Trojaner w32 patchload.a und TR/Kazy.24148
 

Hallo zusammen!
Habe seid heute ein großes Problem!
Habe mir wohl einen Trojaner eingefangen. AntiVir hat sofort angeschlagen, wurde dann aber leider von alleine beendet.... und jetzt fährt der Rechner nicht mehr hoch. Kurz bevor er zur Anmeldung kommt startet er neu!
Habe Windows XP drauf. Bitte um Hilfe!
Danke schonmal im Vorraus!!

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
  Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von mit der OTLPE CD.
Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hallo Swiss!
Darf ich die Datei OTLPENet.exe von einem anderen Rechner runterladen und von dort aus auch brennen? Denn habe zur zeit die Internetverbindung am verseuchten PC gekappt und vom Netzwerk genommen. Habe festgestellt kann diesen im abgesicherten modus ohne probleme hochfahren, falls das was hilft.
Gruss Oemmel!

Du musst es von einem anderen PC aus machen ;)

Hier der Inhalt Otl.txt:OTL Logfile:
--- --- ---

Hier den Inhalt Extras:OTL EXTRAS Logfile:
--- --- ---

Schritt 1

Mehrere Anti-Virus-Programme

Mir ist aufgefallen, dass Du mehr als ein Anti-Virus-Programm mit Hintergrundwächter laufen hast. Das ist gefährlich, da sich die Programme in die Quere kommen können und dadurch Viren erst recht auf dem Rechner landen können. Entscheide Dich für eine Variante und deinstalliere die andere über Systemsteuerung => Software.
Berichte, für welches Anti-Virus-Programm Du Dich entschieden hast und deinstalliere die anderen.

Schritt 2

Fixen mit OTLpe

• Starte den unbootbaren Computer erneut mit der OTLPE-CD,
• warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.
• Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
  
  Code:

  ---

  :OTL
DRV - [2011/09/01 15:23:21 | 000,000,000 | ---- | M] () [Kernel | On_Demand] -- D:\WINDOWS\1381543154 -- (f2ac5852)
O32 - AutoRun File - [2005/10/12 08:01:16 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2001/07/27 08:07:38 | 000,000,000 | -HS- | M] () - L:\AUTOEXEC.BAT -- [ FAT32 ]
O32 - AutoRun File - [2004/04/30 00:01:14 | 000,000,053 | -HS- | M] () - L:\Autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
[2011/09/01 15:23:21 | 000,000,000 | ---- | M] () -- D:\WINDOWS\1381543154
[2011/09/01 14:23:26 | 004,194,304 | ---- | C] () -- D:\WINDOWS\System32\kncnfspb.dll
@Alternate Data Stream - 816 bytes -> D:\WINDOWS\1381543154:223586221.exe
@Alternate Data Stream - 48 bytes -> D:\WINDOWS:BC53D08132A418FB
:Commands
[purity]
[emptytemp]

  ---

• Sollte das mangels Internet-Verbindung nicht möglich sein,
• kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
• Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
• Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
• Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>
• Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Schritt 3

Kannst Du wieder starten? Wenn ja dann mache einen Scan mit Malwarebytes Anti-Malware.

So hier schonmal die Log:

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\f2ac5852 deleted successfully.
D:\WINDOWS\1381543154 moved successfully.
D:\AUTOEXEC.BAT moved successfully.
L:\AUTOEXEC.BAT moved successfully.
L:\Autorun.inf moved successfully.
File move failed. X:\AUTORUN.INF scheduled to be moved on reboot.
File D:\WINDOWS\1381543154 not found.
D:\WINDOWS\system32\kncnfspb.dll moved successfully.
Unable to delete ADS D:\WINDOWS\1381543154:223586221.exe .
ADS D:\WINDOWS:BC53D08132A418FB deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator

User: All Users

User: Andere

User: Default User

User: HP_Administrator

User: LocalService

User: NetworkService

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19617 bytes
%systemroot%\System32 .tmp files removed: 5435271 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 137683340 bytes

Total Files Cleaned = 137.00 mb


OTLPE by OldTimer - Version 3.1.48.0 log created on 09022011_143927

Ja super das klappt schonmal wieder. Rechner fährt soweit normal hoch. Danke schonmal!
Und habe mich dann für AntiVir entschieden.
MfG Oemmel

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Ok Scan habe ich durchgeführt. Eine Datei wurde gefunden. Hier der Log:

Malwarebytes' Anti-Malware 1.51.1.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7637

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

02.09.2011 17:12:42
mbam-log-2011-09-02 (17-12-42).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 199205
Laufzeit: 7 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\drivers\cdrom.sys (Trojan.Patched) -> Quarantined and deleted successfully.

Schritt 1


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 2

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hier der Log.txt von ESET:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=90c74c424eb4884ca431cd387036b526
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-02 05:34:24
# local_time=2011-09-02 07:34:24 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 743 743 0 0
# scanned=121603
# found=11
# cleaned=0
# scan_time=4465
C:\Programme\AntiVir PersonalEdition Classic\sched.VIR Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Programme\Bonjour\mDNSResponder.VIR Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.VIR Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Programme\Gemeinsame Dateien\DeviceHelper\DeviceManager.VIR Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.VIR Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Programme\ICQ6Toolbar\ICQ Service.VIR Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Programme\Java\jre6\bin\jqs.VIR Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Programme\MySQL\MySQL Server 5.5\bin\mysqld.VIR Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Programme\WinTV\TVServer\CaptureGenPCI.VIR Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\Programme\WinTV\TVServer\HauppaugeTVServer.VIR Win32/Patched.HN trojan (unable to clean) 00000000000000000000000000000000 I
C:\RECYCLER\S-1-5-21-1517635286-910970031-1826383466-1007\Dc14.zip Win32/Sirefef.CT trojan (unable to clean) 00000000000000000000000000000000 I

Hier der Log von OTL:OTL Logfile:
--- --- ---

Hier der andere:OTL EXTRAS Logfile:
--- --- ---

Hier der andere:OTL EXTRAS Logfile:
--- --- ---

Ich wurde gerade gefragt ob ich diese Seite vom Internetexplorer zulassen möchte.
Habe dann es geschlossen bzw verneint.
hcp://services/ Von Moderation editiert

Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Mhhhmmm ein Problem...
Das Programm GMER lief erst für 1-2 Minuten und dann wurde es von alleine wieder geschlossen. Wenn ich wieder auf die exe drücke kommt die meldung: Auf das angegebene Gerät bzw Pfad oder Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können.

Und eins ist mir aufgefallen, das AntiVir Programm kann ich weder starten noch sonst was. Der Schirm bleibt immer geschlossen. Vielleicht hilft das noch weiter...

Schritt 1

Vorbereitung für die Entfernung des Rootkits mit DummyMaker

Lade DummyCreator.zip von farbar herunter und entpacke es auf Deinen Desktop.

Starte das Tool durch Doppelklick.

Kopiere die folgende Zeile in die Textbox:

C:\WINDOWS\1381543154

Drücke auf den Button Create und poste mir den Inhalt von Result.txt.

Wichtig: Starte den Computer neu.

Schritt 2

Versuche nochmals mit GMER zu scannen.

DummyCreator by Farbar
Ran by HP_Administrator (administrator) on 05-09-2011 at 20:29:57
**************************************************************

C:\WINDOWS\1381543154 [05-09-2011 20:29:57]

== End of log ==

Nun nochmals Gemer versuchen.

