ownerLOKALER DIENST domainNT-AUTORITÄT
>>> PID3940 nameC:\WINDOWS\System32\svchost.exe ownerSYSTEM domainNT-AUTORITÄT
>>> PID1404 nameC:\Programme\Lavasoft\Ad-Aware\AAWTray.exe ownerXPS-1730 domainBMW
>>> 
>>> 
Startup items:
>>> 
Name: {438755C2-A8BA-11D1-B96B-00A0C90312E1}
>>>           
imagepathBrowseui preloader
>>> Name: {8C7461EF-2B13-11d2-BE35-3078302C2030}
>>>           
imagepathComponent Categories cache daemon
>>> NameCTFMON.EXE
>>>           imagepathC:\WINDOWS\system32\CTFMON.EXE
>>> NamePostBootReminder
>>>           imagepath: {7849596a-48ea-486e-8937-a2a3009f31a9}
>>> 
NameCDBurn
>>>           imagepath: {fbeb8a05-beee-4442-804e-409d6c4515e9}
>>> 
NameWebCheck
>>>           imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
>>> 
NameSysTray
>>>           imagepath: {35CEC8A3-2BE6-11D2-8773-92E220524153}
>>> 
NameUPnPMonitor
>>>           imagepath: {e57ce738-33e8-4c51-8354-bb4de9d215d1}
>>> 
NameWPDShServiceObj
>>>           imagepath: {AAA288BA-9A4C-45B0-95D7-94D524869DB5}
>>> 
NameIntelZeroConfig
>>>           imagepath"C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
>>> NameIntelWireless
>>>           imagepath"C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
>>> NameSynTPEnh
>>>           imagepathC:\Programme\Synaptics\SynTP\SynTPEnh.exe
>>> NameSigmatelSysTrayApp
>>>           imagepath: %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
>>> NameLaunch LCDMon
>>>           imagepath"C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
>>> NameOEM02Mon.exe
>>>           imagepathC:\WINDOWS\OEM02Mon.exe
>>> Namenwiz
>>>           imagepathC:\Programme\NVIDIA Corporation\nView\nwiz.exe /installquiet
>>> NameNvMediaCenter
>>>           imagepathRUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
>>> NameNvCplDaemon
>>>           imagepathRUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
>>> NameNVHotkey
>>>           imagepathrundll32.exe nvHotkey.dll,Start
>>> Name
>>>           
locationC:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
>>>           imagepathC:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
>>> Name
>>>           
imagepathC:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
>>> 
>>> 
Bootexecute items:
>>> 
Name
>>>           
imagepathautocheck autochk *
>>> 
>>> 
Running services:
>>> 
NameALG
>>>           displaynameGatewaydienst auf Anwendungsebene
>>> NameAudioSrv
>>>           displaynameWindows Audio
>>> NameBrowser
>>>           displaynameComputerbrowser
>>> Namebtwdins
>>>           displaynameBluetooth Service
>>> NameCryptSvc
>>>           displaynameKryptografiedienste
>>> NameDcomLaunch
>>>           displaynameDCOM-Server-Prozessstart
>>> NameDhcp
>>>           displaynameDHCP-Client
>>> Namedmserver
>>>           displaynameVerwaltung logischer Datenträger
>>> NameDnscache
>>>           displaynameDNS-Client
>>> NameERSvc
>>>           displaynameFehlerberichterstattungsdienst
>>> NameEventlog
>>>           displaynameEreignisprotokoll
>>> NameEventSystem
>>>           displaynameCOM+-Ereignissystem
>>> NameEvtEng
>>>           displaynameIntel(RPROSet/Wireless Event Log
>>> NameFastUserSwitchingCompatibility
>>>           displaynameKompatibilität für schnelle Benutzerumschaltung
>>> Namehelpsvc
>>>           displaynameHilfe und Support
>>> NameHidServ
>>>           displaynameHID Input Service
>>> NameHTTPFilter
>>>           displaynameHTTP-SSL
>>> NameIprip
>>>           displaynameRIP-Überwachung
>>> Namelanmanserver
>>>           displaynameServer
>>> Namelanmanworkstation
>>>           displaynameArbeitsstationsdienst
>>> NameLavasoft Ad-Aware Service
>>>           displaynameLavasoft Ad-Aware Service
>>> NameLmHosts
>>>           displaynameTCP/IP-NetBIOS-Hilfsprogramm
>>> NameNetman
>>>           displaynameNetzwerkverbindungen
>>> NameNIS
>>>           displaynameNorton Internet Security
>>> NameNla
>>>           displaynameNLA (Network Location Awareness)
>>> 
Namenvsvc
>>>           displaynameNVIDIA Display Driver Service
>>> NamePlugPlay
>>>           displaynamePlug Play
>>> NamePml Driver HPZ12
>>>           displaynamePml Driver HPZ12
>>> NamePolicyAgent
>>>           displaynameIPSEC-Dienste
>>> NameProtectedStorage
>>>           displaynameGeschützter Speicher
>>> NameRasMan
>>>           displaynameRAS-Verbindungsverwaltung
>>> NameRegSrvc
>>>           displaynameIntel(RPROSet/Wireless Registry Service
>>> NameRemoteRegistry
>>>           displaynameRemote-Registrierung
>>> NameRpcSs
>>>           displaynameRemoteprozeduraufruf (RPC)
>>> 
NameS24EventMonitor
>>>           displaynameIntel(RPROSet/Wireless Service
>>> NameSamSs
>>>           displaynameSicherheitskontenverwaltung
>>> NameSchedule
>>>           displaynameTaskplaner
>>> Nameseclogon
>>>           displaynameSekundäre Anmeldung
>>> NameSENS
>>>           displaynameSystemereignisbenachrichtigung
>>> NameSharedAccess
>>>           displaynameWindows-Firewall/Gemeinsame Nutzung der Internetverbindung
>>> NameShellHWDetection
>>>           displaynameShellhardwareerkennung
>>> NameSimpTcp
>>>           displaynameEinfache TCP/IP-Dienste
>>> NameSNMP
>>>           displaynameSNMP-Dienst
>>> NameSpooler
>>>           displaynameDruckwarteschlange
>>> Namesrservice
>>>           displaynameSystemwiederherstellungsdienst
>>> NameSSDPSRV
>>>           displaynameSSDP-Suchdienst
>>> NameSTacSV
>>>           displaynameSigmaTel Audio Service
>>> Namestisvc
>>>           displaynameWindows-Bilderfassung (WIA)
>>> 
NameTapiSrv
>>>           displaynameTelefonie
>>> NameTermService
>>>           displaynameTerminaldienste
>>> NameThemes
>>>           displaynameDesigns
>>> NameTrkWks
>>>           displaynameÜberwachung verteilter Verknüpfungen (Client)
>>> 
NameW32Time
>>>           displaynameWindows-Zeitgeber
>>> NameWebClient
>>>           displaynameWebClient
>>> Namewinmgmt
>>>           displaynameWindows-Verwaltungsinstrumentation
>>> NameWLANKEEPER
>>>           displaynameIntel(RPROSet/Wireless SSO Service
>>> Namewscsvc
>>>           displaynameSicherheitscenter
>>> Namewuauserv
>>>           displaynameAutomatische Updates
>>> NameWZCSVC
>>>           displaynameKonfigurationsfreie drahtlose Verbindung
>>> 
>>> 
Ad-Aware und NIS fanden dann übrigens heute morgen nichts mehr, dafür nun aber Malwarebytes:

