Fehlende Adminrechte - "Keine ausreichende Berechtigung, um auf Elemente zugreifen zu könnnen."
 

hola community...ich hoffe, dass mir jemand helfen kann.

habe folgende probleme, bin in XP leider nicht der versierteste.
folgende fehlermeldung erhalte ich, wenn ich z.b. auf das "windows sicherheitswarnungen" icon klicke:

rundll32.exe
"Auf das angegebene Gerät, bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen evetuell nicht über ausreichende Berechtigung, um auf das Element zugreifen zu könnnen."

habe früher mal die automatischen windows updates deaktiviert.
das problem zeigte sich aber erst am samstag, den 23.10.

selbe meldung bei UpdateWizard.exe von Tuneup Utilities.
bei Gdata sowie beim Spybot wurden die updates nicht durchgeführt, d.h. ein scan wurde geblockt.
Combofix konnte auch nicht aktiviert werden, fehlermeldung s.o.

ähnliches spiel bei einer versuchten neuinstallation von Antivir. kein setup möglich. presetup.exe:
"Auf das angegebene Gerät, bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen evetuell nicht über ausreichende Berechtigung, um auf das Element zugreifen zu könnnen."

auffällig auch:
- die reparaturfunktion der windows cd kann nicht gestartet werden.
- unter systemsteuerung/software funktioniert punkt: windows komponenten hinzufügen/entfernen nicht.
- frühere wiederherstellungspunkte ( z.b. letzten freitag) können nicht aufgerufen werden. es lässt sich auch nicht mehr in den monaten blättern.
- der ordner system weist eine hohe speicherauslastung von 110.640 aus.
- die auslagarungsdatei des task managers wächst stetig bis auf ca. 1 GB - 1,3 GB an.
- insgesamt sind unter prozesse im task manager 7 svchost.exe einträge zu sehen (4x system, 1x lokaler dienst, 2x netzwerkdienst).
- diverse warnungen und fehlermeldungen in der systemsteuerung/ computerverwaltung - unter "anwendung" (MsiInstaller) oder "system" (DCOM: ereignis 10005, Service Control Manager: ereignis 7023, 7035, 7036)

habe leider keinen plan, was das alles bedeutet.

ich habe bisher admin rechte gehabt.

ich denke, dass ich mir samstag einen virus/trojaner gefangen hatte, der sich zigmal verbreitete.
das problem äußerte sich so, dass ständig im IE 7 werbung aufpoppte, obwohl dieser nicht genutzt wurde.

folgendes wurde gefunden, wohl aber nicht sauber entfernt:
ZX0.exe bis ZX9.exe im temp Ordner
zpacya – zpacyc im windows ordner.
und "sshnas21.dll"

hier die logfile, von derem inhalt und deren auswertung ich aber eigentlich 0-plan habe:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:10:16, on 28.10.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\PROGRA~1\AVG\AVG10\avgchsvx.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AVG\AVG10\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe
C:\Programme\AVG\AVG10\avgfws.exe
C:\Programme\AVG\AVG10\avgwdsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
C:\Programme\AVG\AVG10\avgam.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AVG\AVG10\avgnsx.exe
C:\Programme\AVG\AVG10\avgemcx.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVG\AVG10\avgcsrvx.exe
C:\Programme\Opera\opera.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\PROGRA~1\AVG\AVG10\avgrsx.exe
C:\Programme\AVG\AVG10\avgcsrvx.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\xxx\Desktop\Tools\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*h**p://de.search.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG10\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SafeOnline BHO - {69D72956-317C-44bd-B369-8E44D4EF9801} - C:\WINDOWS\system32\PxSecure.dll
O3 - Toolbar: Gutscheinmieze - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Gutscheinmieze\toolbar.dll
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG_TRAY] C:\Programme\AVG\AVG10\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SB1.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231255744859
O17 - HKLM\System\CCS\Services\Tcpip\..\{91773153-69B8-44F7-AEED-78CB9416BEFE}: NameServer = 62.109.123.196 213.191.74.18
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG10\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVG Firewall (avgfws) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG10\avgfws.exe
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG10\avgwdsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6159 bytes

ein "Blacklight" scan zeigte nichts an.
10/28/10 13:47:48 [Info]: BlackLight Engine 2.2.1092 initialized
10/28/10 13:47:48 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/28/10 13:47:49 [Note]: 7019 4
10/28/10 13:47:49 [Note]: 7005 0
10/28/10 13:47:49 [Error]: 6021 32
10/28/10 13:48:05 [Note]: 7006 0
10/28/10 13:48:05 [Note]: 7011 1000
10/28/10 13:48:05 [Note]: 7035 0
10/28/10 13:48:05 [Note]: 7026 0
10/28/10 13:48:05 [Note]: 7026 0
10/28/10 13:48:07 [Note]: FSRAW library version 1.7.1024
10/28/10 13:52:42 [Note]: 7007 0

mbr:
Windows 5.1.2600 Disk: ST3120023A rev.3.30 -> \Device\Ide\IdeDeviceP0T0L0-4
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Malwarebytes:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4966
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

28.10.2010 16:07:08
mbam-log-2010-10-28 (16-07-08).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 355967
Laufzeit: 1 Stunde(n), 30 Minute(n), 2 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
D:\System Volume Information\_restore{D61276B3-29BD-495B-A5D2-5F78E2F7C9C1}\RP331\A0070532.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

- yahoo search und dieser Gutscheinmieze eintrag sollen gar nicht genutzt werden.
- sagt jemandem das systemstart element E_SB1 etwas ? ist es schädlich ?

wäre top, wenn mir jemand kundig mit verständlichen worten oder einer to-do-list auf die sprünge helfen kann.
möglichst ohne xp komplett neu aufzuspielen, zumal das von der cd im moment auch gar nichts wird.
falls noch was gebraucht wird, ich stehe spalier.....
many many thx in advance
RAIN

Falls vorhanden bitte alle weiteren vorhandenen Logs von malwarebytes posten.

hallo Arne, hier meine beiden logdateien.
mittlerweile ist seit gestern noch ein anwendungsfehler hinzugekommen, der
hier alles einfriert, hauptsächlich können keine server im www erreicht werden.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4966
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13
27.10.2010 20:05:04
mbam-log-2010-10-27 (20-05-04).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 144524
Laufzeit: 6 Minute(n), 2 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\U36VRSFLG6 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\KOO9RV9K4Z (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\X3EKEPXJP2 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13
28.10.2010 12:38:42
mbam-log-2010-10-28 (12-38-42).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 144478
Laufzeit: 5 Minute(n), 25 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

ich mach grad noch mal einen scan und poste den auch nachher.

leider nichts neues hier:

01.11.2010 12:03:28
mbam-log-2010-11-01 (12-03-28).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 144494
Laufzeit: 7 Minute(n), 20 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Wieso fehlt hier das SP3 und der IE8?

Ich brauch auch OTL-Logs:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

hi...
leider wurden beim scan mit otl keine log dateien angezeigt.
wo sind sie denn zu finden ?

Auf dem Desktop bzw. da wo auch die OTL.exe liegt müssen die Logs sein.

hallo Arne,
ich hatte das icon in c gehabt.
hier die beiden dateien.

OTL:OTL Logfile:
--- --- ---

EXTRAS:OTL Logfile:
--- --- ---

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

hallo Arne, unten angeführt die Datei.
was soll denn mit dem ordner "moved files" passieren ?

leider zeigt sich immer noch die fehlermeldung ( auf das angegebene gerät kann nicht zugegriffen werden..."), wenn ich in der taskleiste auf
die windows sicherheitswarnungen klicke.

im taskmanager ist der systemordner jetzt auf 111.180 angewachsen.
hauptproblem ist, wenn ich jetzt noch den eBay turbolister öffne, dass dieser wohl infolge 100% kapazitätsauslastung seinen dienst verweigert. (speicherauslastung liegt da so bei 80.000 - 120.000 k) es wird nichts mehr geöffnet und er hängt sich auf.

irgendwie "arbeitet" der rechner im hintergrund ständig, der virus ist wohl noch aktiv.

Apropos...ich las grad', dass folgendes nicht gefunden wurde: "FiveDays.dat not found."
bei den anwendungsdaten etc. habe ich mit "xxx" immer, bevor ich den ersten ersten OLG-logfile postete, meinen namen ge-ixt (xxx), ich las in euren rules, das man das so machen sollte. war das in diesem fall falsch ???

grüße Ramon

All processes killed
========== OTL ==========
File not found.
G:\autorun.inf moved successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\\BootExecute:sasnative32 deleted successfully.
C:\WINDOWS\system32\sasnative32.exe moved successfully.
C:\32788R22FWJFW\License folder moved successfully.
C:\32788R22FWJFW\EN-US folder moved successfully.
C:\32788R22FWJFW folder moved successfully.
C:\WINDOWS\system32\CleanMFT32.exe moved successfully.
File C:\WINDOWS\System32\sasnative32.exe not found.
File C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\FiveDays.dat not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:D1B5B4F1 deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 111936 bytes
->Temporary Internet Files folder emptied: 111626 bytes
->Flash cache emptied: 56504 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56504 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes

User: Ramon Briceno
->Temp folder emptied: 293240362 bytes
->Temporary Internet Files folder emptied: 7388603 bytes
->FireFox cache emptied: 56934481 bytes
->Opera cache emptied: 444708559 bytes
->Flash cache emptied: 62854 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 551396835 bytes

Total Files Cleaned = 1.293,00 mb


OTL by OldTimer - Version 3.2.17.2 log created on 11062010_020709

Niemand hat geschrieben, dass da irgendwas mit gemacht werden soll, wie kommst du darauf? In manchen Fällen will ich nur den Quarantäneordner sehen.

