xpack.gen3 versteck Dateien/Festplatte beschädigt
 

Hallo,
ich habe mir besagten Trojaner eingefangen.
Avira konnte ihn nicht beseitigen.
Habe danach mit Malwarebytes einen Kurzscan durchgeführt und gefundene Dateien entfernen lassen.
Warnmeldungen seitdem verschwunden, Dateien jedoch immernoch versteckt.
Logfile von Malwarebytes:
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6842

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

12.06.2011 23:31:19
mbam-log-2011-06-12 (23-31-19).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 179449
Laufzeit: 8 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
c:\programdata\vmbaxaopywyflj.exe (Trojan.FakeAlert) -> 3776 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VmBaxAOpYwYFlj (Trojan.FakeAlert) -> Value: VmBaxAOpYwYFlj -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Userinit (Trojan.Agent) -> Value: Userinit -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programdata\vmbaxaopywyflj.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Benjamin\AppData\Roaming\acroiehelpe.dll (Trojan.Banker) -> Quarantined and deleted successfully.
c:\Users\Benjamin\AppData\Local\temp\tmpBED8.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 23:41 on 12/06/2011 (Benjamin)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
HKCU:DAEMON Tools Lite -> Removed

Checking for services/drivers...


-=E.O.F=-


OTL:OTL Logfile:
--- --- ---

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo Cosinus,
erstmal danke für die schnelle Antwort, bei dem enormen Aufkommen an Anfragen hier.
Hier alle Malwarebytes Logs, die ich habe:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6412

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

21.04.2011 17:33:03
mbam-log-2011-04-21 (17-33-03).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 175743
Laufzeit: 6 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
c:\programdata\mrtpnafmrsnt.exe (Trojan.FakeAlert) -> 3792 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MRtPNAFMRSnT (Trojan.FakeAlert) -> Value: MRtPNAFMRSnT -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{5283BA48-B3A8-A4C7-4C8B-5FC46A91D3D3} (Trojan.ZbotR.Gen) -> Value: {5283BA48-B3A8-A4C7-4C8B-5FC46A91D3D3} -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programdata\mrtpnafmrsnt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Benjamin\AppData\Local\Temp\0.29800580620327444.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6412

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

21.04.2011 21:44:51
mbam-log-2011-04-21 (21-44-51).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|Q:\|)
Durchsuchte Objekte: 305735
Laufzeit: 58 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6842

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

12.06.2011 23:31:19
mbam-log-2011-06-12 (23-31-19).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 179449
Laufzeit: 8 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
c:\programdata\vmbaxaopywyflj.exe (Trojan.FakeAlert) -> 3776 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VmBaxAOpYwYFlj (Trojan.FakeAlert) -> Value: VmBaxAOpYwYFlj -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Userinit (Trojan.Agent) -> Value: Userinit -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programdata\vmbaxaopywyflj.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Benjamin\AppData\Roaming\acroiehelpe.dll (Trojan.Banker) -> Quarantined and deleted successfully.
c:\Users\Benjamin\AppData\Local\temp\tmpBED8.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6842

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

14.06.2011 13:01:05
mbam-log-2011-06-14 (13-01-05).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|Q:\|)
Durchsuchte Objekte: 347896
Laufzeit: 1 Stunde(n), 4 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

23:04:31 Benjamin MESSAGE Protection started successfully
23:04:36 Benjamin MESSAGE IP Protection started successfully
23:08:56 Benjamin MESSAGE IP Protection stopped
23:21:25 Benjamin MESSAGE Protection started successfully
23:21:30 Benjamin MESSAGE IP Protection started successfully
23:24:24 Benjamin MESSAGE IP Protection stopped
23:35:39 Benjamin MESSAGE Protection started successfully
23:35:44 Benjamin MESSAGE IP Protection started successfully
23:37:36 Benjamin MESSAGE IP Protection stopped
23:46:14 Benjamin MESSAGE Protection started successfully
23:46:18 Benjamin MESSAGE IP Protection started successfully
23:48:19 Benjamin MESSAGE IP Protection stopped

Warum hast du vor ein paar Tagen Combofix ausgeführt? Wer hat dich angewiesen?

Ganz ehrlich? Ich kann mich nicht dran erinnern das ausgeführt zu haben!
Das letzte mal am 22.04.11 auf Anweisung des Forums!
Keine Ahnung woher das kommt, ich hab hier auch Logs auf der Festplatte, die sind aber auch vom 22.04.11.
Zudem war ich zu dem Zeitpunkt meines Wissens nach arbeiten.
Also das irritiert mich jetzt selbst.
Kann das sein, dass ich da aus Versehen draufgeklickt und es direkt wieder geschlossen hab?

Dann "spinnt" das Änderungsdatum des Ordners. Wenn du es zuletzt nur auf Anweisung hin ausgeführt hast und sonst nicht ist das ok.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.



Stell uns bitte danach den Quarantäneordner von OTL zur Verfügung. Bitte dabei so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht behindern!
2.) Ordner C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hier erstmal das Logfile:
========== OTL ==========
C:\Users\Benjamin\AppData\Roaming\Tyef folder moved successfully.
C:\Users\Benjamin\AppData\Roaming\xmldm folder moved successfully.
C:\Users\Benjamin\AppData\Roaming\5015\components folder moved successfully.
C:\Users\Benjamin\AppData\Roaming\5015 folder moved successfully.
C:\Users\Benjamin\AppData\Roaming\kock folder moved successfully.
C:\Qoobox\TestC folder moved successfully.
C:\Qoobox\Test folder moved successfully.
C:\Qoobox\Quarantine\Registry_backups folder moved successfully.
C:\Qoobox\Quarantine\C\ProgramData folder moved successfully.
C:\Qoobox\Quarantine\C folder moved successfully.
C:\Qoobox\Quarantine folder moved successfully.
C:\Qoobox\LastRun folder moved successfully.
C:\Qoobox\BackEnv folder moved successfully.
C:\Qoobox folder moved successfully.
C:\cofi.exe\N_ folder moved successfully.
C:\cofi.exe\en-US folder moved successfully.
C:\cofi.exe\de-DE folder moved successfully.
C:\cofi.exe folder moved successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File move failed. F:\AUTORUN.INF scheduled to be moved on reboot.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.24.0 log created on 06142011_143933

Files\Folders moved on Reboot...
File\Folder F:\AUTORUN.INF not found!

Registry entries deleted on Reboot...

Hochgeladen ist auch, aber was mir gerade auffällt ist, dass ich nur den Ordner mit den verschobenen Dateien hochgeladen hab, nicht den kompletten OTL...soll ich nochmal oder reicht der?
Sorry hab mich verlesen :-/