PHP-Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4542

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.09.2010 13:04:08
mbam-log-2010-09-06 (13-04-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 167683
Laufzeit: 27 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\XPS-1730\Eigene Dateien\Downloads\Scanner & Logs\BestSpywareScanner_Setup.exe (Rogue.BestSpywareScanner) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D68A54FE-4F11-4D63-B7CA-8BC31E6D16EA}\RP5\A0002680.exe (Rogue.BestSpywareScanner) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D68A54FE-4F11-4D63-B7CA-8BC31E6D16EA}\RP5\A0002688.dll (Rogue.SpywareCease) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D68A54FE-4F11-4D63-B7CA-8BC31E6D16EA}\RP5\A0002693.exe (Rogue.BestSpywareScanner) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{D68A54FE-4F11-4D63-B7CA-8BC31E6D16EA}\RP5\A0002694.exe (Rogue.BestSpywareScanner) -> Quarantined and deleted successfully. 
Ich habe bisher zwar noch keinerlei Merkwürdigkeiten an meinem System feststellen können, möchte aber keinerlei Risiko mehr eingehen und werde die Platten meines XPS nun auch mit DBAN formatieren und ihn zum xten Mal neu aufsetzen. Aber um das Übel endlich zu identifizieren (glaube auch nicht, dass die 2 gefundenen wohl relativ harmlosen Kandidaten mein einziges Problem sind bzw. waren) und mich zukünftig zu schützen, macht es vielleicht Sinn hier noch mal die wichtigsten logfiles zu posten:

