Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Weiss nichmehr weiter -.- (https://www.trojaner-board.de/89389-weiss-nichmehr.html)

derfagus 11.08.2010 21:07
Weiss nichmehr weiter -.-
 
hy ich weiss nicht wo ich anfangen soll,also am besten damit das bei meinem rechner seltsame dinge passierten..von onlinebanking die 20 tans wissen wollten, natürlich hab ich die nicht rausgegeben, bis sachen die ich gepostet hab und bei mir auch angezeigt werden wie ich sie verfasst hab, aber andere es anders sahen, hab ich durch ne freundin herausgefunden...
mein rechner hab ich plattgemacht, sprich formatiert und ne neue platte zusätzlich eingesetzt. beide fromatiert, allerdings nur schnell,hoffe das reicht aus, und hab windows XP professional neu aufgesetzt.
habe mir aus dem internet service pack 3 voher gesaugt und avira und son kokolores um gleich ein paar sachen zu haben ohne online gehn zu müssen,weil mir das alles zu strange war...
leider bin ich kein pc pro, eher grade so bisschen surfen und spielen, deshalb meine bitte das sich einer mein log mal anschaut, für mich sind das nur hieroglyphen leider auch wenn mir ein zwei sachen auch nicht gefallen, liest sich komisch:(

hoffe mache alles richtig, poste erstmal den hijackthis log als code:

Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:57:38, on 11.08.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Avira\AntiVir Desktop\avguard.exe
C:\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\GIGABYTE\EnergySaver\GSvr.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\COMODO\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Dokumente und Einstellungen\fagus\Desktop\HiJackThis204.exe
C:\Programme\Skype\Toolbars\Shared\SkypeNames2.exe

R3 - URLSearchHook: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll
O3 - Toolbar: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll
O4 - HKLM\..\Run: [avgnt] "C:\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GEST] m’|\ü
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "D:\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [Logitech Vid] "C:\Programme\Logitech\Logitech Vid\vid.exe" -bootmode
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1177238915-1454471165-1801674531-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'tammi')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - hxxp://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1281100325562
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE1C7581-4FB6-4103-A180-75AF581BF14A}: NameServer = 195.50.140.248 195.50.140.114
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Avira\AntiVir Desktop\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7022 bytes
kann man daraus schon was ersehn ob mein lieber wieder vollkommen frei ist??

ausserdem hab ich ,da mein svchost laut comodo soviele verbindungen hat zu bestzeiten 70 ca mal den svchost analyzer dowbgeloadet und bei 2 zeigt er mir an, als admin ausführen, was ich allerdings gemacht habe und das es keine windows dazeien sein -.-
bitte um hilfe :heulen:

cosinus 11.08.2010 21:52
Hallo und :hallo:

Zitat:
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Warum lässt Du überlebenswichtige Update wie SP3 und IE8 einfach weg? http://cheesebuerger.de/images/midi/konfus/a042.gif


Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

derfagus 12.08.2010 13:26
oh hab auf der microsoft seite alle aktuellen updates suchen lassen und die sollte er nacheinander raufklatschen -.- hab aber Sp3 auch auch als full installation auf stick, werde es nachher mal raufspielen,danke für den Hinweis:)

hier das Log von malwarebytes:

Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4422

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

12.08.2010 14:12:45
mbam-log-2010-08-12 (14-12-45).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 162720
Laufzeit: 26 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Und hier der OTL Scan:

der otl scan ist zu groß wie soll ich das machen? einfach stückeln??
edit: habs hierunter hochgeladen die txt datei hoffe das oke so

hxxp://www.file-upload.net/download-2739932/OTL.Txt.html

extras log:

Code:
OTL Extras logfile created on: 12.08.2010 14:16:40 - Run 1
OTL by OldTimer - Version 3.2.9.1    Folder = C:\Dokumente und Einstellungen\fagus\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 73,00% Memory free
5,00 Gb Paging File | 4,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 48,83 Gb Total Space | 37,73 Gb Free Space | 77,28% Space Free | Partition Type: NTFS
Drive D: | 149,04 Gb Total Space | 140,76 Gb Free Space | 94,44% Space Free | Partition Type: NTFS
Drive E: | 184,05 Gb Total Space | 183,97 Gb Free Space | 99,96% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive J: | 608,47 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: MOS-F1021FED2E0
Current User Name: fagus
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Steam\SteamApps\common\alien swarm\swarm.exe" = D:\Steam\SteamApps\common\alien swarm\swarm.exe:*:Disabled:Alien Swarm -- ()
"D:\Steam\Steam.exe" = D:\Steam\Steam.exe:*:Disabled:Steam -- (Valve Corporation)
"C:\Programme\Steam\Steam.exe" = C:\Programme\Steam\Steam.exe:*:Disabled:Steam -- File not found
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Disabled:Windows Live Call -- (Microsoft Corporation)
"C:\Programme\Logitech\Logitech Vid\Vid.exe" = C:\Programme\Logitech\Logitech Vid\Vid.exe:*:Enabled:Logitech Vid -- (Logitech Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{3175E049-F9A9-4A3D-8F19-AC9FB04514D1}" = Windows Live Communications Platform
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4FBCEA31-5D18-4212-9231-DE7CF1BE7DBB}" = Logitech Vid
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{7ED169D4-5053-4166-93DF-53B12AE6C539}" = Energy Saver Advance B8.0711.1
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC96671C-2001-432C-9826-5266D84EF1DC}" = Logitech Webcam Software
"{AED2DD42-9853-407E-A6BC-8A1D6B715909}" = Windows Live Messenger
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CAFA57E8-8927-4912-AFCF-B0AA3837E989}" = Windows Live Essentials
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D2041A37-5FEC-49F0-AE5C-3F2FFDFAA4F4}" = Windows Live Call
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F69FD33C-8815-46BF-9134-A643DE68F3C0}" = WinFast(R) Display Driver
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Casper RAM Cleaner" = Casper RAM Cleaner 2.3
"COMODO Internet Security" = COMODO Internet Security
"Kaspersky Online Scanner" = Kaspersky Online Scanner
"lvdrivers_12.0" = Logitech Webcam Software-Treiberpaket
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)
"Security Task Manager" = Security Task Manager 1.7h
"softonic-de3 Toolbar" = softonic-de3 Toolbar
"Steam App 340" = Half-Life 2: Lost Coast
"Steam App 410" = Portal: First Slice
"Steam App 630" = Alien Swarm
"WIC" = Windows Imaging Component
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 06.08.2010 19:56:18 | Computer Name = MOS-F1021FED2E0 | Source = Steam Client Service | ID = 1
Description =
 
Error - 07.08.2010 11:58:58 | Computer Name = MOS-F1021FED2E0 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung bootstrapper.exe, Version 3.27.3.0, fehlgeschlagenes
 Modul bootstrapper.exe, Version 3.27.3.0, Fehleradresse 0x0000df9b.
 
Error - 07.08.2010 19:17:09 | Computer Name = MOS-F1021FED2E0 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 09.08.2010 15:17:09 | Computer Name = MOS-F1021FED2E0 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung cfp.exe, Version 3.13.54210.572, fehlgeschlagenes
 Modul , Version 0.0.0.0, Fehleradresse 0x00000000.
 
Error - 09.08.2010 17:26:01 | Computer Name = MOS-F1021FED2E0 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung SpybotSD.exe, Version 1.6.2.46, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 09.08.2010 19:24:23 | Computer Name = MOS-F1021FED2E0 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3855, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 09.08.2010 19:27:44 | Computer Name = MOS-F1021FED2E0 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 6.0.2900.2180, fehlgeschlagenes
 Modul skypeieplugin.dll, Version 4.2.0.4997, Fehleradresse 0x00017516.
 
Error - 11.08.2010 09:06:05 | Computer Name = MOS-F1021FED2E0 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung cfp.exe, Version 3.13.54210.572, fehlgeschlagenes
 Modul , Version 0.0.0.0, Fehleradresse 0x00000000.
 
[ System Events ]
Error - 06.08.2010 11:18:55 | Computer Name = MOS-F1021FED2E0 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der
 nächsten 15 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle
 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 06.08.2010 11:20:59 | Computer Name = MOS-F1021FED2E0 | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
 Peer  "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
 Minuten  wiederholt.  Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
 (0x80072751)
 
Error - 06.08.2010 11:20:59 | Computer Name = MOS-F1021FED2E0 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der
 nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle
 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 06.08.2010 11:20:59 | Computer Name = MOS-F1021FED2E0 | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
 Peer  "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
 Minuten  wiederholt.  Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
 (0x80072751)
 
Error - 06.08.2010 11:20:59 | Computer Name = MOS-F1021FED2E0 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der
 nächsten 15 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle
 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 06.08.2010 11:23:26 | Computer Name = MOS-F1021FED2E0 | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
 Peer  "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
 Minuten  wiederholt.  Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
 (0x80072751)
 
Error - 06.08.2010 11:23:26 | Computer Name = MOS-F1021FED2E0 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der
 nächsten 15 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle
 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 06.08.2010 13:00:54 | Computer Name = MOS-F1021FED2E0 | Source = Windows Update Agent | ID = 20
Description = Installationsfehler: Die Installation des folgenden Updates ist mit
 Fehler 0x80070643 fehlgeschlagen: Windows Internet Explorer 7 für Windows XP
 
Error - 11.08.2010 02:09:42 | Computer Name = MOS-F1021FED2E0 | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst NVSvc.
 
Error - 11.08.2010 09:06:39 | Computer Name = MOS-F1021FED2E0 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "COMODO Internet Security Helper Service" wurde aufgrund
 folgenden Fehlers nicht gestartet:  %%2
 
 
< End of report >
viele dank für die hilfe:)

cosinus 12.08.2010 13:29
Updates installieren wir ganz am Ende, wenn wir durch sind mit der Bereinigung.
Du kannst alle Logs in eine ZIP Packen und hier anhängen, notfalls auch bei file-upload.net und hier verlinken.

