BKA Trojaner - nichts geht mehr...
 

So, versuche mich hier in die Liste der Leidensgenossen einzureihen. Habe die BKA-Meldung auf dem Laptop und nicht wirklich viel verstanden, was ich jetzt machen kann, nachdem ich hier schon viele Beiträge gelesen habe. Ist für mich als Laien auch zu viel auf ein Mal.
Wäre suuuupernett, wenn ich Unterstützung bekommen könnte.
Also, ich komme immer bis zur Eingabe meiner Benutzerkennung und wenn ich mich damit angemeldet habe, dann kommt gleich die BKA-Meldung :headbang:
Danke Euch schon jetzt für Eure Hilfe

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick. Wichtig: Nicht in einen Ordner speichern.

• Starte den infizierten Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
• Logge dich nun in das infizierte Benutzerkonto ein.
• Schließe den USB Stick an den infizierten Rechner an.
• Nun ist etwas Handarbeit gefragt.
  • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
  • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
    Zitat:

    Das System kann das angegeben Laufwerk nicht finden

    versuche einen anderen Laufwerksbuchstaben. ( zB F: )
• Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.

  start srep.exe

• Bestätige den Disclaimer mit OK.
• Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Hallo und erstmal danke für die Hilfe!
habe, bevor deine Anleitung kam, eine Systemwiederherstellung gemacht, also den Zeitpunkt zurückgesetzt und kann jetzt erstmal wieder "normal" rein. Bin dann mit dem infizierten Rechner ins Netz und habe malwarebytes runtergeladen und lasse gerade prüfen. Soll ich danach trotzdem so verfahren wie in deiner Anleitung, also über den abgesicherten Modus reingehen oder kann ich vom infizierten Rechner srep.exe runterladen? Danke, freue mich so über die Hilfe :crazy:

Nein dann brqauchst du srep nicht mehr. srep ist nur dafür das, einen vom BKA infizierten Rechner wieder im normalen Mpdus lauffähig zu machen.

Poste dann alle Logs von Malwarebytes wenns durch ist-

Hoffe, dass es so richtig ist, oder hätte ich es als Anhang schicken sollen?
Hier die logdatei von malwarebytes:


Malwarebytes' Anti-Malware 1.51.1.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7648

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

04.09.2011 16:16:36
mbam-log-2011-09-04 (16-16-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 308283
Laufzeit: 1 Stunde(n), 44 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Antivirus 2008 PRO (Rogue.AntiVirus2008) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_Application (Hijacker.Application) -> Value: bak_Application -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\Application (Hijacker.Application) -> Bad: (File Extension Search) Good: (hxxp://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\Users\Silke\AppData\Roaming\microsoft\Windows\start menu\Programs\antivirus 2008 pro (Rogue.AntiVirus2008) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\Users\Silke\AppData\Roaming\microsoft\Windows\start menu\Programs\antivirus 2008 pro\onenote inhaltsverzeichnis.onetoc2 (Rogue.AntiVirus2008) -> Quarantined and deleted successfully.

Danke
Uli63

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Oh je, habe antivir, zonealarm und windowsdefender ausgeschaltet (glaube ich wenigstens, dass es geklappt hat), aber beim download des onlinescanners kommt, nachdem ich den richtigen Haken gesetzt habe:
Can not get update. Is proxy configured?
Was nun?
gehe immer mit firefox online, aber der Hinweis mit dem addon auf dem desktop, vielleicht habe ich da irgendetwas übersehen?
Tja, ich bin schon verdammt ahnungslos ... Umso mehr freue ich mich, wenn ich's mit Eurer Geduld in den Griff kriegen könnte!!!

ZoneAlarm ist kontraproduktiver Müll, bitte umgehend deinstallieren und die Windows-Firewall einschalten!

Außerdem muss der Browser per Rechtsklick als Administrator gestartet werden! Die Anleitungen bitte richtig lesen und nicht nur überfliegen!

BKA Trojaner - nichts geht mehr...
 

okay, zonealarm ist gelöscht! windows firewall ist eingeschaltet. Jetzt macht er's. Ihr habt's wirklich nicht leicht mit mir, Entschuldigung!

So, hier log.txt:

ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=3ff7faed29c59045bf6c5487f5874ac3
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-04 07:50:53
# local_time=2011-09-04 09:50:53 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=5892 16776573 100 100 1221 152690779 0 0
# compatibility_mode=8192 67108863 100 0 3510 3510 0 0
# scanned=149718
# found=2
# cleaned=0
# scan_time=7801

Danke
Uli63

Schon okay :)

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

OTL Logfile:
--- --- ---

lieber arne,
bin jetzt doch unsicher, ob ich's nicht vielleicht falsch gemacht habe mit otl.exe?
habe die anleitung nicht so genau verstanden. also, wenn ich otl.exe als admin geöffnet habe, was soll ich dann in die textbox kopieren, die ja leer ist? genau das, was in deiner textbox zu sehen ist in deiner anleitung? was anderes habe ich bis dahin ja nicht ...
das habe ich nämlich nicht gemacht, sondern den quickscan laufen lassen und rein kopiert (kommt aber in deiner anleitung aber später). vielleicht war das nicht richtig? dachte, dass der text (für mich sind das ja nur hieroglyphen!!!) nur ein beispiel sei, na ja, du wirst es mir bestimmt sagen ... dann mache ich das ganze noch einmal, wenn's sein muss und machbar ist ...
danke

Ja, du sollst das was ich in die Codebox gepostet habe, unten in den Textbereich von OTL einfügen. Sonst wäre ja auch meine Codebox sinnfrei, wenn der Inhalt nicht weiter verarbeitet werden sollte :D

hallihallo,
und wieder ein problem :heulen:
habe den inhalt aus der codebox bei otl.exe reinkopiert und gestartet. dann beginnt der suchlauf mit scan process ... wenn's dann mit scan modules ... weitergeht, erscheint "keine rückmeldung", also programm stürzt ab oder wird geblockt? gestern ging's doch ...
habe nämlich auch die neue meldung beim pc-start: einige autostartprogramme werden von windows geblockt.
darüber hinaus noch die frage: habe malwarebytes auf dem desktop, antivir und windows defender und windows firewall. blockiert sich da vielleicht was gegenseitig? weil du schon gesagt hast, dass zonealarm quark ist, bin ich verunsichert, ob ich da weiteren quark habe ...

danke, danke für die rückmeldung
Uli63

Setz mal den Auswahlbutton bei Scan Modules auf "Aus"

hallo arne,

plötzlich ging es doch, ohne dass ich was gemacht habe ...
im anhang nun endlich die otl.txt.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

hallo arne, hier der OTL-Fix:

All processes killed
========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Secondary_Page_URL| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Secondary Start Pages| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\StartPageCache| /E : value set successfully!
Prefs.js: "ZoneAlarm-Sicherheit Customized Web Search" removed from browser.search.defaultthis.engineName
Prefs.js: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl
Prefs.js: "ZoneAlarm-Sicherheit Customized Web Search" removed from browser.search.selectedEngine
Prefs.js: "hxxp://www.google.de" removed from browser.startup.homepage
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bat moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cca7eef1-7d0c-11dd-9420-0016d3811654}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{cca7eef1-7d0c-11dd-9420-0016d3811654}\ not found.
File F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cca7eef1-7d0c-11dd-9420-0016d3811654}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{cca7eef1-7d0c-11dd-9420-0016d3811654}\ not found.
File F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 83 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: Silke
->Temp folder emptied: 16384 bytes
->Temporary Internet Files folder emptied: 573574 bytes
->Java cache emptied: 8220926 bytes
->FireFox cache emptied: 42551747 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 559974396 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 583,00 mb

C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.27.0 log created on 09072011_164735

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


das war's erstmal ...
Danke Uli63

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

also, es stand da, dass nichts gefunden wurde, aber hier der report:

2011/09/07 20:45:52.0836 5076 TDSS rootkit removing tool 2.5.19.0 Sep 6 2011 19:23:56
2011/09/07 20:45:53.0039 5076 ================================================================================
2011/09/07 20:45:53.0039 5076 SystemInfo:
2011/09/07 20:45:53.0039 5076
2011/09/07 20:45:53.0039 5076 OS Version: 6.0.6002 ServicePack: 2.0
2011/09/07 20:45:53.0039 5076 Product type: Workstation
2011/09/07 20:45:53.0039 5076 ComputerName: ULRIKE-PC
2011/09/07 20:45:53.0039 5076 UserName: Silke
2011/09/07 20:45:53.0039 5076 Windows directory: C:\Windows
2011/09/07 20:45:53.0039 5076 System windows directory: C:\Windows
2011/09/07 20:45:53.0039 5076 Processor architecture: Intel x86
2011/09/07 20:45:53.0039 5076 Number of processors: 2
2011/09/07 20:45:53.0039 5076 Page size: 0x1000
2011/09/07 20:45:53.0039 5076 Boot type: Normal boot
2011/09/07 20:45:53.0039 5076 ================================================================================
2011/09/07 20:45:54.0942 5076 Initialize success
2011/09/07 20:46:12.0227 5228 ================================================================================
2011/09/07 20:46:12.0227 5228 Scan started
2011/09/07 20:46:12.0227 5228 Mode: Manual;
2011/09/07 20:46:12.0227 5228 ================================================================================
2011/09/07 20:46:14.0130 5228 ACPI (82b296ae1892fe3dbee00c9cf92f8ac7) C:\Windows\system32\drivers\acpi.sys
2011/09/07 20:46:14.0255 5228 adp94xx (2edc5bbac6c651ece337bde8ed97c9fb) C:\Windows\system32\drivers\adp94xx.sys
2011/09/07 20:46:14.0364 5228 adpahci (b84088ca3cdca97da44a984c6ce1ccad) C:\Windows\system32\drivers\adpahci.sys
2011/09/07 20:46:14.0426 5228 adpu160m (7880c67bccc27c86fd05aa2afb5ea469) C:\Windows\system32\drivers\adpu160m.sys
2011/09/07 20:46:14.0489 5228 adpu320 (9ae713f8e30efc2abccd84904333df4d) C:\Windows\system32\drivers\adpu320.sys
2011/09/07 20:46:14.0613 5228 AFD (3911b972b55fea0478476b2e777b29fa) C:\Windows\system32\drivers\afd.sys
2011/09/07 20:46:14.0801 5228 aic78xx (ae1fdf7bf7bb6c6a70f67699d880592a) C:\Windows\system32\drivers\djsvs.sys
2011/09/07 20:46:14.0941 5228 aliide (90395b64600ebb4552e26e178c94b2e4) C:\Windows\system32\drivers\aliide.sys
2011/09/07 20:46:15.0019 5228 amdagp (2b13e304c9dfdfa5eb582f6a149fa2c7) C:\Windows\system32\drivers\amdagp.sys
2011/09/07 20:46:15.0097 5228 amdide (0577df1d323fe75a739c787893d300ea) C:\Windows\system32\drivers\amdide.sys
2011/09/07 20:46:15.0159 5228 AmdK7 (dc487885bcef9f28eece6fac0e5ddfc5) C:\Windows\system32\drivers\amdk7.sys
2011/09/07 20:46:15.0206 5228 AmdK8 (0ca0071da4315b00fc1328ca86b425da) C:\Windows\system32\drivers\amdk8.sys
2011/09/07 20:46:15.0393 5228 arc (5f673180268bb1fdb69c99b6619fe379) C:\Windows\system32\drivers\arc.sys
2011/09/07 20:46:15.0471 5228 arcsas (957f7540b5e7f602e44648c7de5a1c05) C:\Windows\system32\drivers\arcsas.sys
2011/09/07 20:46:15.0534 5228 AsyncMac (53b202abee6455406254444303e87be1) C:\Windows\system32\DRIVERS\asyncmac.sys
2011/09/07 20:46:15.0627 5228 atapi (1f05b78ab91c9075565a9d8a4b880bc4) C:\Windows\system32\drivers\atapi.sys
2011/09/07 20:46:15.0705 5228 athrusb (d89391d3eb1dd7f0b857f3255a2dac7e) C:\Windows\system32\DRIVERS\athrusb.sys
2011/09/07 20:46:15.0971 5228 avgntflt (1e4114685de1ffa9675e09c6a1fb3f4b) C:\Windows\system32\DRIVERS\avgntflt.sys
2011/09/07 20:46:16.0127 5228 avipbb (0f78d3dae6dedd99ae54c9491c62adf2) C:\Windows\system32\DRIVERS\avipbb.sys
2011/09/07 20:46:16.0220 5228 Beep (67e506b75bd5326a3ec7b70bd014dfb6) C:\Windows\system32\drivers\Beep.sys
2011/09/07 20:46:16.0361 5228 bowser (35f376253f687bde63976ccb3f2108ca) C:\Windows\system32\DRIVERS\bowser.sys
2011/09/07 20:46:16.0470 5228 BrFiltLo (9f9acc7f7ccde8a15c282d3f88b43309) C:\Windows\system32\drivers\brfiltlo.sys
2011/09/07 20:46:16.0548 5228 BrFiltUp (56801ad62213a41f6497f96dee83755a) C:\Windows\system32\drivers\brfiltup.sys
2011/09/07 20:46:16.0595 5228 Brserid (b304e75cff293029eddf094246747113) C:\Windows\system32\drivers\brserid.sys
2011/09/07 20:46:16.0751 5228 BrSerWdm (203f0b1e73adadbbb7b7b1fabd901f6b) C:\Windows\system32\drivers\brserwdm.sys
2011/09/07 20:46:16.0829 5228 BrUsbMdm (bd456606156ba17e60a04e18016ae54b) C:\Windows\system32\drivers\brusbmdm.sys
2011/09/07 20:46:16.0891 5228 BrUsbSer (af72ed54503f717a43268b3cc5faec2e) C:\Windows\system32\drivers\brusbser.sys
2011/09/07 20:46:16.0938 5228 BTHMODEM (ad07c1ec6665b8b35741ab91200c6b68) C:\Windows\system32\drivers\bthmodem.sys
2011/09/07 20:46:17.0016 5228 cdfs (7add03e75beb9e6dd102c3081d29840a) C:\Windows\system32\DRIVERS\cdfs.sys
2011/09/07 20:46:17.0094 5228 cdrom (6b4bffb9becd728097024276430db314) C:\Windows\system32\DRIVERS\cdrom.sys
2011/09/07 20:46:17.0156 5228 circlass (da8e0afc7baa226c538ef53ac2f90897) C:\Windows\system32\drivers\circlass.sys
2011/09/07 20:46:17.0265 5228 CLFS (d7659d3b5b92c31e84e53c1431f35132) C:\Windows\system32\CLFS.sys
2011/09/07 20:46:17.0437 5228 CmBatt (99afc3795b58cc478fbbbcdc658fcb56) C:\Windows\system32\DRIVERS\CmBatt.sys
2011/09/07 20:46:17.0515 5228 cmdide (45201046c776ffdaf3fc8a0029c581c8) C:\Windows\system32\drivers\cmdide.sys
2011/09/07 20:46:17.0562 5228 Compbatt (6afef0b60fa25de07c0968983ee4f60a) C:\Windows\system32\DRIVERS\compbatt.sys
2011/09/07 20:46:17.0624 5228 crcdisk (2a213ae086bbec5e937553c7d9a2b22c) C:\Windows\system32\drivers\crcdisk.sys
2011/09/07 20:46:17.0671 5228 Crusoe (22a7f883508176489f559ee745b5bf5d) C:\Windows\system32\drivers\crusoe.sys
2011/09/07 20:46:17.0765 5228 DfsC (622c41a07ca7e6dd91770f50d532cb6c) C:\Windows\system32\Drivers\dfsc.sys