So hier den GMER log:
GMER Logfile:
--- --- ---

Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.

• Schließe alle laufenden Programme.
• Trenne dich von Internet.
• Deaktiviere deine AntiViren Software.
• Starte TDSSkiller.exe mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Drücke auf Start scan.
  Mache während dem Scan nichts am Rechner
  
  1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
  2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
     Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
• Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
• Bitte poste mir den Inhalt hier in deinen Thread.

Bebilderte Anleitung zur Benutzung von TDSSKiller.

2011/09/06 09:37:36.0875 3228 TDSS rootkit removing tool 2.5.18.0 Sep 5 2011 09:53:09
2011/09/06 09:37:36.0890 3228 ================================================================================
2011/09/06 09:37:36.0890 3228 SystemInfo:
2011/09/06 09:37:36.0890 3228
2011/09/06 09:37:36.0890 3228 OS Version: 5.1.2600 ServicePack: 3.0
2011/09/06 09:37:36.0890 3228 Product type: Workstation
2011/09/06 09:37:36.0890 3228 ComputerName: ALEX
2011/09/06 09:37:36.0890 3228 UserName: HP_Administrator
2011/09/06 09:37:36.0890 3228 Windows directory: C:\WINDOWS
2011/09/06 09:37:36.0890 3228 System windows directory: C:\WINDOWS
2011/09/06 09:37:36.0890 3228 Processor architecture: Intel x86
2011/09/06 09:37:36.0890 3228 Number of processors: 2
2011/09/06 09:37:36.0890 3228 Page size: 0x1000
2011/09/06 09:37:36.0890 3228 Boot type: Normal boot
2011/09/06 09:37:36.0890 3228 ================================================================================
2011/09/06 09:37:38.0078 3228 Initialize success
2011/09/06 09:37:46.0531 0332 ================================================================================
2011/09/06 09:37:46.0531 0332 Scan started
2011/09/06 09:37:46.0531 0332 Mode: Manual;
2011/09/06 09:37:46.0531 0332 ================================================================================
2011/09/06 09:37:47.0156 0332 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/09/06 09:37:47.0203 0332 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/09/06 09:37:47.0343 0332 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/09/06 09:37:47.0468 0332 AFD (355556d9e580915118cd7ef736653a89) C:\WINDOWS\System32\drivers\afd.sys
2011/09/06 09:37:47.0812 0332 AmdK8 (769844eb65df6a62aa51b886290fe51d) C:\WINDOWS\system32\DRIVERS\AmdK8.sys
2011/09/06 09:37:47.0968 0332 aracpi (00523019e3579c8f8a94457fe25f0f24) C:\WINDOWS\system32\DRIVERS\aracpi.sys
2011/09/06 09:37:48.0062 0332 arhidfltr (9fedaa46eb1a572ac4d9ee6b5f123cf2) C:\WINDOWS\system32\DRIVERS\arhidfltr.sys
2011/09/06 09:37:48.0093 0332 arkbcfltr (82969576093cd983dd559f5a86f382b4) C:\WINDOWS\system32\DRIVERS\arkbcfltr.sys
2011/09/06 09:37:48.0140 0332 armoucfltr (9b21791d8a78faece999fadbebda6c22) C:\WINDOWS\system32\DRIVERS\armoucfltr.sys
2011/09/06 09:37:48.0250 0332 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2011/09/06 09:37:48.0281 0332 ARPolicy (7a2da7c7b0c524ef26a79f17a5c69fde) C:\WINDOWS\system32\DRIVERS\arpolicy.sys
2011/09/06 09:37:48.0593 0332 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/09/06 09:37:48.0640 0332 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/09/06 09:37:48.0859 0332 ati2mtag (b563e7154db73c2dac72fa08120295cf) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
2011/09/06 09:37:48.0984 0332 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/09/06 09:37:49.0062 0332 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/09/06 09:37:49.0187 0332 avgio (87828ecd657f81503465ac705e845076) C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
2011/09/06 09:37:49.0265 0332 avgntflt (fcb30820bed1d3feb55e3dd55a3f947f) C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
2011/09/06 09:37:49.0437 0332 bb-run (7270d070173b20ac9487ea16bb08b45f) C:\WINDOWS\system32\DRIVERS\bb-run.sys
2011/09/06 09:37:49.0515 0332 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/09/06 09:37:49.0593 0332 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/09/06 09:37:49.0656 0332 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2011/09/06 09:37:49.0796 0332 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/09/06 09:37:49.0875 0332 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/09/06 09:37:50.0468 0332 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/09/06 09:37:50.0593 0332 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/09/06 09:37:50.0703 0332 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/09/06 09:37:50.0750 0332 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/09/06 09:37:50.0843 0332 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/09/06 09:37:50.0984 0332 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/09/06 09:37:51.0109 0332 ElbyCDFL (0e078ae86965772e84d50ba15d77e63e) C:\WINDOWS\system32\Drivers\ElbyCDFL.sys
2011/09/06 09:37:51.0187 0332 ElbyCDIO (178cc9403816c082d22a1d47fa1f9c85) C:\WINDOWS\system32\Drivers\ElbyCDIO.sys
2011/09/06 09:37:51.0328 0332 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/09/06 09:37:51.0421 0332 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
2011/09/06 09:37:51.0468 0332 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/09/06 09:37:51.0515 0332 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/09/06 09:37:51.0546 0332 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/09/06 09:37:51.0656 0332 FsUsbExDisk (790a4ca68f44be35967b3df61f3e4675) C:\WINDOWS\system32\FsUsbExDisk.SYS
2011/09/06 09:37:51.0828 0332 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/09/06 09:37:51.0906 0332 FTDIBUS (8142d5d886829b9876cb93af59475c09) C:\WINDOWS\system32\drivers\ftdibus.sys
2011/09/06 09:37:51.0984 0332 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/09/06 09:37:52.0031 0332 ftsata2 (22399d3ce5840c6082844679cca5d2fc) C:\WINDOWS\system32\DRIVERS\ftsata2.sys
2011/09/06 09:37:52.0093 0332 FTSER2K (596d31583ce332b5514520d74837f434) C:\WINDOWS\system32\drivers\ftser2k.sys
2011/09/06 09:37:52.0203 0332 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys
2011/09/06 09:37:52.0328 0332 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/09/06 09:37:52.0546 0332 gUSBSTOi (e4da2f146f419366d23c1d2614a4aaf0) C:\DOKUME~1\HP_ADM~1\LOKALE~1\Temp\gUSBSTOi.sys
2011/09/06 09:37:53.0703 0332 HCW88AUD (77a0eff77ed5f4acb3d54e0de3c09c85) C:\WINDOWS\system32\drivers\hcw88aud.sys
2011/09/06 09:37:53.0812 0332 hcw88bda (f9ba6c487215127ae49c7b614c98f91d) C:\WINDOWS\system32\drivers\hcw88bda.sys
2011/09/06 09:37:53.0875 0332 hcw88rc5 (42d6d0bc5276ed9bea75fd61a8596b07) C:\WINDOWS\system32\Drivers\hcw88rc5.sys
2011/09/06 09:37:53.0937 0332 HCW88TSE (a17240f273d3ee76e1a7f3acac61c30d) C:\WINDOWS\system32\drivers\hcw88tse.sys
2011/09/06 09:37:54.0062 0332 hcw88vid (a9b0d64e763449a3bbb5b485b013bd10) C:\WINDOWS\system32\drivers\hcw88vid.sys
2011/09/06 09:37:54.0156 0332 HCW88XBAR (94ec4b1a53c969fe2d9319699e2b17d6) C:\WINDOWS\system32\drivers\HCW88BAR.sys
2011/09/06 09:37:54.0265 0332 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/09/06 09:37:54.0343 0332 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/09/06 09:37:54.0531 0332 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/09/06 09:37:54.0734 0332 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/09/06 09:37:54.0828 0332 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/09/06 09:37:55.0312 0332 IntcAzAudAddService (12f4d2aa29745dc2a403ff42e75cf7fa) C:\WINDOWS\system32\drivers\RtkHDAud.sys
2011/09/06 09:37:55.0453 0332 IntelIde (69c4e3c9e67a1f103b94e14fdd5f3213) C:\WINDOWS\system32\DRIVERS\intelide.sys
2011/09/06 09:37:55.0562 0332 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/09/06 09:37:55.0656 0332 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/09/06 09:37:55.0750 0332 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/09/06 09:37:55.0796 0332 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/09/06 09:37:55.0875 0332 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/09/06 09:37:55.0937 0332 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/09/06 09:37:56.0000 0332 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/09/06 09:37:56.0078 0332 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/09/06 09:37:56.0156 0332 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/09/06 09:37:56.0203 0332 kbdhid (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/09/06 09:37:56.0250 0332 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/09/06 09:37:56.0328 0332 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/09/06 09:37:56.0468 0332 MBAMProtector (eca00eed9ab95489007b0ef84c7149de) C:\WINDOWS\system32\drivers\mbam.sys
2011/09/06 09:37:56.0562 0332 MBAMSwissArmy (b18225739ed9caa83ba2df966e9f43e8) C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2011/09/06 09:37:56.0656 0332 MHNDRV (7f2f1d2815a6449d346fcccbc569fbd6) C:\WINDOWS\system32\DRIVERS\mhndrv.sys
2011/09/06 09:37:56.0734 0332 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/09/06 09:37:56.0843 0332 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/09/06 09:37:56.0890 0332 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/09/06 09:37:56.0968 0332 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/09/06 09:37:57.0093 0332 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/09/06 09:37:57.0156 0332 MPE (c0f8e0c2c3c0437cf37c6781896dc3ec) C:\WINDOWS\system32\DRIVERS\MPE.sys
2011/09/06 09:37:57.0328 0332 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/09/06 09:37:57.0406 0332 MRxSmb (7d304a5eb4344ebeeab53a2fe3ffb9f0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/09/06 09:37:57.0500 0332 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/09/06 09:37:57.0578 0332 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/09/06 09:37:57.0640 0332 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/09/06 09:37:57.0765 0332 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/09/06 09:37:57.0843 0332 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/09/06 09:37:57.0937 0332 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
