Trojaner Kazy.26024.5 SpyEyes Trojan.FakeMS (hoffentlich) entfernt aber danach viele Probleme

M-K-D-B · 14.06.2011, 18:55

Hallo Stefan,

Zitat:

Zitat von sbie

3. Beim entpacken RkU3.8.389.593.rar bekomme ich nur die RKUnhookerLE.EXE, kein Ordner und damit kein RKU3.8.388.590.exe (auch mit Suchfunktion nicht zu finden)
Was ist zu tun?

RKU stellen wir zurück, das muss ich erst abklären. Wir machen folgendes:

Schritt # 1: Störende Programme

Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt.
Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.

Schritt # 2: GMER Rootkitscan
Bitte

alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
nichts am Rechner arbeiten,
nach jedem Scan den Rechner neu starten.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista und Win7 User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Entferne rechts den Haken bei:
- IAT/EAT
- Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
- Show all (sollte abgehackt sein)
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Schritt # 3: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Klicke auf Scan
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Schritt # 4: Benutzerdefinierter Scan mit OTL

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

/md5start
iexplore.exe
services.exe
atapi.sys
/md5stop

Schließe bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Schritt # 5: Fragen beantworten
Bitte beantworte mir folgende Fragen:

Wie läuft dein Rechner derzeit?
Gibt es noch irgendwelche Probleme (abgesehen von MBAM)?

Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

das Logfile von GMER,
das Logfile von aswMBR,
das neue Logfile von OTL (OTL.txt) und
die Beantwortung der gestellten Fragen.

sbie · 14.06.2011, 22:51

Hallo M-K-D-B,

alles erledigt,
Schritt # 1: Störende Programme: Programm musste ich erst suchen... ausgeführt mit Admin, alle Resi Haken weg, Neustart

Schritt # 2: GMER Rootkitscan: dieses Programm muss ich immer 2* starten da das Programm beim 1. Versuch nach 1 bis 2 Minuten abbricht. Und wenn ich das Log nicht abspeichere muss ich nochmal Neustarten (und habe dabei leider AviraGuard noch laufen lassen). Aber Inet war abgestöpselt, alle anderen Programme gestoppt.
[CODE]
GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15640 - hxxp://www.gmer.net
Rootkit scan 2011-06-14 23:14:34
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2 ST3750528AS rev.CC44
Running: 3kz6y9k8.exe; Driver: C:\Users\xxxxx\AppData\Local\Temp\uglcifog.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13BD                                                           82C89569 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                    82CAE092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!UnhookWindowsHookEx       767DCC7B 5 Bytes  JMP 6D4383A2 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!CallNextHookEx            767DCC8F 5 Bytes  JMP 6D419D94 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!CreateWindowExW           767E0E51 5 Bytes  JMP 6D428197 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!SetWindowsHookExW         767E210A 5 Bytes  JMP 6D3D463B C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!DialogBoxIndirectParamW   76804AA7 5 Bytes  JMP 6D54FED8 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!DialogBoxParamW           7680564A 5 Bytes  JMP 6D344BA7 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!DialogBoxParamA           7681CF6A 5 Bytes  JMP 6D54FE75 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!DialogBoxIndirectParamA   7681D29C 5 Bytes  JMP 6D54FF3B C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!MessageBoxIndirectA       7682E8C9 5 Bytes  JMP 6D54FE0A C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!MessageBoxIndirectW       7682E9C3 5 Bytes  JMP 6D54FD9F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!MessageBoxExA             7682EA29 5 Bytes  JMP 6D54FD3D C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] USER32.dll!MessageBoxExW             7682EA4D 5 Bytes  JMP 6D54FCDB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] ole32.dll!OleLoadFromStream          76D25BF6 5 Bytes  JMP 6D55022B C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] ole32.dll!CoCreateInstance           76D7590C 5 Bytes  JMP 6D428C85 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] WININET.dll!HttpAddRequestHeadersA   76A09ABA 5 Bytes  JMP 01D06B70 
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] WININET.dll!HttpAddRequestHeadersW   76A10848 5 Bytes  JMP 01D06D70 
.text           C:\Program Files\Internet Explorer\iexplore.exe[436] WS2_32.dll!gethostbyname             765D7133 5 Bytes  JMP 01DB000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!CreateWindowExW          767E0E51 5 Bytes  JMP 6D428197 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!DialogBoxIndirectParamW  76804AA7 5 Bytes  JMP 6D54FED8 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!DialogBoxParamW          7680564A 5 Bytes  JMP 6D344BA7 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!DialogBoxParamA          7681CF6A 5 Bytes  JMP 6D54FE75 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!DialogBoxIndirectParamA  7681D29C 5 Bytes  JMP 6D54FF3B C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!MessageBoxIndirectA      7682E8C9 5 Bytes  JMP 6D54FE0A C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!MessageBoxIndirectW      7682E9C3 5 Bytes  JMP 6D54FD9F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!MessageBoxExA            7682EA29 5 Bytes  JMP 6D54FD3D C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] USER32.dll!MessageBoxExW            7682EA4D 5 Bytes  JMP 6D54FCDB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] WININET.dll!HttpAddRequestHeadersA  76A09ABA 5 Bytes  JMP 00826B70 
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] WININET.dll!HttpAddRequestHeadersW  76A10848 5 Bytes  JMP 00826D70 
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] ws2_32.DLL!closesocket              765C3BED 5 Bytes  JMP 0064000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] ws2_32.DLL!recv                     765C47DF 5 Bytes  JMP 0060000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] ws2_32.DLL!connect                  765C48BE 5 Bytes  JMP 0061000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] ws2_32.DLL!getaddrinfo              765C6737 5 Bytes  JMP 0089000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] ws2_32.DLL!send                     765CC4C8 5 Bytes  JMP 0065000A 
.text           C:\Program Files\Internet Explorer\iexplore.exe[1440] ws2_32.DLL!gethostbyname            765D7133 5 Bytes  JMP 0088000A 

---- Devices - GMER 1.0.15 ----

Device          \Driver\ACPI_HAL \Device\00000046                                                         halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume5                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume6                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume7                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

---- Threads - GMER 1.0.15 ----

Thread          System [4:252]                                                                            864B4E7A
Thread          System [4:256]                                                                            864B7008

---- EOF - GMER 1.0.15 ----

--- --- ---

Schritt # 3: aswMBR.exe ausführen
Log:

Code:

ATTFilter

aswMBR version 0.9.6.399 Copyright(c) 2011 AVAST Software
Run date: 2011-06-14 23:19:23
-----------------------------
23:19:23.056    OS Version: Windows 6.1.7600 
23:19:23.056    Number of processors: 2 586 0x170A
23:19:23.056    ComputerName: MEDIONE4100D  UserName: xxxxx
23:19:35.052    Initialize success
23:19:51.136    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2
23:19:51.152    Disk 0 Vendor: ST3750528AS CC44 Size: 715404MB BusType: 3
23:19:53.180    Disk 0 MBR read successfully
23:19:53.195    Disk 0 MBR scan
23:19:53.195    Disk 0 unknown MBR code
23:19:55.208    Disk 0 scanning sectors +1465145344
23:19:55.254    Disk 0 scanning C:\Windows\system32\drivers
23:20:01.713    Service scanning
23:20:04.302    Disk 0 trace - called modules:
23:20:04.302    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll >>UNKNOWN [0x862af1ed]<<
23:20:04.302    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8627e030]
23:20:04.318    3 CLASSPNP.SYS[8b18359e] -> nt!IofCallDriver -> [0x85d86918]
23:20:04.318    5 ACPI.sys[8acb33b2] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-2[0x85dcb338]
23:20:04.318    \Driver\atapi[0x85d814f0] -> IRP_MJ_INTERNAL_DEVICE_CONTROL -> 0x862af1ed
23:20:04.833    Scan finished successfully
23:20:25.347    Disk 0 MBR has been saved successfully to "C:\Users\xxxx\Desktop\MBR.dat"
23:20:25.362    The log file has been saved successfully to "C:\Users\xxxx\Desktop\aswMBR.txt"

Schritt # 4: Benutzerdefinierter Scan mit OTL
OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 14.06.2011 23:26:40 - Run 7
OTL by OldTimer - Version 3.2.24.0     Folder = C:\Users\xxxx\Desktop
 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,87 Gb Total Physical Memory | 1,95 Gb Available Physical Memory | 67,98% Memory free
5,74 Gb Paging File | 4,76 Gb Available in Paging File | 82,95% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 677,54 Gb Total Space | 522,01 Gb Free Space | 77,05% Space Free | Partition Type: NTFS
Drive D: | 20,00 Gb Total Space | 12,94 Gb Free Space | 64,68% Space Free | Partition Type: NTFS
 
Computer Name: MEDIONE4100D | User Name: xxxxx | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days
 
========== Custom Scans ==========
 
 
 
< MD5 for: ATAPI.SYS  >
[2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\ERDNT\cache\atapi.sys
[2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\System32\drivers\atapi.sys
[2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_x86_neutral_f64b9c35a3a5be81\atapi.sys
[2009.07.14 03:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_dd0e7e3d82dd640d\atapi.sys
 
< MD5 for: IEXPLORE.EXE  >
[2010.09.08 06:36:39 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=14803EA3E5DD7CB37CB446C74CFDA38F -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.20795_none_b3c5cc459f4108f2\iexplore.exe
[2009.07.14 03:17:29 | 000,673,048 | ---- | M] (Microsoft Corporation) MD5=2C32E3E596CFE660353753EABEFB0540 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.16385_none_b346f9b4861b55c2\iexplore.exe
[2010.11.04 07:54:54 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=58CF468D3FF4CF830339FE5E45356355 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.16700_none_b3987f3a85deec23\iexplore.exe
[2010.09.08 06:31:24 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=61EDBCE47ADF3E52AB0B9F49EE4AEBB8 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.16671_none_b34dce2a8616cbea\iexplore.exe
[2010.11.04 07:54:59 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=6B2258FF6D2332073FE9E90122FA4168 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.20831_none_b402ac8b9f13f917\iexplore.exe
[2010.12.18 07:32:25 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=9321CF0D023528C71E3645F8433C86C8 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.20861_none_b3e23cc79f2c4cea\iexplore.exe
[2010.12.18 07:33:54 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=AA08B68EF4E35EFA170CF85A44B23B70 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.16722_none_b384dff685ed56b3\iexplore.exe
[2011.02.24 07:45:11 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=AB2BB40A5FE49AD236791AC22BD08869 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.20908_none_b42a203b9ef553cc\iexplore.exe
[2011.02.24 07:32:52 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=C6697A46554E36541E81182B258A19D6 -- C:\Programme\Internet Explorer\iexplore.exe
[2011.02.24 07:32:52 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=C6697A46554E36541E81182B258A19D6 -- C:\Windows\ERDNT\cache\iexplore.exe
[2011.02.24 07:32:52 | 000,673,040 | ---- | M] (Microsoft Corporation) MD5=C6697A46554E36541E81182B258A19D6 -- C:\Windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.16766_none_b35da16e860a2bd3\iexplore.exe
 
