Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   B00/Sinowal.H auf 2.Festplatte (https://www.trojaner-board.de/99928-b00-sinowal-h-2-festplatte.html)

RemusSirion 03.06.2011 23:00
B00/Sinowal.H auf 2.Festplatte
 
Hallo

Ich habe vor einigen Tagen bei einem Scandurchlauf mit Avira die Meldung bekommen, dass auf meiner 2. Festplatte D (auf der nicht das Betriebssystem installiert ist) der Virus B00/Sinowal.H gefunden wurde.
Im Report steht dazu folgendes:

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.H
[HINWEIS] Der Sektor wurde nicht neu geschrieben!

Ich verwende Windows XP und habe 2 Festplatten. In der Hofnung, ich könne den Virus damit vernichten, habe ich die 2., betroffene, Festplatte D formatiert, aber der Virus ist nochimmer vorhanden. Im Zuge meiner Internetrecherche bin ich auf den "Bootkit Remover" gekommen, der aber meine Festplatten gar nicht erkennt.

Die Daten auf meinem PC sind nicht wichtig (ich habe bloß dies und das wieder installiert, um ihn weiter zu benutzen) und es muss keine Rücksicht darauf genommen werden. Die Festplatte aber würde ich sehr gerne weiter benutzen können und aus diesem Grund von dem Virus befreien. :sword2:

Ich habe versucht, die Schritte zum Erstellen des Threads, zu befolgen, der defogger (schritt 2) hat jedoch nach Beenden des Scans keinen Neustart verlangt. Ich habe probehalber eine Stunde gewartet und dann neugestartet.

Die Logfiles von defogger und OTL sind in einer zip-datei angehängt.

Ich habe die Schritte zur Ausführung von Gmer befolgt, während des Scans hat sich mein Computer aber wider Erwarten plötzlich neugestartet.

Vielleicht sollte ich noch hinzufügen, dass ich mich in der Materie der Computer null auskenne :(

Grüße,
Remus

kira 03.06.2011 23:58
Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Zitat:
  • "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
    - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
    - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
  • Charakteristische Merkmale/Profilinformationen:
    - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
  • Die Systemprüfung und Bereinigung:
    - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
  • Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
  • Innerhalb der Betreuungszeit:
    - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
  • Die Reihenfolge:
    - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
  • GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
  • Ansonsten unsere Forumsregeln:
    - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
  • Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen:)
Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
  • Installieren und per Doppelklick starten.
  • Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
  • "Komplett Scan durchführen" wählen (überall Haken setzen)
  • wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
  • Alle Funde - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
  • Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"
eine bebilderte Anleitung findest Du hier: Anleitung

2.
Lass bitte mal den Avira, nach die nachfolgende Prioritäten scannen: [Scanner] Konfigurationshinweise für AntiVir, Anleitung 'Vollständiger Systemscan' und empfohlene Reaktionen bei Schädlingsmeldungen - Tipps und Tricks - Avira Support Forum
- Punkt 1.: Einstellung
- Punkt 2 und 3.: Erster Scan (Lokale Laufwerke) + Zweiter Scan (Suche nach Rootkits)
- Logs speichern/posten
** Bemerkung:
"Klick auf das Bild, um es zu vergrößern!" - grau hinterlegt, also nicht mehr anklickbar

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
kira

RemusSirion 04.06.2011 02:56
Vielen Dank für die schnelle Reaktion!

1.) Der Log von Malewarebytes Anti-Malware

Code:
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6767

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

04.06.2011 02:43:35
mbam-log-2011-06-04 (02-43-35).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 174066
Laufzeit: 27 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Der Log des 1. Avira-Scans (Lokale Laufwerke)

Code:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 4. Juni 2011  03:03

Es wird nach 2714994 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - FREE Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 2)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : Administrator
Computername  : WINDOWSPC

Versionsinformationen:
BUILD.DAT      : 10.0.0.648    31823 Bytes  01.04.2011 18:23:00
AVSCAN.EXE    : 10.0.4.2      442024 Bytes  01.04.2011 15:07:08
AVSCAN.DLL    : 10.0.3.0      56168 Bytes  01.04.2011 15:07:22
LUKE.DLL      : 10.0.3.2      104296 Bytes  01.04.2011 15:07:16
LUKERES.DLL    : 10.0.0.0      13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 14:15:11
VBASE002.VDF  : 7.11.3.0    1950720 Bytes  09.02.2011 14:15:12
VBASE003.VDF  : 7.11.5.225  1980416 Bytes  07.04.2011 18:57:53
VBASE004.VDF  : 7.11.8.178  2354176 Bytes  31.05.2011 18:57:55
VBASE005.VDF  : 7.11.8.179      2048 Bytes  31.05.2011 18:57:55
VBASE006.VDF  : 7.11.8.180      2048 Bytes  31.05.2011 18:57:55
VBASE007.VDF  : 7.11.8.181      2048 Bytes  31.05.2011 18:57:55
VBASE008.VDF  : 7.11.8.182      2048 Bytes  31.05.2011 18:57:56
VBASE009.VDF  : 7.11.8.183      2048 Bytes  31.05.2011 18:57:56
VBASE010.VDF  : 7.11.8.184      2048 Bytes  31.05.2011 18:57:56
VBASE011.VDF  : 7.11.8.185      2048 Bytes  31.05.2011 18:57:56
VBASE012.VDF  : 7.11.8.186      2048 Bytes  31.05.2011 18:57:56
VBASE013.VDF  : 7.11.8.222    121856 Bytes  02.06.2011 19:11:36
VBASE014.VDF  : 7.11.8.223      2048 Bytes  02.06.2011 19:11:36
VBASE015.VDF  : 7.11.8.224      2048 Bytes  02.06.2011 19:11:36
VBASE016.VDF  : 7.11.8.225      2048 Bytes  02.06.2011 19:11:36
VBASE017.VDF  : 7.11.8.226      2048 Bytes  02.06.2011 19:11:36
VBASE018.VDF  : 7.11.8.227      2048 Bytes  02.06.2011 19:11:36
VBASE019.VDF  : 7.11.8.228      2048 Bytes  02.06.2011 19:11:36
VBASE020.VDF  : 7.11.8.229      2048 Bytes  02.06.2011 19:11:36
VBASE021.VDF  : 7.11.8.230      2048 Bytes  02.06.2011 19:11:36
VBASE022.VDF  : 7.11.8.231      2048 Bytes  02.06.2011 19:11:36
VBASE023.VDF  : 7.11.8.232      2048 Bytes  02.06.2011 19:11:36
VBASE024.VDF  : 7.11.8.233      2048 Bytes  02.06.2011 19:11:36
VBASE025.VDF  : 7.11.8.234      2048 Bytes  02.06.2011 19:11:36
VBASE026.VDF  : 7.11.8.235      2048 Bytes  02.06.2011 19:11:37
VBASE027.VDF  : 7.11.8.236      2048 Bytes  02.06.2011 19:11:37
VBASE028.VDF  : 7.11.8.237      2048 Bytes  02.06.2011 19:11:37
VBASE029.VDF  : 7.11.8.238      2048 Bytes  02.06.2011 19:11:37
VBASE030.VDF  : 7.11.8.239      2048 Bytes  02.06.2011 19:11:37
VBASE031.VDF  : 7.11.9.3      126464 Bytes  03.06.2011 00:52:31
Engineversion  : 8.2.5.12 
AEVDF.DLL      : 8.1.2.1      106868 Bytes  28.03.2011 14:14:53
AESCRIPT.DLL  : 8.1.3.65    1606010 Bytes  01.06.2011 18:58:01
AESCN.DLL      : 8.1.7.2      127349 Bytes  28.03.2011 14:14:53
AESBX.DLL      : 8.2.1.34      323957 Bytes  02.06.2011 19:12:01
AERDL.DLL      : 8.1.9.9      639347 Bytes  25.03.2011 10:21:38
AEPACK.DLL    : 8.2.6.8      557430 Bytes  01.06.2011 18:58:00
AEOFFICE.DLL  : 8.1.1.25      205178 Bytes  02.06.2011 19:12:00
AEHEUR.DLL    : 8.1.2.123    3502456 Bytes  02.06.2011 19:11:59
AEHELP.DLL    : 8.1.17.2      246135 Bytes  01.06.2011 18:57:58
AEGEN.DLL      : 8.1.5.6      401780 Bytes  01.06.2011 18:57:58
AEEMU.DLL      : 8.1.3.0      393589 Bytes  28.03.2011 14:14:45
AECORE.DLL    : 8.1.21.1      196983 Bytes  01.06.2011 18:57:58
AEBB.DLL      : 8.1.1.0        53618 Bytes  28.03.2011 14:14:44
AVWINLL.DLL    : 10.0.0.0      19304 Bytes  28.03.2011 14:14:57
AVPREF.DLL    : 10.0.0.0      44904 Bytes  01.04.2011 15:07:07
AVREP.DLL      : 10.0.0.10    174120 Bytes  01.06.2011 18:58:02
AVREG.DLL      : 10.0.3.2      53096 Bytes  01.04.2011 15:07:07
AVSCPLR.DLL    : 10.0.4.2      84840 Bytes  01.04.2011 15:07:08
AVARKT.DLL    : 10.0.22.6    231784 Bytes  01.04.2011 15:07:04
AVEVTLOG.DLL  : 10.0.0.8      203112 Bytes  01.04.2011 15:07:06
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  17.06.2010 13:27:02
AVSMTP.DLL    : 10.0.0.17      63848 Bytes  28.03.2011 14:14:57
NETNT.DLL      : 10.0.0.0      11624 Bytes  28.03.2011 14:15:04
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  01.04.2011 15:07:24
RCTEXT.DLL    : 10.0.58.0      98152 Bytes  28.03.2011 14:15:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: ignorieren
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Samstag, 4. Juni 2011  03:03

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MCW.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SmWizard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WService.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RunDLL32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WtSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [FUND]      Enthält Code des Bootsektorvirus BOO/Sinowal.H
    [HINWEIS]  Der Sektor wurde nicht neu geschrieben!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [FUND]      Enthält Code des Bootsektorvirus BOO/Sinowal.H
    [HINWEIS]  Der Sektor wurde nicht neu geschrieben!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '324' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <The Secret Grimoire>
Beginne mit der Suche in 'D:\' <Discovery of Witchcraft>
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Samstag, 4. Juni 2011  03:31
Benötigte Zeit: 27:54 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  2655 Verzeichnisse wurden überprüft
 300562 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 300562 Dateien ohne Befall
  3255 Archive wurden durchsucht
      0 Warnungen
      2 Hinweise
  24623 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
Der Log des 2. avira-Scans (Suche nach Rootkits):