Das Unkenntlichmachen ist natürlich nicht falsch, allerdings liegt es ja auch auch auf der Hand, dass du für solche Scriptingeinsätze den echten Namen da wieder eintragen musst, damit das Script für diesen Eintrag auch funktioniert (der Pfad mit "xxx" existiert auf deinem Rechner ja nicht) - ist jetzt aber egal.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

hallo Arne, den CC cleaner habe ich angewendet.

Combofix wurde nicht gestartet, es hing sich auf.

folg. meldung kam:
32788R22FWJFW\iexplore.exe
"auf das angegebene gerät...kann nicht zugegriffen werden...nicht ausreichende berechtugung..."

ab und an werden downloads auch abgebrochen bzw. die downloadgeschwindigkeit geht gegen null. da erscheint dann dies:

Windows - Fehler in Anwendung:
die anwendung konnte nicht initialisiert werden (0xc0000017).

grüße Rain

als problem ist auch noch hinzugekommen, dass der sich yahoo messi, der
einige probleme machte, sich nach einer deinstallation nicht mehr neu installieren lässt.

diese fehlermeldung kommt:

wieder fehlende zugriffsrechte, dann noch ein weiteres fenster:
FEHLER
Externes progamm ...\Temp\7527224\ymdc.exe
konnte nicht ausgeführt werden.

grüße

Ach herrje, hab übersehen, dass bei Dir AVG installiert ist. Um CF auszuführen, musst Du AVG vorübergehend deinstallieren. Hat CF nicht gemeckert, dass AVG installiert ist?

hallo Arne...

nein, Combofix hatte einen ladebalken gezeigt, der aber im letzten achtel stoppte.

eigentlich wollte ich Antivir wieder neu installieren, nachdem, wohl bedingt durch den virus, keine updates mehr durchführbar waren.
problem war nur, dass dieselbe fehlermeldung (fehlende zugriffsrechte) auch bei der neuinstallation von Antivir kam.

AVG war dann die alternative, da sich dies installieren ließ.

also soll ich AVG deinstallieren, CF drüberlaufen lassen und dann wieder AVG installieren ??

grüße

hi Arne...

Combofix konnte auch nach deinstallation von AVG und sich anschließendem
CC cleaner nicht gestartet werden.

fehlermeldung wie gestern.

greetz

Starte den Rechner neu und probier es mit einer neuen cofi.exe (neu runterladen)

hallo...auch hierbei wird CF nicht gestartet.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

hallo Arne...

GMER hat leider auch nicht im abgesicherten modus durchgehalten, es hing sich im system32 bei irgendeiner .dll datei auf oder es wurde gleich ein neustart gemacht.

OSAM spuckte folgendes aus:

OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

... und MRB...

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x0000003c

Kernel Drivers (total 131):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806ED000 \WINDOWS\system32\hal.dll
0xF7987000 \WINDOWS\system32\KDCOM.DLL
0xF7897000 \WINDOWS\system32\BOOTVID.dll
0xF75A7000 ACPI.sys
0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7596000 pci.sys
0xF75F7000 isapnp.sys
0xF7607000 ohci1394.sys
0xF7617000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF7A4F000 pciide.sys
0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7627000 MountMgr.sys
0xF74D7000 ftdisk.sys
0xF770F000 PartMgr.sys
0xF798B000 siside.sys
0xF7717000 pxscan.sys
0xF7637000 VolSnap.sys
0xF74BF000 atapi.sys
0xF7647000 disk.sys
0xF7657000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF74A0000 fltMgr.sys
0xF748E000 sr.sys
0xF7477000 KSecDD.sys
0xF7B52000 Ntfs.sys
0xF744A000 NDIS.sys
0xF789B000 sisperf.sys
0xF7667000 sisidex.sys
0xBA7E5000 Mup.sys
0xF7677000 gagp30kx.sys
0xF771F000 avgrkx86.sys
0xF7687000 AVGIDSEH.Sys
0xBA745000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB9976000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB9962000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF76B7000 \SystemRoot\System32\drivers\pivot.sys
0xB9EA6000 \SystemRoot\system32\DRIVERS\imapi.sys
0xB9E96000 \SystemRoot\system32\drivers\NeroCd2k.sys
0xB9E86000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xB9E76000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB96B1000 \SystemRoot\system32\DRIVERS\ks.sys
0xBA71D000 \SystemRoot\System32\drivers\GEARAspiWDM.sys
0xB95CD000 \SystemRoot\system32\drivers\ALCXWDM.SYS
0xB95A9000 \SystemRoot\system32\drivers\portcls.sys
0xB9E66000 \SystemRoot\system32\drivers\drmk.sys
0xF77F7000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xB9586000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF77FF000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7807000 \SystemRoot\system32\DRIVERS\sisnic.sys
0xF780F000 \SystemRoot\system32\DRIVERS\fdc.sys
0xB9575000 \SystemRoot\system32\DRIVERS\serial.sys
0xBA711000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB9561000 \SystemRoot\system32\DRIVERS\parport.sys
0xBA70D000 \SystemRoot\system32\DRIVERS\gameenum.sys
0xB9DCE000 \SystemRoot\system32\drivers\msmpu401.sys
0xB9DCD000 \SystemRoot\system32\DRIVERS\audstub.sys
0xB9E56000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xBA709000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB954A000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xB9E46000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xB9E36000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7817000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB9539000 \SystemRoot\system32\DRIVERS\psched.sys
0xB9E26000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF781F000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7737000 \SystemRoot\system32\DRIVERS\raspti.sys
0xBA6F9000 \SystemRoot\System32\Drivers\PdiPorts.sys
0xB9E16000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF773F000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7747000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF79A1000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB9505000 \SystemRoot\system32\DRIVERS\update.sys
0xBA6F5000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF76C7000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF76D7000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF79A3000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF76F7000 \SystemRoot\system32\DRIVERS\avgmfx86.sys
0xB8304000 \SystemRoot\System32\drivers\pxrts.sys
0xF79A5000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7A5A000 \SystemRoot\System32\Drivers\Null.SYS
0xF79A7000 \SystemRoot\System32\Drivers\Beep.SYS
0xF775F000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF79A9000 \SystemRoot\System32\DRIVERS\msikbd2k.sys
0xF7767000 \SystemRoot\System32\drivers\vga.sys
0xF79AB000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79AD000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF776F000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7777000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7923000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB8259000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB8201000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB81B9000 \SystemRoot\system32\DRIVERS\avgtdix.sys
0xB8198000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF7576000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB8170000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB814E000 \SystemRoot\System32\drivers\afd.sys
0xF7566000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB8122000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF792F000 \SystemRoot\system32\ckldrv.sys
0xB80B3000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF7556000 \SystemRoot\System32\Drivers\Fips.SYS
0xB7FC9000 \SystemRoot\system32\DRIVERS\avgldx86.sys
0xF778F000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xF793F000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF7546000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF7943000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF7947000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xF7797000 \SystemRoot\System32\drivers\pxkbf.sys
0xF7536000 \SystemRoot\system32\drivers\usbaudio.sys
0xF7516000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB7F1B000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF79BD000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF77AF000 \SystemRoot\System32\watchdog.sys
0xB83D9000 \SystemRoot\System32\drivers\Dxapi.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7A6F000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB760F000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB6AE6000 \SystemRoot\system32\drivers\wdmaud.sys
0xB76EB000 \SystemRoot\system32\drivers\sysaudio.sys
0xF79F1000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB67D8000 \SystemRoot\System32\Drivers\adfs.SYS
0xB6C23000 \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys
0xB675D000 \SystemRoot\system32\DRIVERS\srv.sys
0xB75BB000 \SystemRoot\system32\DRIVERS\AVGIDSFilter.Sys
0xB6609000 \SystemRoot\system32\DRIVERS\AVGIDSDriver.Sys
0xB62D0000 \SystemRoot\System32\Drivers\HTTP.sys
0xB43C0000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 27):
0 System Idle Process
4 System
804 C:\WINDOWS\system32\smss.exe
1052 csrss.exe
1076 C:\WINDOWS\system32\winlogon.exe
1148 C:\WINDOWS\system32\services.exe
1168 C:\WINDOWS\system32\lsass.exe
1316 C:\WINDOWS\system32\svchost.exe
1384 svchost.exe
1472 C:\WINDOWS\system32\svchost.exe
1548 svchost.exe
1652 svchost.exe
1892 C:\WINDOWS\system32\spoolsv.exe
2020 C:\WINDOWS\explorer.exe
184 C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
188 C:\WINDOWS\system32\rundll32.exe
220 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
308 C:\Programme\AVG\AVG10\avgtray.exe
388 C:\WINDOWS\system32\ctfmon.exe
1600 C:\Programme\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSMonitor.exe
1736 C:\Programme\AVG\AVG10\avgwdsvc.exe
1988 C:\WINDOWS\system32\nvsvc32.exe
500 C:\WINDOWS\system32\svchost.exe
2396 alg.exe
2564 C:\WINDOWS\system32\wscntfy.exe
3016 C:\WINDOWS\system32\svchost.exe
2692 C:\Dokumente und Einstellungen\x\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: ST3120023A, Rev: 3.30
PhysicalDrive1 Model Number: Maxtor6L080P0, Rev: BAJ41G20

Size Device Name MBR Status
--------------------------------------------
111 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
76 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

grüße Ramon

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

hallo Arne, hier erst mal folgendes....