Malwarebytes:

PHP-Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4542

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.09.2010 20:09:17
mbam-log-2010-09-06 (20-09-17).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 140124
Laufzeit: 5 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden) 
Defogger:

PHP-Code:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 20:12 on 06/09/2010 (XPS-1730)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=
E.O.F=- 
Gmer:

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-06 20:27:25
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\XPS-1730\LOKALE~1\Temp\pxtdqpow.sys


---- System - GMER 1.0.15 ----

SSDT            897EB2D8                                                                                    ZwAlertResumeThread
SSDT            8995E258                                                                                    ZwAlertThread
SSDT            898D9208                                                                                    ZwAllocateVirtualMemory
SSDT            89937270                                                                                    ZwAssignProcessToJobObject
SSDT            89ACC778                                                                                    ZwConnectPort
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)  ZwCreateKey [0xA1838720]
SSDT            897F02C8                                                                                    ZwCreateMutant
SSDT            89937830                                                                                    ZwCreateSymbolicLinkObject
SSDT            897AC2E8                                                                                    ZwCreateThread
SSDT            898B61F8                                                                                    ZwDebugActiveProcess
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)  ZwDeleteKey [0xA18389A0]
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)  ZwDeleteValueKey [0xA1838F00]
SSDT            898139C8                                                                                    ZwDuplicateObject
SSDT            897B72C8                                                                                    ZwFreeVirtualMemory
SSDT            898C1270                                                                                    ZwImpersonateAnonymousToken
SSDT            897EB1F8                                                                                    ZwImpersonateThread
SSDT            897B7630                                                                                    ZwLoadDriver
SSDT            896C42F8                                                                                    ZwMapViewOfSection
SSDT            89861318                                                                                    ZwOpenEvent
SSDT            896C4538                                                                                    ZwOpenProcess
SSDT            898D92D8                                                                                    ZwOpenProcessToken
SSDT            8980C2D8                                                                                    ZwOpenSection
SSDT            896C4448                                                                                    ZwOpenThread
SSDT            89937920                                                                                    ZwProtectVirtualMemory
SSDT            8995E318                                                                                    ZwResumeThread
SSDT            8980D318                                                                                    ZwSetContextThread
SSDT            898632A8                                                                                    ZwSetInformationProcess
SSDT            898B62D8                                                                                    ZwSetSystemInformation
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)  ZwSetValueKey [0xA1839150]
SSDT            89861258                                                                                    ZwSuspendProcess
SSDT            898CA2B8                                                                                    ZwSuspendThread
SSDT            89968710                                                                                    ZwTerminateProcess
SSDT            8980D238                                                                                    ZwTerminateThread
SSDT            896C4238                                                                                    ZwUnmapViewOfSection
SSDT            897CB260                                                                                    ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

?               SYMDS.SYS                                                                                   Das System kann die angegebene Datei nicht finden. !
?               SYMEFA.SYS                                                                                  Das System kann die angegebene Datei nicht finden. !
.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                    section is writeable [0xA4F483A0, 0x59FFE5, 0xE8000020]
init            C:\WINDOWS\system32\Drivers\OEM02Afx.sys                                                    entry point in "init" section [0xA2909310]