Von sowas wir Comodo Internet Security solltest Du die Finger lassen wegen der Firewallkomponente. Ein reiner Virenscanner plus Windows-Firewall ist schlanker und effektiver:

Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen... :rolleyes:

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein Verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

derfagus 12.08.2010 13:41
oke hab n edit oben rein gemacht, bei file upload hochgeladen:)

lese mir mal die links durch danke dir.

mein problem ist das eigentlich sehr vorsichtg bin, lade keine cracks und sowas und auch bei seiten passe ich gut auf, weiss ja ist zuviel security müll drauf aber wollte einfach alles versuchen um zu schauen ob noch was drauf ist...
glaube auch nicht das ich mir da ein 0815 ding eingefangen hatte, und vorallem das es jemand istalliert hat der hier geschlafen hat -.-
denn seit dieser zeit kamen sone sachen..hatte nie wirklich viren meldungen, kam mir nur so vor als würde jemand meine maschine unter kontrolle haben .
ist es möglich das ein selbstgeschriebener virus garnicht zu finden ist so leicht??
sry hört sich vielleicht etwas strange an, aber derjenige der hier war und auch die ganze nacht am rechner saß,dem würde ich das mittlerweile zutrauen, hätte ich vorsichtiger sein müssen -.-
hinterher weiss man immer mehr, danketrotzdem für deine hilfe:)

derfagus 12.08.2010 13:46
hab n edit oben drinne mit dem upload:)

les mir deine links mal durch, danke!
na bin eigentlich extrem vorsichtig von natur aus, aber meine vermutung ist eh das er installiert wurde von jemandem der hier eine nacht verbracht hat..traue es demjenigen mittlerweile zu..
hinterher is man immer schlauer:(
hatte auch nie große virenfunde,vielleicht weil ein selbstgeschriebener virus nicht einfach zu finden ist von den programmen???
mir sind halt bloß seltsame sachen passiert im netz, und auch so, kam mir so vor als würde ich nichtmehr die gewünschte kontrolle über den rechner haben...

weiss hört sich nach hollywood an -.- aber war ja leider so:(

derfagus 12.08.2010 13:47
hab n edit oben drinne mit dem upload:)

les mir deine links mal durch, danke!
na bin eigentlich extrem vorsichtig von natur aus, aber meine vermutung ist eh das er installiert wurde von jemandem der hier eine nacht verbracht hat..traue es demjenigen mittlerweile zu..
hinterher is man immer schlauer:(
hatte auch nie große virenfunde,vielleicht weil ein selbstgeschriebener virus nicht einfach zu finden ist von den programmen???
mir sind halt bloß seltsame sachen passiert im netz, und auch so, kam mir so vor als würde ich nichtmehr die gewünschte kontrolle über den rechner haben...

cosinus 12.08.2010 13:51
Kannst Du Comodo jetzt deinstallieren? Das verträgt sich eh nicht mit AntiVir.
Sach Bescheid wenn das durch ist.

derfagus 12.08.2010 13:56
um ehrlich zu sein sehr sehr ungern:( weil ich dann wieder den weg offen hab für eingehende verbindeungen, hatte ich auch 3 auffm schirm als es installiert war,bis ich die geblockt hab:(

aber wenn es sein muss würd ich es tun, nur wenns nicht umbedingt sein muss würd ich es noch drauflassen
weiss nicht wie man sonst die eingehenden verbindungen blockt-.-

cosinus 12.08.2010 14:10
Zitat:
weil ich dann wieder den weg offen hab für eingehende verbindeungen, hatte ich auch 3 auffm schirm als es installiert war,bis ich die geblockt hab
Das ist Unsinn! Die Windows-Firewall macht idR einen besseren Job als SecuritySuites!

derfagus 12.08.2010 14:10
oke dann lösch ich sie
oh man^^ schiss davor aber oke, ich machs einfach:)

cosinus 12.08.2010 14:16
Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen... :rolleyes:

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein Verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

derfagus 12.08.2010 14:22
oke is gelöscht:)

hier hab ich zb ein bild vom sv-chost analyzer:

hxxp://www.pic-upload.de/view-6688185/sv-chost.jpg.html

warum kann ich die 2 dienste nicht scannen oder was heisst das,bin als admin angemeldet grade!

cosinus 12.08.2010 15:01
Das ist gesperrt. Bitte den svchost Analyzer bitte erstmal ignorieren.
Da Du Comodo jetzt deinstalliert hast, möchte ich ein frisches OTL-Log sehen. Die Extras.txt brauch ich aber nicht nochmal.

derfagus 12.08.2010 15:37
jupp hier ist er

hxxp://www.file-upload.net/download-2740300/OTL.Txt.html

cosinus 12.08.2010 16:59
Ist rel. unauffällig. Bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

derfagus 12.08.2010 17:30
hier die combofix log,vorher ccleaner gemacht natürlich:)

Code:
ComboFix 10-08-11.05 - fagus 12.08.2010  18:20:56.1.4 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.3454.3043 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\fagus\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\TEMP\logishrd\LVPrcInj01.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2010-07-12 bis 2010-08-12  ))))))))))))))))))))))))))))))
.

2010-08-12 16:11 . 2010-08-12 16:11        --------        d-----w-        c:\programme\CCleaner
2010-08-12 15:21 . 2010-08-12 15:39        --------        d--h--w-        c:\windows\system32\GroupPolicy
2010-08-12 11:45 . 2010-08-12 11:45        --------        d-----w-        c:\dokumente und einstellungen\fagus\Anwendungsdaten\Malwarebytes
2010-08-12 11:45 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-12 11:45 . 2010-08-12 11:45        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-12 11:45 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-08-12 11:45 . 2010-08-12 11:45        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-08-11 19:42 . 2010-08-11 19:42        --------        d-----w-        c:\programme\Security Task Manager
2010-08-11 13:23 . 2010-08-11 13:23        12912        ----a-w-        c:\dokumente und einstellungen\tammi\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-10 17:35 . 2010-08-10 17:35        --------        d-----w-        c:\dokumente und einstellungen\tammi\Lokale Einstellungen\Anwendungsdaten\COMODO
2010-08-10 16:55 . 2010-08-10 16:55        --------        d-----w-        c:\dokumente und einstellungen\tammi\Anwendungsdaten\Avira
2010-08-10 16:14 . 2010-08-12 11:31        --------        d-----w-        c:\dokumente und einstellungen\tammi\Tracing
2010-08-09 21:55 . 2010-08-09 21:55        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-08-09 21:55 . 2010-08-09 21:55        --------        d-----w-        c:\windows\system32\Kaspersky Lab
2010-08-09 21:23 . 2010-08-12 16:13        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-08-09 21:23 . 2010-08-09 21:24        --------        d-----w-        c:\programme\Spybot - Search & Destroy
2010-08-09 21:05 . 2010-08-12 13:12        --------        d-----w-        c:\programme\Casper RAM Cleaner
2010-08-09 19:17 . 2010-08-09 19:17        --------        d-----w-        c:\dokumente und einstellungen\tammi\Lokale Einstellungen\Anwendungsdaten\Identities
2010-08-08 16:30 . 2010-08-08 16:30        --------        d-----w-        c:\programme\Microsoft CAPICOM 2.1.0.2
2010-08-08 10:04 . 2010-07-23 02:09        910296 begin_of_the_skype_highlighting**************09 910296******end_of_the_skype_highlighting        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\firefox.exe
2010-08-08 10:04 . 2010-07-23 02:09        718296        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\mozcpp19.dll
2010-08-08 10:04 . 2010-07-23 02:09        105432        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\crashreporter.exe
2010-08-08 10:04 . 2010-07-23 02:09        1015768        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\js3250.dll
2010-08-08 10:04 . 2010-07-22 23:41        249856        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\freebl3.dll
2010-08-08 10:04 . 2010-08-11 14:20        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox
2010-08-08 10:04 . 2010-07-23 02:09        17880        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\AccessibleMarshal.dll
2010-08-08 10:02 . 2010-08-08 10:02        --------        d-s---w-        c:\dokumente und einstellungen\tammi\UserData
2010-08-08 00:44 . 2010-08-08 00:44        --------        d-----w-        c:\dokumente und einstellungen\tammi\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-08-08 00:35 . 2010-08-08 00:45        --------        d-----w-        c:\dokumente und einstellungen\tammi\Lokale Einstellungen\Anwendungsdaten\softonic-de3
2010-08-07 19:01 . 2010-08-07 19:01        56        ---ha-w-        c:\windows\system32\ezsidmv.dat
2010-08-07 19:01 . 2010-08-12 14:05        --------        d-----w-        c:\dokumente und einstellungen\fagus\Anwendungsdaten\skypePM
2010-08-07 18:53 . 2010-08-12 16:25        --------        d-----w-        c:\dokumente und einstellungen\fagus\Anwendungsdaten\Skype
2010-08-07 18:53 . 2010-08-07 18:53        --------        d-----w-        c:\programme\Gemeinsame Dateien\Skype
2010-08-07 18:53 . 2010-08-07 18:53        --------        d-----r-        c:\programme\Skype
2010-08-07 18:53 . 2010-08-07 18:53        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2010-08-07 15:23 . 2010-08-07 15:23        --------        d-----w-        c:\dokumente und einstellungen\fagus\Lokale Einstellungen\Anwendungsdaten\LogiShrd
2010-08-07 15:21 . 2009-04-30 23:02        539160        ----a-w-        c:\windows\system32\LVUI2.dll
2010-08-07 15:21 . 2009-04-30 23:03        6754712        ----a-w-        c:\windows\system32\drivers\lvuvc.sys
2010-08-07 15:21 . 2009-04-30 23:02        539160        ----a-w-        c:\windows\system32\LVUI2RC.dll
2010-08-07 15:21 . 2009-04-30 22:57        416280        ----a-w-        c:\windows\system32\lvcodec2.dll
2010-08-07 15:20 . 2009-04-30 22:57        199192        ----a-w-        c:\windows\system32\lvci1201278.dll
2010-08-07 15:20 . 2009-04-30 23:01        265496        ----a-w-        c:\windows\system32\drivers\lvrs.sys
2010-08-07 15:20 . 2009-04-30 22:39        34068        ----a-w-        c:\windows\system32\Repository.reg
2010-08-07 15:19 . 2009-04-30 23:03        23832        ----a-w-        c:\windows\system32\drivers\lvuvcflt.sys
2010-08-07 15:19 . 2010-08-09 11:26        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\LogiShrd
2010-08-07 15:19 . 2010-08-07 15:21        --------        d-----w-        c:\programme\Gemeinsame Dateien\LogiShrd
2010-08-07 15:19 . 2010-08-07 15:21        --------        d-----w-        c:\programme\Logitech
2010-08-07 14:33 . 2004-08-03 22:57        54272        -c--a-w-        c:\windows\system32\dllcache\vfwwdm32.dll
2010-08-07 14:33 . 2004-08-03 22:57        54272        ----a-w-        c:\windows\system32\vfwwdm32.dll
2010-08-07 14:33 . 2004-08-03 21:10        78464        -c--a-w-        c:\windows\system32\dllcache\usbvideo.sys
2010-08-07 14:33 . 2004-08-03 21:10        78464        ----a-w-        c:\windows\system32\drivers\usbvideo.sys
2010-08-07 14:33 . 2004-08-03 21:08        31616        -c--a-w-        c:\windows\system32\dllcache\usbccgp.sys
2010-08-07 14:33 . 2004-08-03 21:08        31616        ----a-w-        c:\windows\system32\drivers\usbccgp.sys
2010-08-07 11:41 . 2009-08-06 17:23        274288        ----a-w-        c:\windows\system32\mucltui.dll
2010-08-07 05:40 . 2010-08-07 05:40        --------        d-----w-        c:\programme\MSXML 6.0
2010-08-06 17:11 . 2010-08-06 17:11        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2010-08-06 16:31 . 2009-11-25 21:03        61952        ----a-w-        c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\cfxHelper@Triton\components\dwmxpcom.dll
2010-08-06 14:37 . 2010-08-07 18:51        --------        d-----w-        c:\dokumente und einstellungen\fagus\Tracing
2010-08-06 14:34 . 2010-08-06 14:34        --------        d-----w-        c:\programme\Microsoft
2010-08-06 14:34 . 2010-08-06 14:34        --------        d-----w-        c:\programme\Windows Live SkyDrive
2010-08-06 14:34 . 2010-08-06 14:34        --------        d-----w-        c:\programme\Windows Live
2010-08-06 14:31 . 2010-08-06 14:31        --------        d-----w-        c:\programme\Gemeinsame Dateien\Windows Live
2010-08-06 14:13 . 2010-08-06 14:13        --------        d-----w-        c:\windows\ServicePackFiles