Code:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 4. Juni 2011  03:32

Es wird nach 2714994 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - FREE Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 2)  [5.1.2600]
Boot Modus    : Normal gebootet
Benutzername  : Administrator
Computername  : WINDOWSPC

Versionsinformationen:
BUILD.DAT      : 10.0.0.648    31823 Bytes  01.04.2011 18:23:00
AVSCAN.EXE    : 10.0.4.2      442024 Bytes  01.04.2011 15:07:08
AVSCAN.DLL    : 10.0.3.0      56168 Bytes  01.04.2011 15:07:22
LUKE.DLL      : 10.0.3.2      104296 Bytes  01.04.2011 15:07:16
LUKERES.DLL    : 10.0.0.0      13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 14:15:11
VBASE002.VDF  : 7.11.3.0    1950720 Bytes  09.02.2011 14:15:12
VBASE003.VDF  : 7.11.5.225  1980416 Bytes  07.04.2011 18:57:53
VBASE004.VDF  : 7.11.8.178  2354176 Bytes  31.05.2011 18:57:55
VBASE005.VDF  : 7.11.8.179      2048 Bytes  31.05.2011 18:57:55
VBASE006.VDF  : 7.11.8.180      2048 Bytes  31.05.2011 18:57:55
VBASE007.VDF  : 7.11.8.181      2048 Bytes  31.05.2011 18:57:55
VBASE008.VDF  : 7.11.8.182      2048 Bytes  31.05.2011 18:57:56
VBASE009.VDF  : 7.11.8.183      2048 Bytes  31.05.2011 18:57:56
VBASE010.VDF  : 7.11.8.184      2048 Bytes  31.05.2011 18:57:56
VBASE011.VDF  : 7.11.8.185      2048 Bytes  31.05.2011 18:57:56
VBASE012.VDF  : 7.11.8.186      2048 Bytes  31.05.2011 18:57:56
VBASE013.VDF  : 7.11.8.222    121856 Bytes  02.06.2011 19:11:36
VBASE014.VDF  : 7.11.8.223      2048 Bytes  02.06.2011 19:11:36
VBASE015.VDF  : 7.11.8.224      2048 Bytes  02.06.2011 19:11:36
VBASE016.VDF  : 7.11.8.225      2048 Bytes  02.06.2011 19:11:36
VBASE017.VDF  : 7.11.8.226      2048 Bytes  02.06.2011 19:11:36
VBASE018.VDF  : 7.11.8.227      2048 Bytes  02.06.2011 19:11:36
VBASE019.VDF  : 7.11.8.228      2048 Bytes  02.06.2011 19:11:36
VBASE020.VDF  : 7.11.8.229      2048 Bytes  02.06.2011 19:11:36
VBASE021.VDF  : 7.11.8.230      2048 Bytes  02.06.2011 19:11:36
VBASE022.VDF  : 7.11.8.231      2048 Bytes  02.06.2011 19:11:36
VBASE023.VDF  : 7.11.8.232      2048 Bytes  02.06.2011 19:11:36
VBASE024.VDF  : 7.11.8.233      2048 Bytes  02.06.2011 19:11:36
VBASE025.VDF  : 7.11.8.234      2048 Bytes  02.06.2011 19:11:36
VBASE026.VDF  : 7.11.8.235      2048 Bytes  02.06.2011 19:11:37
VBASE027.VDF  : 7.11.8.236      2048 Bytes  02.06.2011 19:11:37
VBASE028.VDF  : 7.11.8.237      2048 Bytes  02.06.2011 19:11:37
VBASE029.VDF  : 7.11.8.238      2048 Bytes  02.06.2011 19:11:37
VBASE030.VDF  : 7.11.8.239      2048 Bytes  02.06.2011 19:11:37
VBASE031.VDF  : 7.11.9.3      126464 Bytes  03.06.2011 00:52:31
Engineversion  : 8.2.5.12 
AEVDF.DLL      : 8.1.2.1      106868 Bytes  28.03.2011 14:14:53
AESCRIPT.DLL  : 8.1.3.65    1606010 Bytes  01.06.2011 18:58:01
AESCN.DLL      : 8.1.7.2      127349 Bytes  28.03.2011 14:14:53
AESBX.DLL      : 8.2.1.34      323957 Bytes  02.06.2011 19:12:01
AERDL.DLL      : 8.1.9.9      639347 Bytes  25.03.2011 10:21:38
AEPACK.DLL    : 8.2.6.8      557430 Bytes  01.06.2011 18:58:00
AEOFFICE.DLL  : 8.1.1.25      205178 Bytes  02.06.2011 19:12:00
AEHEUR.DLL    : 8.1.2.123    3502456 Bytes  02.06.2011 19:11:59
AEHELP.DLL    : 8.1.17.2      246135 Bytes  01.06.2011 18:57:58
AEGEN.DLL      : 8.1.5.6      401780 Bytes  01.06.2011 18:57:58
AEEMU.DLL      : 8.1.3.0      393589 Bytes  28.03.2011 14:14:45
AECORE.DLL    : 8.1.21.1      196983 Bytes  01.06.2011 18:57:58
AEBB.DLL      : 8.1.1.0        53618 Bytes  28.03.2011 14:14:44
AVWINLL.DLL    : 10.0.0.0      19304 Bytes  28.03.2011 14:14:57
AVPREF.DLL    : 10.0.0.0      44904 Bytes  01.04.2011 15:07:07
AVREP.DLL      : 10.0.0.10    174120 Bytes  01.06.2011 18:58:02
AVREG.DLL      : 10.0.3.2      53096 Bytes  01.04.2011 15:07:07
AVSCPLR.DLL    : 10.0.4.2      84840 Bytes  01.04.2011 15:07:08
AVARKT.DLL    : 10.0.22.6    231784 Bytes  01.04.2011 15:07:04
AVEVTLOG.DLL  : 10.0.0.8      203112 Bytes  01.04.2011 15:07:06
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  17.06.2010 13:27:02
AVSMTP.DLL    : 10.0.0.17      63848 Bytes  28.03.2011 14:14:57
NETNT.DLL      : 10.0.0.0      11624 Bytes  28.03.2011 14:15:04
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  01.04.2011 15:07:24
RCTEXT.DLL    : 10.0.58.0      98152 Bytes  28.03.2011 14:15:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Samstag, 4. Juni 2011  03:32

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\parseautoexec
  [HINWEIS]  Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'MCW.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'SmWizard.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'WService.EXE' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'RunDLL32.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'WtSrv.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '129' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht


Ende des Suchlaufs: Samstag, 4. Juni 2011  03:38
Benötigte Zeit: 05:29 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
  1817 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
  1817 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
 418151 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden
Der Log von HJTscanlist;

Code:

                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
                        º                                    º
                                    hjtscanlist v2.0             
                        º                                    º
                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$

Microsoft Windows XP [Version 5.1.2600]
 
 
C:

        C:\pagefile.sys --------- 
  04.06.2011 02:12      C:\Programme --------- 0
  04.06.2011 00:38      C:\WINDOWS --------- 0
  03.06.2011 11:37      C:\help --------- 0
  03.06.2011 06:33      C:\Config.Msi --------- 0
  01.06.2011 22:11      C:\Drivers --------- 0
  01.06.2011 20:50      C:\RECYCLER --------- 0
  01.06.2011 20:44      C:\Dokumente und Einstellungen --------- 0
  01.06.2011 20:42      C:\NVIDIA --------- 0
  01.06.2011 20:37      C:\System Volume Information --------- 0
  01.06.2011 20:29      C:\MSDOS.SYS --------- 0
  01.06.2011 20:29      C:\IO.SYS --------- 0
  01.06.2011 20:29      C:\CONFIG.SYS --------- 0
  01.06.2011 20:29      C:\AUTOEXEC.BAT --------- 0
  01.06.2011 20:22      C:\boot.ini --------- 211
  11.11.2004 14:00      C:\bootfont.bin --------- 4952
  11.11.2004 14:00      C:\NTDETECT.COM --------- 47564
  11.11.2004 14:00      C:\ntldr --------- 251184
----------------------------------------