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5099
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13
12.11.2010 15:38:08
mbam-log-2010-11-12 (15-38-08).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 145925
Laufzeit: 5 Minute(n), 10 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:

Du solltest einen Vollscan machen!

hallo Arne...
ich kann das log von Superantispyware nicht öffnen oder die einzelnen.
was nun ?
41 gefundene objekte stecken in der quarantäne.

grüße

hallo Arne...

zu allem übel kam gestern beim scan mit Superantispyware
noch folgende fehlermeldung:

"Generic Host Process for Win32 Services hat ein
Problem fetgestellt und muss beendet werden."

damit fliege ich nach ca. 5-10 minuten nun ständig aus dem netz.
das problem hatte ich vor 2 jahren schon einmal.
ist das wieder dieser Sasser virus ?

mir wird aber mitgeteilt, dass das servicepack 2 installiert ist.
außerdem ist AVG aktiv.

die XP firewall kann z. zt. nicht aktiviert werden.

greetz Ramon

hallo Arne...

so, hier noch mal der komplette Malwarebytes scan.

im task manager habe ich hier aalein 7 svchost.exe dateien
am laufen, 4 unter SYSTEM, 1 Lokaler Dienst, 2 Netzwerkdienst.
die systemdatei im taskmanager hat mit 110.756 immer noch mit weitem abstand die höchste auslastung.
ist das so alles korrekt ?

soll ich die gefundenen malware dateien, die Superantispyware festgestellt hat, deleten ? die befinden sich im quarantäne ordner.
wie schon erwähnt, kann ich leider keine log-datei öffnen.

dabei handelt es sich um 21 Adware Tracking Cookies aus Dokumente und Einstellungen; 3 Bear Share file sharing Client dateien (das programm
wurde deinstalliert); sowie 1 Trojan Agent/Gen Fake AV im Pfad:
C\programme\winrar\default.sfx

soll Superantispyware wieder gelöscht werden ?

grüße Ramon


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 5108
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13
13.11.2010 22:15:37
mbam-log-2010-11-13 (22-15-37).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 272615
Laufzeit: 1 Stunde(n), 18 Minute(n), 58 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
D:\System Volume Information\_restore{F1C33BF3-5849-4746-8779-C24000EFC0B5}\RP619\A0132270.exe (BadJoke.KillFiles) -> No action taken.

Ja, mehrere laufende svchost sind normal. Das ist ein spezieller Systemdienst in Windows, der bestimmte Dienste für Programme oder auch anderen Diensten zur Verfügung stllt, man kann sich svchost als "Hüllenprozess" vorstellen!

Kachelt der Genric Host Process immer noch ständig ab?

hallo Arne,

ah ja, ich dachte da wären zu viele svchosts im spiel.

im moment gibt der Generic Host ruhe.
ich dachte, es wäre wieder dieser Sasser wurm, aber "Stinger" zeigte nichts an.

soll denn, wie in der anleitung steht, die Superantispyware deinstalliert werden ?

leider kann ich den yahoo messenger immer noch nicht installieren, mir werden da wieder die nötigen rechte verweigert.

mein pc arbeitet recht langsam und irgendwas läuft ständig im hintergrnd ab.
hab das gefühl, er ist immer noch befallen.

grüße

Ramon

Mach mal bitte ein Log mit dem TDSS-Killer => http://www.trojaner-board.de/82358-t...entfernen.html

hallo Arne...

ich hab heute noch mal Counterspy trial im abgesicherten modus drüberlaufen lassen, wobei der sich am anfang immer wieder aufgehängt hat, trotzdem
fast nichts geöffnet war, kein online betrieb... CPU auslastung bei 100%.
am ende hat er doch den install wizard abgeschlossen und es konnte gescannt werden. auch hier keine funde, aber 22 scan errors.

die meisten betrafen das windows\system32\config\ und da dann default, SAM, security, software und system.

einige auch:
Dokumente und Einstellungen\Administrator\Lokale Einstellungen\
Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Dokumente und Einstellungen\administrator\Lokale Einstellungen\
Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG

Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\
Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\
Anwendungsdaten\Microsoft\Windows\UsrClass.dat

habe nur einen screenshot davon.

wie schon geschrieben lässt sich weder der yahoo messenger, noch Antivir installieren und, was wichtiger ist, hängt sich der eBay Turbolister immer wieder auf, wenn es darum geht, direkt ein angebot zu öffnen (CPU auch hier bei 100%).

und irgendetwas "arbeitet immer ständig leise im hintergrund", was bei mir bisher immer ein zeichen für virusbefall war.

das von dir vorgeschlagene tool werde ich morgen testen.

grüße Ramon

hallo Arne .. hier einmal der log:

2010/11/16 13:12:46.0125 TDSS rootkit removing tool 2.4.7.1 Nov 16 2010 08:18:13
2010/11/16 13:12:46.0125 ================================================================================
2010/11/16 13:12:46.0125 SystemInfo:
2010/11/16 13:12:46.0125
2010/11/16 13:12:46.0125 OS Version: 5.1.2600 ServicePack: 2.0
2010/11/16 13:12:46.0125 Product type: Workstation
2010/11/16 13:12:46.0125 ComputerName:
2010/11/16 13:12:46.0125 UserName:
2010/11/16 13:12:46.0125 Windows directory: C:\WINDOWS
2010/11/16 13:12:46.0125 System windows directory: C:\WINDOWS
2010/11/16 13:12:46.0125 Processor architecture: Intel x86
2010/11/16 13:12:46.0125 Number of processors: 1
2010/11/16 13:12:46.0125 Page size: 0x1000
2010/11/16 13:12:46.0125 Boot type: Normal boot
2010/11/16 13:12:46.0125 ================================================================================
2010/11/16 13:12:46.0500 Initialize success
2010/11/16 13:12:55.0671 ================================================================================
2010/11/16 13:12:55.0671 Scan started
2010/11/16 13:12:55.0671 Mode: Manual;
2010/11/16 13:12:55.0671 ================================================================================
2010/11/16 13:12:57.0015 ACPI (94b4741d2cf9ed38140b831293d1601a) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2010/11/16 13:12:57.0296 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2010/11/16 13:12:58.0031 aec (841f385c6cfaf66b58fbd898722bb4f0) C:\WINDOWS\system32\drivers\aec.sys
2010/11/16 13:12:58.0312 AFD (55e6e1c51b6d30e54335750955453702) C:\WINDOWS\System32\drivers\afd.sys
2010/11/16 13:12:59.0312 ALCXWDM (65200a479381b5aa80b527f962574d92) C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2010/11/16 13:13:00.0078 Arp1394 (f0d692b0bffb46e30eb3cea168bbc49f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2010/11/16 13:13:01.0000 AsyncMac (02000abf34af4c218c35d257024807d6) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2010/11/16 13:13:01.0281 atapi (cdfe4411a69c224bd1d11b2da92dac51) C:\WINDOWS\system32\DRIVERS\atapi.sys
2010/11/16 13:13:01.0765 Atmarpc (ec88da854ab7d7752ec8be11a741bb7f) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2010/11/16 13:13:02.0031 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2010/11/16 13:13:02.0328 AVGIDSDriver (0c61f066f4d94bd67063dc6691935143) C:\WINDOWS\system32\DRIVERS\AVGIDSDriver.Sys
2010/11/16 13:13:02.0593 AVGIDSEH (84853f800cd69252c3c764fe50d0346f) C:\WINDOWS\system32\DRIVERS\AVGIDSEH.Sys
2010/11/16 13:13:02.0859 AVGIDSFilter (28d6adcd03e10f3838488b9b5d407dd4) C:\WINDOWS\system32\DRIVERS\AVGIDSFilter.Sys
2010/11/16 13:13:03.0109 AVGIDSShim (0eb16f4dbbb946360af30d2b13a52d1d) C:\WINDOWS\system32\DRIVERS\AVGIDSShim.Sys
2010/11/16 13:13:03.0390 Avgldx86 (1119e5bec6e749e0d292f0f84d48edba) C:\WINDOWS\system32\DRIVERS\avgldx86.sys
2010/11/16 13:13:03.0703 Avgmfx86 (54f1a9b4c9b540c2d8ac4baa171696b1) C:\WINDOWS\system32\DRIVERS\avgmfx86.sys
2010/11/16 13:13:03.0968 Avgrkx86 (8da3b77993c5f354cc2977b7ea06d03a) C:\WINDOWS\system32\DRIVERS\avgrkx86.sys
2010/11/16 13:13:04.0234 Avgtdix (2fd3e3a57fb90679a3a83eeed0360cfd) C:\WINDOWS\system32\DRIVERS\avgtdix.sys
2010/11/16 13:13:04.0406 BCASPROT (794ce0f2d1fd719b9cd8cb1f1f4402fd) C:\Programme\Systweak\Advanced System Protector\sasprot32.sys
2010/11/16 13:13:04.0687 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2010/11/16 13:13:04.0953 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2010/11/16 13:13:05.0250 CCDECODE (6163ed60b684bab19d3352ab22fc48b2) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2010/11/16 13:13:05.0734 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2010/11/16 13:13:05.0984 Cdfs (cd7d5152df32b47f4e36f710b35aae02) C:\WINDOWS\system32\drivers\Cdfs.sys
2010/11/16 13:13:06.0234 Cdrom (af9c19b3100fe010496b1a27181fbf72) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2010/11/16 13:13:07.0750 Disk (00ca44e4534865f8a3b64f7c0984bff0) C:\WINDOWS\system32\DRIVERS\disk.sys
2010/11/16 13:13:08.0046 dmboot (5789b83ba87fc84c3568cf86cacef8ce) C:\WINDOWS\system32\drivers\dmboot.sys
2010/11/16 13:13:08.0343 dmio (084eb0a50a4f7b4705c8a57f234e5291) C:\WINDOWS\system32\drivers\dmio.sys
2010/11/16 13:13:08.0625 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2010/11/16 13:13:08.0890 DMusic (a6f881284ac1150e37d9ae47ff601267) C:\WINDOWS\system32\drivers\DMusic.sys
2010/11/16 13:13:09.0375 drmkaud (1ed4dbbae9f5d558dbba4cc450e3eb2e) C:\WINDOWS\system32\drivers\drmkaud.sys
2010/11/16 13:13:09.0671 DwProt (28cd50265b55f5f8b4432450d021446e) C:\WINDOWS\system32\drivers\dwprot.sys
2010/11/16 13:13:09.0671 Suspicious file (Forged): C:\WINDOWS\system32\drivers\dwprot.sys. Real md5: 28cd50265b55f5f8b4432450d021446e, Fake md5: 19611ff463648d4db9e99121ba6cba12
2010/11/16 13:13:09.0687 DwProt - detected Forged file (1)
2010/11/16 13:13:09.0984 Fastfat (3117f595e9615e04f05a54fc15a03b20) C:\WINDOWS\system32\drivers\Fastfat.sys
2010/11/16 13:13:10.0250 Fdc (ced2e8396a8838e59d8fd529c680e02c) C:\WINDOWS\system32\DRIVERS\fdc.sys
2010/11/16 13:13:10.0578 Fips (9e9af89f9b14aa6249065c309ce73bd8) C:\WINDOWS\system32\drivers\Fips.sys
2010/11/16 13:13:10.0843 Flpydisk (0dd1de43115b93f4d85e889d7a86f548) C:\WINDOWS\system32\drivers\Flpydisk.sys
2010/11/16 13:13:11.0078 FltMgr (157754f0df355a9e0a6f54721914f9c6) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
2010/11/16 13:13:11.0343 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2010/11/16 13:13:11.0640 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2010/11/16 13:13:11.0890 gagp30kx (4216cd545e5c30807b560c5dcaa812e6) C:\WINDOWS\system32\DRIVERS\gagp30kx.sys
2010/11/16 13:13:12.0140 gameenum (5f92fd09e5610a5995da7d775eadcd12) C:\WINDOWS\system32\DRIVERS\gameenum.sys
2010/11/16 13:13:12.0375 GearAspiWDM (5dc17164f66380cbfefd895c18467773) C:\WINDOWS\system32\drivers\GEARAspiWDM.sys
2010/11/16 13:13:12.0671 Gpc (c0f1d4a21de5a415df8170616703debf) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2010/11/16 13:13:12.0953 hidusb (1de6783b918f540149aa69943bdfeba8) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2010/11/16 13:13:13.0468 HTTP (c19b522a9ae0bbc3293397f3055e80a1) C:\WINDOWS\system32\Drivers\HTTP.sys
2010/11/16 13:13:14.0359 i8042prt (7c575018d0413440d75432a78b88c899) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2010/11/16 13:13:14.0640 Imapi (f8aa320c6a0409c0380e5d8a99d76ec6) C:\WINDOWS\system32\DRIVERS\imapi.sys
2010/11/16 13:13:15.0453 intelppm (c1c2cc1da79c5ee10457ef0a3b8568c7) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2010/11/16 13:13:15.0734 Ip6Fw (4448006b6bc60e6c027932cfc38d6855) C:\WINDOWS\system32\drivers\ip6fw.sys
2010/11/16 13:13:16.0015 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2010/11/16 13:13:16.0281 IpInIp (e1ec7f5da720b640cd8fb8424f1b14bb) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2010/11/16 13:13:16.0593 IpNat (b5a8e215ac29d24d60b4d1250ef05ace) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2010/11/16 13:13:16.0875 IPSec (64537aa5c003a6afeee1df819062d0d1) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2010/11/16 13:13:17.0156 IRENUM (50708daa1b1cbb7d6ac1cf8f56a24410) C:\WINDOWS\system32\DRIVERS\irenum.sys
2010/11/16 13:13:17.0437 isapnp (ce9b7afdf0a3d7dd8d1487262316b959) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2010/11/16 13:13:17.0734 Kbdclass (b128fc0a5cd83f669d5de4b58f77c7d6) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2010/11/16 13:13:18.0000 kbdhid (7ec877aa899323b92874fe62c7ddcde7) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2010/11/16 13:13:18.0265 kmixer (d93cad07c5683db066b0b2d2d3790ead) C:\WINDOWS\system32\drivers\kmixer.sys
2010/11/16 13:13:18.0531 KSecDD (674d3e5a593475915dc6643317192403) C:\WINDOWS\system32\drivers\KSecDD.sys
2010/11/16 13:13:19.0093 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2010/11/16 13:13:19.0375 Modem (91a3da4b12f6f1d760463a7f7857f748) C:\WINDOWS\system32\drivers\Modem.sys
2010/11/16 13:13:19.0640 Mouclass (71e15ca47fd947552054afb28536268f) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2010/11/16 13:13:19.0921 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2010/11/16 13:13:20.0171 MountMgr (65653f3b4477f3c63e68a9659f85ee2e) C:\WINDOWS\system32\drivers\MountMgr.sys
2010/11/16 13:13:20.0687 MRxDAV (46edcc8f2db2f322c24f48785cb46366) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2010/11/16 13:13:21.0000 MRxSmb (fb6c89bb3ce282b08bdb1e3c179e1c39) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2010/11/16 13:13:21.0296 Msfs (561b3a4333ca2dbdba28b5b956822519) C:\WINDOWS\system32\drivers\Msfs.sys
2010/11/16 13:13:21.0609 msikbd2k (9b99b04c28ccd19741dbbed64480195c) C:\WINDOWS\system32\DRIVERS\msikbd2k.sys
2010/11/16 13:13:21.0843 MSKSSRV (ae431a8dd3c1d0d0610cdbac16057ad0) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2010/11/16 13:13:22.0093 MSPCLOCK (13e75fef9dfeb08eeded9d0246e1f448) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2010/11/16 13:13:22.0343 MSPQM (1988a33ff19242576c3d0ef9ce785da7) C:\WINDOWS\system32\drivers\MSPQM.sys
2010/11/16 13:13:22.0656 mssmbios (469541f8bfd2b32659d5d463a6714bce) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2010/11/16 13:13:22.0953 MSTEE (bf13612142995096ab084f2db7f40f77) C:\WINDOWS\system32\drivers\MSTEE.sys