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

2011/06/14 14:59:50.0276 1864 TDSS rootkit removing tool 2.5.4.0 Jun 7 2011 17:31:48
2011/06/14 14:59:50.0470 1864 ================================================================================
2011/06/14 14:59:50.0470 1864 SystemInfo:
2011/06/14 14:59:50.0470 1864
2011/06/14 14:59:50.0470 1864 OS Version: 6.1.7600 ServicePack: 0.0
2011/06/14 14:59:50.0470 1864 Product type: Workstation
2011/06/14 14:59:50.0470 1864 ComputerName: BENJAMIN-NB
2011/06/14 14:59:50.0470 1864 UserName: Benjamin
2011/06/14 14:59:50.0470 1864 Windows directory: C:\Windows
2011/06/14 14:59:50.0470 1864 System windows directory: C:\Windows
2011/06/14 14:59:50.0470 1864 Processor architecture: Intel x86
2011/06/14 14:59:50.0470 1864 Number of processors: 2
2011/06/14 14:59:50.0470 1864 Page size: 0x1000
2011/06/14 14:59:50.0470 1864 Boot type: Normal boot
2011/06/14 14:59:50.0470 1864 ================================================================================
2011/06/14 14:59:51.0603 1864 Initialize success
2011/06/14 14:59:56.0717 0148 ================================================================================
2011/06/14 14:59:56.0717 0148 Scan started
2011/06/14 14:59:56.0717 0148 Mode: Manual;
2011/06/14 14:59:56.0717 0148 ================================================================================
2011/06/14 14:59:57.0514 0148 1394ohci (6d2aca41739bfe8cb86ee8e85f29697d) C:\Windows\system32\DRIVERS\1394ohci.sys
2011/06/14 14:59:57.0566 0148 ACPI (f0e07d144c8685b8774bc32fc8da4df0) C:\Windows\system32\DRIVERS\ACPI.sys
2011/06/14 14:59:57.0617 0148 AcpiPmi (98d81ca942d19f7d9153b095162ac013) C:\Windows\system32\DRIVERS\acpipmi.sys
2011/06/14 14:59:57.0671 0148 adp94xx (21e785ebd7dc90a06391141aac7892fb) C:\Windows\system32\DRIVERS\adp94xx.sys
2011/06/14 14:59:57.0713 0148 adpahci (0c676bc278d5b59ff5abd57bbe9123f2) C:\Windows\system32\DRIVERS\adpahci.sys
2011/06/14 14:59:57.0749 0148 adpu320 (7c7b5ee4b7b822ec85321fe23a27db33) C:\Windows\system32\DRIVERS\adpu320.sys
2011/06/14 14:59:57.0813 0148 AFD (ddc040fdb01ef1712a6b13e52afb104c) C:\Windows\system32\drivers\afd.sys
2011/06/14 14:59:57.0856 0148 agp440 (507812c3054c21cef746b6ee3d04dd6e) C:\Windows\system32\DRIVERS\agp440.sys
2011/06/14 14:59:57.0903 0148 aic78xx (8b30250d573a8f6b4bd23195160d8707) C:\Windows\system32\DRIVERS\djsvs.sys
2011/06/14 14:59:57.0953 0148 aliide (0d40bcf52ea90fc7df2aeab6503dea44) C:\Windows\system32\DRIVERS\aliide.sys
2011/06/14 14:59:57.0988 0148 amdagp (3c6600a0696e90a463771c7422e23ab5) C:\Windows\system32\DRIVERS\amdagp.sys
2011/06/14 14:59:58.0021 0148 amdide (cd5914170297126b6266860198d1d4f0) C:\Windows\system32\DRIVERS\amdide.sys
2011/06/14 14:59:58.0065 0148 AmdK8 (00dda200d71bac534bf56a9db5dfd666) C:\Windows\system32\DRIVERS\amdk8.sys
2011/06/14 14:59:58.0101 0148 AmdPPM (3cbf30f5370fda40dd3e87df38ea53b6) C:\Windows\system32\DRIVERS\amdppm.sys
2011/06/14 14:59:58.0156 0148 amdsata (2101a86c25c154f8314b24ef49d7fbc2) C:\Windows\system32\DRIVERS\amdsata.sys
2011/06/14 14:59:58.0197 0148 amdsbs (ea43af0c423ff267355f74e7a53bdaba) C:\Windows\system32\DRIVERS\amdsbs.sys
2011/06/14 14:59:58.0227 0148 amdxata (b81c2b5616f6420a9941ea093a92b150) C:\Windows\system32\DRIVERS\amdxata.sys
2011/06/14 14:59:58.0291 0148 AppID (feb834c02ce1e84b6a38f953ca067706) C:\Windows\system32\drivers\appid.sys
2011/06/14 14:59:58.0388 0148 arc (2932004f49677bd84dbc72edb754ffb3) C:\Windows\system32\DRIVERS\arc.sys
2011/06/14 14:59:58.0428 0148 arcsas (5d6f36c46fd283ae1b57bd2e9feb0bc7) C:\Windows\system32\DRIVERS\arcsas.sys
2011/06/14 14:59:58.0469 0148 AsyncMac (add2ade1c2b285ab8378d2daaf991481) C:\Windows\system32\DRIVERS\asyncmac.sys
2011/06/14 14:59:58.0503 0148 atapi (338c86357871c167a96ab976519bf59e) C:\Windows\system32\DRIVERS\atapi.sys
2011/06/14 14:59:58.0629 0148 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) D:\Programme\Avira\AntiVir Desktop\avgio.sys
2011/06/14 14:59:58.0693 0148 avgntflt (14fe36d8f2c6a2435275338d061a0b66) C:\Windows\system32\DRIVERS\avgntflt.sys
2011/06/14 14:59:58.0722 0148 avipbb (6d52060b59e7d79cd2a044b6add1f1ef) C:\Windows\system32\DRIVERS\avipbb.sys
2011/06/14 14:59:58.0809 0148 b06bdrv (1a231abec60fd316ec54c66715543cec) C:\Windows\system32\DRIVERS\bxvbdx.sys
2011/06/14 14:59:58.0867 0148 b57nd60x (bd8869eb9cde6bbe4508d869929869ee) C:\Windows\system32\DRIVERS\b57nd60x.sys
2011/06/14 14:59:58.0920 0148 Beep (505506526a9d467307b3c393dedaf858) C:\Windows\system32\drivers\Beep.sys
2011/06/14 14:59:58.0973 0148 blbdrive (2287078ed48fcfc477b05b20cf38f36f) C:\Windows\system32\DRIVERS\blbdrive.sys
2011/06/14 14:59:59.0043 0148 bowser (9a5c671b7fbae4865149bb11f59b91b2) C:\Windows\system32\DRIVERS\bowser.sys
2011/06/14 14:59:59.0077 0148 BrFiltLo (9f9acc7f7ccde8a15c282d3f88b43309) C:\Windows\system32\DRIVERS\BrFiltLo.sys
2011/06/14 14:59:59.0103 0148 BrFiltUp (56801ad62213a41f6497f96dee83755a) C:\Windows\system32\DRIVERS\BrFiltUp.sys
2011/06/14 14:59:59.0144 0148 Brserid (845b8ce732e67f3b4133164868c666ea) C:\Windows\System32\Drivers\Brserid.sys
2011/06/14 14:59:59.0227 0148 BrSerWdm (203f0b1e73adadbbb7b7b1fabd901f6b) C:\Windows\System32\Drivers\BrSerWdm.sys
2011/06/14 14:59:59.0254 0148 BrUsbMdm (bd456606156ba17e60a04e18016ae54b) C:\Windows\System32\Drivers\BrUsbMdm.sys
2011/06/14 14:59:59.0291 0148 BrUsbSer (af72ed54503f717a43268b3cc5faec2e) C:\Windows\System32\Drivers\BrUsbSer.sys
2011/06/14 14:59:59.0347 0148 BthAvrcp (db99076533ffb38cbec8ac88e4535850) C:\Windows\system32\DRIVERS\BthAvrcp.sys
2011/06/14 14:59:59.0411 0148 BthEnum (2865a5c8e98c70c605f417908cebb3a4) C:\Windows\system32\DRIVERS\BthEnum.sys
2011/06/14 14:59:59.0443 0148 BTHMODEM (ed3df7c56ce0084eb2034432fc56565a) C:\Windows\system32\DRIVERS\bthmodem.sys
2011/06/14 14:59:59.0480 0148 BthPan (ad1872e5829e8a2c3b5b4b641c3eab0e) C:\Windows\system32\DRIVERS\bthpan.sys
2011/06/14 14:59:59.0513 0148 BTHPORT (4a34888e13224678dd062466afec4240) C:\Windows\system32\Drivers\BTHport.sys
2011/06/14 14:59:59.0565 0148 BTHUSB (fa04c63916fa221dbb91fce153d07a55) C:\Windows\system32\Drivers\BTHUSB.sys
2011/06/14 14:59:59.0724 0148 cdfs (77ea11b065e0a8ab902d78145ca51e10) C:\Windows\system32\DRIVERS\cdfs.sys
2011/06/14 14:59:59.0778 0148 cdrom (ba6e70aa0e6091bc39de29477d866a77) C:\Windows\system32\DRIVERS\cdrom.sys
2011/06/14 14:59:59.0827 0148 circlass (3fe3fe94a34df6fb06e6418d0f6a0060) C:\Windows\system32\DRIVERS\circlass.sys
2011/06/14 14:59:59.0881 0148 CLFS (635181e0e9bbf16871bf5380d71db02d) C:\Windows\system32\CLFS.sys
2011/06/14 14:59:59.0936 0148 CmBatt (dea805815e587dad1dd2c502220b5616) C:\Windows\system32\DRIVERS\CmBatt.sys
2011/06/14 14:59:59.0964 0148 cmdide (c537b1db64d495b9b4717b4d6d9edbf2) C:\Windows\system32\DRIVERS\cmdide.sys
2011/06/14 15:00:00.0005 0148 CNG (1b675691ed940766149c93e8f4488d68) C:\Windows\system32\Drivers\cng.sys