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-12 16:24 . 2010-08-06 13:15        16608        ----a-w-        c:\windows\gdrv.sys
2010-08-12 13:14 . 2010-08-06 13:02        --------        d-----w-        c:\programme\COMODO
2010-08-11 19:46 . 2010-08-11 19:43        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-08-10 15:10 . 2010-08-06 13:32        227600        ----a-w-        c:\windows\system32\drivers\sfi.dat
2010-08-08 18:52 . 2010-08-07 15:22        0        ----a-w-        c:\windows\system32\drivers\lvuvc.hs
2010-08-07 23:22 . 2004-08-04 10:00        80108        ----a-w-        c:\windows\system32\perfc007.dat
2010-08-07 23:22 . 2004-08-04 10:00        448800        ----a-w-        c:\windows\system32\perfh007.dat
2010-08-07 16:01 . 2010-08-06 13:06        --------        d-----w-        c:\programme\Iminent
2010-08-07 11:38 . 2010-08-06 13:07        12912        ----a-w-        c:\dokumente und einstellungen\fagus\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-07 05:43 . 2010-08-07 05:43        --------        d-----w-        c:\programme\MSBuild
2010-08-07 05:43 . 2010-08-07 05:43        --------        d-----w-        c:\programme\Reference Assemblies
2010-08-06 13:37 . 2010-08-06 13:37        --------        d-----w-        c:\dokumente und einstellungen\fagus\Anwendungsdaten\Avira
2010-08-06 13:24 . 2010-08-06 13:22        --------        d-----w-        c:\programme\Realtek
2010-08-06 13:24 . 2010-08-06 13:24        --------        d-----w-        c:\dokumente und einstellungen\fagus\Anwendungsdaten\InstallShield
2010-08-06 13:22 . 2010-08-06 13:22        315392        ----a-w-        c:\windows\HideWin.exe
2010-08-06 13:18 . 2010-08-06 13:18        --------        d-----w-        c:\programme\Intel
2010-08-06 13:17 . 2010-08-06 13:17        --------        d-----w-        c:\programme\GIGABYTE
2010-08-06 13:07 . 2010-08-06 13:07        --------        d-----w-        c:\programme\Conduit
2010-08-06 12:55 . 2010-08-06 12:55        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-08-06 12:43 . 2010-08-06 13:17        --------        d--h--w-        c:\programme\InstallShield Installation Information
2010-08-06 12:43 . 2010-08-06 13:17        --------        d-----w-        c:\programme\Gemeinsame Dateien\InstallShield
2010-08-06 12:39 . 2010-08-06 11:52        87263        ----a-w-        c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-08-06 12:31 . 2010-08-06 12:31        0        ----a-w-        c:\windows\nsreg.dat
2010-08-06 11:53 . 2010-08-06 11:53        --------        d-----w-        c:\programme\microsoft frontpage
2010-08-06 11:51 . 2010-08-06 11:51        --------        d-----w-        c:\programme\Online-Dienste
2010-08-06 11:50 . 2010-08-06 11:50        --------        d-----w-        c:\programme\Gemeinsame Dateien\Dienste
2010-08-06 11:49 . 2010-08-06 11:49        21740        ----a-w-        c:\windows\system32\emptyregdb.dat
2010-07-22 23:41 . 2010-08-08 10:05        98304        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\nssdbm3.dll
2010-07-22 23:41 . 2010-08-08 10:05        155648        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\softokn3.dll
2010-06-14 14:30 . 2010-08-06 11:50        743936        ----a-w-        c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-08 09:29 . 2010-08-06 13:07        52224        ----a-w-        c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\FFExternalAlert.dll
2010-06-08 09:29 . 2010-08-06 13:07        101376        ----a-w-        c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\RadioWMPCore.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="d:\steam\Steam.exe" [2010-08-06 1238352]
"Logitech Vid"="c:\programme\Logitech\Logitech Vid\vid.exe" [2009-06-02 5451536]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2010-05-13 26192168]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GEST"="m’|\ü" [X]
"avgnt"="c:\avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"RTHDCPL"="RTHDCPL.EXE" [2008-06-27 16875008]
"SoundMan"="SOUNDMAN.EXE" [2008-06-18 77824]
"AlcWzrd"="ALCWZRD.EXE" [2008-06-19 2808832]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-20 7110656]
"nwiz"="nwiz.exe" [2005-07-20 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-07-20 86016]
"LogitechQuickCamRibbon"="c:\programme\Logitech\Logitech WebCam Software\LWS.exe" [2009-05-08 2780432]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Steam\\SteamApps\\common\\alien swarm\\swarm.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"d:\\Steam\\Steam.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Logitech\\Logitech Vid\\Vid.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\avira\AntiVir Desktop\sched.exe [06.08.2010 14:55 135336]
R2 GEST Service;GEST Service for program management.;c:\programme\GIGABYTE\EnergySaver\GSvr.exe [06.08.2010 15:17 80392]
.
.
------- Zusätzlicher Suchlauf -------
.
TCP: {BE1C7581-4FB6-4103-A180-75AF581BF14A} = 195.50.140.248 195.50.140.114
FF - ProfilePath - c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\
FF - component: c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\RadioWMPCore.dll
FF - component: c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\cfxHelper@Triton\components\dwmxpcom.dll
FF - component: c:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-12 18:24
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2964)
c:\windows\TEMP\logishrd\LVPrcInj01.dll
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\avira\AntiVir Desktop\avguard.exe
c:\avira\AntiVir Desktop\avshadow.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\windows\system32\nvsvc32.exe
c:\windows\RTHDCPL.EXE
c:\windows\SOUNDMAN.EXE
c:\windows\system32\RUNDLL32.EXE
c:\programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-12  18:27:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-12 16:27

Vor Suchlauf: 6 Verzeichnis(se), 40.833.413.120 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 41.064.300.544 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 0056129D109D14F4C8A2AEE7A7630F39
hoffe ist alles okay:)

hab ein paar sachen aus dem autoostart genommen ,dabei viel mir das huier auf, diese komischen zeichen ???

hxxp://www.pic-upload.de/view-6690648/autostart.jpg.html

was ist das?
vielen dank für die hilfe nochmals!!!

cosinus 12.08.2010 18:05
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GEST"=-

Folder::
c:\programme\COMODO

File::
c:\windows\system32\drivers\sfi.dat
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

derfagus 12.08.2010 18:17
okay hab ich gemacht hier das neue log von combofix:

Code:
ComboFix 10-08-11.05 - fagus 12.08.2010  19:12:18.2.4 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.3454.2924 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\fagus\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\fagus\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\system32\drivers\sfi.dat"
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\COMODO
c:\windows\system32\drivers\sfi.dat

.
(((((((((((((((((((((((  Dateien erstellt von 2010-07-12 bis 2010-08-12  ))))))))))))))))))))))))))))))
.

2010-08-12 16:11 . 2010-08-12 16:11        --------        d-----w-        c:\programme\CCleaner
2010-08-12 15:21 . 2010-08-12 15:39        --------        d--h--w-        c:\windows\system32\GroupPolicy
2010-08-12 11:45 . 2010-08-12 11:45        --------        d-----w-        c:\dokumente und einstellungen\fagus\Anwendungsdaten\Malwarebytes
2010-08-12 11:45 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-12 11:45 . 2010-08-12 11:45        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-12 11:45 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-08-12 11:45 . 2010-08-12 11:45        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-08-11 19:42 . 2010-08-11 19:42        --------        d-----w-        c:\programme\Security Task Manager
2010-08-11 13:23 . 2010-08-11 13:23        12912        ----a-w-        c:\dokumente und einstellungen\tammi\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-10 17:35 . 2010-08-10 17:35        --------        d-----w-        c:\dokumente und einstellungen\tammi\Lokale Einstellungen\Anwendungsdaten\COMODO
2010-08-10 16:55 . 2010-08-10 16:55        --------        d-----w-        c:\dokumente und einstellungen\tammi\Anwendungsdaten\Avira
2010-08-10 16:14 . 2010-08-12 11:31        --------        d-----w-        c:\dokumente und einstellungen\tammi\Tracing
2010-08-09 21:55 . 2010-08-09 21:55        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-08-09 21:55 . 2010-08-09 21:55        --------        d-----w-        c:\windows\system32\Kaspersky Lab
2010-08-09 21:23 . 2010-08-12 16:13        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-08-09 21:23 . 2010-08-09 21:24        --------        d-----w-        c:\programme\Spybot - Search & Destroy
2010-08-09 21:05 . 2010-08-12 13:12        --------        d-----w-        c:\programme\Casper RAM Cleaner
2010-08-09 19:17 . 2010-08-09 19:17        --------        d-----w-        c:\dokumente und einstellungen\tammi\Lokale Einstellungen\Anwendungsdaten\Identities
2010-08-08 16:30 . 2010-08-08 16:30        --------        d-----w-        c:\programme\Microsoft CAPICOM 2.1.0.2
2010-08-08 10:04 . 2010-07-23 02:09        910296        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\firefox.exe
2010-08-08 10:04 . 2010-07-23 02:09        718296        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\mozcpp19.dll
2010-08-08 10:04 . 2010-07-23 02:09        105432        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\crashreporter.exe
2010-08-08 10:04 . 2010-07-23 02:09        1015768        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\js3250.dll
2010-08-08 10:04 . 2010-07-22 23:41        249856        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\freebl3.dll
2010-08-08 10:04 . 2010-08-11 14:20        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox
2010-08-08 10:04 . 2010-07-23 02:09        17880        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\AccessibleMarshal.dll
2010-08-08 10:02 . 2010-08-08 10:02        --------        d-s---w-        c:\dokumente und einstellungen\tammi\UserData
2010-08-08 00:44 . 2010-08-08 00:44        --------        d-----w-        c:\dokumente und einstellungen\tammi\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-08-08 00:35 . 2010-08-08 00:45        --------        d-----w-        c:\dokumente und einstellungen\tammi\Lokale Einstellungen\Anwendungsdaten\softonic-de3
2010-08-07 19:01 . 2010-08-07 19:01        56        ---ha-w-        c:\windows\system32\ezsidmv.dat
2010-08-07 19:01 . 2010-08-12 14:05        --------        d-----w-        c:\dokumente und einstellungen\fagus\Anwendungsdaten\skypePM
2010-08-07 18:53 . 2010-08-12 17:08        --------        d-----w-        c:\dokumente und einstellungen\fagus\Anwendungsdaten\Skype
2010-08-07 18:53 . 2010-08-07 18:53        --------        d-----w-        c:\programme\Gemeinsame Dateien\Skype
2010-08-07 18:53 . 2010-08-07 18:53        --------        d-----r-        c:\programme\Skype
2010-08-07 18:53 . 2010-08-07 18:53        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2010-08-07 15:23 . 2010-08-07 15:23        --------        d-----w-        c:\dokumente und einstellungen\fagus\Lokale Einstellungen\Anwendungsdaten\LogiShrd
2010-08-07 15:21 . 2009-04-30 23:02        539160        ----a-w-        c:\windows\system32\LVUI2.dll
2010-08-07 15:21 . 2009-04-30 23:03        6754712        ----a-w-        c:\windows\system32\drivers\lvuvc.sys
2010-08-07 15:21 . 2009-04-30 23:02        539160        ----a-w-        c:\windows\system32\LVUI2RC.dll
2010-08-07 15:21 . 2009-04-30 22:57        416280        ----a-w-        c:\windows\system32\lvcodec2.dll
2010-08-07 15:20 . 2009-04-30 22:57        199192        ----a-w-        c:\windows\system32\lvci1201278.dll
2010-08-07 15:20 . 2009-04-30 23:01        265496        ----a-w-        c:\windows\system32\drivers\lvrs.sys
2010-08-07 15:20 . 2009-04-30 22:39        34068        ----a-w-        c:\windows\system32\Repository.reg
2010-08-07 15:19 . 2009-04-30 23:03        23832        ----a-w-        c:\windows\system32\drivers\lvuvcflt.sys
2010-08-07 15:19 . 2010-08-09 11:26        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\LogiShrd
2010-08-07 15:19 . 2010-08-07 15:21        --------        d-----w-        c:\programme\Gemeinsame Dateien\LogiShrd
2010-08-07 15:19 . 2010-08-07 15:21        --------        d-----w-        c:\programme\Logitech
2010-08-07 14:33 . 2004-08-03 22:57        54272        -c--a-w-        c:\windows\system32\dllcache\vfwwdm32.dll
2010-08-07 14:33 . 2004-08-03 22:57        54272        ----a-w-        c:\windows\system32\vfwwdm32.dll
2010-08-07 14:33 . 2004-08-03 21:10        78464        -c--a-w-        c:\windows\system32\dllcache\usbvideo.sys
2010-08-07 14:33 . 2004-08-03 21:10        78464        ----a-w-        c:\windows\system32\drivers\usbvideo.sys
2010-08-07 14:33 . 2004-08-03 21:08        31616        -c--a-w-        c:\windows\system32\dllcache\usbccgp.sys
2010-08-07 14:33 . 2004-08-03 21:08        31616        ----a-w-        c:\windows\system32\drivers\usbccgp.sys
2010-08-07 11:41 . 2009-08-06 17:23        274288        ----a-w-        c:\windows\system32\mucltui.dll
2010-08-07 05:40 . 2010-08-07 05:40        --------        d-----w-        c:\programme\MSXML 6.0
2010-08-06 17:11 . 2010-08-06 17:11        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2010-08-06 16:31 . 2009-11-25 21:03        61952        ----a-w-        c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\cfxHelper@Triton\components\dwmxpcom.dll
2010-08-06 14:37 . 2010-08-07 18:51        --------        d-----w-        c:\dokumente und einstellungen\fagus\Tracing
2010-08-06 14:34 . 2010-08-06 14:34        --------        d-----w-        c:\programme\Microsoft
2010-08-06 14:34 . 2010-08-06 14:34        --------        d-----w-        c:\programme\Windows Live SkyDrive
2010-08-06 14:34 . 2010-08-06 14:34        --------        d-----w-        c:\programme\Windows Live
2010-08-06 14:31 . 2010-08-06 14:31        --------        d-----w-        c:\programme\Gemeinsame Dateien\Windows Live
2010-08-06 14:13 . 2010-08-06 14:13        --------        d-----w-        c:\windows\ServicePackFiles