 
C:\WINDOWS

  04.06.2011 03:33    C:\WINDOWS\setupapi.log --------- 299355
  04.06.2011 02:54    C:\WINDOWS\WindowsUpdate.log --------- 27388
  04.06.2011 02:48    C:\WINDOWS\0.log --------- 0
  04.06.2011 02:47    C:\WINDOWS\bootstat.dat --------- 2048
  04.06.2011 00:38    C:\WINDOWS\MEMORY.DMP --------- 0
  04.06.2011 00:28    C:\WINDOWS\wiadebug.log --------- 159
  04.06.2011 00:28    C:\WINDOWS\wiaservc.log --------- 50
  02.06.2011 03:20    C:\WINDOWS\setupact.log --------- 207566
  01.06.2011 23:50    C:\WINDOWS\wmsetup10.log --------- 378
  01.06.2011 23:49    C:\WINDOWS\wmsetup.log --------- 1785
  01.06.2011 21:51    C:\WINDOWS\INI2=No --------- 7
  01.06.2011 21:51    C:\WINDOWS\INI1=No --------- 7
  01.06.2011 21:21    C:\WINDOWS\Sti_Trace.log --------- 0
  01.06.2011 21:17    C:\WINDOWS\regopt.log --------- 1334
  01.06.2011 21:17    C:\WINDOWS\system.ini --------- 231
  01.06.2011 20:44    C:\WINDOWS\MedCtrOC.log --------- 2245
  01.06.2011 20:44    C:\WINDOWS\ehOCGen.log --------- 2228
  01.06.2011 20:44    C:\WINDOWS\iis6.log --------- 59871
  01.06.2011 20:44    C:\WINDOWS\ntdtcsetup.log --------- 9193
  01.06.2011 20:44    C:\WINDOWS\imsins.log --------- 1355
  01.06.2011 20:44    C:\WINDOWS\tabletoc.log --------- 2214
  01.06.2011 20:44    C:\WINDOWS\comsetup.log --------- 17927
  01.06.2011 20:44    C:\WINDOWS\tsoc.log --------- 15894
  01.06.2011 20:44    C:\WINDOWS\ocmsn.log --------- 1183
  01.06.2011 20:44    C:\WINDOWS\KB893803v2.log --------- 6025
  01.06.2011 20:44    C:\WINDOWS\msgsocm.log --------- 1386
  01.06.2011 20:44    C:\WINDOWS\netfxocm.log --------- 4643
  01.06.2011 20:44    C:\WINDOWS\plusoc.log --------- 7312
  01.06.2011 20:44    C:\WINDOWS\ocgen.log --------- 20428
  01.06.2011 20:44    C:\WINDOWS\FaxSetup.log --------- 23959
  01.06.2011 20:44    C:\WINDOWS\msmqinst.log --------- 14122
  01.06.2011 20:39    C:\WINDOWS\SmartWizard.ini --------- 104
  01.06.2011 20:38    C:\WINDOWS\OEWABLog.txt --------- 829
  01.06.2011 20:37    C:\WINDOWS\setuplog.txt --------- 825963
  01.06.2011 20:37    C:\WINDOWS\oobeact.log --------- 109
  01.06.2011 20:37    C:\WINDOWS\REGLOCS.OLD --------- 8192
  01.06.2011 20:35    C:\WINDOWS\imsins.BAK --------- 4454
  01.06.2011 20:34    C:\WINDOWS\setuperr.log --------- 996
  01.06.2011 20:30    C:\WINDOWS\KB885523.log --------- 9418
  01.06.2011 20:29    C:\WINDOWS\KB885894.log --------- 8126
  01.06.2011 20:29    C:\WINDOWS\KB885884.log --------- 4765
  01.06.2011 20:29    C:\WINDOWS\KB884020.log --------- 5341
  01.06.2011 20:29    C:\WINDOWS\KB834707.log --------- 7748
  01.06.2011 20:29    C:\WINDOWS\control.ini --------- 0
  01.06.2011 20:29    C:\WINDOWS\win.ini --------- 477
  01.06.2011 20:29    C:\WINDOWS\WMSysPr9.prx --------- 316640
  01.06.2011 20:29    C:\WINDOWS\ODBCINST.INI --------- 4161
  01.06.2011 20:27    C:\WINDOWS\WindowsShell.Manifest --------- 749
  01.06.2011 20:25    C:\WINDOWS\sessmgr.setup.log --------- 1023
  01.06.2011 20:24    C:\WINDOWS\vb.ini --------- 36
  01.06.2011 20:24    C:\WINDOWS\vbaddin.ini --------- 37
  01.06.2011 20:24    C:\WINDOWS\DtcInstall.log --------- 133
  01.06.2011 20:22    C:\WINDOWS\cmsetacl.log --------- 200
  11.11.2004 14:00    C:\WINDOWS\SET2D.tmp --------- 13249
  11.11.2004 14:00    C:\WINDOWS\SET2E.tmp --------- 9782
  11.11.2004 14:00    C:\WINDOWS\SET2F.tmp --------- 10080
  11.11.2004 14:00    C:\WINDOWS\SET3.tmp --------- 106147
  11.11.2004 14:00    C:\WINDOWS\SET30.tmp --------- 11113
  11.11.2004 14:00    C:\WINDOWS\SET4.tmp --------- 1086058
  11.11.2004 14:00    C:\WINDOWS\regedit.exe --------- 153600
  11.11.2004 14:00    C:\WINDOWS\hh.exe --------- 10752
  11.11.2004 14:00    C:\WINDOWS\Granit.bmp --------- 26582
  11.11.2004 14:00    C:\WINDOWS\Pr„riewind.bmp --------- 65954
  11.11.2004 14:00    C:\WINDOWS\Seifenblase.bmp --------- 65978
  11.11.2004 14:00    C:\WINDOWS\F„cher.bmp --------- 26680
  11.11.2004 14:00    C:\WINDOWS\_default.pif --------- 707
  11.11.2004 14:00    C:\WINDOWS\Feder.bmp --------- 16730
  11.11.2004 14:00    C:\WINDOWS\explorer.scf --------- 80
  11.11.2004 14:00    C:\WINDOWS\explorer.exe --------- 1035264
  11.11.2004 14:00    C:\WINDOWS\Santa Fe-Stuck.bmp --------- 65832
  11.11.2004 14:00    C:\WINDOWS\TASKMAN.EXE --------- 15872
  11.11.2004 14:00    C:\WINDOWS\desktop.ini --------- 2
  11.11.2004 14:00    C:\WINDOWS\twain.dll --------- 94800
  11.11.2004 14:00    C:\WINDOWS\twain_32.dll --------- 50688
  11.11.2004 14:00    C:\WINDOWS\twunk_16.exe --------- 49680
  11.11.2004 14:00    C:\WINDOWS\twunk_32.exe --------- 25600
  11.11.2004 14:00    C:\WINDOWS\Rhododendron.bmp --------- 17362
  11.11.2004 14:00    C:\WINDOWS\Kaffeetasse.bmp --------- 17062
  11.11.2004 14:00    C:\WINDOWS\vmmreg32.dll --------- 18944
  11.11.2004 14:00    C:\WINDOWS\NOTEPAD.EXE --------- 70144
  11.11.2004 14:00    C:\WINDOWS\Zapotek.bmp --------- 9522
  11.11.2004 14:00    C:\WINDOWS\SET8.tmp --------- 14043
  11.11.2004 14:00    C:\WINDOWS\msdfmap.ini --------- 1405
  11.11.2004 14:00    C:\WINDOWS\clock.avi --------- 82944
  11.11.2004 14:00    C:\WINDOWS\winhelp.exe --------- 257568
  11.11.2004 14:00    C:\WINDOWS\winhlp32.exe --------- 288768
  11.11.2004 14:00    C:\WINDOWS\winnt.bmp --------- 48680
  11.11.2004 14:00    C:\WINDOWS\winnt256.bmp --------- 48680
  11.11.2004 14:00    C:\WINDOWS\wmprfDEU.prx --------- 34818
  11.11.2004 14:00    C:\WINDOWS\Blaue Spitzen 16.bmp --------- 1272
  11.11.2004 14:00    C:\WINDOWS\Angler.bmp --------- 17336
  09.10.2002 04:25    C:\WINDOWS\SETUPEXT.INF --------- 633
  02.09.2002 03:35    C:\WINDOWS\SETUPX32.EXE --------- 311296
  21.10.1998 18:43    C:\WINDOWS\IsUn0407.exe --------- 328704
----------------------------------------

 
C:\WINDOWS\System

 01.06.2011 20:53    C:\WINDOWS\System\cmicnfg.ini --------- 16
 11.11.2004 14:00    C:\WINDOWS\System\cmicnfg.cpl --------- 2301952
 11.11.2004 14:00    C:\WINDOWS\System\AVIFILE.DLL --------- 109504
 11.11.2004 14:00    C:\WINDOWS\System\AVICAP.DLL --------- 70368
 11.11.2004 14:00    C:\WINDOWS\System\cmids3d.dll --------- 917504
 11.11.2004 14:00    C:\WINDOWS\System\COMMDLG.DLL --------- 33744
 11.11.2004 14:00    C:\WINDOWS\System\KEYBOARD.DRV --------- 2000
 11.11.2004 14:00    C:\WINDOWS\System\LZEXPAND.DLL --------- 9936
 11.11.2004 14:00    C:\WINDOWS\System\MCIAVI.DRV --------- 73760
 11.11.2004 14:00    C:\WINDOWS\System\MCISEQ.DRV --------- 25296
 11.11.2004 14:00    C:\WINDOWS\System\MCIWAVE.DRV --------- 28160
 11.11.2004 14:00    C:\WINDOWS\System\MMSYSTEM.DLL --------- 69632
 11.11.2004 14:00    C:\WINDOWS\System\MMTASK.TSK --------- 1152
 11.11.2004 14:00    C:\WINDOWS\System\MOUSE.DRV --------- 2032
 11.11.2004 14:00    C:\WINDOWS\System\MSVIDEO.DLL --------- 127104
 11.11.2004 14:00    C:\WINDOWS\System\OLECLI.DLL --------- 82944
 11.11.2004 14:00    C:\WINDOWS\System\OLESVR.DLL --------- 24064
 11.11.2004 14:00    C:\WINDOWS\System\setup.inf --------- 59167
 11.11.2004 14:00    C:\WINDOWS\System\SHELL.DLL --------- 5120
 11.11.2004 14:00    C:\WINDOWS\System\SmWizard.exe --------- 1454080
 11.11.2004 14:00    C:\WINDOWS\System\SOUND.DRV --------- 1744
 11.11.2004 14:00    C:\WINDOWS\System\stdole.tlb --------- 5532
 11.11.2004 14:00    C:\WINDOWS\System\SYSTEM.DRV --------- 3360
 11.11.2004 14:00    C:\WINDOWS\System\TAPI.DLL --------- 19200
 11.11.2004 14:00    C:\WINDOWS\System\TIMER.DRV --------- 4048
 11.11.2004 14:00    C:\WINDOWS\System\VER.DLL --------- 9200
 11.11.2004 14:00    C:\WINDOWS\System\VGA.DRV --------- 2176
 11.11.2004 14:00    C:\WINDOWS\System\WFWNET.DRV --------- 13600
 11.11.2004 14:00    C:\WINDOWS\System\WINSPOOL.DRV --------- 146944
----------------------------------------