2011/09/06 09:37:58.0000 0332 Mup (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
2011/09/06 09:37:58.0109 0332 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2011/09/06 09:37:58.0218 0332 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/09/06 09:37:58.0265 0332 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2011/09/06 09:37:58.0375 0332 NdisTapi (0109c4f3850dfbab279542515386ae22) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/09/06 09:37:58.0437 0332 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/09/06 09:37:58.0484 0332 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/09/06 09:37:58.0546 0332 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/09/06 09:37:58.0625 0332 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/09/06 09:37:58.0656 0332 NetBT (3fd903637554667dc3ef40a9c5bf8a24) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/09/06 09:37:58.0671 0332 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\netbt.sys. Real md5: 3fd903637554667dc3ef40a9c5bf8a24, Fake md5: 74b2b2f5bea5e9a3dc021d685551bd3d
2011/09/06 09:37:58.0671 0332 NetBT - detected Rootkit.Win32.ZAccess.c (0)
2011/09/06 09:37:58.0781 0332 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
2011/09/06 09:37:58.0890 0332 nmwcd (696b37ea78f9d9767a2f18ba0304a51a) C:\WINDOWS\system32\drivers\nmwcd.sys
2011/09/06 09:37:58.0968 0332 nmwcdc (bbb6010fc01d9239d88fcdf133e03ff0) C:\WINDOWS\system32\drivers\nmwcdc.sys
2011/09/06 09:37:59.0031 0332 nmwcdcj (4c3726467d67483f054c88f058e9c153) C:\WINDOWS\system32\drivers\nmwcdcj.sys
2011/09/06 09:37:59.0125 0332 nmwcdcm (4c3726467d67483f054c88f058e9c153) C:\WINDOWS\system32\drivers\nmwcdcm.sys
2011/09/06 09:37:59.0203 0332 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/09/06 09:37:59.0250 0332 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/09/06 09:37:59.0328 0332 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/09/06 09:37:59.0375 0332 NVENETFD (22eedb34c4d7613a25b10c347c6c4c21) C:\WINDOWS\system32\DRIVERS\NVENETFD.sys
2011/09/06 09:37:59.0437 0332 nvnetbus (5e3f6ad5cad0f12d3cccd06fd964087a) C:\WINDOWS\system32\DRIVERS\nvnetbus.sys
2011/09/06 09:37:59.0484 0332 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/09/06 09:37:59.0531 0332 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/09/06 09:37:59.0625 0332 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2011/09/06 09:37:59.0687 0332 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/09/06 09:37:59.0734 0332 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/09/06 09:37:59.0828 0332 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/09/06 09:37:59.0906 0332 pccsmcfd (175cc28dcf819f78caa3fbd44ad9e52a) C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys
2011/09/06 09:38:00.0000 0332 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/09/06 09:38:00.0140 0332 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/09/06 09:38:00.0234 0332 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/09/06 09:38:00.0500 0332 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/09/06 09:38:00.0546 0332 Processor (2cb55427c58679f49ad600fccba76360) C:\WINDOWS\system32\DRIVERS\processr.sys
2011/09/06 09:38:00.0625 0332 Ps2 (390c204ced3785609ab24e9c52054a84) C:\WINDOWS\system32\DRIVERS\PS2.sys
2011/09/06 09:38:00.0671 0332 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/09/06 09:38:00.0734 0332 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/09/06 09:38:00.0781 0332 PxHelp20 (e42e3433dbb4cffe8fdd91eab29aea8e) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/09/06 09:38:00.0859 0332 qcusbser (9ccf89372c5a04e97cd89b58ae697796) C:\WINDOWS\system32\DRIVERS\qcusbser.sys
2011/09/06 09:38:01.0187 0332 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/09/06 09:38:01.0265 0332 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/09/06 09:38:01.0312 0332 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/09/06 09:38:01.0390 0332 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/09/06 09:38:01.0468 0332 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/09/06 09:38:01.0515 0332 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/09/06 09:38:01.0593 0332 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/09/06 09:38:01.0671 0332 RDPWD (fc105dd312ed64eb66bff111e8ec6eac) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/09/06 09:38:01.0750 0332 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/09/06 09:38:01.0843 0332 rtl8139 (d507c1400284176573224903819ffda3) C:\WINDOWS\system32\DRIVERS\RTL8139.SYS
2011/09/06 09:38:01.0953 0332 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/09/06 09:38:02.0000 0332 Serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/09/06 09:38:02.0031 0332 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\drivers\Serial.sys
2011/09/06 09:38:02.0125 0332 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/09/06 09:38:02.0281 0332 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2011/09/06 09:38:02.0343 0332 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/09/06 09:38:02.0375 0332 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/09/06 09:38:02.0453 0332 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/09/06 09:38:02.0531 0332 ss_bbus (eaa66218cd39f5bb1b4853a78c67c787) C:\WINDOWS\system32\DRIVERS\ss_bbus.sys
2011/09/06 09:38:02.0578 0332 ss_bmdfl (91765f99914ed8693d8bc76524f21581) C:\WINDOWS\system32\DRIVERS\ss_bmdfl.sys
2011/09/06 09:38:02.0625 0332 ss_bmdm (840e7b738b03c10ee91d9b7d3d6eff15) C:\WINDOWS\system32\DRIVERS\ss_bmdm.sys
2011/09/06 09:38:02.0671 0332 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2011/09/06 09:38:02.0750 0332 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/09/06 09:38:02.0781 0332 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/09/06 09:38:03.0234 0332 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/09/06 09:38:03.0328 0332 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/09/06 09:38:03.0406 0332 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/09/06 09:38:03.0468 0332 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/09/06 09:38:03.0546 0332 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/09/06 09:38:03.0718 0332 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/09/06 09:38:03.0843 0332 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/09/06 09:38:03.0953 0332 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/09/06 09:38:04.0000 0332 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/09/06 09:38:04.0046 0332 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/09/06 09:38:04.0078 0332 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/09/06 09:38:04.0109 0332 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/09/06 09:38:04.0156 0332 usbstor (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/09/06 09:38:04.0203 0332 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/09/06 09:38:04.0250 0332 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/09/06 09:38:04.0296 0332 ViaIde (3b3efcda263b8ac14fdf9cbdd0791b2e) C:\WINDOWS\system32\DRIVERS\viaide.sys
2011/09/06 09:38:04.0328 0332 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/09/06 09:38:04.0390 0332 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/09/06 09:38:04.0546 0332 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/09/06 09:38:04.0671 0332 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2011/09/06 09:38:04.0781 0332 WudfPf (50eb9e21963b4f06fd010d007d54351b) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/09/06 09:38:04.0828 0332 WudfRd (6e209664bdea8a15b5e8e480d6c607c2) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/09/06 09:38:04.0890 0332 MBR (0x1B8) (8f558eb6672622401da993e1e865c861) \Device\Harddisk1\DR1
2011/09/06 09:38:04.0906 0332 MBR (0x1B8) (958338c2d641d56774cebb0acd294050) \Device\Harddisk0\DR0
2011/09/06 09:38:04.0937 0332 Boot (0x1200) (c0ae7c7116442c42a44d62b86470f958) \Device\Harddisk1\DR1\Partition0
2011/09/06 09:38:04.0968 0332 Boot (0x1200) (74597aab83d55f0a0b16337d3fa84482) \Device\Harddisk1\DR1\Partition1
2011/09/06 09:38:04.0984 0332 Boot (0x1200) (d354d024374f5ea7671aec2ca533ddda) \Device\Harddisk1\DR1\Partition2
2011/09/06 09:38:05.0015 0332 Boot (0x1200) (ea2afeae0743cda7dc2d4a8c60c39e9e) \Device\Harddisk1\DR1\Partition3
2011/09/06 09:38:05.0015 0332 Boot (0x1200) (564968d38089310778d2055cb4e09564) \Device\Harddisk0\DR0\Partition0
2011/09/06 09:38:05.0031 0332 Boot (0x1200) (c2120c392fa81cd010624b8d9553c0ff) \Device\Harddisk0\DR0\Partition1
2011/09/06 09:38:05.0031 0332 ================================================================================
2011/09/06 09:38:05.0031 0332 Scan finished
2011/09/06 09:38:05.0031 0332 ================================================================================
2011/09/06 09:38:05.0046 1624 Detected object count: 1
2011/09/06 09:38:05.0046 1624 Actual detected object count: 1
2011/09/06 09:38:45.0687 1624 NetBT (3fd903637554667dc3ef40a9c5bf8a24) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/09/06 09:38:45.0687 1624 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\netbt.sys. Real md5: 3fd903637554667dc3ef40a9c5bf8a24, Fake md5: 74b2b2f5bea5e9a3dc021d685551bd3d
2011/09/06 09:38:46.0312 1624 Backup copy found, using it..
2011/09/06 09:38:46.0312 1624 C:\WINDOWS\system32\DRIVERS\netbt.sys - will be cured after reboot
2011/09/06 09:38:46.0312 1624 Rootkit.Win32.ZAccess.c(NetBT) - User select action: Cure
2011/09/06 09:38:58.0515 3272 Deinitialize success