2010/11/16 13:13:23.0203 ms_mpu401 (ca3e22598f411199adc2dfee76cd0ae0) C:\WINDOWS\system32\drivers\msmpu401.sys
2010/11/16 13:13:23.0500 Mup (82035e0f41c2dd05ae41d27fe6cf7de1) C:\WINDOWS\system32\drivers\Mup.sys
2010/11/16 13:13:23.0781 NABTSFEC (5c8dc6429c43dc6177c1fa5b76290d1a) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2010/11/16 13:13:24.0046 NDIS (558635d3af1c7546d26067d5d9b6959e) C:\WINDOWS\system32\drivers\NDIS.sys
2010/11/16 13:13:24.0375 NdisIP (520ce427a8b298f54112857bcf6bde15) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2010/11/16 13:13:24.0656 NdisTapi (08d43bbdacdf23f34d79e44ed35c1b4c) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2010/11/16 13:13:24.0906 Ndisuio (34d6cd56409da9a7ed573e1c90a308bf) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2010/11/16 13:13:25.0171 NdisWan (0b90e255a9490166ab368cd55a529893) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2010/11/16 13:13:25.0437 NDProxy (59fc3fb44d2669bc144fd87826bb571f) C:\WINDOWS\system32\drivers\NDProxy.sys
2010/11/16 13:13:25.0750 NeroCd2k (58b29812b8d23501d15d85dd72eacb34) C:\WINDOWS\system32\drivers\NeroCd2k.sys
2010/11/16 13:13:25.0984 NetBIOS (3a2aca8fc1d7786902ca434998d7ceb4) C:\WINDOWS\system32\DRIVERS\netbios.sys
2010/11/16 13:13:26.0250 NetBT (0c80e410cd2f47134407ee7dd19cc86b) C:\WINDOWS\system32\DRIVERS\netbt.sys
2010/11/16 13:13:26.0593 NetworkX (f71eaba9bcb23cefb2db1504fe442aee) C:\WINDOWS\system32\ckldrv.sys
2010/11/16 13:13:26.0906 NIC1394 (5c5c53db4fef16cf87b9911c7e8c6fbc) C:\WINDOWS\system32\DRIVERS\nic1394.sys
2010/11/16 13:13:27.0171 Npfs (4f601bcb8f64ea3ac0994f98fed03f8e) C:\WINDOWS\system32\drivers\Npfs.sys
2010/11/16 13:13:27.0484 Ntfs (b78be402c3f63dd55521f73876951cdd) C:\WINDOWS\system32\drivers\Ntfs.sys
2010/11/16 13:13:27.0796 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2010/11/16 13:13:28.0265 nv (ba1b732c1a70cfea0c1b64f2850bf44f) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2010/11/16 13:13:28.0750 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2010/11/16 13:13:28.0984 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2010/11/16 13:13:29.0218 ohci1394 (0951db8e5823ea366b0e408d71e1ba2a) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2010/11/16 13:13:29.0546 Parport (b2f17a2edb5450e61973a037f63a595b) C:\WINDOWS\system32\DRIVERS\parport.sys
2010/11/16 13:13:29.0828 PartMgr (3334430c29dc338092f79c38ef7b4cd0) C:\WINDOWS\system32\drivers\PartMgr.sys
2010/11/16 13:13:30.0078 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2010/11/16 13:13:30.0343 PCI (6fb463e5b243fbd6f3d3c83f914d94fb) C:\WINDOWS\system32\DRIVERS\pci.sys
2010/11/16 13:13:30.0921 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2010/11/16 13:13:31.0187 Pcmcia (e2363f4c1daff89abee5f593e13d8a05) C:\WINDOWS\system32\drivers\Pcmcia.sys
2010/11/16 13:13:31.0968 PdiPorts (18ed1d71fef6f71d38c24263500bbd01) C:\WINDOWS\system32\Drivers\PdiPorts.sys
2010/11/16 13:13:33.0171 Pivot (943f840611d33832308ec5310b616b57) C:\WINDOWS\system32\drivers\pivot.sys
2010/11/16 13:13:33.0453 pivotmou (998c58295288eedfbfe95e7f6cc94df4) C:\WINDOWS\system32\drivers\pivotmou.sys
2010/11/16 13:13:33.0718 PptpMiniport (1c5cc65aac0783c344f16353e60b72ac) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2010/11/16 13:13:33.0984 PSched (48671f327553dcf1d27f6197f622a668) C:\WINDOWS\system32\DRIVERS\psched.sys
2010/11/16 13:13:34.0218 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2010/11/16 13:13:34.0484 pxkbf (dabf37e384a1f3d9a306612391f5cfad) C:\WINDOWS\system32\drivers\pxkbf.sys
2010/11/16 13:13:34.0750 pxrts (8158dca4ac06c95110178524ac07cca4) C:\WINDOWS\system32\drivers\pxrts.sys
2010/11/16 13:13:35.0015 pxscan (cf1952b4ac44cb05b263dc055c6e8da3) C:\WINDOWS\system32\drivers\pxscan.sys
2010/11/16 13:13:36.0421 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2010/11/16 13:13:36.0703 Rasl2tp (98faeb4a4dcf812ba1c6fca4aa3e115c) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2010/11/16 13:13:36.0968 RasPppoe (7306eeed8895454cbed4669be9f79faa) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2010/11/16 13:13:37.0234 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2010/11/16 13:13:37.0515 Rdbss (29d66245adba878fff574cd66abd2884) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2010/11/16 13:13:37.0781 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2010/11/16 13:13:38.0046 RDPWD (d4f5643d7714ef499ae9527fdcd50894) C:\WINDOWS\system32\drivers\RDPWD.sys
2010/11/16 13:13:38.0328 redbook (aa56702e230860565cb8d43680f57f33) C:\WINDOWS\system32\DRIVERS\redbook.sys
2010/11/16 13:13:38.0656 Secdrv (d26e26ea516450af9d072635c60387f4) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2010/11/16 13:13:38.0953 serenum (a2d868aeeff612e70e213c451a70cafb) C:\WINDOWS\system32\DRIVERS\serenum.sys
2010/11/16 13:13:39.0218 Serial (cd5b9995afcdb466c9efc048d167e3be) C:\WINDOWS\system32\DRIVERS\serial.sys
2010/11/16 13:13:39.0500 Sfloppy (0d13b6df6e9e101013a7afb0ce629fe0) C:\WINDOWS\system32\drivers\Sfloppy.sys
2010/11/16 13:13:40.0062 SiSide (982fd755516012bfd582ef20c6a123ff) C:\WINDOWS\system32\DRIVERS\siside.sys
2010/11/16 13:13:40.0328 sisidex (5aed8bf3bf7df795d70146d4af4a2580) C:\WINDOWS\system32\drivers\sisidex.sys
2010/11/16 13:13:40.0578 SISNIC (b0a33495fa3c31a96941d37258912bda) C:\WINDOWS\system32\DRIVERS\sisnic.sys
2010/11/16 13:13:40.0843 sisperf (596d4a7052002d2bd344d8937da6f66d) C:\WINDOWS\system32\drivers\sisperf.sys
2010/11/16 13:13:41.0078 SLIP (5caeed86821fa2c6139e32e9e05ccdc9) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2010/11/16 13:13:41.0609 splitter (8e186b8f23295d1e42c573b82b80d548) C:\WINDOWS\system32\drivers\splitter.sys
2010/11/16 13:13:41.0875 sr (e4200cb2f418d8fc4acdd7e38c419d6a) C:\WINDOWS\system32\DRIVERS\sr.sys
2010/11/16 13:13:42.0156 Srv (7a4f147cc6b133f905f6e65e2f8669fb) C:\WINDOWS\system32\DRIVERS\srv.sys
2010/11/16 13:13:42.0468 streamip (284c57df5dc7abca656bc2b96a667afb) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2010/11/16 13:13:42.0718 swenum (03c1bae4766e2450219d20b993d6e046) C:\WINDOWS\system32\DRIVERS\swenum.sys
2010/11/16 13:13:43.0000 swmidi (94abc808fc4b6d7d2bbf42b85e25bb4d) C:\WINDOWS\system32\drivers\swmidi.sys
2010/11/16 13:13:44.0187 sysaudio (650ad082d46bac0e64c9c0e0928492fd) C:\WINDOWS\system32\drivers\sysaudio.sys
2010/11/16 13:13:44.0453 Tcpip (2a5554fc5b1e04e131230e3ce035c3f9) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2010/11/16 13:13:44.0718 TDPIPE (38d437cf2d98965f239b0abcd66dcb0f) C:\WINDOWS\system32\drivers\TDPIPE.sys
2010/11/16 13:13:44.0968 TDTCP (ed0580af02502d00ad8c4c066b156be9) C:\WINDOWS\system32\drivers\TDTCP.sys
2010/11/16 13:13:45.0250 TermDD (a540a99c281d933f3d69d55e48727f47) C:\WINDOWS\system32\DRIVERS\termdd.sys
2010/11/16 13:13:45.0625 TuneUpUtilitiesDrv (f2107c9d85ec0df116939ccce06ae697) C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys
2010/11/16 13:13:45.0890 Udfs (12f70256f140cd7d52c58c7048fde657) C:\WINDOWS\system32\drivers\Udfs.sys
2010/11/16 13:13:46.0406 Update (aff2e5045961bbc0a602bb6f95eb1345) C:\WINDOWS\system32\DRIVERS\update.sys
2010/11/16 13:13:46.0750 usbaudio (45a0d14b26c35497ad93bce7e15c9941) C:\WINDOWS\system32\drivers\usbaudio.sys
2010/11/16 13:13:47.0031 usbccgp (bffd9f120cc63bcbaa3d840f3eef9f79) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2010/11/16 13:13:47.0312 usbehci (15e993ba2f6946b2bfbbfcd30398621e) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2010/11/16 13:13:47.0562 usbhub (c72f40947f92cea56a8fb532edf025f1) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2010/11/16 13:13:47.0828 usbohci (bdfe799a8531bad8a5a985821fe78760) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2010/11/16 13:13:48.0125 usbprint (a42369b7cd8886cd7c70f33da6fcbcf5) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2010/11/16 13:13:48.0390 usbscan (a6bc71402f4f7dd5b77fd7f4a8ddba85) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2010/11/16 13:13:48.0671 USBSTOR (6cd7b22193718f1d17a47a1cd6d37e75) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2010/11/16 13:13:48.0984 VgaSave (8a60edd72b4ea5aea8202daf0e427925) C:\WINDOWS\System32\drivers\vga.sys
2010/11/16 13:13:49.0484 VolSnap (d6888520ff56d72a50437e371ca25fc9) C:\WINDOWS\system32\drivers\VolSnap.sys
2010/11/16 13:13:49.0781 vulfnths (c0f55cc0903cfdc819f6d857402b697c) C:\WINDOWS\System32\Drivers\vulfnth.sys
2010/11/16 13:13:50.0031 vulfntrs (545d98a7f61af1c7c4ad38b8f333e0b7) C:\WINDOWS\System32\Drivers\vulfntr.sys
2010/11/16 13:13:50.0312 Wanarp (984ef0b9788abf89974cfed4bfbaacbc) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2010/11/16 13:13:50.0812 wdmaud (2797f33ebf50466020c430ee4f037933) C:\WINDOWS\system32\drivers\wdmaud.sys
2010/11/16 13:13:51.0187 WSTCODEC (d5842484f05e12121c511aa93f6439ec) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2010/11/16 13:13:51.0515 ================================================================================
2010/11/16 13:13:51.0515 Scan finished
2010/11/16 13:13:51.0515 ================================================================================
2010/11/16 13:13:51.0546 Detected object count: 1
2010/11/16 13:15:20.0437 Forged file(DwProt) - User select action: Skip
2010/11/16 13:16:16.0984 Deinitialize success


