FakeAlert!gbr - endgültig entfernt?
 

Hallo zusammen,

gestern Abend meldete sich auf dem PC (winxp) meiner Freundin FakeAlert!gbr.

Zunächst in Form von vermeintlichen Sicherheitsproblemen auf dem Rechner, dann mit einer scheinbaren Sicherheitssoftware zum Scannen und Reparieren und zuguter Letzt waren auch noch der Desktop von beinahe allen Icons entleert und im Startmenü sowie unter den Festplatten fehlten Einträge komplett bzw. waren nur teilweise zugänglich.

Letztere konnte ich mit unhide.exe größtenteils wiederherstellen. bislang fehlt z.B. noch autostart und zubehör im startmenü und unter c:\ sind die dokumenteundeinstellungen weiterhin unsichtbar.
Mit Malwarebytes und stinger.exe (Version 10.2.0.363) für fakealert sowie SuperAntiSpyware habe ich versucht das Problem zu lösen, leider vergeblich: Nach Hochfahren des Rechners und Anmelden waren nur zwei drei Mausklicks möglich, bevor er einfror und nichts mehr ging außer einem Kaltstart.
Heute Nachmittag habe ich folgende Tools laufen lassen:
Malwarebytes
Eset
KaperskyTDSSKiller
aswMBR.exe
SuperAntiSpyware

Alles i.O. bis auf SuperAntiSpyware, meldet zwei Trojaner.

Ich poste deren logs mit der Bitte an Euch, meine Frage zu beantworten: Wie werden wir den Trojaner jetzt endgültig los? Wäre schön, wenn jemand weiterhelfen könnte.

Danke,
carlode

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Hallo,

danke für deine Hilfe.
Dies sind die weiteren logs in malwarebytes:


Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8124

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

09.11.2011 22:29:42
mbam-log-2011-11-09 (22-29-42).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 204
Laufzeit: 16 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


00:34:27 JAM MESSAGE Protection started successfully
00:34:31 JAM MESSAGE IP Protection started successfully
00:44:16 (null) MESSAGE Protection started successfully
00:45:15 JAM MESSAGE IP Protection started successfully
01:07:02 (null) MESSAGE Protection started successfully
01:11:59 (null) MESSAGE Protection started successfully
01:20:20 apriko MESSAGE Protection started successfully
01:20:24 apriko MESSAGE IP Protection started successfully
01:44:37 (null) MESSAGE Protection started successfully
01:48:28 (null) MESSAGE Protection started successfully
01:51:59 JAM MESSAGE IP Protection started successfully
09:22:42 (null) MESSAGE Protection started successfully
09:23:04 (null) MESSAGE Scheduled update executed successfully
09:23:42 JAM MESSAGE IP Protection started successfully
09:23:43 JAM MESSAGE IP Protection stopped
09:23:47 JAM MESSAGE Database updated successfully
09:23:48 JAM MESSAGE IP Protection started successfully
15:32:20 JAM MESSAGE IP Protection stopped
15:32:27 JAM MESSAGE Database updated successfully
15:32:28 JAM MESSAGE IP Protection started successfully
15:59:15 (null) MESSAGE Protection started successfully
16:01:26 JAM MESSAGE IP Protection started successfully
21:59:27 apriko MESSAGE Protection started successfully
21:59:31 apriko MESSAGE IP Protection started successfully
23:33:48 (null) MESSAGE Protection started successfully
23:34:48 apriko MESSAGE IP Protection started successfully


10:35:55 (null) MESSAGE Scheduled update executed successfully
10:36:53 JAM MESSAGE Protection started successfully
10:36:57 JAM MESSAGE IP Protection started successfully
10:36:57 JAM MESSAGE IP Protection stopped
10:37:01 JAM MESSAGE Database updated successfully
10:37:02 JAM MESSAGE IP Protection started successfully
18:37:56 apriko MESSAGE Protection started successfully
18:38:00 apriko MESSAGE IP Protection started successfully
18:51:48 apriko MESSAGE IP Protection stopped
18:51:53 apriko MESSAGE Database updated successfully
18:51:55 apriko MESSAGE IP Protection started successfully

Von heute Nachmittag stammt unter anderem Benutzernamen angemeldet:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8130

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

10.11.2011 13:45:46
mbam-log-2011-11-10 (13-45-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 160415
Laufzeit: 16 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


aber SuperAntiSpyware von heute meldet zwei Trojaner:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 11/09/2011 at 05:42 PM

Application Version : 5.0.1134

Core Rules Database Version : 7917
Trace Rules Database Version: 5729

Scan type : Complete Scan
Total Scan Time : 00:24:42

Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned : 571
Memory threats detected : 0
Registry items scanned : 38006
Registry threats detected : 0
File items scanned : 25286
File threats detected : 2

Trojan.Agent/Gen-Surchar
C:\SYSTEM VOLUME INFORMATION\_RESTORE{50241BC8-CDBE-4F14-8D35-5A3BF9653250}\RP183\A0020556.EXE

Trojan.Agent/Gen-FakeSecurity
C:\SYSTEM VOLUME INFORMATION\_RESTORE{50241BC8-CDBE-4F14-8D35-5A3BF9653250}\RP183\A0020557.EXE


Vielen Dank für weitere Tipps,

carlode

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo,

nachfolgend die OTL.txt:OTL Logfile:
--- --- ---

Gruß,

carlode

Ach das ist ein Büro-PC...interessant http://cheesebuerger.de/images/midi/froehlich/a048.gif
Warum kümmert sich nicht die EDV-Abteilung bzw. euer Dienstleister für IT nicht um den Rechner? :confused:

Hallo,

mit Büro ist hier das homeofice gemeint ;-)

Gruß,

carlode

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo,

sorry, hat etwas gedauert. Nach dem Neustart hing der Rechner eine Weile, bevor ich den Text kopieren konnte.

