Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner Kazy.26024.5 SpyEyes Trojan.FakeMS (hoffentlich) entfernt aber danach viele Probleme (https://www.trojaner-board.de/100238-trojaner-kazy-26024-5-spyeyes-trojan-fakems-hoffentlich-entfernt-danach-viele-probleme.html)

M-K-D-B 14.06.2011 18:55
Hallo Stefan,


Zitat:
Zitat von sbie (Beitrag 672102)
3. Beim entpacken RkU3.8.389.593.rar bekomme ich nur die RKUnhookerLE.EXE, kein Ordner und damit kein RKU3.8.388.590.exe (auch mit Suchfunktion nicht zu finden)
Was ist zu tun?
RKU stellen wir zurück, das muss ich erst abklären. Wir machen folgendes:




Schritt # 1: Störende Programme
  • Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt.
  • Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
  • Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.





Schritt # 2: GMER Rootkitscan
Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
  • keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
  • nichts am Rechner arbeiten,
  • nach jedem Scan den Rechner neu starten.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
    Vista und Win7 User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei:
    • IAT/EAT
    • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
    • Show all (sollte abgehackt sein)
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!





Schritt # 3: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Klicke auf Scan
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 4: Benutzerdefinierter Scan mit OTL
Code:
/md5start
iexplore.exe
services.exe
atapi.sys
/md5stop
  • Schließe bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread




Schritt # 5: Fragen beantworten
Bitte beantworte mir folgende Fragen:
  • Wie läuft dein Rechner derzeit?
  • Gibt es noch irgendwelche Probleme (abgesehen von MBAM)?




Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • das Logfile von GMER,
  • das Logfile von aswMBR,
  • das neue Logfile von OTL (OTL.txt) und
  • die Beantwortung der gestellten Fragen.

sbie 14.06.2011 22:51
Hallo M-K-D-B,

alles erledigt,
Schritt # 1: Störende Programme: Programm musste ich erst suchen... ausgeführt mit Admin, alle Resi Haken weg, Neustart

Schritt # 2: GMER Rootkitscan: dieses Programm muss ich immer 2* starten da das Programm beim 1. Versuch nach 1 bis 2 Minuten abbricht. Und wenn ich das Log nicht abspeichere muss ich nochmal Neustarten (und habe dabei leider AviraGuard noch laufen lassen). Aber Inet war abgestöpselt, alle anderen Programme gestoppt.
[CODE]
GMER Logfile:
Code:
GMER 1.0.15.15640 - hxxp://www.gmer.net
Rootkit scan 2011-06-14 23:14:34
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2 ST3750528AS rev.CC44
Running: 3kz6y9k8.exe; Driver: C:\Users\xxxxx\AppData\Local\Temp\uglcifog.sys


---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwSaveKeyEx + 13BD                                                          82C89569 1 Byte  [06]
.text          ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                    82CAE092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}

---- User code sections - GMER 1.0.15 ----

.text          C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!UnhookWindowsHookEx      767DCC7B 5 Bytes  JMP 6D4383A2 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!CallNextHookEx            767DCC8F 5 Bytes  JMP 6D419D94 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!CreateWindowExW          767E0E51 5 Bytes  JMP 6D428197 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!SetWindowsHookExW        767E210A 5 Bytes  JMP 6D3D463B C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!DialogBoxIndirectParamW  76804AA7 5 Bytes  JMP 6D54FED8 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!DialogBoxParamW          7680564A 5 Bytes  JMP 6D344BA7 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!DialogBoxParamA          7681CF6A 5 Bytes  JMP 6D54FE75 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!DialogBoxIndirectParamA  7681D29C 5 Bytes  JMP 6D54FF3B C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!MessageBoxIndirectA      7682E8C9 5 Bytes  JMP 6D54FE0A C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!MessageBoxIndirectW      7682E9C3 5 Bytes  JMP 6D54FD9F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!MessageBoxExA            7682EA29 5 Bytes  JMP 6D54FD3D C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!MessageBoxExW            7682EA4D 5 Bytes  JMP 6D54FCDB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[436] ole32.dll!OleLoadFromStream          76D25BF6 5 Bytes  JMP 6D55022B C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[436] ole32.dll!CoCreateInstance          76D7590C 5 Bytes  JMP 6D428C85 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[436] WININET.dll!HttpAddRequestHeadersA  76A09ABA 5 Bytes  JMP 01D06B70
.text          C:\Program Files\Internet Explorer\iexplore.exe[436] WININET.dll!HttpAddRequestHeadersW  76A10848 5 Bytes  JMP 01D06D70
.text          C:\Program Files\Internet Explorer\iexplore.exe[436] WS2_32.dll!gethostbyname            765D7133 5 Bytes  JMP 01DB000A
.text          C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!CreateWindowExW          767E0E51 5 Bytes  JMP 6D428197 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!DialogBoxIndirectParamW  76804AA7 5 Bytes  JMP 6D54FED8 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!DialogBoxParamW          7680564A 5 Bytes  JMP 6D344BA7 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!DialogBoxParamA          7681CF6A 5 Bytes  JMP 6D54FE75 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!DialogBoxIndirectParamA  7681D29C 5 Bytes  JMP 6D54FF3B C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!MessageBoxIndirectA      7682E8C9 5 Bytes  JMP 6D54FE0A C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!MessageBoxIndirectW      7682E9C3 5 Bytes  JMP 6D54FD9F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!MessageBoxExA            7682EA29 5 Bytes  JMP 6D54FD3D C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!MessageBoxExW            7682EA4D 5 Bytes  JMP 6D54FCDB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text          C:\Program Files\Internet Explorer\iexplore.exe[1440] WININET.dll!HttpAddRequestHeadersA  76A09ABA 5 Bytes  JMP 00826B70
.text          C:\Program Files\Internet Explorer\iexplore.exe[1440] WININET.dll!HttpAddRequestHeadersW  76A10848 5 Bytes  JMP 00826D70
.text          C:\Program Files\Internet Explorer\iexplore.exe[1440] ws2_32.DLL!closesocket              765C3BED 5 Bytes  JMP 0064000A
.text          C:\Program Files\Internet Explorer\iexplore.exe[1440] ws2_32.DLL!recv                    765C47DF 5 Bytes  JMP 0060000A
.text          C:\Program Files\Internet Explorer\iexplore.exe[1440] ws2_32.DLL!connect                  765C48BE 5 Bytes  JMP 0061000A
.text          C:\Program Files\Internet Explorer\iexplore.exe[1440] ws2_32.DLL!getaddrinfo              765C6737 5 Bytes  JMP 0089000A
.text          C:\Program Files\Internet Explorer\iexplore.exe[1440] ws2_32.DLL!send                    765CC4C8 5 Bytes  JMP 0065000A
.text          C:\Program Files\Internet Explorer\iexplore.exe[1440] ws2_32.DLL!gethostbyname            765D7133 5 Bytes  JMP 0088000A

---- Devices - GMER 1.0.15 ----

Device          \Driver\ACPI_HAL \Device\00000046                                                        halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume5                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume6                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume7                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

---- Threads - GMER 1.0.15 ----

Thread          System [4:252]                                                                            864B4E7A
Thread          System [4:256]                                                                            864B7008

---- EOF - GMER 1.0.15 ----
--- --- ---


Schritt # 3: aswMBR.exe ausführen
Log:
Code:
aswMBR version 0.9.6.399 Copyright(c) 2011 AVAST Software
Run date: 2011-06-14 23:19:23
-----------------------------
23:19:23.056    OS Version: Windows 6.1.7600
23:19:23.056    Number of processors: 2 586 0x170A
23:19:23.056    ComputerName: MEDIONE4100D  UserName: xxxxx
23:19:35.052    Initialize success
23:19:51.136    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2
23:19:51.152    Disk 0 Vendor: ST3750528AS CC44 Size: 715404MB BusType: 3
23:19:53.180    Disk 0 MBR read successfully
23:19:53.195    Disk 0 MBR scan
23:19:53.195    Disk 0 unknown MBR code
23:19:55.208    Disk 0 scanning sectors +1465145344
23:19:55.254    Disk 0 scanning C:\Windows\system32\drivers
23:20:01.713    Service scanning
23:20:04.302    Disk 0 trace - called modules:
23:20:04.302    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll >>UNKNOWN [0x862af1ed]<<
23:20:04.302    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8627e030]
23:20:04.318    3 CLASSPNP.SYS[8b18359e] -> nt!IofCallDriver -> [0x85d86918]
23:20:04.318    5 ACPI.sys[8acb33b2] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-2[0x85dcb338]
23:20:04.318    \Driver\atapi[0x85d814f0] -> IRP_MJ_INTERNAL_DEVICE_CONTROL -> 0x862af1ed
23:20:04.833    Scan finished successfully
23:20:25.347    Disk 0 MBR has been saved successfully to "C:\Users\xxxx\Desktop\MBR.dat"
23:20:25.362    The log file has been saved successfully to "C:\Users\xxxx\Desktop\aswMBR.txt"
Schritt # 4: Benutzerdefinierter Scan mit OTL
OTL Logfile:
Code:
OTL logfile created on: 14.06.2011 23:26:40 - Run 7
OTL by OldTimer - Version 3.2.24.0    Folder = C:\Users\xxxx\Desktop
 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,87 Gb Total Physical Memory | 1,95 Gb Available Physical Memory | 67,98% Memory free
5,74 Gb Paging File | 4,76 Gb Available in Paging File | 82,95% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 677,54 Gb Total Space | 522,01 Gb Free Space | 77,05% Space Free | Partition Type: NTFS
Drive D: | 20,00 Gb Total Space | 12,94 Gb Free Space | 64,68% Space Free | Partition Type: NTFS
 
Computer Name: MEDIONE4100D | User Name: xxxxx | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days
 
========== Custom Scans ==========
 
 
 
< MD5 for: ATAPI.SYS  >
[2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\ERDNT\cache\atapi.sys
[2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\System32\drivers\atapi.sys
[2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_x86_neutral_f64b9c35a3a5be81\atapi.sys
[2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_dd0e7e3d82dd640d\atapi.sys
 
< MD5 for: IEXPLORE.EXE  >
[2010.09.08 06:36:39 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=14803EA3E5DD7CB37CB446C74CFDA38F -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.20795_none_b3c5cc459f4108f2\iexplore.exe
[2009.07.14 03:17:29 | 000,673,048 | ---- | M] (Microsoft Corporation) MD5=2C32E3E596CFE660353753EABEFB0540 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.16385_none_b346f9b4861b55c2\iexplore.exe
[2010.11.04 07:54:54 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=58CF468D3FF4CF830339FE5E45356355 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.16700_none_b3987f3a85deec23\iexplore.exe
[2010.09.08 06:31:24 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=61EDBCE47ADF3E52AB0B9F49EE4AEBB8 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.16671_none_b34dce2a8616cbea\iexplore.exe
[2010.11.04 07:54:59 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=6B2258FF6D2332073FE9E90122FA4168 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.20831_none_b402ac8b9f13f917\iexplore.exe
[2010.12.18 07:32:25 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=9321CF0D023528C71E3645F8433C86C8 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.20861_none_b3e23cc79f2c4cea\iexplore.exe
[2010.12.18 07:33:54 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=AA08B68EF4E35EFA170CF85A44B23B70 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.16722_none_b384dff685ed56b3\iexplore.exe
[2011.02.24 07:45:11 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=AB2BB40A5FE49AD236791AC22BD08869 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.20908_none_b42a203b9ef553cc\iexplore.exe
[2011.02.24 07:32:52 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=C6697A46554E36541E81182B258A19D6 -- C:\Programme\Internet Explorer\iexplore.exe
[2011.02.24 07:32:52 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=C6697A46554E36541E81182B258A19D6 -- C:\Windows\ERDNT\cache\iexplore.exe
[2011.02.24 07:32:52 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=C6697A46554E36541E81182B258A19D6 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.16766_none_b35da16e860a2bd3\iexplore.exe
 
< MD5 for: SERVICES.EXE  >
[2009.07.14 03:14:36 | 000,259,072 | ---- | M] (Microsoft Corporation) MD5=5F1B6A9C35D3D5CA72D6D6FDEF9747D6 -- C:\Windows\ERDNT\cache\services.exe
[2009.07.14 03:14:36 | 000,259,072 | ---- | M] (Microsoft Corporation) MD5=5F1B6A9C35D3D5CA72D6D6FDEF9747D6 -- C:\Windows\System32\services.exe
[2009.07.14 03:14:36 | 000,259,072 | ---- | M] (Microsoft Corporation) MD5=5F1B6A9C35D3D5CA72D6D6FDEF9747D6 -- C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe

< End of report >
--- --- ---


Schritt # 5: Fragen beantworten
Wie läuft dein Rechner derzeit? Oberflächlich keine Probleme, nach Neustart lange Zeit Festplattenaktivitäten, nach Neustart immer 2 IE Prozesse im Taskmanager zu sehen.
Gibt es noch irgendwelche Probleme (abgesehen von MBAM)? Nö, ich mach ja nichts mehr anderes, meine Tochter kann ich erst morgen fragen.

Schritt # 6: Deine Rückmeldung
Ist nun fertig.

Gruß, Stefan

M-K-D-B 15.06.2011 08:49
Hallo Stefan,


ich möchte noch den MBR überprüfen.






Schritt # 1: TDSS Killer ausführen
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.
  • Schließe alle laufenden Programme.
  • Trenne dich von Internet.
  • Deaktiviere deine AntiViren Software.
  • Starte TDSSkiller.exe mit Doppelklick.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Drücke auf Start scan.
    Mache während dem Scan nichts am Rechner
    1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
    2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
      Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
  • Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
  • Bitte poste mir den Inhalt hier in deinen Thread.




Schritt # 2: Scan mit MBRCheck
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
  • Poste mir bitte den Inhalt des .txt Dokumentes.




Schritt # 3: Fragen beantworten
Bitte beantworte mir folgende Fragen:
  • Hast du neben Windows 7 noch ein weiteres Betriebssystem installiert? Eventuell eine andere Windows Version, Linux oder Ähnliches?




Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • das Logfile des TDSS Killers,
  • das Logfile von MBRCheck und
  • die Beantwortung der gestellten Fragen.

sbie 15.06.2011 18:36
Hallo M-K-D-B,

Ich möchte ja, aber das Programm startet nicht.
Schritt # 1: TDSS Killer ausführen
tdsskiller.exe
TDSS rootkit removing tool
Version 2.5.4.0

Habs probiert mit Kompatibilität XP3, XP2, NT5, Vista

Vorab:
Schritt # 3: Fragen beantworten: Hast du neben Windows 7 noch ein weiteres Betriebssystem installiert?
Nein, nichts davon, auch nichts ähnliches.

Wenn Du mir erzählst wie ich Bilder einfüge kann ich dír auch meine Taskliste geben, vielleicht hilfst ja.

Aber, Was ist nun zu tun?
Gruß, Stefan

sbie 15.06.2011 20:48
Hallo,

habe schon einmal weitergemacht,
Schritt # 2: Scan mit MBRCheck
hier das Log
Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows 7 Home Premium Edition
Windows Information:                (build 7600), 32-bit
Base Board Manufacturer:        MEDIONPC
BIOS Manufacturer:                American Megatrends Inc.
System Manufacturer:                MEDIONPC
System Product Name:                MS-7633
Logical Drives Mask:                0x000001dc

Kernel Drivers (total 183):
  0x82C04000 \SystemRoot\system32\ntkrnlpa.exe
  0x83014000 \SystemRoot\system32\halmacpi.dll
  0x80BB6000 \SystemRoot\system32\kdcom.dll
  0x83226000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
  0x8329E000 \SystemRoot\system32\PSHED.dll
  0x832AF000 \SystemRoot\system32\BOOTVID.dll
  0x832B7000 \SystemRoot\system32\CLFS.SYS
  0x832F9000 \SystemRoot\system32\CI.dll
  0x8AC28000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x8AC99000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x8ACA7000 \SystemRoot\system32\DRIVERS\ACPI.sys
  0x8ACEF000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
  0x8ACF8000 \SystemRoot\system32\DRIVERS\msisadrv.sys
  0x8AD00000 \SystemRoot\system32\DRIVERS\pci.sys
  0x8AD2A000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
  0x8AD35000 \SystemRoot\System32\drivers\partmgr.sys
  0x8AD46000 \SystemRoot\system32\DRIVERS\volmgr.sys
  0x8AD56000 \SystemRoot\System32\drivers\volmgrx.sys
  0x8ADA1000 \SystemRoot\system32\DRIVERS\intelide.sys
  0x8ADA8000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
  0x8ADB6000 \SystemRoot\System32\drivers\mountmgr.sys
  0x8ADCC000 \SystemRoot\system32\DRIVERS\atapi.sys
  0x8ADD5000 \SystemRoot\system32\DRIVERS\ataport.SYS
  0x8AC00000 \SystemRoot\system32\DRIVERS\amdxata.sys
  0x833A4000 \SystemRoot\system32\drivers\fltmgr.sys
  0x8AC09000 \SystemRoot\system32\drivers\fileinfo.sys
  0x8AE01000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x8AF30000 \SystemRoot\System32\Drivers\msrpc.sys
  0x8AF5B000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x8AF6E000 \SystemRoot\System32\Drivers\cng.sys
  0x8AFCB000 \SystemRoot\System32\drivers\pcw.sys
  0x8AFD9000 \SystemRoot\System32\Drivers\Fs_Rec.sys
  0x8B02B000 \SystemRoot\system32\drivers\ndis.sys
  0x8B0E2000 \SystemRoot\system32\drivers\NETIO.SYS
  0x8B120000 \SystemRoot\System32\Drivers\ksecpkg.sys
  0x8B235000 \SystemRoot\System32\drivers\tcpip.sys
  0x8B37E000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x8B3AF000 \SystemRoot\system32\DRIVERS\volsnap.sys
  0x8B3EE000 \SystemRoot\System32\Drivers\spldr.sys
  0x8B200000 \SystemRoot\System32\drivers\rdyboost.sys
  0x8B145000 \SystemRoot\System32\Drivers\mup.sys
  0x8B22D000 \SystemRoot\System32\drivers\hwpolicy.sys
  0x8B155000 \SystemRoot\System32\DRIVERS\fvevol.sys
  0x8B187000 \SystemRoot\system32\DRIVERS\disk.sys
  0x8B198000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
  0x8B000000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0x8B01F000 \SystemRoot\System32\Drivers\Null.SYS
  0x8B1E6000 \SystemRoot\System32\Drivers\Beep.SYS
  0x8B1ED000 \SystemRoot\System32\drivers\vga.sys
  0x833D8000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x8AFE2000 \SystemRoot\System32\drivers\watchdog.sys
  0x8AFEF000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x8AFF7000 \SystemRoot\system32\drivers\rdpencdd.sys
  0x8AC1A000 \SystemRoot\system32\drivers\rdprefmp.sys
  0x83200000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x8320B000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x90634000 \SystemRoot\system32\DRIVERS\tdx.sys
  0x9064B000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x90656000 \SystemRoot\system32\drivers\afd.sys
  0x906B0000 \SystemRoot\System32\DRIVERS\netbt.sys
  0x906E2000 \SystemRoot\system32\DRIVERS\wfplwf.sys
  0x906E9000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x90708000 \SystemRoot\system32\DRIVERS\vwififlt.sys
  0x90719000 \SystemRoot\system32\DRIVERS\netbios.sys
  0x90727000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x9073A000 \SystemRoot\system32\DRIVERS\termdd.sys
  0x9074A000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0x90750000 \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS
  0x90772000 \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS
  0x90778000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0x907B9000 \SystemRoot\system32\drivers\nsiproxy.sys
  0x907C3000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0x907CD000 \SystemRoot\System32\drivers\discache.sys
  0x907D9000 \SystemRoot\System32\Drivers\dfsc.sys
  0x907F1000 \SystemRoot\system32\DRIVERS\blbdrive.sys
  0x90600000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0x90435000 \SystemRoot\system32\DRIVERS\tunnel.sys
  0x90456000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0x9122B000 \SystemRoot\system32\DRIVERS\igdkmd32.sys
  0x91B48000 \SystemRoot\System32\drivers\dxgkrnl.sys
  0x90468000 \SystemRoot\System32\drivers\dxgmms1.sys
  0x91200000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0x904A1000 \SystemRoot\system32\DRIVERS\Rt86win7.sys
  0x9121F000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0x904DD000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0x90528000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0x90537000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0x9054F000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0x9055C000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
  0x90569000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
  0x9057B000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0x90593000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0x9059E000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0x905C0000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0x905D8000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0x90400000 \SystemRoot\system32\DRIVERS\rassstp.sys
  0x90417000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0x90424000 \SystemRoot\system32\DRIVERS\swenum.sys
  0x9620F000 \SystemRoot\system32\DRIVERS\ks.sys
  0x96243000 \SystemRoot\system32\DRIVERS\umbus.sys
  0x96251000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0x96295000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0x97414000 \SystemRoot\system32\drivers\RTKVHDA.sys
  0x97700000 \SystemRoot\system32\drivers\portcls.sys
  0x9772F000 \SystemRoot\system32\drivers\drmk.sys
  0x97748000 \SystemRoot\system32\drivers\IntcHdmi.sys
  0x9776B000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0x97776000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0x97789000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0x97790000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0x97792000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0x98580000 \SystemRoot\System32\win32k.sys
  0x9779D000 \SystemRoot\System32\drivers\Dxapi.sys
  0x977A7000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0x977BE000 \SystemRoot\System32\Drivers\crashdmp.sys
  0x977CB000 \SystemRoot\System32\Drivers\dump_dumpata.sys
  0x977D6000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0x977DF000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
  0x962A6000 \SystemRoot\system32\DRIVERS\dvb7700all.sys
  0x977F0000 \SystemRoot\system32\DRIVERS\BdaSup.SYS
  0x977F3000 \SystemRoot\system32\DRIVERS\monitor.sys
  0x987E0000 \SystemRoot\System32\TSDDD.dll
  0x9632F000 \SystemRoot\system32\drivers\luafv.sys
  0x9634A000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0x9635F000 \SystemRoot\system32\drivers\WudfPf.sys
  0x97400000 \SystemRoot\system32\DRIVERS\lltdio.sys
  0x96379000 \SystemRoot\system32\DRIVERS\nwifi.sys
  0x963BF000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0x963CF000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0x9560F000 \SystemRoot\system32\drivers\HTTP.sys
  0x95694000 \SystemRoot\system32\DRIVERS\bowser.sys
  0x956AD000 \SystemRoot\System32\drivers\mpsdrv.sys
  0x956BF000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0x956E2000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
  0x9571D000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
  0x95750000 \SystemRoot\system32\drivers\peauth.sys
  0x957E7000 \SystemRoot\System32\Drivers\secdrv.SYS
  0x8B1BD000 \SystemRoot\System32\DRIVERS\srvnet.sys
  0x957F1000 \SystemRoot\System32\drivers\tcpipreg.sys
  0xAD212000 \SystemRoot\System32\DRIVERS\srv2.sys
  0xAD261000 \SystemRoot\System32\DRIVERS\srv.sys
  0xAD2B3000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
  0xAD33E000 \SystemRoot\System32\Drivers\fastfat.SYS
  0x984E0000 \SystemRoot\System32\cdd.dll
  0x76E50000 \Windows\System32\ntdll.dll
  0x47890000 \Windows\System32\smss.exe
  0x77090000 \Windows\System32\apisetschema.dll
  0x007F0000 \Windows\System32\autochk.exe
  0x76200000 \Windows\System32\shell32.dll
  0x77060000 \Windows\System32\sechost.dll
  0x77050000 \Windows\System32\lpk.dll
  0x77020000 \Windows\System32\imagehlp.dll
  0x76F90000 \Windows\System32\oleaut32.dll
  0x76150000 \Windows\System32\rpcrt4.dll
  0x76100000 \Windows\System32\gdi32.dll
  0x760E0000 \Windows\System32\imm32.dll
  0x76060000 \Windows\System32\comdlg32.dll
  0x75FC0000 \Windows\System32\usp10.dll
  0x75FB0000 \Windows\System32\psapi.dll
  0x75ED0000 \Windows\System32\kernel32.dll
  0x75E70000 \Windows\System32\difxapi.dll
  0x75E20000 \Windows\System32\Wldap32.dll
  0x75D20000 \Windows\System32\wininet.dll
  0x75C50000 \Windows\System32\user32.dll
  0x75AF0000 \Windows\System32\ole32.dll
  0x75AB0000 \Windows\System32\ws2_32.dll
  0x75A20000 \Windows\System32\clbcatq.dll
  0x75950000 \Windows\System32\msctf.dll
  0x75940000 \Windows\System32\normaliz.dll
  0x75740000 \Windows\System32\iertutil.dll
  0x755A0000 \Windows\System32\setupapi.dll
  0x75590000 \Windows\System32\nsi.dll
  0x754E0000 \Windows\System32\msvcrt.dll
  0x75480000 \Windows\System32\shlwapi.dll
  0x753E0000 \Windows\System32\advapi32.dll
  0x752A0000 \Windows\System32\urlmon.dll
  0x75270000 \Windows\System32\wintrust.dll
  0x75150000 \Windows\System32\crypt32.dll
  0x75100000 \Windows\System32\KernelBase.dll
  0x750E0000 \Windows\System32\devobj.dll
  0x750B0000 \Windows\System32\cfgmgr32.dll
  0x75020000 \Windows\System32\comctl32.dll
  0x75010000 \Windows\System32\msasn1.dll