grüße Ramon

Kannst du den einen Fund nicht mit dem Tool fixen? Probier das mal bitte.

so, ich habe den fund nach der skip aktivierung deleted, hoofe das war korrekt.

2010/11/16 16:35:52.0562 TDSS rootkit removing tool 2.4.7.1 Nov 16 2010 08:18:13
2010/11/16 16:35:52.0562 ================================================================================
2010/11/16 16:35:52.0562 SystemInfo:
2010/11/16 16:35:52.0562
2010/11/16 16:35:52.0562 OS Version: 5.1.2600 ServicePack: 2.0
2010/11/16 16:35:52.0562 Product type: Workstation
2010/11/16 16:35:52.0562 ComputerName: RAMON-AA9052B93
2010/11/16 16:35:52.0562 UserName: Ramon Briceno
2010/11/16 16:35:52.0562 Windows directory: C:\WINDOWS
2010/11/16 16:35:52.0562 System windows directory: C:\WINDOWS
2010/11/16 16:35:52.0562 Processor architecture: Intel x86
2010/11/16 16:35:52.0562 Number of processors: 1
2010/11/16 16:35:52.0562 Page size: 0x1000
2010/11/16 16:35:52.0562 Boot type: Normal boot
2010/11/16 16:35:52.0562 ================================================================================
2010/11/16 16:35:52.0781 Initialize success
2010/11/16 16:35:56.0343 ================================================================================
2010/11/16 16:35:56.0343 Scan started
2010/11/16 16:35:56.0343 Mode: Manual;
2010/11/16 16:35:56.0343 ================================================================================
2010/11/16 16:35:57.0390 ACPI (94b4741d2cf9ed38140b831293d1601a) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2010/11/16 16:35:57.0656 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2010/11/16 16:35:58.0328 aec (841f385c6cfaf66b58fbd898722bb4f0) C:\WINDOWS\system32\drivers\aec.sys
2010/11/16 16:35:58.0609 AFD (55e6e1c51b6d30e54335750955453702) C:\WINDOWS\System32\drivers\afd.sys
2010/11/16 16:35:59.0578 ALCXWDM (65200a479381b5aa80b527f962574d92) C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2010/11/16 16:36:00.0296 Arp1394 (f0d692b0bffb46e30eb3cea168bbc49f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2010/11/16 16:36:01.0250 AsyncMac (02000abf34af4c218c35d257024807d6) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2010/11/16 16:36:01.0500 atapi (cdfe4411a69c224bd1d11b2da92dac51) C:\WINDOWS\system32\DRIVERS\atapi.sys
2010/11/16 16:36:01.0937 Atmarpc (ec88da854ab7d7752ec8be11a741bb7f) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2010/11/16 16:36:02.0203 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2010/11/16 16:36:02.0515 AVGIDSDriver (0c61f066f4d94bd67063dc6691935143) C:\WINDOWS\system32\DRIVERS\AVGIDSDriver.Sys
2010/11/16 16:36:02.0812 AVGIDSEH (84853f800cd69252c3c764fe50d0346f) C:\WINDOWS\system32\DRIVERS\AVGIDSEH.Sys
2010/11/16 16:36:03.0062 AVGIDSFilter (28d6adcd03e10f3838488b9b5d407dd4) C:\WINDOWS\system32\DRIVERS\AVGIDSFilter.Sys
2010/11/16 16:36:03.0312 AVGIDSShim (0eb16f4dbbb946360af30d2b13a52d1d) C:\WINDOWS\system32\DRIVERS\AVGIDSShim.Sys
2010/11/16 16:36:03.0562 Avgldx86 (1119e5bec6e749e0d292f0f84d48edba) C:\WINDOWS\system32\DRIVERS\avgldx86.sys
2010/11/16 16:36:03.0828 Avgmfx86 (54f1a9b4c9b540c2d8ac4baa171696b1) C:\WINDOWS\system32\DRIVERS\avgmfx86.sys
2010/11/16 16:36:04.0078 Avgrkx86 (8da3b77993c5f354cc2977b7ea06d03a) C:\WINDOWS\system32\DRIVERS\avgrkx86.sys
2010/11/16 16:36:04.0328 Avgtdix (2fd3e3a57fb90679a3a83eeed0360cfd) C:\WINDOWS\system32\DRIVERS\avgtdix.sys
2010/11/16 16:36:04.0500 BCASPROT (794ce0f2d1fd719b9cd8cb1f1f4402fd) C:\Programme\Systweak\Advanced System Protector\sasprot32.sys
2010/11/16 16:36:04.0765 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2010/11/16 16:36:05.0031 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2010/11/16 16:36:05.0265 CCDECODE (6163ed60b684bab19d3352ab22fc48b2) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2010/11/16 16:36:05.0718 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2010/11/16 16:36:05.0968 Cdfs (cd7d5152df32b47f4e36f710b35aae02) C:\WINDOWS\system32\drivers\Cdfs.sys
2010/11/16 16:36:06.0250 Cdrom (af9c19b3100fe010496b1a27181fbf72) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2010/11/16 16:36:07.0656 Disk (00ca44e4534865f8a3b64f7c0984bff0) C:\WINDOWS\system32\DRIVERS\disk.sys
2010/11/16 16:36:07.0937 dmboot (5789b83ba87fc84c3568cf86cacef8ce) C:\WINDOWS\system32\drivers\dmboot.sys
2010/11/16 16:36:08.0234 dmio (084eb0a50a4f7b4705c8a57f234e5291) C:\WINDOWS\system32\drivers\dmio.sys
2010/11/16 16:36:08.0484 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2010/11/16 16:36:08.0765 DMusic (a6f881284ac1150e37d9ae47ff601267) C:\WINDOWS\system32\drivers\DMusic.sys
2010/11/16 16:36:09.0250 drmkaud (1ed4dbbae9f5d558dbba4cc450e3eb2e) C:\WINDOWS\system32\drivers\drmkaud.sys
2010/11/16 16:36:09.0500 DwProt (28cd50265b55f5f8b4432450d021446e) C:\WINDOWS\system32\drivers\dwprot.sys
2010/11/16 16:36:09.0515 Suspicious file (Forged): C:\WINDOWS\system32\drivers\dwprot.sys. Real md5: 28cd50265b55f5f8b4432450d021446e, Fake md5: 19611ff463648d4db9e99121ba6cba12
2010/11/16 16:36:09.0531 DwProt - detected Forged file (1)
2010/11/16 16:36:09.0812 Fastfat (3117f595e9615e04f05a54fc15a03b20) C:\WINDOWS\system32\drivers\Fastfat.sys
2010/11/16 16:36:10.0109 Fdc (ced2e8396a8838e59d8fd529c680e02c) C:\WINDOWS\system32\DRIVERS\fdc.sys
2010/11/16 16:36:10.0359 Fips (9e9af89f9b14aa6249065c309ce73bd8) C:\WINDOWS\system32\drivers\Fips.sys
2010/11/16 16:36:10.0593 Flpydisk (0dd1de43115b93f4d85e889d7a86f548) C:\WINDOWS\system32\drivers\Flpydisk.sys
2010/11/16 16:36:10.0859 FltMgr (157754f0df355a9e0a6f54721914f9c6) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
2010/11/16 16:36:11.0093 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2010/11/16 16:36:11.0359 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2010/11/16 16:36:11.0609 gagp30kx (4216cd545e5c30807b560c5dcaa812e6) C:\WINDOWS\system32\DRIVERS\gagp30kx.sys
2010/11/16 16:36:11.0890 gameenum (5f92fd09e5610a5995da7d775eadcd12) C:\WINDOWS\system32\DRIVERS\gameenum.sys
2010/11/16 16:36:12.0156 GearAspiWDM (5dc17164f66380cbfefd895c18467773) C:\WINDOWS\system32\drivers\GEARAspiWDM.sys
2010/11/16 16:36:12.0406 Gpc (c0f1d4a21de5a415df8170616703debf) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2010/11/16 16:36:12.0671 hidusb (1de6783b918f540149aa69943bdfeba8) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2010/11/16 16:36:13.0140 HTTP (c19b522a9ae0bbc3293397f3055e80a1) C:\WINDOWS\system32\Drivers\HTTP.sys
2010/11/16 16:36:13.0843 i8042prt (7c575018d0413440d75432a78b88c899) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2010/11/16 16:36:14.0109 Imapi (f8aa320c6a0409c0380e5d8a99d76ec6) C:\WINDOWS\system32\DRIVERS\imapi.sys
2010/11/16 16:36:14.0812 intelppm (c1c2cc1da79c5ee10457ef0a3b8568c7) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2010/11/16 16:36:15.0078 Ip6Fw (4448006b6bc60e6c027932cfc38d6855) C:\WINDOWS\system32\drivers\ip6fw.sys
2010/11/16 16:36:15.0328 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2010/11/16 16:36:15.0640 IpInIp (e1ec7f5da720b640cd8fb8424f1b14bb) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2010/11/16 16:36:15.0890 IpNat (b5a8e215ac29d24d60b4d1250ef05ace) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2010/11/16 16:36:16.0140 IPSec (64537aa5c003a6afeee1df819062d0d1) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2010/11/16 16:36:16.0375 IRENUM (50708daa1b1cbb7d6ac1cf8f56a24410) C:\WINDOWS\system32\DRIVERS\irenum.sys
2010/11/16 16:36:16.0640 isapnp (ce9b7afdf0a3d7dd8d1487262316b959) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2010/11/16 16:36:16.0875 Kbdclass (b128fc0a5cd83f669d5de4b58f77c7d6) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2010/11/16 16:36:17.0109 kbdhid (7ec877aa899323b92874fe62c7ddcde7) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2010/11/16 16:36:17.0375 kmixer (d93cad07c5683db066b0b2d2d3790ead) C:\WINDOWS\system32\drivers\kmixer.sys
2010/11/16 16:36:17.0609 KSecDD (674d3e5a593475915dc6643317192403) C:\WINDOWS\system32\drivers\KSecDD.sys
2010/11/16 16:36:18.0125 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2010/11/16 16:36:18.0375 Modem (91a3da4b12f6f1d760463a7f7857f748) C:\WINDOWS\system32\drivers\Modem.sys
2010/11/16 16:36:18.0640 Mouclass (71e15ca47fd947552054afb28536268f) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2010/11/16 16:36:18.0906 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2010/11/16 16:36:19.0296 MountMgr (65653f3b4477f3c63e68a9659f85ee2e) C:\WINDOWS\system32\drivers\MountMgr.sys
2010/11/16 16:36:19.0765 MRxDAV (46edcc8f2db2f322c24f48785cb46366) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2010/11/16 16:36:20.0046 MRxSmb (fb6c89bb3ce282b08bdb1e3c179e1c39) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2010/11/16 16:36:20.0296 Msfs (561b3a4333ca2dbdba28b5b956822519) C:\WINDOWS\system32\drivers\Msfs.sys
2010/11/16 16:36:20.0578 msikbd2k (9b99b04c28ccd19741dbbed64480195c) C:\WINDOWS\system32\DRIVERS\msikbd2k.sys
2010/11/16 16:36:20.0875 MSKSSRV (ae431a8dd3c1d0d0610cdbac16057ad0) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2010/11/16 16:36:21.0171 MSPCLOCK (13e75fef9dfeb08eeded9d0246e1f448) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2010/11/16 16:36:21.0437 MSPQM (1988a33ff19242576c3d0ef9ce785da7) C:\WINDOWS\system32\drivers\MSPQM.sys
2010/11/16 16:36:21.0687 mssmbios (469541f8bfd2b32659d5d463a6714bce) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2010/11/16 16:36:21.0937 MSTEE (bf13612142995096ab084f2db7f40f77) C:\WINDOWS\system32\drivers\MSTEE.sys