2011/09/07 20:46:17.0889 5228 disk (5d4aefc3386920236a548271f8f1af6a) C:\Windows\system32\drivers\disk.sys
2011/09/07 20:46:17.0967 5228 drmkaud (97fef831ab90bee128c9af390e243f80) C:\Windows\system32\drivers\drmkaud.sys
2011/09/07 20:46:18.0170 5228 DXGKrnl (c68ac676b0ef30cfbb1080adce49eb1f) C:\Windows\System32\drivers\dxgkrnl.sys
2011/09/07 20:46:18.0326 5228 E1G60 (f88fb26547fd2ce6d0a5af2985892c48) C:\Windows\system32\DRIVERS\E1G60I32.sys
2011/09/07 20:46:18.0404 5228 Ecache (7f64ea048dcfac7acf8b4d7b4e6fe371) C:\Windows\system32\drivers\ecache.sys
2011/09/07 20:46:18.0513 5228 elxstor (e8f3f21a71720c84bcf423b80028359f) C:\Windows\system32\drivers\elxstor.sys
2011/09/07 20:46:18.0638 5228 exfat (22b408651f9123527bcee54b4f6c5cae) C:\Windows\system32\drivers\exfat.sys
2011/09/07 20:46:18.0732 5228 fastfat (1e9b9a70d332103c52995e957dc09ef8) C:\Windows\system32\drivers\fastfat.sys
2011/09/07 20:46:18.0888 5228 fdc (63bdada84951b9c03e641800e176898a) C:\Windows\system32\DRIVERS\fdc.sys
2011/09/07 20:46:18.0966 5228 FETNDIS (b2b2c38e916184ff8523c7439ddd417f) C:\Windows\system32\DRIVERS\fetnd5.sys
2011/09/07 20:46:19.0059 5228 FileInfo (a8c0139a884861e3aae9cfe73b208a9f) C:\Windows\system32\drivers\fileinfo.sys
2011/09/07 20:46:19.0137 5228 Filetrace (0ae429a696aecbc5970e3cf2c62635ae) C:\Windows\system32\drivers\filetrace.sys
2011/09/07 20:46:19.0200 5228 flpydisk (6603957eff5ec62d25075ea8ac27de68) C:\Windows\system32\DRIVERS\flpydisk.sys
2011/09/07 20:46:19.0278 5228 FltMgr (01334f9ea68e6877c4ef05d3ea8abb05) C:\Windows\system32\drivers\fltmgr.sys
2011/09/07 20:46:19.0371 5228 Fs_Rec (65ea8b77b5851854f0c55c43fa51a198) C:\Windows\system32\drivers\Fs_Rec.sys
2011/09/07 20:46:19.0434 5228 FWLANUSB (b45f1df1cce34e2af422f0ed78cd70ef) C:\Windows\system32\DRIVERS\fwlanusb.sys
2011/09/07 20:46:19.0605 5228 gagp30kx (4e1cd0a45c50a8882616cae5bf82f3c5) C:\Windows\system32\drivers\gagp30kx.sys
2011/09/07 20:46:19.0699 5228 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\Windows\system32\DRIVERS\GEARAspiWDM.sys
2011/09/07 20:46:19.0839 5228 HdAudAddService (cb04c744be0a61b1d648faed182c3b59) C:\Windows\system32\drivers\HdAudio.sys
2011/09/07 20:46:19.0949 5228 HDAudBus (062452b7ffd68c8c042a6261fe8dff4a) C:\Windows\system32\DRIVERS\HDAudBus.sys
2011/09/07 20:46:20.0151 5228 HidBth (1338520e78d90154ed6be8f84de5fceb) C:\Windows\system32\drivers\hidbth.sys
2011/09/07 20:46:20.0198 5228 HidIr (ff3160c3a2445128c5a6d9b076da519e) C:\Windows\system32\drivers\hidir.sys
2011/09/07 20:46:20.0385 5228 HidUsb (cca4b519b17e23a00b826c55716809cc) C:\Windows\system32\DRIVERS\hidusb.sys
2011/09/07 20:46:20.0448 5228 Hotkey (8b566ea71d5b76157a9cdb78f25a5731) C:\Windows\system32\drivers\Hotkey.sys
2011/09/07 20:46:20.0541 5228 HpCISSs (df353b401001246853763c4b7aaa6f50) C:\Windows\system32\drivers\hpcisss.sys
2011/09/07 20:46:20.0635 5228 HTTP (f870aa3e254628ebeafe754108d664de) C:\Windows\system32\drivers\HTTP.sys
2011/09/07 20:46:20.0713 5228 i2omp (324c2152ff2c61abae92d09f3cca4d63) C:\Windows\system32\drivers\i2omp.sys
2011/09/07 20:46:20.0760 5228 i8042prt (22d56c8184586b7a1f6fa60be5f5a2bd) C:\Windows\system32\DRIVERS\i8042prt.sys
2011/09/07 20:46:20.0994 5228 ialm (a4fba5b34e69e46315a7c5223a470a17) C:\Windows\system32\DRIVERS\igdkmd32.sys
2011/09/07 20:46:21.0150 5228 iaStorV (c957bf4b5d80b46c5017bf0101e6c906) C:\Windows\system32\drivers\iastorv.sys
2011/09/07 20:46:21.0259 5228 igfx (a4fba5b34e69e46315a7c5223a470a17) C:\Windows\system32\DRIVERS\igdkmd32.sys
2011/09/07 20:46:21.0321 5228 iirsp (2d077bf86e843f901d8db709c95b49a5) C:\Windows\system32\drivers\iirsp.sys
2011/09/07 20:46:21.0446 5228 IntcAzAudAddService (0789485ffae865458e0f079dcbf4fcd2) C:\Windows\system32\drivers\RTKVHDA.sys
2011/09/07 20:46:21.0696 5228 intelide (97469037714070e45194ed318d636401) C:\Windows\system32\drivers\intelide.sys
2011/09/07 20:46:21.0789 5228 intelppm (224191001e78c89dfa78924c3ea595ff) C:\Windows\system32\DRIVERS\intelppm.sys
2011/09/07 20:46:21.0883 5228 IpFilterDriver (62c265c38769b864cb25b4bcf62df6c3) C:\Windows\system32\DRIVERS\ipfltdrv.sys
2011/09/07 20:46:21.0945 5228 IPMIDRV (40f34f8aba2a015d780e4b09138b6c17) C:\Windows\system32\drivers\ipmidrv.sys
2011/09/07 20:46:22.0023 5228 IPNAT (8793643a67b42cec66490b2a0cf92d68) C:\Windows\system32\DRIVERS\ipnat.sys
2011/09/07 20:46:22.0133 5228 IRENUM (109c0dfb82c3632fbd11949b73aeeac9) C:\Windows\system32\drivers\irenum.sys
2011/09/07 20:46:22.0273 5228 isapnp (350fca7e73cf65bcef43fae1e4e91293) C:\Windows\system32\drivers\isapnp.sys
2011/09/07 20:46:22.0382 5228 iScsiPrt (232fa340531d940aac623b121a595034) C:\Windows\system32\DRIVERS\msiscsi.sys
2011/09/07 20:46:22.0445 5228 iteatapi (bced60d16156e428f8df8cf27b0df150) C:\Windows\system32\drivers\iteatapi.sys
2011/09/07 20:46:22.0523 5228 iteraid (06fa654504a498c30adca8bec4e87e7e) C:\Windows\system32\drivers\iteraid.sys
2011/09/07 20:46:22.0569 5228 kbdclass (37605e0a8cf00cbba538e753e4344c6e) C:\Windows\system32\DRIVERS\kbdclass.sys
2011/09/07 20:46:22.0647 5228 kbdhid (ede59ec70e25c24581add1fbec7325f7) C:\Windows\system32\DRIVERS\kbdhid.sys
2011/09/07 20:46:22.0757 5228 KSecDD (86165728af9bf72d6442a894fdfb4f8b) C:\Windows\system32\Drivers\ksecdd.sys
2011/09/07 20:46:22.0991 5228 lltdio (d1c5883087a0c3f1344d9d55a44901f6) C:\Windows\system32\DRIVERS\lltdio.sys
2011/09/07 20:46:23.0131 5228 LSI_FC (a2262fb9f28935e862b4db46438c80d2) C:\Windows\system32\drivers\lsi_fc.sys
2011/09/07 20:46:23.0178 5228 LSI_SAS (30d73327d390f72a62f32c103daf1d6d) C:\Windows\system32\drivers\lsi_sas.sys
2011/09/07 20:46:23.0240 5228 LSI_SCSI (e1e36fefd45849a95f1ab81de0159fe3) C:\Windows\system32\drivers\lsi_scsi.sys