Processes (total 58):
      0 System Idle Process
      4 System
    288 C:\Windows\System32\smss.exe
    440 csrss.exe
    492 C:\Windows\System32\wininit.exe
    500 csrss.exe
    540 C:\Windows\System32\services.exe
    572 C:\Windows\System32\lsass.exe
    588 C:\Windows\System32\lsm.exe
    596 C:\Windows\System32\winlogon.exe
    744 C:\Windows\System32\svchost.exe
    844 C:\Windows\System32\svchost.exe
    896 C:\Windows\System32\svchost.exe
    1008 C:\Windows\System32\svchost.exe
    1044 C:\Windows\System32\svchost.exe
    1172 C:\Windows\System32\svchost.exe
    1320 C:\Windows\System32\svchost.exe
    1484 C:\Windows\System32\spoolsv.exe
    1512 C:\Program Files\Avira\AntiVir Desktop\sched.exe
    1532 C:\Windows\System32\svchost.exe
    1652 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    1680 C:\Program Files\Microsoft\BingBar\SeaPort.EXE
    1728 C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe
    1776 C:\Windows\System32\svchost.exe
    1824 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
    1844 C:\Windows\System32\conhost.exe
    1860 C:\Windows\System32\svchost.exe
    1952 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
    1240 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE
    2272 C:\Windows\System32\taskhost.exe
    2336 C:\Windows\System32\dwm.exe
    2376 C:\Windows\explorer.exe
    2692 C:\Windows\System32\SearchIndexer.exe
    2840 C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe
    2916 C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
    2928 WUDFHost.exe
    2940 C:\Program Files\FreePDF_XP\fpassist.exe
    3028 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    3240 C:\Windows\System32\igfxtray.exe
    3288 C:\Windows\System32\hkcmd.exe
    3336 C:\Windows\System32\igfxpers.exe
    3368 C:\Program Files\Windows Sidebar\sidebar.exe
    3428 C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe
    3608 C:\Program Files\OpenOffice.org 3\program\soffice.exe
    3632 C:\Program Files\OpenOffice.org 3\program\soffice.bin
    1188 C:\Windows\System32\svchost.exe
    2572 C:\Program Files\Windows Media Player\wmpnetwk.exe
    196 C:\Windows\System32\svchost.exe
    780 dllhost.exe
    2504 C:\Program Files\Internet Explorer\iexplore.exe
    1100 C:\Program Files\Internet Explorer\iexplore.exe
    684 C:\Windows\System32\audiodg.exe
    4432 C:\Program Files\Microsoft\BingBar\BBSvc.EXE
    1292 C:\Windows\System32\svchost.exe
    5480 C:\Windows\System32\SearchProtocolHost.exe
    2128 C:\Windows\System32\SearchFilterHost.exe
    1428 C:\Users\Stefan\Desktop\MBRCheck.exe
    2512 C:\Windows\System32\conhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x000000a9`68a00000  (NTFS)

PhysicalDrive0 Model Number: ST3750528AS, Rev: CC44   

      Size  Device Name          MBR Status
  --------------------------------------------
    698 GB  \\.\PhysicalDrive0  Unknown MBR code
            SHA1: 3F8AC3F12FB8BFA1FDEFC08938762E6080784F16


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!
Found non-standard or infected MBR.

Eben habe ich den TDSSkiller gefunden mit Hilfe autoruns, als Aufgabe 4* (?)


Gruß, Stefan

M-K-D-B 16.06.2011 09:53
Hallo Stefan,


Schau mal bitte unter C:\TDSSKiller_version_date_time_log.txt. Sollte sich dort eine Textdatei befinden, so poste diese bitte mit deiner nächsten Antwort.

Starte den TDSS-Killer nochmals und berichte, welcher Fehlermeldung genau erscheint bzw. was genau passiert.

Mit der Taste "Druck" kannst du deinen Screenshot erstellen. Das Bild befindet sich dann im Cache und über Paint oder ein anderes Bildbearbeitungsprogramm kannst du dann das Bild deines Desktops einfügen und ausführen.


Zitat:
Eben habe ich den TDSSkiller gefunden mit Hilfe autoruns, als Aufgabe 4* (?)
Wie gefunden? Das Tool solltest du auf deinem Desktop abspeichern und von dort speichern. Ich weiß gerade nicht, was du damit meinst. :wtf:




Versuche bitte noch folgendes:

Schritt # 1: Windows im abgesicherten Modus starten
Starte bitte dein Windws 7 im abgesicherten Modus.

Und führe nun den TDSS-Killer nochmals im abgesicherten Modus vom Desktop aus:


Schritt # 2: TDSS Killer ausführen
  • Schließe alle laufenden Programme.
  • Trenne dich von Internet.
  • Deaktiviere deine AntiViren Software.
  • Starte TDSSkiller.exe mit Doppelklick.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Drücke auf Start scan.
    Mache während dem Scan nichts am Rechner
    1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
    2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
      Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
  • Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
  • Bitte poste mir den Inhalt hier in deinen Thread.


Starte deinen Rechner neu auf.




Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • die genaue Fehlermeldung des TDSS-Killers,
  • das Logfile des TDSS-Killers,

sbie 16.06.2011 17:00
Hallo M-K-D-B,

Zitat:
Zitat von M-K-D-B (Beitrag 672897)
Hallo Stefan,
Schau mal bitte unter C:\TDSSKiller_version_date_time_log.txt. Sollte sich dort eine Textdatei befinden, so poste diese bitte mit deiner nächsten Antwort.
Keine Textdatei, leider nicht.

Zitat:
Zitat von M-K-D-B (Beitrag 672897)
Starte den TDSS-Killer nochmals und berichte, welcher Fehlermeldung genau erscheint bzw. was genau passiert.
Keine Fehlermeldung, kein Start des Programmes, keine Möglichkeit etwas auszuwählen.

Zitat:
Zitat von M-K-D-B (Beitrag 672897)
Mit der Taste "Druck" kannst du deinen Screenshot erstellen. Das Bild befindet sich dann im Cache und über Paint oder ein anderes Bildbearbeitungsprogramm kannst du dann das Bild deines Desktops einfügen und ausführen.
OK

Zitat:
Zitat von M-K-D-B (Beitrag 672897)
>>Eben habe ich den TDSSkiller gefunden mit Hilfe autoruns, als Aufgabe 4* (?)<<
Wie gefunden? Das Tool solltest du auf deinem Desktop abspeichern und von dort speichern. Ich weiß gerade nicht, was du damit meinst. :wtf:
Klar habe ich das Programm auf dem Desktop abgespeichert und versucht zu starten.
Damit meine ich, ich habe das Programm autoruns.exe, dieses zeigt einen Liste (kennst Du hundertpro) mit z.B. den Programmen die bei Rechnerstart ausgeführt werden usw. In der Liste fand ich dann unter dem Punkt Scheduled Tasks diese 4 Einträge.
Dieses sind die Einträge
\{17BC5798-2118-4963-9B20-5C7238DE7D37} TDSS rootkit removing tool Kaspersky Lab ZAO c:\users\xxxx\desktop\tdsskiller.exe
\{9D526A73-F749-4B5D-B20D-66D123B020C1} TDSS rootkit removing tool Kaspersky Lab ZAO c:\users\xxxx\desktop\tdsskiller.exe
\{EF1B8592-03D4-4C87-859E-0F399CACEB92} TDSS rootkit removing tool Kaspersky Lab ZAO c:\users\xxxx\desktop\tdsskiller.exe
\{F99817D0-FC7C-4548-B781-9A7F1DE873D2} TDSS rootkit removing tool Kaspersky Lab ZAO c:\users\xxxx\desktop\tdsskiller.exe

Wobei xxxx mein User ist.
Ich lege nun mit den nächsten 3 Schritten los.

Gruß, Stefan

sbie 16.06.2011 17:59
Hallo M-K-D-B,

Zitat:
Zitat von M-K-D-B (Beitrag 672897)
Schritt # 1: Windows im abgesicherten Modus starten
Hab ich gemacht und wunderschöne größe Icon :crazy: gesehen. Hier aber startet der TdssKiller auch nicht.....

(Nun schreib ich mal ein bischen mehr) :kaffee:
Dann Neustart normal, google nach tdsskiller, klick auf
support.kaspersky.com/viruses/solutions?...
dann kam beim ersten mal
hxxp://search.de.wahnsinns-schnaeppchen.de/?action=search&keyword=tdsskiller+download
und sowas wie podcastmania...

Den Browser habe ich dann geschlossen und neu aufgerufen, wieder suche, klick auf support...
dann kam
hxxp://secure.bidvertiser.com/performance/bdv_rd.dbm?enparms2=9377,959089,1180416,9278,9285,9285,9328,0,0,9282,0,956546,8137,171683,10127,9294,589877912,7836673%3C%3C37%3E,92%252U2%25RIY%2BY3% 250.4U2%25gmvwriG%2BY3%251.6%2BGM%2BhdlwmrD%2BY3%250.8%2BVRHN%2BY3%25voyrgzknlx82%25%2B0.4U2%25zooralN,nlx.qmvigzvsgbgrmfnnlx.dddu2%25u2%25%3Akggs&ioa =0&ncm=1&bd_ref_v=www.bidvertiser.com&TREF=1&WIN_NAME=&Category=7&ownid=484-direc10&u_agnt=&skter=wzlomdlw%2Bivoorphhwg&frdto=oh%3Df%26f%3Diz%26z%3Dhg%26i%3Dgz%2601XVIRW-484_218949%3Dwrg%26wzlomdlw%2Bivoorphhwg%3Dnivg%2634330756%3Dwrwz%3FpxroXwz%2FveivHwz%2Fnlx.hwzpox%2F%2F%3Akggs

Den Browser habe ich dann geschlossen und neu aufgerufen, wieder suche, klick auf support...
dann kam endlich
hxxp://support.kaspersky.com/viruses/solutions?qid=208280684 :singsing:

Warum eigentlich hxxp?

Von dort habe ich dann den tdsskiller zip geladen, entpackt und läuuuffft!.
(Die exe hat nun eine andere Größe.)
Und ne andere Version
Alt: Version 2.5.4.0
Neu: Version 2.5.5.0

Zitat:
Zitat von M-K-D-B (Beitrag 672897)
Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
die genaue Fehlermeldung des TDSS-Killers,
Nix Fehler mehr.