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3848] USER32.dll!DialogBoxParamW                7E3747AB 5 Bytes  JMP 41195501 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3848] USER32.dll!CreateWindowExW                7E37D0A3 5 Bytes  JMP 4126DB24 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3848] USER32.dll!DialogBoxIndirectParamW        7E382072 5 Bytes  JMP 41364B6F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3848] USER32.dll!MessageBoxIndirectA            7E38A082 5 Bytes  JMP 41364AA1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3848] USER32.dll!DialogBoxParamA                7E38B144 5 Bytes  JMP 41364B0C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3848] USER32.dll!MessageBoxExW                  7E3A0838 5 Bytes  JMP 41364972 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3848] USER32.dll!MessageBoxExA                  7E3A085C 5 Bytes  JMP 413649D4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3848] USER32.dll!DialogBoxIndirectParamA        7E3A6D7D 5 Bytes  JMP 41364BD2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3848] USER32.dll!MessageBoxIndirectW            7E3B64D5 5 Bytes  JMP 41364A36 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] ntdll.dll!RtlValidateUnicodeString + 554  7C9263BE 10 Bytes  JMP 0248003A 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!DialogBoxParamW                7E3747AB 5 Bytes  JMP 41195501 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!SetWindowsHookExW              7E37820F 5 Bytes  JMP 41269AD5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!CallNextHookEx                 7E37B3C6 5 Bytes  JMP 4125D135 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!CreateWindowExW                7E37D0A3 5 Bytes  JMP 4126DB24 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!UnhookWindowsHookEx            7E37D5F3 5 Bytes  JMP 411D4666 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!DialogBoxIndirectParamW        7E382072 5 Bytes  JMP 41364B6F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!MessageBoxIndirectA            7E38A082 5 Bytes  JMP 41364AA1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!DialogBoxParamA                7E38B144 5 Bytes  JMP 41364B0C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!MessageBoxExW                  7E3A0838 5 Bytes  JMP 41364972 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!MessageBoxExA                  7E3A085C 5 Bytes  JMP 413649D4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!DialogBoxIndirectParamA        7E3A6D7D 5 Bytes  JMP 41364BD2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!MessageBoxIndirectW            7E3B64D5 5 Bytes  JMP 41364A36 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] ole32.dll!OleInitialize + E37             774D0521 7 Bytes  JMP 024800F3 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] ole32.dll!CoCreateInstance                774D057E 5 Bytes  JMP 4126DB80 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] ole32.dll!CoImpersonateClient + 51        774E56C0 7 Bytes  JMP 024801A9 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] ole32.dll!OleLoadFromStream               774F9C85 5 Bytes  JMP 41364EF0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                    SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                    Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                     SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                   SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                   Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                   SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                   Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                 SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                 Lbd.sys (Boot Driver/Lavasoft AB)

---- EOF - GMER 1.0.15 ----
         
--- --- ---


OTL:

Musste ich aufgrund seiner Größe wieder anhängen.


Und hier noch der MBR-Check:

PHP-Code:
MBRCheckversion 1.2.3
(c2010AD

Command
-line:            
Windows Version:        Windows XP Professional
Windows Information
:        Service Pack 3 (build 2600)
Logical Drives Mask:        0x0000000c

Kernel Drivers 
(total 141):
  