< MD5 for: SERVICES.EXE  >
[2009.07.14 03:14:36 | 000,259,072 | ---- | M] (Microsoft Corporation) MD5=5F1B6A9C35D3D5CA72D6D6FDEF9747D6 -- C:\Windows\ERDNT\cache\services.exe
[2009.07.14 03:14:36 | 000,259,072 | ---- | M] (Microsoft Corporation) MD5=5F1B6A9C35D3D5CA72D6D6FDEF9747D6 -- C:\Windows\System32\services.exe
[2009.07.14 03:14:36 | 000,259,072 | ---- | M] (Microsoft Corporation) MD5=5F1B6A9C35D3D5CA72D6D6FDEF9747D6 -- C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe

< End of report >

--- --- ---

Schritt # 5: Fragen beantworten
Wie läuft dein Rechner derzeit? Oberflächlich keine Probleme, nach Neustart lange Zeit Festplattenaktivitäten, nach Neustart immer 2 IE Prozesse im Taskmanager zu sehen.
Gibt es noch irgendwelche Probleme (abgesehen von MBAM)? Nö, ich mach ja nichts mehr anderes, meine Tochter kann ich erst morgen fragen.

Schritt # 6: Deine Rückmeldung
Ist nun fertig.

Gruß, Stefan

M-K-D-B · 15.06.2011, 08:49

Hallo Stefan,

ich möchte noch den MBR überprüfen.

Schritt # 1: TDSS Killer ausführen
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.

Schließe alle laufenden Programme.
Trenne dich von Internet.
Deaktiviere deine AntiViren Software.
Starte TDSSkiller.exe mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Drücke auf Start scan.
Mache während dem Scan nichts am Rechner
1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
  Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
Bitte poste mir den Inhalt hier in deinen Thread.

Schritt # 2: Scan mit MBRCheck
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes.

Schritt # 3: Fragen beantworten
Bitte beantworte mir folgende Fragen:

Hast du neben Windows 7 noch ein weiteres Betriebssystem installiert? Eventuell eine andere Windows Version, Linux oder Ähnliches?

Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

das Logfile des TDSS Killers,
das Logfile von MBRCheck und
die Beantwortung der gestellten Fragen.

sbie · 15.06.2011, 18:36

Hallo M-K-D-B,

Ich möchte ja, aber das Programm startet nicht.
Schritt # 1: TDSS Killer ausführen
tdsskiller.exe
TDSS rootkit removing tool
Version 2.5.4.0

Habs probiert mit Kompatibilität XP3, XP2, NT5, Vista

Vorab:
Schritt # 3: Fragen beantworten: Hast du neben Windows 7 noch ein weiteres Betriebssystem installiert?
Nein, nichts davon, auch nichts ähnliches.

Wenn Du mir erzählst wie ich Bilder einfüge kann ich dír auch meine Taskliste geben, vielleicht hilfst ja.

Aber, Was ist nun zu tun?
Gruß, Stefan

sbie · 15.06.2011, 20:48

Hallo,

habe schon einmal weitergemacht,
Schritt # 2: Scan mit MBRCheck
hier das Log

Code:

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows 7 Home Premium Edition
Windows Information:		 (build 7600), 32-bit
Base Board Manufacturer:	MEDIONPC
BIOS Manufacturer:		American Megatrends Inc.
System Manufacturer:		MEDIONPC
System Product Name:		MS-7633
Logical Drives Mask:		0x000001dc

Kernel Drivers (total 183):
  0x82C04000 \SystemRoot\system32\ntkrnlpa.exe
  0x83014000 \SystemRoot\system32\halmacpi.dll
  0x80BB6000 \SystemRoot\system32\kdcom.dll
  0x83226000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
  0x8329E000 \SystemRoot\system32\PSHED.dll
  0x832AF000 \SystemRoot\system32\BOOTVID.dll
  0x832B7000 \SystemRoot\system32\CLFS.SYS
  0x832F9000 \SystemRoot\system32\CI.dll
  0x8AC28000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x8AC99000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x8ACA7000 \SystemRoot\system32\DRIVERS\ACPI.sys
  0x8ACEF000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
  0x8ACF8000 \SystemRoot\system32\DRIVERS\msisadrv.sys
  0x8AD00000 \SystemRoot\system32\DRIVERS\pci.sys
  0x8AD2A000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
  0x8AD35000 \SystemRoot\System32\drivers\partmgr.sys
  0x8AD46000 \SystemRoot\system32\DRIVERS\volmgr.sys
  0x8AD56000 \SystemRoot\System32\drivers\volmgrx.sys
  0x8ADA1000 \SystemRoot\system32\DRIVERS\intelide.sys
  0x8ADA8000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
  0x8ADB6000 \SystemRoot\System32\drivers\mountmgr.sys
  0x8ADCC000 \SystemRoot\system32\DRIVERS\atapi.sys
  0x8ADD5000 \SystemRoot\system32\DRIVERS\ataport.SYS
  0x8AC00000 \SystemRoot\system32\DRIVERS\amdxata.sys
  0x833A4000 \SystemRoot\system32\drivers\fltmgr.sys
  0x8AC09000 \SystemRoot\system32\drivers\fileinfo.sys
  0x8AE01000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x8AF30000 \SystemRoot\System32\Drivers\msrpc.sys
  0x8AF5B000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x8AF6E000 \SystemRoot\System32\Drivers\cng.sys
  0x8AFCB000 \SystemRoot\System32\drivers\pcw.sys
  0x8AFD9000 \SystemRoot\System32\Drivers\Fs_Rec.sys
  0x8B02B000 \SystemRoot\system32\drivers\ndis.sys
  0x8B0E2000 \SystemRoot\system32\drivers\NETIO.SYS
  0x8B120000 \SystemRoot\System32\Drivers\ksecpkg.sys
  0x8B235000 \SystemRoot\System32\drivers\tcpip.sys
  0x8B37E000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x8B3AF000 \SystemRoot\system32\DRIVERS\volsnap.sys
  0x8B3EE000 \SystemRoot\System32\Drivers\spldr.sys
  0x8B200000 \SystemRoot\System32\drivers\rdyboost.sys
  0x8B145000 \SystemRoot\System32\Drivers\mup.sys
  0x8B22D000 \SystemRoot\System32\drivers\hwpolicy.sys
  0x8B155000 \SystemRoot\System32\DRIVERS\fvevol.sys
  0x8B187000 \SystemRoot\system32\DRIVERS\disk.sys
  0x8B198000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
  0x8B000000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0x8B01F000 \SystemRoot\System32\Drivers\Null.SYS
  0x8B1E6000 \SystemRoot\System32\Drivers\Beep.SYS
  0x8B1ED000 \SystemRoot\System32\drivers\vga.sys
  0x833D8000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x8AFE2000 \SystemRoot\System32\drivers\watchdog.sys
  0x8AFEF000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x8AFF7000 \SystemRoot\system32\drivers\rdpencdd.sys
  0x8AC1A000 \SystemRoot\system32\drivers\rdprefmp.sys
  0x83200000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x8320B000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x90634000 \SystemRoot\system32\DRIVERS\tdx.sys
  0x9064B000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x90656000 \SystemRoot\system32\drivers\afd.sys
  0x906B0000 \SystemRoot\System32\DRIVERS\netbt.sys
  0x906E2000 \SystemRoot\system32\DRIVERS\wfplwf.sys
  0x906E9000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x90708000 \SystemRoot\system32\DRIVERS\vwififlt.sys
  0x90719000 \SystemRoot\system32\DRIVERS\netbios.sys
  0x90727000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x9073A000 \SystemRoot\system32\DRIVERS\termdd.sys
  0x9074A000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0x90750000 \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS
  0x90772000 \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS
  0x90778000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0x907B9000 \SystemRoot\system32\drivers\nsiproxy.sys
  0x907C3000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0x907CD000 \SystemRoot\System32\drivers\discache.sys
  0x907D9000 \SystemRoot\System32\Drivers\dfsc.sys
  0x907F1000 \SystemRoot\system32\DRIVERS\blbdrive.sys
  0x90600000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0x90435000 \SystemRoot\system32\DRIVERS\tunnel.sys
  0x90456000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0x9122B000 \SystemRoot\system32\DRIVERS\igdkmd32.sys
  0x91B48000 \SystemRoot\System32\drivers\dxgkrnl.sys
  0x90468000 \SystemRoot\System32\drivers\dxgmms1.sys
  0x91200000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0x904A1000 \SystemRoot\system32\DRIVERS\Rt86win7.sys
  0x9121F000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0x904DD000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0x90528000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0x90537000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0x9054F000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0x9055C000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
  0x90569000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
  0x9057B000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0x90593000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0x9059E000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0x905C0000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0x905D8000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0x90400000 \SystemRoot\system32\DRIVERS\rassstp.sys
  0x90417000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0x90424000 \SystemRoot\system32\DRIVERS\swenum.sys
  0x9620F000 \SystemRoot\system32\DRIVERS\ks.sys
  0x96243000 \SystemRoot\system32\DRIVERS\umbus.sys
  0x96251000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0x96295000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0x97414000 \SystemRoot\system32\drivers\RTKVHDA.sys
  0x97700000 \SystemRoot\system32\drivers\portcls.sys
  0x9772F000 \SystemRoot\system32\drivers\drmk.sys
  0x97748000 \SystemRoot\system32\drivers\IntcHdmi.sys
  0x9776B000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0x97776000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0x97789000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0x97790000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0x97792000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0x98580000 \SystemRoot\System32\win32k.sys
  0x9779D000 \SystemRoot\System32\drivers\Dxapi.sys
  0x977A7000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0x977BE000 \SystemRoot\System32\Drivers\crashdmp.sys
  0x977CB000 \SystemRoot\System32\Drivers\dump_dumpata.sys
  0x977D6000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0x977DF000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
  0x962A6000 \SystemRoot\system32\DRIVERS\dvb7700all.sys
  0x977F0000 \SystemRoot\system32\DRIVERS\BdaSup.SYS
  0x977F3000 \SystemRoot\system32\DRIVERS\monitor.sys
  0x987E0000 \SystemRoot\System32\TSDDD.dll
  0x9632F000 \SystemRoot\system32\drivers\luafv.sys
  0x9634A000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0x9635F000 \SystemRoot\system32\drivers\WudfPf.sys
  0x97400000 \SystemRoot\system32\DRIVERS\lltdio.sys
  0x96379000 \SystemRoot\system32\DRIVERS\nwifi.sys
  0x963BF000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0x963CF000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0x9560F000 \SystemRoot\system32\drivers\HTTP.sys
  0x95694000 \SystemRoot\system32\DRIVERS\bowser.sys
  0x956AD000 \SystemRoot\System32\drivers\mpsdrv.sys
  0x956BF000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0x956E2000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
  0x9571D000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
  0x95750000 \SystemRoot\system32\drivers\peauth.sys
  0x957E7000 \SystemRoot\System32\Drivers\secdrv.SYS
  0x8B1BD000 \SystemRoot\System32\DRIVERS\srvnet.sys
  0x957F1000 \SystemRoot\System32\drivers\tcpipreg.sys
  0xAD212000 \SystemRoot\System32\DRIVERS\srv2.sys
  0xAD261000 \SystemRoot\System32\DRIVERS\srv.sys
  0xAD2B3000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
  0xAD33E000 \SystemRoot\System32\Drivers\fastfat.SYS
  0x984E0000 \SystemRoot\System32\cdd.dll
  0x76E50000 \Windows\System32\ntdll.dll
  0x47890000 \Windows\System32\smss.exe
  0x77090000 \Windows\System32\apisetschema.dll
  0x007F0000 \Windows\System32\autochk.exe
  0x76200000 \Windows\System32\shell32.dll
  0x77060000 \Windows\System32\sechost.dll
  0x77050000 \Windows\System32\lpk.dll
  0x77020000 \Windows\System32\imagehlp.dll
  0x76F90000 \Windows\System32\oleaut32.dll
  0x76150000 \Windows\System32\rpcrt4.dll
  0x76100000 \Windows\System32\gdi32.dll
  0x760E0000 \Windows\System32\imm32.dll
  0x76060000 \Windows\System32\comdlg32.dll
  0x75FC0000 \Windows\System32\usp10.dll
  0x75FB0000 \Windows\System32\psapi.dll
  0x75ED0000 \Windows\System32\kernel32.dll
  0x75E70000 \Windows\System32\difxapi.dll
  0x75E20000 \Windows\System32\Wldap32.dll
  0x75D20000 \Windows\System32\wininet.dll
  0x75C50000 \Windows\System32\user32.dll
  0x75AF0000 \Windows\System32\ole32.dll
  0x75AB0000 \Windows\System32\ws2_32.dll
  0x75A20000 \Windows\System32\clbcatq.dll
  0x75950000 \Windows\System32\msctf.dll
  0x75940000 \Windows\System32\normaliz.dll
  0x75740000 \Windows\System32\iertutil.dll
  0x755A0000 \Windows\System32\setupapi.dll
  0x75590000 \Windows\System32\nsi.dll
  0x754E0000 \Windows\System32\msvcrt.dll
  0x75480000 \Windows\System32\shlwapi.dll
  0x753E0000 \Windows\System32\advapi32.dll
  0x752A0000 \Windows\System32\urlmon.dll
  0x75270000 \Windows\System32\wintrust.dll
  0x75150000 \Windows\System32\crypt32.dll
  0x75100000 \Windows\System32\KernelBase.dll
  0x750E0000 \Windows\System32\devobj.dll
  0x750B0000 \Windows\System32\cfgmgr32.dll
  0x75020000 \Windows\System32\comctl32.dll
  0x75010000 \Windows\System32\msasn1.dll