Zitat:
Zitat von M-K-D-B (Beitrag 672897)
das Logfile des TDSS-Killers,
hier endliche das TDss Log, ich sach nur Wolfs Schnapp:kloppen: oder so ähnlich
Code:
2011/06/16 18:32:10.0862 2640        TDSS rootkit removing tool 2.5.5.0 Jun 16 2011 15:25:15
2011/06/16 18:32:10.0862 2640        ================================================================================
2011/06/16 18:32:10.0862 2640        SystemInfo:
2011/06/16 18:32:10.0862 2640       
2011/06/16 18:32:10.0862 2640        OS Version: 6.1.7600 ServicePack: 0.0
2011/06/16 18:32:10.0862 2640        Product type: Workstation
2011/06/16 18:32:10.0862 2640        ComputerName: MEDIONE4100D
2011/06/16 18:32:10.0862 2640        UserName: xxxxx
2011/06/16 18:32:10.0862 2640        Windows directory: C:\Windows
2011/06/16 18:32:10.0862 2640        System windows directory: C:\Windows
2011/06/16 18:32:10.0862 2640        Processor architecture: Intel x86
2011/06/16 18:32:10.0862 2640        Number of processors: 2
2011/06/16 18:32:10.0862 2640        Page size: 0x1000
2011/06/16 18:32:10.0862 2640        Boot type: Normal boot
2011/06/16 18:32:10.0862 2640        ================================================================================
2011/06/16 18:32:11.0782 2640        Initialize success
2011/06/16 18:32:25.0651 3348        ================================================================================
2011/06/16 18:32:25.0651 3348        Scan started
2011/06/16 18:32:25.0651 3348        Mode: Manual;
2011/06/16 18:32:25.0651 3348        ================================================================================
2011/06/16 18:32:26.0322 3348        1394ohci        (6d2aca41739bfe8cb86ee8e85f29697d) C:\Windows\system32\DRIVERS\1394ohci.sys
2011/06/16 18:32:26.0369 3348        ACPI            (f0e07d144c8685b8774bc32fc8da4df0) C:\Windows\system32\DRIVERS\ACPI.sys
2011/06/16 18:32:26.0400 3348        AcpiPmi        (98d81ca942d19f7d9153b095162ac013) C:\Windows\system32\DRIVERS\acpipmi.sys
2011/06/16 18:32:26.0431 3348        adp94xx        (21e785ebd7dc90a06391141aac7892fb) C:\Windows\system32\DRIVERS\adp94xx.sys
2011/06/16 18:32:26.0478 3348        adpahci        (0c676bc278d5b59ff5abd57bbe9123f2) C:\Windows\system32\DRIVERS\adpahci.sys
2011/06/16 18:32:26.0509 3348        adpu320        (7c7b5ee4b7b822ec85321fe23a27db33) C:\Windows\system32\DRIVERS\adpu320.sys
2011/06/16 18:32:26.0556 3348        AFD            (ddc040fdb01ef1712a6b13e52afb104c) C:\Windows\system32\drivers\afd.sys
2011/06/16 18:32:26.0587 3348        agp440          (507812c3054c21cef746b6ee3d04dd6e) C:\Windows\system32\DRIVERS\agp440.sys
2011/06/16 18:32:26.0618 3348        aic78xx        (8b30250d573a8f6b4bd23195160d8707) C:\Windows\system32\DRIVERS\djsvs.sys
2011/06/16 18:32:26.0634 3348        aliide          (0d40bcf52ea90fc7df2aeab6503dea44) C:\Windows\system32\DRIVERS\aliide.sys
2011/06/16 18:32:26.0665 3348        amdagp          (3c6600a0696e90a463771c7422e23ab5) C:\Windows\system32\DRIVERS\amdagp.sys
2011/06/16 18:32:26.0681 3348        amdide          (cd5914170297126b6266860198d1d4f0) C:\Windows\system32\DRIVERS\amdide.sys
2011/06/16 18:32:26.0696 3348        AmdK8          (00dda200d71bac534bf56a9db5dfd666) C:\Windows\system32\DRIVERS\amdk8.sys
2011/06/16 18:32:26.0712 3348        AmdPPM          (3cbf30f5370fda40dd3e87df38ea53b6) C:\Windows\system32\DRIVERS\amdppm.sys
2011/06/16 18:32:26.0759 3348        amdsata        (2101a86c25c154f8314b24ef49d7fbc2) C:\Windows\system32\DRIVERS\amdsata.sys
2011/06/16 18:32:26.0790 3348        amdsbs          (ea43af0c423ff267355f74e7a53bdaba) C:\Windows\system32\DRIVERS\amdsbs.sys
2011/06/16 18:32:26.0805 3348        amdxata        (b81c2b5616f6420a9941ea093a92b150) C:\Windows\system32\DRIVERS\amdxata.sys
2011/06/16 18:32:26.0868 3348        AppID          (feb834c02ce1e84b6a38f953ca067706) C:\Windows\system32\drivers\appid.sys
2011/06/16 18:32:26.0899 3348        arc            (2932004f49677bd84dbc72edb754ffb3) C:\Windows\system32\DRIVERS\arc.sys
2011/06/16 18:32:26.0915 3348        arcsas          (5d6f36c46fd283ae1b57bd2e9feb0bc7) C:\Windows\system32\DRIVERS\arcsas.sys
2011/06/16 18:32:26.0946 3348        AsyncMac        (add2ade1c2b285ab8378d2daaf991481) C:\Windows\system32\DRIVERS\asyncmac.sys
2011/06/16 18:32:26.0977 3348        atapi          (338c86357871c167a96ab976519bf59e) C:\Windows\system32\DRIVERS\atapi.sys
2011/06/16 18:32:27.0024 3348        avgntflt        (47b879406246ffdced59e18d331a0e7d) C:\Windows\system32\DRIVERS\avgntflt.sys
2011/06/16 18:32:27.0039 3348        avipbb          (5fedef54757b34fb611b9ec8fb399364) C:\Windows\system32\DRIVERS\avipbb.sys
2011/06/16 18:32:27.0071 3348        b06bdrv        (1a231abec60fd316ec54c66715543cec) C:\Windows\system32\DRIVERS\bxvbdx.sys
2011/06/16 18:32:27.0102 3348        b57nd60x        (bd8869eb9cde6bbe4508d869929869ee) C:\Windows\system32\DRIVERS\b57nd60x.sys
2011/06/16 18:32:27.0133 3348        Beep            (505506526a9d467307b3c393dedaf858) C:\Windows\system32\drivers\Beep.sys
2011/06/16 18:32:27.0164 3348        blbdrive        (2287078ed48fcfc477b05b20cf38f36f) C:\Windows\system32\DRIVERS\blbdrive.sys
2011/06/16 18:32:27.0227 3348        bowser          (9a5c671b7fbae4865149bb11f59b91b2) C:\Windows\system32\DRIVERS\bowser.sys
2011/06/16 18:32:27.0242 3348        BrFiltLo        (9f9acc7f7ccde8a15c282d3f88b43309) C:\Windows\system32\DRIVERS\BrFiltLo.sys
2011/06/16 18:32:27.0273 3348        BrFiltUp        (56801ad62213a41f6497f96dee83755a) C:\Windows\system32\DRIVERS\BrFiltUp.sys
2011/06/16 18:32:27.0305 3348        Brserid        (845b8ce732e67f3b4133164868c666ea) C:\Windows\System32\Drivers\Brserid.sys
2011/06/16 18:32:27.0320 3348        BrSerWdm        (203f0b1e73adadbbb7b7b1fabd901f6b) C:\Windows\System32\Drivers\BrSerWdm.sys
2011/06/16 18:32:27.0336 3348        BrUsbMdm        (bd456606156ba17e60a04e18016ae54b) C:\Windows\System32\Drivers\BrUsbMdm.sys
2011/06/16 18:32:27.0367 3348        BrUsbSer        (af72ed54503f717a43268b3cc5faec2e) C:\Windows\System32\Drivers\BrUsbSer.sys
2011/06/16 18:32:27.0398 3348        BTHMODEM        (ed3df7c56ce0084eb2034432fc56565a) C:\Windows\system32\DRIVERS\bthmodem.sys
2011/06/16 18:32:27.0507 3348        cdfs            (77ea11b065e0a8ab902d78145ca51e10) C:\Windows\system32\DRIVERS\cdfs.sys
2011/06/16 18:32:27.0570 3348        cdrom          (ba6e70aa0e6091bc39de29477d866a77) C:\Windows\system32\DRIVERS\cdrom.sys
2011/06/16 18:32:27.0585 3348        circlass        (3fe3fe94a34df6fb06e6418d0f6a0060) C:\Windows\system32\DRIVERS\circlass.sys
2011/06/16 18:32:27.0617 3348        CLFS            (635181e0e9bbf16871bf5380d71db02d) C:\Windows\system32\CLFS.sys
2011/06/16 18:32:27.0632 3348        CmBatt          (dea805815e587dad1dd2c502220b5616) C:\Windows\system32\DRIVERS\CmBatt.sys
2011/06/16 18:32:27.0663 3348        cmdide          (c537b1db64d495b9b4717b4d6d9edbf2) C:\Windows\system32\DRIVERS\cmdide.sys
2011/06/16 18:32:27.0695 3348        CNG            (1b675691ed940766149c93e8f4488d68) C:\Windows\system32\Drivers\cng.sys
2011/06/16 18:32:27.0710 3348        Compbatt        (a6023d3823c37043986713f118a89bee) C:\Windows\system32\DRIVERS\compbatt.sys
2011/06/16 18:32:27.0741 3348        CompositeBus    (f1724ba27e97d627f808fb0ba77a28a6) C:\Windows\system32\DRIVERS\CompositeBus.sys
2011/06/16 18:32:27.0773 3348        crcdisk        (2c4ebcfc84a9b44f209dff6c6e6c61d1) C:\Windows\system32\DRIVERS\crcdisk.sys
2011/06/16 18:32:27.0819 3348        DfsC            (8e09e52ee2e3ceb199ef3dd99cf9e3fb) C:\Windows\system32\Drivers\dfsc.sys
2011/06/16 18:32:27.0835 3348        discache        (1a050b0274bfb3890703d490f330c0da) C:\Windows\system32\drivers\discache.sys
2011/06/16 18:32:27.0866 3348        Disk            (565003f326f99802e68ca78f2a68e9ff) C:\Windows\system32\DRIVERS\disk.sys
2011/06/16 18:32:27.0913 3348        drmkaud        (b918e7c5f9bf77202f89e1a9539f2eb4) C:\Windows\system32\drivers\drmkaud.sys
2011/06/16 18:32:27.0960 3348        DXGKrnl        (c94b6c3cc628179cb9b9061c19888b99) C:\Windows\System32\drivers\dxgkrnl.sys
2011/06/16 18:32:28.0053 3348        ebdrv          (024e1b5cac09731e4d868e64dbfb4ab0) C:\Windows\system32\DRIVERS\evbdx.sys
2011/06/16 18:32:28.0131 3348        elxstor        (0ed67910c8c326796faa00b2bf6d9d3c) C:\Windows\system32\DRIVERS\elxstor.sys
2011/06/16 18:32:28.0163 3348        ErrDev          (8fc3208352dd3912c94367a206ab3f11) C:\Windows\system32\DRIVERS\errdev.sys
2011/06/16 18:32:28.0194 3348        exfat          (2dc9108d74081149cc8b651d3a26207f) C:\Windows\system32\drivers\exfat.sys
2011/06/16 18:32:28.0225 3348        fastfat        (7e0ab74553476622fb6ae36f73d97d35) C:\Windows\system32\drivers\fastfat.sys
2011/06/16 18:32:28.0256 3348        fdc            (e817a017f82df2a1f8cfdbda29388b29) C:\Windows\system32\DRIVERS\fdc.sys
2011/06/16 18:32:28.0287 3348        FileInfo        (6cf00369c97f3cf563be99be983d13d8) C:\Windows\system32\drivers\fileinfo.sys
2011/06/16 18:32:28.0303 3348        Filetrace      (42c51dc94c91da21cb9196eb64c45db9) C:\Windows\system32\drivers\filetrace.sys
2011/06/16 18:32:28.0334 3348        flpydisk        (87907aa70cb3c56600f1c2fb8841579b) C:\Windows\system32\DRIVERS\flpydisk.sys
2011/06/16 18:32:28.0350 3348        FltMgr          (7520ec808e0c35e0ee6f841294316653) C:\Windows\system32\drivers\fltmgr.sys
2011/06/16 18:32:28.0381 3348        FsDepends      (1a16b57943853e598cff37fe2b8cbf1d) C:\Windows\system32\drivers\FsDepends.sys
2011/06/16 18:32:28.0412 3348        Fs_Rec          (a574b4360e438977038aae4bf60d79a2) C:\Windows\system32\drivers\Fs_Rec.sys
2011/06/16 18:32:28.0443 3348        fvevol          (dafbd9fe39197495aed6d51f3b85b5d2) C:\Windows\system32\DRIVERS\fvevol.sys
2011/06/16 18:32:28.0475 3348        gagp30kx        (65ee0c7a58b65e74ae05637418153938) C:\Windows\system32\DRIVERS\gagp30kx.sys
2011/06/16 18:32:28.0521 3348        hcw85cir        (c44e3c2bab6837db337ddee7544736db) C:\Windows\system32\drivers\hcw85cir.sys
2011/06/16 18:32:28.0553 3348        HdAudAddService (3530cad25deba7dc7de8bb51632cbc5f) C:\Windows\system32\drivers\HdAudio.sys
2011/06/16 18:32:28.0584 3348        HDAudBus        (717a2207fd6f13ad3e664c7d5a43c7bf) C:\Windows\system32\DRIVERS\HDAudBus.sys
2011/06/16 18:32:28.0631 3348        HidBatt        (1d58a7f3e11a9731d0eaaaa8405acc36) C:\Windows\system32\DRIVERS\HidBatt.sys
2011/06/16 18:32:28.0662 3348        HidBth          (89448f40e6df260c206a193a4683ba78) C:\Windows\system32\DRIVERS\hidbth.sys
2011/06/16 18:32:28.0677 3348        HidIr          (cf50b4cf4a4f229b9f3c08351f99ca5e) C:\Windows\system32\DRIVERS\hidir.sys
2011/06/16 18:32:28.0709 3348        HidUsb          (25072fb35ac90b25f9e4e3bacf774102) C:\Windows\system32\DRIVERS\hidusb.sys
2011/06/16 18:32:28.0755 3348        HpSAMD          (295fdc419039090eb8b49ffdbb374549) C:\Windows\system32\DRIVERS\HpSAMD.sys
2011/06/16 18:32:28.0771 3348        HTTP            (c531c7fd9e8b62021112787c4e2c5a5a) C:\Windows\system32\drivers\HTTP.sys
2011/06/16 18:32:28.0802 3348        hwpolicy        (8305f33cde89ad6c7a0763ed0b5a8d42) C:\Windows\system32\drivers\hwpolicy.sys
2011/06/16 18:32:28.0818 3348        i8042prt        (f151f0bdc47f4a28b1b20a0818ea36d6) C:\Windows\system32\DRIVERS\i8042prt.sys
2011/06/16 18:32:28.0849 3348        iaStorV        (934af4d7c5f457b9f0743f4299b77b67) C:\Windows\system32\DRIVERS\iaStorV.sys
2011/06/16 18:32:29.0052 3348        igfx            (8266ae06df974e5ba047b3e9e9e70b3f) C:\Windows\system32\DRIVERS\igdkmd32.sys
2011/06/16 18:32:29.0177 3348        iirsp          (4173ff5708f3236cf25195fecd742915) C:\Windows\system32\DRIVERS\iirsp.sys
2011/06/16 18:32:29.0286 3348        IntcAzAudAddService (f4427e5df32cde359b2e2e5512d18001) C:\Windows\system32\drivers\RTKVHDA.sys
2011/06/16 18:32:29.0348 3348        IntcHdmiAddService (264632ade8127b7baa2190cf6fad435b) C:\Windows\system32\drivers\IntcHdmi.sys
2011/06/16 18:32:29.0364 3348        intelide        (a0f12f2c9ba6c72f3987ce780e77c130) C:\Windows\system32\DRIVERS\intelide.sys
2011/06/16 18:32:29.0395 3348        intelppm        (3b514d27bfc4accb4037bc6685f766e0) C:\Windows\system32\DRIVERS\intelppm.sys
2011/06/16 18:32:29.0426 3348        IPMIDRV        (e4454b6c37d7ffd5649611f6496308a7) C:\Windows\system32\DRIVERS\IPMIDrv.sys
2011/06/16 18:32:29.0457 3348        IPNAT          (a5fa468d67abcdaa36264e463a7bb0cd) C:\Windows\system32\drivers\ipnat.sys
2011/06/16 18:32:29.0473 3348        IRENUM          (42996cff20a3084a56017b7902307e9f) C:\Windows\system32\drivers\irenum.sys
2011/06/16 18:32:29.0504 3348        isapnp          (1f32bb6b38f62f7df1a7ab7292638a35) C:\Windows\system32\DRIVERS\isapnp.sys
2011/06/16 18:32:29.0535 3348        iScsiPrt        (ed46c223ae46c6866ab77cdc41c404b7) C:\Windows\system32\DRIVERS\msiscsi.sys
2011/06/16 18:32:29.0551 3348        kbdclass        (adef52ca1aeae82b50df86b56413107e) C:\Windows\system32\DRIVERS\kbdclass.sys
2011/06/16 18:32:29.0567 3348        kbdhid          (3d9f0ebf350edcfd6498057301455964) C:\Windows\system32\DRIVERS\kbdhid.sys
2011/06/16 18:32:29.0598 3348        KSecDD          (e36a061ec11b373826905b21be10948f) C:\Windows\system32\Drivers\ksecdd.sys
2011/06/16 18:32:29.0629 3348        KSecPkg        (365c6154bbbc5377173f1ca7bfb6cc59) C:\Windows\system32\Drivers\ksecpkg.sys
2011/06/16 18:32:29.0660 3348        lltdio          (f7611ec07349979da9b0ae1f18ccc7a6) C:\Windows\system32\DRIVERS\lltdio.sys
2011/06/16 18:32:29.0723 3348        LSI_FC          (eb119a53ccf2acc000ac71b065b78fef) C:\Windows\system32\DRIVERS\lsi_fc.sys
2011/06/16 18:32:29.0738 3348        LSI_SAS        (8ade1c877256a22e49b75d1cc9161f9c) C:\Windows\system32\DRIVERS\lsi_sas.sys
2011/06/16 18:32:29.0769 3348        LSI_SAS2        (dc9dc3d3daa0e276fd2ec262e38b11e9) C:\Windows\system32\DRIVERS\lsi_sas2.sys
2011/06/16 18:32:29.0785 3348        LSI_SCSI        (0a036c7d7cab643a7f07135ac47e0524) C:\Windows\system32\DRIVERS\lsi_scsi.sys
2011/06/16 18:32:29.0816 3348        luafv          (6703e366cc18d3b6e534f5cf7df39cee) C:\Windows\system32\drivers\luafv.sys
2011/06/16 18:32:29.0894 3348        megasas        (0fff5b045293002ab38eb1fd1fc2fb74) C:\Windows\system32\DRIVERS\megasas.sys
2011/06/16 18:32:29.0925 3348        MegaSR          (dcbab2920c75f390caf1d29f675d03d6) C:\Windows\system32\DRIVERS\MegaSR.sys
2011/06/16 18:32:29.0988 3348        mod7700        (e821a366aa77f6e4f76056f35f76dee8) C:\Windows\system32\DRIVERS\dvb7700all.sys
2011/06/16 18:32:30.0019 3348        Modem          (f001861e5700ee84e2d4e52c712f4964) C:\Windows\system32\drivers\modem.sys
2011/06/16 18:32:30.0035 3348        monitor        (79d10964de86b292320e9dfe02282a23) C:\Windows\system32\DRIVERS\monitor.sys
2011/06/16 18:32:30.0081 3348        mouclass        (fb18cc1d4c2e716b6b903b0ac0cc0609) C:\Windows\system32\DRIVERS\mouclass.sys
2011/06/16 18:32:30.0113 3348        mouhid          (2c388d2cd01c9042596cf3c8f3c7b24d) C:\Windows\system32\DRIVERS\mouhid.sys
2011/06/16 18:32:30.0128 3348        mountmgr        (921c18727c5920d6c0300736646931c2) C:\Windows\system32\drivers\mountmgr.sys
2011/06/16 18:32:30.0175 3348        mpio            (2af5997438c55fb79d33d015c30e1974) C:\Windows\system32\DRIVERS\mpio.sys
2011/06/16 18:32:30.0191 3348        mpsdrv          (ad2723a7b53dd1aacae6ad8c0bfbf4d0) C:\Windows\system32\drivers\mpsdrv.sys
2011/06/16 18:32:30.0206 3348        MRxDAV          (b1be47008d20e43da3adc37c24cdb89d) C:\Windows\system32\drivers\mrxdav.sys
2011/06/16 18:32:30.0253 3348        mrxsmb          (b4c76ef46322a9711c7b0f4e21ef6ea5) C:\Windows\system32\DRIVERS\mrxsmb.sys
2011/06/16 18:32:30.0300 3348        mrxsmb10        (e593d45024a3fdd11e93cc4a6ca91101) C:\Windows\system32\DRIVERS\mrxsmb10.sys
2011/06/16 18:32:30.0315 3348        mrxsmb20        (a9f86c82c9cc3b679cc3957e1183a30f) C:\Windows\system32\DRIVERS\mrxsmb20.sys
2011/06/16 18:32:30.0331 3348        msahci          (4326d168944123f38dd3b2d9c37a0b12) C:\Windows\system32\DRIVERS\msahci.sys
2011/06/16 18:32:30.0362 3348        msdsm          (455029c7174a2dbb03dba8a0d8bddd9a) C:\Windows\system32\DRIVERS\msdsm.sys
2011/06/16 18:32:30.0393 3348        Msfs            (daefb28e3af5a76abcc2c3078c07327f) C:\Windows\system32\drivers\Msfs.sys
2011/06/16 18:32:30.0409 3348        mshidkmdf      (3e1e5767043c5af9367f0056295e9f84) C:\Windows\System32\drivers\mshidkmdf.sys
2011/06/16 18:32:30.0425 3348        msisadrv        (0a4e5757ae09fa9622e3158cc1aef114) C:\Windows\system32\DRIVERS\msisadrv.sys
2011/06/16 18:32:30.0471 3348        MSKSSRV        (8c0860d6366aaffb6c5bb9df9448e631) C:\Windows\system32\drivers\MSKSSRV.sys
2011/06/16 18:32:30.0487 3348        MSPCLOCK        (3ea8b949f963562cedbb549eac0c11ce) C:\Windows\system32\drivers\MSPCLOCK.sys
2011/06/16 18:32:30.0503 3348        MSPQM          (f456e973590d663b1073e9c463b40932) C:\Windows\system32\drivers\MSPQM.sys
2011/06/16 18:32:30.0534 3348        MsRPC          (0e008fc4819d238c51d7c93e7b41e560) C:\Windows\system32\drivers\MsRPC.sys
2011/06/16 18:32:30.0565 3348        mssmbios        (fc6b9ff600cc585ea38b12589bd4e246) C:\Windows\system32\DRIVERS\mssmbios.sys
2011/06/16 18:32:30.0581 3348        MSTEE          (b42c6b921f61a6e55159b8be6cd54a36) C:\Windows\system32\drivers\MSTEE.sys
2011/06/16 18:32:30.0596 3348        MTConfig        (33599130f44e1f34631cea241de8ac84) C:\Windows\system32\DRIVERS\MTConfig.sys
2011/06/16 18:32:30.0627 3348        Mup            (159fad02f64e6381758c990f753bcc80) C:\Windows\system32\Drivers\mup.sys
2011/06/16 18:32:30.0659 3348        NativeWifiP    (26384429fcd85d83746f63e798ab1480) C:\Windows\system32\DRIVERS\nwifi.sys
2011/06/16 18:32:30.0690 3348        NDIS            (23759d175a0a9baaf04d05047bc135a8) C:\Windows\system32\drivers\ndis.sys
2011/06/16 18:32:30.0721 3348        NdisCap        (0e1787aa6c9191d3d319e8bafe86f80c) C:\Windows\system32\DRIVERS\ndiscap.sys
2011/06/16 18:32:30.0752 3348        NdisTapi        (e4a8aec125a2e43a9e32afeea7c9c888) C:\Windows\system32\DRIVERS\ndistapi.sys
2011/06/16 18:32:30.0768 3348        Ndisuio        (b30ae7f2b6d7e343b0df32e6c08fce75) C:\Windows\system32\DRIVERS\ndisuio.sys
2011/06/16 18:32:30.0799 3348        NdisWan        (267c415eadcbe53c9ca873dee39cf3a4) C:\Windows\system32\DRIVERS\ndiswan.sys
2011/06/16 18:32:30.0830 3348        NDNdisprot      (8f619cc242442dfa6d42a8227866fd57) C:\Windows\system32\DRIVERS\ndndisprot.sys
2011/06/16 18:32:30.0861 3348        NDProxy        (af7e7c63dcef3f8772726f86039d6eb4) C:\Windows\system32\drivers\NDProxy.sys
2011/06/16 18:32:30.0877 3348        NetBIOS        (80b275b1ce3b0e79909db7b39af74d51) C:\Windows\system32\DRIVERS\netbios.sys
2011/06/16 18:32:30.0893 3348        NetBT          (dd52a733bf4ca5af84562a5e2f963b91) C:\Windows\system32\DRIVERS\netbt.sys
2011/06/16 18:32:30.0955 3348        nfrd960        (1d85c4b390b0ee09c7a46b91efb2c097) C:\Windows\system32\DRIVERS\nfrd960.sys
2011/06/16 18:32:31.0002 3348        Npfs            (1db262a9f8c087e8153d89bef3d2235f) C:\Windows\system32\drivers\Npfs.sys
2011/06/16 18:32:31.0033 3348        nsiproxy        (e9a0a4d07e53d8fea2bb8387a3293c58) C:\Windows\system32\drivers\nsiproxy.sys
2011/06/16 18:32:31.0080 3348        Ntfs            (3795dcd21f740ee799fb7223234215af) C:\Windows\system32\drivers\Ntfs.sys
2011/06/16 18:32:31.0111 3348        Null            (f9756a98d69098dca8945d62858a812c) C:\Windows\system32\drivers\Null.sys
2011/06/16 18:32:31.0127 3348        nvraid          (3f3d04b1d08d43c16ea7963954ec768d) C:\Windows\system32\DRIVERS\nvraid.sys
2011/06/16 18:32:31.0158 3348        nvstor          (c99f251a5de63c6f129cf71933aced0f) C:\Windows\system32\DRIVERS\nvstor.sys
2011/06/16 18:32:31.0173 3348        nv_agp          (5a0983915f02bae73267cc2a041f717d) C:\Windows\system32\DRIVERS\nv_agp.sys
2011/06/16 18:32:31.0205 3348        ohci1394        (08a70a1f2cdde9bb49b885cb817a66eb) C:\Windows\system32\DRIVERS\ohci1394.sys
2011/06/16 18:32:31.0267 3348        Parport        (2ea877ed5dd9713c5ac74e8ea7348d14) C:\Windows\system32\DRIVERS\parport.sys
2011/06/16 18:32:31.0298 3348        partmgr        (ff4218952b51de44fe910953a3e686b9) C:\Windows\system32\drivers\partmgr.sys
2011/06/16 18:32:31.0314 3348        Parvdm          (eb0a59f29c19b86479d36b35983daadc) C:\Windows\system32\DRIVERS\parvdm.sys
2011/06/16 18:32:31.0345 3348        pci            (c858cb77c577780ecc456a892e7e7d0f) C:\Windows\system32\DRIVERS\pci.sys
2011/06/16 18:32:31.0361 3348        pciide          (afe86f419014db4e5593f69ffe26ce0a) C:\Windows\system32\DRIVERS\pciide.sys
2011/06/16 18:32:31.0376 3348        pcmcia          (f396431b31693e71e8a80687ef523506) C:\Windows\system32\DRIVERS\pcmcia.sys
2011/06/16 18:32:31.0392 3348        pcw            (250f6b43d2b613172035c6747aeeb19f) C:\Windows\system32\drivers\pcw.sys
2011/06/16 18:32:31.0423 3348        PEAUTH          (9e0104ba49f4e6973749a02bf41344ed) C:\Windows\system32\drivers\peauth.sys
2011/06/16 18:32:31.0501 3348        PptpMiniport    (631e3e205ad6d86f2aed6a4a8e69f2db) C:\Windows\system32\DRIVERS\raspptp.sys
2011/06/16 18:32:31.0532 3348        Processor      (85b1e3a0c7585bc4aae6899ec6fcf011) C:\Windows\system32\DRIVERS\processr.sys
2011/06/16 18:32:31.0563 3348        Psched          (6270ccae2a86de6d146529fe55b3246a) C:\Windows\system32\DRIVERS\pacer.sys
2011/06/16 18:32:31.0610 3348        ql2300          (ab95ecf1f6659a60ddc166d8315b0751) C:\Windows\system32\DRIVERS\ql2300.sys
2011/06/16 18:32:31.0657 3348        ql40xx          (b4dd51dd25182244b86737dc51af2270) C:\Windows\system32\DRIVERS\ql40xx.sys
2011/06/16 18:32:31.0688 3348        QWAVEdrv        (584078ca1b95ca72df2a27c336f9719d) C:\Windows\system32\drivers\qwavedrv.sys
2011/06/16 18:32:31.0704 3348        RasAcd          (30a81b53c766d0133bb86d234e5556ab) C:\Windows\system32\DRIVERS\rasacd.sys
2011/06/16 18:32:31.0735 3348        RasAgileVpn    (57ec4aef73660166074d8f7f31c0d4fd) C:\Windows\system32\DRIVERS\AgileVpn.sys
2011/06/16 18:32:31.0751 3348        Rasl2tp        (d9f91eafec2815365cbe6d167e4e332a) C:\Windows\system32\DRIVERS\rasl2tp.sys
2011/06/16 18:32:31.0782 3348        RasPppoe        (0fe8b15916307a6ac12bfb6a63e45507) C:\Windows\system32\DRIVERS\raspppoe.sys
2011/06/16 18:32:31.0797 3348        RasSstp        (44101f495a83ea6401d886e7fd70096b) C:\Windows\system32\DRIVERS\rassstp.sys
2011/06/16 18:32:31.0829 3348        rdbss          (835d7e81bf517a3b72384bdcc85e1ce6) C:\Windows\system32\DRIVERS\rdbss.sys
2011/06/16 18:32:31.0860 3348        rdpbus          (0d8f05481cb76e70e1da06ee9f0da9df) C:\Windows\system32\DRIVERS\rdpbus.sys
2011/06/16 18:32:31.0875 3348        RDPCDD          (1e016846895b15a99f9a176a05029075) C:\Windows\system32\DRIVERS\RDPCDD.sys
2011/06/16 18:32:31.0891 3348        RDPENCDD        (5a53ca1598dd4156d44196d200c94b8a) C:\Windows\system32\drivers\rdpencdd.sys
2011/06/16 18:32:31.0922 3348        RDPREFMP        (44b0a53cd4f27d50ed461dae0c0b4e1f) C:\Windows\system32\drivers\rdprefmp.sys
2011/06/16 18:32:31.0938 3348        RDPWD          (801371ba9782282892d00aadb08ee367) C:\Windows\system32\drivers\RDPWD.sys
2011/06/16 18:32:31.0969 3348        rdyboost        (4ea225bf1cf05e158853f30a99ca29a7) C:\Windows\system32\drivers\rdyboost.sys
2011/06/16 18:32:32.0016 3348        rspndr          (032b0d36ad92b582d869879f5af5b928) C:\Windows\system32\DRIVERS\rspndr.sys
2011/06/16 18:32:32.0063 3348        RTL8167        (bcebd5d1aabce4efb7597635e347c44b) C:\Windows\system32\DRIVERS\Rt86win7.sys
2011/06/16 18:32:32.0109 3348        RTL8192su      (51adef77e4c929535fd50da153774e79) C:\Windows\system32\DRIVERS\RTL8192su.sys
2011/06/16 18:32:32.0187 3348        SASDIFSV        (a3281aec37e0720a2bc28034c2df2a56) C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS
2011/06/16 18:32:32.0203 3348        SASKUTIL        (61db0d0756a99506207fd724e3692b25) C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS
2011/06/16 18:32:32.0250 3348        sbp2port        (34ee0c44b724e3e4ce2eff29126de5b5) C:\Windows\system32\DRIVERS\sbp2port.sys
2011/06/16 18:32:32.0281 3348        scfilter        (a95c54b2ac3cc9c73fcdf9e51a1d6b51) C:\Windows\system32\DRIVERS\scfilter.sys
2011/06/16 18:32:32.0328 3348        secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\Windows\system32\drivers\secdrv.sys
2011/06/16 18:32:32.0359 3348        Serenum        (9ad8b8b515e3df6acd4212ef465de2d1) C:\Windows\system32\DRIVERS\serenum.sys
2011/06/16 18:32:32.0390 3348        Serial          (5fb7fcea0490d821f26f39cc5ea3d1e2) C:\Windows\system32\DRIVERS\serial.sys
2011/06/16 18:32:32.0406 3348        sermouse        (79bffb520327ff916a582dfea17aa813) C:\Windows\system32\DRIVERS\sermouse.sys
2011/06/16 18:32:32.0437 3348        sffdisk        (9f976e1eb233df46fce808d9dea3eb9c) C:\Windows\system32\DRIVERS\sffdisk.sys
2011/06/16 18:32:32.0453 3348        sffp_mmc        (932a68ee27833cfd57c1639d375f2731) C:\Windows\system32\DRIVERS\sffp_mmc.sys
2011/06/16 18:32:32.0468 3348        sffp_sd        (a0708bbd07d245c06ff9de549ca47185) C:\Windows\system32\DRIVERS\sffp_sd.sys
2011/06/16 18:32:32.0499 3348        sfloppy        (db96666cc8312ebc45032f30b007a547) C:\Windows\system32\DRIVERS\sfloppy.sys
2011/06/16 18:32:32.0531 3348        sisagp          (2565cac0dc9fe0371bdce60832582b2e) C:\Windows\system32\DRIVERS\sisagp.sys
2011/06/16 18:32:32.0546 3348        SiSRaid2        (a9f0486851becb6dda1d89d381e71055) C:\Windows\system32\DRIVERS\SiSRaid2.sys
2011/06/16 18:32:32.0577 3348        SiSRaid4        (3727097b55738e2f554972c3be5bc1aa) C:\Windows\system32\DRIVERS\sisraid4.sys
2011/06/16 18:32:32.0609 3348        Smb            (3e21c083b8a01cb70ba1f09303010fce) C:\Windows\system32\DRIVERS\smb.sys
2011/06/16 18:32:32.0640 3348        spldr          (95cf1ae7527fb70f7816563cbc09d942) C:\Windows\system32\drivers\spldr.sys
2011/06/16 18:32:32.0687 3348        srv            (4a9b0f215de2519e2363f91df25c1e97) C:\Windows\system32\DRIVERS\srv.sys
2011/06/16 18:32:32.0733 3348        srv2            (14c44875518ae1c982e54ea8c5f7fe28) C:\Windows\system32\DRIVERS\srv2.sys
2011/06/16 18:32:32.0749 3348        srvnet          (07a14223b0a50e76ade003fdf95d4fec) C:\Windows\system32\DRIVERS\srvnet.sys
2011/06/16 18:32:32.0811 3348        ssmdrv          (a36ee93698802cd899f98bfd553d8185) C:\Windows\system32\DRIVERS\ssmdrv.sys
2011/06/16 18:32:32.0843 3348        stexstor        (db32d325c192b801df274bfd12a7e72b) C:\Windows\system32\DRIVERS\stexstor.sys
2011/06/16 18:32:32.0858 3348        swenum          (e58c78a848add9610a4db6d214af5224) C:\Windows\system32\DRIVERS\swenum.sys
2011/06/16 18:32:32.0952 3348        Tcpip          (bb7f39c31c4a4417fd318e7cd184e225) C:\Windows\system32\drivers\tcpip.sys
2011/06/16 18:32:32.0983 3348        TCPIP6          (bb7f39c31c4a4417fd318e7cd184e225) C:\Windows\system32\DRIVERS\tcpip.sys
2011/06/16 18:32:33.0014 3348        tcpipreg        (e64444523add154f86567c469bc0b17f) C:\Windows\system32\drivers\tcpipreg.sys
2011/06/16 18:32:33.0045 3348        TDPIPE          (1875c1490d99e70e449e3afae9fcbadf) C:\Windows\system32\drivers\tdpipe.sys
2011/06/16 18:32:33.0061 3348        TDTCP          (7551e91ea999ee9a8e9c331d5a9c31f3) C:\Windows\system32\drivers\tdtcp.sys
2011/06/16 18:32:33.0077 3348        tdx            (cb39e896a2a83702d1737bfd402b3542) C:\Windows\system32\DRIVERS\tdx.sys
2011/06/16 18:32:33.0092 3348        TermDD          (c36f41ee20e6999dbf4b0425963268a5) C:\Windows\system32\DRIVERS\termdd.sys
2011/06/16 18:32:33.0139 3348        tssecsrv        (98ae6fa07d12cb4ec5cf4a9bfa5f4242) C:\Windows\system32\DRIVERS\tssecsrv.sys
2011/06/16 18:32:33.0170 3348        tunnel          (3e461d890a97f9d4c168f5fda36e1d00) C:\Windows\system32\DRIVERS\tunnel.sys
2011/06/16 18:32:33.0186 3348        uagp35          (750fbcb269f4d7dd2e420c56b795db6d) C:\Windows\system32\DRIVERS\uagp35.sys
2011/06/16 18:32:33.0217 3348        udfs            (09cc3e16f8e5ee7168e01cf8fcbe061a) C:\Windows\system32\DRIVERS\udfs.sys
2011/06/16 18:32:33.0264 3348        uliagpkx        (44e8048ace47befbfdc2e9be4cbc8880) C:\Windows\system32\DRIVERS\uliagpkx.sys
2011/06/16 18:32:33.0279 3348        umbus          (049b3a50b3d646baeeee9eec9b0668dc) C:\Windows\system32\DRIVERS\umbus.sys
2011/06/16 18:32:33.0295 3348        UmPass          (7550ad0c6998ba1cb4843e920ee0feac) C:\Windows\system32\DRIVERS\umpass.sys
2011/06/16 18:32:33.0326 3348        usbccgp        (8455c4ed038efd09e99327f9d2d48ffa) C:\Windows\system32\DRIVERS\usbccgp.sys
2011/06/16 18:32:33.0342 3348        usbcir          (04ec7cec62ec3b6d9354eee93327fc82) C:\Windows\system32\DRIVERS\usbcir.sys
2011/06/16 18:32:33.0373 3348        usbehci        (ff32d4f3ec3c68b2ca61782c7964f54e) C:\Windows\system32\DRIVERS\usbehci.sys
2011/06/16 18:32:33.0389 3348        usbhub          (b0dfc7b484e0ca0c27bda5433b82d94a) C:\Windows\system32\DRIVERS\usbhub.sys
2011/06/16 18:32:33.0404 3348        usbohci        (a6fb7957ea7afb1165991e54ce934b74) C:\Windows\system32\DRIVERS\usbohci.sys
2011/06/16 18:32:33.0435 3348        usbprint        (797d862fe0875e75c7cc4c1ad7b30252) C:\Windows\system32\DRIVERS\usbprint.sys
2011/06/16 18:32:33.0482 3348        usbscan        (576096ccbc07e7c4ea4f5e6686d6888f) C:\Windows\system32\DRIVERS\usbscan.sys
2011/06/16 18:32:33.0529 3348        USBSTOR        (d8889d56e0d27e57ed4591837fe71d27) C:\Windows\system32\DRIVERS\USBSTOR.SYS
2011/06/16 18:32:33.0545 3348        usbuhci        (78780c3ebce17405b1ccd07a3a8a7d72) C:\Windows\system32\DRIVERS\usbuhci.sys
2011/06/16 18:32:33.0560 3348        vdrvroot        (a059c4c3edb09e07d21a8e5c0aabd3cb) C:\Windows\system32\DRIVERS\vdrvroot.sys
2011/06/16 18:32:33.0591 3348        vga            (17c408214ea61696cec9c66e388b14f3) C:\Windows\system32\DRIVERS\vgapnp.sys
2011/06/16 18:32:33.0607 3348        VgaSave        (8e38096ad5c8570a6f1570a61e251561) C:\Windows\System32\drivers\vga.sys
2011/06/16 18:32:33.0638 3348        vhdmp          (3be6e1f3a4f1afec8cee0d7883f93583) C:\Windows\system32\DRIVERS\vhdmp.sys
2011/06/16 18:32:33.0669 3348        viaagp          (c829317a37b4bea8f39735d4b076e923) C:\Windows\system32\DRIVERS\viaagp.sys
2011/06/16 18:32:33.0685 3348        ViaC7          (e02f079a6aa107f06b16549c6e5c7b74) C:\Windows\system32\DRIVERS\viac7.sys
2011/06/16 18:32:33.0701 3348        viaide          (e43574f6a56a0ee11809b48c09e4fd3c) C:\Windows\system32\DRIVERS\viaide.sys
2011/06/16 18:32:33.0716 3348        volmgr          (384e5a2aa49934295171e499f86ba6f3) C:\Windows\system32\DRIVERS\volmgr.sys
2011/06/16 18:32:33.0747 3348        volmgrx        (b5bb72067ddddbbfb04b2f89ff8c3c87) C:\Windows\system32\drivers\volmgrx.sys
2011/06/16 18:32:33.0779 3348        volsnap        (7c28b63e4c9e5c3be7ffe53789593619) C:\Windows\system32\DRIVERS\volsnap.sys
2011/06/16 18:32:33.0779 3348        Suspicious file (Forged): C:\Windows\system32\DRIVERS\volsnap.sys. Real md5: 7c28b63e4c9e5c3be7ffe53789593619, Fake md5: 58df9d2481a56edde167e51b334d44fd
2011/06/16 18:32:33.0779 3348        volsnap - detected Rootkit.Win32.TDSS.tdl3 (0)
2011/06/16 18:32:33.0794 3348        vsmraid        (9dfa0cc2f8855a04816729651175b631) C:\Windows\system32\DRIVERS\vsmraid.sys
2011/06/16 18:32:33.0825 3348        vwifibus        (90567b1e658001e79d7c8bbd3dde5aa6) C:\Windows\System32\drivers\vwifibus.sys
2011/06/16 18:32:33.0857 3348        vwififlt        (7090d3436eeb4e7da3373090a23448f7) C:\Windows\system32\DRIVERS\vwififlt.sys
2011/06/16 18:32:33.0872 3348        vwifimp        (a3f04cbea6c2a10e6cb01f8b47611882) C:\Windows\system32\DRIVERS\vwifimp.sys
2011/06/16 18:32:33.0919 3348        WacomPen        (de3721e89c653aa281428c8a69745d90) C:\Windows\system32\DRIVERS\wacompen.sys
2011/06/16 18:32:33.0935 3348        WANARP          (692a712062146e96d28ba0b7d75de31b) C:\Windows\system32\DRIVERS\wanarp.sys
2011/06/16 18:32:33.0950 3348        Wanarpv6        (692a712062146e96d28ba0b7d75de31b) C:\Windows\system32\DRIVERS\wanarp.sys
2011/06/16 18:32:34.0013 3348        Wd              (1112a9badacb47b7c0bb0392e3158dff) C:\Windows\system32\DRIVERS\wd.sys
2011/06/16 18:32:34.0044 3348        Wdf01000        (9950e3d0f08141c7e89e64456ae7dc73) C:\Windows\system32\drivers\Wdf01000.sys
2011/06/16 18:32:34.0091 3348        WfpLwf          (8b9a943f3b53861f2bfaf6c186168f79) C:\Windows\system32\DRIVERS\wfplwf.sys
2011/06/16 18:32:34.0106 3348        WIMMount        (5cf95b35e59e2a38023836fff31be64c) C:\Windows\system32\drivers\wimmount.sys
2011/06/16 18:32:34.0184 3348        WinUsb          (30fc6e5448d0cbaaa95280eeef7fedae) C:\Windows\system32\DRIVERS\WinUsb.sys
2011/06/16 18:32:34.0231 3348        WmiAcpi        (0217679b8fca58714c3bf2726d2ca84e) C:\Windows\system32\DRIVERS\wmiacpi.sys
2011/06/16 18:32:34.0278 3348        ws2ifsl        (6db3276587b853bf886b69528fdb048c) C:\Windows\system32\drivers\ws2ifsl.sys
2011/06/16 18:32:34.0309 3348        WudfPf          (6f9b6c0c93232cff47d0f72d6db1d21e) C:\Windows\system32\drivers\WudfPf.sys
2011/06/16 18:32:34.0340 3348        WUDFRd          (f91ff1e51fca30b3c3981db7d5924252) C:\Windows\system32\DRIVERS\WUDFRd.sys
2011/06/16 18:32:34.0387 3348        MBR (0x1B8)    (01c6ae8eadd5f5b4c22dd5848d9cb4b9) \Device\Harddisk0\DR0
2011/06/16 18:32:34.0449 3348        ================================================================================
2011/06/16 18:32:34.0449 3348        Scan finished
2011/06/16 18:32:34.0449 3348        ================================================================================
2011/06/16 18:32:34.0465 3832        Detected object count: 1
2011/06/16 18:32:34.0465 3832        Actual detected object count: 1
2011/06/16 18:33:37.0598 3832        volsnap        (7c28b63e4c9e5c3be7ffe53789593619) C:\Windows\system32\DRIVERS\volsnap.sys
2011/06/16 18:33:37.0598 3832        Suspicious file (Forged): C:\Windows\system32\DRIVERS\volsnap.sys. Real md5: 7c28b63e4c9e5c3be7ffe53789593619, Fake md5: 58df9d2481a56edde167e51b334d44fd
2011/06/16 18:33:38.0425 3832        Backup copy found, using it..
2011/06/16 18:33:38.0425 3832        C:\Windows\system32\DRIVERS\volsnap.sys - will be cured after reboot
2011/06/16 18:33:38.0425 3832        Rootkit.Win32.TDSS.tdl3(volsnap) - User select action: Cure
2011/06/16 18:34:30.0560 3300        Deinitialize success
Neustart, super, auch keine IE Prozesse mehr.
Fast fertig, oder?