2010/11/16 16:36:22.0187 ms_mpu401 (ca3e22598f411199adc2dfee76cd0ae0) C:\WINDOWS\system32\drivers\msmpu401.sys
2010/11/16 16:36:22.0421 Mup (82035e0f41c2dd05ae41d27fe6cf7de1) C:\WINDOWS\system32\drivers\Mup.sys
2010/11/16 16:36:22.0671 NABTSFEC (5c8dc6429c43dc6177c1fa5b76290d1a) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2010/11/16 16:36:22.0937 NDIS (558635d3af1c7546d26067d5d9b6959e) C:\WINDOWS\system32\drivers\NDIS.sys
2010/11/16 16:36:23.0265 NdisIP (520ce427a8b298f54112857bcf6bde15) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2010/11/16 16:36:23.0515 NdisTapi (08d43bbdacdf23f34d79e44ed35c1b4c) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2010/11/16 16:36:23.0765 Ndisuio (34d6cd56409da9a7ed573e1c90a308bf) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2010/11/16 16:36:24.0015 NdisWan (0b90e255a9490166ab368cd55a529893) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2010/11/16 16:36:24.0250 NDProxy (59fc3fb44d2669bc144fd87826bb571f) C:\WINDOWS\system32\drivers\NDProxy.sys
2010/11/16 16:36:24.0500 NeroCd2k (58b29812b8d23501d15d85dd72eacb34) C:\WINDOWS\system32\drivers\NeroCd2k.sys
2010/11/16 16:36:24.0781 NetBIOS (3a2aca8fc1d7786902ca434998d7ceb4) C:\WINDOWS\system32\DRIVERS\netbios.sys
2010/11/16 16:36:25.0031 NetBT (0c80e410cd2f47134407ee7dd19cc86b) C:\WINDOWS\system32\DRIVERS\netbt.sys
2010/11/16 16:36:25.0296 NetworkX (f71eaba9bcb23cefb2db1504fe442aee) C:\WINDOWS\system32\ckldrv.sys
2010/11/16 16:36:25.0578 NIC1394 (5c5c53db4fef16cf87b9911c7e8c6fbc) C:\WINDOWS\system32\DRIVERS\nic1394.sys
2010/11/16 16:36:25.0843 Npfs (4f601bcb8f64ea3ac0994f98fed03f8e) C:\WINDOWS\system32\drivers\Npfs.sys
2010/11/16 16:36:26.0109 Ntfs (b78be402c3f63dd55521f73876951cdd) C:\WINDOWS\system32\drivers\Ntfs.sys
2010/11/16 16:36:26.0406 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2010/11/16 16:36:26.0812 nv (ba1b732c1a70cfea0c1b64f2850bf44f) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2010/11/16 16:36:27.0093 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2010/11/16 16:36:27.0343 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2010/11/16 16:36:27.0609 ohci1394 (0951db8e5823ea366b0e408d71e1ba2a) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2010/11/16 16:36:27.0859 Parport (b2f17a2edb5450e61973a037f63a595b) C:\WINDOWS\system32\DRIVERS\parport.sys
2010/11/16 16:36:28.0109 PartMgr (3334430c29dc338092f79c38ef7b4cd0) C:\WINDOWS\system32\drivers\PartMgr.sys
2010/11/16 16:36:28.0359 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2010/11/16 16:36:28.0609 PCI (6fb463e5b243fbd6f3d3c83f914d94fb) C:\WINDOWS\system32\DRIVERS\pci.sys
2010/11/16 16:36:29.0093 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2010/11/16 16:36:29.0343 Pcmcia (e2363f4c1daff89abee5f593e13d8a05) C:\WINDOWS\system32\drivers\Pcmcia.sys
2010/11/16 16:36:30.0015 PdiPorts (18ed1d71fef6f71d38c24263500bbd01) C:\WINDOWS\system32\Drivers\PdiPorts.sys
2010/11/16 16:36:31.0265 Pivot (943f840611d33832308ec5310b616b57) C:\WINDOWS\system32\drivers\pivot.sys
2010/11/16 16:36:31.0531 pivotmou (998c58295288eedfbfe95e7f6cc94df4) C:\WINDOWS\system32\drivers\pivotmou.sys
2010/11/16 16:36:31.0796 PptpMiniport (1c5cc65aac0783c344f16353e60b72ac) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2010/11/16 16:36:32.0109 PSched (48671f327553dcf1d27f6197f622a668) C:\WINDOWS\system32\DRIVERS\psched.sys
2010/11/16 16:36:32.0359 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2010/11/16 16:36:32.0609 pxkbf (dabf37e384a1f3d9a306612391f5cfad) C:\WINDOWS\system32\drivers\pxkbf.sys
2010/11/16 16:36:32.0859 pxrts (8158dca4ac06c95110178524ac07cca4) C:\WINDOWS\system32\drivers\pxrts.sys
2010/11/16 16:36:33.0109 pxscan (cf1952b4ac44cb05b263dc055c6e8da3) C:\WINDOWS\system32\drivers\pxscan.sys
2010/11/16 16:36:34.0437 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2010/11/16 16:36:34.0687 Rasl2tp (98faeb4a4dcf812ba1c6fca4aa3e115c) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2010/11/16 16:36:34.0937 RasPppoe (7306eeed8895454cbed4669be9f79faa) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2010/11/16 16:36:35.0171 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2010/11/16 16:36:35.0421 Rdbss (29d66245adba878fff574cd66abd2884) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2010/11/16 16:36:35.0640 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2010/11/16 16:36:35.0921 RDPWD (d4f5643d7714ef499ae9527fdcd50894) C:\WINDOWS\system32\drivers\RDPWD.sys
2010/11/16 16:36:36.0171 redbook (aa56702e230860565cb8d43680f57f33) C:\WINDOWS\system32\DRIVERS\redbook.sys
2010/11/16 16:36:36.0500 Secdrv (d26e26ea516450af9d072635c60387f4) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2010/11/16 16:36:36.0781 serenum (a2d868aeeff612e70e213c451a70cafb) C:\WINDOWS\system32\DRIVERS\serenum.sys
2010/11/16 16:36:37.0031 Serial (cd5b9995afcdb466c9efc048d167e3be) C:\WINDOWS\system32\DRIVERS\serial.sys
2010/11/16 16:36:37.0281 Sfloppy (0d13b6df6e9e101013a7afb0ce629fe0) C:\WINDOWS\system32\drivers\Sfloppy.sys
2010/11/16 16:36:37.0765 SiSide (982fd755516012bfd582ef20c6a123ff) C:\WINDOWS\system32\DRIVERS\siside.sys
2010/11/16 16:36:38.0000 sisidex (5aed8bf3bf7df795d70146d4af4a2580) C:\WINDOWS\system32\drivers\sisidex.sys
2010/11/16 16:36:38.0265 SISNIC (b0a33495fa3c31a96941d37258912bda) C:\WINDOWS\system32\DRIVERS\sisnic.sys
2010/11/16 16:36:38.0531 sisperf (596d4a7052002d2bd344d8937da6f66d) C:\WINDOWS\system32\drivers\sisperf.sys
2010/11/16 16:36:38.0796 SLIP (5caeed86821fa2c6139e32e9e05ccdc9) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2010/11/16 16:36:39.0281 splitter (8e186b8f23295d1e42c573b82b80d548) C:\WINDOWS\system32\drivers\splitter.sys
2010/11/16 16:36:39.0546 sr (e4200cb2f418d8fc4acdd7e38c419d6a) C:\WINDOWS\system32\DRIVERS\sr.sys
2010/11/16 16:36:39.0796 Srv (7a4f147cc6b133f905f6e65e2f8669fb) C:\WINDOWS\system32\DRIVERS\srv.sys
2010/11/16 16:36:40.0062 streamip (284c57df5dc7abca656bc2b96a667afb) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2010/11/16 16:36:40.0312 swenum (03c1bae4766e2450219d20b993d6e046) C:\WINDOWS\system32\DRIVERS\swenum.sys
2010/11/16 16:36:40.0578 swmidi (94abc808fc4b6d7d2bbf42b85e25bb4d) C:\WINDOWS\system32\drivers\swmidi.sys
2010/11/16 16:36:41.0750 sysaudio (650ad082d46bac0e64c9c0e0928492fd) C:\WINDOWS\system32\drivers\sysaudio.sys
2010/11/16 16:36:42.0015 Tcpip (2a5554fc5b1e04e131230e3ce035c3f9) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2010/11/16 16:36:42.0281 TDPIPE (38d437cf2d98965f239b0abcd66dcb0f) C:\WINDOWS\system32\drivers\TDPIPE.sys
2010/11/16 16:36:42.0531 TDTCP (ed0580af02502d00ad8c4c066b156be9) C:\WINDOWS\system32\drivers\TDTCP.sys
2010/11/16 16:36:42.0781 TermDD (a540a99c281d933f3d69d55e48727f47) C:\WINDOWS\system32\DRIVERS\termdd.sys
2010/11/16 16:36:43.0203 TuneUpUtilitiesDrv (f2107c9d85ec0df116939ccce06ae697) C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys
2010/11/16 16:36:43.0468 Udfs (12f70256f140cd7d52c58c7048fde657) C:\WINDOWS\system32\drivers\Udfs.sys
2010/11/16 16:36:43.0937 Update (aff2e5045961bbc0a602bb6f95eb1345) C:\WINDOWS\system32\DRIVERS\update.sys
2010/11/16 16:36:44.0218 usbaudio (45a0d14b26c35497ad93bce7e15c9941) C:\WINDOWS\system32\drivers\usbaudio.sys
2010/11/16 16:36:44.0437 usbccgp (bffd9f120cc63bcbaa3d840f3eef9f79) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2010/11/16 16:36:44.0687 usbehci (15e993ba2f6946b2bfbbfcd30398621e) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2010/11/16 16:36:44.0968 usbhub (c72f40947f92cea56a8fb532edf025f1) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2010/11/16 16:36:45.0218 usbohci (bdfe799a8531bad8a5a985821fe78760) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2010/11/16 16:36:45.0468 usbprint (a42369b7cd8886cd7c70f33da6fcbcf5) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2010/11/16 16:36:45.0718 usbscan (a6bc71402f4f7dd5b77fd7f4a8ddba85) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2010/11/16 16:36:45.0984 USBSTOR (6cd7b22193718f1d17a47a1cd6d37e75) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2010/11/16 16:36:46.0250 VgaSave (8a60edd72b4ea5aea8202daf0e427925) C:\WINDOWS\System32\drivers\vga.sys
2010/11/16 16:36:46.0750 VolSnap (d6888520ff56d72a50437e371ca25fc9) C:\WINDOWS\system32\drivers\VolSnap.sys
2010/11/16 16:36:47.0046 vulfnths (c0f55cc0903cfdc819f6d857402b697c) C:\WINDOWS\System32\Drivers\vulfnth.sys
2010/11/16 16:36:47.0312 vulfntrs (545d98a7f61af1c7c4ad38b8f333e0b7) C:\WINDOWS\System32\Drivers\vulfntr.sys
2010/11/16 16:36:47.0578 Wanarp (984ef0b9788abf89974cfed4bfbaacbc) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2010/11/16 16:36:48.0046 wdmaud (2797f33ebf50466020c430ee4f037933) C:\WINDOWS\system32\drivers\wdmaud.sys
2010/11/16 16:36:48.0390 WSTCODEC (d5842484f05e12121c511aa93f6439ec) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2010/11/16 16:36:48.0796 ================================================================================
2010/11/16 16:36:48.0796 Scan finished
2010/11/16 16:36:48.0796 ================================================================================
2010/11/16 16:36:48.0828 Detected object count: 1
2010/11/16 16:37:07.0078 HKLM\SYSTEM\ControlSet001\services\DwProt - will be deleted after reboot
2010/11/16 16:37:07.0078 HKLM\SYSTEM\ControlSet002\services\DwProt - will be deleted after reboot
2010/11/16 16:37:07.0078 C:\WINDOWS\system32\drivers\dwprot.sys - will be deleted after reboot
2010/11/16 16:37:07.0078 Forged file(DwProt) - User select action: Delete
2010/11/16 16:38:25.0359 Deinitialize success