Hier das logfile:

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1910b80f-f4cb-11df-894e-001999819353}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1910b80f-f4cb-11df-894e-001999819353}\ not found.
File F:\SamsungSoftware\APPInst.exe not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0 deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: AC
->Temp folder emptied: 2810415 bytes
->Temporary Internet Files folder emptied: 42286830 bytes
->FireFox cache emptied: 40811510 bytes
->Flash cache emptied: 456 bytes

User: Administrator
->Temp folder emptied: 43868979 bytes
->Temporary Internet Files folder emptied: 1045132 bytes

User: All Users

User: ***
->Temp folder emptied: 178877675 bytes
->Temporary Internet Files folder emptied: 58703411 bytes
->FireFox cache emptied: 42417301 bytes
->Flash cache emptied: 456 bytes

User: ->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: JAM
->Temp folder emptied: 23326405 bytes
->Temporary Internet Files folder emptied: 75093332 bytes
->FireFox cache emptied: 42765733 bytes
->Flash cache emptied: 599 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 38429450 bytes
RecycleBin emptied: 684255 bytes

Total Files Cleaned = 564,00 mb

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.31.0 log created on 11112011_193844

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


Gruß,

carlode

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hier folgt das logfile:

20:21:05.0938 0964 TDSS rootkit removing tool 2.6.18.0 Nov 11 2011 15:47:15
20:21:06.0188 0964 ============================================================
20:21:06.0188 0964 Current date / time: 2011/11/11 20:21:06.0188
20:21:06.0188 0964 SystemInfo:
20:21:06.0188 0964
20:21:06.0188 0964 OS Version: 5.1.2600 ServicePack: 3.0
20:21:06.0188 0964 Product type: Workstation
20:21:06.0188 0964 ComputerName: BÜRO-PC
20:21:06.0188 0964 UserName: ***
20:21:06.0188 0964 Windows directory: C:\WINDOWS
20:21:06.0188 0964 System windows directory: C:\WINDOWS
20:21:06.0188 0964 Processor architecture: Intel x86
20:21:06.0188 0964 Number of processors: 2
20:21:06.0188 0964 Page size: 0x1000
20:21:06.0188 0964 Boot type: Normal boot
20:21:06.0188 0964 ============================================================
20:21:07.0938 0964 Initialize success
20:22:01.0344 2456 ============================================================
20:22:01.0344 2456 Scan started
20:22:01.0344 2456 Mode: Manual; SigCheck; TDLFS;
20:22:01.0344 2456 ============================================================
20:22:03.0110 2456 Abiosdsk - ok
20:22:03.0297 2456 abp480n5 (6abb91494fe6c59089b9336452ab2ea3) C:\WINDOWS\system32\DRIVERS\ABP480N5.SYS
20:22:03.0907 2456 abp480n5 - ok
20:22:04.0078 2456 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
20:22:04.0328 2456 ACPI - ok
20:22:04.0516 2456 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
20:22:04.0719 2456 ACPIEC - ok
20:22:04.0907 2456 adpu160m (9a11864873da202c996558b2106b0bbc) C:\WINDOWS\system32\DRIVERS\adpu160m.sys
20:22:05.0157 2456 adpu160m - ok
20:22:05.0360 2456 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
20:22:05.0453 2456 aec - ok
20:22:05.0641 2456 AFD (355556d9e580915118cd7ef736653a89) C:\WINDOWS\System32\drivers\afd.sys
20:22:05.0782 2456 AFD - ok
20:22:05.0938 2456 agp440 (08fd04aa961bdc77fb983f328334e3d7) C:\WINDOWS\system32\DRIVERS\agp440.sys
20:22:06.0094 2456 agp440 - ok
20:22:06.0297 2456 agpCPQ (03a7e0922acfe1b07d5db2eeb0773063) C:\WINDOWS\system32\DRIVERS\agpCPQ.sys
20:22:06.0407 2456 agpCPQ - ok
20:22:06.0578 2456 Aha154x (c23ea9b5f46c7f7910db3eab648ff013) C:\WINDOWS\system32\DRIVERS\aha154x.sys
20:22:06.0735 2456 Aha154x - ok
20:22:06.0907 2456 aic78u2 (19dd0fb48b0c18892f70e2e7d61a1529) C:\WINDOWS\system32\DRIVERS\aic78u2.sys
20:22:07.0172 2456 aic78u2 - ok
20:22:07.0360 2456 aic78xx (b7fe594a7468aa0132deb03fb8e34326) C:\WINDOWS\system32\DRIVERS\aic78xx.sys
20:22:07.0610 2456 aic78xx - ok
20:22:07.0797 2456 AliIde (1140ab9938809700b46bb88e46d72a96) C:\WINDOWS\system32\DRIVERS\aliide.sys
20:22:08.0047 2456 AliIde - ok
20:22:08.0235 2456 alim1541 (cb08aed0de2dd889a8a820cd8082d83c) C:\WINDOWS\system32\DRIVERS\alim1541.sys
20:22:08.0328 2456 alim1541 - ok