2011/09/07 20:46:23.0303 5228 luafv (8f5c7426567798e62a3b3614965d62cc) C:\Windows\system32\drivers\luafv.sys
2011/09/07 20:46:23.0396 5228 megasas (d153b14fc6598eae8422a2037553adce) C:\Windows\system32\drivers\megasas.sys
2011/09/07 20:46:23.0459 5228 Modem (e13b5ea0f51ba5b1512ec671393d09ba) C:\Windows\system32\drivers\modem.sys
2011/09/07 20:46:23.0537 5228 monitor (0a9bb33b56e294f686abb7c1e4e2d8a8) C:\Windows\system32\DRIVERS\monitor.sys
2011/09/07 20:46:23.0677 5228 mouclass (5bf6a1326a335c5298477754a506d263) C:\Windows\system32\DRIVERS\mouclass.sys
2011/09/07 20:46:23.0755 5228 mouhid (93b8d4869e12cfbe663915502900876f) C:\Windows\system32\DRIVERS\mouhid.sys
2011/09/07 20:46:23.0802 5228 MountMgr (bdafc88aa6b92f7842416ea6a48e1600) C:\Windows\system32\drivers\mountmgr.sys
2011/09/07 20:46:23.0880 5228 mpio (583a41f26278d9e0ea548163d6139397) C:\Windows\system32\drivers\mpio.sys
2011/09/07 20:46:23.0958 5228 mpsdrv (22241feba9b2defa669c8cb0a8dd7d2e) C:\Windows\system32\drivers\mpsdrv.sys
2011/09/07 20:46:24.0051 5228 Mraid35x (4fbbb70d30fd20ec51f80061703b001e) C:\Windows\system32\drivers\mraid35x.sys
2011/09/07 20:46:24.0145 5228 MRxDAV (82cea0395524aacfeb58ba1448e8325c) C:\Windows\system32\drivers\mrxdav.sys
2011/09/07 20:46:24.0301 5228 mrxsmb (1e94971c4b446ab2290deb71d01cf0c2) C:\Windows\system32\DRIVERS\mrxsmb.sys
2011/09/07 20:46:24.0379 5228 mrxsmb10 (4fccb34d793b116423209c0f8b7a3b03) C:\Windows\system32\DRIVERS\mrxsmb10.sys
2011/09/07 20:46:24.0473 5228 mrxsmb20 (c3cb1b40ad4a0124d617a1199b0b9d7c) C:\Windows\system32\DRIVERS\mrxsmb20.sys
2011/09/07 20:46:24.0551 5228 msahci (5457dcfa7c0da43522f4d9d4049c1472) C:\Windows\system32\drivers\msahci.sys
2011/09/07 20:46:24.0629 5228 msdsm (3fc82a2ae4cc149165a94699183d3028) C:\Windows\system32\drivers\msdsm.sys
2011/09/07 20:46:24.0738 5228 Msfs (a9927f4a46b816c92f461acb90cf8515) C:\Windows\system32\drivers\Msfs.sys
2011/09/07 20:46:24.0816 5228 msisadrv (0f400e306f385c56317357d6dea56f62) C:\Windows\system32\drivers\msisadrv.sys
2011/09/07 20:46:24.0878 5228 MSKSSRV (d8c63d34d9c9e56c059e24ec7185cc07) C:\Windows\system32\drivers\MSKSSRV.sys
2011/09/07 20:46:25.0034 5228 MSPCLOCK (1d373c90d62ddb641d50e55b9e78d65e) C:\Windows\system32\drivers\MSPCLOCK.sys
2011/09/07 20:46:25.0097 5228 MSPQM (b572da05bf4e098d4bba3a4734fb505b) C:\Windows\system32\drivers\MSPQM.sys
2011/09/07 20:46:25.0190 5228 MsRPC (b49456d70555de905c311bcda6ec6adb) C:\Windows\system32\drivers\MsRPC.sys
2011/09/07 20:46:25.0284 5228 mssmbios (e384487cb84be41d09711c30ca79646c) C:\Windows\system32\DRIVERS\mssmbios.sys
2011/09/07 20:46:25.0331 5228 MSTEE (7199c1eec1e4993caf96b8c0a26bd58a) C:\Windows\system32\drivers\MSTEE.sys
2011/09/07 20:46:25.0393 5228 Mup (6a57b5733d4cb702c8ea4542e836b96c) C:\Windows\system32\Drivers\mup.sys
2011/09/07 20:46:25.0487 5228 NativeWifiP (85c44fdff9cf7e72a40dcb7ec06a4416) C:\Windows\system32\DRIVERS\nwifi.sys
2011/09/07 20:46:25.0596 5228 NDIS (1357274d1883f68300aeadd15d7bbb42) C:\Windows\system32\drivers\ndis.sys
2011/09/07 20:46:25.0799 5228 NdisTapi (0e186e90404980569fb449ba7519ae61) C:\Windows\system32\DRIVERS\ndistapi.sys
2011/09/07 20:46:25.0877 5228 Ndisuio (d6973aa34c4d5d76c0430b181c3cd389) C:\Windows\system32\DRIVERS\ndisuio.sys
2011/09/07 20:46:25.0955 5228 NdisWan (818f648618ae34f729fdb47ec68345c3) C:\Windows\system32\DRIVERS\ndiswan.sys
2011/09/07 20:46:26.0017 5228 NDProxy (71dab552b41936358f3b541ae5997fb3) C:\Windows\system32\drivers\NDProxy.sys
2011/09/07 20:46:26.0079 5228 NetBIOS (bcd093a5a6777cf626434568dc7dba78) C:\Windows\system32\DRIVERS\netbios.sys
2011/09/07 20:46:26.0189 5228 netbt (ecd64230a59cbd93c85f1cd1cab9f3f6) C:\Windows\system32\DRIVERS\netbt.sys
2011/09/07 20:46:26.0313 5228 nfrd960 (2e7fb731d4790a1bc6270accefacb36e) C:\Windows\system32\drivers\nfrd960.sys
2011/09/07 20:46:26.0516 5228 Npfs (d36f239d7cce1931598e8fb90a0dbc26) C:\Windows\system32\drivers\Npfs.sys
2011/09/07 20:46:26.0610 5228 nsiproxy (609773e344a97410ce4ebf74a8914fcf) C:\Windows\system32\drivers\nsiproxy.sys
2011/09/07 20:46:26.0735 5228 Ntfs (6a4a98cee84cf9e99564510dda4baa47) C:\Windows\system32\drivers\Ntfs.sys
2011/09/07 20:46:26.0875 5228 ntrigdigi (e875c093aec0c978a90f30c9e0dfbb72) C:\Windows\system32\drivers\ntrigdigi.sys
2011/09/07 20:46:26.0953 5228 Null (c5dbbcda07d780bda9b685df333bb41e) C:\Windows\system32\drivers\Null.sys
2011/09/07 20:46:27.0015 5228 nvraid (e69e946f80c1c31c53003bfbf50cbb7c) C:\Windows\system32\drivers\nvraid.sys
2011/09/07 20:46:27.0171 5228 nvstor (9e0ba19a28c498a6d323d065db76dffc) C:\Windows\system32\drivers\nvstor.sys
2011/09/07 20:46:27.0249 5228 nv_agp (07c186427eb8fcc3d8d7927187f260f7) C:\Windows\system32\drivers\nv_agp.sys
2011/09/07 20:46:27.0405 5228 ohci1394 (6f310e890d46e246e0e261a63d9b36b4) C:\Windows\system32\DRIVERS\ohci1394.sys
2011/09/07 20:46:27.0483 5228 Parport (0fa9b5055484649d63c303fe404e5f4d) C:\Windows\system32\DRIVERS\parport.sys
2011/09/07 20:46:27.0593 5228 partmgr (57389fa59a36d96b3eb09d0cb91e9cdc) C:\Windows\system32\drivers\partmgr.sys
2011/09/07 20:46:27.0686 5228 Parvdm (4f9a6a8a31413180d0fcb279ad5d8112) C:\Windows\system32\DRIVERS\parvdm.sys
2011/09/07 20:46:27.0764 5228 pci (941dc1d19e7e8620f40bbc206981efdb) C:\Windows\system32\drivers\pci.sys
2011/09/07 20:46:27.0920 5228 pciide (1636d43f10416aeb483bc6001097b26c) C:\Windows\system32\DRIVERS\pciide.sys
2011/09/07 20:46:27.0983 5228 pcmcia (e6f3fb1b86aa519e7698ad05e58b04e5) C:\Windows\system32\drivers\pcmcia.sys
2011/09/07 20:46:28.0045 5228 PEAUTH (6349f6ed9c623b44b52ea3c63c831a92) C:\Windows\system32\drivers\peauth.sys