 
C:\WINDOWS\System32

 04.06.2011 03:34    C:\WINDOWS\system32\NtmsData --------- 0
 04.06.2011 02:48    C:\WINDOWS\system32\CatRoot2 --------- 0
 04.06.2011 02:12    C:\WINDOWS\system32\drivers --------- 0
 03.06.2011 06:33    C:\WINDOWS\system32\wpa.dbl --------- 2278
 03.06.2011 06:33    C:\WINDOWS\system32\FNTCACHE.DAT --------- 121336
 02.06.2011 02:13    C:\WINDOWS\system32\FlashPlayerCPLApp.cpl --------- 404640
 02.06.2011 00:14    C:\WINDOWS\system32\dllcache --------- 0
 01.06.2011 22:43    C:\WINDOWS\system32\javaws.exe --------- 153376
 01.06.2011 22:43    C:\WINDOWS\system32\javaw.exe --------- 145184
 01.06.2011 22:43    C:\WINDOWS\system32\javacpl.cpl --------- 73728
 01.06.2011 22:43    C:\WINDOWS\system32\java.exe --------- 145184
 01.06.2011 22:43    C:\WINDOWS\system32\deployJava1.dll --------- 472808
 01.06.2011 22:11    C:\WINDOWS\system32\Setup --------- 0
 01.06.2011 22:10    C:\WINDOWS\system32\1031 --------- 0
 01.06.2011 22:09    C:\WINDOWS\system32\npp --------- 0
 01.06.2011 22:06    C:\WINDOWS\system32\ras --------- 0
 01.06.2011 22:05    C:\WINDOWS\system32\icsxml --------- 0
 01.06.2011 22:05    C:\WINDOWS\system32\ias --------- 0
 01.06.2011 22:04    C:\WINDOWS\system32\1033 --------- 0
 01.06.2011 22:03    C:\WINDOWS\system32\3com_dmi --------- 0
 01.06.2011 22:03    C:\WINDOWS\system32\3076 --------- 0
 01.06.2011 22:03    C:\WINDOWS\system32\2052 --------- 0
 01.06.2011 22:03    C:\WINDOWS\system32\1037 --------- 0
 01.06.2011 22:03    C:\WINDOWS\system32\inetsrv --------- 0
 01.06.2011 22:03    C:\WINDOWS\system32\1041 --------- 0
 01.06.2011 22:03    C:\WINDOWS\system32\1025 --------- 0
 01.06.2011 22:03    C:\WINDOWS\system32\1028 --------- 0
 01.06.2011 22:03    C:\WINDOWS\system32\1054 --------- 0
 01.06.2011 22:03    C:\WINDOWS\system32\1042 --------- 0
 01.06.2011 22:03    C:\WINDOWS\system32\IME --------- 0
 01.06.2011 22:03    C:\WINDOWS\system32\mui --------- 0
 01.06.2011 22:03    C:\WINDOWS\system32\ShellExt --------- 0
 01.06.2011 22:03    C:\WINDOWS\system32\export --------- 0
 01.06.2011 22:03    C:\WINDOWS\system32\dhcp --------- 0
 01.06.2011 22:03    C:\WINDOWS\system32\wins --------- 0
 01.06.2011 21:22    C:\WINDOWS\system32\h323log.txt --------- 0
 01.06.2011 21:16    C:\WINDOWS\system32\usmt --------- 0
 01.06.2011 21:14    C:\WINDOWS\system32\ezsidmv.dat --------- 56
 01.06.2011 20:43    C:\WINDOWS\system32\nvdrssel.bin --------- 1
 01.06.2011 20:43    C:\WINDOWS\system32\nvdrsdb0.bin --------- 259604
 01.06.2011 20:43    C:\WINDOWS\system32\nvdrsdb1.bin --------- 259604
 01.06.2011 20:43    C:\WINDOWS\system32\nvdrswr.lk --------- 0
 01.06.2011 20:39    C:\WINDOWS\system32\perfh009.dat --------- 380486
 01.06.2011 20:39    C:\WINDOWS\system32\perfc009.dat --------- 52900
 01.06.2011 20:39    C:\WINDOWS\system32\perfh007.dat --------- 391330
 01.06.2011 20:39    C:\WINDOWS\system32\perfc007.dat --------- 63778
 01.06.2011 20:39    C:\WINDOWS\system32\PerfStringBackup.INI --------- 897954
 01.06.2011 20:37    C:\WINDOWS\system32\Restore --------- 0
 01.06.2011 20:37    C:\WINDOWS\system32\config --------- 0
 01.06.2011 20:35    C:\WINDOWS\system32\$winnt$.inf --------- 3503
 01.06.2011 20:32    C:\WINDOWS\system32\wbem --------- 0
 01.06.2011 20:32    C:\WINDOWS\system32\xircom --------- 0
 01.06.2011 20:31    C:\WINDOWS\system32\InstallUtil.InstallLog --------- 634
 01.06.2011 20:30    C:\WINDOWS\system32\URTTemp --------- 0
 01.06.2011 20:29    C:\WINDOWS\system32\CatRoot --------- 0
 01.06.2011 20:29    C:\WINDOWS\system32\CONFIG.NT --------- 2951
 01.06.2011 20:29    C:\WINDOWS\system32\amcompat.tlb --------- 16832
 01.06.2011 20:29    C:\WINDOWS\system32\nscompat.tlb --------- 23392
 01.06.2011 20:27    C:\WINDOWS\system32\WindowsLogon.manifest --------- 488
 01.06.2011 20:27    C:\WINDOWS\system32\logonui.exe.manifest --------- 488
 01.06.2011 20:27    C:\WINDOWS\system32\wuaucpl.cpl.manifest --------- 749
 01.06.2011 20:27    C:\WINDOWS\system32\sapi.cpl.manifest --------- 749
 01.06.2011 20:27    C:\WINDOWS\system32\cdplayer.exe.manifest --------- 749
 01.06.2011 20:27    C:\WINDOWS\system32\nwc.cpl.manifest --------- 749
 01.06.2011 20:27    C:\WINDOWS\system32\ncpa.cpl.manifest --------- 749
 01.06.2011 20:27    C:\WINDOWS\system32\DirectX --------- 0
 01.06.2011 20:27    C:\WINDOWS\system32\oobe --------- 0
 01.06.2011 20:26    C:\WINDOWS\system32\Macromed --------- 0
 01.06.2011 20:25    C:\WINDOWS\system32\Com --------- 0
 01.06.2011 20:25    C:\WINDOWS\system32\emptyregdb.dat --------- 21740
 01.06.2011 20:24    C:\WINDOWS\system32\MsDtc --------- 0
 01.06.2011 20:22    C:\WINDOWS\system32\spool --------- 0
 08.04.2011 07:14    C:\WINDOWS\system32\nvinfo.pb --------- 3629
 08.04.2011 07:14    C:\WINDOWS\system32\nvdispco3220140.dll --------- 944232
 08.04.2011 07:14    C:\WINDOWS\system32\nvdata.bin --------- 2116894
 08.04.2011 07:14    C:\WINDOWS\system32\nvcuvid.dll --------- 2770536
 08.04.2011 07:14    C:\WINDOWS\system32\nvoglnt.dll --------- 14856192
 08.04.2011 07:14    C:\WINDOWS\system32\nvcuvenc.dll --------- 2074216
 08.04.2011 07:14    C:\WINDOWS\system32\nvcuda.dll --------- 5210112
 08.04.2011 07:14    C:\WINDOWS\system32\nv4_disp.dll --------- 4111232
 08.04.2011 07:14    C:\WINDOWS\system32\nvgenco322060.dll --------- 855656
 08.04.2011 07:14    C:\WINDOWS\system32\nvapi.dll --------- 2027008
 08.04.2011 07:14    C:\WINDOWS\system32\OpenCL.dll --------- 61440
 08.04.2011 07:14    C:\WINDOWS\system32\nvcompiler.dll --------- 13000704
 07.04.2011 22:16    C:\WINDOWS\system32\nvwddi.dll --------- 81920
 07.04.2011 22:16    C:\WINDOWS\system32\easyUpdatusAPIU.dll --------- 580200
 07.04.2011 22:16    C:\WINDOWS\system32\nvrsth.dll --------- 253952
 07.04.2011 22:16    C:\WINDOWS\system32\nvrsel.dll --------- 282624
 07.04.2011 22:16    C:\WINDOWS\system32\nvrseng.dll --------- 249856
 07.04.2011 22:16    C:\WINDOWS\system32\nvrszht.dll --------- 126976
 07.04.2011 22:16    C:\WINDOWS\system32\nvrsesm.dll --------- 274432
 07.04.2011 22:16    C:\WINDOWS\system32\nvrsfi.dll --------- 249856
 07.04.2011 22:16    C:\WINDOWS\system32\nvrshu.dll --------- 262144
 07.04.2011 22:16    C:\WINDOWS\system32\nvrsda.dll --------- 253952
 07.04.2011 22:16    C:\WINDOWS\system32\nvrszhc.dll --------- 229376
 07.04.2011 22:16    C:\WINDOWS\system32\nvrsnl.dll --------- 274432
 07.04.2011 22:16    C:\WINDOWS\system32\nvrshe.dll --------- 331776
 07.04.2011 22:16    C:\WINDOWS\system32\nvrsru.dll --------- 270336
 07.04.2011 22:16    C:\WINDOWS\system32\nvrstr.dll --------- 258048
 07.04.2011 22:16    C:\WINDOWS\system32\nvrssl.dll --------- 258048
----------------------------------------

 
C:\WINDOWS\Prefetch

----------------------------------------

 
C:\WINDOWS\Tasks

 01.06.2011 21:00    C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-842925246-448539723-682003330-500Core.job --------- 1188
 11.11.2004 14:00    C:\WINDOWS\Tasks\desktop.ini --------- 65
----------------------------------------

 
C:\WINDOWS\Temp

 04.06.2011 02:47    C:\WINDOWS\Temp\Perflib_Perfdata_604.dat --------- 16384
 04.06.2011 00:39    C:\WINDOWS\Temp\Perflib_Perfdata_68c.dat --------- 16384
 03.06.2011 23:29    C:\WINDOWS\Temp\Perflib_Perfdata_54c.dat --------- 16384
 03.06.2011 21:08    C:\WINDOWS\Temp\Perflib_Perfdata_6b0.dat --------- 16384
 03.06.2011 06:33    C:\WINDOWS\Temp\Perflib_Perfdata_5dc.dat --------- 16384
 03.06.2011 02:44    C:\WINDOWS\Temp\Cookies --------- 0
 03.06.2011 02:34    C:\WINDOWS\Temp\Verlauf --------- 0
 03.06.2011 02:34    C:\WINDOWS\Temp\Temporary Internet Files --------- 0
 01.06.2011 20:58    C:\WINDOWS\Temp\AVSETUP_4de68aff --------- 0
 01.06.2011 20:30    C:\WINDOWS\Temp\ASPNETSetup.log --------- 7320
----------------------------------------