2011/06/14 15:00:00.0048 0148 Compbatt (a6023d3823c37043986713f118a89bee) C:\Windows\system32\DRIVERS\compbatt.sys
2011/06/14 15:00:00.0091 0148 CompositeBus (f1724ba27e97d627f808fb0ba77a28a6) C:\Windows\system32\DRIVERS\CompositeBus.sys
2011/06/14 15:00:00.0146 0148 crcdisk (2c4ebcfc84a9b44f209dff6c6e6c61d1) C:\Windows\system32\DRIVERS\crcdisk.sys
2011/06/14 15:00:00.0211 0148 CSC (27c9490bdd0ae48911ab8cf1932591ed) C:\Windows\system32\drivers\csc.sys
2011/06/14 15:00:00.0340 0148 DfsC (8e09e52ee2e3ceb199ef3dd99cf9e3fb) C:\Windows\system32\Drivers\dfsc.sys
2011/06/14 15:00:00.0385 0148 discache (1a050b0274bfb3890703d490f330c0da) C:\Windows\system32\drivers\discache.sys
2011/06/14 15:00:00.0430 0148 Disk (565003f326f99802e68ca78f2a68e9ff) C:\Windows\system32\DRIVERS\disk.sys
2011/06/14 15:00:00.0503 0148 drmkaud (b918e7c5f9bf77202f89e1a9539f2eb4) C:\Windows\system32\drivers\drmkaud.sys
2011/06/14 15:00:00.0546 0148 dtsoftbus01 (555e54ac2f601a8821cef58961653991) C:\Windows\system32\DRIVERS\dtsoftbus01.sys
2011/06/14 15:00:00.0614 0148 DXGKrnl (1679a4669326cb1a67cc95658d273234) C:\Windows\System32\drivers\dxgkrnl.sys
2011/06/14 15:00:00.0743 0148 ebdrv (024e1b5cac09731e4d868e64dbfb4ab0) C:\Windows\system32\DRIVERS\evbdx.sys
2011/06/14 15:00:00.0849 0148 elxstor (0ed67910c8c326796faa00b2bf6d9d3c) C:\Windows\system32\DRIVERS\elxstor.sys
2011/06/14 15:00:00.0892 0148 ErrDev (8fc3208352dd3912c94367a206ab3f11) C:\Windows\system32\DRIVERS\errdev.sys
2011/06/14 15:00:00.0971 0148 ewusbnet (7c18a6c99f4119d361a5ca028e788648) C:\Windows\system32\DRIVERS\ewusbnet.sys
2011/06/14 15:00:01.0015 0148 exfat (2dc9108d74081149cc8b651d3a26207f) C:\Windows\system32\drivers\exfat.sys
2011/06/14 15:00:01.0056 0148 fastfat (7e0ab74553476622fb6ae36f73d97d35) C:\Windows\system32\drivers\fastfat.sys
2011/06/14 15:00:01.0109 0148 fdc (e817a017f82df2a1f8cfdbda29388b29) C:\Windows\system32\DRIVERS\fdc.sys
2011/06/14 15:00:01.0149 0148 FileInfo (6cf00369c97f3cf563be99be983d13d8) C:\Windows\system32\drivers\fileinfo.sys
2011/06/14 15:00:01.0186 0148 Filetrace (42c51dc94c91da21cb9196eb64c45db9) C:\Windows\system32\drivers\filetrace.sys
2011/06/14 15:00:01.0214 0148 flpydisk (87907aa70cb3c56600f1c2fb8841579b) C:\Windows\system32\DRIVERS\flpydisk.sys
2011/06/14 15:00:01.0256 0148 FltMgr (7520ec808e0c35e0ee6f841294316653) C:\Windows\system32\drivers\fltmgr.sys
2011/06/14 15:00:01.0306 0148 FsDepends (1a16b57943853e598cff37fe2b8cbf1d) C:\Windows\system32\drivers\FsDepends.sys
2011/06/14 15:00:01.0351 0148 fssfltr (b74b0578fd1d3f897e95f2a2b69ea051) C:\Windows\system32\DRIVERS\fssfltr.sys
2011/06/14 15:00:01.0384 0148 Fs_Rec (a574b4360e438977038aae4bf60d79a2) C:\Windows\system32\drivers\Fs_Rec.sys
2011/06/14 15:00:01.0434 0148 fvevol (dafbd9fe39197495aed6d51f3b85b5d2) C:\Windows\system32\DRIVERS\fvevol.sys
2011/06/14 15:00:01.0482 0148 gagp30kx (65ee0c7a58b65e74ae05637418153938) C:\Windows\system32\DRIVERS\gagp30kx.sys
2011/06/14 15:00:01.0539 0148 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\Windows\system32\DRIVERS\GEARAspiWDM.sys
2011/06/14 15:00:01.0582 0148 ggflt (007aea2e06e7cef7372e40c277163959) C:\Windows\system32\DRIVERS\ggflt.sys
2011/06/14 15:00:01.0606 0148 ggsemc (c73de35960ca75c5ab4ae636b127c64e) C:\Windows\system32\DRIVERS\ggsemc.sys
2011/06/14 15:00:01.0695 0148 giveio (77ebf3e9386daa51551af429052d88d0) C:\Windows\system32\giveio.sys
2011/06/14 15:00:01.0794 0148 hcw85cir (c44e3c2bab6837db337ddee7544736db) C:\Windows\system32\drivers\hcw85cir.sys
2011/06/14 15:00:01.0847 0148 HdAudAddService (3530cad25deba7dc7de8bb51632cbc5f) C:\Windows\system32\drivers\HdAudio.sys
2011/06/14 15:00:01.0893 0148 HDAudBus (717a2207fd6f13ad3e664c7d5a43c7bf) C:\Windows\system32\DRIVERS\HDAudBus.sys
2011/06/14 15:00:01.0920 0148 HidBatt (1d58a7f3e11a9731d0eaaaa8405acc36) C:\Windows\system32\DRIVERS\HidBatt.sys
2011/06/14 15:00:01.0955 0148 HidBth (89448f40e6df260c206a193a4683ba78) C:\Windows\system32\DRIVERS\hidbth.sys
2011/06/14 15:00:02.0000 0148 HidIr (cf50b4cf4a4f229b9f3c08351f99ca5e) C:\Windows\system32\DRIVERS\hidir.sys
2011/06/14 15:00:02.0063 0148 HidUsb (25072fb35ac90b25f9e4e3bacf774102) C:\Windows\system32\DRIVERS\hidusb.sys
2011/06/14 15:00:02.0129 0148 HpSAMD (295fdc419039090eb8b49ffdbb374549) C:\Windows\system32\DRIVERS\HpSAMD.sys
2011/06/14 15:00:02.0190 0148 HTTP (c531c7fd9e8b62021112787c4e2c5a5a) C:\Windows\system32\drivers\HTTP.sys
2011/06/14 15:00:02.0309 0148 hwdatacard (988c0a49f09d75d3341cb419141793c1) C:\Windows\system32\DRIVERS\ewusbmdm.sys
2011/06/14 15:00:02.0354 0148 hwpolicy (8305f33cde89ad6c7a0763ed0b5a8d42) C:\Windows\system32\drivers\hwpolicy.sys
2011/06/14 15:00:02.0436 0148 i8042prt (f151f0bdc47f4a28b1b20a0818ea36d6) C:\Windows\system32\DRIVERS\i8042prt.sys
2011/06/14 15:00:02.0494 0148 iaStorV (934af4d7c5f457b9f0743f4299b77b67) C:\Windows\system32\DRIVERS\iaStorV.sys
2011/06/14 15:00:02.0543 0148 iirsp (4173ff5708f3236cf25195fecd742915) C:\Windows\system32\DRIVERS\iirsp.sys
2011/06/14 15:00:02.0682 0148 IntcAzAudAddService (a9d92a2d9f583892c91202502d979be1) C:\Windows\system32\drivers\RTKVHDA.sys
2011/06/14 15:00:02.0784 0148 intelide (a0f12f2c9ba6c72f3987ce780e77c130) C:\Windows\system32\DRIVERS\intelide.sys
2011/06/14 15:00:02.0825 0148 intelppm (3b514d27bfc4accb4037bc6685f766e0) C:\Windows\system32\DRIVERS\intelppm.sys
2011/06/14 15:00:02.0865 0148 IpFilterDriver (709d1761d3b19a932ff0238ea6d50200) C:\Windows\system32\DRIVERS\ipfltdrv.sys
2011/06/14 15:00:02.0902 0148 IPMIDRV (e4454b6c37d7ffd5649611f6496308a7) C:\Windows\system32\DRIVERS\IPMIDrv.sys
2011/06/14 15:00:02.0949 0148 IPNAT (a5fa468d67abcdaa36264e463a7bb0cd) C:\Windows\system32\drivers\ipnat.sys
2011/06/14 15:00:03.0018 0148 IRENUM (42996cff20a3084a56017b7902307e9f) C:\Windows\system32\drivers\irenum.sys
2011/06/14 15:00:03.0046 0148 isapnp (1f32bb6b38f62f7df1a7ab7292638a35) C:\Windows\system32\DRIVERS\isapnp.sys
2011/06/14 15:00:03.0094 0148 iScsiPrt (ed46c223ae46c6866ab77cdc41c404b7) C:\Windows\system32\DRIVERS\msiscsi.sys
2011/06/14 15:00:03.0146 0148 kbdclass (adef52ca1aeae82b50df86b56413107e) C:\Windows\system32\DRIVERS\kbdclass.sys
2011/06/14 15:00:03.0190 0148 kbdhid (3d9f0ebf350edcfd6498057301455964) C:\Windows\system32\DRIVERS\kbdhid.sys
2011/06/14 15:00:03.0226 0148 KSecDD (e36a061ec11b373826905b21be10948f) C:\Windows\system32\Drivers\ksecdd.sys
2011/06/14 15:00:03.0272 0148 KSecPkg (365c6154bbbc5377173f1ca7bfb6cc59) C:\Windows\system32\Drivers\ksecpkg.sys
2011/06/14 15:00:03.0344 0148 lltdio (f7611ec07349979da9b0ae1f18ccc7a6) C:\Windows\system32\DRIVERS\lltdio.sys
2011/06/14 15:00:03.0395 0148 LSI_FC (eb119a53ccf2acc000ac71b065b78fef) C:\Windows\system32\DRIVERS\lsi_fc.sys
2011/06/14 15:00:03.0436 0148 LSI_SAS (8ade1c877256a22e49b75d1cc9161f9c) C:\Windows\system32\DRIVERS\lsi_sas.sys
2011/06/14 15:00:03.0464 0148 LSI_SAS2 (dc9dc3d3daa0e276fd2ec262e38b11e9) C:\Windows\system32\DRIVERS\lsi_sas2.sys