2011/09/07 20:46:28.0263 5228 PhilCap (6d2b038389259810b301ec8dc46c313f) C:\Windows\system32\DRIVERS\PhilCap.sys
2011/09/07 20:46:28.0575 5228 PptpMiniport (ecfffaec0c1ecd8dbc77f39070ea1db1) C:\Windows\system32\DRIVERS\raspptp.sys
2011/09/07 20:46:28.0622 5228 Processor (0e3cef5d28b40cf273281d620c50700a) C:\Windows\system32\drivers\processr.sys
2011/09/07 20:46:28.0716 5228 PSched (99514faa8df93d34b5589187db3aa0ba) C:\Windows\system32\DRIVERS\pacer.sys
2011/09/07 20:46:28.0825 5228 ql2300 (ccdac889326317792480c0a67156a1ec) C:\Windows\system32\drivers\ql2300.sys
2011/09/07 20:46:28.0903 5228 ql40xx (81a7e5c076e59995d54bc1ed3a16e60b) C:\Windows\system32\drivers\ql40xx.sys
2011/09/07 20:46:28.0981 5228 QWAVEdrv (9f5e0e1926014d17486901c88eca2db7) C:\Windows\system32\drivers\qwavedrv.sys
2011/09/07 20:46:29.0231 5228 R300 (e642b131fb74caf4bb8a014f31113142) C:\Windows\system32\DRIVERS\atikmdag.sys
2011/09/07 20:46:29.0433 5228 RasAcd (147d7f9c556d259924351feb0de606c3) C:\Windows\system32\DRIVERS\rasacd.sys
2011/09/07 20:46:29.0511 5228 Rasl2tp (a214adbaf4cb47dd2728859ef31f26b0) C:\Windows\system32\DRIVERS\rasl2tp.sys
2011/09/07 20:46:29.0605 5228 RasPppoe (509a98dd18af4375e1fc40bc175f1def) C:\Windows\system32\DRIVERS\raspppoe.sys
2011/09/07 20:46:29.0777 5228 RasSstp (2005f4a1e05fa09389ac85840f0a9e4d) C:\Windows\system32\DRIVERS\rassstp.sys
2011/09/07 20:46:29.0870 5228 rdbss (b14c9d5b9add2f84f70570bbbfaa7935) C:\Windows\system32\DRIVERS\rdbss.sys
2011/09/07 20:46:29.0933 5228 RDPCDD (89e59be9a564262a3fb6c4f4f1cd9899) C:\Windows\system32\DRIVERS\RDPCDD.sys
2011/09/07 20:46:30.0042 5228 rdpdr (e8bd98d46f2ed77132ba927fccb47d8b) C:\Windows\system32\drivers\rdpdr.sys
2011/09/07 20:46:30.0073 5228 RDPENCDD (9d91fe5286f748862ecffa05f8a0710c) C:\Windows\system32\drivers\rdpencdd.sys
2011/09/07 20:46:30.0167 5228 RDPWD (30bfbdfb7f95559ede971f9ddb9a00ba) C:\Windows\system32\drivers\RDPWD.sys
2011/09/07 20:46:30.0401 5228 rimmptsk (d85e3fa9f5b1f29bb4ed185c450d1470) C:\Windows\system32\DRIVERS\rimmptsk.sys
2011/09/07 20:46:30.0557 5228 rimsptsk (db8eb01c58c9fada00c70b1775278ae0) C:\Windows\system32\DRIVERS\rimsptsk.sys
2011/09/07 20:46:30.0635 5228 rismxdp (6c1f93c0760c9f79a1869d07233df39d) C:\Windows\system32\DRIVERS\rixdptsk.sys
2011/09/07 20:46:30.0728 5228 rspndr (9c508f4074a39e8b4b31d27198146fad) C:\Windows\system32\DRIVERS\rspndr.sys
2011/09/07 20:46:30.0806 5228 RTL8169 (8ac16411b25e29124f6d421add58fbe6) C:\Windows\system32\DRIVERS\Rtlh86.sys
2011/09/07 20:46:30.0900 5228 sbp2port (3ce8f073a557e172b330109436984e30) C:\Windows\system32\drivers\sbp2port.sys
2011/09/07 20:46:30.0993 5228 sdbus (8f36b54688c31eed4580129040c6a3d3) C:\Windows\system32\DRIVERS\sdbus.sys
2011/09/07 20:46:31.0149 5228 secdrv (90a3935d05b494a5a39d37e71f09a677) C:\Windows\system32\drivers\secdrv.sys
2011/09/07 20:46:31.0196 5228 Serenum (68e44e331d46f0fb38f0863a84cd1a31) C:\Windows\system32\DRIVERS\serenum.sys
2011/09/07 20:46:31.0274 5228 Serial (c70d69a918b178d3c3b06339b40c2e1b) C:\Windows\system32\DRIVERS\serial.sys
2011/09/07 20:46:31.0352 5228 sermouse (8af3d28a879bf75db53a0ee7a4289624) C:\Windows\system32\drivers\sermouse.sys
2011/09/07 20:46:31.0446 5228 sffdisk (3efa810bdca87f6ecc24f9832243fe86) C:\Windows\system32\DRIVERS\sffdisk.sys
2011/09/07 20:46:31.0524 5228 sffp_mmc (8fd08a310645fe872eeec6e08c6bf3ee) C:\Windows\system32\drivers\sffp_mmc.sys
2011/09/07 20:46:31.0664 5228 sffp_sd (9f66a46c55d6f1ccabc79bb7afccc545) C:\Windows\system32\DRIVERS\sffp_sd.sys
2011/09/07 20:46:31.0711 5228 sfloppy (46ed8e91793b2e6f848015445a0ac188) C:\Windows\system32\drivers\sfloppy.sys
2011/09/07 20:46:31.0773 5228 SiSRaid2 (cedd6f4e7d84e9f98b34b3fe988373aa) C:\Windows\system32\drivers\sisraid2.sys
2011/09/07 20:46:31.0820 5228 SiSRaid4 (df843c528c4f69d12ce41ce462e973a7) C:\Windows\system32\drivers\sisraid4.sys
2011/09/07 20:46:31.0914 5228 Smb (7b75299a4d201d6a6533603d6914ab04) C:\Windows\system32\DRIVERS\smb.sys
2011/09/07 20:46:32.0054 5228 smserial (3850aba97b31094f93bcbe94d6abbe22) C:\Windows\system32\DRIVERS\smserial.sys
2011/09/07 20:46:32.0304 5228 spldr (7aebdeef071fe28b0eef2cdd69102bff) C:\Windows\system32\drivers\spldr.sys
2011/09/07 20:46:32.0413 5228 srv (41987f9fc0e61adf54f581e15029ad91) C:\Windows\system32\DRIVERS\srv.sys
2011/09/07 20:46:32.0491 5228 srv2 (ff33aff99564b1aa534f58868cbe41ef) C:\Windows\system32\DRIVERS\srv2.sys
2011/09/07 20:46:32.0616 5228 srvnet (7605c0e1d01a08f3ecd743f38b834a44) C:\Windows\system32\DRIVERS\srvnet.sys
2011/09/07 20:46:32.0709 5228 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\Windows\system32\DRIVERS\ssmdrv.sys
2011/09/07 20:46:32.0834 5228 swenum (7ba58ecf0c0a9a69d44b3dca62becf56) C:\Windows\system32\DRIVERS\swenum.sys
2011/09/07 20:46:32.0897 5228 Symc8xx (192aa3ac01df071b541094f251deed10) C:\Windows\system32\drivers\symc8xx.sys
2011/09/07 20:46:33.0021 5228 Sym_hi (8c8eb8c76736ebaf3b13b633b2e64125) C:\Windows\system32\drivers\sym_hi.sys
2011/09/07 20:46:33.0084 5228 Sym_u3 (8072af52b5fd103bbba387a1e49f62cb) C:\Windows\system32\drivers\sym_u3.sys
2011/09/07 20:46:33.0177 5228 SynTP (2d2c815364a878c7e358d5f549711197) C:\Windows\system32\DRIVERS\SynTP.sys
2011/09/07 20:46:33.0318 5228 Tcpip (6647fce6fc4970daafe5c64c794513d3) C:\Windows\system32\drivers\tcpip.sys
2011/09/07 20:46:33.0396 5228 Tcpip6 (6647fce6fc4970daafe5c64c794513d3) C:\Windows\system32\DRIVERS\tcpip.sys
2011/09/07 20:46:33.0489 5228 tcpipreg (36606b165d04a397bdf613096986d85d) C:\Windows\system32\drivers\tcpipreg.sys