dann hat sich nun auch GMER mal die ehre gegeben, über das system zu schauen, ging sogar ohne abgesicherten modus.

AVG 2011 lässt sich aber scheinbar immer nur für 15 minuten deaktivieren, ein wenig kurz, denke ich, oder lässt es sich irgendwo länger abstellen ?

hier mal das log von GMER:

GMER Logfile:
--- --- ---


grüße Ramon

Mach bitte nach dem Fix ein Kontrolllog mit dem TDSS-Killer nach dem Neustart.

hallo... soll ich GMER vorher noch einmal aufrufen oder nur TDSS drüberlaufen lassen ?

Nur den TDSS-Killer erstmal.

hallo Arne...
keine funde mit TDSS nach neustart so far...
gruß
Ramon

Ok, dann mach auch nochmal ein neues Log mit GMER

hola Arne..
beim ersten mal ist GMER abgestürzt, im abgesicherten modus wusste ich dann nicht, wie AVG 2011 zu deaktivieren ist, es zeigte sich da nur eine kleine maske. GMER hing sich bei system32\drivers\AVGIDSEH.SYS auf.
ein dritter anlauf im normalen modus brachte dann dies zutage:

GMER Logfile:
--- --- ---


gruß Ramon

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

hallo ...ich wollte noch mal einen scan mit mwav escan machen, woraufhin mir wieder die rechte verweigert wurden, nachdem das tool geladen hat.

dasselbe beim versuch den yahoo messi zu installieren.

hi Arne...hier der erste log:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 5138
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13
17.11.2010 18:21:58
mbam-log-2010-11-17 (18-21-58).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 206465
Laufzeit: 59 Minute(n), 13 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Wieso machst du da immer was, was ich garnicht geschrieben hab? Wie kommst du zB jetzt auf MWAV, das Teil wird hier schon ewig nicht mehr supportet!!

hola...Superantispyware zeigte keine funde, konnte log jedoch nicht öffnen.
grüße

Ja - sind denn noch Probleme jetzt offen?

hallo Arne ...
ja ich erhalte immer noch fehlermeldungen, dass ich keine nötige berechtigung habe, auf programme zuzugreifen.

AVIRA lässt sich nicht installieren, ich ziehe dies eigentlich AVG vor.
auch das anti rootkit tool von Avira lässt sich auch nicht öffnen.

der yahoo messenger 10 lässt sich nicht installieren, nach doppelklick passiert gar nichts mehr.
bei der vorgängerversion 2007.7 erscheint wieder die meldung mit der fehlenden berechtigung.

dann habe ich gerade den Hook Analyzer einmal getestet: er zeigte da als hooks 13 dateien an, die das programm Prevx 3.0 betreffen, der rest war auf AVG bezogen. ich konnte jedoch kein log erstellen, es kam folgende meldung:
"access violation at address 0049550C in module "hookAnalyzer.exe". read of address 00000360." die export datei bleibt leer.
wenn ich diese anklicke, erscheint: "der prozess kann nicht auf die datei zugreifen, da sie von einem anderen prozess verwendet wird."
ich habe also nur einen screenshot davon.

gruß Ramon

Kannst du dir mal zumindest testweise über die Systemsteuerung ein neues Benutzerkonto erstellen? Wenn das geht, log dich mit dem mal ein. Evtl hat dein jetziges nur einen Schuss.

...als administratorkonto oder als eingeschränktes ?

admin.......

ich habe ein testkonto mit administratorrechten angelegt,
AVIRA und der yahoo messenger haben sich gerührt und ich hätte wohl jetzt die installation fortsetzen können.

jedoch war ja da jetzt die gesamte desktopumgebung anders. ich habe bisher noch nie mit benutzernamen gearbeitet.

was muss ich denn jetzt machen, sodass ich alles wieder so vorfinde, wie bei dem alten konto ?

grüße

Das ist nicht ganz so einfach. Denn dein altes Konto hat ne Macke. Du müsstest in den Profilordner des anderen Kontos alles wiederfinden. Ist viel Fummelarbeit, man müsste selektiv alles relevante vom alten ins neue kopieren.

hast du schon, nur hat Windows den alten user immer automatisch eingeloggt (auch ne ziemliche Unsitte wie ich finde)

alternativ könnte ich doch die beiden programme im testkonto installieren.
AVIRA müsste dann doch gesamt gelten, oder ?
und zum chatten müsste dann nur gewechselt werden.

Alternativ ja, müsste auch gehen. Ich weiß nicht was bei diesem offensichtlich defektem Profil noch nicht gehen könnte. Prüf bei der Gelegenheit auch mal, ob es noch Adminrechte hat.

wie kann man dies am besten prüfen, ohne etwas zu ändern ?
irgendwie finde ich den ordner system volume information auch nicht mehr.