2011/06/14 15:00:03.0499 0148 LSI_SCSI (0a036c7d7cab643a7f07135ac47e0524) C:\Windows\system32\DRIVERS\lsi_scsi.sys
2011/06/14 15:00:03.0540 0148 luafv (6703e366cc18d3b6e534f5cf7df39cee) C:\Windows\system32\drivers\luafv.sys
2011/06/14 15:00:03.0610 0148 LVUSBSta (a730fc8671a60666d6e877c544dd7cd4) C:\Windows\system32\drivers\lvusbsta.sys
2011/06/14 15:00:03.0754 0148 MBAMProtector (3d2c13377763eeac0ca6fb46f57217ed) C:\Windows\system32\drivers\mbam.sys
2011/06/14 15:00:03.0801 0148 megasas (0fff5b045293002ab38eb1fd1fc2fb74) C:\Windows\system32\DRIVERS\megasas.sys
2011/06/14 15:00:03.0839 0148 MegaSR (dcbab2920c75f390caf1d29f675d03d6) C:\Windows\system32\DRIVERS\MegaSR.sys
2011/06/14 15:00:03.0881 0148 Modem (f001861e5700ee84e2d4e52c712f4964) C:\Windows\system32\drivers\modem.sys
2011/06/14 15:00:03.0941 0148 MODEMCSA (25483f9d590d5f00bd951e1181453ec2) C:\Windows\system32\drivers\MODEMCSA.sys
2011/06/14 15:00:03.0989 0148 monitor (79d10964de86b292320e9dfe02282a23) C:\Windows\system32\DRIVERS\monitor.sys
2011/06/14 15:00:04.0024 0148 mouclass (fb18cc1d4c2e716b6b903b0ac0cc0609) C:\Windows\system32\DRIVERS\mouclass.sys
2011/06/14 15:00:04.0078 0148 mouhid (2c388d2cd01c9042596cf3c8f3c7b24d) C:\Windows\system32\DRIVERS\mouhid.sys
2011/06/14 15:00:04.0113 0148 mountmgr (921c18727c5920d6c0300736646931c2) C:\Windows\system32\drivers\mountmgr.sys
2011/06/14 15:00:04.0152 0148 mpio (2af5997438c55fb79d33d015c30e1974) C:\Windows\system32\DRIVERS\mpio.sys
2011/06/14 15:00:04.0193 0148 mpsdrv (ad2723a7b53dd1aacae6ad8c0bfbf4d0) C:\Windows\system32\drivers\mpsdrv.sys
2011/06/14 15:00:04.0234 0148 MRxDAV (b1be47008d20e43da3adc37c24cdb89d) C:\Windows\system32\drivers\mrxdav.sys
2011/06/14 15:00:04.0307 0148 mrxsmb (b4c76ef46322a9711c7b0f4e21ef6ea5) C:\Windows\system32\DRIVERS\mrxsmb.sys
2011/06/14 15:00:04.0348 0148 mrxsmb10 (e593d45024a3fdd11e93cc4a6ca91101) C:\Windows\system32\DRIVERS\mrxsmb10.sys
2011/06/14 15:00:04.0392 0148 mrxsmb20 (a9f86c82c9cc3b679cc3957e1183a30f) C:\Windows\system32\DRIVERS\mrxsmb20.sys
2011/06/14 15:00:04.0421 0148 msahci (4326d168944123f38dd3b2d9c37a0b12) C:\Windows\system32\DRIVERS\msahci.sys
2011/06/14 15:00:04.0458 0148 msdsm (455029c7174a2dbb03dba8a0d8bddd9a) C:\Windows\system32\DRIVERS\msdsm.sys
2011/06/14 15:00:04.0512 0148 Msfs (daefb28e3af5a76abcc2c3078c07327f) C:\Windows\system32\drivers\Msfs.sys
2011/06/14 15:00:04.0549 0148 mshidkmdf (3e1e5767043c5af9367f0056295e9f84) C:\Windows\System32\drivers\mshidkmdf.sys
2011/06/14 15:00:04.0569 0148 msisadrv (0a4e5757ae09fa9622e3158cc1aef114) C:\Windows\system32\DRIVERS\msisadrv.sys
2011/06/14 15:00:04.0626 0148 MSKSSRV (8c0860d6366aaffb6c5bb9df9448e631) C:\Windows\system32\drivers\MSKSSRV.sys
2011/06/14 15:00:04.0658 0148 MSPCLOCK (3ea8b949f963562cedbb549eac0c11ce) C:\Windows\system32\drivers\MSPCLOCK.sys
2011/06/14 15:00:04.0693 0148 MSPQM (f456e973590d663b1073e9c463b40932) C:\Windows\system32\drivers\MSPQM.sys
2011/06/14 15:00:04.0730 0148 MsRPC (0e008fc4819d238c51d7c93e7b41e560) C:\Windows\system32\drivers\MsRPC.sys
2011/06/14 15:00:04.0767 0148 mssmbios (fc6b9ff600cc585ea38b12589bd4e246) C:\Windows\system32\DRIVERS\mssmbios.sys
2011/06/14 15:00:04.0794 0148 MSTEE (b42c6b921f61a6e55159b8be6cd54a36) C:\Windows\system32\drivers\MSTEE.sys
2011/06/14 15:00:04.0821 0148 MTConfig (33599130f44e1f34631cea241de8ac84) C:\Windows\system32\DRIVERS\MTConfig.sys
2011/06/14 15:00:04.0844 0148 Mup (159fad02f64e6381758c990f753bcc80) C:\Windows\system32\Drivers\mup.sys
2011/06/14 15:00:04.0908 0148 NativeWifiP (26384429fcd85d83746f63e798ab1480) C:\Windows\system32\DRIVERS\nwifi.sys
2011/06/14 15:00:04.0973 0148 NDIS (23759d175a0a9baaf04d05047bc135a8) C:\Windows\system32\drivers\ndis.sys
2011/06/14 15:00:05.0030 0148 NdisCap (0e1787aa6c9191d3d319e8bafe86f80c) C:\Windows\system32\DRIVERS\ndiscap.sys
2011/06/14 15:00:05.0068 0148 NdisTapi (e4a8aec125a2e43a9e32afeea7c9c888) C:\Windows\system32\DRIVERS\ndistapi.sys
2011/06/14 15:00:05.0101 0148 Ndisuio (b30ae7f2b6d7e343b0df32e6c08fce75) C:\Windows\system32\DRIVERS\ndisuio.sys
2011/06/14 15:00:05.0134 0148 NdisWan (267c415eadcbe53c9ca873dee39cf3a4) C:\Windows\system32\DRIVERS\ndiswan.sys
2011/06/14 15:00:05.0165 0148 NDProxy (af7e7c63dcef3f8772726f86039d6eb4) C:\Windows\system32\drivers\NDProxy.sys
2011/06/14 15:00:05.0189 0148 NetBIOS (80b275b1ce3b0e79909db7b39af74d51) C:\Windows\system32\DRIVERS\netbios.sys
2011/06/14 15:00:05.0225 0148 NetBT (dd52a733bf4ca5af84562a5e2f963b91) C:\Windows\system32\DRIVERS\netbt.sys
2011/06/14 15:00:05.0399 0148 netw5v32 (58218ec6b61b1169cf54aab0d00f5fe2) C:\Windows\system32\DRIVERS\netw5v32.sys
2011/06/14 15:00:05.0584 0148 nfrd960 (1d85c4b390b0ee09c7a46b91efb2c097) C:\Windows\system32\DRIVERS\nfrd960.sys
2011/06/14 15:00:05.0661 0148 Npfs (1db262a9f8c087e8153d89bef3d2235f) C:\Windows\system32\drivers\Npfs.sys
2011/06/14 15:00:05.0698 0148 nsiproxy (e9a0a4d07e53d8fea2bb8387a3293c58) C:\Windows\system32\drivers\nsiproxy.sys
2011/06/14 15:00:05.0761 0148 Ntfs (3795dcd21f740ee799fb7223234215af) C:\Windows\system32\drivers\Ntfs.sys
2011/06/14 15:00:05.0813 0148 Null (f9756a98d69098dca8945d62858a812c) C:\Windows\system32\drivers\Null.sys
2011/06/14 15:00:06.0037 0148 nvlddmkm (05b288b25c2ebd9a4e9e5114ae790876) C:\Windows\system32\DRIVERS\nvlddmkm.sys
2011/06/14 15:00:06.0316 0148 nvraid (3f3d04b1d08d43c16ea7963954ec768d) C:\Windows\system32\DRIVERS\nvraid.sys
2011/06/14 15:00:06.0359 0148 nvstor (c99f251a5de63c6f129cf71933aced0f) C:\Windows\system32\DRIVERS\nvstor.sys
2011/06/14 15:00:06.0401 0148 nv_agp (5a0983915f02bae73267cc2a041f717d) C:\Windows\system32\DRIVERS\nv_agp.sys
2011/06/14 15:00:06.0436 0148 ohci1394 (08a70a1f2cdde9bb49b885cb817a66eb) C:\Windows\system32\DRIVERS\ohci1394.sys
2011/06/14 15:00:06.0517 0148 Parport (2ea877ed5dd9713c5ac74e8ea7348d14) C:\Windows\system32\DRIVERS\parport.sys
2011/06/14 15:00:06.0549 0148 partmgr (ff4218952b51de44fe910953a3e686b9) C:\Windows\system32\drivers\partmgr.sys
2011/06/14 15:00:06.0578 0148 Parvdm (eb0a59f29c19b86479d36b35983daadc) C:\Windows\system32\DRIVERS\parvdm.sys
2011/06/14 15:00:06.0607 0148 pci (c858cb77c577780ecc456a892e7e7d0f) C:\Windows\system32\DRIVERS\pci.sys
2011/06/14 15:00:06.0646 0148 pciide (afe86f419014db4e5593f69ffe26ce0a) C:\Windows\system32\DRIVERS\pciide.sys
2011/06/14 15:00:06.0687 0148 pcmcia (f396431b31693e71e8a80687ef523506) C:\Windows\system32\DRIVERS\pcmcia.sys
2011/06/14 15:00:06.0715 0148 pcw (250f6b43d2b613172035c6747aeeb19f) C:\Windows\system32\drivers\pcw.sys
2011/06/14 15:00:06.0765 0148 PEAUTH (9e0104ba49f4e6973749a02bf41344ed) C:\Windows\system32\drivers\peauth.sys
2011/06/14 15:00:06.0873 0148 PID_0920 (a937c4e37c0c1003ce5fca1e5e103fdc) C:\Windows\system32\DRIVERS\LV532AV.SYS
2011/06/14 15:00:06.0955 0148 PptpMiniport (631e3e205ad6d86f2aed6a4a8e69f2db) C:\Windows\system32\DRIVERS\raspptp.sys