 
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

 04.06.2011 03:40      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\etilqs_DXEmkcaXEWQP1ZiioZc6 --------- 0
 04.06.2011 02:58      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\etilqs_dQA2wU0dUPljQsBz8N9y --------- 0
 04.06.2011 02:53      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\jusched.log --------- 19160
 04.06.2011 02:53      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\au-descriptor-1.6.0_24-b73.xml --------- 7799
 03.06.2011 21:23      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\{3C3003BE-CACB-4073-8D83-56624DAD7C51} --------- 0
 03.06.2011 21:19      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\{2B592378-8E34-44BE-9CF3-1EC06EAECA90} --------- 0
 03.06.2011 21:17      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\{4C897D01-DC2C-4FC2-B1CB-69EC37E5304C} --------- 0
 03.06.2011 21:14      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\{AB2E7886-A108-4F25-9899-C0919F1024FD} --------- 0
 03.06.2011 21:12      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MessengerCache --------- 0
 03.06.2011 20:10      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Audition Online Setup Log.txt --------- 296453
 03.06.2011 19:58      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\{9707543C-9FEC-4EA8-A4EC-BC3DF84D14B5} --------- 0
 03.06.2011 08:54      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\hsperfdata_Administrator --------- 0
 03.06.2011 08:54      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\AUCHECK_PARSER.txt --------- 299
 03.06.2011 08:54      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\AUCHECK_CORE.txt --------- 302
 03.06.2011 06:29      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistUI7992.txt --------- 17238
 03.06.2011 06:29      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistMSI7992.txt --------- 184926
 03.06.2011 06:23      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Audition Online Uninstall Log.txt --------- 60524
 02.06.2011 18:34      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Adobelm_Cleanup.0001.dir.0000 --------- 0
 02.06.2011 17:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Adobelm_Cleanup.0001 --------- 59964
 02.06.2011 17:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TWAIN.LOG --------- 695
 02.06.2011 17:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Twain001.Mtx --------- 3
 02.06.2011 17:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Twunk001.MTX --------- 156
 02.06.2011 03:33      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\adb2A6.tmp --------- 34493
 02.06.2011 03:24      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\CopyFileList --------- 0
 01.06.2011 22:56      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\{236BB7C4-4419-42FD-0407-1E257A25E34D} --------- 0
 01.06.2011 22:43      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\JAUReg.log --------- 297
 01.06.2011 22:43      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\java_install_reg.log --------- 2372
 01.06.2011 22:43      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\java_install.log --------- 28929
 01.06.2011 22:42      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistUI46DA.txt --------- 13422
 01.06.2011 22:42      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistMSI46DA.txt --------- 546584
 01.06.2011 22:40      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Twunk002.MTX --------- 0
 01.06.2011 21:00      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\chrome_installer.log --------- 0
 01.06.2011 20:54      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistUI744B.txt --------- 11622
 01.06.2011 20:54      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistMSI744B.txt --------- 522266
 01.06.2011 20:49      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\SkypeToolbars.msi --------- 2840576
 01.06.2011 20:49      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Skype.msi --------- 18486784
 01.06.2011 20:38      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\netfxupdate.log --------- 4009
 11.10.2005 20:02      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\qmgr.cab --------- 79377
 11.10.2005 20:02      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\qmgr.inf --------- 2072
----------------------------------------

 
C:\Programme

 04.06.2011 02:12    C:\Programme\Malwarebytes' Anti-Malware --------- 0
 04.06.2011 00:43    C:\Programme\Audition Online --------- 0
 03.06.2011 20:30    C:\Programme\Monitor Calibration Wizard --------- 0
 03.06.2011 19:58    C:\Programme\InstallShield Installation Information --------- 0
 03.06.2011 11:34    C:\Programme\7-Zip --------- 0
 01.06.2011 23:00    C:\Programme\Adobe --------- 0
 01.06.2011 22:53    C:\Programme\Gemeinsame Dateien --------- 0
 01.06.2011 22:44    C:\Programme\OpenOffice.org 3 --------- 0
 01.06.2011 22:43    C:\Programme\Java --------- 0
 01.06.2011 21:44    C:\Programme\Microsoft --------- 0
 01.06.2011 21:44    C:\Programme\Windows Live --------- 0
 01.06.2011 21:44    C:\Programme\Windows Live SkyDrive --------- 0
 01.06.2011 20:55    C:\Programme\Avira --------- 0
 01.06.2011 20:49    C:\Programme\Skype --------- 0
 01.06.2011 20:44    C:\Programme\NVIDIA Corporation --------- 0
 01.06.2011 20:37    C:\Programme\Uninstall Information --------- 0
 01.06.2011 20:32    C:\Programme\xerox --------- 0
 01.06.2011 20:32    C:\Programme\msn gaming zone --------- 0
 01.06.2011 20:32    C:\Programme\microsoft frontpage --------- 0
 01.06.2011 20:31    C:\Programme\Windows Journal Viewer --------- 0
 01.06.2011 20:31    C:\Programme\HighMAT CD Writing Wizard --------- 0
 01.06.2011 20:31    C:\Programme\Windows Media Connect --------- 0
 01.06.2011 20:31    C:\Programme\Windows Media Player --------- 0
 01.06.2011 20:30    C:\Programme\Internet Explorer --------- 0
 01.06.2011 20:27    C:\Programme\WindowsUpdate --------- 0
 01.06.2011 20:27    C:\Programme\Online-Dienste --------- 0
 01.06.2011 20:26    C:\Programme\NetMeeting --------- 0
 01.06.2011 20:26    C:\Programme\Outlook Express --------- 0
 01.06.2011 20:26    C:\Programme\Movie Maker --------- 0
 01.06.2011 20:24    C:\Programme\ComPlus Applications --------- 0
 01.06.2011 20:24    C:\Programme\Windows NT --------- 0
----------------------------------------

 
C:\Dokumente und Einstellungen\All Users\..

Administrator   
UpdatusUser   
LocalService   
NetworkService   
Default User   
All Users   
----------------------------------------

 
C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1      localhost
127.0.0.1        www.007guard.com
127.0.0.1        007guard.com
127.0.0.1        008i.com
127.0.0.1        www.008k.com
127.0.0.1        008k.com
127.0.0.1        www.00hq.com
127.0.0.1        00hq.com
127.0.0.1        010402.com
127.0.0.1        www.032439.com
127.0.0.1        032439.com
127.0.0.1        www.0scan.com
127.0.0.1        0scan.com
127.0.0.1        1000gratisproben.com
127.0.0.1        www.1000gratisproben.com
127.0.0.1        1001namen.com
127.0.0.1        www.1001namen.com
127.0.0.1        100888290cs.com
127.0.0.1        www.100888290cs.com
127.0.0.1        www.100sexlinks.com
127.0.0.1        100sexlinks.com
127.0.0.1        10sek.com
127.0.0.1        www.10sek.com
127.0.0.1        www.1-2005-search.com
127.0.0.1        1-2005-search.com
127.0.0.1        123fporn.info
127.0.0.1        www.123fporn.info
127.0.0.1        123haustiereundmehr.com
127.0.0.1        www.123haustiereundmehr.com
127.0.0.1        123moviedownload.com
127.0.0.1        www.123moviedownload.com
127.0.0.1        123simsen.com
127.0.0.1        www.123simsen.com
127.0.0.1        123topsearch.com
127.0.0.1        www.123topsearch.com
127.0.0.1        125sms.co.uk
127.0.0.1        www.125sms.co.uk
127.0.0.1        125sms.com
127.0.0.1        www.125sms.com
127.0.0.1        132.com
127.0.0.1        www.132.com
127.0.0.1        1337crew.info
127.0.0.1        www.1337crew.info
127.0.0.1        www.1337-crew.to
127.0.0.1        1337-crew.to
127.0.0.1        www.136136.net
127.0.0.1        136136.net
127.0.0.1        150freesms.de
127.0.0.1        www.150freesms.de
127.0.0.1        www.163ns.com
127.0.0.1        163ns.com
127.0.0.1        171203.com
127.0.0.1        17concepts.info
127.0.0.1        www.17concepts.info
127.0.0.1        17-plus.com
127.0.0.1        www.1800searchonline.com
127.0.0.1        1800searchonline.com
127.0.0.1        180searchassistant.com
127.0.0.1        www.180searchassistant.com
127.0.0.1        180solutions.com
127.0.0.1        www.180solutions.com
127.0.0.1        181.365soft.info
127.0.0.1        www.181.365soft.info
127.0.0.1        1987324.com
127.0.0.1        www.1987324.com
127.0.0.1        1-domains-registrations.com
127.0.0.1        www.1-domains-registrations.com
127.0.0.1        www.1ghporn.info
127.0.0.1        1ghporn.info
127.0.0.1        www.1importantiamreal.com
127.0.0.1        1importantiamreal.com
127.0.0.1        www.1mybigdreamnowreal.com
127.0.0.1        1mybigdreamnowreal.com
127.0.0.1        www.1sexparty.com
127.0.0.1        1sexparty.com
127.0.0.1        www.1sms.de
127.0.0.1        1sms.de
127.0.0.1        www.1spybot.com
127.0.0.1        1spybot.com

----------------------------------------

 

Abbildname                  PID Sitzungsname      Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process          0 Console                  0            16 K
System                        4 Console                  0          228 K
smss.exe                    436 Console                  0          372 K
csrss.exe                  484 Console                  0        4.232 K
winlogon.exe                512 Console                  0        3.608 K
services.exe                556 Console                  0        5.220 K
lsass.exe                  568 Console                  0        1.248 K
nvsvc32.exe                728 Console                  0        5.800 K
svchost.exe                804 Console                  0        4.784 K
svchost.exe                852 Console                  0        4.140 K
svchost.exe                920 Console                  0        22.324 K
svchost.exe                968 Console                  0        6.460 K
svchost.exe                1096 Console                  0        6.384 K
spoolsv.exe                1128 Console                  0        4.204 K
sched.exe                  1172 Console                  0          728 K
explorer.exe              1376 Console                  0        14.792 K
avguard.exe                1504 Console                  0        14.372 K
jqs.exe                    1540 Console                  0        1.384 K
mbamservice.exe            1584 Console                  0        85.656 K
avshadow.exe              1592 Console                  0        4.900 K
daemonu.exe                1644 Console                  0        3.928 K
WTSrv.exe                  1700 Console                  0        2.312 K
wmiapsrv.exe                368 Console                  0        4.088 K
alg.exe                    488 Console                  0        3.184 K
rundll32.exe              1372 Console                  0        6.992 K
avgnt.exe                  1804 Console                  0        1.488 K
WService.exe              1844 Console                  0        2.140 K
jusched.exe                1940 Console                  0        3.436 K
SmWizard.exe                620 Console                  0        4.024 K
mbamgui.exe                360 Console                  0        5.720 K
svchost.exe                936 Console                  0        3.044 K
ctfmon.exe                1468 Console                  0        2.788 K
GoogleUpdate.exe          1768 Console                  0        1.252 K
MCW.exe                    1792 Console                  0        1.444 K
wuauclt.exe                2376 Console                  0        5.008 K
jucheck.exe                1088 Console                  0        4.404 K
chrome.exe                1332 Console                  0        38.092 K
chrome.exe                  548 Console                  0        25.056 K
vssvc.exe                  1340 Console                  0        5.716 K
dllhost.exe                2624 Console                  0        5.056 K
dllhost.exe                1120 Console                  0        7.520 K
msdtc.exe                  3204 Console                  0        4.660 K
cmd.exe                    3788 Console                  0        2.016 K
tasklist.exe              2508 Console                  0        4.108 K
wmiprvse.exe              3712 Console                  0        5.332 K