Processes (total 58):
       0 System Idle Process
       4 System
     288 C:\Windows\System32\smss.exe
     440 csrss.exe
     492 C:\Windows\System32\wininit.exe
     500 csrss.exe
     540 C:\Windows\System32\services.exe
     572 C:\Windows\System32\lsass.exe
     588 C:\Windows\System32\lsm.exe
     596 C:\Windows\System32\winlogon.exe
     744 C:\Windows\System32\svchost.exe
     844 C:\Windows\System32\svchost.exe
     896 C:\Windows\System32\svchost.exe
    1008 C:\Windows\System32\svchost.exe
    1044 C:\Windows\System32\svchost.exe
    1172 C:\Windows\System32\svchost.exe
    1320 C:\Windows\System32\svchost.exe
    1484 C:\Windows\System32\spoolsv.exe
    1512 C:\Program Files\Avira\AntiVir Desktop\sched.exe
    1532 C:\Windows\System32\svchost.exe
    1652 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    1680 C:\Program Files\Microsoft\BingBar\SeaPort.EXE
    1728 C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe
    1776 C:\Windows\System32\svchost.exe
    1824 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
    1844 C:\Windows\System32\conhost.exe
    1860 C:\Windows\System32\svchost.exe
    1952 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
    1240 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE
    2272 C:\Windows\System32\taskhost.exe
    2336 C:\Windows\System32\dwm.exe
    2376 C:\Windows\explorer.exe
    2692 C:\Windows\System32\SearchIndexer.exe
    2840 C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe
    2916 C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
    2928 WUDFHost.exe
    2940 C:\Program Files\FreePDF_XP\fpassist.exe
    3028 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    3240 C:\Windows\System32\igfxtray.exe
    3288 C:\Windows\System32\hkcmd.exe
    3336 C:\Windows\System32\igfxpers.exe
    3368 C:\Program Files\Windows Sidebar\sidebar.exe
    3428 C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe
    3608 C:\Program Files\OpenOffice.org 3\program\soffice.exe
    3632 C:\Program Files\OpenOffice.org 3\program\soffice.bin
    1188 C:\Windows\System32\svchost.exe
    2572 C:\Program Files\Windows Media Player\wmpnetwk.exe
     196 C:\Windows\System32\svchost.exe
     780 dllhost.exe
    2504 C:\Program Files\Internet Explorer\iexplore.exe
    1100 C:\Program Files\Internet Explorer\iexplore.exe
     684 C:\Windows\System32\audiodg.exe
    4432 C:\Program Files\Microsoft\BingBar\BBSvc.EXE
    1292 C:\Windows\System32\svchost.exe
    5480 C:\Windows\System32\SearchProtocolHost.exe
    2128 C:\Windows\System32\SearchFilterHost.exe
    1428 C:\Users\Stefan\Desktop\MBRCheck.exe
    2512 C:\Windows\System32\conhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x000000a9`68a00000  (NTFS)

PhysicalDrive0 Model Number: ST3750528AS, Rev: CC44    

      Size  Device Name          MBR Status
  --------------------------------------------
    698 GB  \\.\PhysicalDrive0   Unknown MBR code
            SHA1: 3F8AC3F12FB8BFA1FDEFC08938762E6080784F16


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 

Done!

Found non-standard or infected MBR.

Eben habe ich den TDSSkiller gefunden mit Hilfe autoruns, als Aufgabe 4* (?)

Gruß, Stefan

M-K-D-B · 16.06.2011, 09:53

Hallo Stefan,

Schau mal bitte unter C:\TDSSKiller_version_date_time_log.txt. Sollte sich dort eine Textdatei befinden, so poste diese bitte mit deiner nächsten Antwort.

Starte den TDSS-Killer nochmals und berichte, welcher Fehlermeldung genau erscheint bzw. was genau passiert.

Mit der Taste "Druck" kannst du deinen Screenshot erstellen. Das Bild befindet sich dann im Cache und über Paint oder ein anderes Bildbearbeitungsprogramm kannst du dann das Bild deines Desktops einfügen und ausführen.

Zitat:

Eben habe ich den TDSSkiller gefunden mit Hilfe autoruns, als Aufgabe 4* (?)

Wie gefunden? Das Tool solltest du auf deinem Desktop abspeichern und von dort speichern. Ich weiß gerade nicht, was du damit meinst.

Versuche bitte noch folgendes:

Schritt # 1: Windows im abgesicherten Modus starten
Starte bitte dein Windws 7 im abgesicherten Modus.

Und führe nun den TDSS-Killer nochmals im abgesicherten Modus vom Desktop aus:

Schritt # 2: TDSS Killer ausführen

Schließe alle laufenden Programme.
Trenne dich von Internet.
Deaktiviere deine AntiViren Software.
Starte TDSSkiller.exe mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Drücke auf Start scan.
Mache während dem Scan nichts am Rechner
1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
  Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
Bitte poste mir den Inhalt hier in deinen Thread.

Starte deinen Rechner neu auf.

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

die genaue Fehlermeldung des TDSS-Killers,
das Logfile des TDSS-Killers,

sbie · 16.06.2011, 17:00

Hallo M-K-D-B,

Zitat:

Zitat von M-K-D-B

Hallo Stefan,
Schau mal bitte unter C:\TDSSKiller_version_date_time_log.txt. Sollte sich dort eine Textdatei befinden, so poste diese bitte mit deiner nächsten Antwort.

Keine Textdatei, leider nicht.

Zitat:

Zitat von M-K-D-B

Starte den TDSS-Killer nochmals und berichte, welcher Fehlermeldung genau erscheint bzw. was genau passiert.

Keine Fehlermeldung, kein Start des Programmes, keine Möglichkeit etwas auszuwählen.

Zitat:

Zitat von M-K-D-B

Mit der Taste "Druck" kannst du deinen Screenshot erstellen. Das Bild befindet sich dann im Cache und über Paint oder ein anderes Bildbearbeitungsprogramm kannst du dann das Bild deines Desktops einfügen und ausführen.