2011/09/07 20:46:33.0583 5228 TDPIPE (5dcf5e267be67a1ae926f2df77fbcc56) C:\Windows\system32\drivers\tdpipe.sys
2011/09/07 20:46:33.0692 5228 TDTCP (389c63e32b3cefed425b61ed92d3f021) C:\Windows\system32\drivers\tdtcp.sys
2011/09/07 20:46:33.0755 5228 tdx (76b06eb8a01fc8624d699e7045303e54) C:\Windows\system32\DRIVERS\tdx.sys
2011/09/07 20:46:33.0833 5228 TermDD (3cad38910468eab9a6479e2f01db43c7) C:\Windows\system32\DRIVERS\termdd.sys
2011/09/07 20:46:33.0942 5228 tssecsrv (dcf0f056a2e4f52287264f5ab29cf206) C:\Windows\system32\DRIVERS\tssecsrv.sys
2011/09/07 20:46:34.0035 5228 tunmp (caecc0120ac49e3d2f758b9169872d38) C:\Windows\system32\DRIVERS\tunmp.sys
2011/09/07 20:46:34.0113 5228 tunnel (300db877ac094feab0be7688c3454a9c) C:\Windows\system32\DRIVERS\tunnel.sys
2011/09/07 20:46:34.0176 5228 uagp35 (c3ade15414120033a36c0f293d4a4121) C:\Windows\system32\DRIVERS\uagp35.sys
2011/09/07 20:46:34.0363 5228 udfs (d9728af68c4c7693cb100b8441cbdec6) C:\Windows\system32\DRIVERS\udfs.sys
2011/09/07 20:46:34.0457 5228 uliagpkx (75e6890ebfce0841d3291b02e7a8bdb0) C:\Windows\system32\drivers\uliagpkx.sys
2011/09/07 20:46:34.0519 5228 uliahci (3cd4ea35a6221b85dcc25daa46313f8d) C:\Windows\system32\drivers\uliahci.sys
2011/09/07 20:46:34.0581 5228 UlSata (8514d0e5cd0534467c5fc61be94a569f) C:\Windows\system32\drivers\ulsata.sys
2011/09/07 20:46:34.0644 5228 ulsata2 (38c3c6e62b157a6bc46594fada45c62b) C:\Windows\system32\drivers\ulsata2.sys
2011/09/07 20:46:34.0722 5228 umbus (32cff9f809ae9aed85464492bf3e32d2) C:\Windows\system32\DRIVERS\umbus.sys
2011/09/07 20:46:34.0815 5228 USBAAPL (83cafcb53201bbac04d822f32438e244) C:\Windows\system32\Drivers\usbaapl.sys
2011/09/07 20:46:34.0893 5228 usbccgp (caf811ae4c147ffcd5b51750c7f09142) C:\Windows\system32\DRIVERS\usbccgp.sys
2011/09/07 20:46:35.0034 5228 usbcir (e9476e6c486e76bc4898074768fb7131) C:\Windows\system32\drivers\usbcir.sys
2011/09/07 20:46:35.0143 5228 usbehci (79e96c23a97ce7b8f14d310da2db0c9b) C:\Windows\system32\DRIVERS\usbehci.sys
2011/09/07 20:46:35.0221 5228 usbhub (4673bbcb006af60e7abddbe7a130ba42) C:\Windows\system32\DRIVERS\usbhub.sys
2011/09/07 20:46:35.0268 5228 usbohci (38dbc7dd6cc5a72011f187425384388b) C:\Windows\system32\drivers\usbohci.sys
2011/09/07 20:46:35.0361 5228 usbprint (e75c4b5269091d15a2e7dc0b6d35f2f5) C:\Windows\system32\DRIVERS\usbprint.sys
2011/09/07 20:46:35.0486 5228 usbscan (a508c9bd8724980512136b039bba65e9) C:\Windows\system32\DRIVERS\usbscan.sys
2011/09/07 20:46:35.0564 5228 USBSTOR (be3da31c191bc222d9ad503c5224f2ad) C:\Windows\system32\DRIVERS\USBSTOR.SYS
2011/09/07 20:46:35.0705 5228 usbuhci (814d653efc4d48be3b04a307eceff56f) C:\Windows\system32\DRIVERS\usbuhci.sys
2011/09/07 20:46:35.0829 5228 vga (7d92be0028ecdedec74617009084b5ef) C:\Windows\system32\DRIVERS\vgapnp.sys
2011/09/07 20:46:35.0892 5228 VgaSave (2e93ac0a1d8c79d019db6c51f036636c) C:\Windows\System32\drivers\vga.sys
2011/09/07 20:46:35.0939 5228 viaagp (045d9961e591cf0674a920b6ba3ba5cb) C:\Windows\system32\drivers\viaagp.sys
2011/09/07 20:46:36.0001 5228 ViaC7 (56a4de5f02f2e88182b0981119b4dd98) C:\Windows\system32\drivers\viac7.sys
2011/09/07 20:46:36.0048 5228 viaide (fd2e3175fcada350c7ab4521dca187ec) C:\Windows\system32\drivers\viaide.sys
2011/09/07 20:46:36.0110 5228 volmgr (69503668ac66c77c6cd7af86fbdf8c43) C:\Windows\system32\drivers\volmgr.sys
2011/09/07 20:46:36.0313 5228 volmgrx (23e41b834759917bfd6b9a0d625d0c28) C:\Windows\system32\drivers\volmgrx.sys
2011/09/07 20:46:36.0407 5228 volsnap (147281c01fcb1df9252de2a10d5e7093) C:\Windows\system32\drivers\volsnap.sys
2011/09/07 20:46:36.0469 5228 vsmraid (d984439746d42b30fc65a4c3546c6829) C:\Windows\system32\drivers\vsmraid.sys
2011/09/07 20:46:36.0563 5228 WacomPen (48dfee8f1af7c8235d4e626f0c4fe031) C:\Windows\system32\drivers\wacompen.sys
2011/09/07 20:46:36.0641 5228 Wanarp (55201897378cca7af8b5efd874374a26) C:\Windows\system32\DRIVERS\wanarp.sys
2011/09/07 20:46:36.0687 5228 Wanarpv6 (55201897378cca7af8b5efd874374a26) C:\Windows\system32\DRIVERS\wanarp.sys
2011/09/07 20:46:36.0734 5228 Wd (afc5ad65b991c1e205cf25cfdbf7a6f4) C:\Windows\system32\drivers\wd.sys
2011/09/07 20:46:36.0843 5228 Wdf01000 (b6f0a7ad6d4bd325fbcd8bac96cd8d96) C:\Windows\system32\drivers\Wdf01000.sys
2011/09/07 20:46:37.0046 5228 WmiAcpi (2e7255d172df0b8283cdfb7b433b864e) C:\Windows\system32\DRIVERS\wmiacpi.sys
2011/09/07 20:46:37.0249 5228 WpdUsb (de9d36f91a4df3d911626643debf11ea) C:\Windows\system32\DRIVERS\wpdusb.sys
2011/09/07 20:46:37.0327 5228 ws2ifsl (e3a3cb253c0ec2494d4a61f5e43a389c) C:\Windows\system32\drivers\ws2ifsl.sys
2011/09/07 20:46:37.0436 5228 WUDFRd (ac13cb789d93412106b0fb6c7eb2bcb6) C:\Windows\system32\DRIVERS\WUDFRd.sys
2011/09/07 20:46:37.0545 5228 X10Hid (ab2d77bf7222b007717abb61b15f9ae2) C:\Windows\system32\Drivers\x10hid.sys
2011/09/07 20:46:37.0655 5228 XUIF (6bbf7a3bab8ffdccf82057fa2aae2b7b) C:\Windows\system32\Drivers\x10ufx2.sys
2011/09/07 20:46:37.0748 5228 MBR (0x1B8) (5c616939100b85e558da92b899a0fc36) \Device\Harddisk0\DR0
2011/09/07 20:46:37.0795 5228 Boot (0x1200) (ee26d13c3cecfcc2b41653cfbecc32a8) \Device\Harddisk0\DR0\Partition0
2011/09/07 20:46:37.0811 5228 Boot (0x1200) (fcabc298e550ba7934e9ec05c33e86b5) \Device\Harddisk0\DR0\Partition1
2011/09/07 20:46:37.0826 5228 ================================================================================
2011/09/07 20:46:37.0826 5228 Scan finished
2011/09/07 20:46:37.0826 5228 ================================================================================
2011/09/07 20:46:37.0842 5220 Detected object count: 0
2011/09/07 20:46:37.0842 5220 Actual detected object count: 0

