Trojaner Online Banking Sparkasse, PC formatieren??
 

Hallo zusammen,

ich habe seit letzter Woche wohl ein Problem mit meinem Computer, habe mich bei der Sparkasse Online Banking angemeldet und erhielt dann ein Hinweisfenster, wo ich Tans eingeben sollte. Kam mir spanisch vor, habe bei der Bank angerufen und mir wurde gesagt, dass ich einen Trojaner habe und ich meinen PC formatieren müsse. Sobald er wieder "clean" ist, könnte ich Online Banking wieder nutzen, mein Zugang ist jetzt erstmal gesperrt.

So, nach diversen Recherchen im Internet habe ich nun herausgefunden, dass ich anscheinend nicht die einzige mit dem Problem bin, es handelt sich wohl um den Trojaner "Delfsnif.DX.81", da der hier geschilderte Fall genau meinem Fall enstpricht: http://www.trojaner-board.de/89652-b...f-dx-81-a.html

Ich habe jetzt Kaspersky und auch Antivir durchlaufen lassen, es wurde nichts gefunden auf meinem PC! Habe, wie hier empfohlen, bei beiden Programmen vorher ein Update gemacht, die sind auf dem neuesten Stand.

Meine Frage: Wie kann das sein, dass nichts gefunden wird??? Und ist denn eine komplette Formatierung dann überhaupt notwendig?

Da ich mich (leider) mit Trojanern, Viren usw. überhaupt nicht auskenne und meinen PC noch nie formatiert habe, weiß ich nicht wirklich was ich jetzt machen soll.

Kann ich denn einfach meine privaten Dateien auf CD brennen (Dokumente, Bilder usw.), oder sind die auch vom Virus "befallen"??Was mache ich mit meiner ganzen Musik (Itunes)??

Und zu guter Letzt: Ich habe keine Backup-CD von Windows Vista, habe ich eben festgestellt. Ich hätte die Möglichkeit gehabt, mir so eine CD selbst zu erstellen, allerdings habe ich das damals als ich den PC gekauft habe nicht gemacht, dann ging es vergessen und ja..jetzt sitz ich hier. Was mach ich nun?? Es gibt zwar 2 Partitionen auf meinem Rechner, eine nennt sich HP Recovery, aber da ist glaub ich nichts drauf...

Wäre super, wenn ihr mir Tipps geben könntet.

Danke schonmal und viele Grüße!
Trinity81

Hi,
den Rechner platt zu machen ist tatsächlich die beste Alternative, keiner kann Dir sagen ob der Rechner wirklich sauber ist. Auf der HP-Partition sollte ein Backup des Systems im Initalzustand sein, d.h. direkt nach dem Kauf...

Der Nachteil ist, alles wird geplättet (Daten/Programme)...
Wie gut ist Dein Englisch? How to Boot an HP Recovery Partition | eHow.com

Solche Trojaner sind schwer zu finden und Du scheinst was sehr neues zu haben, wenn keiner was findet... Ob das alles zum Erfolg führt ist unklar... mal sehen..

So, probieren wir mal ob wir weiter kommen:

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.


OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe

• Vista/Win7-User mit Rechtsklick "als Administrator starten"

• Kopiere nun den Inhalt in die Textbox

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

• Schliesse bitte nun alle Programme. (Wichtig)

• Klicke nun bitte auf den Quick Scan Button

• Klick auf OK

• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

Hallo Chris,

danke für deine Hilfe!

Hier der Log von Combofix, Rest folgt dann gleich...

ComboFix 10-09-04.06 - Nadine 06.09.2010 10:28:46.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.2046.1149 [GMT 2:00]
ausgeführt von:: c:\users\Nadine\Desktop\ComboFix.exe
SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\internetgamebox
c:\program files\internetgamebox\language
c:\program files\internetgamebox\ressources\AttenteOff.html
c:\program files\internetgamebox\ressources\AttenteOn.html
c:\program files\internetgamebox\ressources\configv2_en.xml
c:\program files\internetgamebox\ressources\configv2_es.xml
c:\program files\internetgamebox\ressources\configv2_fr.xml
c:\program files\internetgamebox\ressources\favoris\defaultv2.swf
c:\program files\internetgamebox\skins\skinv2.skn
c:\programdata\Microsoft\Windows\Start Menu\Programs\InternetGameBox
c:\programdata\Microsoft\Windows\Start Menu\Programs\InternetGameBox\Datenschutzrichtlinien.url
c:\programdata\Microsoft\Windows\Start Menu\Programs\InternetGameBox\Deinstallieren.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\InternetGameBox\Geschäftsbedingungen.url
c:\programdata\Microsoft\Windows\Start Menu\Programs\InternetGameBox\InternetGameBox.lnk
c:\programdata\Microsoft\Windows\Start Menu\Programs\InternetGameBox\Website.url
c:\users\Nadine\AppData\Local\qaynsad.dat
c:\users\Nadine\AppData\Local\qaynsad_nav.dat
c:\users\Nadine\AppData\Local\qaynsad_navps.dat
c:\users\Nadine\AppData\Local\Temp\dpaptugc.dll
c:\windows\system32\KBL.LOG
c:\windows\system32\nvs2.inf

.
((((((((((((((((((((((( Dateien erstellt von 2010-08-06 bis 2010-09-06 ))))))))))))))))))))))))))))))
.

2010-09-06 08:40 . 2010-09-06 08:40 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-09-02 16:12 . 2010-09-02 16:12 -------- d-----w- c:\users\Default\AppData\Local\Apple Computer
2010-09-02 16:12 . 2010-09-02 16:12 -------- d-----w- c:\users\Default\AppData\Roaming\Apple Computer
2010-09-02 15:55 . 2010-09-02 15:55 404152 ----a-w- c:\programdata\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.1.400\mcouas.dll
2010-09-02 15:55 . 2010-09-02 15:55 166584 ----a-w- c:\programdata\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.1.400\klwtblc.dll
2010-09-02 15:55 . 2010-09-02 15:55 125624 ----a-w- c:\programdata\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.1.400\shellex.dll
2010-09-02 15:55 . 2010-09-02 15:55 113336 ----a-w- c:\programdata\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.1.400\sbstart.exe
2010-09-02 15:55 . 2010-09-02 15:55 129720 ----a-w- c:\programdata\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.1.400\shellex.dll
2010-09-02 15:55 . 2010-09-02 15:55 113336 ----a-w- c:\programdata\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.1.400\sbstart.exe
2010-09-02 15:55 . 2010-09-02 15:55 404152 ----a-w- c:\programdata\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.1.400\mcouas.dll
2010-09-02 15:55 . 2010-09-02 15:55 170680 ----a-w- c:\programdata\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.1.400\klwtblc.dll
2010-09-02 15:43 . 2010-09-02 15:43 288080 ----a-w- c:\programdata\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\bases\av\kdb\i386\win\avengine.dll
2010-09-02 15:32 . 2010-09-02 15:55 113933 ----a-w- c:\windows\system32\drivers\klin.dat
2010-09-02 15:32 . 2010-09-02 15:55 97549 ----a-w- c:\windows\system32\drivers\klick.dat
2010-09-02 15:28 . 2010-09-02 15:28 -------- d-----w- c:\program files\Kaspersky Lab
2010-09-02 15:28 . 2010-09-06 08:08 -------- d-----w- c:\programdata\Kaspersky Lab
2010-09-02 15:15 . 2010-09-02 15:15 -------- d-----w- c:\programdata\Kaspersky Lab Setup Files
2010-09-01 16:39 . 2010-09-01 16:39 -------- d-----w- C:\PerfLogs
2010-09-01 14:17 . 2010-09-01 14:17 -------- d-----w- c:\windows\Sun
2010-09-01 14:15 . 2010-07-17 03:00 423656 ----a-w- c:\windows\system32\deployJava1.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-06 08:24 . 2007-10-24 15:37 618430 ----a-w- c:\windows\system32\perfh007.dat
2010-09-06 08:24 . 2007-10-24 15:37 122648 ----a-w- c:\windows\system32\perfc007.dat
2010-09-06 08:17 . 2010-08-06 07:34 -------- d-----w- c:\programdata\Kodak
2010-09-02 15:56 . 2010-06-28 17:47 288080 ----a-w- c:\programdata\Kaspersky Lab\AVP11\Bases\avengine.dll
2010-09-02 15:31 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Sidebar
2010-09-01 16:41 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Calendar
2010-09-01 16:41 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-09-01 16:41 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Photo Gallery
2010-09-01 16:41 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Journal
2010-09-01 16:41 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Collaboration
2010-09-01 16:41 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Defender
2010-09-01 16:39 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2010-09-01 16:37 . 2008-02-13 05:02 -------- d-----w- c:\programdata\NVIDIA
2010-09-01 16:18 . 2006-11-02 10:32 101888 ----a-w- c:\windows\system32\ifxcardm.dll
2010-09-01 16:18 . 2006-11-02 10:32 82432 ----a-w- c:\windows\system32\axaltocm.dll
2010-09-01 15:41 . 2008-04-12 17:09 144870 ----a-w- c:\users\Nadine\AppData\Roaming\nvModes.dat
2010-09-01 14:17 . 2007-10-24 07:51 -------- d-----w- c:\program files\Common Files\Java
2010-09-01 14:15 . 2007-10-24 07:51 -------- d-----w- c:\program files\Java
2010-08-31 14:16 . 2010-03-11 16:39 1 ----a-w- c:\users\Nadine\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-08-23 18:14 . 2007-10-24 07:12 -------- d-----w- c:\program files\Microsoft Works
2010-08-23 18:13 . 2007-10-24 07:25 -------- d-----w- c:\programdata\Microsoft Help
2010-08-06 07:54 . 2010-08-06 07:54 -------- d-----w- c:\programdata\kds_kodak
2010-08-06 07:54 . 2010-08-06 07:54 -------- d-----w- c:\programdata\Eastman Kodak Company
2010-08-06 07:41 . 2010-08-06 07:37 -------- d-----w- c:\program files\Kodak
2010-07-04 12:28 . 2010-07-04 12:28 72504 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe
2010-07-01 19:35 . 2010-07-01 19:35 228024 ----a-w- c:\windows\system32\klogon.dll
2010-07-01 19:14 . 2010-07-01 19:14 68256 ----a-w- c:\programdata\Kaspersky Lab Setup Files\Kaspersky Internet Security 2011 11.0.1.400\German\setup.exe
2010-07-01 06:06 . 2010-07-01 06:06 1037648 ----a-w- c:\programdata\Kaspersky Lab\AVP11\Bases\klavasyswatch.dll
2010-06-30 05:06 . 2010-06-30 05:06 271696 ----a-w- c:\programdata\Kaspersky Lab\AVP11\Bases\sys_critical_obj.dll
2010-06-15 10:06 . 2010-06-15 10:06 1079048 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-06-09 15:43 . 2010-06-09 15:43 11352 ----a-w- c:\windows\system32\drivers\kl2.sys
2010-06-09 15:43 . 2010-06-09 15:43 132184 ----a-w- c:\windows\system32\drivers\kl1.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-15 102400]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-09-30 181544]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-09-19 202032]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-09-04 554320]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-08-16 218408]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-16 75008]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-09-13 480560]
"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-08 311296]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-04-12 1135912]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-06-15 141624]
"Conime"="c:\windows\system32\conime.exe" [2008-01-19 69120]
"EKIJ5000StatusMonitor"="c:\windows\system32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe" [2009-08-03 1626112]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-09-19 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-19 8497696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-09-19 81920]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
PDFCreator.lnk - c:\program files\PDFCreator\PDFCreator.exe [2008-6-25 2641920]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\KASPER~1\KASPER~1\mzvkbd3.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001

R3 FTD2XX;FTD2XX.SYS FT8U2XX device driver;c:\windows\system32\Drivers\FTD2XX.sys [2004-10-15 29292]
R3 WiselinkPro;SAMSUNG WiselinkPro Service;c:\program files\SAMSUNG\SAMSUNG PC Share Manager\WiselinkPro.exe [2008-07-01 4014080]
S1 kl2;kl2;c:\windows\system32\DRIVERS\kl2.sys [2010-06-09 11352]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [2010-04-22 22104]
S2 IGDCTRL;AVM IGD CTRL Service;c:\program files\FRITZ!DSL\IGDCTRL.EXE [2009-07-28 73528]
S2 Kodak AiO Network Discovery Service;Kodak AiO Network Discovery Service;c:\program files\Kodak\AiO\Center\ekdiscovery.exe [2009-08-05 284016]
S3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\DRIVERS\klmouflt.sys [2009-11-02 19984]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-08-23 15:34 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners

2010-09-05 c:\windows\Tasks\User_Feed_Synchronization-{1AA1DE15-0EFB-4713-9B9E-31DC868024DE}.job
- c:\windows\system32\msfeedssync.exe [2009-12-06 03:41]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Pavilion&pf=laptop
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
DPF: {0D9392CD-A784-4FCA-9342-0F75F7D7C8CB} - hxxp://www.cltnet.de/login/dplaunch.cab
DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} - hxxps://account.maxdome.de/presentation/script/HWTest.CAB
FF - ProfilePath - c:\users\Nadine\AppData\Roaming\Mozilla\Firefox\Profiles\x6kb92fq.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.arcor.de/
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\program files\Opera\program\plugins\np_gp.dll
FF - plugin: c:\users\Nadine\AppData\Roaming\Move Networks\plugins\071802000001\npqmp071802000001.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-NWEReboot - (no file)
HKU-Default-Run-FRITZ!protect - FwebProt.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-06 10:41
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2010-09-06 10:45:09
ComboFix-quarantined-files.txt 2010-09-06 08:45

Vor Suchlauf: 7 Verzeichnis(se), 150.159.028.224 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 150.497.300.480 Bytes frei

OTL.txt:OTL Logfile:
--- --- ---

Extras.txtOTL EXTRAS Logfile:
--- --- ---

So weiter gehts mit dem Malwarebytes Logfile:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4554

Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18828

06.09.2010 13:00:04
mbam-log-2010-09-06 (13-00-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 338020
Laufzeit: 1 Stunde(n), 38 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\IGB (Rogue.Residue) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

So, und abschließend noch das Log von GMER.

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit quick scan 2010-09-06 14:13:54
Windows 6.0.6001 Service Pack 1
Running: xn784jll.exe; Driver: C:\Users\Nadine\AppData\Local\Temp\kxloqpow.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\tdx \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice \Driver\tdx \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice \Driver\tdx \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice \Driver\tdx \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----


Hoffe, ich hab alles richtig gemacht und man kann was damit anfangen..Falls noch was fehlt, einfach Bescheid sagen...

Wie gehts jetzt weiter?

Gruß
Trinity

Hi,

bist Du in ein Netzwerk eingebunden, da ist wichtig? Hängst Du an einem Router mit mehreren Rechnern?
Es gibt da einen zweiten DHCP-Server...
Das sieht u. U. nach einer Umleitung aus....

TCPView
Anzeige der vom Rechner aufgebauten Internetverbindungen mit Status, Zieladresse etc.
Lege ein Verzeichnis an, entpacke die Dateien in das Verzeichnis und starte dann die tcpview.exe. Copyright und Co abnicken.
Das Log kann unter "File", "Save as.." abgespeichert werden, in den Editor laden abkopieren und hier posten.
Download: TCPView for Windows
Anleitung: Sysinternals ? die besten Utilities (3): TCPView IT-techBlog: Home of MobileTech

Was macht das Gmer-Log? Falls der Rechner immer abrauscht, probiere es im abgesicherten Modus (F8 beim Booten)...

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Prevx:
Das Tool neigt zu Fehlalarmen und kann in der freien Version auch nichts löschen, ist aber sonst recht gut... (und läuft auch 64Bit-Plattformen)
Prevx 3.0 for Home and Family
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris

TcPView:

[System Process] 0 TCP notebook.mshome.net 49483 notebook.mshome.net icslap TIME_WAIT
[System Process] 0 TCP notebook.mshome.net 49484 notebook.mshome.net icslap TIME_WAIT
[System Process] 0 TCP Notebook nfsd-status localhost:49485 49485 TIME_WAIT 1 328 1 773
alg.exe 2584 TCP notebook.mshome.net 49169 Notebook 0 LISTENING
AppleMobileDeviceService.exe 1752 TCP Notebook 27015 Notebook 0 LISTENING
AppleMobileDeviceService.exe 1752 TCP Notebook 27015 localhost 49163 ESTABLISHED
avp.exe 3272 TCP Notebook nfsd-status Notebook 0 LISTENING
avp.exe 3272 UDP Notebook 51888 * *
avp.exe 3272 TCPV6 notebook nfsd-status notebook 0 LISTENING
avp.exe 3272 TCP Notebook nfsd-status localhost:49481 49481 ESTABLISHED 2 487 3 1.478
avp.exe 3272 TCP Notebook nfsd-status localhost:49477 49477 ESTABLISHED 3 3.220 3 2.145
avp.exe 3272 TCP notebook.mshome.net 49478 fx-in-f100.1e100.net http ESTABLISHED 3 2.418 3 984
avp.exe 3272 TCP notebook.mshome.net 49480 fx-in-f100.1e100.net http ESTABLISHED 2 1.246 2 656
avp.exe 3272 TCP Notebook nfsd-status localhost:49479 49479 ESTABLISHED 10 20.381 9 6.704
avp.exe 3272 TCP notebook.mshome.net 49482 www.assoc-amazon.de http ESTABLISHED 1 327 1 159
DivXUpdate.exe 3516 UDP Notebook 49179 * *
ekdiscovery.exe 1944 TCP Notebook 9322 Notebook 0 LISTENING
ekdiscovery.exe 1944 TCP Notebook 49157 localhost 5354 ESTABLISHED
ekdiscovery.exe 1944 TCP Notebook 49158 localhost 5354 ESTABLISHED
ekdiscovery.exe 1944 TCP Notebook 49159 localhost 5354 ESTABLISHED
ekdiscovery.exe 1944 TCP Notebook 49162 localhost 5354 ESTABLISHED
iexplore.exe 5692 UDP Notebook 55823 * *
iexplore.exe 3684 UDP Notebook 55824 * * 1 1 1 1
iexplore.exe 6016 UDP Notebook 59852 * * 117 117 117 117
iexplore.exe 6016 TCP Notebook 49477 localhost nfsd-status ESTABLISHED 4 2.918 3 984
iexplore.exe 6016 TCP Notebook 49479 localhost nfsd-status ESTABLISHED 3 1.746 2 656
iexplore.exe 6016 TCP Notebook 49481 localhost nfsd-status ESTABLISHED 1 327 1 159
IGDCTRL.EXE 1816 TCP Notebook 49156 Notebook 0 LISTENING
IGDCTRL.EXE 1816 UDP notebook.mshome.net ssdp * *
IGDCTRL.EXE 1816 UDP notebook.mshome.net 57156 * *
iTunesHelper.exe 3544 TCP Notebook 49163 localhost 27015 ESTABLISHED
lsass.exe 668 TCP Notebook 49160 Notebook 0 LISTENING
lsass.exe 668 TCPV6 notebook 49160 notebook 0 LISTENING
mDNSResponder.exe 1780 TCP Notebook 5354 Notebook 0 LISTENING
mDNSResponder.exe 1780 TCP Notebook 5354 localhost 49157 ESTABLISHED
mDNSResponder.exe 1780 TCP Notebook 5354 localhost 49158 ESTABLISHED
mDNSResponder.exe 1780 TCP Notebook 5354 localhost 49159 ESTABLISHED
mDNSResponder.exe 1780 TCP Notebook 5354 localhost 49162 ESTABLISHED
mDNSResponder.exe 1780 UDP notebook.mshome.net 5353 * * 1 70 2 140
mDNSResponder.exe 1780 UDP Notebook 49152 * *
mDNSResponder.exe 1780 UDPV6 [0:0:0:0:0:0:0:1] 5353 * *
mDNSResponder.exe 1780 UDPV6 notebook 49153 * *
services.exe 656 TCP Notebook 49161 Notebook 0 LISTENING
services.exe 656 TCPV6 notebook 49161 notebook 0 LISTENING
svchost.exe 932 TCP Notebook epmap Notebook 0 LISTENING
svchost.exe 1028 TCP Notebook 49153 Notebook 0 LISTENING
svchost.exe 1068 TCP Notebook 49154 Notebook 0 LISTENING
svchost.exe 344 TCP Notebook 49155 Notebook 0 LISTENING
svchost.exe 1068 UDP Notebook domain * *
svchost.exe 1236 UDP Notebook ntp * *
svchost.exe 1068 UDP Notebook isakmp * *
svchost.exe 1236 UDP Notebook ssdp * *
svchost.exe 1236 UDP notebook.mshome.net ssdp * *
svchost.exe 1236 UDP Notebook 3702 * *
svchost.exe 1236 UDP Notebook 3702 * *
svchost.exe 1068 UDP Notebook ipsec-msft * *
svchost.exe 1336 UDP Notebook llmnr * *
svchost.exe 1236 UDP Notebook 49154 * *
svchost.exe 1068 UDP Notebook 49162 * *
svchost.exe 1068 UDP Notebook 49163 * *
svchost.exe 1068 UDP Notebook 49180 * *
svchost.exe 1236 UDP notebook.mshome.net 61562 * *
svchost.exe 1236 UDP Notebook 61563 * *
svchost.exe 1068 UDP Notebook 63828 * *
svchost.exe 1068 UDP Notebook 63830 * *
svchost.exe 932 TCPV6 notebook epmap notebook 0 LISTENING
svchost.exe 1028 TCPV6 notebook 49153 notebook 0 LISTENING
svchost.exe 1068 TCPV6 notebook 49154 notebook 0 LISTENING
svchost.exe 344 TCPV6 notebook 49155 notebook 0 LISTENING
svchost.exe 1068 UDPV6 [fe80:0:0:0:44a8:8984:d64b:d937] 53 * *
svchost.exe 1236 UDPV6 notebook 123 * *
svchost.exe 1068 UDPV6 notebook 500 * *
svchost.exe 1068 UDPV6 notebook 547 * *
svchost.exe 1236 UDPV6 [0:0:0:0:0:0:0:1] 1900 * *
svchost.exe 1236 UDPV6 [fe80:0:0:0:0:100:7f:fffe] 1900 * *
svchost.exe 1236 UDPV6 [fe80:0:0:0:44a8:8984:d64b:d937] 1900 * *
svchost.exe 1236 UDPV6 [fe80:0:0:0:90a0:1326:f036:18f0] 1900 * *
svchost.exe 1236 UDPV6 notebook 3702 * *
svchost.exe 1236 UDPV6 notebook 3702 * *
svchost.exe 1336 UDPV6 notebook 5355 * *
svchost.exe 1236 UDPV6 notebook 49155 * *
svchost.exe 1236 UDPV6 [fe80:0:0:0:44a8:8984:d64b:d937] 61558 * *
svchost.exe 1236 UDPV6 [fe80:0:0:0:90a0:1326:f036:18f0] 61559 * *
svchost.exe 1236 UDPV6 [0:0:0:0:0:0:0:1] 61560 * *
svchost.exe 1236 UDPV6 [fe80:0:0:0:0:100:7f:fffe] 61561 * *
svchost.exe 1068 UDPV6 notebook 63829 * *
svchost.exe 1068 UDPV6 notebook 63831 * *
System 4 TCP notebook.mshome.net netbios-ssn Notebook 0 LISTENING
System 4 TCP Notebook microsoft-ds Notebook 0 LISTENING
System 4 TCP Notebook icslap Notebook 0 LISTENING
System 4 TCP Notebook 5357 Notebook 0 LISTENING
System 4 UDP notebook.mshome.net netbios-ns * * 30 1.500
System 4 UDP notebook.mshome.net netbios-dgm * * 1 209 1 209
System 4 TCPV6 notebook microsoft-ds notebook 0 LISTENING
System 4 TCPV6 notebook icslap notebook 0 LISTENING
System 4 TCPV6 notebook 5357 notebook 0 LISTENING
wininit.exe 612 TCP Notebook 49152 Notebook 0 LISTENING
wininit.exe 612 TCPV6 notebook 49152 notebook 0 LISTENING


GMER hatte ich oben gepostet, oder war das nicht das richtige?

Wir nutzen hier zuhause einen Router, haben ein Notebook und einen normalen PC die darüber ins Internet gehen...ist das ein Problem?

Rest kommt gleich...

Gruß
Trinity

OTL Fix Ergebnisse:

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}\ not found.
Registry value HKEY_USERS\S-1-5-21-157890176-794377936-340645987-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{31CF9EBE-5755-4A1D-AC25-2834D952D9B4} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Adobe Reader Speed Launcher deleted successfully.
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\\{AEB6717E-7E19-11d0-97EE-00C04FD91972} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AEB6717E-7E19-11d0-97EE-00C04FD91972}\ not found.
File move failed. E:\Autorun.inf scheduled to be moved on reboot.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\\"DisableMonitoring"|dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus\\"DisableMonitoring"|dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus\\"DisableMonitoring"|dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall\\"DisableMonitoring"|dword:0x00 /E : value set successfully!
Unable to set value : HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\\"AntiVirusOverride"|dword:0x00 /E!
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Nadine
->Temp folder emptied: 968847 bytes
->Temporary Internet Files folder emptied: 3651505 bytes
->Java cache emptied: 34606550 bytes
->FireFox cache emptied: 0 bytes
->Opera cache emptied: 629424 bytes
->Flash cache emptied: 213589 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 140763 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 38,00 mb


OTL by OldTimer - Version 3.2.11.0 log created on 09062010_145317

Files\Folders moved on Reboot...
File move failed. E:\Autorun.inf scheduled to be moved on reboot.
C:\Users\Nadine\AppData\Local\Temp\ehmsas.txt moved successfully.
File\Folder C:\Windows\temp\klsFC94.tmp not found!

Registry entries deleted on Reboot...

Hi,

Gmer hatte ich nicht gesehen, unserer Postings haben sich überschnitten.
Dann brauchst Du online nichts zu prüfen, die suspekte Exe gehört zu GMER.

Lass mal Prevx laufen und poste das Ergebniss (Screenshot)...

Dann bitte mal sicherstellen, dass der zweite Rechner aus ist und noch mal auf die Bankseite gehen und schauen ob die TAN-Aufforderungen noch mal kommt... Will rausfinden ob das Teil auf dem Notebook oder auf dem stat. Rechner steckt....

chris

Virustotal:

File name: xn784jll.exe
Submission date: 2010-09-06 13:05:03 (UTC)
Current status: queued (#3) queued (#3) analysing finished


Result: 1/ 43 (2.3%)


Antivirus Version Last Update Result
AhnLab-V3 2010.09.05.00 2010.09.04 -
AntiVir 8.2.4.50 2010.09.06 -
Antiy-AVL 2.0.3.7 2010.09.03 -
Authentium 5.2.0.5 2010.09.06 -
Avast 4.8.1351.0 2010.09.06 -
Avast5 5.0.594.0 2010.09.06 -
AVG 9.0.0.851 2010.09.06 -
BitDefender 7.2 2010.09.06 -
CAT-QuickHeal 11.00 2010.09.06 -
ClamAV 0.96.2.0-git 2010.09.06 -
Comodo 5988 2010.09.06 -
DrWeb 5.0.2.03300 2010.09.06 -
Emsisoft 5.0.0.37 2010.09.06 -
eSafe 7.0.17.0 2010.09.05 Win32.TrojanHorse
eTrust-Vet 36.1.7838 2010.09.06 -
F-Prot 4.6.1.107 2010.09.01 -
F-Secure 9.0.15370.0 2010.09.06 -
Fortinet 4.1.143.0 2010.09.05 -
GData 21 2010.09.06 -
Ikarus T3.1.1.88.0 2010.09.06 -
Jiangmin 13.0.900 2010.09.06 -
K7AntiVirus 9.63.2442 2010.09.04 -
Kaspersky 7.0.0.125 2010.09.06 -
McAfee 5.400.0.1158 2010.09.06 -
McAfee-GW-Edition 2010.1B 2010.09.06 -
Microsoft 1.6103 2010.09.06 -
NOD32 5427 2010.09.06 -
Norman 6.05.11 2010.09.06 -
nProtect 2010-09-06.01 2010.09.06 -
Panda 10.0.2.7 2010.09.05 -
PCTools 7.0.3.5 2010.09.06 -
Prevx 3.0 2010.09.06 -
Rising 22.64.00.04 2010.09.06 -
Sophos 4.57.0 2010.09.06 -
Sunbelt 6838 2010.09.06 -
SUPERAntiSpyware 4.40.0.1006 2010.09.06 -
Symantec 20101.1.1.7 2010.09.06 -
TheHacker 6.5.2.1.364 2010.09.05 -
TrendMicro 9.120.0.1004 2010.09.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.06 -
VBA32 3.12.14.0 2010.09.06 -
ViRobot 2010.9.6.4028 2010.09.06 -
VirusBuster 12.64.18.1 2010.09.05 -
Additional informationShow all
MD5 : f80f6e09e7f4bafe478ca0da6137e1e2
SHA1 : 719082766cf4f60c8bdaa2b2c9f6967ecbcf8722
SHA256: 682fd0d13d7caf4b17a1eb9bafa0a3c3598139bb3623d3f5fba3bfbd0a6d424a
ssdeep: 6144:Uwbg2xeuJgWM/S1tm/xCIoQPJVZCzw5bEPb3cV9iYpTkyTFHS2:Uw82IZWM61tUXRd9IPb
3cVZkyp/
File size : 293376 bytes
First seen: 2009-12-15 11:56:33
Last seen : 2010-09-06 13:05:03
TrID:
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: 1, 0, 15, 15281
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers (F-Prot): UPX
packers (Kaspersky): UPX, PE_Patch
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0xB3F40
timedatestamp....: 0x4B2763F0 (Tue Dec 15 10:24:48 2009)
machinetype......: 0x14c (I386)

[[ 3 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
UPX0, 0x1000, 0x6D000, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e
UPX1, 0x6E000, 0x47000, 0x46200, 7.93, 7b777c30b7f75e5eb654691bb1616dcb
.rsrc, 0xB5000, 0x2000, 0x1400, 3.38, 710fb4291f153e98a3a03f3473b8bfd6

[[ 1 import(s) ]]
KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess

_____________

File name: themeui.dll
Submission date: 2010-09-06 13:11:42 (UTC)
Current status: queued (#1) queued analysing finished


Result: 0/ 43 (0.0%)

Antivirus Version Last Update Result
AhnLab-V3 2010.09.05.00 2010.09.04 -
AntiVir 8.2.4.50 2010.09.06 -
Antiy-AVL 2.0.3.7 2010.09.03 -
Authentium 5.2.0.5 2010.09.06 -
Avast 4.8.1351.0 2010.09.06 -
Avast5 5.0.594.0 2010.09.06 -
AVG 9.0.0.851 2010.09.06 -
BitDefender 7.2 2010.09.06 -
CAT-QuickHeal 11.00 2010.09.06 -
ClamAV 0.96.2.0-git 2010.09.06 -
Comodo 5988 2010.09.06 -
DrWeb 5.0.2.03300 2010.09.06 -
Emsisoft 5.0.0.37 2010.09.06 -
eSafe 7.0.17.0 2010.09.05 -
eTrust-Vet 36.1.7838 2010.09.06 -
F-Prot 4.6.1.107 2010.09.01 -
F-Secure 9.0.15370.0 2010.09.06 -
Fortinet 4.1.143.0 2010.09.05 -
GData 21 2010.09.06 -
Ikarus T3.1.1.88.0 2010.09.06 -
Jiangmin 13.0.900 2010.09.06 -
K7AntiVirus 9.63.2442 2010.09.04 -
Kaspersky 7.0.0.125 2010.09.06 -
McAfee 5.400.0.1158 2010.09.06 -
McAfee-GW-Edition 2010.1B 2010.09.06 -
Microsoft 1.6103 2010.09.06 -
NOD32 5427 2010.09.06 -
Norman 6.05.11 2010.09.06 -
nProtect 2010-09-06.01 2010.09.06 -
Panda 10.0.2.7 2010.09.05 -
PCTools 7.0.3.5 2010.09.06 -
Prevx 3.0 2010.09.06 -
Rising 22.64.00.04 2010.09.06 -
Sophos 4.57.0 2010.09.06 -
Sunbelt 6838 2010.09.06 -
SUPERAntiSpyware 4.40.0.1006 2010.09.06 -
Symantec 20101.1.1.7 2010.09.06 -
TheHacker 6.5.2.1.364 2010.09.05 -
TrendMicro 9.120.0.1004 2010.09.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.06 -
VBA32 3.12.14.0 2010.09.06 -
ViRobot 2010.9.6.4028 2010.09.06 -
VirusBuster 12.64.18.1 2010.09.05 -
Additional informationShow all
MD5 : 56ba1bd7176dbbfbd037275819da4ae3
SHA1 : 52e9e72c572f8afffde96d95c25e01fde2004f44
SHA256: c0a797f7edb37203494becaf13df27334ae566d12390c64a260a05c2654e92ab
ssdeep: 12288:JtNoeeXIWaaiUM7g+k0OhPBkKTTn72x7E:RoeeXch73kpCKHn7
File size : 615424 bytes
First seen: 2009-08-06 01:26:55
Last seen : 2010-09-06 13:11:42
TrID:
DirectShow filter (58.4%)
Win64 Executable Generic (24.8%)
Win32 Executable MS Visual C++ (generic) (10.9%)
Win32 Executable Generic (2.4%)
Win32 Dynamic Link Library (generic) (2.1%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Windows Theme API
original name: ThemeUI.DLL
internal name: THEMEUI
file version.: 6.0.6001.18000 (longhorn_rtm.080118-1840)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x172F
timedatestamp....: 0x4791A786 (Sat Jan 19 07:32:22 2008)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x3794C, 0x37A00, 6.38, fb759cc6ae8227ccc78d3511acc5dbbd
.data, 0x39000, 0x1641C, 0x1400, 2.11, a729987aed0319e1f1d093dddcbc2807
.rsrc, 0x50000, 0x5A198, 0x5A200, 5.62, 142e91769e1ff25748a06aad379b2522
.reloc, 0xAB000, 0x2E4C, 0x3000, 6.72, 9802166a05730c3e44e242e7ae821c9c