2011/06/14 15:00:06.0991 0148 Processor (85b1e3a0c7585bc4aae6899ec6fcf011) C:\Windows\system32\DRIVERS\processr.sys
2011/06/14 15:00:07.0045 0148 Psched (6270ccae2a86de6d146529fe55b3246a) C:\Windows\system32\DRIVERS\pacer.sys
2011/06/14 15:00:07.0112 0148 QCDonner (b1ad87b4c97b6b59fcd075001e76865f) C:\Windows\system32\DRIVERS\LVCD.sys
2011/06/14 15:00:07.0176 0148 ql2300 (ab95ecf1f6659a60ddc166d8315b0751) C:\Windows\system32\DRIVERS\ql2300.sys
2011/06/14 15:00:07.0231 0148 ql40xx (b4dd51dd25182244b86737dc51af2270) C:\Windows\system32\DRIVERS\ql40xx.sys
2011/06/14 15:00:07.0274 0148 QWAVEdrv (584078ca1b95ca72df2a27c336f9719d) C:\Windows\system32\drivers\qwavedrv.sys
2011/06/14 15:00:07.0302 0148 RasAcd (30a81b53c766d0133bb86d234e5556ab) C:\Windows\system32\DRIVERS\rasacd.sys
2011/06/14 15:00:07.0352 0148 RasAgileVpn (57ec4aef73660166074d8f7f31c0d4fd) C:\Windows\system32\DRIVERS\AgileVpn.sys
2011/06/14 15:00:07.0394 0148 Rasl2tp (d9f91eafec2815365cbe6d167e4e332a) C:\Windows\system32\DRIVERS\rasl2tp.sys
2011/06/14 15:00:07.0439 0148 RasPppoe (0fe8b15916307a6ac12bfb6a63e45507) C:\Windows\system32\DRIVERS\raspppoe.sys
2011/06/14 15:00:07.0472 0148 RasSstp (44101f495a83ea6401d886e7fd70096b) C:\Windows\system32\DRIVERS\rassstp.sys
2011/06/14 15:00:07.0515 0148 rdbss (835d7e81bf517a3b72384bdcc85e1ce6) C:\Windows\system32\DRIVERS\rdbss.sys
2011/06/14 15:00:07.0551 0148 rdpbus (0d8f05481cb76e70e1da06ee9f0da9df) C:\Windows\system32\DRIVERS\rdpbus.sys
2011/06/14 15:00:07.0585 0148 RDPCDD (1e016846895b15a99f9a176a05029075) C:\Windows\system32\DRIVERS\RDPCDD.sys
2011/06/14 15:00:07.0634 0148 RDPDR (c5ff95883ffef704d50c40d21cfb3ab5) C:\Windows\system32\drivers\rdpdr.sys
2011/06/14 15:00:07.0678 0148 RDPENCDD (5a53ca1598dd4156d44196d200c94b8a) C:\Windows\system32\drivers\rdpencdd.sys
2011/06/14 15:00:07.0715 0148 RDPREFMP (44b0a53cd4f27d50ed461dae0c0b4e1f) C:\Windows\system32\drivers\rdprefmp.sys
2011/06/14 15:00:07.0755 0148 RDPWD (801371ba9782282892d00aadb08ee367) C:\Windows\system32\drivers\RDPWD.sys
2011/06/14 15:00:07.0791 0148 rdyboost (4ea225bf1cf05e158853f30a99ca29a7) C:\Windows\system32\drivers\rdyboost.sys
2011/06/14 15:00:07.0870 0148 RFCOMM (cb928d9e6daf51879dd6ba8d02f01321) C:\Windows\system32\DRIVERS\rfcomm.sys
2011/06/14 15:00:07.0930 0148 rspndr (032b0d36ad92b582d869879f5af5b928) C:\Windows\system32\DRIVERS\rspndr.sys
2011/06/14 15:00:08.0008 0148 RTL8167 (94a48c15d32d69867f03894a4e70a87a) C:\Windows\system32\DRIVERS\Rt86win7.sys
2011/06/14 15:00:08.0064 0148 s0016bus (59509ad6cbc28f2c73056268985b3e48) C:\Windows\system32\DRIVERS\s0016bus.sys
2011/06/14 15:00:08.0100 0148 s0016mdfl (b98c3a6f91f4fba285af9606a240c6b4) C:\Windows\system32\DRIVERS\s0016mdfl.sys
2011/06/14 15:00:08.0136 0148 s0016mdm (8a83426f4fb7b5212825d9de76368b1a) C:\Windows\system32\DRIVERS\s0016mdm.sys
2011/06/14 15:00:08.0172 0148 s0016mgmt (7a78bba97feb5e6d24c49e93a3bf7287) C:\Windows\system32\DRIVERS\s0016mgmt.sys
2011/06/14 15:00:08.0206 0148 s0016nd5 (34ef7b5f611957b73e7219dd5a222ad1) C:\Windows\system32\DRIVERS\s0016nd5.sys
2011/06/14 15:00:08.0238 0148 s0016obex (36792935847143e4a3cda0dc87248487) C:\Windows\system32\DRIVERS\s0016obex.sys
2011/06/14 15:00:08.0266 0148 s0016unic (927208754fb27fc3e7a659e77500c5d1) C:\Windows\system32\DRIVERS\s0016unic.sys
2011/06/14 15:00:08.0314 0148 s3cap (5423d8437051e89dd34749f242c98648) C:\Windows\system32\DRIVERS\vms3cap.sys
2011/06/14 15:00:08.0376 0148 sbp2port (34ee0c44b724e3e4ce2eff29126de5b5) C:\Windows\system32\DRIVERS\sbp2port.sys
2011/06/14 15:00:08.0412 0148 scfilter (a95c54b2ac3cc9c73fcdf9e51a1d6b51) C:\Windows\system32\DRIVERS\scfilter.sys
2011/06/14 15:00:08.0462 0148 secdrv (90a3935d05b494a5a39d37e71f09a677) C:\Windows\system32\drivers\secdrv.sys
2011/06/14 15:00:08.0530 0148 seehcri (e5b56569a9f79b70314fede6c953641e) C:\Windows\system32\DRIVERS\seehcri.sys
2011/06/14 15:00:08.0587 0148 Serenum (9ad8b8b515e3df6acd4212ef465de2d1) C:\Windows\system32\DRIVERS\serenum.sys
2011/06/14 15:00:08.0616 0148 Serial (5fb7fcea0490d821f26f39cc5ea3d1e2) C:\Windows\system32\DRIVERS\serial.sys
2011/06/14 15:00:08.0649 0148 sermouse (79bffb520327ff916a582dfea17aa813) C:\Windows\system32\DRIVERS\sermouse.sys
2011/06/14 15:00:08.0696 0148 sffdisk (9f976e1eb233df46fce808d9dea3eb9c) C:\Windows\system32\DRIVERS\sffdisk.sys
2011/06/14 15:00:08.0725 0148 sffp_mmc (932a68ee27833cfd57c1639d375f2731) C:\Windows\system32\DRIVERS\sffp_mmc.sys
2011/06/14 15:00:08.0752 0148 sffp_sd (4f1e5b0fe7c8050668dbfade8999aefb) C:\Windows\system32\DRIVERS\sffp_sd.sys
2011/06/14 15:00:08.0785 0148 sfloppy (db96666cc8312ebc45032f30b007a547) C:\Windows\system32\DRIVERS\sfloppy.sys
2011/06/14 15:00:08.0868 0148 Sftfs (cc895997c0995a07b6b2779a3b21918b) C:\Windows\system32\DRIVERS\Sftfslh.sys
2011/06/14 15:00:08.0929 0148 Sftplay (cf5e9798637795db59697f5e40fca993) C:\Windows\system32\DRIVERS\Sftplaylh.sys
2011/06/14 15:00:08.0977 0148 Sftredir (4c8076ff8938b365eeec9123969e0350) C:\Windows\system32\DRIVERS\Sftredirlh.sys
2011/06/14 15:00:09.0011 0148 Sftvol (6095a5f221eca9dada2c9ee80ec0d92d) C:\Windows\system32\DRIVERS\Sftvollh.sys
2011/06/14 15:00:09.0061 0148 sisagp (2565cac0dc9fe0371bdce60832582b2e) C:\Windows\system32\DRIVERS\sisagp.sys
2011/06/14 15:00:09.0109 0148 SiSRaid2 (a9f0486851becb6dda1d89d381e71055) C:\Windows\system32\DRIVERS\SiSRaid2.sys
2011/06/14 15:00:09.0147 0148 SiSRaid4 (3727097b55738e2f554972c3be5bc1aa) C:\Windows\system32\DRIVERS\sisraid4.sys
2011/06/14 15:00:09.0197 0148 Smb (3e21c083b8a01cb70ba1f09303010fce) C:\Windows\system32\DRIVERS\smb.sys
2011/06/14 15:00:09.0290 0148 smserial (859e3adc59d1c89a66aa6492c14d379e) C:\Windows\system32\DRIVERS\smserial.sys
2011/06/14 15:00:09.0401 0148 speedfan (9f70cd5edcc4efc48ae21e04fb03be9d) C:\Windows\system32\speedfan.sys
2011/06/14 15:00:09.0446 0148 spldr (95cf1ae7527fb70f7816563cbc09d942) C:\Windows\system32\drivers\spldr.sys
2011/06/14 15:00:09.0535 0148 srv (4a9b0f215de2519e2363f91df25c1e97) C:\Windows\system32\DRIVERS\srv.sys
2011/06/14 15:00:09.0580 0148 srv2 (14c44875518ae1c982e54ea8c5f7fe28) C:\Windows\system32\DRIVERS\srv2.sys
2011/06/14 15:00:09.0622 0148 srvnet (07a14223b0a50e76ade003fdf95d4fec) C:\Windows\system32\DRIVERS\srvnet.sys
2011/06/14 15:00:09.0689 0148 ssmdrv (5ec550b8952882ee856b862cf648522d) C:\Windows\system32\DRIVERS\ssmdrv.sys
2011/06/14 15:00:09.0744 0148 stexstor (db32d325c192b801df274bfd12a7e72b) C:\Windows\system32\DRIVERS\stexstor.sys
2011/06/14 15:00:09.0799 0148 storflt (957e346ca948668f2496a6ccf6ff82cc) C:\Windows\system32\DRIVERS\vmstorfl.sys
2011/06/14 15:00:09.0842 0148 storvsc (d5751969dc3e4b88bf482ac8ec9fe019) C:\Windows\system32\DRIVERS\storvsc.sys
2011/06/14 15:00:09.0874 0148 swenum (e58c78a848add9610a4db6d214af5224) C:\Windows\system32\DRIVERS\swenum.sys
2011/06/14 15:00:09.0966 0148 Tcpip (bb7f39c31c4a4417fd318e7cd184e225) C:\Windows\system32\drivers\tcpip.sys