OK

Zitat:

Zitat von M-K-D-B

>>Eben habe ich den TDSSkiller gefunden mit Hilfe autoruns, als Aufgabe 4* (?)<<
Wie gefunden? Das Tool solltest du auf deinem Desktop abspeichern und von dort speichern. Ich weiß gerade nicht, was du damit meinst.

Klar habe ich das Programm auf dem Desktop abgespeichert und versucht zu starten.
Damit meine ich, ich habe das Programm autoruns.exe, dieses zeigt einen Liste (kennst Du hundertpro) mit z.B. den Programmen die bei Rechnerstart ausgeführt werden usw. In der Liste fand ich dann unter dem Punkt Scheduled Tasks diese 4 Einträge.
Dieses sind die Einträge
\{17BC5798-2118-4963-9B20-5C7238DE7D37} TDSS rootkit removing tool Kaspersky Lab ZAO c:\users\xxxx\desktop\tdsskiller.exe
\{9D526A73-F749-4B5D-B20D-66D123B020C1} TDSS rootkit removing tool Kaspersky Lab ZAO c:\users\xxxx\desktop\tdsskiller.exe
\{EF1B8592-03D4-4C87-859E-0F399CACEB92} TDSS rootkit removing tool Kaspersky Lab ZAO c:\users\xxxx\desktop\tdsskiller.exe
\{F99817D0-FC7C-4548-B781-9A7F1DE873D2} TDSS rootkit removing tool Kaspersky Lab ZAO c:\users\xxxx\desktop\tdsskiller.exe

Wobei xxxx mein User ist.
Ich lege nun mit den nächsten 3 Schritten los.

Gruß, Stefan

sbie · 16.06.2011, 17:59

Hallo M-K-D-B,

Zitat:

Zitat von M-K-D-B

Schritt # 1: Windows im abgesicherten Modus starten

Hab ich gemacht und wunderschöne größe Icon

gesehen. Hier aber startet der TdssKiller auch nicht.....

(Nun schreib ich mal ein bischen mehr)

Dann Neustart normal, google nach tdsskiller, klick auf
support.kaspersky.com/viruses/solutions?...
dann kam beim ersten mal
hxxp://search.de.wahnsinns-schnaeppchen.de/?action=search&keyword=tdsskiller+download
und sowas wie podcastmania...

Den Browser habe ich dann geschlossen und neu aufgerufen, wieder suche, klick auf support...
dann kam
hxxp://secure.bidvertiser.com/performance/bdv_rd.dbm?enparms2=9377,959089,1180416,9278,9285,9285,9328,0,0,9282,0,956546,8137,171683,10127,9294,589877912,7836673%3C%3C37%3E,92%252U2%25RIY%2BY3% 250.4U2%25gmvwriG%2BY3%251.6%2BGM%2BhdlwmrD%2BY3%250.8%2BVRHN%2BY3%25voyrgzknlx82%25%2B0.4U2%25zooralN,nlx.qmvigzvsgbgrmfnnlx.dddu2%25u2%25%3Akggs&ioa =0&ncm=1&bd_ref_v=www.bidvertiser.com&TREF=1&WIN_NAME=&Category=7&ownid=484-direc10&u_agnt=&skter=wzlomdlw%2Bivoorphhwg&frdto=oh%3Df%26f%3Diz%26z%3Dhg%26i%3Dgz%2601XVIRW-484_218949%3Dwrg%26wzlomdlw%2Bivoorphhwg%3Dnivg%2634330756%3Dwrwz%3FpxroXwz%2FveivHwz%2Fnlx.hwzpox%2F%2F%3Akggs

Den Browser habe ich dann geschlossen und neu aufgerufen, wieder suche, klick auf support...
dann kam endlich
hxxp://support.kaspersky.com/viruses/solutions?qid=208280684

Warum eigentlich hxxp?

Von dort habe ich dann den tdsskiller zip geladen, entpackt und läuuuffft!.
(Die exe hat nun eine andere Größe.)
Und ne andere Version
Alt: Version 2.5.4.0
Neu: Version 2.5.5.0

Zitat:

Zitat von M-K-D-B

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
die genaue Fehlermeldung des TDSS-Killers,

Nix Fehler mehr.

Zitat:

Zitat von M-K-D-B

das Logfile des TDSS-Killers,

hier endliche das TDss Log, ich sach nur Wolfs Schnapp

oder so ähnlich

Code:

ATTFilter

2011/06/16 18:32:10.0862 2640	TDSS rootkit removing tool 2.5.5.0 Jun 16 2011 15:25:15
2011/06/16 18:32:10.0862 2640	================================================================================
2011/06/16 18:32:10.0862 2640	SystemInfo:
2011/06/16 18:32:10.0862 2640	
2011/06/16 18:32:10.0862 2640	OS Version: 6.1.7600 ServicePack: 0.0
2011/06/16 18:32:10.0862 2640	Product type: Workstation
2011/06/16 18:32:10.0862 2640	ComputerName: MEDIONE4100D
2011/06/16 18:32:10.0862 2640	UserName: xxxxx
2011/06/16 18:32:10.0862 2640	Windows directory: C:\Windows
2011/06/16 18:32:10.0862 2640	System windows directory: C:\Windows
2011/06/16 18:32:10.0862 2640	Processor architecture: Intel x86
2011/06/16 18:32:10.0862 2640	Number of processors: 2
2011/06/16 18:32:10.0862 2640	Page size: 0x1000
2011/06/16 18:32:10.0862 2640	Boot type: Normal boot
2011/06/16 18:32:10.0862 2640	================================================================================
2011/06/16 18:32:11.0782 2640	Initialize success
2011/06/16 18:32:25.0651 3348	================================================================================
2011/06/16 18:32:25.0651 3348	Scan started
2011/06/16 18:32:25.0651 3348	Mode: Manual; 
2011/06/16 18:32:25.0651 3348	================================================================================
2011/06/16 18:32:26.0322 3348	1394ohci        (6d2aca41739bfe8cb86ee8e85f29697d) C:\Windows\system32\DRIVERS\1394ohci.sys
2011/06/16 18:32:26.0369 3348	ACPI            (f0e07d144c8685b8774bc32fc8da4df0) C:\Windows\system32\DRIVERS\ACPI.sys
2011/06/16 18:32:26.0400 3348	AcpiPmi         (98d81ca942d19f7d9153b095162ac013) C:\Windows\system32\DRIVERS\acpipmi.sys
2011/06/16 18:32:26.0431 3348	adp94xx         (21e785ebd7dc90a06391141aac7892fb) C:\Windows\system32\DRIVERS\adp94xx.sys
2011/06/16 18:32:26.0478 3348	adpahci         (0c676bc278d5b59ff5abd57bbe9123f2) C:\Windows\system32\DRIVERS\adpahci.sys
2011/06/16 18:32:26.0509 3348	adpu320         (7c7b5ee4b7b822ec85321fe23a27db33) C:\Windows\system32\DRIVERS\adpu320.sys
2011/06/16 18:32:26.0556 3348	AFD             (ddc040fdb01ef1712a6b13e52afb104c) C:\Windows\system32\drivers\afd.sys
2011/06/16 18:32:26.0587 3348	agp440          (507812c3054c21cef746b6ee3d04dd6e) C:\Windows\system32\DRIVERS\agp440.sys
2011/06/16 18:32:26.0618 3348	aic78xx         (8b30250d573a8f6b4bd23195160d8707) C:\Windows\system32\DRIVERS\djsvs.sys
2011/06/16 18:32:26.0634 3348	aliide          (0d40bcf52ea90fc7df2aeab6503dea44) C:\Windows\system32\DRIVERS\aliide.sys
2011/06/16 18:32:26.0665 3348	amdagp          (3c6600a0696e90a463771c7422e23ab5) C:\Windows\system32\DRIVERS\amdagp.sys
2011/06/16 18:32:26.0681 3348	amdide          (cd5914170297126b6266860198d1d4f0) C:\Windows\system32\DRIVERS\amdide.sys
2011/06/16 18:32:26.0696 3348	AmdK8           (00dda200d71bac534bf56a9db5dfd666) C:\Windows\system32\DRIVERS\amdk8.sys
2011/06/16 18:32:26.0712 3348	AmdPPM          (3cbf30f5370fda40dd3e87df38ea53b6) C:\Windows\system32\DRIVERS\amdppm.sys
2011/06/16 18:32:26.0759 3348	amdsata         (2101a86c25c154f8314b24ef49d7fbc2) C:\Windows\system32\DRIVERS\amdsata.sys
2011/06/16 18:32:26.0790 3348	amdsbs          (ea43af0c423ff267355f74e7a53bdaba) C:\Windows\system32\DRIVERS\amdsbs.sys
2011/06/16 18:32:26.0805 3348	amdxata         (b81c2b5616f6420a9941ea093a92b150) C:\Windows\system32\DRIVERS\amdxata.sys
2011/06/16 18:32:26.0868 3348	AppID           (feb834c02ce1e84b6a38f953ca067706) C:\Windows\system32\drivers\appid.sys
2011/06/16 18:32:26.0899 3348	arc             (2932004f49677bd84dbc72edb754ffb3) C:\Windows\system32\DRIVERS\arc.sys
2011/06/16 18:32:26.0915 3348	arcsas          (5d6f36c46fd283ae1b57bd2e9feb0bc7) C:\Windows\system32\DRIVERS\arcsas.sys
2011/06/16 18:32:26.0946 3348	AsyncMac        (add2ade1c2b285ab8378d2daaf991481) C:\Windows\system32\DRIVERS\asyncmac.sys
2011/06/16 18:32:26.0977 3348	atapi           (338c86357871c167a96ab976519bf59e) C:\Windows\system32\DRIVERS\atapi.sys
2011/06/16 18:32:27.0024 3348	avgntflt        (47b879406246ffdced59e18d331a0e7d) C:\Windows\system32\DRIVERS\avgntflt.sys
2011/06/16 18:32:27.0039 3348	avipbb          (5fedef54757b34fb611b9ec8fb399364) C:\Windows\system32\DRIVERS\avipbb.sys
2011/06/16 18:32:27.0071 3348	b06bdrv         (1a231abec60fd316ec54c66715543cec) C:\Windows\system32\DRIVERS\bxvbdx.sys
2011/06/16 18:32:27.0102 3348	b57nd60x        (bd8869eb9cde6bbe4508d869929869ee) C:\Windows\system32\DRIVERS\b57nd60x.sys
2011/06/16 18:32:27.0133 3348	Beep            (505506526a9d467307b3c393dedaf858) C:\Windows\system32\drivers\Beep.sys
2011/06/16 18:32:27.0164 3348	blbdrive        (2287078ed48fcfc477b05b20cf38f36f) C:\Windows\system32\DRIVERS\blbdrive.sys
2011/06/16 18:32:27.0227 3348	bowser          (9a5c671b7fbae4865149bb11f59b91b2) C:\Windows\system32\DRIVERS\bowser.sys
2011/06/16 18:32:27.0242 3348	BrFiltLo        (9f9acc7f7ccde8a15c282d3f88b43309) C:\Windows\system32\DRIVERS\BrFiltLo.sys
2011/06/16 18:32:27.0273 3348	BrFiltUp        (56801ad62213a41f6497f96dee83755a) C:\Windows\system32\DRIVERS\BrFiltUp.sys
2011/06/16 18:32:27.0305 3348	Brserid         (845b8ce732e67f3b4133164868c666ea) C:\Windows\System32\Drivers\Brserid.sys
2011/06/16 18:32:27.0320 3348	BrSerWdm        (203f0b1e73adadbbb7b7b1fabd901f6b) C:\Windows\System32\Drivers\BrSerWdm.sys
2011/06/16 18:32:27.0336 3348	BrUsbMdm        (bd456606156ba17e60a04e18016ae54b) C:\Windows\System32\Drivers\BrUsbMdm.sys
2011/06/16 18:32:27.0367 3348	BrUsbSer        (af72ed54503f717a43268b3cc5faec2e) C:\Windows\System32\Drivers\BrUsbSer.sys
2011/06/16 18:32:27.0398 3348	BTHMODEM        (ed3df7c56ce0084eb2034432fc56565a) C:\Windows\system32\DRIVERS\bthmodem.sys
2011/06/16 18:32:27.0507 3348	cdfs            (77ea11b065e0a8ab902d78145ca51e10) C:\Windows\system32\DRIVERS\cdfs.sys
2011/06/16 18:32:27.0570 3348	cdrom           (ba6e70aa0e6091bc39de29477d866a77) C:\Windows\system32\DRIVERS\cdrom.sys
2011/06/16 18:32:27.0585 3348	circlass        (3fe3fe94a34df6fb06e6418d0f6a0060) C:\Windows\system32\DRIVERS\circlass.sys
2011/06/16 18:32:27.0617 3348	CLFS            (635181e0e9bbf16871bf5380d71db02d) C:\Windows\system32\CLFS.sys
2011/06/16 18:32:27.0632 3348	CmBatt          (dea805815e587dad1dd2c502220b5616) C:\Windows\system32\DRIVERS\CmBatt.sys
2011/06/16 18:32:27.0663 3348	cmdide          (c537b1db64d495b9b4717b4d6d9edbf2) C:\Windows\system32\DRIVERS\cmdide.sys
2011/06/16 18:32:27.0695 3348	CNG             (1b675691ed940766149c93e8f4488d68) C:\Windows\system32\Drivers\cng.sys
2011/06/16 18:32:27.0710 3348	Compbatt        (a6023d3823c37043986713f118a89bee) C:\Windows\system32\DRIVERS\compbatt.sys
2011/06/16 18:32:27.0741 3348	CompositeBus    (f1724ba27e97d627f808fb0ba77a28a6) C:\Windows\system32\DRIVERS\CompositeBus.sys
2011/06/16 18:32:27.0773 3348	crcdisk         (2c4ebcfc84a9b44f209dff6c6e6c61d1) C:\Windows\system32\DRIVERS\crcdisk.sys
2011/06/16 18:32:27.0819 3348	DfsC            (8e09e52ee2e3ceb199ef3dd99cf9e3fb) C:\Windows\system32\Drivers\dfsc.sys
2011/06/16 18:32:27.0835 3348	discache        (1a050b0274bfb3890703d490f330c0da) C:\Windows\system32\drivers\discache.sys
2011/06/16 18:32:27.0866 3348	Disk            (565003f326f99802e68ca78f2a68e9ff) C:\Windows\system32\DRIVERS\disk.sys
2011/06/16 18:32:27.0913 3348	drmkaud         (b918e7c5f9bf77202f89e1a9539f2eb4) C:\Windows\system32\drivers\drmkaud.sys
2011/06/16 18:32:27.0960 3348	DXGKrnl         (c94b6c3cc628179cb9b9061c19888b99) C:\Windows\System32\drivers\dxgkrnl.sys
2011/06/16 18:32:28.0053 3348	ebdrv           (024e1b5cac09731e4d868e64dbfb4ab0) C:\Windows\system32\DRIVERS\evbdx.sys
2011/06/16 18:32:28.0131 3348	elxstor         (0ed67910c8c326796faa00b2bf6d9d3c) C:\Windows\system32\DRIVERS\elxstor.sys
2011/06/16 18:32:28.0163 3348	ErrDev          (8fc3208352dd3912c94367a206ab3f11) C:\Windows\system32\DRIVERS\errdev.sys
2011/06/16 18:32:28.0194 3348	exfat           (2dc9108d74081149cc8b651d3a26207f) C:\Windows\system32\drivers\exfat.sys
2011/06/16 18:32:28.0225 3348	fastfat         (7e0ab74553476622fb6ae36f73d97d35) C:\Windows\system32\drivers\fastfat.sys