[[ 10 import(s) ]]
msvcrt.dll: malloc, _vsnwprintf, memset, _wtoi, _except_handler4_common, _adjust_fdiv, _amsg_exit, _initterm, free, _ftol2_sse, _XcptFilter, memmove, wcstombs, _itow_s, towupper, _wcsnicmp, memcpy
ntdll.dll: WinSqmAddToStream
KERNEL32.dll: GetWindowsDirectoryW, FormatMessageW, GetPrivateProfileIntW, CopyFileW, ExpandEnvironmentStringsW, HeapAlloc, GetSystemDirectoryW, HeapFree, ProcessIdToSessionId, GetCurrentProcessId, InterlockedExchange, GetCurrentThreadId, WritePrivateProfileStringW, WriteFile, LocalFileTimeToFileTime, SystemTimeToFileTime, GetLocalTime, GetProcAddress, InterlockedCompareExchange, LoadLibraryA, Sleep, QueryPerformanceCounter, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, FindFirstFileW, FindNextFileW, FindClose, CreateThread, GetModuleFileNameW, LoadLibraryW, FreeLibraryAndExitThread, LoadLibraryExW, FreeLibrary, GetLongPathNameW, FreeResource, WriteProfileStringW, lstrcmpW, GetPrivateProfileStringW, GetSystemDefaultLCID, GetUserDefaultLCID, GetSystemDefaultUILanguage, GetLocaleInfoW, CreateFileW, ReadFile, SetFilePointer, MultiByteToWideChar, CreateProcessW, EnterCriticalSection, LeaveCriticalSection, InitializeCriticalSection, DisableThreadLibraryCalls, DeleteCriticalSection, DeleteFileW, GlobalMemoryStatus, GetProductInfo, GlobalAlloc, CreateEventW, GetCurrentProcess, DuplicateHandle, WaitForSingleObject, IsDebuggerPresent, SetEvent, CloseHandle, LocalAlloc, GetLastError, GetUserDefaultUILanguage, GetTickCount, LocalFree, lstrcmpiW, InterlockedDecrement, InterlockedIncrement, lstrlenW, MulDiv, UnmapViewOfFile, GetFileSize, MapViewOfFile, CreateFileMappingW, DeactivateActCtx, ActivateActCtx, ReleaseActCtx, CreateActCtxW, GetModuleHandleW, DelayLoadFailureHook, GetProcessHeap
ADVAPI32.dll: CryptHashData, RegSetValueExW, CryptVerifySignatureW, RegOpenKeyExW, RegQueryValueExW, RegCreateKeyExW, RegCopyTreeW, RegDeleteValueW, RegDeleteKeyW, RegEnumKeyExW, RegEnumKeyW, RegQueryInfoKeyW, RegSetValueW, RegEnumValueW, CryptImportKey, CryptDestroyKey, CryptDestroyHash, CryptReleaseContext, CryptAcquireContextW, CryptCreateHash, RegCloseKey
GDI32.dll: IntersectClipRect, SetStretchBltMode, StretchBlt, SelectClipRgn, GetLayout, GdiTransparentBlt, GetDIBColorTable, CreateBitmap, SaveDC, GetTextColor, SetBkColor, RestoreDC, CreateCompatibleBitmap, SetLayout, TranslateCharsetInfo, TextOutW, CreateHalftonePalette, CreateDIBSection, CreateCompatibleDC, BitBlt, SetBkMode, SetTextColor, DeleteDC, CreateSolidBrush, GetObjectW, GetTextMetricsW, EnumFontFamiliesExW, GetTextExtentPoint32W, GetDeviceCaps, GetPaletteEntries, CreatePalette, DeleteObject, CreateFontIndirectW, SetPaletteEntries, GetStockObject, GetNearestColor, SelectPalette, RealizePalette, SelectObject, PatBlt, GetTextExtentPointW, SetTextAlign, GetNearestPaletteIndex, CreatePatternBrush, SetMagicColors, ExtFloodFill, GetPixel, PathToRegion, StrokePath, CreatePen, EndPath, ExtTextOutW, EnumFontFamiliesW, BeginPath
USER32.dll: CharUpperBuffW, CharLowerW, IsCharUpperW, CharNextW, DrawIconEx, EnumChildWindows, LoadIconW, UnionRect, AlignRects, SetCursorPos, GetCursorPos, SetWindowRgn, GetAsyncKeyState, GetMessagePos, GetDlgItemInt, GetDoubleClickTime, IntersectRect, GetKeyState, BringWindowToTop, SetMenuDefaultItem, IsWindowEnabled, CheckMenuItem, TrackPopupMenu, GetSubMenu, IsRectEmpty, SystemParametersInfoA, PostThreadMessageW, EnumDisplaySettingsExW, GetMessageTime, SendMessageTimeoutW, EndTask, CallWindowProcW, RedrawWindow, GetFocus, MessageBoxW, SendNotifyMessageW, LoadBitmapW, IsWindow, SetRect, DrawIcon, SetSysColorsTemp, DrawCaptionTempW, DrawFrameControl, GetDesktopWindow, DrawMenuBarTemp, DestroyIcon, DestroyMenu, LoadMenuW, EnableMenuItem, PtInRect, WaitForInputIdle, GetClassInfoW, RegisterClassW, GetDlgCtrlID, GetCapture, SetRectEmpty, ChangeDisplaySettingsW, EnumDisplayDevicesW, ChangeDisplaySettingsExW, RegisterClipboardFormatW, SetWindowTextW, RegisterClassExW, BeginPaint, EndPaint, PostQuitMessage, GetMessageW, LoadImageW, SetForegroundWindow, SetTimer, KillTimer, ValidateRect, FillRect, MonitorFromPoint, OffsetRect, DrawTextW, UnregisterClassW, SetFocus, ShowCursor, ReleaseCapture, SetCapture, ShowWindow, GetWindowRect, GetDlgItemTextW, MoveWindow, DrawTextExW, SetWindowPos, AdjustWindowRect, MonitorFromRect, GetMonitorInfoW, ChildWindowFromPoint, IsWindowVisible, DrawEdge, LoadCursorW, SystemParametersInfoW, MapWindowPoints, DestroyWindow, GetSysColor, SetSysColors, MsgWaitForMultipleObjects, PeekMessageW, TranslateMessage, DispatchMessageW, GetParent, PostMessageW, GetWindowLongW, DefWindowProcW, EndDialog, IsDlgButtonChecked, GetWindowTextW, GetClientRect, LoadStringW, GetWindow, SetDlgItemTextW, SetDlgItemInt, InvalidateRect, UpdateWindow, SendDlgItemMessageW, CheckDlgButton, EnableWindow, GetDC, ReleaseDC, InflateRect, GetSystemMetrics, GetSysColorBrush, FrameRect, SetWindowLongW, GetDlgItem, SendMessageW, CreateWindowExW, DialogBoxParamW, SetCursor
Secur32.dll: GetUserNameExW
SHLWAPI.dll: -, -, PathUnExpandEnvStringsW, -, StrCmpNIW, -, -, -, -, -, -, PathRemoveExtensionW, PathIsRelativeW, -, -, PathIsFileSpecW, PathRemoveBlanksW, -, SHRegGetPathW, PathFindExtensionW, PathRemoveFileSpecW, -, -, StrDupW, StrCmpNW, StrChrW, PathQuoteSpacesW, -, -, SHRegSetUSValueW, SHRegSetPathW, -, -, PathParseIconLocationW, SHStrDupW, SHGetValueW, SHDeleteValueW, StrToIntExW, StrStrW, SHSetValueW, PathFindFileNameW, -, -, StrRChrW, StrStrIW, -, -, PathFileExistsW, -, -, -, -, -, SHDeleteKeyW, -, PathCommonPrefixW, -, -, StrCmpIW, StrCmpW, -, -, PathAppendW, -, -, -, StrToIntW, -
SHELL32.dll: SHFileOperationW, SHGetFolderPathW, -, -, ShellExecuteExW, -, -, -, ExtractIconExW, -, ExtractIconW, -, -, -, ShellExecuteW, SHGetSpecialFolderPathW, SHGetFolderPathEx, SHCreateDirectoryExW
slc.dll: SLGetWindowsInformationDWORD

[[ 3 export(s) ]]
DllCanUnloadNow, DllGetClassObject, DllInstall

_______________________

File name: unregmp2.exe
Submission date: 2010-09-06 13:14:48 (UTC)
Current status: queued (#2) queued (#2) analysing finished


Result: 0/ 43 (0.0%)


Antivirus Version Last Update Result
AhnLab-V3 2010.09.05.00 2010.09.04 -
AntiVir 8.2.4.50 2010.09.06 -
Antiy-AVL 2.0.3.7 2010.09.03 -
Authentium 5.2.0.5 2010.09.06 -
Avast 4.8.1351.0 2010.09.06 -
Avast5 5.0.594.0 2010.09.06 -
AVG 9.0.0.851 2010.09.06 -
BitDefender 7.2 2010.09.06 -
CAT-QuickHeal 11.00 2010.09.06 -
ClamAV 0.96.2.0-git 2010.09.06 -
Comodo 5988 2010.09.06 -
DrWeb 5.0.2.03300 2010.09.06 -
Emsisoft 5.0.0.37 2010.09.06 -
eSafe 7.0.17.0 2010.09.05 -
eTrust-Vet 36.1.7838 2010.09.06 -
F-Prot 4.6.1.107 2010.09.01 -
F-Secure 9.0.15370.0 2010.09.06 -
Fortinet 4.1.143.0 2010.09.05 -
GData 21 2010.09.06 -
Ikarus T3.1.1.88.0 2010.09.06 -
Jiangmin 13.0.900 2010.09.06 -
K7AntiVirus 9.63.2442 2010.09.04 -
Kaspersky 7.0.0.125 2010.09.06 -
McAfee 5.400.0.1158 2010.09.06 -
McAfee-GW-Edition 2010.1B 2010.09.06 -
Microsoft 1.6103 2010.09.06 -
NOD32 5427 2010.09.06 -
Norman 6.05.11 2010.09.06 -
nProtect 2010-09-06.01 2010.09.06 -
Panda 10.0.2.7 2010.09.05 -
PCTools 7.0.3.5 2010.09.06 -
Prevx 3.0 2010.09.06 -
Rising 22.64.00.04 2010.09.06 -
Sophos 4.57.0 2010.09.06 -
Sunbelt 6838 2010.09.06 -
SUPERAntiSpyware 4.40.0.1006 2010.09.06 -
Symantec 20101.1.1.7 2010.09.06 -
TheHacker 6.5.2.1.364 2010.09.05 -
TrendMicro 9.120.0.1004 2010.09.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.06 -
VBA32 3.12.14.0 2010.09.06 -
ViRobot 2010.9.6.4028 2010.09.06 -
VirusBuster 12.64.18.1 2010.09.05 -
Additional informationShow all
MD5 : 5723ccbd541e553b6ca337a296da979f
SHA1 : ce08fd0ee3d573b2fcee96c867f2bd4c793130db
SHA256: 33e24b0d43a14e6de4db1095ad17e4722effb24068b71067fb3b196096f2b000
ssdeep: 6144:B8DcKRGmei+phmPLrQuYdCVGAjMaGJlh:W3+pcus4a8lh
File size : 310784 bytes
First seen: 2009-03-03 14:31:21
Last seen : 2010-09-06 13:14:48
TrID:
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Microsoft Windows Media Player Setup Utility
original name: unregmp2.exe
internal name: unregmp2.exe
file version.: 11.0.6001.7000 (longhorn_rtm.080118-1840)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x32F88
timedatestamp....: 0x47919359 (Sat Jan 19 06:06:17 2008)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x456EA, 0x45800, 5.34, bbe85da7894442b97f05dc3205e7ab38
.data, 0x47000, 0x3208, 0x1200, 3.29, aa38c71ac6584c17fd5ecbe8451154ff
.rsrc, 0x4B000, 0xBE0, 0xC00, 4.32, 633ab00ee3341334b98a9731649f51d9
.reloc, 0x4C000, 0x42E6, 0x4400, 6.08, 8243de2b47474d58f6649e88734beab0

[[ 10 import(s) ]]
ADVAPI32.dll: RegDeleteKeyW, RegCloseKey, RegDeleteValueW, RegEnumValueW, RegSetValueExW, RegCreateKeyExW, SetNamedSecurityInfoW, GetSecurityDescriptorControl, GetSecurityDescriptorDacl, ConvertStringSecurityDescriptorToSecurityDescriptorW, RegQueryValueExW, RegOpenKeyExW, RegEnumKeyExW, CloseServiceHandle, ControlService, QueryServiceStatus, ChangeServiceConfigW, QueryServiceConfigW, OpenServiceW, OpenSCManagerW, RegEnumKeyW, RegQueryValueExA, RegOpenKeyExA, RegQueryInfoKeyW
KERNEL32.dll: GetSystemTimeAsFileTime, SetFileAttributesW, CreateHardLinkW, FindClose, FindFirstFileW, ExpandEnvironmentStringsW, GetTickCount, WriteFile, SizeofResource, CreateFileW, LoadResource, FindResourceW, Wow64RevertWow64FsRedirection, Wow64DisableWow64FsRedirection, RegisterApplicationRestart, HeapSetInformation, Sleep, GetShortPathNameW, lstrcmpW, FindFirstFileExW, FindNextFileW, SetCurrentDirectoryW, GetCurrentDirectoryW, GetSystemWindowsDirectoryW, lstrlenW, CloseHandle, FileTimeToSystemTime, CreateFileA, GetFileSize, GetTempPathA, SetFilePointer, GetLocalTime, GetLongPathNameW, WritePrivateProfileStringW, GetPrivateProfileStringW, GetProfileStringW, WriteProfileStringW, GetTempPathW, GetModuleFileNameW, GetWindowsDirectoryA, CreateDirectoryA, LoadLibraryExW, CopyFileW, GetSystemDefaultLangID, GetFileTime, GetTimeZoneInformation, GetVersionExA, GetVersionExW, GetFileAttributesA, LoadLibraryW, GetProcAddress, FreeLibrary, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetCurrentProcessId, LocalFree, SetLastError, DeleteFileW, LCIDToLocaleName, GetUserDefaultLCID, RaiseException, GetCurrentThreadId, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, GetStartupInfoA, InterlockedCompareExchange, InterlockedExchange, GetFileAttributesW, GetWindowsDirectoryW, GetSystemDirectoryW, MoveFileW, GetLastError, MoveFileExW, RemoveDirectoryW, CreateDirectoryW
USER32.dll: LoadStringW, CharNextA
msvcrt.dll: _unlock, _controlfp, _except_handler4_common, _terminate@@YAXXZ, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, _onexit, exit, _ismbblead, _XcptFilter, _exit, __dllonexit, __getmainargs, free, _wtol, mbstowcs, ___U@YAPAXI@Z, ___V@YAXPAX@Z, memset, wcschr, _wcslwr, wcsstr, wcsrchr, _wcsicmp, _wcsnicmp, _vsnwprintf, _acmdln, _cexit, _lock, _vsnprintf, swscanf, _wtoi, _itow, malloc, memcpy, _wcsupr, iswalnum, iswalpha
ole32.dll: OleInitialize, OleUninitialize, CoInitialize, CoCreateInstance, CoUninitialize, CoCreateGuid, StringFromGUID2
OLEAUT32.dll: -, -, -, -, -
VERSION.dll: GetFileVersionInfoW, GetFileVersionInfoSizeW, VerQueryValueW
SHELL32.dll: SHGetMalloc, SHGetSpecialFolderLocation, SHGetPathFromIDListW, SHGetFolderPathW, SHSetLocalizedName, ShellExecuteW, SHChangeNotify, SHCreateItemFromParsingName, SHGetSpecialFolderPathW, SHGetPathFromIDListA
SHLWAPI.dll: PathAppendW, PathIsDirectoryW, PathRemoveBlanksW, PathAddBackslashW, PathRemoveFileSpecW, PathAddBackslashA
WMDRMSDK.DLL: WMDRMCreateProvider

________________________

File name: ie4uinit.exe
Submission date: 2010-09-06 13:17:28 (UTC)
Current status: queued (#11) queued analysing finished


Result: 0/ 43 (0.0%)
VT Community

not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.09.05.00 2010.09.04 -
AntiVir 8.2.4.50 2010.09.06 -
Antiy-AVL 2.0.3.7 2010.09.03 -
Authentium 5.2.0.5 2010.09.06 -
Avast 4.8.1351.0 2010.09.06 -
Avast5 5.0.594.0 2010.09.06 -
AVG 9.0.0.851 2010.09.05 -
BitDefender 7.2 2010.09.06 -
CAT-QuickHeal 11.00 2010.09.06 -
ClamAV 0.96.2.0-git 2010.09.06 -
Comodo 5986 2010.09.06 -
DrWeb 5.0.2.03300 2010.09.06 -
Emsisoft 5.0.0.37 2010.09.06 -
eSafe 7.0.17.0 2010.09.05 -
eTrust-Vet 36.1.7838 2010.09.06 -
F-Prot 4.6.1.107 2010.09.01 -
F-Secure 9.0.15370.0 2010.09.06 -
Fortinet 4.1.143.0 2010.09.05 -
GData 21 2010.09.06 -
Ikarus T3.1.1.88.0 2010.09.06 -
Jiangmin 13.0.900 2010.09.06 -
K7AntiVirus 9.63.2442 2010.09.04 -
Kaspersky 7.0.0.125 2010.09.06 -
McAfee 5.400.0.1158 2010.09.06 -
McAfee-GW-Edition 2010.1B 2010.09.06 -
Microsoft 1.6103 2010.09.06 -
NOD32 5425 2010.09.05 -
Norman 6.05.11 2010.09.05 -
nProtect 2010-09-06.01 2010.09.06 -
Panda 10.0.2.7 2010.09.05 -
PCTools 7.0.3.5 2010.09.06 -
Prevx 3.0 2010.09.06 -
Rising 22.64.00.04 2010.09.06 -
Sophos 4.57.0 2010.09.06 -
Sunbelt 6837 2010.09.06 -
SUPERAntiSpyware 4.40.0.1006 2010.09.06 -
Symantec 20101.1.1.7 2010.09.06 -
TheHacker 6.5.2.1.364 2010.09.05 -
TrendMicro 9.120.0.1004 2010.09.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.06 -
VBA32 3.12.14.0 2010.09.03 -
ViRobot 2010.8.31.4017 2010.09.06 -
VirusBuster 12.64.18.1 2010.09.05 -
Additional informationShow all
MD5 : 5ff72eb4ecc3a9885c982fbe8d742101
SHA1 : e55a6af23c74ef2a89d0d9a101b753f9b600ad94
SHA256: 8c7cd260d1479bbcac67710e4a7a900a397126f2e19328ee48f7cc018536f2da
ssdeep: 3072:VQJhIW0oyuPuNK5zc0Ik/UdA03XREsD3knUf2A1v0voPcTlVn8i/4HiyenFmE0k3:mDInj
NK5zcO/U2yRD0M2YcAc/gHw
File size : 173056 bytes
First seen: 2009-10-13 19:38:33
Last seen : 2010-09-06 13:17:28
TrID:
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Windows_ Internet Explorer
description..: IE Per-User Initialization Utility
original name: IE4UINIT.EXE
internal name: IE4UINIT
file version.: 8.00.6001.18828 (longhorn_ie8_gdr.090826-1700)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x2332E
timedatestamp....: 0x4A96009C (Thu Aug 27 03:42:20 2009)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x25506, 0x25600, 7.33, 165990d687bb83f0f9cf8a6219858e15
.data, 0x27000, 0x70C, 0x400, 6.23, 015ba5ea2708b65f0d1c5c0b371d8c52
.rsrc, 0x28000, 0x830, 0xA00, 3.82, dfe95c8a6b3a5539eed0e30b27089a11
.reloc, 0x29000, 0x3ABC, 0x3C00, 5.88, 3d4f91f2a015b41851d504cf23f16785

[[ 12 import(s) ]]
ADVAPI32.dll: RegCloseKey, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW, RegEnumValueW, RegOpenKeyExW, RegSetValueW, RegDeleteKeyW
KERNEL32.dll: GetProcAddress, LoadLibraryW, lstrlenW, GetLastError, GetEnvironmentVariableW, GetVersion, GetModuleHandleW, SetErrorMode, SetFileAttributesW, GetFileAttributesW, DeleteFileW, FindClose, FindNextFileW, FindFirstFileW, SetCurrentDirectoryW, GetCurrentDirectoryW, lstrcmpW, FindFirstFileExW, GetShortPathNameW, GetSystemDefaultUILanguage, CreateDirectoryW, LocalFree, LocalAlloc, CloseHandle, CreateFileW, GetTickCount, Sleep, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetPrivateProfileStringW, GetNativeSystemInfo, SetLastError, LoadResource, FindResourceExW, FreeLibrary, GetSystemDirectoryW, GetVersionExW, GetModuleFileNameW, LoadLibraryExW, MapViewOfFile, CreateFileMappingW, GetLocaleInfoW, GetModuleHandleA, UnmapViewOfFile, GetUserDefaultUILanguage, FindResourceW, SearchPathW, SetUnhandledExceptionFilter, RtlUnwind, GetStartupInfoW, InterlockedCompareExchange, InterlockedExchange
USER32.dll: MessageBoxW, LoadStringW, PostMessageW, GetMenuItemInfoW, GetMenuItemCount, DestroyMenu, CreatePopupMenu, SendInput, GetCursorPos, SystemParametersInfoW, PostQuitMessage, SetWinEventHook, KillTimer, DispatchMessageW, GetMessageW, SetTimer, UnhookWinEvent, BlockInput
msvcrt.dll: memcpy, _vsnwprintf, memset, __3@YAXPAX@Z, __2@YAPAXI@Z, _time64, _controlfp, _terminate@@YAXXZ, __set_app_type, __p__fmode, __p__commode, wcsncmp, _wcsicmp, _wcsnicmp, bsearch, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, _wcmdln, exit, _XcptFilter, _exit, _cexit, __wgetmainargs
SHELL32.dll: -, SHChangeNotify, SHGetSpecialFolderLocation, -, SHGetDesktopFolder, -, SHGetSpecialFolderPathW, SHBindToParent, SHParseDisplayName, SHSetLocalizedName, -
ole32.dll: OleUninitialize, OleInitialize, CoTaskMemFree, CoCreateInstance, CoUninitialize, CoInitializeEx
ADVPACK.dll: RunSetupCommandW, ExecuteCabW, RegRestoreAllW
VERSION.dll: GetFileVersionInfoW, VerQueryValueW, GetFileVersionInfoSizeW
SHLWAPI.dll: SHRegGetValueW, StrCmpIW, SHDeleteKeyW, -, PathAddExtensionW, PathRemoveBlanksW, SHDeleteValueW, SHSetValueW, PathAppendW, PathRemoveFileSpecW, SHCopyKeyW, StrCmpNIW, PathFileExistsW, PathCombineW, PathAddBackslashW, -, -, StrStrIW, SHRegSetUSValueW, SHGetValueW, PathRemoveExtensionW
iertutil.dll: -, -, -, -
OLEACC.dll: AccessibleObjectFromEvent
OLEAUT32.dll: -, -