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E5000 
\WINDOWS\system32\hal.dll
  0xB85A8000 
\WINDOWS\system32\KDCOM.DLL
  0xB84B8000 
\WINDOWS\system32\BOOTVID.dll
  0xB7F78000 ACPI
.sys
  0xB85AA000 
\WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xB7F67000 pci
.sys
  0xB80A8000 isapnp
.sys
  0xB80B8000 ohci1394
.sys
  0xB80C8000 
\WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xB84BC000 compbatt
.sys
  0xB84C0000 
\WINDOWS\system32\DRIVERS\BATTC.SYS
  0xB8670000 pciide
.sys
  0xB8328000 
\WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xB80D8000 MountMgr
.sys
  0xB7F48000 ftdisk
.sys
  0xB85AC000 dmload
.sys
  0xB7F22000 dmio
.sys
  0xB8330000 PartMgr
.sys
  0xB80E8000 VolSnap
.sys
  0xB7F0A000 atapi
.sys
  0xB7E4C000 iaStor
.sys
  0xB80F8000 disk
.sys
  0xB8108000 
\WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xB7E2C000 fltmgr
.sys
  0xB7DD5000 SYMDS
.SYS
  0xB7DC3000 sr
.sys
  0xB8118000 Lbd
.sys
  0xB7D1A000 SYMEFA
.SYS
  0xB7D03000 KSecDD
.sys
  0xB7C76000 Ntfs
.sys
  0xB7C49000 NDIS
.sys
  0xB7C2F000 Mup
.sys
  0xB8188000 
\SystemRoot\system32\DRIVERS\nic1394.sys
  0xA6D1A000 
\SystemRoot\system32\DRIVERS\intelppm.sys
  0xA5389000 
\SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xA5375000 
\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xA67C6000 
\SystemRoot\system32\DRIVERS\usbuhci.sys
  0xA5351000 
\SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xA67BE000 
\SystemRoot\system32\DRIVERS\usbehci.sys
  0xA5329000 
\SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xA5107000 
\SystemRoot\system32\DRIVERS\NETw4x32.sys
  0xA50EA000 
\SystemRoot\system32\DRIVERS\physX32.sys
  0xA50D6000 
\SystemRoot\system32\DRIVERS\sdbus.sys
  0xA6D0A000 
\SystemRoot\system32\DRIVERS\rimmptsk.sys
  0xA50C2000 
\SystemRoot\system32\DRIVERS\rimsptsk.sys
  0xA5071000 
\SystemRoot\system32\DRIVERS\rixdptsk.sys
  0xA6CFA000 
\SystemRoot\system32\DRIVERS\i8042prt.sys
  0xA503C000 
\SystemRoot\system32\DRIVERS\SynTP.sys
  0xA8A1C000 
\SystemRoot\system32\DRIVERS\USBD.SYS
  0xA67B6000 
\SystemRoot\system32\DRIVERS\mouclass.sys
  0xA67AE000 
\SystemRoot\system32\DRIVERS\kbdclass.sys
  0xA69AA000 
\SystemRoot\system32\DRIVERS\imapi.sys
  0xA699A000 
\SystemRoot\system32\DRIVERS\cdrom.sys
  0xA698A000 
\SystemRoot\system32\DRIVERS\redbook.sys
  0xA5019000 
\SystemRoot\system32\DRIVERS\ks.sys
  0xA6AF2000 
\SystemRoot\system32\DRIVERS\CmBatt.sys
  0xA6AEE000 
\SystemRoot\system32\DRIVERS\wmiacpi.sys
  0xA4F48000 
\SystemRoot\system32\DRIVERS\btkrnl.sys
  0xA8A1A000 
\SystemRoot\system32\DRIVERS\serscan.sys
  0xA6C9B000 
\SystemRoot\system32\DRIVERS\audstub.sys
  0xA697A000 
\SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xA6AEA000 
\SystemRoot\system32\DRIVERS\ndistapi.sys
  0xA4F31000 
\SystemRoot\system32\DRIVERS\ndiswan.sys
  0xA696A000 
\SystemRoot\system32\DRIVERS\raspppoe.sys
  0xA695A000 
\SystemRoot\system32\DRIVERS\raspptp.sys
  0xA67A6000 
\SystemRoot\system32\DRIVERS\TDI.SYS
  0xA4F20000 
\SystemRoot\system32\DRIVERS\psched.sys
  0xA694A000 
\SystemRoot\system32\DRIVERS\msgpc.sys
  0xA679E000 
\SystemRoot\system32\DRIVERS\ptilink.sys
  0xA6796000 
\SystemRoot\system32\DRIVERS\raspti.sys
  0xA4EF0000 
\SystemRoot\system32\DRIVERS\rdpdr.sys
  0xA693A000 
\SystemRoot\system32\DRIVERS\termdd.sys
  0xA692A000 
\SystemRoot\system32\DRIVERS\SymIM.sys
  0xA848B000 
\SystemRoot\system32\DRIVERS\swenum.sys
  0xA4E92000 
\SystemRoot\system32\DRIVERS\update.sys
  0xA6753000 
\SystemRoot\system32\DRIVERS\mssmbios.sys
  0xA691A000 
\SystemRoot\System32\Drivers\NDProxy.SYS
  0xA5FD8000 
\SystemRoot\system32\DRIVERS\usbhub.sys
  0xA2D74000 