Sieht schon gut aus.

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

So hier der Log von ComboFix:
Combofix Logfile:
--- --- ---

Wie läuft das System?

Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Durchsuchen
• Kopiere nun folgendes in die Suchleiste.
  
  Code:

  ---

  c:\windows\system32\kncnfspb.dll

  ---

• und klicke auf Öffnen.
• Klicke auf Send File.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.
klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Das System läuft soweit stabil, bis auf das ich immer noch nicht AntiVir starten kann, der Schirm bleibt immer geschlossen. Werde jetzt Virustotal scannen lassen.

Hier der Link von Virustotal:

VirusTotal - Free Online Virus, Malware and URL Scanner

hxxp://www. virustotal. com/file-scan/report.html?id=bb9f8df61474d25e71fa00722318cd387396ca1736605e1248821cc0de3d3af8-1315419031

Da kommt aber nichts :( Hast Du alles kopiert?

hxxp://www.virustotal.com/file-scan/report.html?id=bb9f8df61474d25e71fa00722318cd387396ca1736605e1248821cc0de3d3af8-1315419031

Jetzt funktioniert es! Sorry war mein Fehler

Hast Du Avira einmal entfernt und neu installiert?

OK das mache ich gerade. Ein Problem ist mir dann jetzt noch aufgefallen. Ich habe eine TV Karte und wenn ich das Programm starten will kommt ein Fenster von Microsoft .NET Framework. Da steht dann :
Unhandled exception has occurred in your application. If you click Continue, the application will ignore this error an attempt to continue. If you click Quit, the application will close immediately.
Object reference not set to an instance of an object.
Hänge gleich noch die Details ran die dabei stehen.

Das ist eine TV Karte von Hauppauge mit WinTV v7.

Das steht dann unter Details bei dem Fenster von Micrsoft .NET Framework

See the end of this message for details on invoking
just-in-time (JIT) debugging instead of this dialog box.