:Boogie: Bis hierher schon mal einen großen Dank! :abklatsch: :party:

(Bin fast wieder entspannt)

Habe gerade den flash player auf youtube getestet, musik ist auch wieder zu hören, meine Tochter wird sich freuen!!

(Bin wieder weniger entspannt :crazy: )

Für ganz später: Welche Viren / Trojaner Schutzprogramme sind zu empfehlen / zu installieren?

Gruß, Stefan

M-K-D-B 16.06.2011 18:27
Hallo Stefan,




Zitat:
Zitat von sbie (Beitrag 673150)
Von dort habe ich dann den tdsskiller zip geladen, entpackt und läuuuffft!.
Die exe hat nun eine andere Größe.
Du hast dir anscheinend gerade die neueste Version heruntergeladen. :daumenhoc



Zitat:
Zitat von sbie (Beitrag 673150)
Neustart, super, auch keine IE Prozesse mehr.
Zitat:
Zitat von sbie (Beitrag 673150)
2011/06/16 18:32:33.0779 3348 Suspicious file (Forged): C:\Windows\system32\DRIVERS\volsnap.sys. Real md5: 7c28b63e4c9e5c3be7ffe53789593619, Fake md5: 58df9d2481a56edde167e51b334d44fd
2011/06/16 18:32:33.0779 3348 volsnap - detected Rootkit.Win32.TDSS.tdl3 (0)
Das TDSS Rootkit hat den TDSS Killer blockiert, war für die Umleitungen und für die beiden IE Prozesse verantwortlich.
Sieht so aus, als hätte der TDSS Killer das Ding zur Strecke gebracht. :kloppen:


Zitat:
Zitat von sbie (Beitrag 673150)
Fast fertig, oder?
Ja fast.
Da dein Rechner sehr start infiziert war, kommen abschließend noch ein paar Kontrollscans und Updates. Sollten diese unauffällig sein, so räumen wir die verwendeten Tools beim nächsten Mal auf und ich gebe dir noch ein paar wertvolle Tipps. Wir habens bald geschafft! :daumenhoc





Schritt # 1: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)
  • Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.




Schritt # 2: Java deinstallieren/neu installieren
  • Schließe alle Internet Browser.
  • Folge dem Pfad: Start -> Systemsteuerung -> Programme deinstallieren
  • Deinstalliere bitte Java(TM) 6 Update 20
  • Lade dir anschließend Java(TM) 6 Update 26 von hier auf deinen Desktop.
  • Installiere anschließend die neue Version mit Rechtsklick -> Als Administrator ausführen




Schritt # 3: Wichtige Updates
  • Deinstalliere bitte deine aktuelle Version von Adobe Reader:
    Start --> Systemsteuerung --> Programme deinstallieren --> Adobe Reader
    und lade dir die neue Version von Hier herunter.
  • Entferne den Hacken für den McAfee SecurityScan.




Schritt # 4: TDSS Killer ausführen
  • Schließe alle laufenden Programme.
  • Trenne dich von Internet.
  • Deaktiviere deine AntiViren Software.
  • Starte TDSSkiller.exe mit Doppelklick.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Drücke auf Start scan.
    Mache während dem Scan nichts am Rechner
    1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
    2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
      Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
  • Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
  • Bitte poste mir den Inhalt hier in deinen Thread.




Schritt # 5: aswMBR.exe ausführen
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Klicke auf Scan
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 6: ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
  • Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
  • Dein Anti-Virus-Programm während des Scans deaktivieren.

    Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
    • Firefox-User:
      Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
    • IE-User:
      müssen das Installieren eines ActiveX Elements erlauben.
  • Setze den einen Hacken bei Yes, i accept the Terms of Use.
  • Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
  • Warte bis die Komponenten herunter geladen wurden.
  • Setze einen Haken bei "Scan archives".
  • Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
  • http://img707.imageshack.us/img707/687/starteg.jpg drücken.
  • Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.
Wenn der Scan beendet wurde
  • Klicke Finish.
  • Browser schließen.
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Code:
"%ProgramFiles%\Eset\Eset Online Scanner\log.txt"
Poste nun den Inhalt der log.txt.





Schritt # 7: Durchführung einer Sicherheitskontrolle
Downloade Dir bitte SecurityCheck
  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.
  • Poste den Inhalt bitte hier.