______________________

File name: iedkcs32.dll
Submission date: 2010-09-06 13:19:45 (UTC)
Current status: queued queued analysing finished


Result: 0/ 43 (0.0%)
VT Community

not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.09.05.00 2010.09.04 -
AntiVir 8.2.4.50 2010.09.06 -
Antiy-AVL 2.0.3.7 2010.09.03 -
Authentium 5.2.0.5 2010.09.06 -
Avast 4.8.1351.0 2010.09.06 -
Avast5 5.0.594.0 2010.09.06 -
AVG 9.0.0.851 2010.09.06 -
BitDefender 7.2 2010.09.06 -
CAT-QuickHeal 11.00 2010.09.06 -
ClamAV 0.96.2.0-git 2010.09.06 -
Comodo 5988 2010.09.06 -
DrWeb 5.0.2.03300 2010.09.06 -
Emsisoft 5.0.0.37 2010.09.06 -
eSafe 7.0.17.0 2010.09.05 -
eTrust-Vet 36.1.7838 2010.09.06 -
F-Prot 4.6.1.107 2010.09.01 -
F-Secure 9.0.15370.0 2010.09.06 -
Fortinet 4.1.143.0 2010.09.05 -
GData 21 2010.09.06 -
Ikarus T3.1.1.88.0 2010.09.06 -
Jiangmin 13.0.900 2010.09.06 -
K7AntiVirus 9.63.2442 2010.09.04 -
Kaspersky 7.0.0.125 2010.09.06 -
McAfee 5.400.0.1158 2010.09.06 -
McAfee-GW-Edition 2010.1B 2010.09.06 -
Microsoft 1.6103 2010.09.06 -
NOD32 5427 2010.09.06 -
Norman 6.05.11 2010.09.06 -
nProtect 2010-09-06.01 2010.09.06 -
Panda 10.0.2.7 2010.09.06 -
PCTools 7.0.3.5 2010.09.06 -
Prevx 3.0 2010.09.06 -
Rising 22.64.00.04 2010.09.06 -
Sophos 4.57.0 2010.09.06 -
Sunbelt 6838 2010.09.06 -
SUPERAntiSpyware 4.40.0.1006 2010.09.06 -
Symantec 20101.1.1.7 2010.09.06 -
TheHacker 6.5.2.1.364 2010.09.05 -
TrendMicro 9.120.0.1004 2010.09.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.06 -
VBA32 3.12.14.0 2010.09.06 -
ViRobot 2010.9.6.4028 2010.09.06 -
VirusBuster 12.64.18.1 2010.09.05 -
Additional informationShow all
MD5 : 04740b2674001376e359ac24a8469ca5
SHA1 : 697a71185abc6cd7f09a73b0bc227613960ce5e8
SHA256: c2156f1f79c3e12857ac7f2ef16705ff0be0839084791965b5438e9f99930d56
ssdeep: 6144:rxWAL4Kuwxvpg8jVB3Z5qGTIEEPygSTMj88apBmi/pnOv:rxf4wVPZILgxlV
File size : 387584 bytes
First seen: 2009-10-16 20:27:44
Last seen : 2010-09-06 13:19:45
TrID:
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Windows_ Internet Explorer
description..: IEAK branding
original name: iedkcs32.dll
internal name: iedkcs32.dll
file version.: 18.00.6001.18828 (longhorn_ie8_gdr.090826-1700)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x160E
timedatestamp....: 0x4A961715 (Thu Aug 27 05:18:13 2009)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x5483D, 0x54A00, 6.12, e3329734c1997ae5ab4acb00a8612c58
.data, 0x56000, 0x5CF8, 0x5600, 0.65, 4c8040f2bbcecc6dd4c00e9ed5edf945
.rsrc, 0x5C000, 0x510, 0x600, 2.97, 22aa3e7bfac3fdee4aa28a8d22d6a091
.reloc, 0x5D000, 0x3EA8, 0x4000, 6.74, b9b0fa10df42f3f29e3dacde0b553735

[[ 14 import(s) ]]
msvcrt.dll: _wcsicmp, bsearch, wcsncmp, _vsnwprintf, ferror, __badioinfo, __pioinfo, _fileno, _lseeki64, _vsnprintf, _wtoi, memset, _write, iswalpha, ___U@YAPAXI@Z, ___V@YAXPAX@Z, _snprintf, _iob, isleadbyte, __mb_cur_max, mbtowc, __1type_info@@UAE@XZ, memmove, _onexit, _lock, __dllonexit, _unlock, _adjust_fdiv, _amsg_exit, _initterm, _XcptFilter, _errno, _isatty, _itoa, toupper, malloc, free, _CxxThrowException, __3@YAXPAX@Z, __2@YAPAXI@Z, memcpy, _wcsnicmp, wcschr
ATL.DLL: -
iertutil.dll: -, ImpersonateUser, RevertImpersonate, -, -, -, -, -
urlmon.dll: -
KERNEL32.dll: MoveFileW, EnumUILanguagesW, DecodePointer, GetPrivateProfileStringA, GetPrivateProfileSectionW, OutputDebugStringW, OpenEventW, GetModuleHandleW, SearchPathW, GetUserDefaultUILanguage, GetSystemDefaultUILanguage, UnmapViewOfFile, GetLocaleInfoW, CreateFileMappingW, GetPrivateProfileIntW, HeapFree, GetModuleFileNameW, GetVersionExW, GetProcessHeap, MultiByteToWideChar, WideCharToMultiByte, CompareStringA, FreeLibrary, LocalFree, GetProcAddress, GetLastError, LoadLibraryW, GetTickCount, lstrlenW, SetFileAttributesW, CreateDirectoryW, CloseHandle, ResumeThread, lstrlenA, TerminateProcess, SetFilePointer, CreateFileW, CopyFileW, DeleteFileW, GetWindowsDirectoryW, WritePrivateProfileStringW, GetExitCodeThread, CreateThread, GetFileAttributesW, WaitForSingleObject, MoveFileExW, CompareStringW, GlobalFree, GetPrivateProfileStringW, GetSystemInfo, LocalAlloc, RemoveDirectoryW, GetFileSize, LocalReAlloc, lstrcmpiA, ReadFile, GetVersion, GetSystemDirectoryW, FlushFileBuffers, WriteFile, GetCurrentProcess, GetCurrentProcessId, GetVersionExA, HeapAlloc, IsDBCSLeadByte, GetLocalTime, InterlockedDecrement, SetLastError, FileTimeToSystemTime, ExpandEnvironmentStringsW, FindClose, FindNextFileW, GetFileAttributesExW, FindFirstFileW, lstrcmpW, InterlockedCompareExchange, LoadLibraryA, InterlockedExchange, Sleep, OutputDebugStringA, RtlUnwind, QueryPerformanceCounter, GetCurrentThreadId, GetSystemTimeAsFileTime, UnhandledExceptionFilter, SetUnhandledExceptionFilter, MapViewOfFile, FindResourceExW, LoadLibraryExW, FindResourceW, SizeofResource, LoadResource, LockResource, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSectionAndSpinCount, DelayLoadFailureHook, DisableThreadLibraryCalls, GetComputerNameW
USER32.dll: GetSystemMetrics, CharLowerW, LoadCursorW, SetCursor, DialogBoxParamW, DestroyIcon, SetTimer, GetMessageW, KillTimer, EndDialog, GetTopWindow, GetClassNameA, PostMessageW, SendDlgItemMessageW, LoadImageW, LoadStringW, PeekMessageW, DispatchMessageW, TranslateMessage, MsgWaitForMultipleObjects, GetDesktopWindow, CharNextW, SendMessageTimeoutW, GetWindow
ADVAPI32.dll: RegCloseKey, RegOpenKeyExW, GetLengthSid, CopySid, RegOpenKeyExA, RegQueryValueExA, FreeSid, AllocateAndInitializeSid, RegEnumKeyW, ConvertStringSidToSidW, RegEnumValueW, RegCreateKeyExW, InitializeSecurityDescriptor, SetSecurityDescriptorOwner, SetFileSecurityW, OpenSCManagerW, EnumServicesStatusExW, CloseServiceHandle, OpenProcessToken, GetTokenInformation, LookupPrivilegeValueW, LookupPrivilegeNameW, AdjustTokenPrivileges, RegSaveKeyW, RegQueryInfoKeyW, RegEnumKeyExW, ImpersonateLoggedOnUser, RevertToSelf, CreateProcessAsUserW, RegDeleteValueW, RegSetValueExW, RegQueryValueExW, DuplicateTokenEx
SHLWAPI.dll: -, StrToIntExW, SHDeleteKeyW, PathFileExistsW, PathAppendW, PathRenameExtensionW, PathIsFileSpecW, SHDeleteValueW, ChrCmpIA, StrCmpW, SHGetValueW, SHSetValueW, StrCmpNW, StrChrW, StrCmpIW, PathRemoveFileSpecW, PathIsPrefixW, StrCmpNIW, PathFindFileNameW, SHRegGetValueW, PathCombineW, PathFindExtensionW, SHDeleteEmptyKeyW, StrRChrW, PathAddExtensionW, StrTrimW, StrRetToStrW, StrDupW, SHQueryValueExW, StrSpnW, PathRemoveExtensionW, PathIsDirectoryW, PathRemoveBackslashW, PathIsURLW, PathRemoveBlanksW, PathUnquoteSpacesW, StrChrIW, StrStrW, -, -, -, -, -, -, -, PathIsUNCServerW, PathIsRootW, PathSkipRootW, PathFindNextComponentW, PathGetCharTypeW, PathAddBackslashW, PathGetDriveNumberW, StrToIntW, -, StrStrIW
ole32.dll: CreateBindCtx, StringFromGUID2, CoTaskMemAlloc, CoCreateInstance, CoUninitialize, CoInitializeEx, CoTaskMemFree, CoCreateGuid, CoTaskMemRealloc
OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -
SHELL32.dll: SHGetFolderPathAndSubDirW, SHChangeNotify, SHGetDesktopFolder, ShellExecuteExW, SHSetLocalizedName
SETUPAPI.dll: SetupGetBinaryField, SetupOpenInfFileW, SetupGetLineTextW, SetupCloseInfFile, SetupGetIntField, SetupFindNextLine, SetupGetStringFieldW, SetupFindFirstLineW
COMCTL32.dll: -, -, -, -, -
MLANG.dll: -, -

[[ 21 export(s) ]]
BrandCleanInstallStubs, BrandExternal, BrandICW, BrandICW2, BrandIE4, BrandIEActiveSetup, BrandInternetExplorer, BrandIntra, BrandMe, CallInternetInitializeAutoProxyDll, Clear, CloseRASConnections, DllRegisterServer, DllUnregisterServer, GenerateGroupPolicy, InternetInitializeAutoProxyDll, ProcessGroupPolicy, ProcessGroupPolicyEx, ProcessGroupPolicyForActivities, ProcessGroupPolicyForActivitiesEx, ProcessGroupPolicyForZoneMap

Sorry, hab zu spät gelesen dass ich die Online Prüfung nicht mehr hätte machen müssen...

Aber die erste Datei wurde ja als Trojaner identifiert über Virustotal, oder seh ich das falsch?

Hier noch der Screenshot von Prevx:

Anhang 8687


Hab mich eben bei der Bank eingeloggt und es ist nichts passiert...Keine Abfrage von Tans o.ä. Allerdings war mein Zugang auch gesperrt und ich hab nun auf das Chiptan-Verfahren umgestellt, weiß nicht ob es damit zusammenhängt?

Gruß
Trinity

Hi,

machen wir die Gegenprobe und probieren es mit laufendem Stand-PC nochmal.

Prüfe online auch die "idump.exe" die von Prevx gefunden wurde und poste das Ergebnis.

So, dann werden wir uns mal die Datei die CF erwischt hat (dpaptugc.dll) noch mal näher ansehen. Das CF-Backup findest Du in C:\Qoobox, packe alles in ein Passwort geschütztes Zip zusammen (Passwort: infected) und dann bitte hochladen.

Packprogramm (falls Du keines hast): IZArc - Download pass bitte bei der Installation auf, man versucht (wie immer) eine Toolbar unterzujubeln... kannste aber abwählen...

Hochladen hier (Fileuplod):
File-Upload.net - Ihr kostenloser File Hoster!, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich...

chris

So, idump.exe hab ich geprüft:

File name: iDump.exe
Submission date: 2010-09-06 14:51:58 (UTC)
Current status: queued queued analysing finished


Result: 7/ 43 (16.3%)
VT Community

not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2010.09.05.00 2010.09.04 -
AntiVir 8.2.4.50 2010.09.06 -
Antiy-AVL 2.0.3.7 2010.09.03 -
Authentium 5.2.0.5 2010.09.06 -
Avast 4.8.1351.0 2010.09.06 -
Avast5 5.0.594.0 2010.09.06 -
AVG 9.0.0.851 2010.09.06 Generic17.JYL
BitDefender 7.2 2010.09.06 -
CAT-QuickHeal 11.00 2010.09.06 (Suspicious) - DNAScan
ClamAV 0.96.2.0-git 2010.09.06 PUA.Packed.PECompact-1
Comodo 5988 2010.09.06 -
DrWeb 5.0.2.03300 2010.09.06 -
Emsisoft 5.0.0.37 2010.09.06 -
eSafe 7.0.17.0 2010.09.05 Suspicious File
eTrust-Vet 36.1.7838 2010.09.06 -
F-Prot 4.6.1.107 2010.09.01 -
F-Secure 9.0.15370.0 2010.09.06 -
Fortinet 4.1.143.0 2010.09.05 -
GData 21 2010.09.06 -
Ikarus T3.1.1.88.0 2010.09.06 -
Jiangmin 13.0.900 2010.09.06 Backdoor/VB.fif
K7AntiVirus 9.63.2442 2010.09.04 -
Kaspersky 7.0.0.125 2010.09.06 -
McAfee 5.400.0.1158 2010.09.06 -
McAfee-GW-Edition 2010.1B 2010.09.06 Heuristic.LooksLike.Win32.Suspicious.C!83
Microsoft 1.6103 2010.09.06 -
NOD32 5427 2010.09.06 -
Norman 6.05.11 2010.09.06 -
nProtect 2010-09-06.01 2010.09.06 -
Panda 10.0.2.7 2010.09.06 -
PCTools 7.0.3.5 2010.09.06 -
Prevx 3.0 2010.09.06 Medium Risk Malware
Rising 22.64.00.04 2010.09.06 -
Sophos 4.57.0 2010.09.06 -
Sunbelt 6838 2010.09.06 -
SUPERAntiSpyware 4.40.0.1006 2010.09.06 -
Symantec 20101.1.1.7 2010.09.06 -
TheHacker 6.5.2.1.364 2010.09.05 -
TrendMicro 9.120.0.1004 2010.09.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.09.06 -
VBA32 3.12.14.0 2010.09.06 -
ViRobot 2010.9.6.4028 2010.09.06 -
VirusBuster 12.64.19.0 2010.09.06 -
Additional informationShow all
MD5 : 077a5e1879b86c5ccc86ecf37d442e60
SHA1 : 2e1d159217f8dbfdd53ca1a2fed2525c4a19b118
SHA256: 47691f828c29375e9a214607be226f6380faed71744dcd4f71670d1548c1b224
ssdeep: 3072:aVGJuRtFSM2p1wQ3gcs+4sZoy9pLCxdGgVmUaKuQ1XoPxQ2nmdtsPuyVZk4Mtpi9:aAeZO
19xcsZoy9oGgLbxeBktsGyvCto
File size : 225280 bytes
First seen: 2008-02-18 09:43:52
Last seen : 2010-09-06 14:51:58
TrID:
Win32 EXE PECompact compressed (v2.x) (52.1%)
Win32 EXE PECompact compressed (generic) (36.7%)
Win32 Executable Generic (7.5%)
Generic Win/DOS Executable (1.7%)
DOS Executable Generic (1.7%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: iDump
description..: n/a
original name: iDump.exe
internal name: iDump
file version.: 1.00.0027
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

PEiD: PECompact 2.xx --> BitSum Technologies
packers (F-Prot): PecBundle, PECompact
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x42DC
timedatestamp....: 0x47770362 (Sun Dec 30 02:33:06 2007)
machinetype......: 0x14c (I386)

[[ 2 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0xB5000, 0x35400, 7.91, 37ae7d963dc3af9c3f6354507f806d26
.rsrc, 0xB6000, 0x2000, 0x1A00, 5.40, 923379cf9ae5d21cdaf9b93c442024ca

[[ 1 import(s) ]]
kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree


Die Datei schick ich dir gleich per Mail.

Auch wenn der normale PC an ist, passiert beim Online Banking nichts. Und auch wenn ich den normalen PC zum Einloggen nehme, geht es ohne Probleme.

Danke schonmal für deine Unterstützung und Hilfe!

Gruß Trinity81

Hi nochmal,

hab irgendwie Probleme, die Datei hochzuladen bei File Upload...Fehler beim Upload ohne nähere Begründung...

Woran kann das liegen?

Gruß Trinity

Hi,

wie groß ist denn die gepackte Datei?
Nenne die Datei iDump.exe auf iDump.exe.vir um... wobei die wahrscheinlichkeit hoch ist für einen Fehlalarm...

chris
Hmm, irgendwie sieht das wie naivpromo modifiziert aus...
probieren wir mal was:
Navilog
Folge folgender Anleitung:http://www.trojaner-board.de/69713-e...navipromo.html
oder
Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines Virescanners sind zu ignorieren (Anwendung erlauben!)
Alle anderen Anwendungen bitte beenden!
Danach sollte navilog automatsich starten, sonst per Doppelklick dem Desktop starten.
Im Sprachmenü bitte Deutsch (4) auswählen...
Wähle 1 im nächsten Menü um "Säuberung" auszuwählen. Bestätige mit Enter.
Während der Säuberung nichts am Rechner machen, nur auf Programmaufforderung!
Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen,
Inhalt kopieren und in Thread einfügen.
Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\").

Hi,

das ist ne gute Frage. Ich war mir unsicher, was genau Du alles brauchst und hab daher beim ersten Versuch das komplette Verzeichnis Qoobox gepackt, versucht hochzuladen, hat nicht funktioniert. Dachte mir dann schon, dass die Datei zu groß ist.
Hab daher dann auf Verdacht nur die Quarantine-Datei gezippt, die ist 540 KB groß. Das müsste doch funktionieren, oder? Tuts aber nicht...

Welche Dateien brauchst du Denn aus dem Ordner?

Gruß
Trinity

Hi,

die dpaptugc.dll...
Hochladen sollte bis 100 MB gehen...

chris

Hier das Ergebnis von Navilog:

Fix Navipromo version 4.0.9 begonnen am 06.09.2010 21:52:25,24

!!! Achtung, dieser Abschnitt kann legitime Dateien und Programme auflisten!!!
!!! Posten sie diesen Bericht im Forum, um ihn auswerten zu lassen !!!