\SystemRoot\system32\drivers\sthda.sys
  0xA2D50000 
\SystemRoot\system32\drivers\portcls.sys
  0xA5FC8000 
\SystemRoot\system32\drivers\drmk.sys
  0xA2D2D000 
\??\C:\WINDOWS\system32\Drivers\OEM02Afx.sys
  0xA7667000 
\SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xACAFB000 
\SystemRoot\System32\Drivers\Null.SYS
  0xA7665000 
\SystemRoot\System32\Drivers\Beep.SYS
  0xA60DA000 
\SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xA60D2000 
\SystemRoot\System32\drivers\vga.sys
  0xA7663000 
\SystemRoot\System32\Drivers\mnmdd.SYS
  0xA7661000 
\SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xA60CA000 
\SystemRoot\System32\Drivers\Msfs.SYS
  0xA60C2000 
\SystemRoot\System32\Drivers\Npfs.SYS
  0xADBC2000 
\SystemRoot\system32\DRIVERS\rasacd.sys
  0xA1CFA000 
\SystemRoot\system32\DRIVERS\ipsec.sys
  0xA1CA1000 
\SystemRoot\system32\DRIVERS\tcpip.sys
  0xA1C48000 
\SystemRoot\system32\drivers\NIS\1201000.025\SYMTDI.SYS
  0xA1C22000 
\SystemRoot\system32\DRIVERS\ipnat.sys
  0xA5F98000 
\SystemRoot\system32\DRIVERS\wanarp.sys
  0xA1BFC000 
\??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
  0xA5F88000 
\SystemRoot\system32\DRIVERS\arp1394.sys
  0xA1BA7000 
\??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20100903.003\IDSxpx86.sys
  0xA1B7F000 
\SystemRoot\system32\DRIVERS\netbt.sys
  0xA1B5D000 
\SystemRoot\System32\drivers\afd.sys
  0xA5F78000 
\SystemRoot\system32\DRIVERS\netbios.sys
  0xA1B3A000 
\SystemRoot\system32\drivers\NIS\1201000.025\Ironx86.SYS
  0xADBAA000 
\SystemRoot\system32\DRIVERS\hidusb.sys
  0xA5F68000 
\SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xA5F58000 
\SystemRoot\system32\drivers\NIS\1201000.025\SRTSPX.SYS
  0xA1B0F000 
\SystemRoot\system32\DRIVERS\rdbss.sys
  0xA1A9F000 
\SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xADC0A000 
\SystemRoot\System32\Drivers\Fips.SYS
  0xA1A41000 
\??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys
  0xA1A24000 
\??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
  0xA1978000 
\??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20100810.004\BHDrvx86.sys
  0xADBDA000 
\SystemRoot\System32\Drivers\Cdfs.SYS
  0xAD4FF000 
\SystemRoot\System32\Drivers\btwusb.sys
  0xB7C0B000 
\SystemRoot\system32\DRIVERS\kbdhid.sys
  0xB7C07000 
\SystemRoot\system32\DRIVERS\mouhid.sys
  0xB8438000 
\SystemRoot\system32\DRIVERS\usbccgp.sys
  0xA193E000 
\SystemRoot\system32\DRIVERS\OEM02Dev.sys
  0xA6619000 
\SystemRoot\system32\DRIVERS\OEM02Vfx.sys
  0xA1880000 
\SystemRoot\System32\Drivers\dump_iaStor.sys
  0xBF800000 
\SystemRoot\System32\win32k.sys
  0xB7BD2000 
\SystemRoot\System32\drivers\Dxapi.sys
  0xB8398000 
\SystemRoot\System32\watchdog.sys
  0xBD000000 
\SystemRoot\System32\drivers\dxg.sys
  0xB87AB000 
\SystemRoot\System32\drivers\dxgthk.sys
  0xBD012000 
\SystemRoot\System32\nv4_disp.dll
  0xBFFA0000 
\SystemRoot\System32\ATMFD.DLL
  0xB8450000 
\SystemRoot\system32\DRIVERS\AegisP.sys
  0xADBA2000 
\SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB7BE7000 
\SystemRoot\system32\DRIVERS\s24trans.sys
  0x9F363000 
\SystemRoot\system32\DRIVERS\mrxdav.sys
  0x9F0F6000 
\SystemRoot\system32\drivers\wdmaud.sys
  0x9F26B000 
\SystemRoot\system32\drivers\sysaudio.sys
  0x9F09F000 
\SystemRoot\system32\DRIVERS\srv.sys
  0x9EC28000 
\SystemRoot\System32\Drivers\HTTP.sys
  0x9EBA7000 
\SystemRoot\System32\Drivers\NIS\1201000.025\SRTSP.SYS
  0x9EA33000 
\??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\VirusDefs\20100905.003\NAVEX15.SYS
  0x9E97F000 
\??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\VirusDefs\20100905.003\NAVENG.SYS
  0x7C910000 
\WINDOWS\system32\ntdll.dll