************** Exception Text **************
System.NullReferenceException: Object reference not set to an instance of an object.
at NativeMMS.TVServer.CheckAvailableBoards()
at TVServices.MultiMedia.xc255dfe1cecaa0dc.x49d04b36c45de096()
at WinTV7.xa50426c849cf3e05.x7dcab970c49ae911(Object xcf252b85e001ce6a, EventArgs xd4ff4703d25cd2ab)
at System.Windows.Forms.Form.OnLoad(EventArgs e)
at System.Windows.Forms.Form.OnCreateControl()
at System.Windows.Forms.Control.CreateControl(Boolean fIgnoreVisible)
at System.Windows.Forms.Control.CreateControl()
at System.Windows.Forms.Control.WmShowWindow(Message& m)
at System.Windows.Forms.Control.WndProc(Message& m)
at System.Windows.Forms.ScrollableControl.WndProc(Message& m)
at System.Windows.Forms.ContainerControl.WndProc(Message& m)
at System.Windows.Forms.Form.WmShowWindow(Message& m)
at System.Windows.Forms.Form.WndProc(Message& m)
at WinTV7.xa50426c849cf3e05.WndProc(Message& m)
at System.Windows.Forms.Control.ControlNativeWindow.OnMessage(Message& m)
at System.Windows.Forms.Control.ControlNativeWindow.WndProc(Message& m)
at System.Windows.Forms.NativeWindow.Callback(IntPtr hWnd, Int32 msg, IntPtr wparam, IntPtr lparam)


************** Loaded Assemblies **************
mscorlib
Assembly Version: 2.0.0.0
Win32 Version: 2.0.50727.3623 (GDR.050727-3600)
CodeBase: file:///c:/WINDOWS/Microsoft.NET/Framework/v2.0.50727/mscorlib.dll
----------------------------------------
WinTV7
Assembly Version: 1.0.28110.0
Win32 Version: 1.0.28110.0
CodeBase: file:///C:/Programme/WinTV/WinTV7/WinTV7.exe
----------------------------------------
DataModel
Assembly Version: 1.0.28110.0
Win32 Version: 1.0.28110.0
CodeBase: file:///C:/Programme/WinTV/WinTV7/DataModel.DLL
----------------------------------------
System.Data
Assembly Version: 2.0.0.0
Win32 Version: 2.0.50727.3053 (netfxsp.050727-3000)
CodeBase: file:///C:/WINDOWS/assembly/GAC_32/System.Data/2.0.0.0__b77a5c561934e089/System.Data.dll
----------------------------------------
System
Assembly Version: 2.0.0.0
Win32 Version: 2.0.50727.3624 (GDR.050727-3600)
CodeBase: file:///C:/WINDOWS/assembly/GAC_MSIL/System/2.0.0.0__b77a5c561934e089/System.dll
----------------------------------------
System.Windows.Forms
Assembly Version: 2.0.0.0
Win32 Version: 2.0.50727.3623 (GDR.050727-3600)
CodeBase: file:///C:/WINDOWS/assembly/GAC_MSIL/System.Windows.Forms/2.0.0.0__b77a5c561934e089/System.Windows.Forms.dll
----------------------------------------
System.Drawing
Assembly Version: 2.0.0.0
Win32 Version: 2.0.50727.3053 (netfxsp.050727-3000)
CodeBase: file:///C:/WINDOWS/assembly/GAC_MSIL/System.Drawing/2.0.0.0__b03f5f7f11d50a3a/System.Drawing.dll
----------------------------------------
MultiMediaServices
Assembly Version: 1.0.28110.0
Win32 Version: 1.0.28110.0
CodeBase: file:///C:/Programme/WinTV/WinTV7/MultiMediaServices.DLL
----------------------------------------
System.Xml
Assembly Version: 2.0.0.0
Win32 Version: 2.0.50727.3082 (QFE.050727-3000)
CodeBase: file:///C:/WINDOWS/assembly/GAC_MSIL/System.Xml/2.0.0.0__b77a5c561934e089/System.Xml.dll
----------------------------------------
System.Configuration
Assembly Version: 2.0.0.0
Win32 Version: 2.0.50727.3053 (netfxsp.050727-3000)
CodeBase: file:///C:/WINDOWS/assembly/GAC_MSIL/System.Configuration/2.0.0.0__b03f5f7f11d50a3a/System.Configuration.dll
----------------------------------------
NativeMMS
Assembly Version: 1.0.3762.33608
Win32 Version: 1, 0, 28081, 0
CodeBase: file:///C:/Programme/WinTV/WinTV7/NativeMMS.DLL
----------------------------------------
msvcm90
Assembly Version: 9.0.30729.4148
Win32 Version: 9.00.30729.4148
CodeBase: file:///C:/WINDOWS/WinSxS/x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_d495ac4e/msvcm90.dll
----------------------------------------
System.Transactions
Assembly Version: 2.0.0.0
Win32 Version: 2.0.50727.3053 (netfxsp.050727-3000)
CodeBase: file:///C:/WINDOWS/assembly/GAC_32/System.Transactions/2.0.0.0__b77a5c561934e089/System.Transactions.dll
----------------------------------------
System.EnterpriseServices
Assembly Version: 2.0.0.0
Win32 Version: 2.0.50727.3053 (netfxsp.050727-3000)
CodeBase: file:///C:/WINDOWS/assembly/GAC_32/System.EnterpriseServices/2.0.0.0__b03f5f7f11d50a3a/System.EnterpriseServices.dll
----------------------------------------

************** JIT Debugging **************
To enable just-in-time (JIT) debugging, the .config file for this
application or computer (machine.config) must have the
jitDebugging value set in the system.windows.forms section.
The application must also be compiled with debugging
enabled.

For example:

<configuration>
<system.windows.forms jitDebugging="true" />
</configuration>

When JIT debugging is enabled, any unhandled exception
will be sent to the JIT debugger registered on the computer
rather than be handled by this dialog box.

OK Antivir funktioniert wieder.

:) Das mit der Karte kann ich Dir nicht beantworten. Bestehen dann sonst noch Probleme?
Mach einen Fullscan mit Avira und poste das Log.

Das Log sieht schlecht aus 53 Funde... Hier:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 8. September 2011 20:02