2011/06/16 18:32:28.0256 3348	fdc             (e817a017f82df2a1f8cfdbda29388b29) C:\Windows\system32\DRIVERS\fdc.sys
2011/06/16 18:32:28.0287 3348	FileInfo        (6cf00369c97f3cf563be99be983d13d8) C:\Windows\system32\drivers\fileinfo.sys
2011/06/16 18:32:28.0303 3348	Filetrace       (42c51dc94c91da21cb9196eb64c45db9) C:\Windows\system32\drivers\filetrace.sys
2011/06/16 18:32:28.0334 3348	flpydisk        (87907aa70cb3c56600f1c2fb8841579b) C:\Windows\system32\DRIVERS\flpydisk.sys
2011/06/16 18:32:28.0350 3348	FltMgr          (7520ec808e0c35e0ee6f841294316653) C:\Windows\system32\drivers\fltmgr.sys
2011/06/16 18:32:28.0381 3348	FsDepends       (1a16b57943853e598cff37fe2b8cbf1d) C:\Windows\system32\drivers\FsDepends.sys
2011/06/16 18:32:28.0412 3348	Fs_Rec          (a574b4360e438977038aae4bf60d79a2) C:\Windows\system32\drivers\Fs_Rec.sys
2011/06/16 18:32:28.0443 3348	fvevol          (dafbd9fe39197495aed6d51f3b85b5d2) C:\Windows\system32\DRIVERS\fvevol.sys
2011/06/16 18:32:28.0475 3348	gagp30kx        (65ee0c7a58b65e74ae05637418153938) C:\Windows\system32\DRIVERS\gagp30kx.sys
2011/06/16 18:32:28.0521 3348	hcw85cir        (c44e3c2bab6837db337ddee7544736db) C:\Windows\system32\drivers\hcw85cir.sys
2011/06/16 18:32:28.0553 3348	HdAudAddService (3530cad25deba7dc7de8bb51632cbc5f) C:\Windows\system32\drivers\HdAudio.sys
2011/06/16 18:32:28.0584 3348	HDAudBus        (717a2207fd6f13ad3e664c7d5a43c7bf) C:\Windows\system32\DRIVERS\HDAudBus.sys
2011/06/16 18:32:28.0631 3348	HidBatt         (1d58a7f3e11a9731d0eaaaa8405acc36) C:\Windows\system32\DRIVERS\HidBatt.sys
2011/06/16 18:32:28.0662 3348	HidBth          (89448f40e6df260c206a193a4683ba78) C:\Windows\system32\DRIVERS\hidbth.sys
2011/06/16 18:32:28.0677 3348	HidIr           (cf50b4cf4a4f229b9f3c08351f99ca5e) C:\Windows\system32\DRIVERS\hidir.sys
2011/06/16 18:32:28.0709 3348	HidUsb          (25072fb35ac90b25f9e4e3bacf774102) C:\Windows\system32\DRIVERS\hidusb.sys
2011/06/16 18:32:28.0755 3348	HpSAMD          (295fdc419039090eb8b49ffdbb374549) C:\Windows\system32\DRIVERS\HpSAMD.sys
2011/06/16 18:32:28.0771 3348	HTTP            (c531c7fd9e8b62021112787c4e2c5a5a) C:\Windows\system32\drivers\HTTP.sys
2011/06/16 18:32:28.0802 3348	hwpolicy        (8305f33cde89ad6c7a0763ed0b5a8d42) C:\Windows\system32\drivers\hwpolicy.sys
2011/06/16 18:32:28.0818 3348	i8042prt        (f151f0bdc47f4a28b1b20a0818ea36d6) C:\Windows\system32\DRIVERS\i8042prt.sys
2011/06/16 18:32:28.0849 3348	iaStorV         (934af4d7c5f457b9f0743f4299b77b67) C:\Windows\system32\DRIVERS\iaStorV.sys
2011/06/16 18:32:29.0052 3348	igfx            (8266ae06df974e5ba047b3e9e9e70b3f) C:\Windows\system32\DRIVERS\igdkmd32.sys
2011/06/16 18:32:29.0177 3348	iirsp           (4173ff5708f3236cf25195fecd742915) C:\Windows\system32\DRIVERS\iirsp.sys
2011/06/16 18:32:29.0286 3348	IntcAzAudAddService (f4427e5df32cde359b2e2e5512d18001) C:\Windows\system32\drivers\RTKVHDA.sys
2011/06/16 18:32:29.0348 3348	IntcHdmiAddService (264632ade8127b7baa2190cf6fad435b) C:\Windows\system32\drivers\IntcHdmi.sys
2011/06/16 18:32:29.0364 3348	intelide        (a0f12f2c9ba6c72f3987ce780e77c130) C:\Windows\system32\DRIVERS\intelide.sys
2011/06/16 18:32:29.0395 3348	intelppm        (3b514d27bfc4accb4037bc6685f766e0) C:\Windows\system32\DRIVERS\intelppm.sys
2011/06/16 18:32:29.0426 3348	IPMIDRV         (e4454b6c37d7ffd5649611f6496308a7) C:\Windows\system32\DRIVERS\IPMIDrv.sys
2011/06/16 18:32:29.0457 3348	IPNAT           (a5fa468d67abcdaa36264e463a7bb0cd) C:\Windows\system32\drivers\ipnat.sys
2011/06/16 18:32:29.0473 3348	IRENUM          (42996cff20a3084a56017b7902307e9f) C:\Windows\system32\drivers\irenum.sys
2011/06/16 18:32:29.0504 3348	isapnp          (1f32bb6b38f62f7df1a7ab7292638a35) C:\Windows\system32\DRIVERS\isapnp.sys
2011/06/16 18:32:29.0535 3348	iScsiPrt        (ed46c223ae46c6866ab77cdc41c404b7) C:\Windows\system32\DRIVERS\msiscsi.sys
2011/06/16 18:32:29.0551 3348	kbdclass        (adef52ca1aeae82b50df86b56413107e) C:\Windows\system32\DRIVERS\kbdclass.sys
2011/06/16 18:32:29.0567 3348	kbdhid          (3d9f0ebf350edcfd6498057301455964) C:\Windows\system32\DRIVERS\kbdhid.sys
2011/06/16 18:32:29.0598 3348	KSecDD          (e36a061ec11b373826905b21be10948f) C:\Windows\system32\Drivers\ksecdd.sys
2011/06/16 18:32:29.0629 3348	KSecPkg         (365c6154bbbc5377173f1ca7bfb6cc59) C:\Windows\system32\Drivers\ksecpkg.sys
2011/06/16 18:32:29.0660 3348	lltdio          (f7611ec07349979da9b0ae1f18ccc7a6) C:\Windows\system32\DRIVERS\lltdio.sys
2011/06/16 18:32:29.0723 3348	LSI_FC          (eb119a53ccf2acc000ac71b065b78fef) C:\Windows\system32\DRIVERS\lsi_fc.sys
2011/06/16 18:32:29.0738 3348	LSI_SAS         (8ade1c877256a22e49b75d1cc9161f9c) C:\Windows\system32\DRIVERS\lsi_sas.sys
2011/06/16 18:32:29.0769 3348	LSI_SAS2        (dc9dc3d3daa0e276fd2ec262e38b11e9) C:\Windows\system32\DRIVERS\lsi_sas2.sys
2011/06/16 18:32:29.0785 3348	LSI_SCSI        (0a036c7d7cab643a7f07135ac47e0524) C:\Windows\system32\DRIVERS\lsi_scsi.sys
2011/06/16 18:32:29.0816 3348	luafv           (6703e366cc18d3b6e534f5cf7df39cee) C:\Windows\system32\drivers\luafv.sys
2011/06/16 18:32:29.0894 3348	megasas         (0fff5b045293002ab38eb1fd1fc2fb74) C:\Windows\system32\DRIVERS\megasas.sys
2011/06/16 18:32:29.0925 3348	MegaSR          (dcbab2920c75f390caf1d29f675d03d6) C:\Windows\system32\DRIVERS\MegaSR.sys
2011/06/16 18:32:29.0988 3348	mod7700         (e821a366aa77f6e4f76056f35f76dee8) C:\Windows\system32\DRIVERS\dvb7700all.sys
2011/06/16 18:32:30.0019 3348	Modem           (f001861e5700ee84e2d4e52c712f4964) C:\Windows\system32\drivers\modem.sys
2011/06/16 18:32:30.0035 3348	monitor         (79d10964de86b292320e9dfe02282a23) C:\Windows\system32\DRIVERS\monitor.sys
2011/06/16 18:32:30.0081 3348	mouclass        (fb18cc1d4c2e716b6b903b0ac0cc0609) C:\Windows\system32\DRIVERS\mouclass.sys
2011/06/16 18:32:30.0113 3348	mouhid          (2c388d2cd01c9042596cf3c8f3c7b24d) C:\Windows\system32\DRIVERS\mouhid.sys
2011/06/16 18:32:30.0128 3348	mountmgr        (921c18727c5920d6c0300736646931c2) C:\Windows\system32\drivers\mountmgr.sys
2011/06/16 18:32:30.0175 3348	mpio            (2af5997438c55fb79d33d015c30e1974) C:\Windows\system32\DRIVERS\mpio.sys
2011/06/16 18:32:30.0191 3348	mpsdrv          (ad2723a7b53dd1aacae6ad8c0bfbf4d0) C:\Windows\system32\drivers\mpsdrv.sys
2011/06/16 18:32:30.0206 3348	MRxDAV          (b1be47008d20e43da3adc37c24cdb89d) C:\Windows\system32\drivers\mrxdav.sys
2011/06/16 18:32:30.0253 3348	mrxsmb          (b4c76ef46322a9711c7b0f4e21ef6ea5) C:\Windows\system32\DRIVERS\mrxsmb.sys
2011/06/16 18:32:30.0300 3348	mrxsmb10        (e593d45024a3fdd11e93cc4a6ca91101) C:\Windows\system32\DRIVERS\mrxsmb10.sys
2011/06/16 18:32:30.0315 3348	mrxsmb20        (a9f86c82c9cc3b679cc3957e1183a30f) C:\Windows\system32\DRIVERS\mrxsmb20.sys
2011/06/16 18:32:30.0331 3348	msahci          (4326d168944123f38dd3b2d9c37a0b12) C:\Windows\system32\DRIVERS\msahci.sys
2011/06/16 18:32:30.0362 3348	msdsm           (455029c7174a2dbb03dba8a0d8bddd9a) C:\Windows\system32\DRIVERS\msdsm.sys
2011/06/16 18:32:30.0393 3348	Msfs            (daefb28e3af5a76abcc2c3078c07327f) C:\Windows\system32\drivers\Msfs.sys
2011/06/16 18:32:30.0409 3348	mshidkmdf       (3e1e5767043c5af9367f0056295e9f84) C:\Windows\System32\drivers\mshidkmdf.sys
2011/06/16 18:32:30.0425 3348	msisadrv        (0a4e5757ae09fa9622e3158cc1aef114) C:\Windows\system32\DRIVERS\msisadrv.sys
2011/06/16 18:32:30.0471 3348	MSKSSRV         (8c0860d6366aaffb6c5bb9df9448e631) C:\Windows\system32\drivers\MSKSSRV.sys
2011/06/16 18:32:30.0487 3348	MSPCLOCK        (3ea8b949f963562cedbb549eac0c11ce) C:\Windows\system32\drivers\MSPCLOCK.sys
2011/06/16 18:32:30.0503 3348	MSPQM           (f456e973590d663b1073e9c463b40932) C:\Windows\system32\drivers\MSPQM.sys
2011/06/16 18:32:30.0534 3348	MsRPC           (0e008fc4819d238c51d7c93e7b41e560) C:\Windows\system32\drivers\MsRPC.sys
2011/06/16 18:32:30.0565 3348	mssmbios        (fc6b9ff600cc585ea38b12589bd4e246) C:\Windows\system32\DRIVERS\mssmbios.sys
2011/06/16 18:32:30.0581 3348	MSTEE           (b42c6b921f61a6e55159b8be6cd54a36) C:\Windows\system32\drivers\MSTEE.sys