20:22:08.0563 2456 Ambfilt (267fc636801edc5ab28e14036349e3be) C:\WINDOWS\system32\drivers\Ambfilt.sys
20:22:08.0750 2456 Ambfilt - ok
20:22:08.0907 2456 amdagp (95b4fb835e28aa1336ceeb07fd5b9398) C:\WINDOWS\system32\DRIVERS\amdagp.sys
20:22:09.0063 2456 amdagp - ok
20:22:09.0250 2456 amsint (79f5add8d24bd6893f2903a3e2f3fad6) C:\WINDOWS\system32\DRIVERS\amsint.sys
20:22:09.0360 2456 amsint - ok
20:22:09.0563 2456 asc (62d318e9a0c8fc9b780008e724283707) C:\WINDOWS\system32\DRIVERS\asc.sys
20:22:09.0766 2456 asc - ok
20:22:09.0953 2456 asc3350p (69eb0cc7714b32896ccbfd5edcbea447) C:\WINDOWS\system32\DRIVERS\asc3350p.sys
20:22:10.0047 2456 asc3350p - ok
20:22:10.0235 2456 asc3550 (5d8de112aa0254b907861e9e9c31d597) C:\WINDOWS\system32\DRIVERS\asc3550.sys
20:22:10.0360 2456 asc3550 - ok
20:22:10.0563 2456 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
20:22:10.0657 2456 AsyncMac - ok
20:22:10.0813 2456 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
20:22:10.0891 2456 atapi - ok
20:22:11.0047 2456 Atdisk - ok
20:22:11.0235 2456 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
20:22:11.0328 2456 Atmarpc - ok
20:22:11.0500 2456 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
20:22:11.0625 2456 audstub - ok
20:22:11.0797 2456 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
20:22:11.0891 2456 Beep - ok
20:22:12.0063 2456 cbidf (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\DRIVERS\cbidf2k.sys
20:22:12.0157 2456 cbidf - ok
20:22:12.0344 2456 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
20:22:12.0422 2456 cbidf2k - ok
20:22:12.0594 2456 cd20xrnt (f3ec03299634490e97bbce94cd2954c7) C:\WINDOWS\system32\DRIVERS\cd20xrnt.sys
20:22:12.0703 2456 cd20xrnt - ok
20:22:12.0891 2456 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
20:22:12.0969 2456 Cdaudio - ok
20:22:13.0125 2456 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
20:22:13.0219 2456 Cdfs - ok
20:22:13.0391 2456 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
20:22:13.0469 2456 Cdrom - ok
20:22:13.0610 2456 Changer - ok
20:22:13.0813 2456 CmdIde (c687f81290303d90099b027a6474f99f) C:\WINDOWS\system32\DRIVERS\cmdide.sys
20:22:13.0938 2456 CmdIde - ok
20:22:14.0125 2456 Cpqarray (3ee529119eed34cd212a215e8c40d4b6) C:\WINDOWS\system32\DRIVERS\cpqarray.sys
20:22:14.0235 2456 Cpqarray - ok
20:22:14.0422 2456 dac2w2k (e550e7418984b65a78299d248f0a7f36) C:\WINDOWS\system32\DRIVERS\dac2w2k.sys
20:22:14.0516 2456 dac2w2k - ok
20:22:14.0703 2456 dac960nt (683789caa3864eb46125ae86ff677d34) C:\WINDOWS\system32\DRIVERS\dac960nt.sys
20:22:14.0828 2456 dac960nt - ok
20:22:15.0000 2456 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
20:22:15.0078 2456 Disk - ok
20:22:15.0282 2456 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
20:22:15.0469 2456 dmboot - ok
20:22:15.0625 2456 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
20:22:15.0782 2456 dmio - ok
20:22:15.0938 2456 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
20:22:16.0016 2456 dmload - ok
20:22:16.0219 2456 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
20:22:16.0313 2456 DMusic - ok
20:22:16.0516 2456 dpti2o (40f3b93b4e5b0126f2f5c0a7a5e22660) C:\WINDOWS\system32\DRIVERS\dpti2o.sys
20:22:16.0703 2456 dpti2o - ok
20:22:16.0907 2456 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
20:22:17.0063 2456 drmkaud - ok
20:22:17.0235 2456 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
20:22:17.0313 2456 Fastfat - ok
20:22:17.0469 2456 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
20:22:17.0547 2456 Fdc - ok
20:22:17.0719 2456 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
20:22:17.0938 2456 Fips - ok
20:22:18.0125 2456 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
20:22:18.0203 2456 Flpydisk - ok
20:22:18.0375 2456 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
20:22:18.0453 2456 FltMgr - ok
20:22:18.0625 2456 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
20:22:18.0782 2456 Fs_Rec - ok
20:22:18.0938 2456 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
20:22:19.0157 2456 Ftdisk - ok
20:22:19.0313 2456 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
20:22:19.0391 2456 Gpc - ok