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-12 16:24 . 2010-08-06 13:15        16608        ----a-w-        c:\windows\gdrv.sys
2010-08-11 19:46 . 2010-08-11 19:43        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-08-08 18:52 . 2010-08-07 15:22        0        ----a-w-        c:\windows\system32\drivers\lvuvc.hs
2010-08-07 23:22 . 2004-08-04 10:00        80108        ----a-w-        c:\windows\system32\perfc007.dat
2010-08-07 23:22 . 2004-08-04 10:00        448800        ----a-w-        c:\windows\system32\perfh007.dat
2010-08-07 16:01 . 2010-08-06 13:06        --------        d-----w-        c:\programme\Iminent
2010-08-07 11:38 . 2010-08-06 13:07        12912        ----a-w-        c:\dokumente und einstellungen\fagus\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-07 05:43 . 2010-08-07 05:43        --------        d-----w-        c:\programme\MSBuild
2010-08-07 05:43 . 2010-08-07 05:43        --------        d-----w-        c:\programme\Reference Assemblies
2010-08-06 13:37 . 2010-08-06 13:37        --------        d-----w-        c:\dokumente und einstellungen\fagus\Anwendungsdaten\Avira
2010-08-06 13:24 . 2010-08-06 13:22        --------        d-----w-        c:\programme\Realtek
2010-08-06 13:24 . 2010-08-06 13:24        --------        d-----w-        c:\dokumente und einstellungen\fagus\Anwendungsdaten\InstallShield
2010-08-06 13:22 . 2010-08-06 13:22        315392        ----a-w-        c:\windows\HideWin.exe
2010-08-06 13:18 . 2010-08-06 13:18        --------        d-----w-        c:\programme\Intel
2010-08-06 13:17 . 2010-08-06 13:17        --------        d-----w-        c:\programme\GIGABYTE
2010-08-06 13:07 . 2010-08-06 13:07        --------        d-----w-        c:\programme\Conduit
2010-08-06 12:55 . 2010-08-06 12:55        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-08-06 12:43 . 2010-08-06 13:17        --------        d--h--w-        c:\programme\InstallShield Installation Information
2010-08-06 12:43 . 2010-08-06 13:17        --------        d-----w-        c:\programme\Gemeinsame Dateien\InstallShield
2010-08-06 12:39 . 2010-08-06 11:52        87263        ----a-w-        c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-08-06 12:31 . 2010-08-06 12:31        0        ----a-w-        c:\windows\nsreg.dat
2010-08-06 11:53 . 2010-08-06 11:53        --------        d-----w-        c:\programme\microsoft frontpage
2010-08-06 11:51 . 2010-08-06 11:51        --------        d-----w-        c:\programme\Online-Dienste
2010-08-06 11:50 . 2010-08-06 11:50        --------        d-----w-        c:\programme\Gemeinsame Dateien\Dienste
2010-08-06 11:49 . 2010-08-06 11:49        21740        ----a-w-        c:\windows\system32\emptyregdb.dat
2010-07-22 23:41 . 2010-08-08 10:05        98304        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\nssdbm3.dll
2010-07-22 23:41 . 2010-08-08 10:05        155648        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Mozilla Firefox\softokn3.dll
2010-06-14 14:30 . 2010-08-06 11:50        743936        ----a-w-        c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-08 09:29 . 2010-08-06 13:07        52224        ----a-w-        c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\FFExternalAlert.dll
2010-06-08 09:29 . 2010-08-06 13:07        101376        ----a-w-        c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\RadioWMPCore.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"RTHDCPL"="RTHDCPL.EXE" [2008-06-27 16875008]
"SoundMan"="SOUNDMAN.EXE" [2008-06-18 77824]
"AlcWzrd"="ALCWZRD.EXE" [2008-06-19 2808832]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-20 7110656]
"nwiz"="nwiz.exe" [2005-07-20 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-07-20 86016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Vid]
2009-06-02 06:59        5451536        ----a-w-        c:\programme\Logitech\Logitech Vid\Vid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2009-05-08 08:35        2780432        ----a-w-        c:\programme\Logitech\Logitech WebCam Software\LWS.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-05-13 14:12        26192168        ----a-r-        c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2010-08-06 23:58        1238352        ----a-w-        d:\steam\Steam.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Steam\\SteamApps\\common\\alien swarm\\swarm.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"d:\\Steam\\Steam.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Logitech\\Logitech Vid\\Vid.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\avira\AntiVir Desktop\sched.exe [06.08.2010 14:55 135336]
R2 GEST Service;GEST Service for program management.;c:\programme\GIGABYTE\EnergySaver\GSvr.exe [06.08.2010 15:17 80392]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\
FF - component: c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\components\RadioWMPCore.dll
FF - component: c:\dokumente und einstellungen\fagus\Anwendungsdaten\Mozilla\Firefox\Profiles\zx3e7j3j.default\extensions\cfxHelper@Triton\components\dwmxpcom.dll
FF - component: c:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-12 19:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2010-08-12  19:14:41
ComboFix-quarantined-files.txt  2010-08-12 17:14
ComboFix2.txt  2010-08-12 16:27

Vor Suchlauf: 6 Verzeichnis(se), 41.055.858.688 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 41.045.757.952 Bytes frei

- - End Of File - - 319582DAC8EBAA5D953397F6FA7CBF7F
das mit dem autostart,kannst du mir sagen was da die hieroglyphen zu suchen haben?

derfagus 12.08.2010 19:41
habe mir schonmal windows mediaplayer 11 runtergeladen da kam diese meldung von avira -.-

In der Datei 'C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

als ich internet explorer 8 runtergeladen habe fast dasselbe..

In der Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20100812-201841-AF5C864E\ARK147.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

scheint noch irgendwas drauf zu sein was diesen trojaner runterzuladen versucht sobald ich etwas downloade oder sehe ich das falsch,weil 2 mal derselbe fund bei unterschiedlichen downloads wirkt mir komisch...

vielen dank für deine hilfe,ist echt top das es leute wie euch gibt die einem helfen:)

cosinus 12.08.2010 20:12
Zitat:
In der Datei 'C:\WINDOWS\Temp\logishrd\LVPrcInj01.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Eigentlich ist das von Logitech :confused:
Hast Du AntiVir zu scharf eingestellt?

derfagus 12.08.2010 20:23
hmm habs nicht verändert nur nochmal geupdatet -.-
und kam auch direkt nach dem download,vielleicht beim dowloaden was mit auf die platte gesprungen??
oh man, is dit alles kompliziert -.- :killpc:
und direkt beim anderen download das gleiche.....verstehe das nicht, hab sogar bei den links die du mir vorhin geschickt hast die winsowsdienste angepasst und alles -.-

edit: ich leg mich schlafen, morgen noch zwischenprüfung -.-

derfagus 13.08.2010 06:08
was ist jetzt noch zu machen und war überhaupt etwas zu erkennen was auf eine infektion hinweist??

cosinus 13.08.2010 07:32
Das hier meinte ich. Wie ist AntiVir da bei Dir eingestellt?


http://blog.freeware.de/uploads/anti...kategorien.jpg

derfagus 13.08.2010 20:35
hier die einstellung:

hxxp://www.pic-upload.de/view-6705240/avira.jpg.html

hab aber nix umgestellt !!!

cosinus 14.08.2010 15:12
Du darfst natürlich nciht alle aktivieren!! Warum machst Du das auch, nimm da die Standardwerte!

derfagus 14.08.2010 15:28
habs nur installiert und geupdatet^^
nix aktiviert, aber ich mach die normalen einstellungen;)
warum sind die anderen nicht zu empfehlen??

cosinus 14.08.2010 18:05
Zitat:
warum sind die anderen nicht zu empfehlen??
Siehst Du doch oben! Dann meldet er auch zB Apps von Logitech als Virus!

derfagus 14.08.2010 18:22
hmm ja mag sein, aber die beiden sind in nem tmp verzeichnis gewesen einer in windows der andere bei avira, und ich gebe zu bedenken das es jeweils bei einem download die viren gemeldet hat nicht im normalbetrieb, das kommt mir etwas seltsam vor;)

cosinus 14.08.2010 18:26
Dennoch war AntiVir zu scharf eingestellt, sonst hätte er nichts von Logitech "erkannt"!

Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

derfagus 14.08.2010 19:52
erstens hat sich servicepack 3 installiert...runtergeladen war 4es ja schon, aber ich habe nix angeklickt..war nur die ganze zeit unten rechts zu sehn und beim letzten neustart isses einfach installiert worden -.-

Also Gmer hat alles durchgerattert bis er bei unistall in einem windows ordner nen Bluescreen hatte....
mit folgendem
das problem wurde möglicherweise von folgender datei verursacht:
kfwyipob.sys
adress B2185FA6 base at B217A000

hab auch die technischen informationen aufgeschrieben, falls du die brauchen kannst musst es sagen da sende ich die auch!

osam hat folgendes ausgespuckt:

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 20:44:45 on 14.08.2010
OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.8

Scanner Settings
Rootkits detection (hidden registry)
Rootkits detection (hidden files)
Retrieve files information
Check Microsoft signatures

Filters
Trusted entries
Empty entries
Hidden registry entries (rootkit activity)
Exclusively opened files
Not found files
Files without detailed information
Existing files
Non-startable services
Non-startable drivers
Active entries
Disabled entries

Risk Name Publisher Full Path Status
Common
%SystemRoot%\Tasks
|||| "GoogleUpdateTaskMachineCore.job" "Google Inc." C:\Programme\Google\Update\GoogleUpdate.exe File exists
Control Panel Objects
%SystemRoot%\system32
|| "DivXControlPanelApplet.cpl" "DivX, Inc." C:\WINDOWS\system32\DivXControlPanelApplet.cpl File exists
|||||| "infocardcpl.cpl" "Microsoft Corporation" C:\WINDOWS\system32\infocardcpl.cpl File exists
|||||| "nvtuicpl.cpl" "NVIDIA Corporation" C:\WINDOWS\system32\nvtuicpl.cpl File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls
|||||| "Avira AntiVir Personal" "Avira GmbH" C:\Avira\ANTIVI~1\avconfig.cpl File exists
Drivers
HKLM\SYSTEM\CurrentControlSet\Services
|||||| "avgio" (avgio) "Avira GmbH" C:\Avira\AntiVir Desktop\avgio.sys File exists
|||||| "avgntflt" (avgntflt) "Avira GmbH" C:\WINDOWS\System32\DRIVERS\avgntflt.sys File exists
|||||| "avipbb" (avipbb) "Avira GmbH" C:\WINDOWS\System32\DRIVERS\avipbb.sys File exists
"catchme" (catchme) C:\DOKUME~1\fagus\LOKALE~1\Temp\catchme.sys File not found
|||||| "cercsr6" (cercsr6) "Adaptec, Inc." C:\WINDOWS\system32\drivers\cercsr6.sys File exists
"Changer" (Changer) C:\WINDOWS\system32\drivers\Changer.sys File not found
|||||| "gdrv" (gdrv) "Windows (R) 2000 DDK provider" C:\WINDOWS\gdrv.sys File exists
"i2omgmt" (i2omgmt) C:\WINDOWS\system32\drivers\i2omgmt.sys File not found
"lbrtfdc" (lbrtfdc) C:\WINDOWS\system32\drivers\lbrtfdc.sys File not found
|||||| "nv" (nv) "NVIDIA Corporation" C:\WINDOWS\System32\DRIVERS\nv4_mini.sys File exists
"PCIDump" (PCIDump) C:\WINDOWS\system32\drivers\PCIDump.sys File not found
"PDCOMP" (PDCOMP) C:\WINDOWS\system32\drivers\PDCOMP.sys File not found
"PDFRAME" (PDFRAME) C:\WINDOWS\system32\drivers\PDFRAME.sys File not found
"PDRELI" (PDRELI) C:\WINDOWS\system32\drivers\PDRELI.sys File not found
"PDRFRAME" (PDRFRAME) C:\WINDOWS\system32\drivers\PDRFRAME.sys File not found
|||||| "PSI" (PSI) "Secunia" C:\WINDOWS\System32\DRIVERS\psi_mf.sys File exists
|||||| "PxHelp20" (PxHelp20) "Sonic Solutions" C:\WINDOWS\System32\Drivers\PxHelp20.sys File exists
|||||| "ssmdrv" (ssmdrv) "Avira GmbH" C:\WINDOWS\System32\DRIVERS\ssmdrv.sys File exists
"WDICA" (WDICA) C:\WINDOWS\system32\drivers\WDICA.sys File not found
Explorer
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
|||||| {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" "Microsoft Corporation" C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install File exists
HKLM\Software\Classes\Protocols\Filter
|||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists
|||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists
|||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS\system32\mscoree.dll File exists
HKLM\Software\Classes\Protocols\Handler
|||||| {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" "Skype Technologies" C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL File exists
|||| {828030A1-22C1-4009-854F-8E305202313F} "livecall" "Microsoft Corporation" C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL File exists
|||| {828030A1-22C1-4009-854F-8E305202313F} "msnim" "Microsoft Corporation" C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL File exists
|||| {91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" "Skype Technologies S.A." C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" deskpan.dll File not found
|||||| {1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" "NVIDIA Corporation" C:\WINDOWS\system32\nvshell.dll File exists
|||||| {1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" "NVIDIA Corporation" C:\WINDOWS\system32\nvshell.dll File exists
|||||| {A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" "NVIDIA Corporation" C:\WINDOWS\system32\nvcpl.dll File exists
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" File not found | COM-object registry key not found
|||||| {FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" "NVIDIA Corporation" C:\WINDOWS\system32\nvcpl.dll File exists
|||||| {1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" "NVIDIA Corporation" C:\WINDOWS\system32\nvshell.dll File exists
|||||| {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" "Avira GmbH" C:\Avira\AntiVir Desktop\shlext.dll File exists
|||||| {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" "Microsoft Corporation" C:\WINDOWS\system32\dfshim.dll File exists
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" File not found | COM-object registry key not found
|||||| {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" "Microsoft Corporation" C:\WINDOWS\system32\dfshim.dll File exists
|||| {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} "Snagit" "TechSmith Corporation" C:\Programme\TechSmith\Snagit 9\SnagitIEAddin.dll File exists
|||||| {CF74B903-3389-469c-B3B6-0204D204FCBD} "SnagItShellExt Class" "TechSmith Corporation" C:\Programme\TechSmith\Snagit 9\SnagitShellExt.dll File exists
|||||| {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" "Alexander Roshal" C:\Programme\WinRAR\rarext.dll File exists
Internet Explorer
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
"ITBarLayout" File not found | COM-object registry key not found
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
|||||| {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} "CKAVWebScan Object"
hxxp://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab "Kaspersky Lab" C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll File exists
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
|||||| {53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" "Safer Networking Limited" C:\PROGRA~1\SPYBOT~1\SDHelper.dll File exists
|||| {898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype add-on for Internet Explorer" "Skype Technologies S.A." C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File exists
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
|||| {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} "Snagit" "TechSmith Corporation" C:\Programme\TechSmith\Snagit 9\SnagitIEAddin.dll File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
|||| {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype add-on for Internet Explorer" "Skype Technologies S.A." C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File exists
|||| {00C6482D-C502-44C8-8409-FCE54AD9C208} "SnagIt Toolbar Loader" "TechSmith Corporation" C:\Programme\TechSmith\Snagit 9\SnagitBHO.dll File exists
|||||| {53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" "Safer Networking Limited" C:\PROGRA~1\SPYBOT~1\SDHelper.dll File exists
|||||| {9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" "Microsoft Corporation" C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll File exists
{5C255C8A-E604-49b4-9D64-90988571CECB} "{5C255C8A-E604-49b4-9D64-90988571CECB}" File not found | COM-object registry key not found
Logon
%AllUsersProfile%\Startmenü\Programme\Autostart
|||||| "desktop.ini" C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini File exists
%UserProfile%\Startmenü\Programme\Autostart
|||||| "desktop.ini" C:\Dokumente und Einstellungen\fagus\Startmenü\Programme\Autostart\desktop.ini File exists
"Secunia PSI.lnk" "Secunia" C:\Programme\Secunia\PSI\psi.exe Shortcut exists | File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
|||||| "avgnt" "Avira GmbH" "C:\Avira\AntiVir Desktop\avgnt.exe" /min File exists
|| "DivXUpdate" "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW File exists
|||||| "NvCplDaemon" "NVIDIA Corporation" RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup File exists
|||| "NvMediaCenter" "NVIDIA Corporation" RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit File exists
|||| "nwiz" "NVIDIA Corporation" nwiz.exe /install File exists
Services
HKLM\SYSTEM\CurrentControlSet\Services
|||||| ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe File exists
|||||| "ASP.NET State Service" (aspnet_state) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe File exists
|||||| "Avira AntiVir Guard" (AntiVirService) "Avira GmbH" C:\Avira\AntiVir Desktop\avguard.exe File exists
|||||| "Avira AntiVir Planer" (AntiVirSchedulerService) "Avira GmbH" C:\Avira\AntiVir Desktop\sched.exe File exists
|||||| "GEST Service for program management." (GEST Service) C:\Programme\GIGABYTE\EnergySaver\GSvr.exe File found, but it contains no detailed information
|||| "Google Update Service (gupdate)" (gupdate) "Google Inc." C:\Programme\Google\Update\GoogleUpdate.exe File exists
|||||| "Process Monitor" (LVPrcSrv) "Logitech Inc." C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe File exists
|||||| "Windows CardSpace" (idsvc) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe File exists
|||||| "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) "Microsoft Corporation" C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe File exists
|||||| "WinFast(R) Display Driver Service" (NVSvc) "NVIDIA Corporation" C:\WINDOWS\system32\nvsvc32.exe File exists
Winlogon
HKCU\Control Panel\IOProcs
"MVB" mvfs32.dll File not found
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
|||| "WgaLogon" "Microsoft Corporation" C:\WINDOWS\system32\WgaLogon.dll File exists

und den bootkit remover führe ich jetz im anschluss aus,
besten dank für deine zeit

derfagus 14.08.2010 19:59
hier bootkit remover daten:

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)


Done;
Press any key to quit...

den debug log hau ich noch hinterher weiss nicht ob du die brauchst:

.\debug.cpp(238) : Debug log started at 14.08.2010 - 18:56:33
.\boot_cleaner.cpp(675) : Bootkit Remover
.\boot_cleaner.cpp(676) : (c) 2009 eSage Lab
.\boot_cleaner.cpp(677) : www.esagelab.com
.\boot_cleaner.cpp(681) : Program version: 1.1.0.0
.\boot_cleaner.cpp(688) : OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
.\debug.cpp(248) : **********************************************
.\debug.cpp(249) : *** [ LOADED MODULES INFORMATION ] ***********
.\debug.cpp(250) : **********************************************
.\debug.cpp(256) : 0x804d7000 0x0020e000 "\WINDOWS\system32\ntkrnlpa.exe"
.\debug.cpp(256) : 0x806e5000 0x00020d00 "\WINDOWS\system32\hal.dll"
.\debug.cpp(256) : 0xba5a8000 0x00002000 "\WINDOWS\system32\KDCOM.DLL"
.\debug.cpp(256) : 0xba4b8000 0x00003000 "\WINDOWS\system32\BOOTVID.dll"
.\debug.cpp(256) : 0xb9f78000 0x0002f000 "ACPI.sys"
.\debug.cpp(256) : 0xba5aa000 0x00002000 "\WINDOWS\system32\DRIVERS\WMILIB.SYS"
.\debug.cpp(256) : 0xb9f67000 0x00011000 "pci.sys"
.\debug.cpp(256) : 0xba0a8000 0x0000a000 "isapnp.sys"
.\debug.cpp(256) : 0xba670000 0x00001000 "pciide.sys"
.\debug.cpp(256) : 0xba328000 0x00007000 "\WINDOWS\system32\DRIVERS\PCIIDEX.SYS"
.\debug.cpp(256) : 0xba0b8000 0x0000b000 "MountMgr.sys"
.\debug.cpp(256) : 0xb9f48000 0x0001f000 "ftdisk.sys"
.\debug.cpp(256) : 0xba5ac000 0x00002000 "dmload.sys"
.\debug.cpp(256) : 0xb9f22000 0x00026000 "dmio.sys"
.\debug.cpp(256) : 0xba330000 0x00005000 "PartMgr.sys"
.\debug.cpp(256) : 0xba0c8000 0x0000e000 "VolSnap.sys"
.\debug.cpp(256) : 0xb9f0a000 0x00018000 "atapi.sys"
.\debug.cpp(256) : 0xba338000 0x00008000 "cercsr6.sys"
.\debug.cpp(256) : 0xb9ef2000 0x00018000 "\WINDOWS\System32\Drivers\SCSIPORT.SYS"
.\debug.cpp(256) : 0xba0d8000 0x00009000 "disk.sys"
.\debug.cpp(256) : 0xba0e8000 0x0000d000 "\WINDOWS\system32\DRIVERS\CLASSPNP.SYS"
.\debug.cpp(256) : 0xb9ed2000 0x00020000 "fltmgr.sys"
.\debug.cpp(256) : 0xb9ec0000 0x00012000 "sr.sys"
.\debug.cpp(256) : 0xba0f8000 0x0000a000 "PxHelp20.sys"
.\debug.cpp(256) : 0xb9ea9000 0x00017000 "KSecDD.sys"
.\debug.cpp(256) : 0xb9e1c000 0x0008d000 "Ntfs.sys"
.\debug.cpp(256) : 0xb9def000 0x0002d000 "NDIS.sys"
.\debug.cpp(256) : 0xb9dd5000 0x0001a000 "Mup.sys"
.\debug.cpp(256) : 0xba128000 0x0000a000 "\SystemRoot\system32\DRIVERS\intelppm.sys"
.\debug.cpp(256) : 0xb9a80000 0x0030d000 "\SystemRoot\system32\DRIVERS\nv4_mini.sys"
.\debug.cpp(256) : 0xb9a6c000 0x00014000 "\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS"
.\debug.cpp(256) : 0xba3b0000 0x00006000 "\SystemRoot\system32\DRIVERS\usbuhci.sys"
.\debug.cpp(256) : 0xb9a48000 0x00024000 "\SystemRoot\system32\DRIVERS\USBPORT.SYS"
.\debug.cpp(256) : 0xba3b8000 0x00008000 "\SystemRoot\system32\DRIVERS\usbehci.sys"
.\debug.cpp(256) : 0xb9a20000 0x00028000 "\SystemRoot\system32\DRIVERS\HDAudBus.sys"
.\debug.cpp(256) : 0xba138000 0x0000b000 "\SystemRoot\system32\DRIVERS\imapi.sys"
.\debug.cpp(256) : 0xba148000 0x00010000 "\SystemRoot\system32\DRIVERS\cdrom.sys"
.\debug.cpp(256) : 0xba158000 0x0000f000 "\SystemRoot\system32\DRIVERS\redbook.sys"
.\debug.cpp(256) : 0xb99fd000 0x00023000 "\SystemRoot\system32\DRIVERS\ks.sys"
.\debug.cpp(256) : 0xb99e2000 0x0001b000 "\SystemRoot\system32\DRIVERS\Rtenicxp.sys"
.\debug.cpp(256) : 0xba3d0000 0x00007000 "\SystemRoot\system32\DRIVERS\fdc.sys"
.\debug.cpp(256) : 0xba168000 0x00010000 "\SystemRoot\system32\DRIVERS\serial.sys"
.\debug.cpp(256) : 0xba564000 0x00004000 "\SystemRoot\system32\DRIVERS\serenum.sys"
.\debug.cpp(256) : 0xb99ce000 0x00014000 "\SystemRoot\system32\DRIVERS\parport.sys"
.\debug.cpp(256) : 0xba178000 0x0000d000 "\SystemRoot\system32\DRIVERS\i8042prt.sys"
.\debug.cpp(256) : 0xba3e8000 0x00007000 "\SystemRoot\system32\DRIVERS\kbdclass.sys"
.\debug.cpp(256) : 0xba7bb000 0x00001000 "\SystemRoot\system32\DRIVERS\audstub.sys"
.\debug.cpp(256) : 0xba188000 0x0000d000 "\SystemRoot\system32\DRIVERS\rasl2tp.sys"
.\debug.cpp(256) : 0xba56c000 0x00003000 "\SystemRoot\system32\DRIVERS\ndistapi.sys"
.\debug.cpp(256) : 0xb99b7000 0x00017000 "\SystemRoot\system32\DRIVERS\ndiswan.sys"
.\debug.cpp(256) : 0xba198000 0x0000b000 "\SystemRoot\system32\DRIVERS\raspppoe.sys"
.\debug.cpp(256) : 0xba1a8000 0x0000c000 "\SystemRoot\system32\DRIVERS\raspptp.sys"
.\debug.cpp(256) : 0xba408000 0x00005000 "\SystemRoot\system32\DRIVERS\TDI.SYS"
.\debug.cpp(256) : 0xb997e000 0x00011000 "\SystemRoot\system32\DRIVERS\psched.sys"
.\debug.cpp(256) : 0xba1b8000 0x00009000 "\SystemRoot\system32\DRIVERS\msgpc.sys"
.\debug.cpp(256) : 0xba418000 0x00005000 "\SystemRoot\system32\DRIVERS\ptilink.sys"
.\debug.cpp(256) : 0xba428000 0x00005000 "\SystemRoot\system32\DRIVERS\raspti.sys"
.\debug.cpp(256) : 0xb994e000 0x00030000 "\SystemRoot\system32\DRIVERS\rdpdr.sys"
.\debug.cpp(256) : 0xba1c8000 0x0000a000 "\SystemRoot\system32\DRIVERS\termdd.sys"
.\debug.cpp(256) : 0xba438000 0x00006000 "\SystemRoot\system32\DRIVERS\mouclass.sys"
.\debug.cpp(256) : 0xba5b2000 0x00002000 "\SystemRoot\system32\DRIVERS\swenum.sys"
.\debug.cpp(256) : 0xb98f0000 0x0005e000 "\SystemRoot\system32\DRIVERS\update.sys"
.\debug.cpp(256) : 0xba590000 0x00004000 "\SystemRoot\system32\DRIVERS\mssmbios.sys"
.\debug.cpp(256) : 0xba1d8000 0x0000a000 "\SystemRoot\System32\Drivers\NDProxy.SYS"
.\debug.cpp(256) : 0xba1e8000 0x0000f000 "\SystemRoot\system32\DRIVERS\usbhub.sys"
.\debug.cpp(256) : 0xba5ba000 0x00002000 "\SystemRoot\system32\DRIVERS\USBD.SYS"
.\debug.cpp(256) : 0xb7278000 0x004b0000 "\SystemRoot\system32\drivers\RtkHDAud.sys"
.\debug.cpp(256) : 0xb7254000 0x00024000 "\SystemRoot\system32\drivers\portcls.sys"
.\debug.cpp(256) : 0xba1f8000 0x0000f000 "\SystemRoot\system32\drivers\drmk.sys"
.\debug.cpp(256) : 0xba458000 0x00005000 "\SystemRoot\system32\DRIVERS\flpydisk.sys"
.\debug.cpp(256) : 0xba5c0000 0x00002000 "\SystemRoot\System32\Drivers\Fs_Rec.SYS"
.\debug.cpp(256) : 0xba686000 0x00001000 "\SystemRoot\System32\Drivers\Null.SYS"
.\debug.cpp(256) : 0xba5c4000 0x00002000 "\SystemRoot\System32\Drivers\Beep.SYS"
.\debug.cpp(256) : 0xba470000 0x00006000 "\SystemRoot\System32\drivers\vga.sys"
.\debug.cpp(256) : 0xba5c8000 0x00002000 "\SystemRoot\System32\Drivers\mnmdd.SYS"
.\debug.cpp(256) : 0xba5cc000 0x00002000 "\SystemRoot\System32\DRIVERS\RDPCDD.sys"
.\debug.cpp(256) : 0xba480000 0x00005000 "\SystemRoot\System32\Drivers\Msfs.SYS"
.\debug.cpp(256) : 0xba490000 0x00008000 "\SystemRoot\System32\Drivers\Npfs.SYS"
.\debug.cpp(256) : 0xba574000 0x00003000 "\SystemRoot\system32\DRIVERS\rasacd.sys"
.\debug.cpp(256) : 0xb71d1000 0x00013000 "\SystemRoot\system32\DRIVERS\ipsec.sys"
.\debug.cpp(256) : 0xb7178000 0x00059000 "\SystemRoot\system32\DRIVERS\tcpip.sys"
.\debug.cpp(256) : 0xb7150000 0x00028000 "\SystemRoot\system32\DRIVERS\netbt.sys"
.\debug.cpp(256) : 0xb712a000 0x00026000 "\SystemRoot\system32\DRIVERS\ipnat.sys"
.\debug.cpp(256) : 0xba218000 0x00009000 "\SystemRoot\system32\DRIVERS\wanarp.sys"
.\debug.cpp(256) : 0xb7108000 0x00022000 "\SystemRoot\System32\drivers\afd.sys"
.\debug.cpp(256) : 0xba228000 0x00009000 "\SystemRoot\system32\DRIVERS\netbios.sys"
.\debug.cpp(256) : 0xba4b0000 0x00006000 "\SystemRoot\system32\DRIVERS\ssmdrv.sys"
.\debug.cpp(256) : 0xb70b5000 0x0002b000 "\SystemRoot\system32\DRIVERS\rdbss.sys"
.\debug.cpp(256) : 0xb7045000 0x00070000 "\SystemRoot\system32\DRIVERS\mrxsmb.sys"
.\debug.cpp(256) : 0xba238000 0x0000b000 "\SystemRoot\System32\Drivers\Fips.SYS"
.\debug.cpp(256) : 0xb7023000 0x00022000 "\SystemRoot\system32\DRIVERS\avipbb.sys"
.\debug.cpp(256) : 0xba5d2000 0x00002000 "\??\C:\Avira\AntiVir Desktop\avgio.sys"
.\debug.cpp(256) : 0xb9d9d000 0x00003000 "\SystemRoot\system32\DRIVERS\hidusb.sys"
.\debug.cpp(256) : 0xba268000 0x00009000 "\SystemRoot\system32\DRIVERS\HIDCLASS.SYS"
.\debug.cpp(256) : 0xba3a0000 0x00007000 "\SystemRoot\system32\DRIVERS\HIDPARSE.SYS"
.\debug.cpp(256) : 0xb7240000 0x00003000 "\SystemRoot\system32\DRIVERS\mouhid.sys"
.\debug.cpp(256) : 0xba3c8000 0x00007000 "\SystemRoot\system32\DRIVERS\USBSTOR.SYS"
.\debug.cpp(256) : 0xba278000 0x00010000 "\SystemRoot\System32\Drivers\Cdfs.SYS"
.\debug.cpp(256) : 0xb700b000 0x00018000 "\SystemRoot\System32\Drivers\dump_atapi.sys"
.\debug.cpp(256) : 0xba5d8000 0x00002000 "\SystemRoot\System32\Drivers\dump_WMILIB.SYS"
.\debug.cpp(256) : 0xbf800000 0x001c4000 "\SystemRoot\System32\win32k.sys"
.\debug.cpp(256) : 0xb721c000 0x00003000 "\SystemRoot\System32\drivers\Dxapi.sys"
.\debug.cpp(256) : 0xba3f8000 0x00005000 "\SystemRoot\System32\watchdog.sys"
.\debug.cpp(256) : 0xbf000000 0x00012000 "\SystemRoot\System32\drivers\dxg.sys"
.\debug.cpp(256) : 0xba7ae000 0x00001000 "\SystemRoot\System32\drivers\dxgthk.sys"
.\debug.cpp(256) : 0xbf012000 0x003bb000 "\SystemRoot\System32\nv4_disp.dll"
.\debug.cpp(256) : 0xbffa0000 0x00046000 "\SystemRoot\System32\ATMFD.DLL"
.\debug.cpp(256) : 0xb5d8d000 0x00015000 "\SystemRoot\system32\DRIVERS\avgntflt.sys"
.\debug.cpp(256) : 0xb5380000 0x0002d000 "\SystemRoot\system32\DRIVERS\mrxdav.sys"
.\debug.cpp(256) : 0xba662000 0x00002000 "\SystemRoot\System32\Drivers\ParVdm.SYS"
.\debug.cpp(256) : 0xb50dc000 0x00057000 "\SystemRoot\system32\DRIVERS\srv.sys"
.\debug.cpp(256) : 0xba440000 0x00005000 "\SystemRoot\system32\DRIVERS\LVPr2Mon.sys"
.\debug.cpp(256) : 0xb50cc000 0x00003000 "\??\C:\WINDOWS\gdrv.sys"
.\debug.cpp(256) : 0xb4df7000 0x00015000 "\SystemRoot\system32\drivers\wdmaud.sys"
.\debug.cpp(256) : 0xb52b8000 0x0000f000 "\SystemRoot\system32\drivers\sysaudio.sys"
.\debug.cpp(256) : 0xba5fe000 0x00002000 "\SystemRoot\system32\DRIVERS\psi_mf.sys"
.\debug.cpp(256) : 0x7c910000 0x000b9000 "\WINDOWS\system32\ntdll.dll"
.\debug.cpp(263) : **********************************************
.\debug.cpp(307) : *** [ DEVICE OBJECTS INFORMATION ] ***********
.\debug.cpp(308) : **********************************************
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\D:"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDIS"
.\debug.cpp(400) : Destination="\Device\Ndis"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi3:"
.\debug.cpp(400) : Destination="\Device\Ide\IdePort4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY1"
.\debug.cpp(400) : Destination="\Device\Video0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ffbb6e3f-ccfe-4d84-90d9-421418b03a8e}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY2"
.\debug.cpp(400) : Destination="\Device\Video1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{71985f4a-1ca1-11d3-9cc8-00c04f7971e0}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPPOEMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\0000002b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmIoDaemon"
.\debug.cpp(400) : Destination="\Device\DmControl\DmIoDaemon"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0C#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination="\Device\0000003c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ip"
.\debug.cpp(400) : Destination="\Device\Ip"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_10EC&DEV_0888&SUBSYS_1458A002&REV_1000#4&24734d84&0&0201#{65e8773e-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000071"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LogiProcMon2"
.\debug.cpp(400) : Destination="\Device\LogiProcMon2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USBSTOR#Disk&Ven_Generic&Prod_USB_SM_Reader&Rev_1.02#058F312D81B&2#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\0000007b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY3"
.\debug.cpp(400) : Destination="\Device\Video2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\E:"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&SignatureD66FD66FOffset7E00Length2542978200#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgio"
.\debug.cpp(400) : Destination="\Device\avgio"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPSECDev"
.\debug.cpp(400) : Destination="\Device\IPSEC"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY4"
.\debug.cpp(400) : Destination="\Device\Video3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_NDISWANIP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\0000002a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDPROXY"
.\debug.cpp(400) : Destination="\Device\NDProxy"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_DVDRAM_GSA-H42L________________SL00____#314b363538433442303320342020202020202020#{53f56308-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP0T1L0-c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi4:"
.\debug.cpp(400) : Destination="\Device\Ide\IdePort5"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&2b98ef05&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9aa4a2cc-81e0-4cfd-802f-0f74526d2bd3}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CDR4_XP"
.\debug.cpp(400) : Destination="\Device\PxHelperDevice0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\$VDMLPT1"
.\debug.cpp(400) : Destination="\Device\ParallelVdm0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3c0d501a-140b-11d1-b40f-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{fd0a5af4-b41d-11d2-9c95-00c04f7971e0}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\RdpDrDvMgr"
.\debug.cpp(400) : Destination="\Device\RdpDrDvMgr"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USBSTOR#Disk&Ven_Generic&Prod_USB_CF_Reader&Rev_1.01#058F312D81B&1#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\0000007a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10DE&DEV_0142&SUBSYS_2052107D&REV_A2#4&386b9ba3&0&0008#{5b45201d-f2f2-4f3b-85bb-30ff1f953599}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0019"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\F:"
.\debug.cpp(400) : Destination="\Device\Harddisk2\DP(1)0-0+9"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WMIDataDevice"
.\debug.cpp(400) : Destination="\Device\WMIDataDevice"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#RemovableMedia#7&2c889678&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Harddisk3\DP(1)0-0+a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FDC#GENERIC_FLOPPY_DRIVE#5&1da7d6d9&0&0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\FloppyPDO0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi5:"
.\debug.cpp(400) : Destination="\Device\Ide\IdePort2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM1"
.\debug.cpp(400) : Destination="\Device\Serial0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{d1216f19-a15e-11df-86f4-806d6172696f}"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{dff220f3-f70f-11d0-b917-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avgntflt"
.\debug.cpp(400) : Destination="\FileSystem\Filters\avgntflt"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PIPE"
.\debug.cpp(400) : Destination="\Device\NamedPipe"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c5066e-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) : Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{2eb07ea0-7e70-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_1532&Pid_0001#6&1eca1000&0&0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\00000077"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{8D00A0E4-3A67-49FA-9439-5348D627A0BB}"
.\debug.cpp(400) : Destination="\Device\{8D00A0E4-3A67-49FA-9439-5348D627A0BB}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#GenuineIntel_-_x86_Family_6_Model_15#_0#{97fadb10-4e33-40ae-359c-8bef029dbdd0}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\G:"
.\debug.cpp(400) : Destination="\Device\Harddisk3\DP(1)0-0+a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#RemovableMedia#7&2c40c824&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Harddisk4\DP(1)0-0+b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USBSTOR#Disk&Ven_Generic&Prod_USB_MS_Reader&Rev_1.03#058F312D81B&3#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\0000007c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\UNC"
.\debug.cpp(400) : Destination="\Device\Mup"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPNAT"
.\debug.cpp(400) : Destination="\Device\IPNAT"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{0a4252a0-7e70-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PSched"