2011/06/16 18:32:30.0596 3348	MTConfig        (33599130f44e1f34631cea241de8ac84) C:\Windows\system32\DRIVERS\MTConfig.sys
2011/06/16 18:32:30.0627 3348	Mup             (159fad02f64e6381758c990f753bcc80) C:\Windows\system32\Drivers\mup.sys
2011/06/16 18:32:30.0659 3348	NativeWifiP     (26384429fcd85d83746f63e798ab1480) C:\Windows\system32\DRIVERS\nwifi.sys
2011/06/16 18:32:30.0690 3348	NDIS            (23759d175a0a9baaf04d05047bc135a8) C:\Windows\system32\drivers\ndis.sys
2011/06/16 18:32:30.0721 3348	NdisCap         (0e1787aa6c9191d3d319e8bafe86f80c) C:\Windows\system32\DRIVERS\ndiscap.sys
2011/06/16 18:32:30.0752 3348	NdisTapi        (e4a8aec125a2e43a9e32afeea7c9c888) C:\Windows\system32\DRIVERS\ndistapi.sys
2011/06/16 18:32:30.0768 3348	Ndisuio         (b30ae7f2b6d7e343b0df32e6c08fce75) C:\Windows\system32\DRIVERS\ndisuio.sys
2011/06/16 18:32:30.0799 3348	NdisWan         (267c415eadcbe53c9ca873dee39cf3a4) C:\Windows\system32\DRIVERS\ndiswan.sys
2011/06/16 18:32:30.0830 3348	NDNdisprot      (8f619cc242442dfa6d42a8227866fd57) C:\Windows\system32\DRIVERS\ndndisprot.sys
2011/06/16 18:32:30.0861 3348	NDProxy         (af7e7c63dcef3f8772726f86039d6eb4) C:\Windows\system32\drivers\NDProxy.sys
2011/06/16 18:32:30.0877 3348	NetBIOS         (80b275b1ce3b0e79909db7b39af74d51) C:\Windows\system32\DRIVERS\netbios.sys
2011/06/16 18:32:30.0893 3348	NetBT           (dd52a733bf4ca5af84562a5e2f963b91) C:\Windows\system32\DRIVERS\netbt.sys
2011/06/16 18:32:30.0955 3348	nfrd960         (1d85c4b390b0ee09c7a46b91efb2c097) C:\Windows\system32\DRIVERS\nfrd960.sys
2011/06/16 18:32:31.0002 3348	Npfs            (1db262a9f8c087e8153d89bef3d2235f) C:\Windows\system32\drivers\Npfs.sys
2011/06/16 18:32:31.0033 3348	nsiproxy        (e9a0a4d07e53d8fea2bb8387a3293c58) C:\Windows\system32\drivers\nsiproxy.sys
2011/06/16 18:32:31.0080 3348	Ntfs            (3795dcd21f740ee799fb7223234215af) C:\Windows\system32\drivers\Ntfs.sys
2011/06/16 18:32:31.0111 3348	Null            (f9756a98d69098dca8945d62858a812c) C:\Windows\system32\drivers\Null.sys
2011/06/16 18:32:31.0127 3348	nvraid          (3f3d04b1d08d43c16ea7963954ec768d) C:\Windows\system32\DRIVERS\nvraid.sys
2011/06/16 18:32:31.0158 3348	nvstor          (c99f251a5de63c6f129cf71933aced0f) C:\Windows\system32\DRIVERS\nvstor.sys
2011/06/16 18:32:31.0173 3348	nv_agp          (5a0983915f02bae73267cc2a041f717d) C:\Windows\system32\DRIVERS\nv_agp.sys
2011/06/16 18:32:31.0205 3348	ohci1394        (08a70a1f2cdde9bb49b885cb817a66eb) C:\Windows\system32\DRIVERS\ohci1394.sys
2011/06/16 18:32:31.0267 3348	Parport         (2ea877ed5dd9713c5ac74e8ea7348d14) C:\Windows\system32\DRIVERS\parport.sys
2011/06/16 18:32:31.0298 3348	partmgr         (ff4218952b51de44fe910953a3e686b9) C:\Windows\system32\drivers\partmgr.sys
2011/06/16 18:32:31.0314 3348	Parvdm          (eb0a59f29c19b86479d36b35983daadc) C:\Windows\system32\DRIVERS\parvdm.sys
2011/06/16 18:32:31.0345 3348	pci             (c858cb77c577780ecc456a892e7e7d0f) C:\Windows\system32\DRIVERS\pci.sys
2011/06/16 18:32:31.0361 3348	pciide          (afe86f419014db4e5593f69ffe26ce0a) C:\Windows\system32\DRIVERS\pciide.sys
2011/06/16 18:32:31.0376 3348	pcmcia          (f396431b31693e71e8a80687ef523506) C:\Windows\system32\DRIVERS\pcmcia.sys
2011/06/16 18:32:31.0392 3348	pcw             (250f6b43d2b613172035c6747aeeb19f) C:\Windows\system32\drivers\pcw.sys
2011/06/16 18:32:31.0423 3348	PEAUTH          (9e0104ba49f4e6973749a02bf41344ed) C:\Windows\system32\drivers\peauth.sys
2011/06/16 18:32:31.0501 3348	PptpMiniport    (631e3e205ad6d86f2aed6a4a8e69f2db) C:\Windows\system32\DRIVERS\raspptp.sys
2011/06/16 18:32:31.0532 3348	Processor       (85b1e3a0c7585bc4aae6899ec6fcf011) C:\Windows\system32\DRIVERS\processr.sys
2011/06/16 18:32:31.0563 3348	Psched          (6270ccae2a86de6d146529fe55b3246a) C:\Windows\system32\DRIVERS\pacer.sys
2011/06/16 18:32:31.0610 3348	ql2300          (ab95ecf1f6659a60ddc166d8315b0751) C:\Windows\system32\DRIVERS\ql2300.sys
2011/06/16 18:32:31.0657 3348	ql40xx          (b4dd51dd25182244b86737dc51af2270) C:\Windows\system32\DRIVERS\ql40xx.sys
2011/06/16 18:32:31.0688 3348	QWAVEdrv        (584078ca1b95ca72df2a27c336f9719d) C:\Windows\system32\drivers\qwavedrv.sys
2011/06/16 18:32:31.0704 3348	RasAcd          (30a81b53c766d0133bb86d234e5556ab) C:\Windows\system32\DRIVERS\rasacd.sys
2011/06/16 18:32:31.0735 3348	RasAgileVpn     (57ec4aef73660166074d8f7f31c0d4fd) C:\Windows\system32\DRIVERS\AgileVpn.sys
2011/06/16 18:32:31.0751 3348	Rasl2tp         (d9f91eafec2815365cbe6d167e4e332a) C:\Windows\system32\DRIVERS\rasl2tp.sys
2011/06/16 18:32:31.0782 3348	RasPppoe        (0fe8b15916307a6ac12bfb6a63e45507) C:\Windows\system32\DRIVERS\raspppoe.sys
2011/06/16 18:32:31.0797 3348	RasSstp         (44101f495a83ea6401d886e7fd70096b) C:\Windows\system32\DRIVERS\rassstp.sys
2011/06/16 18:32:31.0829 3348	rdbss           (835d7e81bf517a3b72384bdcc85e1ce6) C:\Windows\system32\DRIVERS\rdbss.sys
2011/06/16 18:32:31.0860 3348	rdpbus          (0d8f05481cb76e70e1da06ee9f0da9df) C:\Windows\system32\DRIVERS\rdpbus.sys
2011/06/16 18:32:31.0875 3348	RDPCDD          (1e016846895b15a99f9a176a05029075) C:\Windows\system32\DRIVERS\RDPCDD.sys
2011/06/16 18:32:31.0891 3348	RDPENCDD        (5a53ca1598dd4156d44196d200c94b8a) C:\Windows\system32\drivers\rdpencdd.sys
2011/06/16 18:32:31.0922 3348	RDPREFMP        (44b0a53cd4f27d50ed461dae0c0b4e1f) C:\Windows\system32\drivers\rdprefmp.sys
2011/06/16 18:32:31.0938 3348	RDPWD           (801371ba9782282892d00aadb08ee367) C:\Windows\system32\drivers\RDPWD.sys
2011/06/16 18:32:31.0969 3348	rdyboost        (4ea225bf1cf05e158853f30a99ca29a7) C:\Windows\system32\drivers\rdyboost.sys
2011/06/16 18:32:32.0016 3348	rspndr          (032b0d36ad92b582d869879f5af5b928) C:\Windows\system32\DRIVERS\rspndr.sys
2011/06/16 18:32:32.0063 3348	RTL8167         (bcebd5d1aabce4efb7597635e347c44b) C:\Windows\system32\DRIVERS\Rt86win7.sys
2011/06/16 18:32:32.0109 3348	RTL8192su       (51adef77e4c929535fd50da153774e79) C:\Windows\system32\DRIVERS\RTL8192su.sys
2011/06/16 18:32:32.0187 3348	SASDIFSV        (a3281aec37e0720a2bc28034c2df2a56) C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS
2011/06/16 18:32:32.0203 3348	SASKUTIL        (61db0d0756a99506207fd724e3692b25) C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS
2011/06/16 18:32:32.0250 3348	sbp2port        (34ee0c44b724e3e4ce2eff29126de5b5) C:\Windows\system32\DRIVERS\sbp2port.sys
2011/06/16 18:32:32.0281 3348	scfilter        (a95c54b2ac3cc9c73fcdf9e51a1d6b51) C:\Windows\system32\DRIVERS\scfilter.sys
2011/06/16 18:32:32.0328 3348	secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\Windows\system32\drivers\secdrv.sys
2011/06/16 18:32:32.0359 3348	Serenum         (9ad8b8b515e3df6acd4212ef465de2d1) C:\Windows\system32\DRIVERS\serenum.sys
2011/06/16 18:32:32.0390 3348	Serial          (5fb7fcea0490d821f26f39cc5ea3d1e2) C:\Windows\system32\DRIVERS\serial.sys
2011/06/16 18:32:32.0406 3348	sermouse        (79bffb520327ff916a582dfea17aa813) C:\Windows\system32\DRIVERS\sermouse.sys
2011/06/16 18:32:32.0437 3348	sffdisk         (9f976e1eb233df46fce808d9dea3eb9c) C:\Windows\system32\DRIVERS\sffdisk.sys
2011/06/16 18:32:32.0453 3348	sffp_mmc        (932a68ee27833cfd57c1639d375f2731) C:\Windows\system32\DRIVERS\sffp_mmc.sys
2011/06/16 18:32:32.0468 3348	sffp_sd         (a0708bbd07d245c06ff9de549ca47185) C:\Windows\system32\DRIVERS\sffp_sd.sys
2011/06/16 18:32:32.0499 3348	sfloppy         (db96666cc8312ebc45032f30b007a547) C:\Windows\system32\DRIVERS\sfloppy.sys
2011/06/16 18:32:32.0531 3348	sisagp          (2565cac0dc9fe0371bdce60832582b2e) C:\Windows\system32\DRIVERS\sisagp.sys
2011/06/16 18:32:32.0546 3348	SiSRaid2        (a9f0486851becb6dda1d89d381e71055) C:\Windows\system32\DRIVERS\SiSRaid2.sys
2011/06/16 18:32:32.0577 3348	SiSRaid4        (3727097b55738e2f554972c3be5bc1aa) C:\Windows\system32\DRIVERS\sisraid4.sys
2011/06/16 18:32:32.0609 3348	Smb             (3e21c083b8a01cb70ba1f09303010fce) C:\Windows\system32\DRIVERS\smb.sys
2011/06/16 18:32:32.0640 3348	spldr           (95cf1ae7527fb70f7816563cbc09d942) C:\Windows\system32\drivers\spldr.sys