Es wird nach 3346315 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ALEX

Versionsinformationen:
BUILD.DAT : 10.2.0.700 35934 Bytes 21.07.2011 16:49:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 21.07.2011 10:08:11
AVSCAN.DLL : 10.0.5.0 57192 Bytes 21.07.2011 10:10:57
LUKE.DLL : 10.3.0.5 45416 Bytes 21.07.2011 10:09:32
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 12:22:40
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 21.07.2011 10:08:11
AVREG.DLL : 10.3.0.9 90472 Bytes 21.07.2011 10:08:05
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 05:52:59
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 05:53:00
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 10:10:02
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 10:10:06
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 10:10:07
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 14:20:09
VBASE007.VDF : 7.11.13.61 2048 Bytes 16.08.2011 14:20:09
VBASE008.VDF : 7.11.13.62 2048 Bytes 16.08.2011 14:20:09
VBASE009.VDF : 7.11.13.63 2048 Bytes 16.08.2011 14:20:09
VBASE010.VDF : 7.11.13.64 2048 Bytes 16.08.2011 14:20:09
VBASE011.VDF : 7.11.13.65 2048 Bytes 16.08.2011 14:20:10
VBASE012.VDF : 7.11.13.66 2048 Bytes 16.08.2011 14:20:10
VBASE013.VDF : 7.11.13.95 166400 Bytes 17.08.2011 14:20:14
VBASE014.VDF : 7.11.13.125 209920 Bytes 18.08.2011 14:20:18
VBASE015.VDF : 7.11.13.157 184832 Bytes 22.08.2011 14:20:22
VBASE016.VDF : 7.11.13.201 128000 Bytes 24.08.2011 14:20:25
VBASE017.VDF : 7.11.13.234 160768 Bytes 25.08.2011 14:20:29
VBASE018.VDF : 7.11.14.16 141312 Bytes 30.08.2011 14:20:32
VBASE019.VDF : 7.11.14.48 133120 Bytes 31.08.2011 14:20:35
VBASE020.VDF : 7.11.14.78 156160 Bytes 02.09.2011 14:20:38
VBASE021.VDF : 7.11.14.109 126976 Bytes 06.09.2011 14:20:41
VBASE022.VDF : 7.11.14.137 131584 Bytes 08.09.2011 14:20:44
VBASE023.VDF : 7.11.14.138 2048 Bytes 08.09.2011 14:20:44
VBASE024.VDF : 7.11.14.139 2048 Bytes 08.09.2011 14:20:45
VBASE025.VDF : 7.11.14.140 2048 Bytes 08.09.2011 14:20:45
VBASE026.VDF : 7.11.14.141 2048 Bytes 08.09.2011 14:20:45
VBASE027.VDF : 7.11.14.142 2048 Bytes 08.09.2011 14:20:45
VBASE028.VDF : 7.11.14.143 2048 Bytes 08.09.2011 14:20:45
VBASE029.VDF : 7.11.14.144 2048 Bytes 08.09.2011 14:20:46
VBASE030.VDF : 7.11.14.145 2048 Bytes 08.09.2011 14:20:46
VBASE031.VDF : 7.11.14.148 11264 Bytes 08.09.2011 14:20:46
Engineversion : 8.2.6.54
AEVDF.DLL : 8.1.2.1 106868 Bytes 21.04.2011 05:52:30
AESCRIPT.DLL : 8.1.3.76 1626490 Bytes 08.09.2011 14:21:52
AESCN.DLL : 8.1.7.2 127349 Bytes 21.04.2011 05:52:28
AESBX.DLL : 8.2.1.34 323957 Bytes 21.07.2011 10:07:25
AERDL.DLL : 8.1.9.13 639349 Bytes 21.07.2011 10:07:25
AEPACK.DLL : 8.2.10.10 684407 Bytes 08.09.2011 14:21:45
AEOFFICE.DLL : 8.1.2.13 201083 Bytes 08.09.2011 14:21:37
AEHEUR.DLL : 8.1.2.164 3654007 Bytes 08.09.2011 14:21:35
AEHELP.DLL : 8.1.17.7 254327 Bytes 08.09.2011 14:21:00
AEGEN.DLL : 8.1.5.9 401780 Bytes 08.09.2011 14:20:57
AEEMU.DLL : 8.1.3.0 393589 Bytes 21.04.2011 05:52:17
AECORE.DLL : 8.1.23.0 196983 Bytes 08.09.2011 14:20:53
AEBB.DLL : 8.1.1.0 53618 Bytes 21.04.2011 05:52:16
AVWINLL.DLL : 10.0.0.0 19304 Bytes 21.04.2011 05:52:39
AVPREF.DLL : 10.0.3.2 44904 Bytes 21.07.2011 10:08:05
AVREP.DLL : 10.0.0.10 174120 Bytes 21.07.2011 10:08:06
AVARKT.DLL : 10.0.26.1 255336 Bytes 21.07.2011 10:07:41
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 21.07.2011 10:07:59
SQLITE3.DLL : 3.6.19.0 355688 Bytes 21.07.2011 13:12:30
AVSMTP.DLL : 10.0.0.17 63848 Bytes 21.04.2011 05:52:38
NETNT.DLL : 10.0.0.0 11624 Bytes 21.04.2011 05:52:50
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 21.07.2011 10:11:03
RCTEXT.DLL : 10.0.64.0 98664 Bytes 21.07.2011 10:11:03

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:, G:, H:, M:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Donnerstag, 8. September 2011 20:02

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinTV7.exe' - '142' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'CAPTUR~3.EXE' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'HAUPPA~1.EXE' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ir.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINTVT~2.EXE' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'EHTray.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpsysdrv.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'KBD.EXE' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '130' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'arservice.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '174' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'M:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1549' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HP_PAVILION>
C:\Programme\Bonjour\mDNSResponder.VIR
[FUND] Ist das Trojanische Pferd TR/Kazy.24148.5
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.VIR
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
C:\Programme\Gemeinsame Dateien\DeviceHelper\DeviceManager.VIR
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.VIR
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
C:\Programme\ICQ6Toolbar\ICQ Service.VIR
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
C:\Programme\ICQCS\data\dpnsvri.exe
--> Object
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\Programme\Java\jre6\bin\jqs.VIR
[FUND] Ist das Trojanische Pferd TR/Kazy.25211.24
C:\Programme\MySQL\MySQL Server 5.5\bin\mysqld.VIR
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
C:\Programme\WinTV\TVServer\CaptureGenPCI.VIR
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
C:\Programme\WinTV\TVServer\HauppaugeTVServer.VIR
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
C:\Qoobox\Quarantine\C\Programme\Malwarebytes' Anti-Malware\mbamservice.exe.vir
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
C:\Qoobox\Quarantine\C\WINDOWS\assembly\GAC_MSIL\desktop.ini.vir
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
C:\Qoobox\Quarantine\C\WINDOWS\system32\wuauclt.exe.vir
[FUND] Ist das Trojanische Pferd TR/Spy.53472.4
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\mrxsmb.sys.vir
[FUND] Ist das Trojanische Pferd TR/Drop.Sirefef.B.621
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0081661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0081662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0082661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0082662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0083661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0083662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0084661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0084662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0085661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0085662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0086661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0086662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0087661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0087662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0088661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0088662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0089661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0089662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0090661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0090662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0091661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0091662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP535\A0091833.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP535\A0091841.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP535\A0091848.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP537\A0091853.sys
[FUND] Ist das Trojanische Pferd TR/Drop.Sirefef.B.602
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP537\A0091854.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP537\A0091864.sys
[FUND] Ist das Trojanische Pferd TR/Drop.Sirefef.B.602
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP537\A0091865.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP537\A0091873.sys
[FUND] Ist das Trojanische Pferd TR/Drop.Sirefef.B.602
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP537\A0091874.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP538\A0091883.sys
[FUND] Ist das Trojanische Pferd TR/Drop.Sirefef.B.602
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP538\A0091884.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP538\A0091892.sys
[FUND] Ist das Trojanische Pferd TR/Drop.Sirefef.B.602
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP538\A0091893.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP538\A0091907.sys
[FUND] Ist das Trojanische Pferd TR/Drop.Sirefef.B.621
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP538\A0091993.exe
[FUND] Ist das Trojanische Pferd TR/Spy.53472.4
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP538\A0091994.exe
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
C:\WINDOWS\assembly\GAC_MSIL\
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
C:\WINDOWS\system32\ati2evxx.VIR
[FUND] Ist das Trojanische Pferd TR/Kazy.21128.17
C:\WINDOWS\system32\c_62913.nl_
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
C:\WINDOWS\system32\FsUsbExService.VIR
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
C:\WINDOWS\system32\PnkBstrA.VIR
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
C:\_OTL\MovedFiles\09022011_143927\D_WINDOWS\1381543154:223586221.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
Beginne mit der Suche in 'D:\' <HP_RECOVERY>
Beginne mit der Suche in 'F:\' <Irgendwie so>
Beginne mit der Suche in 'G:\' <Filme, Videos>
Beginne mit der Suche in 'H:\' <Daten und so>
Beginne mit der Suche in 'M:\' <Muse>