20:22:19.0594 2456 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
20:22:19.0703 2456 HDAudBus - ok
20:22:19.0907 2456 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
20:22:20.0078 2456 HidUsb - ok
20:22:20.0266 2456 hpn (b028377dea0546a5fcfba928a8aefae0) C:\WINDOWS\system32\DRIVERS\hpn.sys
20:22:20.0485 2456 hpn - ok
20:22:20.0672 2456 HPZid412 (d03d10f7ded688fecf50f8fbf1ea9b8a) C:\WINDOWS\system32\DRIVERS\HPZid412.sys
20:22:20.0828 2456 HPZid412 - ok
20:22:21.0000 2456 HPZipr12 (89f41658929393487b6b7d13c8528ce3) C:\WINDOWS\system32\DRIVERS\HPZipr12.sys
20:22:21.0110 2456 HPZipr12 - ok
20:22:21.0282 2456 HPZius12 (abcb05ccdbf03000354b9553820e39f8) C:\WINDOWS\system32\DRIVERS\HPZius12.sys
20:22:21.0422 2456 HPZius12 - ok
20:22:21.0610 2456 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
20:22:21.0672 2456 HTTP - ok
20:22:21.0860 2456 i2omgmt (9368670bd426ebea5e8b18a62416ec28) C:\WINDOWS\system32\drivers\i2omgmt.sys
20:22:22.0016 2456 i2omgmt - ok
20:22:22.0203 2456 i2omp (f10863bf1ccc290babd1a09188ae49e0) C:\WINDOWS\system32\DRIVERS\i2omp.sys
20:22:22.0297 2456 i2omp - ok
20:22:22.0516 2456 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
20:22:22.0703 2456 i8042prt - ok
20:22:22.0953 2456 ialm (bb7a533765e5578d22c388f2ec828ed6) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
20:22:23.0125 2456 ialm - ok
20:22:23.0328 2456 iaStor (d5edb998656e6ecf1a17c78dab019a3c) C:\WINDOWS\system32\DRIVERS\iaStor.sys
20:22:23.0500 2456 iaStor - ok
20:22:23.0657 2456 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
20:22:23.0735 2456 Imapi - ok
20:22:23.0922 2456 ini910u (4a40e045faee58631fd8d91afc620719) C:\WINDOWS\system32\DRIVERS\ini910u.sys
20:22:24.0063 2456 ini910u - ok
20:22:24.0422 2456 IntcAzAudAddService (c472fc1d265346e9500095f88a0345f9) C:\WINDOWS\system32\drivers\RtkHDAud.sys
20:22:24.0657 2456 IntcAzAudAddService - ok
20:22:24.0844 2456 IntcHdmiAddService (f5c70e41b19d33cc764998786ab74165) C:\WINDOWS\system32\drivers\IntcHdmi.sys
20:22:24.0969 2456 IntcHdmiAddService - ok
20:22:25.0141 2456 IntelIde (69c4e3c9e67a1f103b94e14fdd5f3213) C:\WINDOWS\system32\DRIVERS\intelide.sys
20:22:25.0360 2456 IntelIde - ok
20:22:25.0610 2456 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
20:22:25.0860 2456 intelppm - ok
20:22:26.0032 2456 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
20:22:26.0188 2456 Ip6Fw - ok
20:22:26.0360 2456 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
20:22:26.0438 2456 IpFilterDriver - ok
20:22:26.0594 2456 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
20:22:26.0672 2456 IpInIp - ok
20:22:26.0828 2456 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
20:22:26.0985 2456 IpNat - ok
20:22:27.0141 2456 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
20:22:27.0235 2456 IPSec - ok
20:22:27.0407 2456 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
20:22:27.0469 2456 IRENUM - ok
20:22:27.0641 2456 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
20:22:27.0875 2456 isapnp - ok
20:22:28.0032 2456 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
20:22:28.0266 2456 Kbdclass - ok
20:22:28.0485 2456 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
20:22:28.0657 2456 kmixer - ok
20:22:28.0860 2456 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
20:22:28.0938 2456 KSecDD - ok
20:22:29.0094 2456 lbrtfdc - ok
20:22:29.0313 2456 MagicTune (f650ead361bcad08d544db5bbe7e8f35) C:\WINDOWS\system32\drivers\MTiCtwl.sys
20:22:29.0485 2456 MagicTune ( UnsignedFile.Multi.Generic ) - warning
20:22:29.0485 2456 MagicTune - detected UnsignedFile.Multi.Generic (1)
20:22:29.0688 2456 MBAMProtector (69a6268d7f81e53d568ab4e7e991caf3) C:\WINDOWS\system32\drivers\mbam.sys
20:22:29.0875 2456 MBAMProtector - ok
20:22:30.0094 2456 mfeapfk (d0813cf480e3d38a265f3be86522bf3b) C:\WINDOWS\system32\drivers\mfeapfk.sys
20:22:30.0110 2456 mfeapfk - ok
20:22:30.0313 2456 mfeavfk (04440cc0f5f89933babd585cc5f2f70e) C:\WINDOWS\system32\drivers\mfeavfk.sys
20:22:30.0328 2456 mfeavfk - ok
20:22:30.0547 2456 mfebopk (f6e257c31e0c354a2ed22bf5026c2466) C:\WINDOWS\system32\drivers\mfebopk.sys
20:22:30.0578 2456 mfebopk - ok
20:22:30.0782 2456 mfehidk (79fae8ce9a478f79b74873a810c8227e) C:\WINDOWS\system32\drivers\mfehidk.sys