Schritt # 8: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • das Logfile von MBAM,
  • das Logfile des TDSS-Killers,
  • das Logfile von aswMBR,
  • das Logfile des ESET Online Scanners und
  • das Logfile von SecurityCheck.

sbie 17.06.2011 06:15
Moin M-K-D-B,

Zitat:
Zitat von M-K-D-B (Beitrag 673156)
Schritt # 1: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)
Noch 3 böse Einträge.
Log ist hier:
Code:
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6872

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

16.06.2011 20:27:53
mbam-log-2011-06-16 (20-27-53).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 219789
Laufzeit: 2 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\Recycle.Bin\recycle.bin.exe (Trojan.SpyEyes) -> Quarantined and deleted successfully.
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.
Zitat:
Zitat von M-K-D-B (Beitrag 673156)
[B][COLOR="Blue"][SIZE="3"]Schritt # 2: Java deinstallieren/neu installieren
Fertig

Zitat:
Zitat von M-K-D-B (Beitrag 673156)
[B]Schritt # 3: Wichtige Updates[*]Entferne den Hacken für den McAfee SecurityScan.
Fertig

Zitat:
Zitat von M-K-D-B (Beitrag 673156)
Schritt # 4: TDSS Killer ausführen
Log ist hier:
Log hier:
Code:
2011/06/16 21:58:59.0952 2428        TDSS rootkit removing tool 2.5.5.0 Jun 16 2011 15:25:15
2011/06/16 21:58:59.0968 2428        ================================================================================
2011/06/16 21:58:59.0968 2428        SystemInfo:
2011/06/16 21:58:59.0968 2428       
2011/06/16 21:58:59.0968 2428        OS Version: 6.1.7600 ServicePack: 0.0
2011/06/16 21:58:59.0968 2428        Product type: Workstation
2011/06/16 21:58:59.0968 2428        ComputerName: MEDIONE4100D
2011/06/16 21:58:59.0968 2428        UserName: xxxxx
2011/06/16 21:58:59.0968 2428        Windows directory: C:\Windows
2011/06/16 21:58:59.0968 2428        System windows directory: C:\Windows
2011/06/16 21:58:59.0968 2428        Processor architecture: Intel x86
2011/06/16 21:58:59.0968 2428        Number of processors: 2
2011/06/16 21:58:59.0968 2428        Page size: 0x1000
2011/06/16 21:58:59.0968 2428        Boot type: Normal boot
2011/06/16 21:58:59.0968 2428        ================================================================================
2011/06/16 21:59:00.0966 2428        Initialize success
2011/06/16 21:59:21.0028 1232        ================================================================================
2011/06/16 21:59:21.0028 1232        Scan started
2011/06/16 21:59:21.0028 1232        Mode: Manual;
2011/06/16 21:59:21.0028 1232        ================================================================================
2011/06/16 21:59:23.0259 1232        1394ohci        (6d2aca41739bfe8cb86ee8e85f29697d) C:\Windows\system32\DRIVERS\1394ohci.sys
2011/06/16 21:59:23.0290 1232        ACPI            (f0e07d144c8685b8774bc32fc8da4df0) C:\Windows\system32\DRIVERS\ACPI.sys
2011/06/16 21:59:23.0321 1232        AcpiPmi        (98d81ca942d19f7d9153b095162ac013) C:\Windows\system32\DRIVERS\acpipmi.sys
2011/06/16 21:59:23.0368 1232        adp94xx        (21e785ebd7dc90a06391141aac7892fb) C:\Windows\system32\DRIVERS\adp94xx.sys
2011/06/16 21:59:23.0384 1232        adpahci        (0c676bc278d5b59ff5abd57bbe9123f2) C:\Windows\system32\DRIVERS\adpahci.sys
2011/06/16 21:59:23.0415 1232        adpu320        (7c7b5ee4b7b822ec85321fe23a27db33) C:\Windows\system32\DRIVERS\adpu320.sys
2011/06/16 21:59:23.0477 1232        AFD            (ddc040fdb01ef1712a6b13e52afb104c) C:\Windows\system32\drivers\afd.sys
2011/06/16 21:59:23.0524 1232        agp440          (507812c3054c21cef746b6ee3d04dd6e) C:\Windows\system32\DRIVERS\agp440.sys
2011/06/16 21:59:23.0555 1232        aic78xx        (8b30250d573a8f6b4bd23195160d8707) C:\Windows\system32\DRIVERS\djsvs.sys
2011/06/16 21:59:23.0586 1232        aliide          (0d40bcf52ea90fc7df2aeab6503dea44) C:\Windows\system32\DRIVERS\aliide.sys
2011/06/16 21:59:23.0618 1232        amdagp          (3c6600a0696e90a463771c7422e23ab5) C:\Windows\system32\DRIVERS\amdagp.sys
2011/06/16 21:59:23.0633 1232        amdide          (cd5914170297126b6266860198d1d4f0) C:\Windows\system32\DRIVERS\amdide.sys
2011/06/16 21:59:23.0680 1232        AmdK8          (00dda200d71bac534bf56a9db5dfd666) C:\Windows\system32\DRIVERS\amdk8.sys
2011/06/16 21:59:23.0696 1232        AmdPPM          (3cbf30f5370fda40dd3e87df38ea53b6) C:\Windows\system32\DRIVERS\amdppm.sys
2011/06/16 21:59:23.0727 1232        amdsata        (2101a86c25c154f8314b24ef49d7fbc2) C:\Windows\system32\DRIVERS\amdsata.sys
2011/06/16 21:59:23.0758 1232        amdsbs          (ea43af0c423ff267355f74e7a53bdaba) C:\Windows\system32\DRIVERS\amdsbs.sys
2011/06/16 21:59:23.0774 1232        amdxata        (b81c2b5616f6420a9941ea093a92b150) C:\Windows\system32\DRIVERS\amdxata.sys
2011/06/16 21:59:23.0836 1232        AppID          (feb834c02ce1e84b6a38f953ca067706) C:\Windows\system32\drivers\appid.sys
2011/06/16 21:59:23.0867 1232        arc            (2932004f49677bd84dbc72edb754ffb3) C:\Windows\system32\DRIVERS\arc.sys
2011/06/16 21:59:23.0883 1232        arcsas          (5d6f36c46fd283ae1b57bd2e9feb0bc7) C:\Windows\system32\DRIVERS\arcsas.sys
2011/06/16 21:59:23.0914 1232        AsyncMac        (add2ade1c2b285ab8378d2daaf991481) C:\Windows\system32\DRIVERS\asyncmac.sys
2011/06/16 21:59:23.0945 1232        atapi          (338c86357871c167a96ab976519bf59e) C:\Windows\system32\DRIVERS\atapi.sys
2011/06/16 21:59:23.0992 1232        avgntflt        (47b879406246ffdced59e18d331a0e7d) C:\Windows\system32\DRIVERS\avgntflt.sys
2011/06/16 21:59:24.0008 1232        avipbb          (5fedef54757b34fb611b9ec8fb399364) C:\Windows\system32\DRIVERS\avipbb.sys
2011/06/16 21:59:24.0054 1232        b06bdrv        (1a231abec60fd316ec54c66715543cec) C:\Windows\system32\DRIVERS\bxvbdx.sys
2011/06/16 21:59:24.0086 1232        b57nd60x        (bd8869eb9cde6bbe4508d869929869ee) C:\Windows\system32\DRIVERS\b57nd60x.sys
2011/06/16 21:59:24.0117 1232        Beep            (505506526a9d467307b3c393dedaf858) C:\Windows\system32\drivers\Beep.sys
2011/06/16 21:59:24.0132 1232        blbdrive        (2287078ed48fcfc477b05b20cf38f36f) C:\Windows\system32\DRIVERS\blbdrive.sys
2011/06/16 21:59:24.0179 1232        bowser          (9a5c671b7fbae4865149bb11f59b91b2) C:\Windows\system32\DRIVERS\bowser.sys
2011/06/16 21:59:24.0210 1232        BrFiltLo        (9f9acc7f7ccde8a15c282d3f88b43309) C:\Windows\system32\DRIVERS\BrFiltLo.sys
2011/06/16 21:59:24.0226 1232        BrFiltUp        (56801ad62213a41f6497f96dee83755a) C:\Windows\system32\DRIVERS\BrFiltUp.sys
2011/06/16 21:59:24.0257 1232        Brserid        (845b8ce732e67f3b4133164868c666ea) C:\Windows\System32\Drivers\Brserid.sys
2011/06/16 21:59:24.0273 1232        BrSerWdm        (203f0b1e73adadbbb7b7b1fabd901f6b) C:\Windows\System32\Drivers\BrSerWdm.sys
2011/06/16 21:59:24.0288 1232        BrUsbMdm        (bd456606156ba17e60a04e18016ae54b) C:\Windows\System32\Drivers\BrUsbMdm.sys
2011/06/16 21:59:24.0304 1232        BrUsbSer        (af72ed54503f717a43268b3cc5faec2e) C:\Windows\System32\Drivers\BrUsbSer.sys
2011/06/16 21:59:24.0335 1232        BTHMODEM        (ed3df7c56ce0084eb2034432fc56565a) C:\Windows\system32\DRIVERS\bthmodem.sys
2011/06/16 21:59:24.0444 1232        cdfs            (77ea11b065e0a8ab902d78145ca51e10) C:\Windows\system32\DRIVERS\cdfs.sys
2011/06/16 21:59:24.0476 1232        cdrom          (ba6e70aa0e6091bc39de29477d866a77) C:\Windows\system32\DRIVERS\cdrom.sys
2011/06/16 21:59:24.0507 1232        circlass        (3fe3fe94a34df6fb06e6418d0f6a0060) C:\Windows\system32\DRIVERS\circlass.sys
2011/06/16 21:59:24.0538 1232        CLFS            (635181e0e9bbf16871bf5380d71db02d) C:\Windows\system32\CLFS.sys
2011/06/16 21:59:24.0554 1232        CmBatt          (dea805815e587dad1dd2c502220b5616) C:\Windows\system32\DRIVERS\CmBatt.sys
2011/06/16 21:59:24.0585 1232        cmdide          (c537b1db64d495b9b4717b4d6d9edbf2) C:\Windows\system32\DRIVERS\cmdide.sys
2011/06/16 21:59:24.0616 1232        CNG            (1b675691ed940766149c93e8f4488d68) C:\Windows\system32\Drivers\cng.sys
2011/06/16 21:59:24.0632 1232        Compbatt        (a6023d3823c37043986713f118a89bee) C:\Windows\system32\DRIVERS\compbatt.sys
2011/06/16 21:59:24.0647 1232        CompositeBus    (f1724ba27e97d627f808fb0ba77a28a6) C:\Windows\system32\DRIVERS\CompositeBus.sys
2011/06/16 21:59:24.0694 1232        crcdisk        (2c4ebcfc84a9b44f209dff6c6e6c61d1) C:\Windows\system32\DRIVERS\crcdisk.sys
2011/06/16 21:59:24.0756 1232        DfsC            (8e09e52ee2e3ceb199ef3dd99cf9e3fb) C:\Windows\system32\Drivers\dfsc.sys
2011/06/16 21:59:24.0772 1232        discache        (1a050b0274bfb3890703d490f330c0da) C:\Windows\system32\drivers\discache.sys
2011/06/16 21:59:24.0819 1232        Disk            (565003f326f99802e68ca78f2a68e9ff) C:\Windows\system32\DRIVERS\disk.sys
2011/06/16 21:59:24.0850 1232        drmkaud        (b918e7c5f9bf77202f89e1a9539f2eb4) C:\Windows\system32\drivers\drmkaud.sys
2011/06/16 21:59:24.0928 1232        DXGKrnl        (c94b6c3cc628179cb9b9061c19888b99) C:\Windows\System32\drivers\dxgkrnl.sys
2011/06/16 21:59:25.0037 1232        ebdrv          (024e1b5cac09731e4d868e64dbfb4ab0) C:\Windows\system32\DRIVERS\evbdx.sys
2011/06/16 21:59:25.0146 1232        elxstor        (0ed67910c8c326796faa00b2bf6d9d3c) C:\Windows\system32\DRIVERS\elxstor.sys
2011/06/16 21:59:25.0178 1232        ErrDev          (8fc3208352dd3912c94367a206ab3f11) C:\Windows\system32\DRIVERS\errdev.sys
2011/06/16 21:59:25.0209 1232        exfat          (2dc9108d74081149cc8b651d3a26207f) C:\Windows\system32\drivers\exfat.sys
2011/06/16 21:59:25.0240 1232        fastfat        (7e0ab74553476622fb6ae36f73d97d35) C:\Windows\system32\drivers\fastfat.sys
2011/06/16 21:59:25.0287 1232        fdc            (e817a017f82df2a1f8cfdbda29388b29) C:\Windows\system32\DRIVERS\fdc.sys
2011/06/16 21:59:25.0318 1232        FileInfo        (6cf00369c97f3cf563be99be983d13d8) C:\Windows\system32\drivers\fileinfo.sys
2011/06/16 21:59:25.0334 1232        Filetrace      (42c51dc94c91da21cb9196eb64c45db9) C:\Windows\system32\drivers\filetrace.sys
2011/06/16 21:59:25.0365 1232        flpydisk        (87907aa70cb3c56600f1c2fb8841579b) C:\Windows\system32\DRIVERS\flpydisk.sys
2011/06/16 21:59:25.0380 1232        FltMgr          (7520ec808e0c35e0ee6f841294316653) C:\Windows\system32\drivers\fltmgr.sys
2011/06/16 21:59:25.0412 1232        FsDepends      (1a16b57943853e598cff37fe2b8cbf1d) C:\Windows\system32\drivers\FsDepends.sys
2011/06/16 21:59:25.0427 1232        Fs_Rec          (a574b4360e438977038aae4bf60d79a2) C:\Windows\system32\drivers\Fs_Rec.sys
2011/06/16 21:59:25.0458 1232        fvevol          (dafbd9fe39197495aed6d51f3b85b5d2) C:\Windows\system32\DRIVERS\fvevol.sys
2011/06/16 21:59:25.0490 1232        gagp30kx        (65ee0c7a58b65e74ae05637418153938) C:\Windows\system32\DRIVERS\gagp30kx.sys
2011/06/16 21:59:25.0536 1232        hcw85cir        (c44e3c2bab6837db337ddee7544736db) C:\Windows\system32\drivers\hcw85cir.sys
2011/06/16 21:59:25.0568 1232        HdAudAddService (3530cad25deba7dc7de8bb51632cbc5f) C:\Windows\system32\drivers\HdAudio.sys
2011/06/16 21:59:25.0599 1232        HDAudBus        (717a2207fd6f13ad3e664c7d5a43c7bf) C:\Windows\system32\DRIVERS\HDAudBus.sys
2011/06/16 21:59:25.0630 1232        HidBatt        (1d58a7f3e11a9731d0eaaaa8405acc36) C:\Windows\system32\DRIVERS\HidBatt.sys
2011/06/16 21:59:25.0646 1232        HidBth          (89448f40e6df260c206a193a4683ba78) C:\Windows\system32\DRIVERS\hidbth.sys
2011/06/16 21:59:25.0677 1232        HidIr          (cf50b4cf4a4f229b9f3c08351f99ca5e) C:\Windows\system32\DRIVERS\hidir.sys
2011/06/16 21:59:25.0708 1232        HidUsb          (25072fb35ac90b25f9e4e3bacf774102) C:\Windows\system32\DRIVERS\hidusb.sys
2011/06/16 21:59:25.0739 1232        HpSAMD          (295fdc419039090eb8b49ffdbb374549) C:\Windows\system32\DRIVERS\HpSAMD.sys
2011/06/16 21:59:25.0770 1232        HTTP            (c531c7fd9e8b62021112787c4e2c5a5a) C:\Windows\system32\drivers\HTTP.sys
2011/06/16 21:59:25.0802 1232        hwpolicy        (8305f33cde89ad6c7a0763ed0b5a8d42) C:\Windows\system32\drivers\hwpolicy.sys
2011/06/16 21:59:25.0817 1232        i8042prt        (f151f0bdc47f4a28b1b20a0818ea36d6) C:\Windows\system32\DRIVERS\i8042prt.sys
2011/06/16 21:59:25.0848 1232        iaStorV        (934af4d7c5f457b9f0743f4299b77b67) C:\Windows\system32\DRIVERS\iaStorV.sys
2011/06/16 21:59:26.0082 1232        igfx            (8266ae06df974e5ba047b3e9e9e70b3f) C:\Windows\system32\DRIVERS\igdkmd32.sys
2011/06/16 21:59:26.0270 1232        iirsp          (4173ff5708f3236cf25195fecd742915) C:\Windows\system32\DRIVERS\iirsp.sys
2011/06/16 21:59:26.0348 1232        IntcAzAudAddService (f4427e5df32cde359b2e2e5512d18001) C:\Windows\system32\drivers\RTKVHDA.sys
2011/06/16 21:59:26.0410 1232        IntcHdmiAddService (264632ade8127b7baa2190cf6fad435b) C:\Windows\system32\drivers\IntcHdmi.sys
2011/06/16 21:59:26.0426 1232        intelide        (a0f12f2c9ba6c72f3987ce780e77c130) C:\Windows\system32\DRIVERS\intelide.sys
2011/06/16 21:59:26.0472 1232        intelppm        (3b514d27bfc4accb4037bc6685f766e0) C:\Windows\system32\DRIVERS\intelppm.sys
2011/06/16 21:59:26.0488 1232        IPMIDRV        (e4454b6c37d7ffd5649611f6496308a7) C:\Windows\system32\DRIVERS\IPMIDrv.sys
2011/06/16 21:59:26.0519 1232        IPNAT          (a5fa468d67abcdaa36264e463a7bb0cd) C:\Windows\system32\drivers\ipnat.sys
2011/06/16 21:59:26.0550 1232        IRENUM          (42996cff20a3084a56017b7902307e9f) C:\Windows\system32\drivers\irenum.sys
2011/06/16 21:59:26.0582 1232        isapnp          (1f32bb6b38f62f7df1a7ab7292638a35) C:\Windows\system32\DRIVERS\isapnp.sys
2011/06/16 21:59:26.0613 1232        iScsiPrt        (ed46c223ae46c6866ab77cdc41c404b7) C:\Windows\system32\DRIVERS\msiscsi.sys
2011/06/16 21:59:26.0644 1232        kbdclass        (adef52ca1aeae82b50df86b56413107e) C:\Windows\system32\DRIVERS\kbdclass.sys
2011/06/16 21:59:26.0660 1232        kbdhid          (3d9f0ebf350edcfd6498057301455964) C:\Windows\system32\DRIVERS\kbdhid.sys
2011/06/16 21:59:26.0691 1232        KSecDD          (e36a061ec11b373826905b21be10948f) C:\Windows\system32\Drivers\ksecdd.sys
2011/06/16 21:59:26.0706 1232        KSecPkg        (365c6154bbbc5377173f1ca7bfb6cc59) C:\Windows\system32\Drivers\ksecpkg.sys
2011/06/16 21:59:26.0753 1232        lltdio          (f7611ec07349979da9b0ae1f18ccc7a6) C:\Windows\system32\DRIVERS\lltdio.sys
2011/06/16 21:59:26.0784 1232        LSI_FC          (eb119a53ccf2acc000ac71b065b78fef) C:\Windows\system32\DRIVERS\lsi_fc.sys
2011/06/16 21:59:26.0800 1232        LSI_SAS        (8ade1c877256a22e49b75d1cc9161f9c) C:\Windows\system32\DRIVERS\lsi_sas.sys
2011/06/16 21:59:26.0831 1232        LSI_SAS2        (dc9dc3d3daa0e276fd2ec262e38b11e9) C:\Windows\system32\DRIVERS\lsi_sas2.sys
2011/06/16 21:59:26.0862 1232        LSI_SCSI        (0a036c7d7cab643a7f07135ac47e0524) C:\Windows\system32\DRIVERS\lsi_scsi.sys
2011/06/16 21:59:26.0894 1232        luafv          (6703e366cc18d3b6e534f5cf7df39cee) C:\Windows\system32\drivers\luafv.sys
2011/06/16 21:59:26.0956 1232        MBAMSwissArmy  (b309912717c29fc67e1ba4730a82b6dd) C:\Windows\system32\drivers\mbamswissarmy.sys
2011/06/16 21:59:26.0987 1232        megasas        (0fff5b045293002ab38eb1fd1fc2fb74) C:\Windows\system32\DRIVERS\megasas.sys
2011/06/16 21:59:27.0003 1232        MegaSR          (dcbab2920c75f390caf1d29f675d03d6) C:\Windows\system32\DRIVERS\MegaSR.sys
2011/06/16 21:59:27.0065 1232        mod7700        (e821a366aa77f6e4f76056f35f76dee8) C:\Windows\system32\DRIVERS\dvb7700all.sys
2011/06/16 21:59:27.0081 1232        Modem          (f001861e5700ee84e2d4e52c712f4964) C:\Windows\system32\drivers\modem.sys
2011/06/16 21:59:27.0112 1232        monitor        (79d10964de86b292320e9dfe02282a23) C:\Windows\system32\DRIVERS\monitor.sys
2011/06/16 21:59:27.0143 1232        mouclass        (fb18cc1d4c2e716b6b903b0ac0cc0609) C:\Windows\system32\DRIVERS\mouclass.sys
2011/06/16 21:59:27.0190 1232        mouhid          (2c388d2cd01c9042596cf3c8f3c7b24d) C:\Windows\system32\DRIVERS\mouhid.sys
2011/06/16 21:59:27.0206 1232        mountmgr        (921c18727c5920d6c0300736646931c2) C:\Windows\system32\drivers\mountmgr.sys
2011/06/16 21:59:27.0237 1232        mpio            (2af5997438c55fb79d33d015c30e1974) C:\Windows\system32\DRIVERS\mpio.sys
2011/06/16 21:59:27.0252 1232        mpsdrv          (ad2723a7b53dd1aacae6ad8c0bfbf4d0) C:\Windows\system32\drivers\mpsdrv.sys
2011/06/16 21:59:27.0284 1232        MRxDAV          (b1be47008d20e43da3adc37c24cdb89d) C:\Windows\system32\drivers\mrxdav.sys
2011/06/16 21:59:27.0315 1232        mrxsmb          (b4c76ef46322a9711c7b0f4e21ef6ea5) C:\Windows\system32\DRIVERS\mrxsmb.sys
2011/06/16 21:59:27.0362 1232        mrxsmb10        (e593d45024a3fdd11e93cc4a6ca91101) C:\Windows\system32\DRIVERS\mrxsmb10.sys
2011/06/16 21:59:27.0408 1232        mrxsmb20        (a9f86c82c9cc3b679cc3957e1183a30f) C:\Windows\system32\DRIVERS\mrxsmb20.sys
2011/06/16 21:59:27.0440 1232        msahci          (4326d168944123f38dd3b2d9c37a0b12) C:\Windows\system32\DRIVERS\msahci.sys
2011/06/16 21:59:27.0455 1232        msdsm          (455029c7174a2dbb03dba8a0d8bddd9a) C:\Windows\system32\DRIVERS\msdsm.sys
2011/06/16 21:59:27.0486 1232        Msfs            (daefb28e3af5a76abcc2c3078c07327f) C:\Windows\system32\drivers\Msfs.sys
2011/06/16 21:59:27.0502 1232        mshidkmdf      (3e1e5767043c5af9367f0056295e9f84) C:\Windows\System32\drivers\mshidkmdf.sys
2011/06/16 21:59:27.0533 1232        msisadrv        (0a4e5757ae09fa9622e3158cc1aef114) C:\Windows\system32\DRIVERS\msisadrv.sys
2011/06/16 21:59:27.0564 1232        MSKSSRV        (8c0860d6366aaffb6c5bb9df9448e631) C:\Windows\system32\drivers\MSKSSRV.sys
2011/06/16 21:59:27.0580 1232        MSPCLOCK        (3ea8b949f963562cedbb549eac0c11ce) C:\Windows\system32\drivers\MSPCLOCK.sys
2011/06/16 21:59:27.0611 1232        MSPQM          (f456e973590d663b1073e9c463b40932) C:\Windows\system32\drivers\MSPQM.sys
2011/06/16 21:59:27.0627 1232        MsRPC          (0e008fc4819d238c51d7c93e7b41e560) C:\Windows\system32\drivers\MsRPC.sys
2011/06/16 21:59:27.0658 1232        mssmbios        (fc6b9ff600cc585ea38b12589bd4e246) C:\Windows\system32\DRIVERS\mssmbios.sys
2011/06/16 21:59:27.0674 1232        MSTEE          (b42c6b921f61a6e55159b8be6cd54a36) C:\Windows\system32\drivers\MSTEE.sys
2011/06/16 21:59:27.0705 1232        MTConfig        (33599130f44e1f34631cea241de8ac84) C:\Windows\system32\DRIVERS\MTConfig.sys
2011/06/16 21:59:27.0720 1232        Mup            (159fad02f64e6381758c990f753bcc80) C:\Windows\system32\Drivers\mup.sys
2011/06/16 21:59:27.0783 1232        NativeWifiP    (26384429fcd85d83746f63e798ab1480) C:\Windows\system32\DRIVERS\nwifi.sys
2011/06/16 21:59:27.0814 1232        NDIS            (23759d175a0a9baaf04d05047bc135a8) C:\Windows\system32\drivers\ndis.sys
2011/06/16 21:59:27.0845 1232        NdisCap        (0e1787aa6c9191d3d319e8bafe86f80c) C:\Windows\system32\DRIVERS\ndiscap.sys
2011/06/16 21:59:27.0876 1232        NdisTapi        (e4a8aec125a2e43a9e32afeea7c9c888) C:\Windows\system32\DRIVERS\ndistapi.sys
2011/06/16 21:59:27.0908 1232        Ndisuio        (b30ae7f2b6d7e343b0df32e6c08fce75) C:\Windows\system32\DRIVERS\ndisuio.sys
2011/06/16 21:59:27.0923 1232        NdisWan        (267c415eadcbe53c9ca873dee39cf3a4) C:\Windows\system32\DRIVERS\ndiswan.sys
2011/06/16 21:59:27.0970 1232        NDNdisprot      (8f619cc242442dfa6d42a8227866fd57) C:\Windows\system32\DRIVERS\ndndisprot.sys
2011/06/16 21:59:27.0986 1232        NDProxy        (af7e7c63dcef3f8772726f86039d6eb4) C:\Windows\system32\drivers\NDProxy.sys
2011/06/16 21:59:28.0001 1232        NetBIOS        (80b275b1ce3b0e79909db7b39af74d51) C:\Windows\system32\DRIVERS\netbios.sys
2011/06/16 21:59:28.0032 1232        NetBT          (dd52a733bf4ca5af84562a5e2f963b91) C:\Windows\system32\DRIVERS\netbt.sys
2011/06/16 21:59:28.0079 1232        nfrd960        (1d85c4b390b0ee09c7a46b91efb2c097) C:\Windows\system32\DRIVERS\nfrd960.sys
2011/06/16 21:59:28.0110 1232        Npfs            (1db262a9f8c087e8153d89bef3d2235f) C:\Windows\system32\drivers\Npfs.sys
2011/06/16 21:59:28.0142 1232        nsiproxy        (e9a0a4d07e53d8fea2bb8387a3293c58) C:\Windows\system32\drivers\nsiproxy.sys
2011/06/16 21:59:28.0188 1232        Ntfs            (3795dcd21f740ee799fb7223234215af) C:\Windows\system32\drivers\Ntfs.sys
2011/06/16 21:59:28.0235 1232        Null            (f9756a98d69098dca8945d62858a812c) C:\Windows\system32\drivers\Null.sys
2011/06/16 21:59:28.0251 1232        nvraid          (3f3d04b1d08d43c16ea7963954ec768d) C:\Windows\system32\DRIVERS\nvraid.sys
2011/06/16 21:59:28.0282 1232        nvstor          (c99f251a5de63c6f129cf71933aced0f) C:\Windows\system32\DRIVERS\nvstor.sys
2011/06/16 21:59:28.0313 1232        nv_agp          (5a0983915f02bae73267cc2a041f717d) C:\Windows\system32\DRIVERS\nv_agp.sys
2011/06/16 21:59:28.0329 1232        ohci1394        (08a70a1f2cdde9bb49b885cb817a66eb) C:\Windows\system32\DRIVERS\ohci1394.sys
2011/06/16 21:59:28.0376 1232        Parport        (2ea877ed5dd9713c5ac74e8ea7348d14) C:\Windows\system32\DRIVERS\parport.sys
2011/06/16 21:59:28.0391 1232        partmgr        (ff4218952b51de44fe910953a3e686b9) C:\Windows\system32\drivers\partmgr.sys
2011/06/16 21:59:28.0422 1232        Parvdm          (eb0a59f29c19b86479d36b35983daadc) C:\Windows\system32\DRIVERS\parvdm.sys
2011/06/16 21:59:28.0469 1232        pci            (c858cb77c577780ecc456a892e7e7d0f) C:\Windows\system32\DRIVERS\pci.sys
2011/06/16 21:59:28.0500 1232        pciide          (afe86f419014db4e5593f69ffe26ce0a) C:\Windows\system32\DRIVERS\pciide.sys
2011/06/16 21:59:28.0516 1232        pcmcia          (f396431b31693e71e8a80687ef523506) C:\Windows\system32\DRIVERS\pcmcia.sys
2011/06/16 21:59:28.0547 1232        pcw            (250f6b43d2b613172035c6747aeeb19f) C:\Windows\system32\drivers\pcw.sys
2011/06/16 21:59:28.0578 1232        PEAUTH          (9e0104ba49f4e6973749a02bf41344ed) C:\Windows\system32\drivers\peauth.sys
2011/06/16 21:59:28.0656 1232        PptpMiniport    (631e3e205ad6d86f2aed6a4a8e69f2db) C:\Windows\system32\DRIVERS\raspptp.sys
2011/06/16 21:59:28.0703 1232        Processor      (85b1e3a0c7585bc4aae6899ec6fcf011) C:\Windows\system32\DRIVERS\processr.sys
2011/06/16 21:59:28.0734 1232        Psched          (6270ccae2a86de6d146529fe55b3246a) C:\Windows\system32\DRIVERS\pacer.sys
2011/06/16 21:59:28.0781 1232        ql2300          (ab95ecf1f6659a60ddc166d8315b0751) C:\Windows\system32\DRIVERS\ql2300.sys
2011/06/16 21:59:28.0844 1232        ql40xx          (b4dd51dd25182244b86737dc51af2270) C:\Windows\system32\DRIVERS\ql40xx.sys
2011/06/16 21:59:28.0875 1232        QWAVEdrv        (584078ca1b95ca72df2a27c336f9719d) C:\Windows\system32\drivers\qwavedrv.sys
2011/06/16 21:59:28.0890 1232        RasAcd          (30a81b53c766d0133bb86d234e5556ab) C:\Windows\system32\DRIVERS\rasacd.sys
2011/06/16 21:59:28.0906 1232        RasAgileVpn    (57ec4aef73660166074d8f7f31c0d4fd) C:\Windows\system32\DRIVERS\AgileVpn.sys
2011/06/16 21:59:28.0937 1232        Rasl2tp        (d9f91eafec2815365cbe6d167e4e332a) C:\Windows\system32\DRIVERS\rasl2tp.sys
2011/06/16 21:59:28.0968 1232        RasPppoe        (0fe8b15916307a6ac12bfb6a63e45507) C:\Windows\system32\DRIVERS\raspppoe.sys
2011/06/16 21:59:29.0000 1232        RasSstp        (44101f495a83ea6401d886e7fd70096b) C:\Windows\system32\DRIVERS\rassstp.sys
2011/06/16 21:59:29.0015 1232        rdbss          (835d7e81bf517a3b72384bdcc85e1ce6) C:\Windows\system32\DRIVERS\rdbss.sys
2011/06/16 21:59:29.0031 1232        rdpbus          (0d8f05481cb76e70e1da06ee9f0da9df) C:\Windows\system32\DRIVERS\rdpbus.sys
2011/06/16 21:59:29.0046 1232        RDPCDD          (1e016846895b15a99f9a176a05029075) C:\Windows\system32\DRIVERS\RDPCDD.sys
2011/06/16 21:59:29.0078 1232        RDPENCDD        (5a53ca1598dd4156d44196d200c94b8a) C:\Windows\system32\drivers\rdpencdd.sys
2011/06/16 21:59:29.0109 1232        RDPREFMP        (44b0a53cd4f27d50ed461dae0c0b4e1f) C:\Windows\system32\drivers\rdprefmp.sys
2011/06/16 21:59:29.0124 1232        RDPWD          (801371ba9782282892d00aadb08ee367) C:\Windows\system32\drivers\RDPWD.sys
2011/06/16 21:59:29.0156 1232        rdyboost        (4ea225bf1cf05e158853f30a99ca29a7) C:\Windows\system32\drivers\rdyboost.sys
2011/06/16 21:59:29.0202 1232        rspndr          (032b0d36ad92b582d869879f5af5b928) C:\Windows\system32\DRIVERS\rspndr.sys
2011/06/16 21:59:29.0249 1232        RTL8167        (bcebd5d1aabce4efb7597635e347c44b) C:\Windows\system32\DRIVERS\Rt86win7.sys
2011/06/16 21:59:29.0312 1232        RTL8192su      (51adef77e4c929535fd50da153774e79) C:\Windows\system32\DRIVERS\RTL8192su.sys
2011/06/16 21:59:29.0405 1232        SASDIFSV        (a3281aec37e0720a2bc28034c2df2a56) C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS
2011/06/16 21:59:29.0436 1232        SASKUTIL        (61db0d0756a99506207fd724e3692b25) C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS
2011/06/16 21:59:29.0468 1232        sbp2port        (34ee0c44b724e3e4ce2eff29126de5b5) C:\Windows\system32\DRIVERS\sbp2port.sys
2011/06/16 21:59:29.0514 1232        scfilter        (a95c54b2ac3cc9c73fcdf9e51a1d6b51) C:\Windows\system32\DRIVERS\scfilter.sys
2011/06/16 21:59:29.0546 1232        secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\Windows\system32\drivers\secdrv.sys
2011/06/16 21:59:29.0592 1232        Serenum        (9ad8b8b515e3df6acd4212ef465de2d1) C:\Windows\system32\DRIVERS\serenum.sys
2011/06/16 21:59:29.0624 1232        Serial          (5fb7fcea0490d821f26f39cc5ea3d1e2) C:\Windows\system32\DRIVERS\serial.sys
2011/06/16 21:59:29.0639 1232        sermouse        (79bffb520327ff916a582dfea17aa813) C:\Windows\system32\DRIVERS\sermouse.sys
2011/06/16 21:59:29.0686 1232        sffdisk        (9f976e1eb233df46fce808d9dea3eb9c) C:\Windows\system32\DRIVERS\sffdisk.sys
2011/06/16 21:59:29.0702 1232        sffp_mmc        (932a68ee27833cfd57c1639d375f2731) C:\Windows\system32\DRIVERS\sffp_mmc.sys
2011/06/16 21:59:29.0717 1232        sffp_sd        (a0708bbd07d245c06ff9de549ca47185) C:\Windows\system32\DRIVERS\sffp_sd.sys
2011/06/16 21:59:29.0733 1232        sfloppy        (db96666cc8312ebc45032f30b007a547) C:\Windows\system32\DRIVERS\sfloppy.sys
2011/06/16 21:59:29.0764 1232        sisagp          (2565cac0dc9fe0371bdce60832582b2e) C:\Windows\system32\DRIVERS\sisagp.sys
2011/06/16 21:59:29.0780 1232        SiSRaid2        (a9f0486851becb6dda1d89d381e71055) C:\Windows\system32\DRIVERS\SiSRaid2.sys
2011/06/16 21:59:29.0811 1232        SiSRaid4        (3727097b55738e2f554972c3be5bc1aa) C:\Windows\system32\DRIVERS\sisraid4.sys
2011/06/16 21:59:29.0858 1232        Smb            (3e21c083b8a01cb70ba1f09303010fce) C:\Windows\system32\DRIVERS\smb.sys
2011/06/16 21:59:29.0873 1232        spldr          (95cf1ae7527fb70f7816563cbc09d942) C:\Windows\system32\drivers\spldr.sys
2011/06/16 21:59:29.0936 1232        srv            (4a9b0f215de2519e2363f91df25c1e97) C:\Windows\system32\DRIVERS\srv.sys
2011/06/16 21:59:29.0982 1232        srv2            (14c44875518ae1c982e54ea8c5f7fe28) C:\Windows\system32\DRIVERS\srv2.sys
2011/06/16 21:59:30.0029 1232        srvnet          (07a14223b0a50e76ade003fdf95d4fec) C:\Windows\system32\DRIVERS\srvnet.sys
2011/06/16 21:59:30.0092 1232        ssmdrv          (a36ee93698802cd899f98bfd553d8185) C:\Windows\system32\DRIVERS\ssmdrv.sys
2011/06/16 21:59:30.0107 1232        stexstor        (db32d325c192b801df274bfd12a7e72b) C:\Windows\system32\DRIVERS\stexstor.sys
2011/06/16 21:59:30.0138 1232        swenum          (e58c78a848add9610a4db6d214af5224) C:\Windows\system32\DRIVERS\swenum.sys
2011/06/16 21:59:30.0216 1232        Tcpip          (bb7f39c31c4a4417fd318e7cd184e225) C:\Windows\system32\drivers\tcpip.sys
2011/06/16 21:59:30.0279 1232        TCPIP6          (bb7f39c31c4a4417fd318e7cd184e225) C:\Windows\system32\DRIVERS\tcpip.sys
2011/06/16 21:59:30.0326 1232        tcpipreg        (e64444523add154f86567c469bc0b17f) C:\Windows\system32\drivers\tcpipreg.sys
2011/06/16 21:59:30.0341 1232        TDPIPE          (1875c1490d99e70e449e3afae9fcbadf) C:\Windows\system32\drivers\tdpipe.sys
2011/06/16 21:59:30.0372 1232        TDTCP          (7551e91ea999ee9a8e9c331d5a9c31f3) C:\Windows\system32\drivers\tdtcp.sys
2011/06/16 21:59:30.0388 1232        tdx            (cb39e896a2a83702d1737bfd402b3542) C:\Windows\system32\DRIVERS\tdx.sys
2011/06/16 21:59:30.0404 1232        TermDD          (c36f41ee20e6999dbf4b0425963268a5) C:\Windows\system32\DRIVERS\termdd.sys
2011/06/16 21:59:30.0450 1232        tssecsrv        (98ae6fa07d12cb4ec5cf4a9bfa5f4242) C:\Windows\system32\DRIVERS\tssecsrv.sys
2011/06/16 21:59:30.0482 1232        tunnel          (3e461d890a97f9d4c168f5fda36e1d00) C:\Windows\system32\DRIVERS\tunnel.sys
2011/06/16 21:59:30.0497 1232        uagp35          (750fbcb269f4d7dd2e420c56b795db6d) C:\Windows\system32\DRIVERS\uagp35.sys
2011/06/16 21:59:30.0528 1232        udfs            (09cc3e16f8e5ee7168e01cf8fcbe061a) C:\Windows\system32\DRIVERS\udfs.sys
2011/06/16 21:59:30.0575 1232        uliagpkx        (44e8048ace47befbfdc2e9be4cbc8880) C:\Windows\system32\DRIVERS\uliagpkx.sys
2011/06/16 21:59:30.0606 1232        umbus          (049b3a50b3d646baeeee9eec9b0668dc) C:\Windows\system32\DRIVERS\umbus.sys
2011/06/16 21:59:30.0638 1232        UmPass          (7550ad0c6998ba1cb4843e920ee0feac) C:\Windows\system32\DRIVERS\umpass.sys
2011/06/16 21:59:30.0669 1232        usbccgp        (8455c4ed038efd09e99327f9d2d48ffa) C:\Windows\system32\DRIVERS\usbccgp.sys
2011/06/16 21:59:30.0684 1232        usbcir          (04ec7cec62ec3b6d9354eee93327fc82) C:\Windows\system32\DRIVERS\usbcir.sys
2011/06/16 21:59:30.0700 1232        usbehci        (ff32d4f3ec3c68b2ca61782c7964f54e) C:\Windows\system32\DRIVERS\usbehci.sys
2011/06/16 21:59:30.0731 1232        usbhub          (b0dfc7b484e0ca0c27bda5433b82d94a) C:\Windows\system32\DRIVERS\usbhub.sys
2011/06/16 21:59:30.0747 1232        usbohci        (a6fb7957ea7afb1165991e54ce934b74) C:\Windows\system32\DRIVERS\usbohci.sys
2011/06/16 21:59:30.0778 1232        usbprint        (797d862fe0875e75c7cc4c1ad7b30252) C:\Windows\system32\DRIVERS\usbprint.sys
2011/06/16 21:59:30.0825 1232        usbscan        (576096ccbc07e7c4ea4f5e6686d6888f) C:\Windows\system32\DRIVERS\usbscan.sys
2011/06/16 21:59:30.0872 1232        USBSTOR        (d8889d56e0d27e57ed4591837fe71d27) C:\Windows\system32\DRIVERS\USBSTOR.SYS
2011/06/16 21:59:30.0887 1232        usbuhci        (78780c3ebce17405b1ccd07a3a8a7d72) C:\Windows\system32\DRIVERS\usbuhci.sys
2011/06/16 21:59:30.0918 1232        vdrvroot        (a059c4c3edb09e07d21a8e5c0aabd3cb) C:\Windows\system32\DRIVERS\vdrvroot.sys
2011/06/16 21:59:30.0965 1232        vga            (17c408214ea61696cec9c66e388b14f3) C:\Windows\system32\DRIVERS\vgapnp.sys
2011/06/16 21:59:30.0996 1232        VgaSave        (8e38096ad5c8570a6f1570a61e251561) C:\Windows\System32\drivers\vga.sys
2011/06/16 21:59:31.0028 1232        vhdmp          (3be6e1f3a4f1afec8cee0d7883f93583) C:\Windows\system32\DRIVERS\vhdmp.sys
2011/06/16 21:59:31.0059 1232        viaagp          (c829317a37b4bea8f39735d4b076e923) C:\Windows\system32\DRIVERS\viaagp.sys
2011/06/16 21:59:31.0090 1232        ViaC7          (e02f079a6aa107f06b16549c6e5c7b74) C:\Windows\system32\DRIVERS\viac7.sys
2011/06/16 21:59:31.0106 1232        viaide          (e43574f6a56a0ee11809b48c09e4fd3c) C:\Windows\system32\DRIVERS\viaide.sys
2011/06/16 21:59:31.0137 1232        volmgr          (384e5a2aa49934295171e499f86ba6f3) C:\Windows\system32\DRIVERS\volmgr.sys
2011/06/16 21:59:31.0152 1232        volmgrx        (b5bb72067ddddbbfb04b2f89ff8c3c87) C:\Windows\system32\drivers\volmgrx.sys
2011/06/16 21:59:31.0184 1232        volsnap        (58df9d2481a56edde167e51b334d44fd) C:\Windows\system32\DRIVERS\volsnap.sys
2011/06/16 21:59:31.0230 1232        vsmraid        (9dfa0cc2f8855a04816729651175b631) C:\Windows\system32\DRIVERS\vsmraid.sys
2011/06/16 21:59:31.0262 1232        vwifibus        (90567b1e658001e79d7c8bbd3dde5aa6) C:\Windows\System32\drivers\vwifibus.sys
2011/06/16 21:59:31.0277 1232        vwififlt        (7090d3436eeb4e7da3373090a23448f7) C:\Windows\system32\DRIVERS\vwififlt.sys
2011/06/16 21:59:31.0293 1232        vwifimp        (a3f04cbea6c2a10e6cb01f8b47611882) C:\Windows\system32\DRIVERS\vwifimp.sys
2011/06/16 21:59:31.0324 1232        WacomPen        (de3721e89c653aa281428c8a69745d90) C:\Windows\system32\DRIVERS\wacompen.sys
2011/06/16 21:59:31.0355 1232        WANARP          (692a712062146e96d28ba0b7d75de31b) C:\Windows\system32\DRIVERS\wanarp.sys
2011/06/16 21:59:31.0355 1232        Wanarpv6        (692a712062146e96d28ba0b7d75de31b) C:\Windows\system32\DRIVERS\wanarp.sys
2011/06/16 21:59:31.0418 1232        Wd              (1112a9badacb47b7c0bb0392e3158dff) C:\Windows\system32\DRIVERS\wd.sys
2011/06/16 21:59:31.0433 1232        Wdf01000        (9950e3d0f08141c7e89e64456ae7dc73) C:\Windows\system32\drivers\Wdf01000.sys
2011/06/16 21:59:31.0496 1232        WfpLwf          (8b9a943f3b53861f2bfaf6c186168f79) C:\Windows\system32\DRIVERS\wfplwf.sys
2011/06/16 21:59:31.0527 1232        WIMMount        (5cf95b35e59e2a38023836fff31be64c) C:\Windows\system32\drivers\wimmount.sys
2011/06/16 21:59:31.0620 1232        WinUsb          (30fc6e5448d0cbaaa95280eeef7fedae) C:\Windows\system32\DRIVERS\WinUsb.sys
2011/06/16 21:59:31.0667 1232        WmiAcpi        (0217679b8fca58714c3bf2726d2ca84e) C:\Windows\system32\DRIVERS\wmiacpi.sys
2011/06/16 21:59:31.0698 1232        ws2ifsl        (6db3276587b853bf886b69528fdb048c) C:\Windows\system32\drivers\ws2ifsl.sys
2011/06/16 21:59:31.0745 1232        WudfPf          (6f9b6c0c93232cff47d0f72d6db1d21e) C:\Windows\system32\drivers\WudfPf.sys
2011/06/16 21:59:31.0776 1232        WUDFRd          (f91ff1e51fca30b3c3981db7d5924252) C:\Windows\system32\DRIVERS\WUDFRd.sys
2011/06/16 21:59:31.0823 1232        MBR (0x1B8)    (01c6ae8eadd5f5b4c22dd5848d9cb4b9) \Device\Harddisk0\DR0
2011/06/16 21:59:31.0886 1232        ================================================================================
2011/06/16 21:59:31.0886 1232        Scan finished
2011/06/16 21:59:31.0886 1232        ================================================================================
2011/06/16 21:59:31.0901 4020        Detected object count: 0
2011/06/16 21:59:31.0901 4020        Actual detected object count: 0
2011/06/16 22:00:00.0309 0756        Deinitialize success