 
***** Ende des Scans 04.06.2011 um  3:43:12,64 ***
Die installierten Programme, die Ccleaner angibt:

Code:

7-Zip 9.20               
Adobe Flash Player 10 ActiveX        Adobe Systems Incorporated        10.3.181.14
Audition Online        Burda:ic        1.2.6064
Avira AntiVir Personal - Free Antivirus        Avira GmbH        10.0.0.648
C-Media WDM Audio Driver               
CCleaner        Piriform        3.07
Google Chrome        Google Inc.        11.0.696.71
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs        Microsoft Corporation        1.1.1905.1
ICQ7.5        ICQ        7.5
Java(TM) 6 Update 22        Oracle        6.0.220
Malwarebytes' Anti-Malware Version 1.51.0.1200        Malwarebytes Corporation        1.51.0.1200
Microsoft .NET Framework 1.1               
Microsoft .NET Framework 1.1 German Language Pack        Microsoft        1.1.4322
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148        Microsoft Corporation        9.0.30729.4148
Microsoft Windows-Journal-Viewer        Microsoft        1.5.2315.3
Monitor Calibration Wizard 1.0               
NVIDIA Grafiktreiber 270.61        NVIDIA Corporation        270.61
NVIDIA nView 135.70        NVIDIA Corporation        135.70
NVIDIA Update 1.1.34        NVIDIA Corporation        1.1.34
OpenOffice.org 3.3        OpenOffice.org        3.3.9567
SiS 900 PCI Fast Ethernet Adapter Driver               
Skype Toolbars        Skype Technologies S.A.        5.3.7280
Skype™ 5.3        Skype Technologies S.A.        5.3.116
Windows Installer 3.1 (KB893803)        Microsoft Corporation       
Windows Live Essentials        Microsoft Corporation        14.0.8117.0416
Windows Live Sign-in Assistant        Microsoft Corporation        5.000.818.5
Windows Live Upload Tool        Microsoft Corporation        14.0.8014.1029
Windows Media Connect
Zu letzterem: Bei "Audition Online" handelt es sich um ein Computerspiel

Vielen Dank, dass Sie sich meines Problems annehmen :daumenhoc
Ich bin die letzten Tage ein wenig am Verzweifeln gewesen (vor allem, nachdem das Formatieren nichts gebracht hat)

Gruß, Remus

kira 04.06.2011 11:47
1.
Code:
Windows XP Professional Edition Service Pack 2
Internet Explorer (Version = 6.0.2900.2180)
Um neu aufgetauchte Lücken dicht zu machen, jeden zweiten Dienstag im Monat ist Patch Day im Hause Microsoft. Kritische Schwachstellen, Sicherheitlücken werden mit dem Update behoben. Seit SP2 wurden gleich mehrere Lücken geschlossen. Der Internet Explorer muss auch aktuell sein, auch dann, wenn du ihn nicht verwendest! -> Microsoft Update hält Ihren Computer auf dem neuesten Stand
Software wie Betriebssysteme, Browser und E-Mail Clients werden laufend weiterentwickelt. Gleichzeitig arbeiten jedoch auch Hacker daran, ständig neue Sicherheitslücken zu finden und auszunutzen. Was heute noch keine Schlupflücke für Viren und Würmer ist, kann morgen bereits zur Gefahr werden, wenn der entsprechende Schädling programmiert wurde. Das führt dazu, dass es relativ häufig zu Meldungen über neue Sicherheitsanfälligkeiten kommt, auch wenn diese noch nicht durch Hacker entdeckt wurden. Denn selbstverständlich suchen auch Sicherheitsspezialisten nach potenziellen Angriffsmöglichkeiten. Updates der Softwareentwickler sorgen dafür, dass der User immer die aktuellste und sicherste Version des Betriebssystems und der installierten Software nutzen kann.
aber ACHTUNG! nur am Ende der Reinigung das aktuelle Service Pack installieren! - ich werde Dir Bescheid sagen wann ansonsten mehr schadet als nutzt!
Gleich nach Neuinstallation von Windows, solltest das Servicepack 3 schon in Hand haben!
Windows XP Installations-CD mit integriertem Service Pack 3 erstellen : http://www.wintotal.de/artikel/artikel-2008/185.html

Windows XP Service Pack 3 - ISO-9660-CD-Abbilddatei-> http://www.microsoft.com/downloads/d...displaylang=de
- ca. 550 MB > auf die Festplatte zu laden und dann zu brennen.
Anleitung:-> http://www.wintotal.de/artikel/artikel-2008/185.html

2.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird Gmer beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

3.
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.
  • Downloade die MBR.exe von Gmer und
    kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
    Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
  • Start => ausführen => cmd (da reinschreiben) => OK
    es öffnet sich eine Eingabeaufforderung.

    Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
  • Nach dem Prompt (>_) folgenden

    aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
    Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.

    Code:
    mbr.exe -t > C:\mbr.log & C:\mbr.log
    (Enter drücken)
  • Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
    Bitte kopiere den Inhalt hier in Deinen Thread.

RemusSirion 04.06.2011 17:40
Hallo

Gmer führt leider nach wenigen gescannten Dateien zu einem automatischen Neustart meines Computers

Log von mbr -t :

Code:
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: ExcelStor_Technology_J860 rev.PF2OA21B -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys siside.sys PCIIDEX.SYS
C:\WINDOWS\system32\drivers\siside.sys Silicon Integrated Systems Corp. SiS PCI Mini IDE Driver
1 nt!IofCallDriver[0x804E3D45] -> \Device\Harddisk0\DR0[0x897C6AB8]
3 CLASSPNP[0xF763805B] -> nt!IofCallDriver[0x804E3D45] -> \Device\00000053[0x89802238]
5 ACPI[0xF75AD620] -> nt!IofCallDriver[0x804E3D45] -> \Device\Ide\IdeDeviceP0T0L0-4[0x897CE940]
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 120085875
Gruß, Remus

kira 04.06.2011 21:23
sieht nur nach Spur aus, aber Avira behauptet etwas anderes, daher:

TDSSKiller von Kaspersky
  • Lade den TDSSKiller und entpacke das Archiv auf Deinen Desktop.
  • Vergewissere Dich, dass die TDSSKiller.exe direkt auf dem Desktop liegt (nicht in einem Ordner auf dem Desktop).
  • deaktiviere vorübergehend dein AntiVirus-Programm
  • Starte die TDSSKiller.exe durch Doppelklick.
  • Nach Beendigung der Arbeit schlägt das Tool vor, das System neu zu starten.
    Bestätige das ggfs. mit Y(es).
    Beim Hochfahren des Systems führt der Treiber alle geplanten Operationen aus löscht sich danach.
  • Poste mir den Inhalt von C:\TDSSKiller<random>.txt hier in den Thread.
Hier findest Du eine ausführlichere Anleitung.

RemusSirion 04.06.2011 22:00
Liste der Anhänge anzeigen (Anzahl: 1)
Log von TDSSKiller:

Code:

2011/06/04 22:43:45.0796 2196        TDSS rootkit removing tool 2.5.3.0 May 25 2011 07:09:24
2011/06/04 22:43:47.0796 2196        ================================================================================
2011/06/04 22:43:47.0796 2196        SystemInfo:
2011/06/04 22:43:47.0796 2196       
2011/06/04 22:43:47.0796 2196        OS Version: 5.1.2600 ServicePack: 2.0
2011/06/04 22:43:47.0796 2196        Product type: Workstation
2011/06/04 22:43:47.0796 2196        ComputerName: WINDOWSPC
2011/06/04 22:43:47.0796 2196        UserName: Administrator
2011/06/04 22:43:47.0796 2196        Windows directory: C:\WINDOWS
2011/06/04 22:43:47.0796 2196        System windows directory: C:\WINDOWS
2011/06/04 22:43:47.0796 2196        Processor architecture: Intel x86
2011/06/04 22:43:47.0796 2196        Number of processors: 1
2011/06/04 22:43:47.0796 2196        Page size: 0x1000
2011/06/04 22:43:47.0796 2196        Boot type: Normal boot
2011/06/04 22:43:47.0796 2196        ================================================================================
2011/06/04 22:43:48.0734 2196        Initialize success
2011/06/04 22:45:04.0937 3848        ================================================================================
2011/06/04 22:45:04.0937 3848        Scan started
2011/06/04 22:45:04.0937 3848        Mode: Manual;
2011/06/04 22:45:04.0937 3848        ================================================================================
2011/06/04 22:45:07.0062 3848        ACPI            (94b4741d2cf9ed38140b831293d1601a) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/06/04 22:45:07.0765 3848        ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/06/04 22:45:09.0093 3848        aec            (841f385c6cfaf66b58fbd898722bb4f0) C:\WINDOWS\system32\drivers\aec.sys
2011/06/04 22:45:09.0796 3848        AFD            (5ac495f4cb807b2b98ad2ad591e6d92e) C:\WINDOWS\System32\drivers\afd.sys
2011/06/04 22:45:13.0140 3848        AmdK7          (fbf9ffb0b638df1448821bd0aceeb780) C:\WINDOWS\system32\DRIVERS\amdk7.sys
2011/06/04 22:45:16.0531 3848        AsyncMac        (02000abf34af4c218c35d257024807d6) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/06/04 22:45:17.0218 3848        atapi          (cdfe4411a69c224bd1d11b2da92dac51) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/06/04 22:45:18.0562 3848        Atmarpc        (ec88da854ab7d7752ec8be11a741bb7f) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/06/04 22:45:19.0250 3848        audstub        (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/06/04 22:45:19.0437 3848        avgio          (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2011/06/04 22:45:20.0140 3848        avgntflt        (47b879406246ffdced59e18d331a0e7d) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/06/04 22:45:20.0859 3848        avipbb          (5fedef54757b34fb611b9ec8fb399364) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/06/04 22:45:21.0546 3848        Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/06/04 22:45:22.0265 3848        cbidf2k        (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/06/04 22:45:23.0593 3848        Cdaudio        (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/06/04 22:45:24.0265 3848        Cdfs            (cd7d5152df32b47f4e36f710b35aae02) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/06/04 22:45:24.0968 3848        Cdrom          (af9c19b3100fe010496b1a27181fbf72) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/06/04 22:45:27.0218 3848        cmuda          (091efae211ea4d1b9baf2200300005c6) C:\WINDOWS\system32\drivers\cmuda.sys
2011/06/04 22:45:30.0015 3848        Disk            (00ca44e4534865f8a3b64f7c0984bff0) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/06/04 22:45:30.0812 3848        dmboot          (5789b83ba87fc84c3568cf86cacef8ce) C:\WINDOWS\system32\drivers\dmboot.sys
2011/06/04 22:45:31.0531 3848        dmio            (084eb0a50a4f7b4705c8a57f234e5291) C:\WINDOWS\system32\drivers\dmio.sys
2011/06/04 22:45:32.0203 3848        dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/06/04 22:45:32.0906 3848        DMusic          (a6f881284ac1150e37d9ae47ff601267) C:\WINDOWS\system32\drivers\DMusic.sys
2011/06/04 22:45:34.0218 3848        drmkaud        (1ed4dbbae9f5d558dbba4cc450e3eb2e) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/06/04 22:45:34.0968 3848        Fastfat        (3117f595e9615e04f05a54fc15a03b20) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/06/04 22:45:35.0718 3848        Fdc            (ced2e8396a8838e59d8fd529c680e02c) C:\WINDOWS\system32\drivers\Fdc.sys
2011/06/04 22:45:36.0406 3848        Fips            (9e9af89f9b14aa6249065c309ce73bd8) C:\WINDOWS\system32\drivers\Fips.sys
2011/06/04 22:45:37.0109 3848        Flpydisk        (0dd1de43115b93f4d85e889d7a86f548) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/06/04 22:45:37.0828 3848        FltMgr          (157754f0df355a9e0a6f54721914f9c6) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
2011/06/04 22:45:38.0531 3848        Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/06/04 22:45:39.0218 3848        Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/06/04 22:45:39.0921 3848        Gpc            (c0f1d4a21de5a415df8170616703debf) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/06/04 22:45:40.0687 3848        hidusb          (1de6783b918f540149aa69943bdfeba8) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/06/04 22:45:42.0000 3848        HTTP            (c19b522a9ae0bbc3293397f3055e80a1) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/06/04 22:45:44.0031 3848        i8042prt        (7c575018d0413440d75432a78b88c899) C:\WINDOWS\system32\drivers\i8042prt.sys
2011/06/04 22:45:44.0750 3848        Imapi          (f8aa320c6a0409c0380e5d8a99d76ec6) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/06/04 22:45:46.0781 3848        Ip6Fw          (4448006b6bc60e6c027932cfc38d6855) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
2011/06/04 22:45:47.0468 3848        IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/06/04 22:45:48.0281 3848        IpInIp          (e1ec7f5da720b640cd8fb8424f1b14bb) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/06/04 22:45:48.0984 3848        IpNat          (b5a8e215ac29d24d60b4d1250ef05ace) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/06/04 22:45:49.0687 3848        IPSec          (64537aa5c003a6afeee1df819062d0d1) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/06/04 22:45:50.0421 3848        IRENUM          (50708daa1b1cbb7d6ac1cf8f56a24410) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/06/04 22:45:51.0125 3848        isapnp          (ce9b7afdf0a3d7dd8d1487262316b959) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/06/04 22:45:51.0828 3848        Kbdclass        (b128fc0a5cd83f669d5de4b58f77c7d6) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/06/04 22:45:52.0500 3848        kbdhid          (7ec877aa899323b92874fe62c7ddcde7) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/06/04 22:45:53.0187 3848        kmixer          (d93cad07c5683db066b0b2d2d3790ead) C:\WINDOWS\system32\drivers\kmixer.sys
2011/06/04 22:45:53.0921 3848        KSecDD          (eb7ffe87fd367ea8fca0506f74a87fbb) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/06/04 22:45:55.0406 3848        MBAMProtector  (3d2c13377763eeac0ca6fb46f57217ed) C:\WINDOWS\system32\drivers\mbam.sys
2011/06/04 22:45:56.0109 3848        MBAMSwissArmy  (b309912717c29fc67e1ba4730a82b6dd) C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2011/06/04 22:45:56.0812 3848        mnmdd          (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/06/04 22:45:57.0500 3848        Modem          (91a3da4b12f6f1d760463a7f7857f748) C:\WINDOWS\system32\drivers\Modem.sys
2011/06/04 22:45:58.0187 3848        Mouclass        (71e15ca47fd947552054afb28536268f) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/06/04 22:45:58.0890 3848        mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/06/04 22:45:59.0562 3848        MountMgr        (65653f3b4477f3c63e68a9659f85ee2e) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/06/04 22:46:00.0921 3848        MRxDAV          (46edcc8f2db2f322c24f48785cb46366) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/06/04 22:46:01.0656 3848        MRxSmb          (1fd607fc67f7f7c633c3da65bfc53d18) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/06/04 22:46:02.0359 3848        Msfs            (561b3a4333ca2dbdba28b5b956822519) C:\WINDOWS\system32\drivers\Msfs.sys
2011/06/04 22:46:03.0078 3848        MSKSSRV        (ae431a8dd3c1d0d0610cdbac16057ad0) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/06/04 22:46:03.0765 3848        MSPCLOCK        (13e75fef9dfeb08eeded9d0246e1f448) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/06/04 22:46:04.0437 3848        MSPQM          (1988a33ff19242576c3d0ef9ce785da7) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/06/04 22:46:05.0140 3848        mssmbios        (469541f8bfd2b32659d5d463a6714bce) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/06/04 22:46:05.0859 3848        Mup            (82035e0f41c2dd05ae41d27fe6cf7de1) C:\WINDOWS\system32\drivers\Mup.sys
2011/06/04 22:46:06.0546 3848        NDIS            (558635d3af1c7546d26067d5d9b6959e) C:\WINDOWS\system32\drivers\NDIS.sys
2011/06/04 22:46:07.0218 3848        NdisTapi        (08d43bbdacdf23f34d79e44ed35c1b4c) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/06/04 22:46:07.0890 3848        Ndisuio        (34d6cd56409da9a7ed573e1c90a308bf) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/06/04 22:46:08.0578 3848        NdisWan        (0b90e255a9490166ab368cd55a529893) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/06/04 22:46:09.0265 3848        NDProxy        (59fc3fb44d2669bc144fd87826bb571f) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/06/04 22:46:09.0968 3848        NetBIOS        (3a2aca8fc1d7786902ca434998d7ceb4) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/06/04 22:46:10.0921 3848        NetBT          (0c80e410cd2f47134407ee7dd19cc86b) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/06/04 22:46:11.0671 3848        Npfs            (4f601bcb8f64ea3ac0994f98fed03f8e) C:\WINDOWS\system32\drivers\Npfs.sys
2011/06/04 22:46:12.0359 3848        Ntfs            (b78be402c3f63dd55521f73876951cdd) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/06/04 22:46:13.0109 3848        Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/06/04 22:46:14.0453 3848        nv              (f1de35c89d98a883d1b4030dc9896855) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2011/06/04 22:46:15.0250 3848        NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/06/04 22:46:15.0984 3848        NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/06/04 22:46:16.0687 3848        Parport        (b2f17a2edb5450e61973a037f63a595b) C:\WINDOWS\system32\drivers\Parport.sys
2011/06/04 22:46:17.0375 3848        PartMgr        (3334430c29dc338092f79c38ef7b4cd0) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/06/04 22:46:18.0078 3848        ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/06/04 22:46:18.0812 3848        PCI            (6fb463e5b243fbd6f3d3c83f914d94fb) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/06/04 22:46:20.0875 3848        Pcmcia          (e2363f4c1daff89abee5f593e13d8a05) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/06/04 22:46:25.0593 3848        PptpMiniport    (1c5cc65aac0783c344f16353e60b72ac) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/06/04 22:46:26.0281 3848        PSched          (48671f327553dcf1d27f6197f622a668) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/06/04 22:46:27.0109 3848        Ptilink        (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/06/04 22:46:31.0187 3848        RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/06/04 22:46:31.0890 3848        Rasl2tp        (98faeb4a4dcf812ba1c6fca4aa3e115c) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/06/04 22:46:32.0593 3848        RasPppoe        (7306eeed8895454cbed4669be9f79faa) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/06/04 22:46:33.0296 3848        Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/06/04 22:46:34.0000 3848        Rdbss          (29d66245adba878fff574cd66abd2884) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/06/04 22:46:34.0687 3848        RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/06/04 22:46:35.0375 3848        rdpdr          (a2cae2c60bc37e0751ef9dda7ceaf4ad) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/06/04 22:46:36.0156 3848        RDPWD          (d4f5643d7714ef499ae9527fdcd50894) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/06/04 22:46:36.0843 3848        redbook        (aa56702e230860565cb8d43680f57f33) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/06/04 22:46:37.0625 3848        Secdrv          (d26e26ea516450af9d072635c60387f4) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/06/04 22:46:38.0328 3848        serenum        (a2d868aeeff612e70e213c451a70cafb) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/06/04 22:46:39.0062 3848        Serial          (cd5b9995afcdb466c9efc048d167e3be) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/06/04 22:46:39.0750 3848        Sfloppy        (0d13b6df6e9e101013a7afb0ce629fe0) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/06/04 22:46:41.0156 3848        SISAGP          (61ca562def09a782d26b3e7edec5369a) C:\WINDOWS\system32\DRIVERS\SISAGPX.sys
2011/06/04 22:46:41.0843 3848        siside          (b4485881bd8aed9b157a2e6cf43c2d51) C:\WINDOWS\system32\DRIVERS\siside.sys
2011/06/04 22:46:42.0515 3848        SISNICXP        (9ffbf0d8881a985175bc86597a1b429f) C:\WINDOWS\system32\DRIVERS\sisnicxp.sys
2011/06/04 22:46:43.0843 3848        splitter        (8e186b8f23295d1e42c573b82b80d548) C:\WINDOWS\system32\drivers\splitter.sys
2011/06/04 22:46:44.0546 3848        sr              (e4200cb2f418d8fc4acdd7e38c419d6a) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/06/04 22:46:45.0234 3848        Srv            (20b7e396720353e4117d64d9dcb926ca) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/06/04 22:46:45.0968 3848        ssmdrv          (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/06/04 22:46:46.0703 3848        swenum          (03c1bae4766e2450219d20b993d6e046) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/06/04 22:46:47.0390 3848        swmidi          (94abc808fc4b6d7d2bbf42b85e25bb4d) C:\WINDOWS\system32\drivers\swmidi.sys
2011/06/04 22:46:50.0718 3848        sysaudio        (650ad082d46bac0e64c9c0e0928492fd) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/06/04 22:46:51.0453 3848        TClass2k        (535fb6fe9b756b4e3203de3e3842fa04) C:\WINDOWS\system32\DRIVERS\TClass2k.sys
2011/06/04 22:46:52.0171 3848        Tcpip          (4092c56967175f009dc8458dc434358e) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/06/04 22:46:53.0078 3848        TDPIPE          (38d437cf2d98965f239b0abcd66dcb0f) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/06/04 22:46:53.0750 3848        TDTCP          (ed0580af02502d00ad8c4c066b156be9) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/06/04 22:46:54.0437 3848        TermDD          (a540a99c281d933f3d69d55e48727f47) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/06/04 22:46:55.0843 3848        UCTblHid        (019d314a69789e377a92b8b279c8e12b) C:\WINDOWS\system32\DRIVERS\UCTblHid.sys
2011/06/04 22:46:56.0515 3848        Udfs            (12f70256f140cd7d52c58c7048fde657) C:\WINDOWS\system32\drivers\Udfs.sys
2011/06/04 22:46:57.0921 3848        Update          (aff2e5045961bbc0a602bb6f95eb1345) C:\WINDOWS\system32\DRIVERS\update.sys
2011/06/04 22:46:58.0640 3848        usbccgp        (bffd9f120cc63bcbaa3d840f3eef9f79) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/06/04 22:46:59.0328 3848        usbehci        (15e993ba2f6946b2bfbbfcd30398621e) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/06/04 22:47:00.0031 3848        usbhub          (c72f40947f92cea56a8fb532edf025f1) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/06/04 22:47:00.0703 3848        usbohci        (bdfe799a8531bad8a5a985821fe78760) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/06/04 22:47:01.0390 3848        USBSTOR        (6cd7b22193718f1d17a47a1cd6d37e75) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/06/04 22:47:02.0078 3848        VgaSave        (8a60edd72b4ea5aea8202daf0e427925) C:\WINDOWS\System32\drivers\vga.sys
2011/06/04 22:47:03.0406 3848        VolSnap        (d6888520ff56d72a50437e371ca25fc9) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/06/04 22:47:04.0140 3848        Wanarp          (984ef0b9788abf89974cfed4bfbaacbc) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/06/04 22:47:05.0515 3848        wdmaud          (2797f33ebf50466020c430ee4f037933) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/06/04 22:47:06.0390 3848        MBR (0x1B8)    (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
2011/06/04 22:47:06.0531 3848        MBR (0x1B8)    (c68a6f9fa3336765a95820e3a21c907c) \Device\Harddisk1\DR1
2011/06/04 22:47:06.0562 3848        \Device\Harddisk1\DR1 - detected Backdoor.Win32.Sinowal.knf (0)
2011/06/04 22:47:06.0578 3848        ================================================================================
2011/06/04 22:47:06.0578 3848        Scan finished
2011/06/04 22:47:06.0578 3848        ================================================================================
2011/06/04 22:47:06.0593 3516        Detected object count: 1
2011/06/04 22:47:06.0593 3516        Actual detected object count: 1
2011/06/04 22:47:27.0765 3516        \Device\Harddisk1\DR1 (Backdoor.Win32.Sinowal.knf) - will be cured after reboot
2011/06/04 22:47:27.0765 3516        \Device\Harddisk1\DR1 - ok
2011/06/04 22:47:27.0765 3516        Backdoor.Win32.Sinowal.knf(\Device\Harddisk1\DR1) - User select action: Cure
2011/06/04 22:47:57.0750 1852        Deinitialize success
Was mir eben noch einfiel:
In etwa zeitgleich zum Auftauchen des Virusses hat auch eine Veränderung stattgefunden: Immer wieder - in unregelmäßigen Abständen - ploppt ein Symbol in der Startleiste auf. Ich kenne es nicht, womöglich ist es eine gewöhnliche Anwendung, aber ich möchte lieber einmal nachfragen, was es damit auf sich haben könnte.
Das Symbol taucht auf und verschwindet sofort wieder, dabei macht es ein charakteristisches Plopp-Geräusch. Manchmal wird eine Schaltfläche mit dem Namen "Smart Wizard" in der Startleiste angezeigt, wenn ich den Pc gerade erst hochgefahren habe. Diese verschwindet auch sofort wieder.
Ich habe eine Abbildung des Symbols angehängt (es ist das ganz links).
Jetzt nach dem Neustart habe ich das Symbol nicht gesehen, aber es hält sich nicht an Regelmäßigkeiten.