Programm ausgefuehrt in: C:\navilog1

Zuletzt von IL-MAFIOSO aktualisiert am 21.06.2010 um 18h00

Microsoft® Windows Vista™ Home Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual-Core Processor TK-57 )
BIOS : PhoenixBIOS 4.0 Release 6.1
USER : Nadine ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:221 Go (Free:131 Go)
D:\ (Local Disk) - NTFS - Total:11 Go (Free:2 Go)
E:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)


Suche Im normalen Modus ausgefuehrt

Bereinigung beim Neustart des Rechners durchgefuehrt.


c:\users\nadine\appdata\local\virtua~1\progra~1\InternetGamebox entfernt!
C:\Users\Nadine\AppData\Local\lptjnr.bat entfernt!


Bereinigung in C:\Windows\Temp ausgefuehrt!
Bereinigung in C:\Users\Nadine\AppData\Local\Temp ausgefuehrt!


*** Sicherung der Registry im Ordner Safebackup ***

Sicherung der Registry erfolgreich abgeschlossen!

*** Bereingung der Registry ***

Registry Bereinigung Ok

Zertifikat Electronic-Group entfernt!
Zertifikat OOO-Favorit entfernt!



*** Scan beendet 06.09.2010 22:00:22,80 ***


Mit der Datei vom Combofix Backup komm ich grad nicht weiter, sorry...Vielleicht steh ich auch auf dem Schlauch. Aber ich finde "dpaptugc.dll" in dem gesamten Ordner Qoobox nicht!

Und das Uploaden funktioniert auch immer noch nicht.

Weiß grad net, woran es liegt...Kannst du denn mit dem Log oben was anfangen?

Gruß Trinity

Hi,

da waren noch Reste drauf...
Seltsam, der upload woanderst hin klappt bzw. Anhang an ein Email?

Weiter bohren...
OSAM
Folge den Anweisungen hier http://www.trojaner-board.de/84180-a...n-manager.html zur Erstellung eines
Logs und poste das hier in Deinem Thread.

MBR-Check
Lade Dir http://ad13.geekstogo.com/MBRCheck.exe und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.

• Vista und Win7 User mit Rechtsklick "als Administrator starten"

• Das Tool braucht nur eine Sekunde.

• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste bitte den Inhalt des .txt Dokumentes

chris

Moin moin,

so, beide Programme hab ich durchlaufen lassen.

Osam.log:

OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Und MBRCheck:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 1 (build 6001), 32-bit
Base Board Manufacturer: Quanta
BIOS Manufacturer: Hewlett-Packard
System Manufacturer: Hewlett-Packard
System Product Name: HP Pavilion dv6700 Notebook PC
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 160):
0x81E36000 \SystemRoot\system32\ntkrnlpa.exe
0x81E03000 \SystemRoot\system32\hal.dll
0x8060C000 \SystemRoot\system32\kdcom.dll
0x80614000 \SystemRoot\system32\PSHED.dll
0x80625000 \SystemRoot\system32\BOOTVID.dll
0x8062D000 \SystemRoot\system32\CLFS.SYS
0x8066E000 \SystemRoot\system32\CI.dll
0x8800F000 \SystemRoot\system32\DRIVERS\kl1.sys
0x88531000 \SystemRoot\system32\drivers\Wdf01000.sys
0x885AD000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x885BA000 \SystemRoot\system32\drivers\acpi.sys
0x88000000 \SystemRoot\system32\drivers\WMILIB.SYS
0x8074E000 \SystemRoot\system32\drivers\msisadrv.sys
0x80756000 \SystemRoot\system32\drivers\pci.sys
0x8077D000 \SystemRoot\System32\drivers\partmgr.sys
0x88009000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x8078C000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x80796000 \SystemRoot\system32\drivers\volmgr.sys
0x807A5000 \SystemRoot\System32\drivers\volmgrx.sys
0x807EF000 \SystemRoot\system32\drivers\pciide.sys
0x82E01000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x82E0F000 \SystemRoot\System32\drivers\mountmgr.sys
0x82E1F000 \SystemRoot\System32\drivers\pxscan.sys
0x82E25000 \SystemRoot\system32\drivers\atapi.sys
0x82E2D000 \SystemRoot\system32\drivers\ataport.SYS
0x82E4B000 \SystemRoot\system32\drivers\fltmgr.sys
0x82E7D000 \SystemRoot\system32\drivers\fileinfo.sys
0x82E8D000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8860B000 \SystemRoot\system32\drivers\ndis.sys
0x88716000 \SystemRoot\system32\drivers\msrpc.sys
0x88741000 \SystemRoot\system32\drivers\NETIO.SYS
0x82EFE000 \SystemRoot\System32\drivers\tcpip.sys
0x8877B000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8880D000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8891C000 \SystemRoot\system32\drivers\wd.sys
0x88924000 \SystemRoot\system32\drivers\volsnap.sys
0x8895D000 \SystemRoot\System32\Drivers\spldr.sys
0x88965000 \SystemRoot\System32\Drivers\mup.sys
0x88974000 \SystemRoot\System32\drivers\ecache.sys
0x8899B000 \SystemRoot\system32\drivers\disk.sys
0x889AC000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x889CD000 \SystemRoot\system32\drivers\crcdisk.sys
0x88800000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x889F6000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x88796000 \SystemRoot\system32\DRIVERS\amdk8.sys
0x887A6000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x8880B000 \SystemRoot\system32\DRIVERS\HpqRemHid.sys
0x887AA000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x887BA000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x887C1000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x887CA000 \SystemRoot\system32\DRIVERS\nvsmu.sys
0x887CD000 \SystemRoot\system32\DRIVERS\usbohci.sys
0x8CA0E000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8CA4C000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8CA5B000 \SystemRoot\system32\DRIVERS\nvmfdx32.sys
0x8CB5C000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8CB6E000 \SystemRoot\system32\DRIVERS\ohci1394.sys
0x8CB7E000 \SystemRoot\system32\DRIVERS\1394BUS.SYS
0x8CB8C000 \SystemRoot\system32\DRIVERS\sdbus.sys
0x8CBA6000 \SystemRoot\system32\DRIVERS\rimmptsk.sys
0x8CBB5000 \SystemRoot\system32\DRIVERS\rimsptsk.sys
0x8CC04000 \SystemRoot\system32\DRIVERS\rixdptsk.sys
0x8CC55000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8CC6D000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys
0x8CC73000 \SystemRoot\system32\DRIVERS\athr.sys
0x8CE0B000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x8D551000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x8D5F0000 \SystemRoot\System32\drivers\watchdog.sys
0x8CD2C000

Hi,

bitte den Rest noch posten...

chris

Sorry, hier nochmal komplett:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 1 (build 6001), 32-bit
Base Board Manufacturer: Quanta
BIOS Manufacturer: Hewlett-Packard
System Manufacturer: Hewlett-Packard
System Product Name: HP Pavilion dv6700 Notebook PC
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 161):
0x81E36000 \SystemRoot\system32\ntkrnlpa.exe
0x81E03000 \SystemRoot\system32\hal.dll
0x8060C000 \SystemRoot\system32\kdcom.dll
0x80614000 \SystemRoot\system32\PSHED.dll
0x80625000 \SystemRoot\system32\BOOTVID.dll
0x8062D000 \SystemRoot\system32\CLFS.SYS
0x8066E000 \SystemRoot\system32\CI.dll
0x8800F000 \SystemRoot\system32\DRIVERS\kl1.sys
0x88531000 \SystemRoot\system32\drivers\Wdf01000.sys
0x885AD000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x885BA000 \SystemRoot\system32\drivers\acpi.sys
0x88000000 \SystemRoot\system32\drivers\WMILIB.SYS
0x8074E000 \SystemRoot\system32\drivers\msisadrv.sys
0x80756000 \SystemRoot\system32\drivers\pci.sys
0x8077D000 \SystemRoot\System32\drivers\partmgr.sys
0x88009000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x8078C000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x80796000 \SystemRoot\system32\drivers\volmgr.sys
0x807A5000 \SystemRoot\System32\drivers\volmgrx.sys
0x807EF000 \SystemRoot\system32\drivers\pciide.sys
0x82E01000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x82E0F000 \SystemRoot\System32\drivers\mountmgr.sys
0x82E1F000 \SystemRoot\System32\drivers\pxscan.sys
0x82E25000 \SystemRoot\system32\drivers\atapi.sys
0x82E2D000 \SystemRoot\system32\drivers\ataport.SYS
0x82E4B000 \SystemRoot\system32\drivers\fltmgr.sys
0x82E7D000 \SystemRoot\system32\drivers\fileinfo.sys
0x82E8D000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8860B000 \SystemRoot\system32\drivers\ndis.sys
0x88716000 \SystemRoot\system32\drivers\msrpc.sys
0x88741000 \SystemRoot\system32\drivers\NETIO.SYS
0x82EFE000 \SystemRoot\System32\drivers\tcpip.sys
0x8877B000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8880D000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8891C000 \SystemRoot\system32\drivers\wd.sys
0x88924000 \SystemRoot\system32\drivers\volsnap.sys
0x8895D000 \SystemRoot\System32\Drivers\spldr.sys
0x88965000 \SystemRoot\System32\Drivers\mup.sys
0x88974000 \SystemRoot\System32\drivers\ecache.sys
0x8899B000 \SystemRoot\system32\drivers\disk.sys
0x889AC000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x889CD000 \SystemRoot\system32\drivers\crcdisk.sys
0x88800000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x889F6000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x88796000 \SystemRoot\system32\DRIVERS\amdk8.sys
0x887A6000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x8880B000 \SystemRoot\system32\DRIVERS\HpqRemHid.sys
0x887AA000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x887BA000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x887C1000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x887CA000 \SystemRoot\system32\DRIVERS\nvsmu.sys
0x887CD000 \SystemRoot\system32\DRIVERS\usbohci.sys
0x8CA0E000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8CA4C000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8CA5B000 \SystemRoot\system32\DRIVERS\nvmfdx32.sys
0x8CB5C000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8CB6E000 \SystemRoot\system32\DRIVERS\ohci1394.sys
0x8CB7E000 \SystemRoot\system32\DRIVERS\1394BUS.SYS
0x8CB8C000 \SystemRoot\system32\DRIVERS\sdbus.sys
0x8CBA6000 \SystemRoot\system32\DRIVERS\rimmptsk.sys
0x8CBB5000 \SystemRoot\system32\DRIVERS\rimsptsk.sys
0x8CC04000 \SystemRoot\system32\DRIVERS\rixdptsk.sys
0x8CC55000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8CC6D000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys
0x8CC73000 \SystemRoot\system32\DRIVERS\athr.sys
0x8CE0B000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x8D551000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x8D5F0000 \SystemRoot\System32\drivers\watchdog.sys
0x8CD2C000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x8CE00000 \SystemRoot\system32\DRIVERS\HpqKbFiltr.sys
0x8CE05000 \SystemRoot\System32\drivers\pxkbf.sys
0x8CD3F000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x8CD4A000 \SystemRoot\system32\DRIVERS\SynTP.sys
0x8D5FD000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x8CD78000 \SystemRoot\system32\DRIVERS\klmouflt.sys
0x8CD81000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x8CD8C000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x8CDBA000 \SystemRoot\system32\DRIVERS\storport.sys
0x8CBC9000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8CBD4000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x8CBEB000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x887D7000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x82FE7000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x8DA0D000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x8DA21000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x8DA36000 \SystemRoot\system32\DRIVERS\termdd.sys
0x8DA46000 \SystemRoot\system32\DRIVERS\swenum.sys
0x8DA48000 \SystemRoot\system32\DRIVERS\ks.sys
0x8DA72000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x8DA7C000 \SystemRoot\system32\DRIVERS\umbus.sys
0x8DA89000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x8DA92000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x8DAC6000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x8DAD7000 \SystemRoot\system32\drivers\CHDART.sys
0x8DB07000 \SystemRoot\system32\drivers\portcls.sys
0x8DB34000 \SystemRoot\system32\drivers\drmk.sys
0x8DB59000 \SystemRoot\system32\DRIVERS\HSXHWAZL.sys
0x8DE06000 \SystemRoot\system32\DRIVERS\HSX_DPV.sys
0x8DF09000 \SystemRoot\system32\DRIVERS\HSX_CNXT.sys
0x8DFBE000 \SystemRoot\system32\drivers\modem.sys
0x8E002000 \SystemRoot\system32\DRIVERS\klif.sys
0x8E086000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x8E09D000 \SystemRoot\System32\Drivers\usbvideo.sys
0x8E0BE000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x8E0C7000 \SystemRoot\System32\Drivers\Null.SYS
0x8E0CE000 \SystemRoot\System32\Drivers\Beep.SYS
0x8E0D5000 \SystemRoot\System32\drivers\vga.sys
0x8E0E1000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8E102000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x8E10B000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x8E113000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8E11B000 \SystemRoot\system32\drivers\rdpencdd.sys
0x8E123000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8E12E000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8E13C000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x8E145000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8E15B000 \SystemRoot\system32\DRIVERS\kl2.sys
0x8E161000 \SystemRoot\system32\DRIVERS\smb.sys
0x8E175000 \SystemRoot\system32\drivers\afd.sys
0x8E1BD000 \SystemRoot\System32\DRIVERS\netbt.sys
0x8DFCB000 \SystemRoot\system32\DRIVERS\pacer.sys
0x8E1EF000 \SystemRoot\system32\DRIVERS\klim6.sys
0x8DFE1000 \SystemRoot\system32\DRIVERS\netbios.sys
0x8DB97000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x8DBAA000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x8DFEF000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8DBE6000 \SystemRoot\System32\Drivers\dfsc.sys
0x889D6000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x8DA00000 \SystemRoot\System32\Drivers\crashdmp.sys
0x8CA00000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x8E1F7000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x966B0000 \SystemRoot\System32\win32k.sys
0x8CBF6000 \SystemRoot\System32\drivers\Dxapi.sys
0x9A803000 \SystemRoot\system32\DRIVERS\monitor.sys
0x968D0000 \SystemRoot\System32\TSDDD.dll
0x968F0000 \SystemRoot\System32\cdd.dll
0x9A812000 \SystemRoot\system32\drivers\luafv.sys
0x9A82D000 \SystemRoot\System32\drivers\pxrts.sys
0x9A845000 \SystemRoot\system32\drivers\spsys.sys
0x9A8F4000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x9A904000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x9A92E000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x9A938000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x9A94B000 \SystemRoot\system32\drivers\HTTP.sys
0x9A9B8000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x9A9D5000 \SystemRoot\system32\DRIVERS\bowser.sys
0x9D005000 \SystemRoot\System32\drivers\mpsdrv.sys
0x9D01A000 \SystemRoot\system32\drivers\mrxdav.sys
0x9D03A000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x9D059000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x9D092000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x9D0AA000 \SystemRoot\System32\DRIVERS\srv2.sys
0x9D0D1000 \SystemRoot\System32\DRIVERS\srv.sys
0x9D137000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0x9DE08000 \SystemRoot\system32\drivers\peauth.sys
0x9DEE6000 \SystemRoot\System32\Drivers\secdrv.SYS
0x9DEF0000 \SystemRoot\System32\drivers\tcpipreg.sys
0x9DEFC000 \SystemRoot\system32\DRIVERS\xaudio.sys
0x9DF04000 \SystemRoot\system32\DRIVERS\ipnat.sys
0x9DF2C000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0x77890000 \Windows\System32\ntdll.dll

Processes (total 80):
0 System Idle Process
4 System
484 C:\Windows\System32\smss.exe
616 csrss.exe
668 C:\Windows\System32\wininit.exe
680 csrss.exe
720 C:\Windows\System32\services.exe
736 C:\Windows\System32\lsass.exe
744 C:\Windows\System32\lsm.exe
836 C:\Windows\System32\winlogon.exe
956 C:\Windows\System32\svchost.exe
1044 C:\Windows\System32\svchost.exe
1164 C:\Windows\System32\svchost.exe
1204 C:\Windows\System32\svchost.exe
1224 C:\Windows\System32\svchost.exe
1308 C:\Windows\System32\audiodg.exe
1328 C:\Windows\System32\svchost.exe
1352 C:\Windows\System32\SLsvc.exe
1396 C:\Windows\System32\svchost.exe
1520

Hi,

teile es einfach in mehrer Posts auf... Du kannst hier nur eine bestimmte Anzahl von Lines/Zeichen posten....

chris

Hi,

mehr steht in der datei nicht drin...???

Gruß Trinity

Hi,

nein, kann nicht sein, er bricht mitten im Text ab und der Teil über den MBR fehlt vollständig...

Sonst wieder packen und wie gehabt PM an mich...

chris

Ah sorry, Fehler gefunden!