Zitat:
Zitat von M-K-D-B (Beitrag 673156)
Schritt # 5: aswMBR.exe ausführen
Log ist hier:
Code:
aswMBR version 0.9.6.399 Copyright(c) 2011 AVAST Software
Run date: 2011-06-16 22:01:26
-----------------------------
22:01:26.224    OS Version: Windows 6.1.7600
22:01:26.224    Number of processors: 2 586 0x170A
22:01:26.224    ComputerName: MEDIONE4100D  UserName: xxxxx
22:01:45.365    Initialize success
22:02:28.234    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2
22:02:28.249    Disk 0 Vendor: ST3750528AS CC44 Size: 715404MB BusType: 3
22:02:30.277    Disk 0 MBR read successfully
22:02:30.277    Disk 0 MBR scan
22:02:30.277    Disk 0 unknown MBR code
22:02:32.290    Disk 0 scanning sectors +1465145344
22:02:32.321    Disk 0 scanning C:\Windows\system32\drivers
22:02:36.939    Service scanning
22:02:38.561    Disk 0 trace - called modules:
22:02:38.561    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll ataport.SYS intelide.sys PCIIDEX.SYS atapi.sys
22:02:38.577    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8607c030]
22:02:38.577    3 CLASSPNP.SYS[8af9859e] -> nt!IofCallDriver -> [0x852d8640]
22:02:38.592    5 ACPI.sys[8aa923b2] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-2[0x85be1338]
22:02:38.592    Scan finished successfully
22:02:59.637    Disk 0 MBR has been saved successfully to "C:\Users\xxxx\Desktop\MBR.dat"
22:02:59.637    The log file has been saved successfully to "C:\Users\xxxx\Desktop\aswMBR.txt"
Zitat:
Zitat von M-K-D-B (Beitrag 673156)
Schritt # 6: ESET Online Scanner
Hat sehr lange gedauert, war dann bei Ende nicht am Platz, Rechner hatte wohl durchgestartet, Anmedebildschirm war aktiv. Ich lasse den Bildschirm noch 15 Minuten stehen, dann fahr ich den Rechner runter.
Laufwerk F: ist meine Sicherungsplatte...