2011/06/14 15:00:10.0051 0148 TCPIP6 (bb7f39c31c4a4417fd318e7cd184e225) C:\Windows\system32\DRIVERS\tcpip.sys
2011/06/14 15:00:10.0130 0148 tcpipreg (e64444523add154f86567c469bc0b17f) C:\Windows\system32\drivers\tcpipreg.sys
2011/06/14 15:00:10.0197 0148 TDPIPE (1875c1490d99e70e449e3afae9fcbadf) C:\Windows\system32\drivers\tdpipe.sys
2011/06/14 15:00:10.0226 0148 TDTCP (7551e91ea999ee9a8e9c331d5a9c31f3) C:\Windows\system32\drivers\tdtcp.sys
2011/06/14 15:00:10.0265 0148 tdx (cb39e896a2a83702d1737bfd402b3542) C:\Windows\system32\DRIVERS\tdx.sys
2011/06/14 15:00:10.0301 0148 TermDD (c36f41ee20e6999dbf4b0425963268a5) C:\Windows\system32\DRIVERS\termdd.sys
2011/06/14 15:00:10.0403 0148 truecrypt (aceb4f4f83b895e15c8c1a2f55009783) C:\Windows\system32\drivers\truecrypt.sys
2011/06/14 15:00:10.0452 0148 tssecsrv (98ae6fa07d12cb4ec5cf4a9bfa5f4242) C:\Windows\system32\DRIVERS\tssecsrv.sys
2011/06/14 15:00:10.0505 0148 TTCinergyT2 (a4a06dda70c8e7439c08b501408ad9d7) C:\Windows\system32\drivers\TTCinergyT2BDA.sys
2011/06/14 15:00:10.0557 0148 tunnel (3e461d890a97f9d4c168f5fda36e1d00) C:\Windows\system32\DRIVERS\tunnel.sys
2011/06/14 15:00:10.0589 0148 uagp35 (750fbcb269f4d7dd2e420c56b795db6d) C:\Windows\system32\DRIVERS\uagp35.sys
2011/06/14 15:00:10.0626 0148 udfs (09cc3e16f8e5ee7168e01cf8fcbe061a) C:\Windows\system32\DRIVERS\udfs.sys
2011/06/14 15:00:10.0702 0148 uliagpkx (44e8048ace47befbfdc2e9be4cbc8880) C:\Windows\system32\DRIVERS\uliagpkx.sys
2011/06/14 15:00:10.0757 0148 umbus (049b3a50b3d646baeeee9eec9b0668dc) C:\Windows\system32\DRIVERS\umbus.sys
2011/06/14 15:00:10.0805 0148 UmPass (7550ad0c6998ba1cb4843e920ee0feac) C:\Windows\system32\DRIVERS\umpass.sys
2011/06/14 15:00:10.0857 0148 USBAAPL (d4fb6ecc60a428564ba8768b0e23c0fc) C:\Windows\system32\Drivers\usbaapl.sys
2011/06/14 15:00:10.0912 0148 usbaudio (2436a42aab4ad48a9b714e5b0f344627) C:\Windows\system32\drivers\usbaudio.sys
2011/06/14 15:00:10.0952 0148 usbccgp (8455c4ed038efd09e99327f9d2d48ffa) C:\Windows\system32\DRIVERS\usbccgp.sys
2011/06/14 15:00:10.0991 0148 usbcir (04ec7cec62ec3b6d9354eee93327fc82) C:\Windows\system32\DRIVERS\usbcir.sys
2011/06/14 15:00:11.0033 0148 usbehci (1c333bfd60f2fed2c7ad5daf533cb742) C:\Windows\system32\DRIVERS\usbehci.sys
2011/06/14 15:00:11.0078 0148 usbhub (ee6ef93ccfa94fae8c6ab298273d8ae2) C:\Windows\system32\DRIVERS\usbhub.sys
2011/06/14 15:00:11.0116 0148 usbohci (a6fb7957ea7afb1165991e54ce934b74) C:\Windows\system32\DRIVERS\usbohci.sys
2011/06/14 15:00:11.0167 0148 usbprint (797d862fe0875e75c7cc4c1ad7b30252) C:\Windows\system32\DRIVERS\usbprint.sys
2011/06/14 15:00:11.0244 0148 usbscan (576096ccbc07e7c4ea4f5e6686d6888f) C:\Windows\system32\DRIVERS\usbscan.sys
2011/06/14 15:00:11.0284 0148 USBSTOR (d8889d56e0d27e57ed4591837fe71d27) C:\Windows\system32\DRIVERS\USBSTOR.SYS
2011/06/14 15:00:11.0319 0148 usbuhci (78780c3ebce17405b1ccd07a3a8a7d72) C:\Windows\system32\DRIVERS\usbuhci.sys
2011/06/14 15:00:11.0374 0148 vdrvroot (a059c4c3edb09e07d21a8e5c0aabd3cb) C:\Windows\system32\DRIVERS\vdrvroot.sys
2011/06/14 15:00:11.0419 0148 vga (17c408214ea61696cec9c66e388b14f3) C:\Windows\system32\DRIVERS\vgapnp.sys
2011/06/14 15:00:11.0445 0148 VgaSave (8e38096ad5c8570a6f1570a61e251561) C:\Windows\System32\drivers\vga.sys
2011/06/14 15:00:11.0486 0148 vhdmp (3be6e1f3a4f1afec8cee0d7883f93583) C:\Windows\system32\DRIVERS\vhdmp.sys
2011/06/14 15:00:11.0530 0148 viaagp (c829317a37b4bea8f39735d4b076e923) C:\Windows\system32\DRIVERS\viaagp.sys
2011/06/14 15:00:11.0564 0148 ViaC7 (e02f079a6aa107f06b16549c6e5c7b74) C:\Windows\system32\DRIVERS\viac7.sys
2011/06/14 15:00:11.0593 0148 viaide (e43574f6a56a0ee11809b48c09e4fd3c) C:\Windows\system32\DRIVERS\viaide.sys
2011/06/14 15:00:11.0646 0148 vmbus (379b349f65f453d2a6e75ea6b7448e49) C:\Windows\system32\DRIVERS\vmbus.sys
2011/06/14 15:00:11.0680 0148 VMBusHID (ec2bbab4b84d0738c6c83d2234dc36fe) C:\Windows\system32\DRIVERS\VMBusHID.sys
2011/06/14 15:00:11.0716 0148 volmgr (384e5a2aa49934295171e499f86ba6f3) C:\Windows\system32\DRIVERS\volmgr.sys
2011/06/14 15:00:11.0746 0148 volmgrx (b5bb72067ddddbbfb04b2f89ff8c3c87) C:\Windows\system32\drivers\volmgrx.sys
2011/06/14 15:00:11.0779 0148 volsnap (58df9d2481a56edde167e51b334d44fd) C:\Windows\system32\DRIVERS\volsnap.sys
2011/06/14 15:00:11.0842 0148 vpcbus (33e74df34753fcaab06f6f2bdc8cabf5) C:\Windows\system32\DRIVERS\vpchbus.sys
2011/06/14 15:00:11.0899 0148 vpcnfltr (5f04362ceb5fb5901037e9d9eadd3760) C:\Windows\system32\DRIVERS\vpcnfltr.sys
2011/06/14 15:00:11.0929 0148 vpcusb (625088d6ee9ede977fd03cf18d1cd5c5) C:\Windows\system32\DRIVERS\vpcusb.sys
2011/06/14 15:00:11.0969 0148 vpcuxd (f49c0d1f8dae860ee47e5f34ac0f6008) C:\Windows\system32\DRIVERS\vpcuxd.sys
2011/06/14 15:00:12.0032 0148 vpcvmm (5ed378d91e32134f3c0b3810860ffd71) C:\Windows\system32\drivers\vpcvmm.sys
2011/06/14 15:00:12.0090 0148 vsmraid (9dfa0cc2f8855a04816729651175b631) C:\Windows\system32\DRIVERS\vsmraid.sys
2011/06/14 15:00:12.0135 0148 vwifibus (90567b1e658001e79d7c8bbd3dde5aa6) C:\Windows\System32\drivers\vwifibus.sys
2011/06/14 15:00:12.0183 0148 WacomPen (de3721e89c653aa281428c8a69745d90) C:\Windows\system32\DRIVERS\wacompen.sys
2011/06/14 15:00:12.0221 0148 WANARP (692a712062146e96d28ba0b7d75de31b) C:\Windows\system32\DRIVERS\wanarp.sys
2011/06/14 15:00:12.0239 0148 Wanarpv6 (692a712062146e96d28ba0b7d75de31b) C:\Windows\system32\DRIVERS\wanarp.sys
2011/06/14 15:00:12.0316 0148 Wd (1112a9badacb47b7c0bb0392e3158dff) C:\Windows\system32\DRIVERS\wd.sys
2011/06/14 15:00:12.0361 0148 Wdf01000 (9950e3d0f08141c7e89e64456ae7dc73) C:\Windows\system32\drivers\Wdf01000.sys
2011/06/14 15:00:12.0451 0148 WfpLwf (8b9a943f3b53861f2bfaf6c186168f79) C:\Windows\system32\DRIVERS\wfplwf.sys
2011/06/14 15:00:12.0479 0148 WIMMount (5cf95b35e59e2a38023836fff31be64c) C:\Windows\system32\drivers\wimmount.sys
2011/06/14 15:00:12.0563 0148 WinUSB (30fc6e5448d0cbaaa95280eeef7fedae) C:\Windows\system32\DRIVERS\WinUSB.sys
2011/06/14 15:00:12.0610 0148 WmiAcpi (0217679b8fca58714c3bf2726d2ca84e) C:\Windows\system32\DRIVERS\wmiacpi.sys
2011/06/14 15:00:12.0662 0148 ws2ifsl (6db3276587b853bf886b69528fdb048c) C:\Windows\system32\drivers\ws2ifsl.sys
2011/06/14 15:00:12.0747 0148 WudfPf (6f9b6c0c93232cff47d0f72d6db1d21e) C:\Windows\system32\drivers\WudfPf.sys
2011/06/14 15:00:12.0802 0148 WUDFRd (f91ff1e51fca30b3c3981db7d5924252) C:\Windows\system32\DRIVERS\WUDFRd.sys
2011/06/14 15:00:12.0907 0148 MBR (0x1B8) (a36c5e4f47e84449ff07ed3517b43a31) \Device\Harddisk0\DR0
2011/06/14 15:00:12.0928 0148 ================================================================================
2011/06/14 15:00:12.0928 0148 Scan finished
2011/06/14 15:00:12.0928 0148 ================================================================================
2011/06/14 15:00:12.0941 3600 Detected object count: 0
2011/06/14 15:00:12.0941 3600 Actual detected object count: 0