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 1 (build 6001), 32-bit
Base Board Manufacturer: Quanta
BIOS Manufacturer: Hewlett-Packard
System Manufacturer: Hewlett-Packard
System Product Name: HP Pavilion dv6700 Notebook PC
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 161):
0x81E18000 \SystemRoot\system32\ntkrnlpa.exe
0x821D1000 \SystemRoot\system32\hal.dll
0x80604000 \SystemRoot\system32\kdcom.dll
0x8060C000 \SystemRoot\system32\PSHED.dll
0x8061D000 \SystemRoot\system32\BOOTVID.dll
0x80625000 \SystemRoot\system32\CLFS.SYS
0x80666000 \SystemRoot\system32\CI.dll
0x88003000 \SystemRoot\system32\DRIVERS\kl1.sys
0x88525000 \SystemRoot\system32\drivers\Wdf01000.sys
0x885A1000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x885AE000 \SystemRoot\system32\drivers\acpi.sys
0x885F4000 \SystemRoot\system32\drivers\WMILIB.SYS
0x80746000 \SystemRoot\system32\drivers\msisadrv.sys
0x8074E000 \SystemRoot\system32\drivers\pci.sys
0x80775000 \SystemRoot\System32\drivers\partmgr.sys
0x885FD000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x80784000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x8078E000 \SystemRoot\system32\drivers\volmgr.sys
0x8079D000 \SystemRoot\System32\drivers\volmgrx.sys
0x807E7000 \SystemRoot\system32\drivers\pciide.sys
0x807EE000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x82E0E000 \SystemRoot\System32\drivers\mountmgr.sys
0x82E1E000 \SystemRoot\System32\drivers\pxscan.sys
0x82E24000 \SystemRoot\system32\drivers\atapi.sys
0x82E2C000 \SystemRoot\system32\drivers\ataport.SYS
0x82E4A000 \SystemRoot\system32\drivers\fltmgr.sys
0x82E7C000 \SystemRoot\system32\drivers\fileinfo.sys
0x82E8C000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8860E000 \SystemRoot\system32\drivers\ndis.sys
0x88719000 \SystemRoot\system32\drivers\msrpc.sys
0x88744000 \SystemRoot\system32\drivers\NETIO.SYS
0x82EFD000 \SystemRoot\System32\drivers\tcpip.sys
0x8877E000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8880F000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8891E000 \SystemRoot\system32\drivers\wd.sys
0x88926000 \SystemRoot\system32\drivers\volsnap.sys
0x8895F000 \SystemRoot\System32\Drivers\spldr.sys
0x88967000 \SystemRoot\System32\Drivers\mup.sys
0x88976000 \SystemRoot\System32\drivers\ecache.sys
0x8899D000 \SystemRoot\system32\drivers\disk.sys
0x889AE000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x889CF000 \SystemRoot\system32\drivers\crcdisk.sys
0x88800000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x88799000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x887A2000 \SystemRoot\system32\DRIVERS\amdk8.sys
0x8880B000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x889F8000 \SystemRoot\system32\DRIVERS\HpqRemHid.sys
0x887B2000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x887C2000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x887C9000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x889FA000 \SystemRoot\system32\DRIVERS\nvsmu.sys
0x887D2000 \SystemRoot\system32\DRIVERS\usbohci.sys
0x8C60D000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8C64B000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8C65A000 \SystemRoot\system32\DRIVERS\nvmfdx32.sys
0x8C75B000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8C76D000 \SystemRoot\system32\DRIVERS\ohci1394.sys
0x8C77D000 \SystemRoot\system32\DRIVERS\1394BUS.SYS
0x8C78B000 \SystemRoot\system32\DRIVERS\sdbus.sys
0x8C7A5000 \SystemRoot\system32\DRIVERS\rimmptsk.sys
0x8C7B4000 \SystemRoot\system32\DRIVERS\rimsptsk.sys
0x8CA09000 \SystemRoot\system32\DRIVERS\rixdptsk.sys
0x8CA5A000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8CA72000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys
0x8CA78000 \SystemRoot\system32\DRIVERS\athr.sys
0x8CC03000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x8D349000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x8D3E8000 \SystemRoot\System32\drivers\watchdog.sys
0x8CB31000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x8D3F5000 \SystemRoot\system32\DRIVERS\HpqKbFiltr.sys
0x8D3FA000 \SystemRoot\System32\drivers\pxkbf.sys
0x8CB44000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x8CB4F000 \SystemRoot\system32\DRIVERS\SynTP.sys
0x8CC00000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x8CB7D000 \SystemRoot\system32\DRIVERS\klmouflt.sys
0x8CB86000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x8CB91000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x8CBBF000 \SystemRoot\system32\DRIVERS\storport.sys
0x8C7C8000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8C7D3000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x8C7EA000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x887DC000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x82FE6000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x8D60A000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x8D61E000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x8D633000 \SystemRoot\system32\DRIVERS\termdd.sys
0x8D643000 \SystemRoot\system32\DRIVERS\swenum.sys
0x8D645000 \SystemRoot\system32\DRIVERS\ks.sys
0x8D66F000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x8D679000 \SystemRoot\system32\DRIVERS\umbus.sys
0x8D686000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x8D68F000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x8D6C3000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x8D6D4000 \SystemRoot\system32\drivers\CHDART.sys
0x8D704000 \SystemRoot\system32\drivers\portcls.sys
0x8D731000 \SystemRoot\system32\drivers\drmk.sys
0x8D756000 \SystemRoot\system32\DRIVERS\HSXHWAZL.sys
0x8DA0B000 \SystemRoot\system32\DRIVERS\HSX_DPV.sys
0x8DB0E000 \SystemRoot\system32\DRIVERS\HSX_CNXT.sys
0x8DBC3000 \SystemRoot\system32\drivers\modem.sys
0x8DBD0000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x8D794000 \SystemRoot\System32\Drivers\usbvideo.sys
0x8DC0F000 \SystemRoot\system32\DRIVERS\klif.sys
0x8DC93000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x8DC9C000 \SystemRoot\System32\Drivers\Null.SYS
0x8DCA3000 \SystemRoot\System32\Drivers\Beep.SYS
0x8DCAA000 \SystemRoot\System32\drivers\vga.sys
0x8DCB6000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8DCD7000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8DCDF000 \SystemRoot\system32\drivers\rdpencdd.sys
0x8DCE7000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8DCF2000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8DD00000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x8DD09000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8DD1F000 \SystemRoot\system32\DRIVERS\kl2.sys
0x8DD25000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x8DD2E000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x8DD36000 \SystemRoot\system32\DRIVERS\smb.sys
0x8DD4A000 \SystemRoot\system32\drivers\afd.sys
0x8DD92000 \SystemRoot\System32\DRIVERS\netbt.sys
0x8DDC4000 \SystemRoot\system32\DRIVERS\pacer.sys
0x8DDDA000 \SystemRoot\system32\DRIVERS\klim6.sys
0x8DDE2000 \SystemRoot\system32\DRIVERS\netbios.sys
0x8DBE7000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x8D7B5000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x8DDF0000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8E006000 \SystemRoot\System32\Drivers\dfsc.sys
0x8E01D000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x8E033000 \SystemRoot\System32\Drivers\crashdmp.sys
0x8E040000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x8E04B000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x96870000 \SystemRoot\System32\win32k.sys
0x8E053000 \SystemRoot\System32\drivers\Dxapi.sys
0x8E05D000 \SystemRoot\system32\DRIVERS\monitor.sys
0x96A90000 \SystemRoot\System32\TSDDD.dll
0x96AB0000 \SystemRoot\System32\cdd.dll
0x8E06C000 \SystemRoot\system32\drivers\luafv.sys
0x8E087000 \SystemRoot\System32\drivers\pxrts.sys
0x8E09F000 \SystemRoot\system32\drivers\spsys.sys
0x8E14E000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x8E15E000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x8E188000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x8E192000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x9CE0A000 \SystemRoot\system32\drivers\HTTP.sys
0x9CE77000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x9CE94000 \SystemRoot\system32\DRIVERS\bowser.sys
0x9CEAD000 \SystemRoot\System32\drivers\mpsdrv.sys
0x9CEC2000 \SystemRoot\system32\drivers\mrxdav.sys
0x9CEE2000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x9CF01000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x9CF3A000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x9CF52000 \SystemRoot\System32\DRIVERS\srv2.sys
0x9CF79000 \SystemRoot\System32\DRIVERS\srv.sys
0x9CFDF000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0x9F005000 \SystemRoot\system32\drivers\peauth.sys
0x9F0E3000 \SystemRoot\System32\Drivers\secdrv.SYS
0x9F0ED000 \SystemRoot\System32\drivers\tcpipreg.sys
0x9F0F9000 \SystemRoot\system32\DRIVERS\xaudio.sys
0x9F101000 \SystemRoot\system32\DRIVERS\ipnat.sys
0x9F129000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0x76FB0000 \Windows\System32\ntdll.dll

Processes (total 76):
0 System Idle Process
4 System
548 C:\Windows\System32\smss.exe
616 csrss.exe
668 C:\Windows\System32\wininit.exe
676 csrss.exe
720 C:\Windows\System32\services.exe
732 C:\Windows\System32\lsass.exe
740 C:\Windows\System32\lsm.exe
832 C:\Windows\System32\winlogon.exe
976 C:\Windows\System32\svchost.exe
1064 C:\Windows\System32\svchost.exe
1184 C:\Windows\System32\svchost.exe
1220 C:\Windows\System32\svchost.exe
1240 C:\Windows\System32\svchost.exe
1328 C:\Windows\System32\audiodg.exe
1348 C:\Windows\System32\svchost.exe
1372 C:\Windows\System32\SLsvc.exe
1412 C:\Windows\System32\svchost.exe
1544 C:\Windows\System32\svchost.exe
1732 C:\Windows\System32\spoolsv.exe
1772 C:\Windows\System32\svchost.exe
1948 C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1988 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
2036 C:\Program Files\Bonjour\mDNSResponder.exe
196 C:\Program Files\Prevx\prevx.exe
412 C:\Program Files\FRITZ!DSL\IGDCTRL.EXE
1316 C:\Program Files\Kodak\AiO\Center\ekdiscovery.exe
1388 C:\Program Files\Common Files\LightScribe\LSSrvc.exe
2096 C:\Windows\System32\svchost.exe
2112 C:\Program Files\Hp\QuickPlay\Kernel\TV\QPCapSvc.exe
2424 C:\Program Files\CyberLink\Shared Files\RichVideo.exe
2464 C:\Windows\System32\svchost.exe
2520 C:\Windows\System32\svchost.exe
2556 C:\Windows\System32\SearchIndexer.exe
2860 C:\Windows\System32\taskeng.exe
2892 C:\Windows\System32\drivers\XAudio.exe
2932 C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe
3732 C:\Program Files\Prevx\prevx.exe
3772 C:\Windows\System32\taskeng.exe
3964 C:\Windows\System32\dwm.exe
3992 C:\Windows\explorer.exe
1420 C:\Program Files\Synaptics\SynTP\SynTPStart.exe
2496 C:\Program Files\Hp\QuickPlay\QPService.exe
1788 C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
772 C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
3200 C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
3196 C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
2944 C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
2200 C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
2868 C:\Program Files\DivX\DivX Update\DivXUpdate.exe
3476 C:\Program Files\iTunes\iTunesHelper.exe
3208 C:\Windows\System32\spool\drivers\w32x86\3\EKIJ5000MUI.exe
3364 WmiPrvSE.exe
3844 C:\Windows\System32\rundll32.exe
3688 C:\Windows\System32\rundll32.exe
3664 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
2088 C:\Windows\ehome\ehtray.exe
784 C:\Program Files\PDFCreator\PDFCreator.exe
3264 C:\Windows\System32\wbem\unsecapp.exe
156 C:\Windows\ehome\ehmsas.exe
2344 C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
124 C:\Windows\System32\alg.exe
4312 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
4544 C:\Program Files\iPod\bin\iPodService.exe
4916 C:\Windows\System32\conime.exe
5684 C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Service.exe
4932 C:\Windows\System32\wuauclt.exe
1248 C:\Program Files\Internet Explorer\iexplore.exe
4956 C:\Program Files\Internet Explorer\iexplore.exe
1080 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\klwtblfs.exe
3504 C:\Program Files\Internet Explorer\iexplore.exe
3508 C:\Windows\System32\Macromed\Flash\FlashUtil10i_ActiveX.exe
3924 C:\PROGRA~1\MICROS~3\Office12\OUTLOOK.EXE
5852 taskeng.exe
4828 C:\Users\Nadine\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000037`572f4200 (NTFS)

PhysicalDrive0 Model Number: HitachiHTS542525K9SA00, Rev: BBFOC32P

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: D94F393960D1CD66C2071F2D7260A5196DF105AC


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!

Hi,

tata, da haben wir ihn:
Found non-standard or infected MBR...

Lass MBRCheck.exe nochmal laufen, die Frage mit yes beantworten,
dann 1. Den gesicherten MBR werden wir dann später untersuchen, da muss ich mich aber erst noch schlau machen...

Hast Du irgendeinen Bootmanager oder so was auf dem Rechner? Wenn nein, dann solltest Du den MBR durch einen Vista-MBR überschreiben lassen wie folgt:
Beheben und Reparieren von Startproblemen in Windows Vista mit dem Hilfsprogramm "Bootrec.exe" in der Windows-Wiederherstellungsumgebung und dort die Option /fixmbr auswählen! Danach zur Kontrolle nochmal MBRCheck.exe ausführen, es sollte ein Standard-MBR erkannt werden...

chris

Hi,

was soll ich denn bei dieser Frage hier eingeben?

"Enter the physical disk number to dump <0-99, -1 to exit> "

Was is damit gemeint?

Gruß Trinity

Hi,

Sorry, bitte 0 eingeben...
Du solltest dann noch nach Name/Ort für die Datei gefragt werden -> mbr.dat

chris

Gibts ne andere Möglichkeit als die beschriebene um das zu reparieren?

In der Beschreibung steht nämlich, dass man die Vista-CD einlegen soll, um in den Wiederherstellungsumgebung zu kommen. Ich hab aber leider keine CD (siehe mein erstes Posting)...

Gruß
Trinity

Hi,

gibt es, aber wir warten jetzt erstmal auf Feedback (ich intern)... ich möchte nur fixen wenn es wirklich notwendig ist...

Du kannst aber schon mal das Tool runterladen und es zum prüfen verwenden:
Folge dazu diesem Link und arbeite das dann ab:
http://www.trojaner-board.de/86574-bootkit-remover.html

chris
Ps.: Ev. meldet sich noch einer vom Team wegen dem Upload, die Überprüfung dauer dann ca. 1 Tag...

Hi,

okay, hier der Log:

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows Vista Home Premium Edition Service Pack 1 (build 6
001), 32-bit

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: df1c10548966c4f16c540ebf80ffd180

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...

Dann warte ich jetzt einfach mal auf weitere Anweisungen :-)
Vielen Dank schonmal für Deine Hilfe und Mühe bis hierhin!

Gruß
Trinity

Hi,

es kann sich um einen von HP veränderten MBR handeln, das müssen wir prüfen lassen (zumindest ist in einem anderen Fall der SH1 gleich wie bei deinem MBR)...
(Daher will ich ihn nicht einfach fixen und mit einem standard-MBR überschreiben lassen... ;o)

Folge den Anweisungen hier und Lade den gesicherten MBR (die mbr.dat) hier hoch: http://www.trojaner-board.de/54791-a...ner-board.html...

Dann sehen wir weiter.

chris

Hi,

okay, Upload hab ich erledigt. dann bin ich ja mal gespannt :)

Gruß
Trinity

Hi Trinity,

habe Dich nicht vergessen, noch kein Feedback da...
Möchte noch was ausprobieren...

TDSS-Killer
Download und Anweisung unter: http://www.trojaner-board.de/82358-tdsskiller-google-umleitungen-tdss-tdl3-alureon-rootkit-entfernen.html#post640150
Entpacke alle Dateien!

Start.bat erstellen:
Start->alle Programme->Zubehör->Editor und kopiere folgenden Text rein:

• Speichern als: start.bat

• abspeichern unter : Dateityp: alle Dateien

• speichere die Datei im Ordner wo auch TDSSKiller.exe steht

• Doppelklick start.bat

TDSSKiller.exe wird gestartet und ein Log erzeugen(report.txt).
Wenn TDSSKiller fertig ist poste den Inhalt der report.txt.

chris

Hi Chris,

irgendwie funktioniert das nicht mit dem Tdss-killer...

Bekomme folgende Fehlermeldung, wenn ich start.bat anklicke:

Anhang 8779


Was mach ich falsch?

Gruß
Trinity

Hi,

mein Fehler, ist eine neue Version die Du einfach mit Doppelklick (über den Explorer) aufrufen kannst...
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris

Hi,

so das Feedback ist da, der MBR wurde von HP geändert/angepasst, daher sollte es i. O. sein...

Wenn jetzt der Killer auch nichts mehr findet, dann sehe ich momentan nichts mehr...

chris

Hallo,

so hat geklappt:

2010/09/10 13:31:49.0792 TDSS rootkit removing tool 2.4.2.1 Sep 7 2010 14:43:44
2010/09/10 13:31:49.0792 ================================================================================
2010/09/10 13:31:49.0792 SystemInfo:
2010/09/10 13:31:49.0792
2010/09/10 13:31:49.0792 OS Version: 6.0.6001 ServicePack: 1.0
2010/09/10 13:31:49.0792 Product type: Workstation
2010/09/10 13:31:49.0792 ComputerName: NOTEBOOK
2010/09/10 13:31:49.0792 UserName: Nadine
2010/09/10 13:31:49.0792 Windows directory: C:\Windows
2010/09/10 13:31:49.0792 System windows directory: C:\Windows
2010/09/10 13:31:49.0792 Processor architecture: Intel x86
2010/09/10 13:31:49.0792 Number of processors: 2
2010/09/10 13:31:49.0792 Page size: 0x1000
2010/09/10 13:31:49.0792 Boot type: Normal boot
2010/09/10 13:31:49.0792 ================================================================================
2010/09/10 13:31:50.0728 Initialize success
2010/09/10 13:31:54.0753 ================================================================================
2010/09/10 13:31:54.0753 Scan started
2010/09/10 13:31:54.0753 Mode: Manual;
2010/09/10 13:31:54.0753 ================================================================================
2010/09/10 13:31:56.0469 ACPI (fcb8c7210f0135e24c6580f7f649c73c) C:\Windows\system32\drivers\acpi.sys
2010/09/10 13:31:56.0781 adp94xx (2edc5bbac6c651ece337bde8ed97c9fb) C:\Windows\system32\drivers\adp94xx.sys
2010/09/10 13:31:57.0015 adpahci (b84088ca3cdca97da44a984c6ce1ccad) C:\Windows\system32\drivers\adpahci.sys
2010/09/10 13:31:57.0187 adpu160m (7880c67bccc27c86fd05aa2afb5ea469) C:\Windows\system32\drivers\adpu160m.sys
2010/09/10 13:31:57.0280 adpu320 (9ae713f8e30efc2abccd84904333df4d) C:\Windows\system32\drivers\adpu320.sys
2010/09/10 13:31:57.0514 AFD (763e172a55177e478cb419f88fd0ba03) C:\Windows\system32\drivers\afd.sys
2010/09/10 13:31:57.0686 agp440 (ef23439cdd587f64c2c1b8825cead7d8) C:\Windows\system32\drivers\agp440.sys
2010/09/10 13:31:57.0920 aic78xx (ae1fdf7bf7bb6c6a70f67699d880592a) C:\Windows\system32\drivers\djsvs.sys
2010/09/10 13:31:57.0998 aliide (90395b64600ebb4552e26e178c94b2e4) C:\Windows\system32\drivers\aliide.sys
2010/09/10 13:31:58.0154 amdagp (2b13e304c9dfdfa5eb582f6a149fa2c7) C:\Windows\system32\drivers\amdagp.sys
2010/09/10 13:31:58.0232 amdide (0577df1d323fe75a739c787893d300ea) C:\Windows\system32\drivers\amdide.sys
2010/09/10 13:31:58.0388 AmdK7 (dc487885bcef9f28eece6fac0e5ddfc5) C:\Windows\system32\drivers\amdk7.sys
2010/09/10 13:31:58.0450 AmdK8 (93ae7f7dd54ab986a6f1a1b37be7442d) C:\Windows\system32\DRIVERS\amdk8.sys
2010/09/10 13:31:58.0622 arc (5f673180268bb1fdb69c99b6619fe379) C:\Windows\system32\drivers\arc.sys
2010/09/10 13:31:58.0856 arcsas (957f7540b5e7f602e44648c7de5a1c05) C:\Windows\system32\drivers\arcsas.sys
2010/09/10 13:31:59.0059 AsyncMac (53b202abee6455406254444303e87be1) C:\Windows\system32\DRIVERS\asyncmac.sys
2010/09/10 13:31:59.0121 atapi (2d9c903dc76a66813d350a562de40ed9) C:\Windows\system32\drivers\atapi.sys
2010/09/10 13:31:59.0495 athr (0437199c88f6e88a387cfec8a8886a6e) C:\Windows\system32\DRIVERS\athr.sys
2010/09/10 13:31:59.0917 BCM43XV (cf6a67c90951e3e763d2135dede44b85) C:\Windows\system32\DRIVERS\bcmwl6.sys
2010/09/10 13:32:00.0088 Beep (67e506b75bd5326a3ec7b70bd014dfb6) C:\Windows\system32\drivers\Beep.sys
2010/09/10 13:32:00.0307 bowser (74b442b2be1260b7588c136177ceac66) C:\Windows\system32\DRIVERS\bowser.sys
2010/09/10 13:32:00.0400 BrFiltLo (9f9acc7f7ccde8a15c282d3f88b43309) C:\Windows\system32\drivers\brfiltlo.sys
2010/09/10 13:32:00.0541 BrFiltUp (56801ad62213a41f6497f96dee83755a) C:\Windows\system32\drivers\brfiltup.sys
2010/09/10 13:32:00.0634 Brserid (b304e75cff293029eddf094246747113) C:\Windows\system32\drivers\brserid.sys
2010/09/10 13:32:00.0681 BrSerWdm (203f0b1e73adadbbb7b7b1fabd901f6b) C:\Windows\system32\drivers\brserwdm.sys
2010/09/10 13:32:00.0806 BrUsbMdm (bd456606156ba17e60a04e18016ae54b) C:\Windows\system32\drivers\brusbmdm.sys
2010/09/10 13:32:00.0884 BrUsbSer (af72ed54503f717a43268b3cc5faec2e) C:\Windows\system32\drivers\brusbser.sys
2010/09/10 13:32:00.0977 BTHMODEM (ad07c1ec6665b8b35741ab91200c6b68) C:\Windows\system32\drivers\bthmodem.sys
2010/09/10 13:32:01.0227 cdfs (7add03e75beb9e6dd102c3081d29840a) C:\Windows\system32\DRIVERS\cdfs.sys
2010/09/10 13:32:01.0336 cdrom (1ec25cea0de6ac4718bf89f9e1778b57) C:\Windows\system32\DRIVERS\cdrom.sys
2010/09/10 13:32:01.0477 circlass (da8e0afc7baa226c538ef53ac2f90897) C:\Windows\system32\drivers\circlass.sys
2010/09/10 13:32:01.0633 CLFS (465745561c832b29f7c48b488aab3842) C:\Windows\system32\CLFS.sys
2010/09/10 13:32:01.0789 CmBatt (99afc3795b58cc478fbbbcdc658fcb56) C:\Windows\system32\DRIVERS\CmBatt.sys
2010/09/10 13:32:01.0945 cmdide (45201046c776ffdaf3fc8a0029c581c8) C:\Windows\system32\drivers\cmdide.sys
2010/09/10 13:32:02.0085 Compbatt (6afef0b60fa25de07c0968983ee4f60a) C:\Windows\system32\DRIVERS\compbatt.sys
2010/09/10 13:32:02.0272 crcdisk (2a213ae086bbec5e937553c7d9a2b22c) C:\Windows\system32\drivers\crcdisk.sys
2010/09/10 13:32:02.0413 Crusoe (22a7f883508176489f559ee745b5bf5d) C:\Windows\system32\drivers\crusoe.sys
2010/09/10 13:32:02.0615 DfsC (9e635ae5e8ad93e2b5989e2e23679f97) C:\Windows\system32\Drivers\dfsc.sys
2010/09/10 13:32:02.0756 disk (64109e623abd6955c8fb110b592e68b7) C:\Windows\system32\drivers\disk.sys
2010/09/10 13:32:02.0959 drmkaud (97fef831ab90bee128c9af390e243f80) C:\Windows\system32\drivers\drmkaud.sys
2010/09/10 13:32:03.0115 DXGKrnl (f8bf50a8d862f8cc089080bec509bca6) C:\Windows\System32\drivers\dxgkrnl.sys
2010/09/10 13:32:03.0239 E100B (c0b00e55cf82d122d25983c7a6a53dea) C:\Windows\system32\DRIVERS\e100b325.sys
2010/09/10 13:32:03.0317 E1G60 (f88fb26547fd2ce6d0a5af2985892c48) C:\Windows\system32\DRIVERS\E1G60I32.sys
2010/09/10 13:32:03.0489 Ecache (dd2cd259d83d8b72c02c5f2331ff9d68) C:\Windows\system32\drivers\ecache.sys
2010/09/10 13:32:03.0707 elxstor (e8f3f21a71720c84bcf423b80028359f) C:\Windows\system32\drivers\elxstor.sys
2010/09/10 13:32:03.0926 exfat (0d858eb20589a34efb25695acaa6aa2d) C:\Windows\system32\drivers\exfat.sys
2010/09/10 13:32:04.0004 fastfat (3c489390c2e2064563727752af8eab9e) C:\Windows\system32\drivers\fastfat.sys
2010/09/10 13:32:04.0097 fdc (63bdada84951b9c03e641800e176898a) C:\Windows\system32\DRIVERS\fdc.sys
2010/09/10 13:32:04.0269 FileInfo (a8c0139a884861e3aae9cfe73b208a9f) C:\Windows\system32\drivers\fileinfo.sys
2010/09/10 13:32:04.0347 Filetrace (0ae429a696aecbc5970e3cf2c62635ae) C:\Windows\system32\drivers\filetrace.sys
2010/09/10 13:32:04.0534 flpydisk (6603957eff5ec62d25075ea8ac27de68) C:\Windows\system32\DRIVERS\flpydisk.sys
2010/09/10 13:32:04.0768 FltMgr (05ea53afe985443011e36dab07343b46) C:\Windows\system32\drivers\fltmgr.sys
2010/09/10 13:32:04.0971 Fs_Rec (65ea8b77b5851854f0c55c43fa51a198) C:\Windows\system32\drivers\Fs_Rec.sys
2010/09/10 13:32:05.0127 FTD2XX (ab40574f179b60be08fe87df70ecf9eb) C:\Windows\system32\Drivers\FTD2XX.sys
2010/09/10 13:32:05.0299 gagp30kx (4e1cd0a45c50a8882616cae5bf82f3c5) C:\Windows\system32\drivers\gagp30kx.sys
2010/09/10 13:32:05.0501 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\Windows\system32\Drivers\GEARAspiWDM.sys
2010/09/10 13:32:05.0735 HdAudAddService (7be40bb4cd16d8760e18ea981ff452ec) C:\Windows\system32\drivers\CHDART.sys
2010/09/10 13:32:05.0845 HDAudBus (c87b1ee051c0464491c1a7b03fa0bc99) C:\Windows\system32\DRIVERS\HDAudBus.sys
2010/09/10 13:32:06.0047 HidBth (1338520e78d90154ed6be8f84de5fceb) C:\Windows\system32\drivers\hidbth.sys
2010/09/10 13:32:06.0110 HidIr (ff3160c3a2445128c5a6d9b076da519e) C:\Windows\system32\drivers\hidir.sys
2010/09/10 13:32:06.0328 HidUsb (854ca287ab7faf949617a788306d967e) C:\Windows\system32\DRIVERS\hidusb.sys
2010/09/10 13:32:06.0531 HpCISSs (df353b401001246853763c4b7aaa6f50) C:\Windows\system32\drivers\hpcisss.sys
2010/09/10 13:32:06.0625 HpqKbFiltr (35956140e686d53bf676cf0c778880fc) C:\Windows\system32\DRIVERS\HpqKbFiltr.sys
2010/09/10 13:32:06.0718 HpqRemHid (115c0933b3ed51dfbec4449348c8065b) C:\Windows\system32\DRIVERS\HpqRemHid.sys
2010/09/10 13:32:06.0905 HSFHWAZL (46d67209550973257601a533e2ac5785) C:\Windows\system32\DRIVERS\VSTAZL3.SYS
2010/09/10 13:32:07.0015 HSF_DPV (1882827f41dee51c70e24c567c35bfb5) C:\Windows\system32\DRIVERS\HSX_DPV.sys
2010/09/10 13:32:07.0186 HSXHWAZL (a44ddf3ba83e4664bf4de9220097578c) C:\Windows\system32\DRIVERS\HSXHWAZL.sys
2010/09/10 13:32:07.0295 HTTP (96e241624c71211a79c84f50a8e71cab) C:\Windows\system32\drivers\HTTP.sys
2010/09/10 13:32:07.0514 i2omp (324c2152ff2c61abae92d09f3cca4d63) C:\Windows\system32\drivers\i2omp.sys
2010/09/10 13:32:07.0670 i8042prt (22d56c8184586b7a1f6fa60be5f5a2bd) C:\Windows\system32\DRIVERS\i8042prt.sys
2010/09/10 13:32:07.0935 ialm (496db78e6a0c4c44023d9a92b4a7ac31) C:\Windows\system32\DRIVERS\igdkmd32.sys
2010/09/10 13:32:08.0185 iaStorV (c957bf4b5d80b46c5017bf0101e6c906) C:\Windows\system32\drivers\iastorv.sys
2010/09/10 13:32:08.0372 iirsp (2d077bf86e843f901d8db709c95b49a5) C:\Windows\system32\drivers\iirsp.sys
2010/09/10 13:32:08.0450 intelide (97469037714070e45194ed318d636401) C:\Windows\system32\drivers\intelide.sys
2010/09/10 13:32:08.0497 intelppm (ce44cc04262f28216dd4341e9e36a16f) C:\Windows\system32\DRIVERS\intelppm.sys
2010/09/10 13:32:08.0621 IpFilterDriver (62c265c38769b864cb25b4bcf62df6c3) C:\Windows\system32\DRIVERS\ipfltdrv.sys
2010/09/10 13:32:08.0793 IPMIDRV (40f34f8aba2a015d780e4b09138b6c17) C:\Windows\system32\drivers\ipmidrv.sys
2010/09/10 13:32:08.0996 IPNAT (8793643a67b42cec66490b2a0cf92d68) C:\Windows\system32\DRIVERS\ipnat.sys
2010/09/10 13:32:09.0183 IRENUM (109c0dfb82c3632fbd11949b73aeeac9) C:\Windows\system32\drivers\irenum.sys
2010/09/10 13:32:09.0370 isapnp (350fca7e73cf65bcef43fae1e4e91293) C:\Windows\system32\drivers\isapnp.sys
2010/09/10 13:32:09.0542 iScsiPrt (f247eec28317f6c739c16de420097301) C:\Windows\system32\DRIVERS\msiscsi.sys
2010/09/10 13:32:09.0620 iteatapi (bced60d16156e428f8df8cf27b0df150) C:\Windows\system32\drivers\iteatapi.sys
2010/09/10 13:32:09.0885 iteraid (06fa654504a498c30adca8bec4e87e7e) C:\Windows\system32\drivers\iteraid.sys
2010/09/10 13:32:10.0166 kbdclass (37605e0a8cf00cbba538e753e4344c6e) C:\Windows\system32\DRIVERS\kbdclass.sys
2010/09/10 13:32:10.0291 kbdhid (18247836959ba67e3511b62846b9c2e0) C:\Windows\system32\DRIVERS\kbdhid.sys
2010/09/10 13:32:10.0447 KL1 (94d67d49bd9503bb1d838405d80f2058) C:\Windows\system32\DRIVERS\kl1.sys
2010/09/10 13:32:10.0634 kl2 (713576569667ac9e0f8556076004a96b) C:\Windows\system32\DRIVERS\kl2.sys
2010/09/10 13:32:10.0696 KLIF (998ec9c7f4ea3fc64e442e96a4ae2367) C:\Windows\system32\DRIVERS\klif.sys
2010/09/10 13:32:11.0133 KLIM6 (cf88b4985d957eee45c9939092e87c92) C:\Windows\system32\DRIVERS\klim6.sys
2010/09/10 13:32:11.0180 klmouflt (3de1771c135328420315e21dde229bba) C:\Windows\system32\DRIVERS\klmouflt.sys
2010/09/10 13:32:11.0305 KSecDD (7a0cf7908b6824d6a2a1d313e5ae3dca) C:\Windows\system32\Drivers\ksecdd.sys
2010/09/10 13:32:11.0445 lltdio (d1c5883087a0c3f1344d9d55a44901f6) C:\Windows\system32\DRIVERS\lltdio.sys
2010/09/10 13:32:11.0741 LSI_FC (a2262fb9f28935e862b4db46438c80d2) C:\Windows\system32\drivers\lsi_fc.sys
2010/09/10 13:32:11.0866 LSI_SAS (30d73327d390f72a62f32c103daf1d6d) C:\Windows\system32\drivers\lsi_sas.sys
2010/09/10 13:32:12.0053 LSI_SCSI (e1e36fefd45849a95f1ab81de0159fe3) C:\Windows\system32\drivers\lsi_scsi.sys
2010/09/10 13:32:12.0147 luafv (8f5c7426567798e62a3b3614965d62cc) C:\Windows\system32\drivers\luafv.sys
2010/09/10 13:32:12.0365 mdmxsdk (0cea2d0d3fa284b85ed5b68365114f76) C:\Windows\system32\DRIVERS\mdmxsdk.sys
2010/09/10 13:32:12.0475 megasas (d153b14fc6598eae8422a2037553adce) C:\Windows\system32\drivers\megasas.sys
2010/09/10 13:32:12.0677 Modem (e13b5ea0f51ba5b1512ec671393d09ba) C:\Windows\system32\drivers\modem.sys
2010/09/10 13:32:12.0911 monitor (0a9bb33b56e294f686abb7c1e4e2d8a8) C:\Windows\system32\DRIVERS\monitor.sys
2010/09/10 13:32:13.0021 mouclass (5bf6a1326a335c5298477754a506d263) C:\Windows\system32\DRIVERS\mouclass.sys
2010/09/10 13:32:13.0223 mouhid (93b8d4869e12cfbe663915502900876f) C:\Windows\system32\DRIVERS\mouhid.sys
2010/09/10 13:32:13.0348 MountMgr (bdafc88aa6b92f7842416ea6a48e1600) C:\Windows\system32\drivers\mountmgr.sys
2010/09/10 13:32:13.0426 mpio (583a41f26278d9e0ea548163d6139397) C:\Windows\system32\drivers\mpio.sys
2010/09/10 13:32:13.0567 mpsdrv (22241feba9b2defa669c8cb0a8dd7d2e) C:\Windows\system32\drivers\mpsdrv.sys
2010/09/10 13:32:13.0879 Mraid35x (4fbbb70d30fd20ec51f80061703b001e) C:\Windows\system32\drivers\mraid35x.sys
2010/09/10 13:32:13.0972 MRxDAV (ae3de84536b6799d2267443cec8edbb9) C:\Windows\system32\drivers\mrxdav.sys
2010/09/10 13:32:14.0050 mrxsmb (7afc42e60432fd1014f5342f2b1b1f74) C:\Windows\system32\DRIVERS\mrxsmb.sys
2010/09/10 13:32:14.0300 mrxsmb10 (8a75752ae17924f65452746674b14b78) C:\Windows\system32\DRIVERS\mrxsmb10.sys
2010/09/10 13:32:14.0440 mrxsmb20 (f4d0f3252e651f02be64984ffa738394) C:\Windows\system32\DRIVERS\mrxsmb20.sys
2010/09/10 13:32:14.0612 msahci (742aed7939e734c36b7e8d6228ce26b7) C:\Windows\system32\drivers\msahci.sys
2010/09/10 13:32:14.0643 msdsm (3fc82a2ae4cc149165a94699183d3028) C:\Windows\system32\drivers\msdsm.sys
2010/09/10 13:32:14.0768 Msfs (a9927f4a46b816c92f461acb90cf8515) C:\Windows\system32\drivers\Msfs.sys
2010/09/10 13:32:14.0971 msisadrv (0f400e306f385c56317357d6dea56f62) C:\Windows\system32\drivers\msisadrv.sys
2010/09/10 13:32:15.0142 MSKSSRV (d8c63d34d9c9e56c059e24ec7185cc07) C:\Windows\system32\drivers\MSKSSRV.sys
2010/09/10 13:32:15.0485 MSPCLOCK (1d373c90d62ddb641d50e55b9e78d65e) C:\Windows\system32\drivers\MSPCLOCK.sys
2010/09/10 13:32:15.0735 MSPQM (b572da05bf4e098d4bba3a4734fb505b) C:\Windows\system32\drivers\MSPQM.sys
2010/09/10 13:32:15.0813 MsRPC (b5614aecb05a9340aa0fb55bf561cc63) C:\Windows\system32\drivers\MsRPC.sys
2010/09/10 13:32:16.0016 mssmbios (e384487cb84be41d09711c30ca79646c) C:\Windows\system32\DRIVERS\mssmbios.sys
2010/09/10 13:32:16.0203 MSTEE (7199c1eec1e4993caf96b8c0a26bd58a) C:\Windows\system32\drivers\MSTEE.sys
2010/09/10 13:32:16.0312 Mup (6dfd1d322de55b0b7db7d21b90bec49c) C:\Windows\system32\Drivers\mup.sys