.\debug.cpp(400) : Destination="\Device\PSched"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgrMsg"
.\debug.cpp(400) : Destination="\FileSystem\Filters\FltMgrMsg"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD0"
.\debug.cpp(400) : Destination="\Device\USBFDO-0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Tcp"
.\debug.cpp(400) : Destination="\Device\Tcp"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{67F4532B-5F4C-4333-B3F3-D8B400742240}"
.\debug.cpp(400) : Destination="\Device\{67F4532B-5F4C-4333-B3F3-D8B400742240}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_DVDRAM_GSA-H42L________________SL00____#314b363538433442303320342020202020202020#{1186654d-47b8-48b9-beb9-7df113ae3c67}"
.\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP0T1L0-c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LCD"
.\debug.cpp(400) : Destination="\Device\VideoPdo0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&25712375&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD1"
.\debug.cpp(400) : Destination="\Device\USBFDO-1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PTIMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\0000002f"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#GenuineIntel_-_x86_Family_6_Model_15#_2#{97fadb10-4e33-40ae-359c-8bef029dbdd0}"
.\debug.cpp(400) : Destination="\Device\0000003a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive0"
.\debug.cpp(400) : Destination="\Device\Harddisk0\DR0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{d1216f15-a15e-11df-86f4-806d6172696f}"
.\debug.cpp(400) : Destination="\Device\Harddisk3\DP(1)0-0+a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#CdRomHL-DT-ST_DVDRAM_GSA-H42L________________SL00____#314b363538433442303320342020202020202020#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP0T1L0-c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PRN"
.\debug.cpp(400) : Destination="\DosDevices\LPT1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_3A34&SUBSYS_50041458&REV_00#3&13c0b0c5&0&E8#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0010"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0001#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\0000002e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD2"
.\debug.cpp(400) : Destination="\Device\USBFDO-2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{cf1dda2c-9743-11d0-a3ee-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{53172480-4791-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\H:"
.\debug.cpp(400) : Destination="\Device\Harddisk4\DP(1)0-0+b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive1"
.\debug.cpp(400) : Destination="\Device\Harddisk1\DR1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\sysaudio"
.\debug.cpp(400) : Destination="\Device\sysaudio"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\fsWrap"
.\debug.cpp(400) : Destination="\Device\FsWrap"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD3"
.\debug.cpp(400) : Destination="\Device\USBFDO-3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{97ebaacb-95bd-11d0-a3ea-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\0000002d"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CdRom0"
.\debug.cpp(400) : Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{d1216f18-a15e-11df-86f4-806d6172696f}"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_10EC&DEV_0888&SUBSYS_1458A002&REV_1000#4&24734d84&0&0201#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000071"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive2"
.\debug.cpp(400) : Destination="\Device\Harddisk2\DR5"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#RemovableMedia#7&2c889678&0&RM#{53f5630a-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Harddisk3\DP(1)0-0+a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD4"
.\debug.cpp(400) : Destination="\Device\USBFDO-4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive3"
.\debug.cpp(400) : Destination="\Device\Harddisk3\DR6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD5"
.\debug.cpp(400) : Destination="\Device\USBFDO-5"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#FixedButton#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination="\Device\00000040"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Global"
.\debug.cpp(400) : Destination="\GLOBAL??"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\I:"
.\debug.cpp(400) : Destination="\Device\Harddisk5\DP(1)0-0+c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive4"
.\debug.cpp(400) : Destination="\Device\Harddisk4\DR7"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#1#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) : Destination="\Device\0000005e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD6"
.\debug.cpp(400) : Destination="\Device\USBFDO-6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_10EC&DEV_8168&SUBSYS_E0001458&REV_02#4&2182fe78&0&00E5#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0020"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{839E8893-B24A-4F78-BE27-FE69868EB591}"
.\debug.cpp(400) : Destination="\Device\{839E8893-B24A-4F78-BE27-FE69868EB591}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_3A39&SUBSYS_50041458&REV_00#3&13c0b0c5&0&D2#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0004"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PxHelperDevice0"
.\debug.cpp(400) : Destination="\Device\PxHelperDevice0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\GIO"
.\debug.cpp(400) : Destination="\Device\GIO"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive5"
.\debug.cpp(400) : Destination="\Device\Harddisk5\DR8"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50671-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) : Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#RemovableMedia#7&33317da3&0&RM#{53f5630a-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Harddisk2\DP(1)0-0+9"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD7"
.\debug.cpp(400) : Destination="\Device\USBFDO-7"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3e227e76-690d-11d2-8161-0000f8775bf1}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{d1216f17-a15e-11df-86f4-806d6172696f}"
.\debug.cpp(400) : Destination="\Device\Harddisk5\DP(1)0-0+c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad809c00-7b88-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9ea331fa-b91b-45f8-9285-bd2bc77afcde}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#DiskSAMSUNG_SP1614C_________________________SW100-30#30535831314a5830324139303530202020202020#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP2T0L0-1f"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_1532&Pid_0001#5&2107f3b7&0&2#{a5dcbf10-6530-11d2-901f-00c04fb951ed}"
.\debug.cpp(400) : Destination="\Device\USBPDO-8"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{CB5338F3-2FAB-4175-B83D-DA8A4128BEAF}"
.\debug.cpp(400) : Destination="\Device\{CB5338F3-2FAB-4175-B83D-DA8A4128BEAF}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{d1216f13-a15e-11df-86f4-806d6172696f}"
.\debug.cpp(400) : Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_3A36&SUBSYS_50041458&REV_00#3&13c0b0c5&0&EA#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0012"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&22dcf096&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_3A37&SUBSYS_50041458&REV_00#3&13c0b0c5&0&D0#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{07dad660-22f1-11d1-a9f4-00c04fbbde8f}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\J:"
.\debug.cpp(400) : Destination="\Device\CdRom0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_10EC&DEV_0888&SUBSYS_1458A002&REV_1000#4&24734d84&0&0201#{dda54a40-1e4c-11d1-a050-405705c10000}"
.\debug.cpp(400) : Destination="\Device\00000071"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HID#Vid_1532&Pid_0001#6&1eca1000&0&0000#{4d1e55b2-f16f-11cf-88cb-001111000030}"
.\debug.cpp(400) : Destination="\Device\00000077"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#DiskSAMSUNG_SP2514N_________________________VF100-50#30534238314a5042303330303738202020202020#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Ide\IdeDeviceP0T0L0-4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LPTENUM#MicrosoftRawPort#5&24c89052&0&LPT1#{811fc6a5-f728-11d0-a537-0000f8753ed1}"
.\debug.cpp(400) : Destination="\Device\Parallel0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0501#1#{4d36e978-e325-11ce-bfc1-08002be10318}"
.\debug.cpp(400) : Destination="\Device\0000005e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&6427700&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_10EC&DEV_0888&SUBSYS_1458A002&REV_1000#4&24734d84&0&0201#{86841137-ed8e-4d97-9975-f2ed56b4430e}"
.\debug.cpp(400) : Destination="\Device\00000071"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#RemovableMedia#7&26ebca8a&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Harddisk5\DP(1)0-0+c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0303#4&de4d8cf&0#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\00000060"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_058f&Pid_6362#058F312D81B#{a5dcbf10-6530-11d2-901f-00c04fb951ed}"
.\debug.cpp(400) : Destination="\Device\USBPDO-9"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0400#4&de4d8cf&0#{97f76ef0-f883-11d0-af1f-0000f800845c}"
.\debug.cpp(400) : Destination="\Device\0000005f"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&14e368e2&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-5"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#GenuineIntel_-_x86_Family_6_Model_15#_1#{97fadb10-4e33-40ae-359c-8bef029dbdd0}"
.\debug.cpp(400) : Destination="\Device\00000039"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MountPointManager"
.\debug.cpp(400) : Destination="\Device\MountPointManager"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&Signature32B732B6Offset7E00LengthC34F24E00#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50674-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) : Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ssmctl"
.\debug.cpp(400) : Destination="\Device\ssmctl"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_L2TPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000029"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MbDlDp32"
.\debug.cpp(400) : Destination="\Device\PxHelperDevice0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmConfig"
.\debug.cpp(400) : Destination="\Device\DmControl\DmConfig"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{d1216f14-a15e-11df-86f4-806d6172696f}"
.\debug.cpp(400) : Destination="\Device\Harddisk2\DP(1)0-0+9"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{d1216f1a-a15e-11df-86f4-806d6172696f}"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WanArp"
.\debug.cpp(400) : Destination="\Device\WANARP"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB20#4&5e0d3c3&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\RealTekCard"
.\debug.cpp(400) : Destination="\Device\RealTekCard"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#ftdisk#0000#{53f5630e-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\00000003"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&3ae06be8&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{1CCB69E3-2CBD-4D26-9EE6-BF1D27EC6578}"
.\debug.cpp(400) : Destination="\Device\{1CCB69E3-2CBD-4D26-9EE6-BF1D27EC6578}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmTrace"
.\debug.cpp(400) : Destination="\Device\DmControl\DmTrace"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\A:"
.\debug.cpp(400) : Destination="\Device\Floppy0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#RemovableMedia#7&26ebca8a&0&RM#{53f5630a-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Harddisk5\DP(1)0-0+c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISWANIP"
.\debug.cpp(400) : Destination="\Device\NdisWanIp"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#dmio#0000#{53f5630e-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{bf963d80-c559-11d0-8a2b-00a0c9255ac1}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{fbf6f530-07b9-11d2-a71e-0000f8004788}"
.\debug.cpp(400) : Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#RemovableMedia#7&2c40c824&0&RM#{53f5630a-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Harddisk4\DP(1)0-0+b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi0:"
.\debug.cpp(400) : Destination="\Device\Ide\IdePort0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{0D601E28-4193-44BF-B06B-919648066E0D}"
.\debug.cpp(400) : Destination="\Device\{0D601E28-4193-44BF-B06B-919648066E0D}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_10EC&DEV_0888&SUBSYS_1458A002&REV_1000#4&24734d84&0&0201#{65e8773d-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000071"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{9B689FEF-AEEB-421E-AE95-2B7B7AE8716A}"
.\debug.cpp(400) : Destination="\Device\{9B689FEF-AEEB-421E-AE95-2B7B7AE8716A}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&Signature32B732B6OffsetC34F34A00Length2E031A3600#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB20#4&1828fff1&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-7"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{4747b320-62ce-11cf-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPTPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\0000002c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK1"
.\debug.cpp(400) : Destination="\Device\ParTechInc0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{a7c7a5b1-5af3-11d1-9ced-00a024bf0407}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISTAPI"
.\debug.cpp(400) : Destination="\Device\NdisTapi"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NdisWan"
.\debug.cpp(400) : Destination="\Device\NdisWan"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi1:"
.\debug.cpp(400) : Destination="\Device\Ide\IdePort1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPMULTICAST"
.\debug.cpp(400) : Destination="\Device\IPMULTICAST"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LPT1"
.\debug.cpp(400) : Destination="\Device\Parallel0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK2"
.\debug.cpp(400) : Destination="\Device\ParTechInc1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmLoader"
.\debug.cpp(400) : Destination="\Device\DmLoader"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#RemovableMedia#7&33317da3&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Harddisk2\DP(1)0-0+9"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Shadow"
.\debug.cpp(400) : Destination="\Device\LanmanRedirector"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USBSTOR#Disk&Ven_Generic&Prod_USB_SD_Reader&Rev_1.00#058F312D81B&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\00000079"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_3A3A&SUBSYS_50061458&REV_00#3&13c0b0c5&0&EF#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0013"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK3"
.\debug.cpp(400) : Destination="\Device\ParTechInc2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgr"
.\debug.cpp(400) : Destination="\FileSystem\Filters\FltMgr"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_3A38&SUBSYS_50041458&REV_00#3&13c0b0c5&0&D1#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0003"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FtControl"
.\debug.cpp(400) : Destination="\Device\FtControl"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\C:"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{d1216f12-a15e-11df-86f4-806d6172696f}"
.\debug.cpp(400) : Destination="\Device\Floppy0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MAILSLOT"
.\debug.cpp(400) : Destination="\Device\MailSlot"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\AUX"
.\debug.cpp(400) : Destination="\DosDevices\COM1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_3A35&SUBSYS_50041458&REV_00#3&13c0b0c5&0&E9#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0011"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\GLOBALROOT"
.\debug.cpp(400) : Destination=""