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

so, auch das habe ich gemacht (und hoffentlich richtig)!
hier also der inhalt von combo-fix:
Combofix Logfile:
--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.


3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

na, ob das alles gutgeht? bestimmte meldungen machen mich ein bisschen nervös ... wollte gerade auf dem "infizierten" pc firefox öffnen, um den anhang zu mailen, da kam folgende meldung:
"Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde." also nix mit firefox ...
jetzt am zweiten pc sitzend kann hier auf ein mal die windows-firewall nicht aktiviert werden, warum das nu? hoffentlich infizieren die sich nicht gegenseitig?! :eek:
ich hoffe, du kannst mich beruhigen ...
danke
Uli63

Bei sowas Windows neu starten!!

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

so, das dauert ja doch alles ...
hier erst einmal das log von GMER:
GMER Logfile:
--- --- ---

so, lieber arne, hier die ergebnisse von aswMBR.
anbei eine frage:
habe auf meinem desktop eine MBR.dat liegen. was ist das? brauchst du das, und wenn ja, mit welchem programm kann ich es dann öffnen?
ich verbleibe mit einem weiteren dankeschön und größtem respekt vor eurem wissen!!!! :daumenhoc
Uli63
OSAM Logfile:
--- --- ---
If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Die MBR.dat kann weg. aswMBR liest den MBR aus und erstellt eine Kopie des MBR eben in dieser Datei auf deinem Desktop.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

lieber arne, hier das 1. ergebnis :

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 09/08/2011 at 10:56 PM

Application Version : 5.0.1118

Core Rules Database Version : 7661
Trace Rules Database Version: 5473

Scan type : Quick Scan
Total Scan Time : 00:09:21

Operating System Information
Windows Vista Home Premium 32-bit, Service Pack 2 (Build 6.00.6002)
UAC On - Administrator

Memory items scanned : 707
Memory threats detected : 0
Registry items scanned : 30013
Registry threats detected : 5
File items scanned : 8061
File threats detected : 0

Browser Hijacker.Deskbar
HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}
HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}\ProxyStubClsid
HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}\ProxyStubClsid32
HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}\TypeLib
HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}\TypeLib#Version

Das war kein Vollscan! Bitte aufmerksamer lesen!

komisch, ich bin ganz sicher, auf vollscan geklickt zu haben, aber nützt ja nix ...
dafür jetzt schon mal den vollscan von malwarebytes: und kein fund, das find' ich ermutigend!

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7680

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

09.09.2011 00:35:03
mbam-log-2011-09-09 (00-35-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 311578
Laufzeit: 1 Stunde(n), 20 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


jo, das war's für heute ... morgen schicke ich die anderen scans. DANKE

lieber arne, eine frage, bevor ich den eset online scanner laufen lasse:ich soll ja mein antivirenprogramm deaktivieren. das ist in jedem fall antivir. aber was ist mit malwarebytes und superantispyware? ich glaube, da muss ich nichts machen, oder? und bzgl. firewall:
die windows-firewall muss ich doch eingeschaltet lassen und den windows defender auch, oder auch beides deaktivieren? sind sicher blöde fragen, aber ich überlege jedes mal, was genau ausgeschaltet werden muss ... und will ja nichts falsch machen!
Danke für eure unendliche geduld mit die doofen, bewundernswert!
Uli63

hallo arne,
hier erstmal der vollscan von superantispyware (in der tat, so'n vollscan dauert schon erheblich länger). wenn ich's richtig sehe, heute auch ohne befund. das scanergebnis von gestern hast du ja, als was gefunden und in quarantäne verschoben wurde ...
mit eset online scannen warte ich noch, bis ich weiß, was ich deaktivieren soll bzw. auch nicht ...

SUPERAntiSpyware Scann-Protokoll
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generiert 09/09/2011 bei 12:37 PM

Version der Applikation : 5.0.1118

Version der Kern-Datenbank : 7664
Version der Spur-Datenbank : 5476

Scan Art : kompletter Scann
Totale Scann-Zeit : 02:17:39

Operating System Information
Windows Vista Home Premium 32-bit, Service Pack 2 (Build 6.00.6002)
UAC On - Limited User (Administrator User)

Gescannte Speicherelemente : 664
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 37503
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 143159
Erfasste Datei-Elemente : 0

Windows-Firewall kann immer an bleiben, die stört nicht, aber im Hintergrund laufende Virenscanner müssten abgestellt werden.

hallo arne, ich versteh's nicht. das problem hatte ich beim ersten mal auch schon mit dem update des eset online scanners (siehe seite 1). er sagt jetzt wieder:
Can not get update. Is proxy configured?
hat sich jetzt nach 50 x vor- und zurückschalten erledigt. auf einmal hat er's gemacht. woran lag das denn jetzt ...?
also scan kommt noch!
blödes gefühl, wenn man meldungen nicht versteht :(
bis später Uli63

Du musst den Browser per Rechtsklick als Admin ausführen!

boaah, ist mir das peinlich, ich habe es weder beim ersten, noch beim zweiten mal gesehen und erst jetzt gecheckt!! nach 3 stunden würgerei ist die sache gescannt und womöglich unbrauchbar, weil ich statt an den browser immer an den scanner gedacht habe und natürlich nicht als admin ins netzt gegangen bin! ich kopiere das ergebnis trotzdem und wenn's quark ist, dann mach ich's morgen noch mal.

ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=3ff7faed29c59045bf6c5487f5874ac3
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-09 07:13:04
# local_time=2011-09-09 09:13:04 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1797 16775165 100 94 334274 52116920 152061 0
# compatibility_mode=5892 16776574 100 100 180182 153117785 0 0
# compatibility_mode=8192 67108863 100 0 430516 430516 0 0
# scanned=161818
# found=2
# cleaned=0
# scan_time=10527
C:\Program Files\YoutubeDownloader\YoutubeDownloader.exe probably a variant of Win32/InstallCore.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Silke\Downloads\registrybooster.exe a variant of Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I


sorry, habe mich bisher wacker geschlagen, jetzt ist schämen angesagt ...

Sag nicht du hat dir in der Zwischenzeit diesen Unsinn installiert?!

also nein, auf gar keinen fall! der unsinn (was immer sich dahinter verbirgt??) muss schon die ganze zeit drauf sein. habe gerade noch mal den 1. scan mit dem 2. scan verglichen und gesehen, dass im 1. scan auch 2 funde angezeigt wurden, aber gar nicht betitelt. habe ich das vielleicht nicht mitreinkopiert? sorry arne, aber was kann ich denn mit dem unsinn jetzt machen?:confused:
ja, habe gerade noch mal in das log vom 1. eset-scan geguckt. da standen die gleichen 2 funde wie im 2. scan, hatte die genannten funde aber wohl offensichtlich - wie man leider auf der 1. seite hier sehen kann - nicht mitkopiert! So'n sch ..., aber ich kann's nicht mehr rückgängig machen. bitte, lieber arne, nicht an mir verzweifeln, ja?
verbirgt sich hinter dem unsinn vielleicht der "wise registry cleaner", installiert am 07.08.2010, den ich unter meinen programmen gefunden habe?

Naja, Registrybooster ist von einem sehr zweifelhaftem Hersteller mit sehr sehr unseriöser/aggressiver Bewerbung tw. gewesen. Zudem ist das Reinigen der Registry riskant, der angebliche Geschwindigkeitsvorteil, sofern er denn überhaupt nach einer Reinigung existiert, rechtfertigt das Risiko eines gelöschten aber für das System essentiellen Eintrag nicht. Kurz: Registry-Cleaner sind zuverlässige Problemverursacher! :mad:

Soviel zum Exkurs Registry-Cleaning. Ansonsten waren keine wirklichen Funde mehr da.
Rechner soweit wieder im Lot?

also, ich kann nichts außergewöhnliches mehr feststellen!
sollten wir jetzt etwa fertig sein? dann hätte ich, bevor ich spende (habe ich noch nie für sinnvoller erachtet als in diesem fall!) noch ein paar fragen:
1. soll ich den wise registry cleaner jetzt einfach entfernen?
2. welchen sinnvollen schutz brauche ich denn ab jetzt für den rechner außer antivir?
3. kann ich, sollte der rechner jetzt wieder sauber sein, wieder online-banking machen von diesem rechner und wenn ja, sollte ich alle passwörter ändern?
4. auf dem standrechner kann ich die windows-firewall nicht aktivieren, evtl neues thema eröffnen?

so, bin gespannt wie ein flitzebogen :singsing:
Uli63

1. ja
2. kommt wenn wir KOMPLETT durch sind => Punkt 4
3. Onlinebanking auf einem bereinigten Rechner ist ne heikle Sache - ichab aber keinen SpyEyes oder so hier gesehen. Onlinebanking wie immer auf eigenes Risiko
4. Fehlermeldung nicht notiert, wie soll ich da helfen?

oh, das hört sich alles guuut an:abklatsch:
wenn ich das jetzt richtig verstanden habe, sind wir mit diesem rechner durch?
suuupi, und ich darf dich noch mal mit dem standrechner bzw. der windows-firewall bequälen? das mach ich dann auch auf jeden fall, aber erst morgen, weil ich jetzt noch etwas lesen muss, was die ganze zeit gedrängelt hat. okay, lieber arne, das war bis hierhin (für mich jedenfalls) eine supertolle erfahrung.
bis hierhin erstmal ein RIESIGES DANKESCHÖN !!!
in tiefer verneigung verharrend
Uli63

Ok, behalten wir das mit der Windows-Firewall noch im Hinterkopf, ansonsten wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

so, da bin ich schon wieder! :knuddel:

gerade ist der laptop bereinigt, geht's auf dem standrechner richtig los!
1. ich kann die windows-firewall nicht aktivieren. Meldung: "das sicherheitscenter konnte die windwos-firewall nicht einschalten."
2. habe firefox-update gemacht und der browser-bildschirm sieht ganz komisch aus (hat z.b. eine schwarze größere titelleiste und die menüleiste sieht auch anders aus als sonst. darüber hinaus ist jetzt alles in englisch, z.b. die begriffe in der menüleiste, aber auch alles, wenn ich das kontextmenü aufrufe.
3. beim hochfahren kam die meldung: "microsoft windows search-indexerstellung wurde beendet und geschlossen. die anwendung wird aufgrund eines problems nicht mehr richtig ausgeführt. sie erhalten nachricht, wenn ..."
4. habe malwarebytes-vollscan gemacht (ohne befund). währenddessen hat sich antivir gemeldet, dass zugriff verweigert werden sollte auf: EXP/CVE-2010-4452.AF, was wohl erkennungsmuster des exploits enthält. habe zugriff verweigert, aber vielleicht ist schon was auf dem rechner?

und zum schluss (momentan nicht ganz so wichtig!): kann combofix auf dem laptop nicht deinstallieren, da - nach deiner anleitung vorgegangen - immer das programm startet.

in freudiger erwartung auf deine fachmännischen hilfe ...