Code:
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.7600.16385 (win7_rtm.090713-1255)
# OnlineScanner.ocx=1.0.0.6526
# api_version=3.0.2
# EOSSerial=c4928f9d60bc514d93cad8393aed4e84
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-06-16 11:18:54
# local_time=2011-06-17 01:18:54 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=1797 16775165 100 94 16537 44792439 0 0
# compatibility_mode=5893 16776573 100 94 16210 60694326 0 0
# compatibility_mode=8192 67108863 100 0 68 68 0 0
# scanned=250543
# found=7
# cleaned=0
# scan_time=10751
C:\Qoobox_alt\Quarantine\C\Users\xxx\AppData\Roaming\appconf32.exe.vir        a variant of Win32/Kryptik.PAP trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\xxxxx\Downloads\Setup_FreeFlvConverter68.exe        Win32/Adware.Toolbar.Dealio application (unable to clean)        00000000000000000000000000000000        I
C:\Users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OUWH137F\info[1].exe        a variant of Win32/Kryptik.PBY trojan (unable to clean)        00000000000000000000000000000000        I
C:\Users\xx\Downloads\SweetImSetup.exe        a variant of Win32/SweetIM.B application (unable to clean)        00000000000000000000000000000000        I
F:\MEDIONE4100D\Backup Set 2011-06-09 062704\Backup Files 2011-06-09 062704\Backup files 10.zip        Java/TrojanDownloader.OpenStream.AF trojan (unable to clean)        00000000000000000000000000000000        I
F:\MEDIONE4100D\Backup Set 2011-06-09 062704\Backup Files 2011-06-09 062704\Backup files 14.zip        a variant of Win32/SweetIM.B application (unable to clean)        00000000000000000000000000000000        I
F:\MEDIONE4100D\Backup Set 2011-06-09 062704\Backup Files 2011-06-09 062704\Backup files 7.zip        Win32/Adware.Toolbar.Dealio application (unable to clean)        00000000000000000000000000000000        I
Zitat:
Zitat von M-K-D-B (Beitrag 673156)
Schritt # 7: Durchführung einer Sicherheitskontrolle
Ist das Programm noch nichtr zuende? Box steht noch mit der Meldung 'Results have been copied to checkup txt, which should open now!'
Code:
Results of screen317's Security Check version 0.99.13 
 Windows 7  (UAC is enabled)
 Internet Explorer 8 
``````````````````````````````
Antivirus/Firewall Check:
 Windows Security Center service is not running! This report may not be accurate!
 Avira AntiVir Personal - Free Antivirus
 ESET Online Scanner v3 
 WMI entry may not exist for antivirus; attempting automatic update.
 Avira successfully updated!
```````````````````````````````
Anti-malware/Other Utilities Check:
 Malwarebytes' Anti-Malware   
 Java(TM) 6 Update 26 
 Adobe Flash Player 
Adobe Reader X (10.1.0) - Deutsch
````````````````````````````````
Process Check: 
objlist.exe by Laurent
 Avira Antivir avgnt.exe
 Avira Antivir avguard.exe
``````````End of Log````````````
Zitat:
Zitat von M-K-D-B (Beitrag 673156)
Schritt # 8: Deine Rückmeldung[*]das Logfile von MBAM,[*]das Logfile des TDSS-Killers,[*]das Logfile von aswMBR,[*]das Logfile des ESET Online Scanners und[*]das Logfile von SecurityCheck.[/LIST]
Alles da....

Gruß, Stefan

M-K-D-B 17.06.2011 11:35
Hallo Stefan,





Schritt # 1: Wichtige Hinweise
MBAM hat noch folgendes gefunden:
Zitat:
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.
c:\Recycle.Bin\recycle.bin.exe (Trojan.SpyEyes) -> Quarantined and deleted successfully.
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.
Dieser Trojaner spioniert Passwörter aus. Kein Online-Banking und keine Online-Einkäufe mehr machen!

Daneben hat ESET noch einiges gefunden:
Zitat:
C:\Qoobox_alt\Quarantine\C\Users\xxx\AppData\Roaming\appconf32.exe.vir a variant of Win32/Kryptik.PAP trojan
Darum brauchen wir uns nicht kümmern; das Erledigt ComboFix bei der Bereinigung.

Zitat:
C:\Users\xxxxx\Downloads\Setup_FreeFlvConverter68.exe Win32/Adware.Toolbar.Dealio application
C:\Users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OUWH137F\info[1].exe a variant of Win32/Kryptik.PBY trojan
C:\Users\xx\Downloads\SweetImSetup.exe a variant of Win32/SweetIM.B application
Darum kümmern wir uns jetzt noch mit OTL.

Zitat:
F:\MEDIONE4100D\Backup Set 2011-06-09 062704\Backup Files 2011-06-09 062704\Backup files 10.zip Java/TrojanDownloader.OpenStream.AF trojan
F:\MEDIONE4100D\Backup Set 2011-06-09 062704\Backup Files 2011-06-09 062704\Backup files 14.zip a variant of Win32/SweetIM.B application
F:\MEDIONE4100D\Backup Set 2011-06-09 062704\Backup Files 2011-06-09 062704\Backup files 7.zip Win32/Adware.Toolbar.Dealio application
Dieses Backup vom 09. Juni ist infiziert. Ich empfehle dir, die aufgelisteten Archive von Hand zu löschen.





Schritt # 2: Fix mit OTL
Code:
:OTL
:files
%userprofile%\Downloads\Setup_FreeFlvConverter68.exe
%userprofile%\Downloads\SweetImSetup.exe

:Commands
[emptytemp]
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread




Schritt # 3: Kontrolle mit VirusTotal
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.
  • Klicke auf Durchsuchen
  • Kopiere nun folgendes in die Suchleiste.
    Code:
    %userprofile%\Desktop\MBR.dat
  • und klicke auf Öffnen.
  • Klicke auf Send File.
Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.
Zitat:
File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.





Schritt # 4: Benutzerdefinierter Scan mit OTL
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%PROGRAMFILES%\*.
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
svchost.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
  • Schließe bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread




Schritt # 5: Fragen beantworten
Bitte beantworte mir folgende Fragen:
  • Wie läuft dein Rechner derzeit?
  • Gibt es noch irgendwelche Probleme? Wenn ja, beschreibe diese bitte so gut es geht.




Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • das Logfile des OTL-Fix,
  • den Link zum Ergebnis von VirusTotal,
  • das neue Logfile von OTL (OTL.txt) und
  • die Beantwortung der gestellten Fragen.

sbie 17.06.2011 18:45
Hallo M-K-D-B


Schritt # 1: Wichtige Hinweise
Der Trojan.Spyeyes ist doch 'Quarantined and deleted successfully'. Ist der trotzdem noch auf dem Rechner, wie aktiviert sich das Programm?
Online Banking mach ich hier seit Tagen nicht mehr, nur email Abfrage aus dem freien Netz.


Schritt # 2: Fix mit OTL
Log:
Code:
All processes killed
========== OTL ==========
========== FILES ==========
C:\Users\xxxxx\Downloads\Setup_FreeFlvConverter68.exe moved successfully.
File/Folder C:\Users\xxxxx\Downloads\SweetImSetup.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: xxxxx
->Temp folder emptied: 750013 bytes
->Temporary Internet Files folder emptied: 8507998 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Gast
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: xxx
->Temp folder emptied: 38970 bytes
->Temporary Internet Files folder emptied: 39663280 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 700 bytes
 
User: xx
->Temp folder emptied: 165670 bytes
->Temporary Internet Files folder emptied: 12516697 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 682 bytes
 
User: x
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
User: xxxx
->Temp folder emptied: 416147 bytes
->Temporary Internet Files folder emptied: 124264333 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 1407 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3750567 bytes
RecycleBin emptied: 9592335 bytes
 
Total Files Cleaned = 190,00 mb
 
 
OTL by OldTimer - Version 3.2.24.1 log created on 06172011_185208

Schritt # 3: Kontrolle mit VirusTotal
der Link
Code:
hxxp://www.virustotal.com/file-scan/report.html?id=3d943cc1f70c15184d78699192991bd853f1127fc13088d9907c1b21ff1cc302-1308329784
Das erste Ergebnis:
Code:
File name: MBR.dat
Submission date: 2011-06-17 16:56:24 (UTC)
Current status: queued queued analysing finished

Result: 0/ 42 (0.0%)

Additional informationShow all 
MD5  : 6f5d717971db31735ad6eb09b6eecb62
SHA1  : f2d1a76ce653bc1ec961dc4b0c000d4700ea44a5
SHA256: 3d943cc1f70c15184d78699192991bd853f1127fc13088d9907c1b21ff1cc302
Das keinerlei Aktion mehr zu sehen oder zu hören war, habe ich virustotal geschlossen und ein 2.tes mal aufgerufen, hier kam dann natürlich auch der Button Reanalyse.
Link:
Code:
hxxp://www.virustotal.com/file-scan/report.html?id=3d943cc1f70c15184d78699192991bd853f1127fc13088d9907c1b21ff1cc302-1308330345
Das 2te Ergebnis:
Code:
MD5: 6f5d717971db31735ad6eb09b6eecb62
Date first seen: 2011-06-17 16:56:24 (UTC)
Date last seen: 2011-06-17 16:56:24 (UTC)
Detection ratio: 0/42

File name: MBR.dat
Submission date: 2011-06-17 17:05:45 (UTC)
Current status: queued (#45) queued (#37) analysing finished

Schritt # 4: Benutzerdefinierter Scan mit OTL
Beim zweiten Start kam als erstes das Notepad hoch mit dem Inhalt
Code:
Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
Log:
OTL Logfile:
Code:
OTL logfile created on: 17.06.2011 19:12:16 - Run 8
OTL by OldTimer - Version 3.2.24.1    Folder = C:\Users\xxxx\Desktop
 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,87 Gb Total Physical Memory | 2,04 Gb Available Physical Memory | 71,02% Memory free
5,74 Gb Paging File | 4,73 Gb Available in Paging File | 82,36% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 677,54 Gb Total Space | 528,04 Gb Free Space | 77,93% Space Free | Partition Type: NTFS
Drive D: | 20,00 Gb Total Space | 12,94 Gb Free Space | 64,68% Space Free | Partition Type: NTFS
Drive F: | 465,76 Gb Total Space | 71,88 Gb Free Space | 15,43% Space Free | Partition Type: NTFS
 
Computer Name: MEDIONE4100D | User Name: xxxxx | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\xxxx\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Common Files\TerraTec\Remote\TTTvRc.exe (Elgato Systems)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\CyberLink\Power2Go\CLMLSvc.exe (CyberLink)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Sidebar\sidebar.exe (Microsoft Corporation)
PRC - C:\Windows\System32\conhost.exe (Microsoft Corporation)
PRC - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE (Microsoft Corporation)
PRC - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE (Microsoft Corporation)
PRC - C:\Programme\Common Files\MAGIX Services\Database\bin\FABS.exe (MAGIX AG)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\xxxx\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AdobeARMservice) -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (MBAMService) -- C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (nosGetPlusHelper) getPlus(R) -- C:\Programme\NOS\bin\getPlus_Helper_3004.dll (NOS Microsystems Ltd.)
SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (WatAdminSvc) -- C:\Windows\System32\Wat\WatAdminSvc.exe (Microsoft Corporation)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (Fabs) -- C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe (MAGIX AG)
SRV - (SBSDWSCService) -- C:\Programme\Spybot - Search & Destroy\SDWinSec.exe (Safer Networking Ltd.)
SRV - (FirebirdServerMAGIXInstance) -- C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe (MAGIX®)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (MBAMSwissArmy) -- C:\Windows\System32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
DRV - (SASKUTIL) -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (SASDIFSV) -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (mod7700) -- C:\Windows\System32\drivers\dvb7700all.sys (DiBcom)
DRV - (RTL8192su) -- C:\Windows\System32\drivers\RTL8192su.sys (Realtek Semiconductor Corporation                          )
DRV - (vwifimp) -- C:\Windows\System32\drivers\vwifimp.sys (Microsoft Corporation)
DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation)
DRV - (IntcHdmiAddService) Intel(R) -- C:\Windows\System32\drivers\IntcHdmi.sys (Intel(R) Corporation)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (NDNdisprot) -- C:\Windows\System32\drivers\NDNdisprot.sys (Windows (R) 2000 DDK provider)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://medion.msn.com [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
O1 HOSTS File: ([2011.06.12 08:37:11 | 000,000,027 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Windows Live ID-Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (TerraTec Home Cinema) - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\Programme\TerraTec\TerraTec Home Cinema\ThcDeskBand.dll (TerraTec Electronic GmbH)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CLMLServer] C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe (CyberLink)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKCU..\Run: [ICQ] C:\Program Files\ICQ7.5\ICQ.exe (ICQ, LLC.)
O4 - HKCU..\Run: [Remote Control Editor] C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe (Elgato Systems)
O4 - HKLM..\RunOnce: [Uninstall Adobe Download Manager] C:\Program Files\NOS\bin\getPlusUninst_Adobe.exe (NOS Microsystems Ltd.)
O4 - Startup: C:\Users\xxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: LogonHoursAction = 2
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DontDisplayLogonHoursWarnings = 1
O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} -  File not found
O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} -  File not found
O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDNSP.DLL (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDNSP.DLL (Microsoft Corporation)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos-beta/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} hxxp://www.sibelius.com/download/software/win/ActiveXPlugin.cab (ScorchPlugin Class)
O16 - DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} hxxp://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework/microsoft/wrc32.ocx (WRC Class)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.2
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0
ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {2D46B6DC-2207-486B-B523-A557E6D54B47} - C:\Windows\system32\cmd.exe /D /C start C:\Windows\system32\ie4uinit.exe -ClearIconCache
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\System32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\System32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
 
NetSvcs: FastUserSwitchingCompatibility -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Nla -  File not found
NetSvcs: Ntmssvc -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: SRService -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: LogonHours -  File not found
NetSvcs: PCAudit -  File not found
NetSvcs: helpsvc -  File not found
NetSvcs: uploadmgr -  File not found
 

 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.06.16 22:18:35 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2011.06.16 21:54:42 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\Adobe
[2011.06.16 21:50:23 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\Java
[2011.06.16 21:49:38 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2011.06.14 17:41:21 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip
[2011.06.14 17:41:20 | 000,000,000 | ---D | C] -- C:\Programme\7-Zip
[2011.06.13 21:41:57 | 000,000,000 | ---D | C] -- C:\Users\xxxxx\AppData\Roaming\SUPERAntiSpyware.com
[2011.06.13 21:41:57 | 000,000,000 | ---D | C] -- C:\ProgramData\SUPERAntiSpyware.com
[2011.06.13 21:41:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SUPERAntiSpyware
[2011.06.13 21:41:51 | 000,000,000 | ---D | C] -- C:\Programme\SUPERAntiSpyware
[2011.06.13 21:27:00 | 000,000,000 | ---D | C] -- C:\_OTL
[2011.06.13 19:03:45 | 000,000,000 | ---D | C] -- C:\Users\xxxxx\AppData\Roaming\Malwarebytes
[2011.06.13 19:03:34 | 000,039,984 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2011.06.13 19:03:34 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2011.06.13 19:03:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011.06.13 19:03:30 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.06.13 17:59:33 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2011.06.13 17:59:33 | 000,000,000 | ---D | C] -- C:\Users\xxxxx\AppData\Local\temp
[2011.06.13 17:59:08 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2011.06.13 17:52:01 | 000,000,000 | ---D | C] -- C:\ComboFix
[2011.06.13 14:54:10 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.06.12 08:29:42 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2011.06.12 08:29:42 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2011.06.12 08:29:42 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2011.06.12 08:29:39 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT
[2011.06.12 08:29:15 | 000,000,000 | ---D | C] -- C:\Qoobox_alt
[2011.06.11 19:24:23 | 000,000,000 | ---D | C] -- C:\Programme\NOS
[2011.06.11 19:24:23 | 000,000,000 | ---D | C] -- C:\ProgramData\NOS
[2011.06.11 15:12:40 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy
[2011.06.11 15:12:40 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2011.06.10 22:48:49 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ICQ7.5
[2011.06.10 22:48:43 | 000,000,000 | ---D | C] -- C:\Programme\ICQ6Toolbar
[2011.06.10 22:48:39 | 000,000,000 | ---D | C] -- C:\Users\xxxxx\AppData\Roaming\Mozilla
[2011.06.10 22:48:39 | 000,000,000 | ---D | C] -- C:\ProgramData\ICQ
[2011.06.10 22:48:33 | 000,000,000 | ---D | C] -- C:\Users\xxxxx\AppData\Roaming\ICQ
[2011.06.10 22:48:28 | 000,000,000 | ---D | C] -- C:\Programme\ICQ7.5
[2011.06.05 13:26:10 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Earth
[2011.05.20 17:47:46 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\Plasmoo
[2010.08.25 19:59:08 | 000,004,096 | ---- | C] ( ) -- C:\Windows\System32\IGFXDEVLib.dll
 
========== Files - Modified Within 30 Days ==========
 
[2011.06.17 19:00:54 | 000,010,096 | ---- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011.06.17 19:00:54 | 000,010,096 | ---- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011.06.17 18:54:03 | 000,001,092 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2011.06.17 18:53:37 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.06.17 18:53:32 | 2313,084,928 | -HS- | M] () -- C:\hiberfil.sys
[2011.06.17 18:25:00 | 000,001,096 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2011.06.16 22:07:18 | 000,658,002 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2011.06.16 22:07:18 | 000,611,076 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011.06.16 22:07:18 | 000,130,538 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2011.06.16 22:07:18 | 000,107,262 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011.06.16 21:54:52 | 000,001,993 | ---- | M] () -- C:\Users\Public\Desktop\Adobe Reader X.lnk
[2011.06.15 20:30:47 | 002,459,806 | ---- | M] () -- C:\Users\xxxxx\Documents\AutoRuns.arn
[2011.06.12 08:37:11 | 000,000,027 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts
[2011.06.11 17:01:45 | 000,000,000 | ---- | M] () -- C:\Users\xxxxx\defogger_reenable
[2011.06.11 15:12:45 | 000,001,220 | ---- | M] () -- C:\Users\xxxxx\Desktop\Spybot - Search & Destroy.lnk
[2011.06.10 22:48:49 | 000,001,774 | ---- | M] () -- C:\Users\Public\Desktop\ICQ7.5.lnk
[2011.06.10 22:09:37 | 000,001,079 | ---- | M] () -- C:\Users\xxxxx\Desktop\Free FLV Converter.lnk
[2011.06.05 13:26:11 | 000,002,174 | ---- | M] () -- C:\Users\Public\Desktop\Google Earth.lnk
[2011.05.29 09:11:30 | 000,039,984 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2011.05.23 22:33:55 | 289,975,938 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2011.05.20 17:48:16 | 000,001,201 | ---- | M] () -- C:\Users\xxxxx\Desktop\DVDVideoSoft Free Studio.lnk
[2011.05.20 17:47:47 | 000,001,360 | ---- | M] () -- C:\Users\xxxxx\Desktop\Free YouTube to MP3 Converter.lnk
 
========== Files Created - No Company Name ==========
 
[2011.06.16 21:54:52 | 000,002,441 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader X.lnk
[2011.06.16 21:54:52 | 000,001,993 | ---- | C] () -- C:\Users\Public\Desktop\Adobe Reader X.lnk
[2011.06.15 20:29:19 | 002,459,806 | ---- | C] () -- C:\Users\xxxxx\Documents\AutoRuns.arn
[2011.06.12 08:29:42 | 000,256,512 | ---- | C] () -- C:\Windows\PEV.exe
[2011.06.12 08:29:42 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2011.06.12 08:29:42 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2011.06.12 08:29:42 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2011.06.12 08:29:42 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2011.06.11 17:01:45 | 000,000,000 | ---- | C] () -- C:\Users\xxxxx\defogger_reenable
[2011.06.11 15:12:45 | 000,001,220 | ---- | C] () -- C:\Users\xxxxx\Desktop\Spybot - Search & Destroy.lnk
[2011.06.10 22:48:49 | 000,001,774 | ---- | C] () -- C:\Users\Public\Desktop\ICQ7.5.lnk
[2011.06.09 21:32:18 | 000,002,174 | ---- | C] () -- C:\Users\Public\Desktop\Google Earth.lnk
[2011.06.09 21:32:18 | 000,002,016 | ---- | C] () -- C:\Users\Public\Desktop\Avira AntiVir Control Center.lnk
[2011.06.09 21:32:18 | 000,000,981 | ---- | C] () -- C:\Users\Public\Desktop\TVUPlayer.lnk
[2011.06.09 21:32:18 | 000,000,964 | ---- | C] () -- C:\Users\Public\Desktop\TerraTec Home Cinema.lnk
[2010.06.22 20:36:20 | 000,116,224 | ---- | C] () -- C:\Windows\System32\redmonnt.dll
[2010.06.22 20:36:20 | 000,045,056 | ---- | C] () -- C:\Windows\System32\unredmon.exe
[2010.05.10 13:02:04 | 000,000,017 | ---- | C] () -- C:\Windows\System32\drivers\VERSION.DAT
[2010.05.10 11:16:18 | 000,982,240 | ---- | C] () -- C:\Windows\System32\igkrng500.bin
[2010.05.10 11:16:18 | 000,004,608 | ---- | C] () -- C:\Windows\System32\HdmiCoin.dll
[2010.05.10 11:16:17 | 000,092,356 | ---- | C] () -- C:\Windows\System32\igfcg500m.bin
[2010.05.10 11:16:16 | 000,439,308 | ---- | C] () -- C:\Windows\System32\igcompkrng500.bin
[2010.03.23 12:54:45 | 000,120,200 | ---- | C] () -- C:\Windows\System32\DLLDEV32i.dll
[2010.03.18 13:32:25 | 000,208,896 | ---- | C] () -- C:\Windows\System32\iglhsip32.dll
[2010.03.18 13:32:25 | 000,143,360 | ---- | C] () -- C:\Windows\System32\iglhcp32.dll
[2010.03.18 13:32:23 | 000,000,151 | ---- | C] () -- C:\Windows\System32\GfxUI.exe.config
[2010.03.18 13:32:22 | 000,073,728 | ---- | C] () -- C:\Windows\System32\RtNicProp32.dll
[2009.08.03 16:07:42 | 000,403,816 | ---- | C] () -- C:\Windows\System32\OGACheckControl.dll
[2009.08.03 16:07:42 | 000,230,768 | ---- | C] () -- C:\Windows\System32\OGAEXEC.exe
[2009.07.14 10:47:43 | 000,658,002 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2009.07.14 10:47:43 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2009.07.14 10:47:43 | 000,130,538 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2009.07.14 10:47:43 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2009.07.14 06:57:37 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009.07.14 06:33:53 | 000,404,912 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2009.07.14 04:05:48 | 000,611,076 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2009.07.14 04:05:48 | 000,291,294 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2009.07.14 04:05:48 | 000,107,262 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2009.07.14 04:05:48 | 000,031,548 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2009.07.14 04:05:05 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2009.07.14 04:04:11 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2009.07.14 02:55:09 | 001,332,736 | ---- | C] () -- C:\Windows\System32\hpotiop1.dll
[2009.07.14 01:55:01 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009.07.14 01:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
[2009.07.14 00:09:19 | 000,139,824 | ---- | C] () -- C:\Windows\System32\igfcg500.bin
[2009.06.10 23:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
 