Beginne mit der Desinfektion:
C:\_OTL\MovedFiles\09022011_143927\D_WINDOWS\1381543154:223586221.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dfd8964.qua' verschoben!
C:\WINDOWS\system32\PnkBstrA.VIR
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '551fa51e.qua' verschoben!
C:\WINDOWS\system32\FsUsbExService.VIR
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '072affeb.qua' verschoben!
C:\WINDOWS\system32\c_62913.nl_
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '613cb005.qua' verschoben!
C:\WINDOWS\system32\ati2evxx.VIR
[FUND] Ist das Trojanische Pferd TR/Kazy.21128.17
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '24f59d10.qua' verschoben!
C:\WINDOWS\assembly\GAC_MSIL\
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5b89a4f4.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP538\A0091994.exe
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '171d80f3.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP538\A0091993.exe
[FUND] Ist das Trojanische Pferd TR/Spy.53472.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6b05c0a3.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP538\A0091907.sys
[FUND] Ist das Trojanische Pferd TR/Drop.Sirefef.B.621
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '465fefee.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP538\A0091893.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5f37d474.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP538\A0091892.sys
[FUND] Ist das Trojanische Pferd TR/Drop.Sirefef.B.602
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '336bf844.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP538\A0091884.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '42d2c1d1.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP538\A0091883.sys
[FUND] Ist das Trojanische Pferd TR/Drop.Sirefef.B.602
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cc8f116.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP537\A0091874.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '09e18854.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP537\A0091873.sys
[FUND] Ist das Trojanische Pferd TR/Drop.Sirefef.B.602
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '00ea8cff.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP537\A0091865.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '58ab9596.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP537\A0091864.sys
[FUND] Ist das Trojanische Pferd TR/Drop.Sirefef.B.602
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '745fec5a.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP537\A0091854.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aa18c80.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP537\A0091853.sys
[FUND] Ist das Trojanische Pferd TR/Drop.Sirefef.B.602
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '29afa7f3.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP535\A0091848.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0f67e7ee.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP535\A0091841.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3df39c4b.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP535\A0091833.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '37b6b735.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0091662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '08e5d370.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0091661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '76c9df57.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0090662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '23b1db9c.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0090661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2e27aab4.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0089662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '327abebd.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0089661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '03a9f373.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0088662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6fffe745.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0088661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2665c243.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0087662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7df0ca92.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0087661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1b42c67b.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0086662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cccb4d3.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0086661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6ebce3a7.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0085662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '06ac9931.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0085661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '26da9db4.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0084662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '73fedb00.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0084661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '12defabf.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0083662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7772b834.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0083661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '12a5cc95.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0082662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0141f006.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0082661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '13f88cbb.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0081662.ini
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '04a8ef09.qua' verschoben!
C:\System Volume Information\_restore{95AA7020-C223-40A7-9DC0-6E2923ED53CC}\RP534\A0081661.sys
[FUND] Ist das Trojanische Pferd TR/TDss.15.49
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5e8add99.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\mrxsmb.sys.vir
[FUND] Ist das Trojanische Pferd TR/Drop.Sirefef.B.621
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7bffa44f.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\wuauclt.exe.vir
[FUND] Ist das Trojanische Pferd TR/Spy.53472.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0f8fbc41.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\assembly\GAC_MSIL\desktop.ini.vir
[FUND] Ist das Trojanische Pferd TR/Spy.25600.152
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2d9beebd.qua' verschoben!
C:\Qoobox\Quarantine\C\Programme\Malwarebytes' Anti-Malware\mbamservice.exe.vir
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '581e96b9.qua' verschoben!
C:\Programme\WinTV\TVServer\HauppaugeTVServer.VIR
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '735dcab8.qua' verschoben!
C:\Programme\WinTV\TVServer\CaptureGenPCI.VIR
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '143d8207.qua' verschoben!
C:\Programme\MySQL\MySQL Server 5.5\bin\mysqld.VIR
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5f48bb79.qua' verschoben!
C:\Programme\Java\jre6\bin\jqs.VIR
[FUND] Ist das Trojanische Pferd TR/Kazy.25211.24
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5fb6b151.qua' verschoben!
C:\Programme\ICQCS\data\dpnsvri.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1512e440.qua' verschoben!
C:\Programme\ICQ6Toolbar\ICQ Service.VIR
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7b56cba5.qua' verschoben!
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.VIR
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '367095e5.qua' verschoben!
C:\Programme\Gemeinsame Dateien\DeviceHelper\DeviceManager.VIR
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5e37b2c8.qua' verschoben!
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.VIR
[FUND] Enthält Erkennungsmuster des Windows-Virus W32/PatchLoad.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '24808874.qua' verschoben!
C:\Programme\Bonjour\mDNSResponder.VIR
[FUND] Ist das Trojanische Pferd TR/Kazy.24148.5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55bcd465.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 8. September 2011 23:04
Benötigte Zeit: 2:20:06 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

15655 Verzeichnisse wurden überprüft
620004 Dateien wurden geprüft
58 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
58 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
619946 Dateien ohne Befall
16413 Archive wurden durchsucht
0 Warnungen
58 Hinweise
605380 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Nein das Log sieht super aus :)
Das sind entweder Funde welche in Quarantäne von Combofix oder OTL oder in der Systemwiederherstellung stecken :)

Schritt 1

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.
http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.

Schritt 2

Systemwiederherstellungpunkte leeren

Starte OTL.exe.
Füge nun folgendes aus der Codebox in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.[/list]Klicke nun auf den Run Fix Button.

Schritt 3

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

Schritt 4

Mache einen erneuten Scan mit Avira :)

OK das sieht sehr gut aus:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 9. September 2011 12:36