20:22:30.0844 2456 mfehidk - ok
20:22:31.0032 2456 mferkdet (f21bf10a3784e52eec925bb5f7d3fffa) C:\WINDOWS\system32\drivers\mferkdet.sys
20:22:31.0047 2456 mferkdet - ok
20:22:31.0250 2456 mfetdik (f2d4d0f8e230257a0be36df803b549d1) C:\WINDOWS\system32\drivers\mfetdik.sys
20:22:31.0282 2456 mfetdik - ok
20:22:31.0485 2456 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
20:22:31.0610 2456 mnmdd - ok
20:22:31.0766 2456 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
20:22:31.0891 2456 Modem - ok
20:22:32.0110 2456 Monfilt (c7d9f9717916b34c1b00dd4834af485c) C:\WINDOWS\system32\drivers\Monfilt.sys
20:22:32.0657 2456 Monfilt - ok
20:22:32.0860 2456 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
20:22:33.0016 2456 Mouclass - ok
20:22:33.0188 2456 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
20:22:33.0313 2456 mouhid - ok
20:22:33.0485 2456 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
20:22:33.0563 2456 MountMgr - ok
20:22:33.0750 2456 mraid35x (3f4bb95e5a44f3be34824e8e7caf0737) C:\WINDOWS\system32\DRIVERS\mraid35x.sys
20:22:33.0875 2456 mraid35x - ok
20:22:34.0047 2456 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
20:22:34.0125 2456 MRxDAV - ok
20:22:34.0344 2456 MRxSmb (7d304a5eb4344ebeeab53a2fe3ffb9f0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
20:22:34.0563 2456 MRxSmb - ok
20:22:34.0735 2456 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
20:22:34.0828 2456 Msfs - ok
20:22:35.0016 2456 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
20:22:35.0125 2456 MSKSSRV - ok
20:22:35.0328 2456 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
20:22:35.0407 2456 MSPCLOCK - ok
20:22:35.0594 2456 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
20:22:35.0688 2456 MSPQM - ok
20:22:35.0875 2456 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
20:22:35.0938 2456 mssmbios - ok
20:22:36.0141 2456 Mup (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
20:22:36.0250 2456 Mup - ok
20:22:36.0422 2456 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
20:22:36.0610 2456 NDIS - ok
20:22:36.0828 2456 NdisTapi (0109c4f3850dfbab279542515386ae22) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
20:22:36.0969 2456 NdisTapi - ok
20:22:37.0125 2456 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
20:22:37.0282 2456 Ndisuio - ok
20:22:37.0453 2456 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
20:22:37.0625 2456 NdisWan - ok
20:22:37.0844 2456 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
20:22:37.0985 2456 NDProxy - ok
20:22:38.0141 2456 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
20:22:38.0297 2456 NetBIOS - ok
20:22:38.0469 2456 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
20:22:38.0578 2456 NetBT - ok
20:22:38.0750 2456 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
20:22:38.0828 2456 Npfs - ok
20:22:39.0000 2456 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
20:22:39.0125 2456 Ntfs - ok
20:22:39.0313 2456 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
20:22:39.0407 2456 Null - ok
20:22:39.0578 2456 nvgts (ea98bfe4931bd13d747d647c1859796e) C:\WINDOWS\system32\DRIVERS\nvgts.sys
20:22:39.0657 2456 nvgts - ok
20:22:39.0828 2456 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
20:22:39.0907 2456 NwlnkFlt - ok
20:22:40.0078 2456 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
20:22:40.0172 2456 NwlnkFwd - ok
20:22:40.0360 2456 P3 (a7af0c0860f1c43fc6581ba8a99eabef) C:\WINDOWS\system32\DRIVERS\p3.sys
20:22:40.0500 2456 P3 - ok
20:22:40.0672 2456 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
20:22:40.0813 2456 Parport - ok
20:22:40.0969 2456 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
20:22:41.0047 2456 PartMgr - ok
20:22:41.0235 2456 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
20:22:41.0360 2456 ParVdm - ok
20:22:41.0547 2456 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
20:22:41.0672 2456 PCI - ok
20:22:41.0828 2456 PCIDump - ok
20:22:41.0985 2456 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
20:22:42.0094 2456 PCIIde - ok
20:22:42.0266 2456 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
20:22:42.0391 2456 Pcmcia - ok
20:22:42.0563 2456 PDCOMP - ok