Gut. Dann bitte ein neues CF-Log erstellen, CF als cofi.exe natürlich neu herunterladen:


ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Combofix Logfile:
--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Combofix Logfile:
--- --- ---


neu gestartet hat er wohl nicht...

Stell uns bitte danach den Quarantäneordner von CF zur Verfügung. Bitte dabei so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\Qoobox in eine Datei zippen
3.) die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

! Kann den Inhalt von C:\Qoobox\BackEnv\* nicht lesen.
! Konnte Qoobox.rar nicht erstellen.
! Zugriff verweigert

- Virenscanner ist abgestellt?
- Qoobox mal komplett auf den Desktop kopieren und dann vom Desktop aus packen

Ja alles aus.
1.erstellt der jedes Mal vor dem Kopieren nen neuen Ordner der Qoobox heißt und fragt mich dann ob ich den ersetzen will weil der ja schon existiert.
2.sagt der mir jedes mal die Dateien wären schon vorhanden und ich muss die ersetzen
3.verweigert der den Zugriff auf ''env'' und meint ich hätte keine Administratorrechte, die ich aber habe...

Hm, dann pack mir mal bitte nur den Ordner C:\Qoobox\Quarantine und lad die ZIP bei uns hoch

ist oben...

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

GMER:
GMER Logfile:
--- --- ---


OSAM Logfile:
--- --- ---
If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru



MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 7 Ultimate Edition
Windows Information: (build 7600), 32-bit
Logical Drives Mask: 0x0001013c

Kernel Drivers (total 206):
0x8301B000 \SystemRoot\system32\ntkrnlpa.exe
0x8342B000 \SystemRoot\system32\halmacpi.dll
0x80BA7000 \SystemRoot\system32\kdcom.dll
0x8362F000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x836A7000 \SystemRoot\system32\PSHED.dll
0x836B8000 \SystemRoot\system32\BOOTVID.dll
0x836C0000 \SystemRoot\system32\CLFS.SYS
0x83702000 \SystemRoot\system32\CI.dll
0x88E04000 \SystemRoot\system32\drivers\Wdf01000.sys
0x88E75000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x88E83000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x88ECB000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
0x88ED4000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x88EDC000 \SystemRoot\system32\DRIVERS\pci.sys
0x88F06000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x88F11000 \SystemRoot\System32\drivers\partmgr.sys
0x88F22000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x88F2A000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x88F35000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x88F45000 \SystemRoot\System32\drivers\volmgrx.sys
0x88F90000 \SystemRoot\system32\DRIVERS\intelide.sys
0x88F97000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
0x88FA5000 \SystemRoot\System32\drivers\mountmgr.sys
0x88FBB000 \SystemRoot\system32\DRIVERS\atapi.sys
0x88FC4000 \SystemRoot\system32\DRIVERS\ataport.SYS
0x88FE7000 \SystemRoot\system32\DRIVERS\amdxata.sys
0x837AD000 \SystemRoot\system32\drivers\fltmgr.sys
0x837E1000 \SystemRoot\system32\drivers\fileinfo.sys
0x89028000 \SystemRoot\System32\Drivers\Ntfs.sys
0x89157000 \SystemRoot\System32\Drivers\msrpc.sys
0x89182000 \SystemRoot\System32\Drivers\ksecdd.sys
0x89195000 \SystemRoot\System32\Drivers\cng.sys
0x891F2000 \SystemRoot\System32\drivers\pcw.sys
0x89000000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x89232000 \SystemRoot\system32\drivers\ndis.sys
0x892E9000 \SystemRoot\system32\drivers\NETIO.SYS
0x89327000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x89402000 \SystemRoot\System32\drivers\tcpip.sys
0x8954B000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8957C000 \SystemRoot\system32\DRIVERS\vmstorfl.sys
0x89585000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x895C4000 \SystemRoot\System32\Drivers\spldr.sys
0x895CC000 \SystemRoot\system32\speedfan.sys
0x895D0000 \SystemRoot\system32\DRIVERS\sbp2port.sys
0x8934C000 \SystemRoot\System32\drivers\rdyboost.sys
0x895E8000 \SystemRoot\System32\Drivers\mup.sys
0x895F8000 \SystemRoot\System32\drivers\hwpolicy.sys
0x89400000 \SystemRoot\system32\giveio.sys
0x89379000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x893AB000 \SystemRoot\system32\DRIVERS\disk.sys
0x893BC000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x89009000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8921A000 \SystemRoot\System32\Drivers\Null.SYS
0x89221000 \SystemRoot\System32\Drivers\Beep.SYS
0x88FF0000 \SystemRoot\System32\drivers\vga.sys
0x83600000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x83621000 \SystemRoot\System32\drivers\watchdog.sys
0x89228000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x837F2000 \SystemRoot\system32\drivers\rdpencdd.sys
0x8E621000 \SystemRoot\system32\drivers\rdprefmp.sys
0x8E629000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8E634000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8E642000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8E659000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8E664000 \SystemRoot\system32\drivers\afd.sys
0x8E6BE000 \SystemRoot\System32\DRIVERS\netbt.sys
0x8E6F0000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x8E6F7000 \SystemRoot\system32\DRIVERS\pacer.sys
0x8E716000 \SystemRoot\system32\DRIVERS\vpcnfltr.sys
0x8E726000 \SystemRoot\system32\DRIVERS\netbios.sys
0x8E734000 \SystemRoot\system32\DRIVERS\dtsoftbus01.sys
0x8E76F000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x8E782000 \SystemRoot\system32\drivers\vpcvmm.sys
0x8E7C9000 \SystemRoot\System32\drivers\truecrypt.sys
0x8E600000 \SystemRoot\system32\DRIVERS\termdd.sys
0x8E610000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x8E83D000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x8E87E000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8E888000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x8E892000 \SystemRoot\System32\drivers\discache.sys
0x8E89E000 \SystemRoot\system32\drivers\csc.sys
0x8E902000 \SystemRoot\System32\Drivers\dfsc.sys
0x8E91A000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x8E928000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x8E944000 \??\D:\Programme\Avira\AntiVir Desktop\avgio.sys
0x8E946000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8E967000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x8E979000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x91422000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x96815000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x968CC000 \SystemRoot\System32\drivers\dxgmms1.sys
0x96905000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x9690E000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x96A02000 \SystemRoot\system32\DRIVERS\netw5v32.sys
0x96E15000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x96E20000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x96E6B000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x96E7A000 \SystemRoot\system32\DRIVERS\1394ohci.sys
0x96EA6000 \SystemRoot\system32\DRIVERS\Rt86win7.sys
0x96EF8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x96F10000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x96F1D000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x96F2A000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x96F30000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x96F3D000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x96F4F000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x96F67000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x96F72000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x96F94000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x96FAC000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x96FC3000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x96FDA000 \SystemRoot\system32\DRIVERS\rdpbus.sys
0x96FE4000 \SystemRoot\system32\DRIVERS\seehcri.sys
0x96FEA000 \SystemRoot\system32\DRIVERS\swenum.sys
0x9692D000 \SystemRoot\system32\DRIVERS\ks.sys
0x96FEC000 \SystemRoot\system32\DRIVERS\umbus.sys
0x96961000 \SystemRoot\system32\DRIVERS\vpcusb.sys
0x96979000 \SystemRoot\system32\DRIVERS\usbrpm.sys
0x96FFA000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x96986000 \SystemRoot\system32\DRIVERS\vpchbus.sys
0x969BC000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x96800000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x97631000 \SystemRoot\system32\DRIVERS\smserial.sys
0x9773D000 \SystemRoot\system32\drivers\modem.sys
0x97A28000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x97D01000 \SystemRoot\system32\drivers\portcls.sys
0x97D30000 \SystemRoot\system32\drivers\drmk.sys
0x97D54000 \SystemRoot\system32\drivers\MODEMCSA.sys
0x97D5E000 \SystemRoot\System32\Drivers\crashdmp.sys
0x97D6B000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x97D76000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x97D7F000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x98E30000 \SystemRoot\System32\win32k.sys
0x97D90000 \SystemRoot\System32\drivers\Dxapi.sys
0x97D9A000 \SystemRoot\system32\DRIVERS\monitor.sys
0x99090000 \SystemRoot\System32\TSDDD.dll
0x990C0000 \SystemRoot\System32\cdd.dll
0x97DA5000 \SystemRoot\system32\drivers\luafv.sys
0x97DC0000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x97DD4000 \SystemRoot\system32\DRIVERS\Sftvollh.sys
0x97DDD000 \SystemRoot\system32\drivers\WudfPf.sys
0x97A00000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x97755000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x97A10000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x9779B000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x91B55000 \SystemRoot\system32\drivers\HTTP.sys
0x977AE000 \SystemRoot\system32\DRIVERS\bowser.sys
0x977C7000 \SystemRoot\System32\drivers\mpsdrv.sys
0x977D9000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x8E97D000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x97600000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x9BC16000 \SystemRoot\system32\drivers\peauth.sys
0x9BCAD000 \SystemRoot\System32\Drivers\secdrv.SYS
0x9BCB7000 \SystemRoot\system32\DRIVERS\Sftfslh.sys
0x9BD43000 \SystemRoot\system32\DRIVERS\Sftplaylh.sys
0x9BD79000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x9BD9A000 \SystemRoot\System32\drivers\tcpipreg.sys
0x9BDA7000 \SystemRoot\System32\DRIVERS\srv2.sys
0x9C019000 \SystemRoot\System32\DRIVERS\srv.sys
0x9C06B000 \SystemRoot\system32\DRIVERS\Sftredirlh.sys
0x9C074000 \SystemRoot\system32\drivers\spsys.sys
0x9C0DE000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x9C0F4000 \??\C:\Windows\system32\drivers\mbam.sys
0x9C150000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x9C167000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0x9C17E000 \SystemRoot\system32\DRIVERS\WinUSB.sys
0x9C1A8000 \??\C:\Users\Benjamin\AppData\Local\Temp\uglcipow.sys
0x77B70000 \Windows\System32\ntdll.dll
0x48040000 \Windows\System32\smss.exe
0x77DB0000 \Windows\System32\apisetschema.dll
0x006D0000 \Windows\System32\autochk.exe
0x77D10000 \Windows\System32\oleaut32.dll
0x77AF0000 \Windows\System32\comdlg32.dll
0x77CB0000 \Windows\System32\difxapi.dll
0x77A50000 \Windows\System32\advapi32.dll
0x778F0000 \Windows\System32\ole32.dll
0x778E0000 \Windows\System32\psapi.dll
0x77810000 \Windows\System32\user32.dll
0x777D0000 \Windows\System32\ws2_32.dll
0x77690000 \Windows\System32\urlmon.dll
0x77630000 \Windows\System32\shlwapi.dll
0x77610000 \Windows\System32\imm32.dll
0x775C0000 \Windows\System32\Wldap32.dll
0x775B0000 \Windows\System32\lpk.dll
0x77500000 \Windows\System32\rpcrt4.dll
0x77460000 \Windows\System32\usp10.dll
0x77410000 \Windows\System32\gdi32.dll
0x773E0000 \Windows\System32\imagehlp.dll
0x771E0000 \Windows\System32\iertutil.dll
0x77110000 \Windows\System32\msctf.dll
0x77100000 \Windows\System32\normaliz.dll
0x77070000 \Windows\System32\clbcatq.dll
0x76FC0000 \Windows\System32\msvcrt.dll
0x76EC0000 \Windows\System32\wininet.dll
0x76EB0000 \Windows\System32\nsi.dll
0x76D10000 \Windows\System32\setupapi.dll
0x76C30000 \Windows\System32\kernel32.dll
0x75FE0000 \Windows\System32\shell32.dll
0x75FC0000 \Windows\System32\sechost.dll
0x75F90000 \Windows\System32\wintrust.dll
0x75F40000 \Windows\System32\KernelBase.dll
0x75F20000 \Windows\System32\devobj.dll
0x75EF0000 \Windows\System32\cfgmgr32.dll
0x75E60000 \Windows\System32\comctl32.dll
0x75D40000 \Windows\System32\crypt32.dll
0x75D30000 \Windows\System32\msasn1.dll