Processes 
(total 59):
       
0 System Idle Process
       4 System
     760 C
:\WINDOWS\system32\smss.exe
     816 csrss
.exe
     848 C
:\WINDOWS\system32\winlogon.exe
     892 C
:\WINDOWS\system32\services.exe
     904 C
:\WINDOWS\system32\lsass.exe
    1064 C
:\WINDOWS\system32\nvsvc32.exe
    1096 C
:\WINDOWS\system32\svchost.exe
    1164 svchost
.exe
    1208 C
:\WINDOWS\system32\svchost.exe
    1248 C
:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    1360 C
:\Programme\Intel\Wireless\Bin\S24EvMon.exe
    1420 svchost
.exe
    1460 svchost
.exe
    1656 C
:\Programme\Lavasoft\Ad-Aware\AAWService.exe
    1732 C
:\WINDOWS\system32\spoolsv.exe
    2040 svchost
.exe
     260 C
:\Programme\Intel\Wireless\Bin\EvtEng.exe
     328 C
:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe
     400 C
:\WINDOWS\system32\HPZipm12.exe
     464 C
:\Programme\Intel\Wireless\Bin\RegSrvc.exe
     540 C
:\WINDOWS\system32\tcpsvcs.exe
     568 C
:\WINDOWS\system32\snmp.exe
     592 C
:\Programme\SigmaTel\C-Major Audio\DellXPM_5515v133\WDM\stacsv.exe
    1124 C
:\WINDOWS\system32\svchost.exe
    1316 C
:\Programme\Intel\Wireless\Bin\WLKEEPER.exe
    2124 wmiprvse
.exe
    2244 unsecapp
.exe
    2276 wmiprvse
.exe
    2392 alg
.exe
    2812 C
:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe
    2856 C
:\WINDOWS\explorer.exe
    3688 C
:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe
    3708 C
:\Programme\Intel\Wireless\Bin\iFrmewrk.exe
    3776 C
:\Programme\Synaptics\SynTP\SynTPEnh.exe
    3792 C
:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe
    3800 C
:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\LCDMon.exe
    3808 C
:\WINDOWS\OEM02Mon.exe
    3828 C
:\WINDOWS\system32\rundll32.exe
    3844 C
:\WINDOWS\system32\rundll32.exe
    3884 C
:\WINDOWS\system32\ctfmon.exe
    3908 C
:\Dokumente und Einstellungen\XPS-1730\Eigene Dateien\Downloads\MouseExtender.1.9.7.0\MouseExtender.exe
    2976 C
:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe
    3000 C
:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe
    3028 C
:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDPOP3.exe
    3452 C
:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
    3476 C
:\WINDOWS\system32\svchost.exe
    3996 C
:\Programme\WIDCOMM\Bluetooth Software\BTStackServer.exe
    2804 C
:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
    3712 C
:\Programme\Internet Explorer\iexplore.exe
    2872 C
:\Programme\Internet Explorer\iexplore.exe
    4076 C
:\Programme\Internet Explorer\iexplore.exe
    3072 C
:\WINDOWS\system32\notepad.exe
    1960 C
:\WINDOWS\system32\notepad.exe
    2060 C
:\WINDOWS\system32\notepad.exe
    2752 C
:\WINDOWS\system32\notepad.exe
    2740 C
:\WINDOWS\system32\notepad.exe
    1848 C
:\Dokumente und Einstellungen\XPS-1730\Eigene Dateien\Downloads\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: 

      Size  Device Name          MBR Status
  --------------------------------------------
    223 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done! 
So ich hoffe Du kannst mir nun vielleicht doch noch weiterhelfen. Übrigens, wir sind ein mittelständiges Unternehmen mit knapp 70 Mitarbeitern und können uns leider keine eigenen IT´lers leisten und ich vermute auch nicht hinter jedem Prozess etwas komisches, doch ich kenne meine letztendlich immer mit viel Mühe, Hingabe und Zeit aufgesetzte Kiste. Da werden normalerweise nicht ständig lauter mir unbekannte Nicht-PnP Treiber installiert oder zig Prozesse gestartet die meinen Rechner am Ende sogar in die Knie zwingen. Mag sein, dass ich zur Zeit etwas überreagiere, aber ein gebranntes Kind scheut eben das Feuer...

Angehängte Dateien
Dateityp: txt OTL-ANSI.Txt (94,0 KB, 175x aufgerufen)

Alt 06.09.2010, 20:34   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor oder Trojaner noch immer auf meinem System? - Standard

Backdoor oder Trojaner noch immer auf meinem System?



Zitat:
Also nachdem gestern Abend Ad-Aware auf meinem privaten mit DBAN gesäubertes Notebook auf einem meiner Sticks eine Trojanermeldung brachte und ich wusste dass diese Datei auch schon auf meinem Firmenrechner ist, installierte ich dort auch Ad-Aware. Und obwohl NIS und Malwarebytes vor bei keinem Scan was meldete:
Also so langsam hab ich den Eindruck, Du redest Dir eine Infektion herbei
Ad-Aware ist noch nie wirklich ein tolles Tool gewesen, und nur weil es irgendwas gefunden gefunden hat (was genau verschweigst Du leider ) gehst Du von einer Infektion aus, obwohl (a) die Platte komplett überschrieben wurde, (b) Malwarebytes nicht gefunden hat, (c) die OTL-Logs unauffällig sind und (d) Dein System sich unauffällig verhält.

Was willst Du mehr?

Du hast auch schon davon gehört, dass derartige Software, allgemein Software niemals perfekt sein kann und wird? Software wird von Menschen geschrieben, denen Programmierfehler passieren können. Viren-/Adwarescanner können Schädlinge melden, die garnicht da sind!!