2010/09/10 13:32:16.0577 NativeWifiP (dd721f8635191132992e7ceaa3c43c84) C:\Windows\system32\DRIVERS\nwifi.sys
2010/09/10 13:32:16.0749 NDIS (9bdc71790fa08f0a0b5f10462b1bd0b1) C:\Windows\system32\drivers\ndis.sys
2010/09/10 13:32:16.0983 NdisTapi (0e186e90404980569fb449ba7519ae61) C:\Windows\system32\DRIVERS\ndistapi.sys
2010/09/10 13:32:17.0123 Ndisuio (d6973aa34c4d5d76c0430b181c3cd389) C:\Windows\system32\DRIVERS\ndisuio.sys
2010/09/10 13:32:17.0342 NdisWan (3d14c3b3496f88890d431e8aa022a411) C:\Windows\system32\DRIVERS\ndiswan.sys
2010/09/10 13:32:17.0451 NDProxy (71dab552b41936358f3b541ae5997fb3) C:\Windows\system32\drivers\NDProxy.sys
2010/09/10 13:32:17.0513 NetBIOS (bcd093a5a6777cf626434568dc7dba78) C:\Windows\system32\DRIVERS\netbios.sys
2010/09/10 13:32:17.0763 netbt (7c5fee5b1c5728507cd96fb4a13e7a02) C:\Windows\system32\DRIVERS\netbt.sys
2010/09/10 13:32:17.0935 nfrd960 (2e7fb731d4790a1bc6270accefacb36e) C:\Windows\system32\drivers\nfrd960.sys
2010/09/10 13:32:18.0122 Npfs (ecb5003f484f9ed6c608d6d6c7886cbb) C:\Windows\system32\drivers\Npfs.sys
2010/09/10 13:32:18.0215 nsiproxy (609773e344a97410ce4ebf74a8914fcf) C:\Windows\system32\drivers\nsiproxy.sys
2010/09/10 13:32:18.0418 Ntfs (b4effe29eb4f15538fd8a9681108492d) C:\Windows\system32\drivers\Ntfs.sys
2010/09/10 13:32:18.0590 ntrigdigi (e875c093aec0c978a90f30c9e0dfbb72) C:\Windows\system32\drivers\ntrigdigi.sys
2010/09/10 13:32:18.0699 Null (c5dbbcda07d780bda9b685df333bb41e) C:\Windows\system32\drivers\Null.sys
2010/09/10 13:32:19.0089 NVENETFD (a1108084b0d2fc43dcc401735770e2a3) C:\Windows\system32\DRIVERS\nvmfdx32.sys
2010/09/10 13:32:19.0916 nvlddmkm (442eac1b12acf1bad6f1224167e034c8) C:\Windows\system32\DRIVERS\nvlddmkm.sys
2010/09/10 13:32:20.0415 nvraid (e69e946f80c1c31c53003bfbf50cbb7c) C:\Windows\system32\drivers\nvraid.sys
2010/09/10 13:32:20.0477 nvsmu (9aebc32f9d6e02ebee0369ab296fe7c8) C:\Windows\system32\DRIVERS\nvsmu.sys
2010/09/10 13:32:20.0524 nvstor (9e0ba19a28c498a6d323d065db76dffc) C:\Windows\system32\drivers\nvstor.sys
2010/09/10 13:32:20.0774 nv_agp (07c186427eb8fcc3d8d7927187f260f7) C:\Windows\system32\drivers\nv_agp.sys
2010/09/10 13:32:21.0242 ohci1394 (790e27c3db53410b40ff9ef2fd10a1d9) C:\Windows\system32\DRIVERS\ohci1394.sys
2010/09/10 13:32:21.0429 Parport (0fa9b5055484649d63c303fe404e5f4d) C:\Windows\system32\drivers\parport.sys
2010/09/10 13:32:21.0616 partmgr (3b38467e7c3daed009dfe359e17f139f) C:\Windows\system32\drivers\partmgr.sys
2010/09/10 13:32:21.0788 Parvdm (4f9a6a8a31413180d0fcb279ad5d8112) C:\Windows\system32\drivers\parvdm.sys
2010/09/10 13:32:22.0069 pci (01b94418deb235dff777cc80076354b4) C:\Windows\system32\drivers\pci.sys
2010/09/10 13:32:22.0209 pciide (fc175f5ddab666d7f4d17449a547626f) C:\Windows\system32\drivers\pciide.sys
2010/09/10 13:32:22.0657 pcmcia (e6f3fb1b86aa519e7698ad05e58b04e5) C:\Windows\system32\drivers\pcmcia.sys
2010/09/10 13:32:22.0797 PEAUTH (6349f6ed9c623b44b52ea3c63c831a92) C:\Windows\system32\drivers\peauth.sys
2010/09/10 13:32:23.0172 PptpMiniport (ecfffaec0c1ecd8dbc77f39070ea1db1) C:\Windows\system32\DRIVERS\raspptp.sys
2010/09/10 13:32:23.0281 Processor (0e3cef5d28b40cf273281d620c50700a) C:\Windows\system32\drivers\processr.sys
2010/09/10 13:32:23.0452 PSched (a114cfe308c24b8235b03cfdffe11e99) C:\Windows\system32\DRIVERS\pacer.sys
2010/09/10 13:32:23.0546 pxkbf (d0e4b7a072480428b9381bce61173d06) C:\Windows\system32\drivers\pxkbf.sys
2010/09/10 13:32:23.0671 pxrts (1d7a1820f20dbc410a7384b541226dfc) C:\Windows\system32\drivers\pxrts.sys
2010/09/10 13:32:23.0749 pxscan (cacbc2a0db3db9dba183f367b7efe95c) C:\Windows\system32\drivers\pxscan.sys
2010/09/10 13:32:23.0889 ql2300 (ccdac889326317792480c0a67156a1ec) C:\Windows\system32\drivers\ql2300.sys
2010/09/10 13:32:24.0170 ql40xx (81a7e5c076e59995d54bc1ed3a16e60b) C:\Windows\system32\drivers\ql40xx.sys
2010/09/10 13:32:24.0466 QWAVEdrv (9f5e0e1926014d17486901c88eca2db7) C:\Windows\system32\drivers\qwavedrv.sys
2010/09/10 13:32:24.0669 RasAcd (147d7f9c556d259924351feb0de606c3) C:\Windows\system32\DRIVERS\rasacd.sys
2010/09/10 13:32:24.0903 Rasl2tp (a214adbaf4cb47dd2728859ef31f26b0) C:\Windows\system32\DRIVERS\rasl2tp.sys
2010/09/10 13:32:25.0200 RasPppoe (3e9d9b048107b40d87b97df2e48e0744) C:\Windows\system32\DRIVERS\raspppoe.sys
2010/09/10 13:32:25.0512 RasSstp (a7d141684e9500ac928a772ed8e6b671) C:\Windows\system32\DRIVERS\rassstp.sys
2010/09/10 13:32:25.0699 rdbss (6e1c5d0457622f9ee35f683110e93d14) C:\Windows\system32\DRIVERS\rdbss.sys
2010/09/10 13:32:26.0026 RDPCDD (89e59be9a564262a3fb6c4f4f1cd9899) C:\Windows\system32\DRIVERS\RDPCDD.sys
2010/09/10 13:32:26.0198 rdpdr (e8bd98d46f2ed77132ba927fccb47d8b) C:\Windows\system32\drivers\rdpdr.sys
2010/09/10 13:32:26.0370 RDPENCDD (9d91fe5286f748862ecffa05f8a0710c) C:\Windows\system32\drivers\rdpencdd.sys
2010/09/10 13:32:26.0494 RDPWD (e1c18f4097a5abcec941dc4b2f99db7e) C:\Windows\system32\drivers\RDPWD.sys
2010/09/10 13:32:26.0744 rimmptsk (355aac141b214bef1dbc1483afd9bd50) C:\Windows\system32\DRIVERS\rimmptsk.sys
2010/09/10 13:32:26.0791 rimsptsk (a4216c71dd4f60b26418ccfd99cd0815) C:\Windows\system32\DRIVERS\rimsptsk.sys
2010/09/10 13:32:26.0869 rismxdp (d231b577024aa324af13a42f3a807d10) C:\Windows\system32\DRIVERS\rixdptsk.sys
2010/09/10 13:32:27.0072 rspndr (9c508f4074a39e8b4b31d27198146fad) C:\Windows\system32\DRIVERS\rspndr.sys
2010/09/10 13:32:27.0196 sbp2port (3ce8f073a557e172b330109436984e30) C:\Windows\system32\drivers\sbp2port.sys
2010/09/10 13:32:27.0446 sdbus (126ea89bcc413ee45e3004fb0764888f) C:\Windows\system32\DRIVERS\sdbus.sys
2010/09/10 13:32:27.0555 secdrv (90a3935d05b494a5a39d37e71f09a677) C:\Windows\system32\drivers\secdrv.sys
2010/09/10 13:32:27.0852 Serenum (68e44e331d46f0fb38f0863a84cd1a31) C:\Windows\system32\drivers\serenum.sys
2010/09/10 13:32:27.0914 Serial (c70d69a918b178d3c3b06339b40c2e1b) C:\Windows\system32\drivers\serial.sys
2010/09/10 13:32:27.0976 sermouse (8af3d28a879bf75db53a0ee7a4289624) C:\Windows\system32\drivers\sermouse.sys
2010/09/10 13:32:28.0304 sffdisk (103b79418da647736ee95645f305f68a) C:\Windows\system32\drivers\sffdisk.sys
2010/09/10 13:32:28.0444 sffp_mmc (8fd08a310645fe872eeec6e08c6bf3ee) C:\Windows\system32\drivers\sffp_mmc.sys
2010/09/10 13:32:28.0663 sffp_sd (9cfa05fcfcb7124e69cfc812b72f9614) C:\Windows\system32\drivers\sffp_sd.sys
2010/09/10 13:32:28.0741 sfloppy (46ed8e91793b2e6f848015445a0ac188) C:\Windows\system32\drivers\sfloppy.sys
2010/09/10 13:32:28.0834 sisagp (d2a595d6eebeeaf4334f8e50efbc9931) C:\Windows\system32\drivers\sisagp.sys
2010/09/10 13:32:28.0912 SiSRaid2 (cedd6f4e7d84e9f98b34b3fe988373aa) C:\Windows\system32\drivers\sisraid2.sys
2010/09/10 13:32:28.0975 SiSRaid4 (df843c528c4f69d12ce41ce462e973a7) C:\Windows\system32\drivers\sisraid4.sys
2010/09/10 13:32:29.0193 Smb (031e6bcd53c9b2b9ace111eafec347b6) C:\Windows\system32\DRIVERS\smb.sys
2010/09/10 13:32:29.0318 spldr (7aebdeef071fe28b0eef2cdd69102bff) C:\Windows\system32\drivers\spldr.sys
2010/09/10 13:32:29.0505 srv (8e5fc19b3b38364c5f44ccecec5248e9) C:\Windows\system32\DRIVERS\srv.sys
2010/09/10 13:32:29.0614 srv2 (4ceeb95e0b79e48b81f2da0a6c24c64b) C:\Windows\system32\DRIVERS\srv2.sys
2010/09/10 13:32:29.0817 srvnet (f9c65e1e00a6bbf7c57d9b8ea068c525) C:\Windows\system32\DRIVERS\srvnet.sys
2010/09/10 13:32:30.0098 swenum (7ba58ecf0c0a9a69d44b3dca62becf56) C:\Windows\system32\DRIVERS\swenum.sys
2010/09/10 13:32:30.0238 Symc8xx (192aa3ac01df071b541094f251deed10) C:\Windows\system32\drivers\symc8xx.sys
2010/09/10 13:32:30.0488 Sym_hi (8c8eb8c76736ebaf3b13b633b2e64125) C:\Windows\system32\drivers\sym_hi.sys
2010/09/10 13:32:30.0816 Sym_u3 (8072af52b5fd103bbba387a1e49f62cb) C:\Windows\system32\drivers\sym_u3.sys
2010/09/10 13:32:31.0012 SynTP (3d6316279c3540aa268bf025f4621ef3) C:\Windows\system32\DRIVERS\SynTP.sys
2010/09/10 13:32:31.0278 Tcpip (2eae4500984c2f8dacfb977060300a15) C:\Windows\system32\drivers\tcpip.sys
2010/09/10 13:32:31.0558 Tcpip6 (2eae4500984c2f8dacfb977060300a15) C:\Windows\system32\DRIVERS\tcpip.sys
2010/09/10 13:32:31.0636 tcpipreg (d4a2e4a4b011f3a883af77315a5ae76b) C:\Windows\system32\drivers\tcpipreg.sys
2010/09/10 13:32:31.0746 TDPIPE (5dcf5e267be67a1ae926f2df77fbcc56) C:\Windows\system32\drivers\tdpipe.sys
2010/09/10 13:32:31.0902 TDTCP (389c63e32b3cefed425b61ed92d3f021) C:\Windows\system32\drivers\tdtcp.sys
2010/09/10 13:32:32.0026 tdx (d09276b1fab033ce1d40dcbdf303d10f) C:\Windows\system32\DRIVERS\tdx.sys
2010/09/10 13:32:32.0182 TermDD (a048056f5e1a96a9bf3071b91741a5aa) C:\Windows\system32\DRIVERS\termdd.sys
2010/09/10 13:32:32.0401 tssecsrv (dcf0f056a2e4f52287264f5ab29cf206) C:\Windows\system32\DRIVERS\tssecsrv.sys
2010/09/10 13:32:32.0557 tunmp (caecc0120ac49e3d2f758b9169872d38) C:\Windows\system32\DRIVERS\tunmp.sys
2010/09/10 13:32:32.0775 tunnel (6042505ff6fa9ac1ef7684d0e03b6940) C:\Windows\system32\DRIVERS\tunnel.sys
2010/09/10 13:32:32.0838 uagp35 (c3ade15414120033a36c0f293d4a4121) C:\Windows\system32\drivers\uagp35.sys
2010/09/10 13:32:33.0009 udfs (8b5088058fa1d1cd897a2113ccff6c58) C:\Windows\system32\DRIVERS\udfs.sys
2010/09/10 13:32:33.0087 uliagpkx (75e6890ebfce0841d3291b02e7a8bdb0) C:\Windows\system32\drivers\uliagpkx.sys
2010/09/10 13:32:33.0165 uliahci (3cd4ea35a6221b85dcc25daa46313f8d) C:\Windows\system32\drivers\uliahci.sys
2010/09/10 13:32:33.0259 UlSata (8514d0e5cd0534467c5fc61be94a569f) C:\Windows\system32\drivers\ulsata.sys
2010/09/10 13:32:33.0399 ulsata2 (38c3c6e62b157a6bc46594fada45c62b) C:\Windows\system32\drivers\ulsata2.sys
2010/09/10 13:32:33.0477 umbus (32cff9f809ae9aed85464492bf3e32d2) C:\Windows\system32\DRIVERS\umbus.sys
2010/09/10 13:32:33.0586 USBAAPL (4b8a9c16b6d9258ed99c512aecb8c555) C:\Windows\system32\Drivers\usbaapl.sys
2010/09/10 13:32:33.0774 usbccgp (caf811ae4c147ffcd5b51750c7f09142) C:\Windows\system32\DRIVERS\usbccgp.sys
2010/09/10 13:32:33.0852 usbcir (e9476e6c486e76bc4898074768fb7131) C:\Windows\system32\drivers\usbcir.sys
2010/09/10 13:32:33.0914 usbehci (cebe90821810e76320155beba722fcf9) C:\Windows\system32\DRIVERS\usbehci.sys
2010/09/10 13:32:34.0086 usbhub (cc6b28e4ce39951357963119ce47b143) C:\Windows\system32\DRIVERS\usbhub.sys
2010/09/10 13:32:34.0242 usbohci (7bdb7b0e7d45ac0402d78b90789ef47c) C:\Windows\system32\DRIVERS\usbohci.sys
2010/09/10 13:32:34.0304 usbprint (e75c4b5269091d15a2e7dc0b6d35f2f5) C:\Windows\system32\DRIVERS\usbprint.sys
2010/09/10 13:32:34.0538 usbscan (a508c9bd8724980512136b039bba65e9) C:\Windows\system32\DRIVERS\usbscan.sys
2010/09/10 13:32:34.0632 USBSTOR (87ba6b83c5d19b69160968d07d6e2982) C:\Windows\system32\DRIVERS\USBSTOR.SYS
2010/09/10 13:32:34.0819 usbuhci (325dbbacb8a36af9988ccf40eac228cc) C:\Windows\system32\DRIVERS\usbuhci.sys
2010/09/10 13:32:34.0897 usbvideo (e67998e8f14cb0627a769f6530bcb352) C:\Windows\system32\Drivers\usbvideo.sys
2010/09/10 13:32:35.0115 vga (7d92be0028ecdedec74617009084b5ef) C:\Windows\system32\DRIVERS\vgapnp.sys
2010/09/10 13:32:35.0427 VgaSave (2e93ac0a1d8c79d019db6c51f036636c) C:\Windows\System32\drivers\vga.sys
2010/09/10 13:32:35.0599 viaagp (045d9961e591cf0674a920b6ba3ba5cb) C:\Windows\system32\drivers\viaagp.sys
2010/09/10 13:32:35.0677 ViaC7 (56a4de5f02f2e88182b0981119b4dd98) C:\Windows\system32\drivers\viac7.sys
2010/09/10 13:32:35.0724 viaide (fd2e3175fcada350c7ab4521dca187ec) C:\Windows\system32\drivers\viaide.sys
2010/09/10 13:32:35.0911 volmgr (69503668ac66c77c6cd7af86fbdf8c43) C:\Windows\system32\drivers\volmgr.sys
2010/09/10 13:32:36.0004 volmgrx (98f5ffe6316bd74e9e2c97206c190196) C:\Windows\system32\drivers\volmgrx.sys
2010/09/10 13:32:36.0254 volsnap (d8b4a53dd2769f226b3eb374374987c9) C:\Windows\system32\drivers\volsnap.sys
2010/09/10 13:32:36.0363 vsmraid (d984439746d42b30fc65a4c3546c6829) C:\Windows\system32\drivers\vsmraid.sys
2010/09/10 13:32:36.0628 WacomPen (48dfee8f1af7c8235d4e626f0c4fe031) C:\Windows\system32\drivers\wacompen.sys
2010/09/10 13:32:36.0800 Wanarp (55201897378cca7af8b5efd874374a26) C:\Windows\system32\DRIVERS\wanarp.sys
2010/09/10 13:32:36.0847 Wanarpv6 (55201897378cca7af8b5efd874374a26) C:\Windows\system32\DRIVERS\wanarp.sys
2010/09/10 13:32:37.0050 Wd (78fe9542363f297b18c027b2d7e7c07f) C:\Windows\system32\drivers\wd.sys
2010/09/10 13:32:37.0424 Wdf01000 (b6f0a7ad6d4bd325fbcd8bac96cd8d96) C:\Windows\system32\drivers\Wdf01000.sys
2010/09/10 13:32:37.0642 winachsf (e096ffb754f1e45ae1bddac1275ae2c5) C:\Windows\system32\DRIVERS\HSX_CNXT.sys
2010/09/10 13:32:37.0939 WmiAcpi (2e7255d172df0b8283cdfb7b433b864e) C:\Windows\system32\DRIVERS\wmiacpi.sys
2010/09/10 13:32:38.0095 WpdUsb (0cec23084b51b8288099eb710224e955) C:\Windows\system32\DRIVERS\wpdusb.sys
2010/09/10 13:32:38.0313 ws2ifsl (e3a3cb253c0ec2494d4a61f5e43a389c) C:\Windows\system32\drivers\ws2ifsl.sys
2010/09/10 13:32:38.0454 WUDFRd (ac13cb789d93412106b0fb6c7eb2bcb6) C:\Windows\system32\DRIVERS\WUDFRd.sys
2010/09/10 13:32:38.0650 XAudio (19e7c173b6242ad7521e537ae54768bf) C:\Windows\system32\DRIVERS\xaudio.sys
2010/09/10 13:32:38.0806 ================================================================================
2010/09/10 13:32:38.0806 Scan finished
2010/09/10 13:32:38.0806 ================================================================================

Gruß Trinity

Hi,

auch nichts gefunden... Scheint jetzt clean zu sein...

chris
Ps: Bin erst wieder Abends online...

Hi,

okay, danke für dein Feedback! Heißt das jetzt, der Trojaner ist weg, oder hatte ich nie einen, oder kann er sich immer noch irgendwo verstecken?

Soll ich meinen PC doch lieber formatieren?

Vielen vielen Dank noch mal für deine Mühe und die schnelle Hilfe!

Gruß
Trinity

Hi,

nach der Beschreibung hattest Du sicher einen Banker drauf, es wurden auch von CF einige Dateien entfernt (die leider nicht mehr im Backup von CF aufzutreiben waren)....
Momentan sieht der Rechner soweit ich das aus der Ferne beurteilen kann, sauber aus, allerdings wenn Du weiter Homebanking machen willst ist mit Sicherheit Neuaufsetzen das sicherste... Man weis nie, welche Türchen sich Malware nach einer Infektion so "offen" gelassen haben...
Daher: Wenn es kein großes Problem ist, Daten sichern und Rechner platt machen...

chris