Processes (total 53):
0 System Idle Process
4 System
276 C:\Windows\System32\smss.exe
404 csrss.exe
452 C:\Windows\System32\wininit.exe
464 csrss.exe
508 C:\Windows\System32\services.exe
540 C:\Windows\System32\winlogon.exe
560 C:\Windows\System32\lsass.exe
568 C:\Windows\System32\lsm.exe
684 C:\Windows\System32\svchost.exe
768 C:\Windows\System32\nvvsvc.exe
804 C:\Windows\System32\svchost.exe
888 C:\Windows\System32\svchost.exe
936 C:\Windows\System32\svchost.exe
984 C:\Windows\System32\svchost.exe
1128 C:\Windows\System32\svchost.exe
1312 C:\Windows\System32\rundll32.exe
1332 C:\Windows\System32\svchost.exe
1508 C:\Windows\System32\svchost.exe
1600 C:\Windows\System32\spoolsv.exe
1632 D:\Programme\Avira\AntiVir Desktop\sched.exe
1652 D:\Programme\Avira\AntiVir Desktop\avguard.exe
1892 C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1916 C:\Program Files\Bonjour\mDNSResponder.exe
1952 C:\Windows\System32\svchost.exe
2004 C:\Program Files\Palm, Inc\novacom\x86\novacomd.exe
108 D:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
308 C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
1480 C:\Program Files\Microsoft Application Virtualization Client\sftvsa.exe
1404 C:\Windows\System32\svchost.exe
2080 D:\Program Files\Verbindungsassistent\WTGService.exe
2132 C:\Program Files\Microsoft Application Virtualization Client\sftlist.exe
2500 C:\Windows\System32\taskhost.exe
2928 C:\Program Files\Common Files\microsoft shared\Virtualization Handler\CVHSVC.EXE
3028 C:\Windows\System32\sppsvc.exe
3096 C:\Windows\System32\svchost.exe
3356 C:\Windows\System32\rundll32.exe
3500 C:\Windows\System32\dwm.exe
3524 C:\Windows\explorer.exe
3616 C:\Windows\System32\rundll32.exe
3684 C:\Program Files\Windows Sidebar\sidebar.exe
884 C:\Program Files\Windows Media Player\wmpnetwk.exe
3768 C:\Windows\System32\svchost.exe
2984 D:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
3820 C:\Windows\System32\svchost.exe
1212 C:\Windows\System32\audiodg.exe
4092 D:\Program Files\Mozilla Firefox\firefox.exe
4064 D:\Program Files\Mozilla Firefox\plugin-container.exe
3004 C:\Users\Benjamin\Desktop\osam\osam.exe
2188 C:\Users\Benjamin\Desktop\MBRCheck.exe
1396 C:\Windows\System32\conhost.exe
2348 C:\Windows\System32\dllhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`007e0000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000006`40100000 (NTFS)
\\.\Q: --> error 5

PhysicalDrive0 Model Number: SAMSUNGHM320JI, Rev: 2SS00_01

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79


Done!

Achja was ich noch sagen wollte:
Der eine Trojaner war anscheinend nicht der einzige, der hat wohl noch irgendeinen gefunden der Banker heißt oder so.
Gibts vielleicht noch ein paar Tips für eine gute Abwehr solcher Biester, damit ich mir nicht nochmal das System zerschieße und euch unnötig Arbeit bereite?=)
Ich bin immernoch begeistert wie schnell ihr das hier alles abhandelt! Respekt von meiner Seite aus! :)

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Halte Dich am besten grob an diese Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Sucunia PSI
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6) automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6842

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

14.06.2011 21:27:03
mbam-log-2011-06-14 (21-27-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|Q:\|)
Durchsuchte Objekte: 348035
Laufzeit: 56 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

Oh, dachte das hätte ich heute Mittag schon gemacht!
Dann folgt heute noch Superantispyware und der Rest morgen!

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/14/2011 at 11:43 PM

Application Version : 4.54.1000

Core Rules Database Version : 7264
Trace Rules Database Version: 5076

Scan type : Complete Scan
Total Scan Time : 02:06:17

Memory items scanned : 703
Memory threats detected : 0
Registry items scanned : 9626
Registry threats detected : 0
File items scanned : 170647
File threats detected : 9

Adware.Tracking Cookie
C:\Users\Benjamin\AppData\Roaming\Microsoft\Windows\Cookies\benjamin@atdmt.combing[2].txt
C:\Users\Benjamin\AppData\Roaming\Microsoft\Windows\Cookies\benjamin@fastclick[1].txt
C:\Users\Benjamin\AppData\Roaming\Microsoft\Windows\Cookies\benjamin@bs.serving-sys[1].txt
C:\Users\Benjamin\AppData\Roaming\Microsoft\Windows\Cookies\benjamin@atdmt[2].txt
C:\Users\Benjamin\AppData\Roaming\Microsoft\Windows\Cookies\benjamin@serving-sys[1].txt
C:\Users\Benjamin\AppData\Roaming\Microsoft\Windows\Cookies\benjamin@doubleclick[1].txt
C:\Users\Benjamin\AppData\Roaming\Microsoft\Windows\Cookies\benjamin@smartadserver[2].txt
www.naiadsystems.com [ C:\Users\Benjamin\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\NUJZS23T ]
www.pornhub.com [ C:\Users\Benjamin\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\NUJZS23T ]

Und ja ich weiß was da steht :blabla:

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6859

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

15.06.2011 08:31:45
mbam-log-2011-06-15 (08-31-45).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|Q:\|)
Durchsuchte Objekte: 348590
Laufzeit: 1 Stunde(n), 8 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ich bekam aber eine Trojaner-Benachrichtigung von Avira an der genau der Stelle, wo Malwarbytes gerade suchte, ist das normal?

Wenn du AntiVir an lässt und es an der Stelle was findet, was soll daran so überraschend sein?
Ich versteh nur nicht warum du die Meldung nicht detailiert postest.

Weil Malwarebytes an der Stelle nichts gefunden hatte.
Avira schaltet sich ständig von selbst wieder ein.
Ich hab grad nochmal geschaut, eigentlich steht da auch deaktiviert...
Meldung:
In der Datei 'D:\Program Files\Kopie von Warcraft III\SetupReg.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

ESET läuft aktuell noch, müsste aber gleich fertig sein!

Hier die ESET Logfile:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=741513bb8c432644b92f9a2abfb2d132
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-06-15 08:30:08
# local_time=2011-06-15 10:30:08 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=1797 16775165 100 94 208130 83635674 81831 0
# compatibility_mode=5893 16776573 100 94 8531019 60559110 0 0
# compatibility_mode=8192 67108863 100 0 592 592 0 0
# scanned=175302
# found=2
# cleaned=0
# scan_time=6241
D:\System Volume Information\_restore{58885FF2-9A2E-4BBE-BCF4-6D7BA6AA991B}\RP272\A0043573.exe Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
D:\System Volume Information\_restore{58885FF2-9A2E-4BBE-BCF4-6D7BA6AA991B}\RP272\A0043574.exe Win32/Toolbar.AskSBar application (unable to clean) 00000000000000000000000000000000 I

Malwarebytes ist nicht AntiVir. Ist doch klar, dass verschiedene Virenscanner unterschiedlich arbeiten und dementsprechend unterschiedliche Ergebnisse liefern! Außerdem schaltet sich der Wächter von AntiVir vor alles anderes und kann somit schon den Zugriff auf Malwarebytes verweigern, sodass MBAM dieses Objekt nichtmal zu fassen kriegt.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Also Malwarebytes erneut durchlaufen lassen?
Hab in der Erklärung Windows 7 nicht gefunden, habs aber deaktivieren können.
Es waren keine Wiederherstellungspunkte gespeichert.

Ok. Dann kannste du die SWH jetzt wieder aktivieren. Einal deaktivieren löscht alle Punkte.
Rechner wieder im Lot oder noch Probleme?

Also Momentan scheint alles wieder gut zu laufen, bis auf die Trojanermeldung beim Durchlauf von Malwarebytes.
Was mir nur noch aufgefallen ist: In meinem Startmenu fehlen noch die Inhalte der Ordner.

Ich dachte wir hätten geklärt, dass es sich um einen Fehlalarm handelt!

Durch die Infektion wurde dein Startmenü leergefegt, bei mir bisher bekannten Varianten verschiebt der Schädling alle Verknüpfungen nach %tmp%\smtmp

Schau bitte nach ob der Ordner smtmp entweder hier

=> C:\Qoobox\Quarantine\C\Users\[DEIN_NAME]\AppData\Local\Temp\smtmp

oder hier

=> C:\Users\[DEIN_NAME]\AppData\Local\Temp\smtmp

zu finden ist. Stell sicher, dass dir alle Dateien angezeigt werden => http://www.trojaner-board.de/59624-a...-sichtbar.html

Ordner ist in Qoobox drin, wo muss ich den denn hintun?:D

Verschieb den gesamten smtmp-Ordner bitte nach

C:\Users\[DEIN_NAME]\AppData\Local\Temp\smtmp



Dann so vorgehen:

Diesen Text

hab ich dir mal in diese Batchdatei geschrieben => File-Upload.net - smtmp_vista_7.cmd

Bitte herunterladen auf den Desktop und per Doppelklick ausführen. Falls nicht alle Sysmbole wieder da sein sollte, diese Batch bitte per Rechtsklick als Admin ausführen.

Scheint alles wieder da zu sein! :)
Ist denn nu alles wieder sauber soweit?

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /u entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Das ist ja super!:) Ich bedanke mich vielmals für deine Anleitung und die aufgewendete Zeit!
Ich werde dann mal schaun, dass ich deine Tips umsetze, damit ich nicht so schnell wieder hier Lande und euch durch meine Trotteligkeitwieder dei Zeit raube ;)
Vielen Dank nochmal! :)