Es wird nach 3346315 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ALEX

Versionsinformationen:
BUILD.DAT : 10.2.0.700 35934 Bytes 21.07.2011 16:49:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 21.07.2011 10:08:11
AVSCAN.DLL : 10.0.5.0 57192 Bytes 21.07.2011 10:10:57
LUKE.DLL : 10.3.0.5 45416 Bytes 21.07.2011 10:09:32
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 12:22:40
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 21.07.2011 10:08:11
AVREG.DLL : 10.3.0.9 90472 Bytes 21.07.2011 10:08:05
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 05:52:59
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 05:53:00
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 10:10:02
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 10:10:06
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 10:10:07
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 14:20:09
VBASE007.VDF : 7.11.13.61 2048 Bytes 16.08.2011 14:20:09
VBASE008.VDF : 7.11.13.62 2048 Bytes 16.08.2011 14:20:09
VBASE009.VDF : 7.11.13.63 2048 Bytes 16.08.2011 14:20:09
VBASE010.VDF : 7.11.13.64 2048 Bytes 16.08.2011 14:20:09
VBASE011.VDF : 7.11.13.65 2048 Bytes 16.08.2011 14:20:10
VBASE012.VDF : 7.11.13.66 2048 Bytes 16.08.2011 14:20:10
VBASE013.VDF : 7.11.13.95 166400 Bytes 17.08.2011 14:20:14
VBASE014.VDF : 7.11.13.125 209920 Bytes 18.08.2011 14:20:18
VBASE015.VDF : 7.11.13.157 184832 Bytes 22.08.2011 14:20:22
VBASE016.VDF : 7.11.13.201 128000 Bytes 24.08.2011 14:20:25
VBASE017.VDF : 7.11.13.234 160768 Bytes 25.08.2011 14:20:29
VBASE018.VDF : 7.11.14.16 141312 Bytes 30.08.2011 14:20:32
VBASE019.VDF : 7.11.14.48 133120 Bytes 31.08.2011 14:20:35
VBASE020.VDF : 7.11.14.78 156160 Bytes 02.09.2011 14:20:38
VBASE021.VDF : 7.11.14.109 126976 Bytes 06.09.2011 14:20:41
VBASE022.VDF : 7.11.14.137 131584 Bytes 08.09.2011 14:20:44
VBASE023.VDF : 7.11.14.138 2048 Bytes 08.09.2011 14:20:44
VBASE024.VDF : 7.11.14.139 2048 Bytes 08.09.2011 14:20:45
VBASE025.VDF : 7.11.14.140 2048 Bytes 08.09.2011 14:20:45
VBASE026.VDF : 7.11.14.141 2048 Bytes 08.09.2011 14:20:45
VBASE027.VDF : 7.11.14.142 2048 Bytes 08.09.2011 14:20:45
VBASE028.VDF : 7.11.14.143 2048 Bytes 08.09.2011 14:20:45
VBASE029.VDF : 7.11.14.144 2048 Bytes 08.09.2011 14:20:46
VBASE030.VDF : 7.11.14.145 2048 Bytes 08.09.2011 14:20:46
VBASE031.VDF : 7.11.14.148 11264 Bytes 08.09.2011 14:20:46
Engineversion : 8.2.6.54
AEVDF.DLL : 8.1.2.1 106868 Bytes 21.04.2011 05:52:30
AESCRIPT.DLL : 8.1.3.76 1626490 Bytes 08.09.2011 14:21:52
AESCN.DLL : 8.1.7.2 127349 Bytes 21.04.2011 05:52:28
AESBX.DLL : 8.2.1.34 323957 Bytes 21.07.2011 10:07:25
AERDL.DLL : 8.1.9.13 639349 Bytes 21.07.2011 10:07:25
AEPACK.DLL : 8.2.10.10 684407 Bytes 08.09.2011 14:21:45
AEOFFICE.DLL : 8.1.2.13 201083 Bytes 08.09.2011 14:21:37
AEHEUR.DLL : 8.1.2.164 3654007 Bytes 08.09.2011 14:21:35
AEHELP.DLL : 8.1.17.7 254327 Bytes 08.09.2011 14:21:00
AEGEN.DLL : 8.1.5.9 401780 Bytes 08.09.2011 14:20:57
AEEMU.DLL : 8.1.3.0 393589 Bytes 21.04.2011 05:52:17
AECORE.DLL : 8.1.23.0 196983 Bytes 08.09.2011 14:20:53
AEBB.DLL : 8.1.1.0 53618 Bytes 21.04.2011 05:52:16
AVWINLL.DLL : 10.0.0.0 19304 Bytes 21.04.2011 05:52:39
AVPREF.DLL : 10.0.3.2 44904 Bytes 21.07.2011 10:08:05
AVREP.DLL : 10.0.0.10 174120 Bytes 21.07.2011 10:08:06
AVARKT.DLL : 10.0.26.1 255336 Bytes 21.07.2011 10:07:41
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 21.07.2011 10:07:59
SQLITE3.DLL : 3.6.19.0 355688 Bytes 21.07.2011 13:12:30
AVSMTP.DLL : 10.0.0.17 63848 Bytes 21.04.2011 05:52:38
NETNT.DLL : 10.0.0.0 11624 Bytes 21.04.2011 05:52:50
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 21.07.2011 10:11:03
RCTEXT.DLL : 10.0.64.0 98664 Bytes 21.07.2011 10:11:03

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:, G:, H:, M:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Freitag, 9. September 2011 12:36

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpsysdrv.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'KBD.EXE' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinTVTray.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ir.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'CAPTUR~3.EXE' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'HAUPPA~1.EXE' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'arservice.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '166' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'M:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1548' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HP_PAVILION>
Beginne mit der Suche in 'D:\' <HP_RECOVERY>
Beginne mit der Suche in 'F:\' <Irgendwie so>
Beginne mit der Suche in 'G:\' <Filme, Videos>
Beginne mit der Suche in 'H:\' <Daten und so>
Beginne mit der Suche in 'M:\' <Muse>


Ende des Suchlaufs: Freitag, 9. September 2011 14:24
Benötigte Zeit: 1:48:28 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

15237 Verzeichnisse wurden überprüft
611361 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
611361 Dateien ohne Befall
16360 Archive wurden durchsucht
0 Warnungen
0 Hinweise
605879 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Sagte ichs doch :)

Noch irgendwelche Probleme?

Ne ist nichts mehr aufgetreten!
Super geil! Besten Danke, kann mich nur tausendmal bedanken!
MfG Oemmel

Melde mich Morgen, sorry.

Hier noch die letzten paar Schritte zur Säuberung Deines Rechners.

Schritt 1

Automatische Updates

Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile

RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

und klicke auf OK.
Stelle sicher das die automatischen Updates aktiviert sind.


Schritt 2

Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.

• SpywareBlaster
  Eine kurze Einführung findest du Hier
  
  
• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
  Hinweis: MBAM ersetzt keine Anti- Viren- Software.
  
  
• Temp File Cleaner
  TFC ist ein wirklich starkes Tool zum entfernen von Temp Dateien vom IE und WIndows, leert den Papierkorb und noch viel mehr.
  Ausserdem hilft es Deinen Computer zu beschleunigen.
  Du kannst Dir TFC ( by OldTimer ) hier downloaden.
  
  
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  
  
• Halte Dein System aktuell
  Ich kann gar nicht oft genug betonen, wie wichtig es ist, dass der PC auf dem aktuellsten Stand der Dinge ist.
  Es werden oft genug Sicherheitslücken in Windows eigenen Anwendungen gefunden. Diese "Löcher" gehören entfernt, weil Angreifer diese womöglich nutzen um unauthorisiert auf Dein System zu zugreifen.
  Jeden zweiten Dienstag im Monat ist Update Tag. Besuche bitte dazu die Microsoft Update Seite.
  
  
• Halte Deine Software aktuell
  Der einfachste Weg dafür ist der Secunia Online Software.

Schritt 3

Tipps für sicheres Surfen

Das sind meine Vorschläge.
Verwende einen alternativen Browser statt den IE.
Ich empfehle Mozilla Firefox.

Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.

• NoScript
  Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
  
  
• AdblockPlus
  Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
  Es spart ausserdem Downloadkapazität.
  
  
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Sorry das ich ,ich jetzt erst melde.
Danke schön für alles. Läuft alles wieder super gut!!
Besten dank!!!!!
MfG Oemmel

Gern geschehen :) Viel Spass.