20:22:42.0735 2456 PDFRAME - ok
20:22:42.0891 2456 PDRELI - ok
20:22:43.0047 2456 PDRFRAME - ok
20:22:43.0235 2456 perc2 (6c14b9c19ba84f73d3a86dba11133101) C:\WINDOWS\system32\DRIVERS\perc2.sys
20:22:43.0469 2456 perc2 - ok
20:22:43.0657 2456 perc2hib (f50f7c27f131afe7beba13e14a3b9416) C:\WINDOWS\system32\DRIVERS\perc2hib.sys
20:22:43.0828 2456 perc2hib - ok
20:22:44.0063 2456 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
20:22:44.0219 2456 PptpMiniport - ok
20:22:44.0438 2456 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
20:22:44.0516 2456 PSched - ok
20:22:44.0735 2456 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
20:22:44.0797 2456 Ptilink - ok
20:22:45.0016 2456 ql1080 (0a63fb54039eb5662433caba3b26dba7) C:\WINDOWS\system32\DRIVERS\ql1080.sys
20:22:45.0094 2456 ql1080 - ok
20:22:45.0282 2456 Ql10wnt (6503449e1d43a0ff0201ad5cb1b8c706) C:\WINDOWS\system32\DRIVERS\ql10wnt.sys
20:22:45.0375 2456 Ql10wnt - ok
20:22:45.0594 2456 ql12160 (156ed0ef20c15114ca097a34a30d8a01) C:\WINDOWS\system32\DRIVERS\ql12160.sys
20:22:45.0672 2456 ql12160 - ok
20:22:45.0875 2456 ql1240 (70f016bebde6d29e864c1230a07cc5e6) C:\WINDOWS\system32\DRIVERS\ql1240.sys
20:22:45.0953 2456 ql1240 - ok
20:22:46.0172 2456 ql1280 (907f0aeea6bc451011611e732bd31fcf) C:\WINDOWS\system32\DRIVERS\ql1280.sys
20:22:46.0250 2456 ql1280 - ok
20:22:46.0438 2456 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
20:22:46.0532 2456 RasAcd - ok
20:22:46.0719 2456 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
20:22:46.0797 2456 Rasl2tp - ok
20:22:47.0016 2456 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
20:22:47.0094 2456 RasPppoe - ok
20:22:47.0282 2456 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
20:22:47.0360 2456 Raspti - ok
20:22:47.0563 2456 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
20:22:47.0641 2456 Rdbss - ok
20:22:47.0860 2456 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
20:22:47.0938 2456 RDPCDD - ok
20:22:48.0157 2456 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
20:22:48.0235 2456 rdpdr - ok
20:22:48.0438 2456 RDPWD (fc105dd312ed64eb66bff111e8ec6eac) C:\WINDOWS\system32\drivers\RDPWD.sys
20:22:48.0578 2456 RDPWD - ok
20:22:48.0782 2456 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
20:22:48.0922 2456 redbook - ok
20:22:49.0125 2456 ROOTMODEM (d8b0b4ade32574b2d9c5cc34dc0dbbe7) C:\WINDOWS\system32\Drivers\RootMdm.sys
20:22:49.0203 2456 ROOTMODEM - ok
20:22:49.0422 2456 RTLE8023xp (387c8f70e992efa3d25816ecc1ab2b8b) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
20:22:49.0516 2456 RTLE8023xp - ok
20:22:49.0657 2456 SASDIFSV (39763504067962108505bff25f024345) C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS
20:22:49.0688 2456 SASDIFSV - ok
20:22:49.0703 2456 SASKUTIL (77b9fc20084b48408ad3e87570eb4a85) C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS
20:22:49.0735 2456 SASKUTIL - ok
20:22:49.0938 2456 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
20:22:49.0985 2456 Secdrv - ok
20:22:50.0188 2456 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
20:22:50.0266 2456 serenum - ok
20:22:50.0500 2456 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
20:22:50.0610 2456 Serial - ok
20:22:50.0813 2456 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
20:22:50.0891 2456 Sfloppy - ok
20:22:51.0063 2456 Simbad - ok
20:22:51.0266 2456 sisagp (6b33d0ebd30db32e27d1d78fe946a754) C:\WINDOWS\system32\DRIVERS\sisagp.sys
20:22:51.0344 2456 sisagp - ok
20:22:51.0516 2456 Sparrow (83c0f71f86d3bdaf915685f3d568b20e) C:\WINDOWS\system32\DRIVERS\sparrow.sys
20:22:51.0578 2456 Sparrow - ok
20:22:51.0750 2456 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
20:22:51.0860 2456 splitter - ok
20:22:52.0063 2456 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
20:22:52.0172 2456 sr - ok
20:22:52.0391 2456 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
20:22:52.0516 2456 Srv - ok
20:22:52.0719 2456 StarOpen (e57b778208c783d8debab320c16a1b82) C:\WINDOWS\system32\drivers\StarOpen.sys
20:22:52.0797 2456 StarOpen ( UnsignedFile.Multi.Generic ) - warning
20:22:52.0797 2456 StarOpen - detected UnsignedFile.Multi.Generic (1)