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_MOU#0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\00000032"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi2:"
.\debug.cpp(400) : Destination="\Device\Ide\IdePort3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NUL"
.\debug.cpp(400) : Destination="\Device\Null"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_KBD#0000#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\00000031"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#GenuineIntel_-_x86_Family_6_Model_15#_3#{97fadb10-4e33-40ae-359c-8bef029dbdd0}"
.\debug.cpp(400) : Destination="\Device\0000003b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{d1216f16-a15e-11df-86f4-806d6172696f}"
.\debug.cpp(400) : Destination="\Device\Harddisk4\DP(1)0-0+b"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\avipbb"
.\debug.cpp(400) : Destination="\Device\avipbb"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_3A3C&SUBSYS_50061458&REV_00#3&13c0b0c5&0&D7#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0005"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DmInfo"
.\debug.cpp(400) : Destination="\Device\DmControl\DmInfo"

.\debug.cpp(451) : **********************************************
.\boot_cleaner.cpp(1077) : System volume is \\.\C:
.\boot_cleaner.cpp(1113) : \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
.\boot_cleaner.cpp(424) : Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd
.\boot_cleaner.cpp(1151) :
.\boot_cleaner.cpp(1152) : Size Device Name MBR Status
.\boot_cleaner.cpp(1153) : --------------------------------------------
.\boot_cleaner.cpp(1197) : 232 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
.\boot_cleaner.cpp(1203) :
.\boot_cleaner.cpp(1242) : Done;

cosinus 14.08.2010 23:51
Das ist alles unaufällig. Bei Servicepack-Installationen stellt man normalerweise den Virenscanner auch ab.

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

derfagus 15.08.2010 13:21
hier der log von superantispyware:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 08/15/2010 at 01:40 PM

Application Version : 4.41.1000

Core Rules Database Version : 5359
Trace Rules Database Version: 3171

Scan type : Complete Scan
Total Scan Time : 00:31:47

Memory items scanned : 434
Memory threats detected : 0
Registry items scanned : 5051
Registry threats detected : 0
File items scanned : 44319
File threats detected : 11

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\fagus\Cookies\fagus@weborama[2].txt
C:\Dokumente und Einstellungen\fagus\Cookies\fagus@www.windowsmedia[2].txt
C:\Dokumente und Einstellungen\fagus\Cookies\fagus@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\fagus\Cookies\fagus@adcentriconline[1].txt
C:\Dokumente und Einstellungen\fagus\Cookies\fagus@content.yieldmanager[1].txt
C:\Dokumente und Einstellungen\fagus\Cookies\fagus@adtech[1].txt
C:\Dokumente und Einstellungen\fagus\Cookies\fagus@atdmt[2].txt
imagesrv.adition.com [ C:\Dokumente und Einstellungen\fagus\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\V4F4QGHF ]
files.youporn.com [ C:\Dokumente und Einstellungen\tammi\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\F24M665H ]
imagesrv.adition.com [ C:\Dokumente und Einstellungen\tammi\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\F24M665H ]
media.kyte.tv [ C:\Dokumente und Einstellungen\tammi\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\F24M665H ]

hier der log von malewarebytes :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4422

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

15.08.2010 14:19:11
mbam-log-2010-08-15 (14-19-11).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 172415
Laufzeit: 25 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

scheint ja nix dolles zu sein wenn ich das so als normalo gebraucher sehe

hab noch ne frage, kann es trotz all dieser überprüfungen nen virus drauf habe,meine kein normalen,bekannten sondern was selbstgeschriebens??

cosinus 15.08.2010 19:00
Zitat:
Datenbank Version: 4422
Du solltest Malwarebytes vorher aktualisieren! Bitte nachholen und den Vollscan wiederholen.

derfagus 15.08.2010 19:33
oh sorry hab ich verpeilt..
hier das aktuelle log:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4433

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

15.08.2010 20:31:56
mbam-log-2010-08-15 (20-31-56).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 171354
Laufzeit: 22 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

vielen dank für deine zeit und hilfe:D

cosinus 15.08.2010 19:38
Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

derfagus 15.08.2010 20:03
nein bisher leine Funde mehr:)
bin sehr dankbar, das forum hier ist derhamma, man kann echt viel lernen und bekommt auch echt suoper hilfe von euch, dickes Lob an dich und das ganze Team :)
nur noch eine frage, kann sich ein virus der halt nicht so rumgekommen auffm rechner unentdeckt bleibt trotz all dieser prüfungen??
bin etwas paranoid in der sache ich weiss, aber das mitr den tans vorm formatieren war schon knackig und die anderen sachen waren auch seltsam ...

wär super wenn du mir sagen könntest das er wieder ganz sicher ist:)

vielen dank nochmal:):daumenhoc


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:48 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131