Zitat:
Übrigens, wir sind ein mittelständiges Unternehmen mit knapp 70 Mitarbeitern und können uns leider keine eigenen IT´lers leisten
na dann wünsch ich Euch viel Spaß ohne IT.
Wenn manche meinen, man kann einfach künstlich einfach eine bei dieser Firmengrößenordnung essentielle Abteilung weglassen, wird irgendwann ein böses Erwachen haben, wo leider auch alle anderen Mitarbeiter von betroffen sind. Spätestens bei einem Totalcrash des Servers und das Backupkonzept war mangelhaft

Kein Firmenchef würde auf die Idee kommen, die Verwaltung wegzulassen, aber bei der IT kann man ja immer sparen, ist ja nur ein Kostenfaktor ohne Mehrwert!
__________________
--> Backdoor oder Trojaner noch immer auf meinem System?

Antwort

Themen zu Backdoor oder Trojaner noch immer auf meinem System?
.dll, 0 bytes, ausspioniert, backdoor, dateien, defogger, einstellungen, explorer, format, g-data, herunterfahren, ieframe.dll, iexplore.exe, installation, logfiles, malwarebytes, neu aufgesetzt, neue, ntdll.dll, otl-file, programme, registry, scan, schnelle hilfe, software, system, treiber, trojaner, udp, windows, windows installer



Ähnliche Themen: Backdoor oder Trojaner noch immer auf meinem System?


  1. Als Trojaner identifizierte Datei aus Quarantäne gelöscht. Ist noch etwas auf meinem System?
    Log-Analyse und Auswertung - 17.03.2015 (3)
  2. Win 8.1 / System sehr langsam, Trojaner Agent.csji.3 noch aktiv ?, oder andere
    Log-Analyse und Auswertung - 30.09.2014 (20)
  3. Befinden sich noch Trojaner (dropper.gen; win32.downloader.gen)auf meinem Computer oder nicht?
    Log-Analyse und Auswertung - 02.06.2014 (7)
  4. Ich scheine einen Virus oder Trojaner auf meinem System zu haben!
    Plagegeister aller Art und deren Bekämpfung - 29.03.2014 (29)
  5. system neu aufgesetzt,trojaner symptome immer noch da
    Log-Analyse und Auswertung - 10.09.2013 (1)
  6. 2x ihavenet immer noch auf meinem Rechner
    Mülltonne - 08.09.2013 (1)
  7. System Care Antivirus manuell gelöscht. Vermutlich noch Backdoor oder andere Reste übrig.
    Log-Analyse und Auswertung - 13.08.2013 (6)
  8. Wurm,trojaner oder ähnliches auf meinem System
    Log-Analyse und Auswertung - 15.07.2013 (9)
  9. My Start- Incredibar - noch immer auf meinem Rechner?
    Log-Analyse und Auswertung - 07.01.2013 (41)
  10. BAK Trojaner - System wieder zurückgestellt jedoch Dateien immer noch verschlüsselt
    Diskussionsforum - 12.07.2012 (1)
  11. System Check Virus. Nach Trojaner Entfernung immer noch geblockt!
    Plagegeister aller Art und deren Bekämpfung - 23.03.2012 (17)
  12. XP REchner: kann nicht erkennen, ob ich immer noch Trojaner auf meinem Rechner habe
    Plagegeister aller Art und deren Bekämpfung - 13.09.2011 (43)
  13. Antimalware Doctor noch immer auf meinem PC
    Log-Analyse und Auswertung - 27.08.2010 (11)
  14. Backdoor trojaner, gestern bereinigt, jetzt nicht mehr da, oder doch noch?
    Log-Analyse und Auswertung - 20.02.2010 (1)
  15. Bifrost ist nach dem löschen noch immer auf meinem PC?
    Plagegeister aller Art und deren Bekämpfung - 28.12.2009 (1)
  16. Hab ich noch Viren auf meinem System?
    Log-Analyse und Auswertung - 07.02.2009 (1)
  17. System neu aufgesetzt! immer noch Trojaner
    Mülltonne - 27.09.2008 (0)

Zum Thema Backdoor oder Trojaner noch immer auf meinem System? - Hallo erstmal! Ich wende mich heute hier an euch, weil ich vor ca. 14 Tagen bemerkte, dass ich allmählich die Kontrolle über meinen Firmenlaptop verlor und ausspioniert wurde. Leider konnte - Backdoor oder Trojaner noch immer auf meinem System?...
Archiv
Du betrachtest: Backdoor oder Trojaner noch immer auf meinem System? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.