Uli63

lieber arne,

hier noch 2 nachträge:
1. auf dem standrechner ist ebenfalls windows vista
2. auf dem laptop (den wir bereinigt haben) erschien diese meldung "Microsoft windows search-indexerstellung ..." jetzt auch!

und wieder mal vielen dank im voraus
Uli63

geh mal in die Computerverwaltung in die Diensteliste. Such dort den Dient Windows-Firewall/Gemeinsame Internetverbindung raus, starte ihn falls er nicht gestartet ist und stell sicher, der der Starttyo auf Automatisch steht.

... diesen dienst kann ich nirgends in der systemsteuerung finden!
habe lediglich "sicherheitscenter/firewallstatus überprüfen" oder "windows-firewall/programm durch die windows-firewall kommunizieren lassen" bzw. "windows-firewall/windows-firewall ein- oder ausschalten".
egal, was ich anklicke, es komt immer die meldung:
"die windows-firewalleinstellungen können nicht angezeigt werden, da der zugehörige dienst nicht ausgeführt wird. soll der dienst "windows-firewall" gestartet werden?"
wenn ich auf ja klicke, kommt: "der dienst "windows-firewall" konnte nicht gestartet werden.
lg Uli63

Dann hat irgendwas den Dienst aus der Registry gelöscht... :balla:
Mach mal folgendes. Den Text aus der unten stehenden Codebox komplett kopieren, abspeichern als sharedaccess.reg auf dem Desktop. Wichtig: Die Endung muss .reg sein, nicht txt! Lass dir daher vorher auch die Dateinamenserweiterungen in den Ordneroptionen anzeigen!

Danach einfach die erstellte Datei per Doppelklick ausführen und mit ja die Abfrage bestätigen.

also, das verstehe ich leider noch nicht so ganz. du sagst:
"Den Text aus der unten stehenden Codebox komplett kopieren, abspeichern als sharedaccess.reg auf dem Desktop. Wichtig: Die Endung muss .reg sein, nicht txt! Lass dir daher vorher auch die Dateinamenserweiterungen in den Ordneroptionen anzeigen!"
wenn ich den text kopiert habe, wo soll ich dann mit dem kopierten hin? in word einfügen oder wie? ich weiß sonst nicht, wie ich daraus eine datei bekomme?

Ach ich hab was wesentliches vergessen :stirn:

Den Text musst du kopieren, dann den Texteditor notepad starten und dort den kopierten Text einfügen, diese Datei dann als sharedaccess.reg abspeichern

okay, rechner meldet, dass alles erfolgreich in die registry eingetragen wurde! aber weiterhin kommt die meldung: "das sicherheitscenter konnte die firewall nicht einschalten.:heulen:
und nu?

Starte Windows neu und probier nochmal.

oh schade, das hat leider auch nichts gebracht!

Dann probiers doch mal mit dieser sharedaccess.reg, die jetzige vorhandene auf dem Desktop vorher löschen => File-Upload.net - sharedaccess.reg

ooooch, das hat auch nichts gebracht. habe ihn auch noch mal neu hochgefahren, aber trotzdem nichts zu machen:heulen:

Ja, erscheint der Dienst denn jetzt wenigstens erstmal in der Diensteliste?

hallo arne, um missverständnisse auszuschließen, was meinst du mit "diensteliste"? in der systemsteuerung gibt es diesen begriff nicht und dort habe ich alles abgeklappert, was mit firewall zu tun haben könnte.
in der systemsteuerung gibt es das menü sicherheit. da sind die untermenüs nach updates suchen sowie computersicherheitsstatus überprüfen drin, wobei letzeres den aspekt firewall zwar enthält, aber es ist deaktiviert. insofern taucht es, wenn ich dich richtig verstanden habe, schon auf, läßt sich aber nicht aktivieren. meldung ist dir ja bekannt.

Das hab ich dir doch vorhin schon erklärt, da solltest du doch nachschauen! In der Computerverwaltung unter Dienste solltest du nachschauen!

äähm? wie jetzt? den weg, den ichdir gerade beschrieben habe, da habe ich auch vorhin schon nachgeschaut, da ich auch nichts anderes wüsste, wo ich noch nachschauen könnte. also gehe ich jetzt einfach davon aus, dass du genau das auch meinst?! aber da taucht es ja die ganze zeit auf. es lässt sich eben nur nicht einschalten! an den meldungen hat sich nichts geändert. "das sicherheitscenter konnte die windows-firewall nicht einschalten."

Also erscheint es doch da, mehr wollte ich doch nicht wissen.
Starttyp sollte auf automatisch stehen, versuch den Dienst dann zu starten. Oder hast du das schon probiert?

starttyp automatisch wird eingeschaltet sein, weil die meldung "sicherheitscenter konnte firewall nicht einschalten" noch einen unterpunkt aufführt, der heißt: "firewall manuell einschalten." aber es geht weder das eine noch das andere!

Vergiss doch mal das Sicherheitscenter!! Ich wollte wissen ob der Dient über die Diensteliste gestartet werden kann!

lieber arne,
ich mag schon gar nicht mehr antworten, weil ich nicht weiß, was ich dir antworten soll! ich möchte nicht, dass du dir unnötig viel arbeit machst, und deswegen wollte ich gern ein evtl. missverständnis ausschließen. ich vergesse das sicherheitscenter jetzt, aber ich weiß nicht, was du mit der diensteliste meinst oder wo ich diese evtl. finden könnte?! wenn du mir das etwas konkreter beschreiben könntest, vllt würde mir das weiterhelfen ...
danke Uli63

Da warst du doch vorhin schon oder nicht!! Das war das erste was du tun solltest!

Start => Rechtskklick auf Computer => Verwalten => Dienste => recht schauen ob in der Liste die Windows-Firewall auftaucht!

also, habe bei google noch mal nachgestöbert und bin auf folgender seite fündig geworden.
Vista Dienste aufrumen - Windows 7 Tipps, Optimieren, Tricks
da taucht alles auf, was du meinst. aber wo finde ich das bei mir bzw. warum finde ich diese liste nicht?

Folg doch einfach meinen Anweisungen :balla:

entschuldige arne, ich hab's endlich gefunden, aber es ist nicht da, wo du es vermutet hast. diese liste habe ich vorher noch niiie gesehen!
dein weg über start geht bei meiner darstellung nicht, weil der "computer" im startmenü gar nicht auftaucht. aber jetzt erst mal egal ...
also windows-firewall ist in der diensteliste, starttyp automatisch. habe dann dienst starten angeklickt. es kam folgende meldung:
fehler 1068: der abhängigkeitsdienst oder die abhängigkeitsgruppe konnte nicht gestartet werden.

:heulen: in diesem fall passte das symbol wirklich mal

Uli63

Schau dir mal den Reiter Abhängigkeiten im Dienst Windows-Firewall an.
Von diesen Diensten/Komponenten ist die Windows-Firewall abhängig, d.h. die müssen gestartet und der Starttyp automatisch sein, damit auch die Windows-Firewall läuft.
Notiere diese Dienste und überprüf bn der Starttyp automatisch ist und diese auch gestartet sind.

hallo arne,
die windows-firewall ist abhängig von den diensten:
basisfiltermodul (starttyp automatisch, aber nicht gestartet) und
windows-firewallautorisierungstreiber

wolltest du das?
Uli63

Ja und eben das Basisfiltermodul muss gestartet sein. Versuch es mal händisch zu starten, ist auch in der Dienstliste zu finden.

das habe ich schon versucht, aber dann kommt
fehler 5: zugriff verweigert

Autsch, das ist blöd. Auf die schnelle geggogelt ergibt das entweder Reparatur- oder Neuinstallation. Vllt finden wir noch was.