20:22:53.0016 2456 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
20:22:53.0094 2456 swenum - ok
20:22:53.0313 2456 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
20:22:53.0407 2456 swmidi - ok
20:22:53.0625 2456 symc810 (1ff3217614018630d0a6758630fc698c) C:\WINDOWS\system32\DRIVERS\symc810.sys
20:22:53.0735 2456 symc810 - ok
20:22:53.0907 2456 symc8xx (070e001d95cf725186ef8b20335f933c) C:\WINDOWS\system32\DRIVERS\symc8xx.sys
20:22:54.0016 2456 symc8xx - ok
20:22:54.0188 2456 sym_hi (80ac1c4abbe2df3b738bf15517a51f2c) C:\WINDOWS\system32\DRIVERS\sym_hi.sys
20:22:54.0282 2456 sym_hi - ok
20:22:54.0485 2456 sym_u3 (bf4fab949a382a8e105f46ebb4937058) C:\WINDOWS\system32\DRIVERS\sym_u3.sys
20:22:54.0578 2456 sym_u3 - ok
20:22:54.0782 2456 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
20:22:54.0875 2456 sysaudio - ok
20:22:55.0094 2456 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
20:22:55.0172 2456 Tcpip - ok
20:22:55.0375 2456 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
20:22:55.0469 2456 TDPIPE - ok
20:22:55.0672 2456 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
20:22:55.0766 2456 TDTCP - ok
20:22:55.0969 2456 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
20:22:56.0047 2456 TermDD - ok
20:22:56.0266 2456 TosIde (d213a9247dc347f305a2d4cc9b951487) C:\WINDOWS\system32\DRIVERS\toside.sys
20:22:56.0391 2456 TosIde - ok
20:22:56.0610 2456 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
20:22:56.0688 2456 Udfs - ok
20:22:56.0891 2456 ultra (1b698a51cd528d8da4ffaed66dfc51b9) C:\WINDOWS\system32\DRIVERS\ultra.sys
20:22:57.0000 2456 ultra - ok
20:22:57.0219 2456 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
20:22:57.0344 2456 Update - ok
20:22:57.0563 2456 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
20:22:57.0641 2456 usbccgp - ok
20:22:57.0828 2456 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
20:22:57.0938 2456 usbehci - ok
20:22:58.0141 2456 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
20:22:58.0235 2456 usbhub - ok
20:22:58.0438 2456 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
20:22:58.0547 2456 usbprint - ok
20:22:58.0750 2456 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
20:22:58.0844 2456 usbscan - ok
20:22:59.0047 2456 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
20:22:59.0125 2456 USBSTOR - ok
20:22:59.0344 2456 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
20:22:59.0563 2456 usbuhci - ok
20:22:59.0782 2456 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
20:22:59.0860 2456 VgaSave - ok
20:23:00.0063 2456 viaagp (754292ce5848b3738281b4f3607eaef4) C:\WINDOWS\system32\DRIVERS\viaagp.sys
20:23:00.0141 2456 viaagp - ok
20:23:00.0344 2456 ViaIde (3b3efcda263b8ac14fdf9cbdd0791b2e) C:\WINDOWS\system32\DRIVERS\viaide.sys
20:23:00.0438 2456 ViaIde - ok
20:23:00.0657 2456 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
20:23:00.0766 2456 VolSnap - ok
20:23:00.0985 2456 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
20:23:01.0078 2456 Wanarp - ok
20:23:01.0235 2456 WDICA - ok
20:23:01.0438 2456 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
20:23:01.0532 2456 wdmaud - ok
20:23:01.0594 2456 MBR (0x1B8) (8f558eb6672622401da993e1e865c861) \Device\Harddisk0\DR0
20:23:01.0860 2456 \Device\Harddisk0\DR0 - ok
20:23:01.0875 2456 Boot (0x1200) (5616521146d6111e308895bc433f9017) \Device\Harddisk0\DR0\Partition0
20:23:01.0875 2456 \Device\Harddisk0\DR0\Partition0 - ok
20:23:01.0891 2456 Boot (0x1200) (792c8eccd7bb1060b9fbe429b0860280) \Device\Harddisk0\DR0\Partition1
20:23:01.0891 2456 \Device\Harddisk0\DR0\Partition1 - ok
20:23:01.0891 2456 ============================================================
20:23:01.0891 2456 Scan finished
20:23:01.0891 2456 ============================================================
20:23:02.0000 3580 Detected object count: 2
20:23:02.0000 3580 Actual detected object count: 2
20:23:37.0657 3580 MagicTune ( UnsignedFile.Multi.Generic ) - skipped by user
20:23:37.0657 3580 MagicTune ( UnsignedFile.Multi.Generic ) - User select action: Skip
20:23:37.0672 3580 StarOpen ( UnsignedFile.Multi.Generic ) - skipped by user
20:23:37.0672 3580 StarOpen ( UnsignedFile.Multi.Generic ) - User select action: Skip