========== LOP Check ==========
 
[2010.07.16 21:13:04 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\Amazon
[2010.12.21 21:22:40 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\DVDVideoSoft
[2011.01.11 19:46:23 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\DVDVideoSoftIEHelpers
[2010.09.21 19:40:43 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\elsterformular
[2010.09.16 19:36:05 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\FreeFLVConverter
[2011.05.06 18:20:54 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\gtk-2.0
[2010.08.22 14:31:12 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\Helios
[2011.06.10 22:48:50 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\ICQ
[2010.08.30 21:39:39 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\Klett
[2010.07.22 20:22:07 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\MAGIX
[2011.05.06 17:56:05 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\OpenOffice.org
[2011.04.19 21:51:06 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\TerraTec
[2010.07.05 22:38:11 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\Windows Live Writer
[2011.05.10 08:17:25 | 000,032,640 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2011.06.15 20:55:13 | 000,000,000 | -HSD | M] -- C:\$RECYCLE.BIN
[2011.06.13 17:59:34 | 000,000,000 | ---D | M] -- C:\ComboFix
[2010.06.10 20:23:40 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen
[2010.05.10 13:15:07 | 000,000,000 | ---D | M] -- C:\Intel
[2010.03.19 08:24:45 | 000,000,000 | R--D | M] -- C:\MSOCache
[2011.06.16 22:18:35 | 000,000,000 | R--D | M] -- C:\Programme
[2011.06.13 21:41:57 | 000,000,000 | ---D | M] -- C:\ProgramData
[2010.06.10 20:23:40 | 000,000,000 | -HSD | M] -- C:\Programme
[2011.06.13 17:59:34 | 000,000,000 | ---D | M] -- C:\Qoobox
[2011.06.12 08:38:26 | 000,000,000 | ---D | M] -- C:\Qoobox_alt
[2010.06.10 20:23:40 | 000,000,000 | ---D | M] -- C:\Recovery
[2011.06.17 12:08:36 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.05.03 21:48:10 | 000,000,000 | R--D | M] -- C:\Users
[2011.06.16 18:09:46 | 000,000,000 | ---D | M] -- C:\Windows
[2011.06.13 21:27:00 | 000,000,000 | ---D | M] -- C:\_OTL
 
< %PROGRAMFILES%\*.exe >
 
< %PROGRAMFILES%\*. >
[2011.06.14 17:41:21 | 000,000,000 | ---D | M] -- C:\Programme\7-Zip
[2011.06.16 21:54:42 | 000,000,000 | ---D | M] -- C:\Programme\Adobe
[2010.03.23 12:55:32 | 000,000,000 | ---D | M] -- C:\Programme\ALDI Foto Service
[2010.04.15 09:46:33 | 000,000,000 | ---D | M] -- C:\Programme\Aldi Nord Fotoservice
[2010.07.16 21:12:10 | 000,000,000 | ---D | M] -- C:\Programme\Amazon
[2010.09.15 20:56:32 | 000,000,000 | ---D | M] -- C:\Programme\Avira
[2010.12.05 20:47:26 | 000,000,000 | ---D | M] -- C:\Programme\CdCoverCreator
[2011.06.16 21:54:42 | 000,000,000 | ---D | M] -- C:\Programme\Common Files
[2010.03.19 09:25:41 | 000,000,000 | ---D | M] -- C:\Programme\CyberLink
[2009.07.14 10:56:54 | 000,000,000 | ---D | M] -- C:\Programme\DVD Maker
[2011.01.11 19:46:19 | 000,000,000 | ---D | M] -- C:\Programme\DVDVideoSoft
[2010.11.12 19:42:54 | 000,000,000 | ---D | M] -- C:\Programme\EA GAMES
[2010.07.14 22:42:18 | 000,000,000 | ---D | M] -- C:\Programme\Electronic Arts
[2010.09.21 19:40:33 | 000,000,000 | ---D | M] -- C:\Programme\ElsterFormular
[2011.06.16 22:18:35 | 000,000,000 | ---D | M] -- C:\Programme\ESET
[2010.07.30 19:53:18 | 000,000,000 | ---D | M] -- C:\Programme\foobar2000
[2011.06.10 22:09:37 | 000,000,000 | ---D | M] -- C:\Programme\Free FLV Converter
[2010.07.13 22:10:54 | 000,000,000 | ---D | M] -- C:\Programme\Free M4a to MP3 Converter
[2010.06.22 20:36:19 | 000,000,000 | ---D | M] -- C:\Programme\FreePDF_XP
[2011.03.27 20:01:51 | 000,000,000 | ---D | M] -- C:\Programme\Gamigo Games
[2010.06.10 20:23:40 | 000,000,000 | -HSD | M] -- C:\Programme\Gemeinsame Dateien
[2010.06.18 19:39:09 | 000,000,000 | ---D | M] -- C:\Programme\GIMP-2.0
[2011.06.16 21:13:37 | 000,000,000 | ---D | M] -- C:\Programme\Google
[2010.06.22 20:35:46 | 000,000,000 | ---D | M] -- C:\Programme\gs
[2011.06.10 22:50:46 | 000,000,000 | ---D | M] -- C:\Programme\ICQ6Toolbar
[2011.06.10 22:48:50 | 000,000,000 | ---D | M] -- C:\Programme\ICQ7.5
[2011.06.10 22:48:39 | 000,000,000 | -H-D | M] -- C:\Programme\InstallShield Installation Information
[2010.05.10 13:15:31 | 000,000,000 | ---D | M] -- C:\Programme\Intel
[2011.06.17 03:23:20 | 000,000,000 | ---D | M] -- C:\Programme\Internet Explorer
[2011.06.16 21:49:38 | 000,000,000 | ---D | M] -- C:\Programme\Java
[2010.12.01 22:28:47 | 000,000,000 | ---D | M] -- C:\Programme\JRE
[2010.08.30 21:34:30 | 000,000,000 | ---D | M] -- C:\Programme\Klett
[2011.06.13 19:03:35 | 000,000,000 | ---D | M] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.03.18 15:16:16 | 000,000,000 | ---D | M] -- C:\Programme\MEDIONmail
[2011.06.15 00:02:47 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft
[2009.07.14 10:56:50 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft Games
[2010.03.19 08:26:09 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft Office
[2010.03.19 08:43:18 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft Office Suite Activation Assistant
[2011.06.17 03:24:22 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft Silverlight
[2010.03.18 15:11:20 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft SQL Server Compact Edition
[2010.03.18 15:11:54 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft Sync Framework
[2010.12.21 21:53:59 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft Works
[2010.07.14 22:59:19 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft WSE
[2010.03.19 08:26:03 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft.NET
[2009.07.14 06:52:30 | 000,000,000 | ---D | M] -- C:\Programme\MSBuild
[2010.03.23 15:57:20 | 000,000,000 | ---D | M] -- C:\Programme\MSXML 4.0
[2010.11.04 23:27:53 | 000,000,000 | ---D | M] -- C:\Programme\Netdetect
[2011.06.11 19:24:23 | 000,000,000 | ---D | M] -- C:\Programme\NOS
[2010.12.01 22:28:46 | 000,000,000 | ---D | M] -- C:\Programme\OpenOffice.org 3
[2011.03.27 19:28:01 | 000,000,000 | ---D | M] -- C:\Programme\Pando Networks
[2010.06.10 20:23:53 | 000,000,000 | ---D | M] -- C:\Programme\PlayReady
[2010.03.18 14:45:15 | 000,000,000 | ---D | M] -- C:\Programme\Realtek
[2009.07.14 06:52:30 | 000,000,000 | ---D | M] -- C:\Programme\Reference Assemblies
[2011.02.06 20:12:13 | 000,000,000 | ---D | M] -- C:\Programme\Sibelius Software
[2011.06.11 15:13:52 | 000,000,000 | ---D | M] -- C:\Programme\Spybot - Search & Destroy
[2011.06.13 22:20:46 | 000,000,000 | ---D | M] -- C:\Programme\SUPERAntiSpyware
[2010.05.10 13:05:04 | 000,000,000 | ---D | M] -- C:\Programme\Temp
[2011.04.19 21:25:15 | 000,000,000 | ---D | M] -- C:\Programme\TerraTec
[2010.08.22 14:29:11 | 000,000,000 | ---D | M] -- C:\Programme\TextPad 5
[2011.02.11 23:23:38 | 000,000,000 | ---D | M] -- C:\Programme\Tracker Software
[2011.05.11 22:33:39 | 000,000,000 | ---D | M] -- C:\Programme\TVUPlayer
[2009.07.14 06:53:23 | 000,000,000 | ---D | M] -- C:\Programme\Uninstall Information
[2009.07.14 10:47:37 | 000,000,000 | ---D | M] -- C:\Programme\Windows Defender
[2009.07.14 10:56:53 | 000,000,000 | ---D | M] -- C:\Programme\Windows Journal
[2011.06.15 00:03:37 | 000,000,000 | ---D | M] -- C:\Programme\Windows Live
[2010.03.18 15:10:24 | 000,000,000 | ---D | M] -- C:\Programme\Windows Live SkyDrive
[2010.12.15 22:14:29 | 000,000,000 | ---D | M] -- C:\Programme\Windows Mail
[2010.10.15 11:04:15 | 000,000,000 | ---D | M] -- C:\Programme\Windows Media Player
[2010.06.10 20:23:40 | 000,000,000 | ---D | M] -- C:\Programme\Windows NT
[2009.07.14 10:47:37 | 000,000,000 | ---D | M] -- C:\Programme\Windows Photo Viewer
[2009.07.14 06:52:32 | 000,000,000 | ---D | M] -- C:\Programme\Windows Portable Devices
[2010.03.22 15:45:44 | 000,000,000 | ---D | M] -- C:\Programme\Windows Sidebar
 
< %LOCALAPPDATA%\*.exe >
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: EXPLORER.EXE  >
[2009.07.14 03:14:20 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=15BC38A7492BEFE831966ADB477CF76F -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe
[2009.10.31 07:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\ERDNT\cache\explorer.exe
[2009.10.31 07:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\explorer.exe
[2009.10.31 07:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_51a66d6ddafc2ed1\explorer.exe
[2009.08.03 07:49:47 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=9FF6C4C91A3711C0A3B18F87B08B518D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_526619d4f3f142e6\explorer.exe
[2009.08.03 07:35:50 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=B95EEB0F4E5EFBF1038A35B3351CF047 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_51e07e31dad00878\explorer.exe
[2009.10.31 08:00:51 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=C76153C7ECA00FA852BB0C193378F917 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe
 
< MD5 for: REGEDIT.EXE  >
[2009.07.14 03:14:30 | 000,398,336 | ---- | M] (Microsoft Corporation) MD5=8A4883F5E7AC37444F23279239553878 -- C:\Windows\ERDNT\cache\regedit.exe
[2009.07.14 03:14:30 | 000,398,336 | ---- | M] (Microsoft Corporation) MD5=8A4883F5E7AC37444F23279239553878 -- C:\Windows\regedit.exe
[2009.07.14 03:14:30 | 000,398,336 | ---- | M] (Microsoft Corporation) MD5=8A4883F5E7AC37444F23279239553878 -- C:\Windows\winsxs\x86_microsoft-windows-registry-editor_31bf3856ad364e35_6.1.7600.16385_none_f4050b883d2c3c08\regedit.exe
 
< MD5 for: SVCHOST.EXE  >
[2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) MD5=54A47F6B5E09A77E61649109C6A08866 -- C:\Windows\ERDNT\cache\svchost.exe
[2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) MD5=54A47F6B5E09A77E61649109C6A08866 -- C:\Windows\System32\svchost.exe
[2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) MD5=54A47F6B5E09A77E61649109C6A08866 -- C:\Windows\winsxs\x86_microsoft-windows-services-svchost_31bf3856ad364e35_6.1.7600.16385_none_b591afc466a15356\svchost.exe
 
< MD5 for: USERINIT.EXE  >
[2009.07.14 03:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\ERDNT\cache\userinit.exe
[2009.07.14 03:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\System32\userinit.exe
[2009.07.14 03:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_dbff103933038d7c\userinit.exe
 
< MD5 for: WININIT.EXE  >
[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\ERDNT\cache\wininit.exe
[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\System32\wininit.exe
[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe
 
< MD5 for: WINLOGON.EXE  >
[2009.10.28 08:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\ERDNT\cache\winlogon.exe
[2009.10.28 08:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\System32\winlogon.exe
[2009.10.28 08:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_6fc699643622d177\winlogon.exe
[2009.10.28 07:52:08 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=3BABE6767C78FBF5FB8435FEED187F30 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_703394514f56f7c2\winlogon.exe
[2009.07.14 03:14:45 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=8EC6A4AB12B8F3759E21F8E3A388F2CF -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_6f99573a36451166\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-06-17 10:08:51

< End of report >
--- --- ---


Schritt # 5: Fragen beantworten
Wie läuft dein Rechner derzeit?
Code:
Super
Gibt es noch irgendwelche Probleme? Wenn ja, beschreibe diese bitte so gut es geht.
Code:
Unauffällig, keine wilden Plattenaktivitäten, google suche auch ohne umleitung und schnell, aus dem IE kommen auch wieder Töne, mehr geht (fast) nicht.

Sind nun alle Trojanerchen weg?

Gruß, Stefan

M-K-D-B 19.06.2011 08:21
Hallo Stefan,



so, nun bin ich wieder da. :)


Zitat:
Zitat von sbie (Beitrag 673521)
Sind nun alle Trojanerchen weg?
Sieht ganz gut aus. Bevor meine Abschlussantwort kommt, müssen wir uns noch folgendes ansehen:

SecurityCheck hat noch folgende Meldung herausgegeben:
Zitat:
Windows Security Center service is not running! This report may not be accurate!
Das sollten wir uns noch genauer ansehen. Eventuell wurde dieser Windows Dienst durch das Rootkit deaktiviert oder verändert. Dann müssen wir das beheben!





Schritt # 1: Registry mit ERUNT absichern
Da wir in der Registry Änderungen vornehmen müssen, wirst Du die Registry vorher wie folgt sichern:
Lade das Tool ERUNT von Lars Hederer herunter und installiere es. Starte die erunt.exe und erstelle damit eine Backup der Registry in den vorgegebenen Ordner. Unter Sicherungsoptionen bitte alle drei Möglichkeiten anhaken. Das Programm nicht in den Systemstart aufnehmen.





Schritt # 2: Batch Datei ausführen
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
@echo off
cd \
set log=%userprofile%\Desktop\ergebnis.txt
if exist %log% del %log%
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc" /s >> "%userprofile%\Desktop\ergebnis.txt"
notepad "%userprofile%\Desktop\ergebnis.txt"
del %0
  • Wähle Datei --> Speichern unter
  • Dateiname: suche1.bat
  • Dateityp: Wähle Alle Dateien (*.*)
  • Speichere die Datei auf deinem Desktop.
    Es sollte nun ungefähr so aussehen http://larusso.trojaner-board.de/Images/bat.jpg
  • Starte die suche1.bat.
    Vista und Win7 User: Mit Rechtsklick "als Administrator starten"
  • Es öffnet sich die Textdatei ergebnis.txt. Diese Datei befindet sich auch auf deinem Desktop.




Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • das Ergebnis der Batch Datei.

sbie 20.06.2011 17:06
Zitat:
Zitat von M-K-D-B (Beitrag 673834)
Hallo Stefan,
so, nun bin ich wieder da. :)
Wunderbar, Adminausflug?


Zitat:
Zitat von M-K-D-B (Beitrag 673834)
Windows Security Center service is not running! This report may not be accurate!
Nicht vergessen.

Zitat:
Zitat von M-K-D-B (Beitrag 673834)
Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
  • das Ergebnis der Batch Datei.
    ergebnis.txt. Diese Datei befindet sich auch auf deinem Desktop.
ist hier: (lag auf dem Desktop des Admins)
Code:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    DisplayName    REG_SZ    @%SystemRoot%\System32\wscsvc.dll,-200
    ErrorControl    REG_DWORD    0x1
    ImagePath    REG_EXPAND_SZ    %SystemRoot%\System32\svchost.exe -k LocalServiceNetworkRestricted
    Start    REG_DWORD    0x2
    Type    REG_DWORD    0x20
    Description    REG_SZ    @%SystemRoot%\System32\wscsvc.dll,-201
    DependOnService    REG_MULTI_SZ    RpcSs\0winmgmt
    ObjectName    REG_SZ    NT AUTHORITY\LocalService
    ServiceSidType    REG_DWORD    0x1
    RequiredPrivileges    REG_MULTI_SZ    SeChangeNotifyPrivilege\0SeImpersonatePrivilege
    DelayedAutoStart    REG_DWORD    0x1
    FailureActions    REG_BINARY    805101000000000000000000030000001400000001000000C0D4010001000000E09304000000000000000000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum
    0    REG_SZ    Root\LEGACY_WSCSVC\0000
    Count    REG_DWORD    0x1
    NextInstance    REG_DWORD    0x1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters
    ServiceDllUnloadOnStop    REG_DWORD    0x1
    ServiceDll    REG_EXPAND_SZ    %SYSTEMROOT%\system32\wscsvc.dll

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security
    Security    REG_BINARY    01001480C8000000D4000000140000003000000002001C000100000002801400FF010F00010100000000000100000000020098000600000000001400FD01020001010000000000051200000000001800FF010F0001020000000000052000000020020000000014009D010200010100000000000504000000000014008D010200010100000000000506000000000014000001000001010000000000050B000000000028001500000001060000000000055000000049599D779156E555DCF4E20EA78BEBCA7B421356010100000000000512000000010100000000000512000000
Diesmal mit Klick auf Antworten, Vorschau reicht einfach nicht....
Gruß, Stefan

M-K-D-B 21.06.2011 09:20
Hallo Stefan,



Zitat:
Zitat von sbie (Beitrag 674561)
Wunderbar, Adminausflug?
Nein, Hochzeit. :D


Der Service startet automatisch mit Windows, das ist in Ordnung so. :daumenhoc Hier scheint ein Fehler von SecurityCheck vorzuliegen.




Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Dein Rechner ist sauber. :daumenhoc
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.





Schritt # 1: ComboFix deinstallieren
Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücken. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
Code:
Combofix /Uninstall
http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.





Schritt # 2: Systembereinigung mit OTL
Als Nächstes müssen wir alle Programme, die zur Malwarebeseitigung notwendig waren, entfernen:
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Button Bereinigung.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.




Schritt # 3: Programme deinstallieren/löschen
  • Deinstalliere als nächstes bitte folgende Programme über die Systemsteuerung:
    • ERUNT
  • Führe gegebenenfalls einen Neustart deines Rechners durch.
  • Deinstalliere/Lösche gegebenenfalls weitere Dateien und Programme, die wir verwendet haben, manuell, falls sie noch nicht von deinem Rechner entfernt wurden.




Schritt # 4: ESET Online Scanner
  • Ich würde dir empfehlen, 1 mal pro Woche auch mit diesem Scanner dein System zu prüfen.
  • Möchtest Du ESET denoch deinstallieren:
    Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
    Code:
    "%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"
  • Drücke OK.




Schritt # 5: Windows Update aktivieren
Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.
  • Windows + R Taste drücken.
  • Kopiere nun folgenden Text in die Kommandozeile:
    Code:
    RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl
  • Klicke auf Ok.
  • Stelle sicher, dass die automatischen Updates aktiviert sind.
  • Downloade und installiere gegebenenfalls alle verfügbaren Updates.




Schritt # 6: Schutz vor weiteren Infektionen
Damit du in Zukunft vor ähnlichen Infektionen geschützt bist, empfehle ich dir noch ein paar nützliche Programme inklusive ein paar Tipps.
  • Vergewissere dich, dass dein Virenscanner stets aktuell ist und regelmäßig Updates erhält.
  • Daneben empfehle ich dir die Verwendung eines der folgenden Anti-Malware tools:
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Eine Einführung findest du hier
  • Öffne keine E-Mails oder deren Anhänge, wenn du den Absender nicht kennst!
  • Verwende keine Filesharing Programme, da damit sehr oft Malware übertragen wird!
  • Verwende keine Keygens, Cracks oder andere illegale Software!
  • Wähle bei der Installation eines Programms immer die benutzerdefinierte Variante. Somit kannst du unnötige Toolbars, etc. abwählen!
  • Halte ALLE deine Programme aktuell, z. B. mit dem Online Secunia Inspector!




Schritt # 7: Passwörter ändern
  • Du warst mit einem Trojaner infiziert, der Passwörter ausspäht.
  • Darum bitte ich dich, alle deine Passwörter (E-Mail, Ebay, Amazon, Online Banking, Facebook, etc.) zu ändern.




Schritt # 8: Deine Rückmeldung
Bitte gib mir kurz Bescheid, wenn alles erledigt ist und du keine Fragen mehr hast, damit ich das Thema aus meinen Abos löschen kann.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:42 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131