Vielen Dank für die schnelle Reaktion, ich fühle mich hier wirklich gut aufgehoben!

Gruß, Remus

kira 04.06.2011 22:38
1.
Zitat:
Nicht mehr benötigte Wiederherstellungspunkte wieder entfernen lassen:

1. Klicken Sie auf Start – Alle Programme – Zubehör – Systemprogramme – Datenträgerbereinigung.
2. Wählen Sie Ihr Systemlaufwerk (im Normalfall „C:“) aus und klicken Sie auf OK.
3. Klicken Sie auf das Register Weitere Optionen.
4. Im Abschnitt Systemwiederherstellung klicken Sie auf die Schaltfläche Bereinigen….
5. Bestätigen Sie das Löschen mit einem Klick auf Ja bzw. unter Vista auf Löschen.
6. Klicken Sie auf OK, um die Datenträgerbereinigung zu starten.
2.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Der Temp Ordner, ist für temporäre Dateien, also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar.
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!
  • `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
  • `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
  • für jedes Benutzerkonto bitte durchführen
  • anschließend den Papierkorb leeren

3.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

4.
  • lade Dir SUPERAntiSpyware FREE Edition herunter.
  • installiere das Programm und update online.
  • starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
  • setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
  • anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
  • auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
  • um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
  • drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

5.
- "Link:-> ESET Online Scanner
>>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum

-> Führe dann einen Komplett-Systemcheck mit Eset/Nod32 durch

- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"

Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - ActiveX-Steuerelement installieren lassen

► wie sieht mit dein Rechner zwischenzeitlich aus, berichte...?

RemusSirion 05.06.2011 01:55
Der Log von SuperAntispyware:

Code:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/05/2011 at 00:27 AM

Application Version : 4.53.1000

Core Rules Database Version : 7201
Trace Rules Database Version: 5013

Scan type      : Complete Scan
Total Scan Time : 00:23:44

Memory items scanned      : 407
Memory threats detected  : 0
Registry items scanned    : 4864
Registry threats detected : 0
File items scanned        : 9197
File threats detected    : 1

Adware.Tracking Cookie
        .doubleclick.net [ C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Cookies ]
und der Log von Eset (ich habe damit meine Festplatten und die Datenträger, auf die ich meine privaten Daten gesichert habe, überprüft):

Code:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=a2fe0bd07cdc47439208daf558d2ff9a
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-06-05 12:48:41
# local_time=2011-06-05 02:48:41 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=1797 16775125 100 93 151401 43763823 0 0
# compatibility_mode=8192 67108863 100 0 251 251 0 0
# scanned=59131
# found=0
# cleaned=0
# scan_time=7920
Das sieht doch gut aus, oder?

Das Symbol, von dem ich im letzten Posting sprach, tritt nochimmer auf.
Es stört etwas (weniger das Symbol, sondern das Geräusch, mit dem es erscheint), aber wenn es nicht schädlich ist, ist es reine Gewöhnungssache (und dann fällt es mir vielleicht bald nicht mehr auf).

kira 05.06.2011 21:03
Um das Service Pack 3 für Windows XP aufspielen und den IE 8 installieren klicke hier und folge die Anweisungen:-> Microsoft Update hält Ihren Computer auf dem neuesten Stand

Alle auf dem System installierten Programme und Treiber, sollten regelmäßig upgedatet werden um Sicherheitslücken zu vermeiden und um das reibungslose Arbeitsabläufe zu erreichen!

RemusSirion 05.06.2011 22:09
Liste der Anhänge anzeigen (Anzahl: 1)
ich mag Ende nächster Woche den Pc neu aufsetzen, daher mache ich die Updates erst dann (den PC nutze ich bis dato nicht). Ich habe das erst so spät vor, da ich ab morgen erstmal mit Abiturprüfungen beschäftigt bin :crazy:

Avira findet nun nichts mehr und ich danke dir, Kira, du hast mir wirklich sehr geholfen! Und das auch noch super schnell! Endlich kann ich meine 2. Festplatte wieder unbedenklich nutzen :applaus:

:dankeschoen:


Um mich erkenntlich zu zeigen, habe ich dir ein kleines Bildchen angefertigt, das ich hier als Datei angehängt habe.

Gruß, Remus

kira 05.06.2011 22:44
danke für das nette Bild!:)
Nun bleibt mir nicht viel anderes übrig, als DIR alles Gute zu wünschen und ich drück dir ganz sehr die Daumen für dein Abi!

gruß
kira

RemusSirion 05.06.2011 22:57
:dankeschoen:


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:13 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131