Gruß,

carlode

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hallo,

hier die cofi.txt:
Combofix Logfile:
--- --- ---
Gruß,

carlode

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Hallo,

hier nun die aswMBR.txt:

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-11-11 22:59:01
-----------------------------
22:59:01.656 OS Version: Windows 5.1.2600 Service Pack 3
22:59:01.656 Number of processors: 2 586 0x170A
22:59:01.656 ComputerName: BÜRO-PC UserName: ***
22:59:02.140 Initialize success
22:59:37.343 AVAST engine defs: 11111101
22:59:54.750 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
22:59:54.750 Disk 0 Vendor: Hitachi_HDS721016CLA382 JPEOA3CF Size: 152627MB BusType: 3
22:59:56.750 Disk 0 MBR read successfully
22:59:56.750 Disk 0 MBR scan
22:59:56.781 Disk 0 Windows XP default MBR code
22:59:56.781 Disk 0 scanning sectors +312576705
22:59:56.890 Disk 0 scanning C:\WINDOWS\system32\drivers
23:00:07.625 Service scanning
23:00:08.625 Modules scanning
23:00:32.531 Disk 0 trace - called modules:
23:00:32.546 ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys intelide.sys PCIIDEX.SYS
23:00:32.546 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89d15ab8]
23:00:32.546 3 CLASSPNP.SYS[b98e8fd7] -> nt!IofCallDriver -> \Device\00000068[0x89d7ea00]
23:00:32.562 5 ACPI.sys[b977e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x89d01940]
23:00:34.312 AVAST engine scan C:\WINDOWS
23:00:52.921 AVAST engine scan C:\WINDOWS\system32
23:04:02.703 AVAST engine scan C:\WINDOWS\system32\drivers
23:04:38.890 AVAST engine scan C:\Dokumente und Einstellungen\***
23:05:24.421 AVAST engine scan C:\Dokumente und Einstellungen\All Users
23:06:49.484 Scan finished successfully
23:07:06.953 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\MBR.dat"
23:07:06.968 The log file has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\aswMBR.txt"


Gruß,

carlode

Und die anderen Logs?

Hallo,

hier kommen die logs von gmer und osam.

Gruß,

carlode

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo,

Malwarebytes läuft schon 1,5 Stunden und ist noch nicht fertig. Ich würde ja gerne Superantispyware schon starten, aber wahrscheinlich dürfen beide Tools nicht parallel laufen. Dann heißt es wohl abwarten....

Gruß,

Carlode

Hallo Arne,

jetzt sind alle logs komplett:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8161

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

14.11.2011 20:30:52
mbam-log-2011-11-14 (20-30-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 235484
Laufzeit: 1 Stunde(n), 37 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 11/14/2011 bei 08:55 PM

Version der Applikation : 5.0.1136

Version der Kern-Datenbank : 7938
Version der Spur-Datenbank : 5750

Scan Art : kompletter Scann
Totale Scann-Zeit : 00:24:25

Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Gescannte Speicherelemente : 518
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 36090
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 22319
Erfasste Datei-Elemente : 0

SETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=9247ddf312edc946933ff6e1b76ba0e0
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-09 03:49:36
# local_time=2011-11-09 04:49:36 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 3862 3862 0 0
# scanned=52334
# found=2
# cleaned=0
# scan_time=1863
C:\Dokumente und Einstellungen\Administrator\Desktop\SoftonicDownloader_fuer_acd-mpower-tools.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\JAM\Desktop\Annette\Downloads\Nero-7.8.5.0_deu_trial.exe Win32/Toolbar.AskSBar application (unable to clean) 00000000000000000000000000000000 I
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=9247ddf312edc946933ff6e1b76ba0e0
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-14 08:30:51
# local_time=2011-11-14 09:30:51 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 452675 452675 0 0
# scanned=44565
# found=2
# cleaned=0
# scan_time=1925
C:\Dokumente und Einstellungen\Administrator\Desktop\SoftonicDownloader_fuer_acd-mpower-tools.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{50241BC8-CDBE-4F14-8D35-5A3BF9653250}\RP186\A0023866.exe Win32/Toolbar.AskSBar application (unable to clean) 00000000000000000000000000000000 I

Was ist mit den beiden letztgenannten Softonic und AskSBar? Sind das neue Trojaner? Hoffe, wir werden die Dinger endlich ganz los.

Gruß,
Carlode

Weil da "Müll" in Form von Toolbars enthalten ist. Bitte KEINE Software mehr von Softonic laden. Nimm die Originalherstellerseite oder notfall chip.de

Bei zukünftigen Programminstallation immer die benutzerdefinierte Methode anklicken, damit man bei der Installation mögliche Toolbars abwählen kann.
Deinstalliere bei der Gelegenheit auch alle anderen unnötigen Programme über die Systemsteuerung.


Rechner ansonsten wieder im Lot?

Hallo,

okay, dein Hinweis zur Programminstallation ist angekommen.

Ansonsten ist der Rechner wieder im Lot und die "verschwundenen" Ordner, Verknüpfungen usw. sind wieder vorhanden.

Ist das Trojanerproblem denn jetzt gelöst?

Gruß,

carlode

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo Arne,

dir ein ganz großes Dankeschön für deine schnelle und kompetente Hilfe bei unserem Problem.

Ich werde alles so machen, wie du es beschrieben hast und hoffentlich bleibt dies das einzige Erlebnis mit Trojanern.

Gruß,
carlode

Hallo Arne,

leider funktioniert combofix /uninstall nicht.
Stattdessen kommt folgende Meldung:

---------------------------
"combofix" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen.
---------------------------

combofix liegt auf dem Desktop. Soll ich manuell löschen?

Gruß,
carlode

Du hast zwischen "combofix" und "/uninstall" auch genau ein Leerzeichen?

Hallo,

ja, ich habe das Leerzeichen an der richtigen Stelle, habe es auch schon ohne oder als combofiix /u probiert - ohne Erfolg.

Gruß,

carlode

Dann lass es einfach so