2011/06/16 18:32:32.0687 3348	srv             (4a9b0f215de2519e2363f91df25c1e97) C:\Windows\system32\DRIVERS\srv.sys
2011/06/16 18:32:32.0733 3348	srv2            (14c44875518ae1c982e54ea8c5f7fe28) C:\Windows\system32\DRIVERS\srv2.sys
2011/06/16 18:32:32.0749 3348	srvnet          (07a14223b0a50e76ade003fdf95d4fec) C:\Windows\system32\DRIVERS\srvnet.sys
2011/06/16 18:32:32.0811 3348	ssmdrv          (a36ee93698802cd899f98bfd553d8185) C:\Windows\system32\DRIVERS\ssmdrv.sys
2011/06/16 18:32:32.0843 3348	stexstor        (db32d325c192b801df274bfd12a7e72b) C:\Windows\system32\DRIVERS\stexstor.sys
2011/06/16 18:32:32.0858 3348	swenum          (e58c78a848add9610a4db6d214af5224) C:\Windows\system32\DRIVERS\swenum.sys
2011/06/16 18:32:32.0952 3348	Tcpip           (bb7f39c31c4a4417fd318e7cd184e225) C:\Windows\system32\drivers\tcpip.sys
2011/06/16 18:32:32.0983 3348	TCPIP6          (bb7f39c31c4a4417fd318e7cd184e225) C:\Windows\system32\DRIVERS\tcpip.sys
2011/06/16 18:32:33.0014 3348	tcpipreg        (e64444523add154f86567c469bc0b17f) C:\Windows\system32\drivers\tcpipreg.sys
2011/06/16 18:32:33.0045 3348	TDPIPE          (1875c1490d99e70e449e3afae9fcbadf) C:\Windows\system32\drivers\tdpipe.sys
2011/06/16 18:32:33.0061 3348	TDTCP           (7551e91ea999ee9a8e9c331d5a9c31f3) C:\Windows\system32\drivers\tdtcp.sys
2011/06/16 18:32:33.0077 3348	tdx             (cb39e896a2a83702d1737bfd402b3542) C:\Windows\system32\DRIVERS\tdx.sys
2011/06/16 18:32:33.0092 3348	TermDD          (c36f41ee20e6999dbf4b0425963268a5) C:\Windows\system32\DRIVERS\termdd.sys
2011/06/16 18:32:33.0139 3348	tssecsrv        (98ae6fa07d12cb4ec5cf4a9bfa5f4242) C:\Windows\system32\DRIVERS\tssecsrv.sys
2011/06/16 18:32:33.0170 3348	tunnel          (3e461d890a97f9d4c168f5fda36e1d00) C:\Windows\system32\DRIVERS\tunnel.sys
2011/06/16 18:32:33.0186 3348	uagp35          (750fbcb269f4d7dd2e420c56b795db6d) C:\Windows\system32\DRIVERS\uagp35.sys
2011/06/16 18:32:33.0217 3348	udfs            (09cc3e16f8e5ee7168e01cf8fcbe061a) C:\Windows\system32\DRIVERS\udfs.sys
2011/06/16 18:32:33.0264 3348	uliagpkx        (44e8048ace47befbfdc2e9be4cbc8880) C:\Windows\system32\DRIVERS\uliagpkx.sys
2011/06/16 18:32:33.0279 3348	umbus           (049b3a50b3d646baeeee9eec9b0668dc) C:\Windows\system32\DRIVERS\umbus.sys
2011/06/16 18:32:33.0295 3348	UmPass          (7550ad0c6998ba1cb4843e920ee0feac) C:\Windows\system32\DRIVERS\umpass.sys
2011/06/16 18:32:33.0326 3348	usbccgp         (8455c4ed038efd09e99327f9d2d48ffa) C:\Windows\system32\DRIVERS\usbccgp.sys
2011/06/16 18:32:33.0342 3348	usbcir          (04ec7cec62ec3b6d9354eee93327fc82) C:\Windows\system32\DRIVERS\usbcir.sys
2011/06/16 18:32:33.0373 3348	usbehci         (ff32d4f3ec3c68b2ca61782c7964f54e) C:\Windows\system32\DRIVERS\usbehci.sys
2011/06/16 18:32:33.0389 3348	usbhub          (b0dfc7b484e0ca0c27bda5433b82d94a) C:\Windows\system32\DRIVERS\usbhub.sys
2011/06/16 18:32:33.0404 3348	usbohci         (a6fb7957ea7afb1165991e54ce934b74) C:\Windows\system32\DRIVERS\usbohci.sys
2011/06/16 18:32:33.0435 3348	usbprint        (797d862fe0875e75c7cc4c1ad7b30252) C:\Windows\system32\DRIVERS\usbprint.sys
2011/06/16 18:32:33.0482 3348	usbscan         (576096ccbc07e7c4ea4f5e6686d6888f) C:\Windows\system32\DRIVERS\usbscan.sys
2011/06/16 18:32:33.0529 3348	USBSTOR         (d8889d56e0d27e57ed4591837fe71d27) C:\Windows\system32\DRIVERS\USBSTOR.SYS
2011/06/16 18:32:33.0545 3348	usbuhci         (78780c3ebce17405b1ccd07a3a8a7d72) C:\Windows\system32\DRIVERS\usbuhci.sys
2011/06/16 18:32:33.0560 3348	vdrvroot        (a059c4c3edb09e07d21a8e5c0aabd3cb) C:\Windows\system32\DRIVERS\vdrvroot.sys
2011/06/16 18:32:33.0591 3348	vga             (17c408214ea61696cec9c66e388b14f3) C:\Windows\system32\DRIVERS\vgapnp.sys
2011/06/16 18:32:33.0607 3348	VgaSave         (8e38096ad5c8570a6f1570a61e251561) C:\Windows\System32\drivers\vga.sys
2011/06/16 18:32:33.0638 3348	vhdmp           (3be6e1f3a4f1afec8cee0d7883f93583) C:\Windows\system32\DRIVERS\vhdmp.sys
2011/06/16 18:32:33.0669 3348	viaagp          (c829317a37b4bea8f39735d4b076e923) C:\Windows\system32\DRIVERS\viaagp.sys
2011/06/16 18:32:33.0685 3348	ViaC7           (e02f079a6aa107f06b16549c6e5c7b74) C:\Windows\system32\DRIVERS\viac7.sys
2011/06/16 18:32:33.0701 3348	viaide          (e43574f6a56a0ee11809b48c09e4fd3c) C:\Windows\system32\DRIVERS\viaide.sys
2011/06/16 18:32:33.0716 3348	volmgr          (384e5a2aa49934295171e499f86ba6f3) C:\Windows\system32\DRIVERS\volmgr.sys
2011/06/16 18:32:33.0747 3348	volmgrx         (b5bb72067ddddbbfb04b2f89ff8c3c87) C:\Windows\system32\drivers\volmgrx.sys
2011/06/16 18:32:33.0779 3348	volsnap         (7c28b63e4c9e5c3be7ffe53789593619) C:\Windows\system32\DRIVERS\volsnap.sys
2011/06/16 18:32:33.0779 3348	Suspicious file (Forged): C:\Windows\system32\DRIVERS\volsnap.sys. Real md5: 7c28b63e4c9e5c3be7ffe53789593619, Fake md5: 58df9d2481a56edde167e51b334d44fd
2011/06/16 18:32:33.0779 3348	volsnap - detected Rootkit.Win32.TDSS.tdl3 (0)
2011/06/16 18:32:33.0794 3348	vsmraid         (9dfa0cc2f8855a04816729651175b631) C:\Windows\system32\DRIVERS\vsmraid.sys
2011/06/16 18:32:33.0825 3348	vwifibus        (90567b1e658001e79d7c8bbd3dde5aa6) C:\Windows\System32\drivers\vwifibus.sys
2011/06/16 18:32:33.0857 3348	vwififlt        (7090d3436eeb4e7da3373090a23448f7) C:\Windows\system32\DRIVERS\vwififlt.sys
2011/06/16 18:32:33.0872 3348	vwifimp         (a3f04cbea6c2a10e6cb01f8b47611882) C:\Windows\system32\DRIVERS\vwifimp.sys
2011/06/16 18:32:33.0919 3348	WacomPen        (de3721e89c653aa281428c8a69745d90) C:\Windows\system32\DRIVERS\wacompen.sys
2011/06/16 18:32:33.0935 3348	WANARP          (692a712062146e96d28ba0b7d75de31b) C:\Windows\system32\DRIVERS\wanarp.sys
2011/06/16 18:32:33.0950 3348	Wanarpv6        (692a712062146e96d28ba0b7d75de31b) C:\Windows\system32\DRIVERS\wanarp.sys
2011/06/16 18:32:34.0013 3348	Wd              (1112a9badacb47b7c0bb0392e3158dff) C:\Windows\system32\DRIVERS\wd.sys
2011/06/16 18:32:34.0044 3348	Wdf01000        (9950e3d0f08141c7e89e64456ae7dc73) C:\Windows\system32\drivers\Wdf01000.sys
2011/06/16 18:32:34.0091 3348	WfpLwf          (8b9a943f3b53861f2bfaf6c186168f79) C:\Windows\system32\DRIVERS\wfplwf.sys
2011/06/16 18:32:34.0106 3348	WIMMount        (5cf95b35e59e2a38023836fff31be64c) C:\Windows\system32\drivers\wimmount.sys
2011/06/16 18:32:34.0184 3348	WinUsb          (30fc6e5448d0cbaaa95280eeef7fedae) C:\Windows\system32\DRIVERS\WinUsb.sys
2011/06/16 18:32:34.0231 3348	WmiAcpi         (0217679b8fca58714c3bf2726d2ca84e) C:\Windows\system32\DRIVERS\wmiacpi.sys
2011/06/16 18:32:34.0278 3348	ws2ifsl         (6db3276587b853bf886b69528fdb048c) C:\Windows\system32\drivers\ws2ifsl.sys
2011/06/16 18:32:34.0309 3348	WudfPf          (6f9b6c0c93232cff47d0f72d6db1d21e) C:\Windows\system32\drivers\WudfPf.sys
2011/06/16 18:32:34.0340 3348	WUDFRd          (f91ff1e51fca30b3c3981db7d5924252) C:\Windows\system32\DRIVERS\WUDFRd.sys
2011/06/16 18:32:34.0387 3348	MBR (0x1B8)     (01c6ae8eadd5f5b4c22dd5848d9cb4b9) \Device\Harddisk0\DR0
2011/06/16 18:32:34.0449 3348	================================================================================
2011/06/16 18:32:34.0449 3348	Scan finished
2011/06/16 18:32:34.0449 3348	================================================================================
2011/06/16 18:32:34.0465 3832	Detected object count: 1
2011/06/16 18:32:34.0465 3832	Actual detected object count: 1
2011/06/16 18:33:37.0598 3832	volsnap         (7c28b63e4c9e5c3be7ffe53789593619) C:\Windows\system32\DRIVERS\volsnap.sys
2011/06/16 18:33:37.0598 3832	Suspicious file (Forged): C:\Windows\system32\DRIVERS\volsnap.sys. Real md5: 7c28b63e4c9e5c3be7ffe53789593619, Fake md5: 58df9d2481a56edde167e51b334d44fd
2011/06/16 18:33:38.0425 3832	Backup copy found, using it..
2011/06/16 18:33:38.0425 3832	C:\Windows\system32\DRIVERS\volsnap.sys - will be cured after reboot
2011/06/16 18:33:38.0425 3832	Rootkit.Win32.TDSS.tdl3(volsnap) - User select action: Cure 
2011/06/16 18:34:30.0560 3300	Deinitialize success

Neustart, super, auch keine IE Prozesse mehr.
Fast fertig, oder?

Bis hierher schon mal einen großen Dank!

(Bin fast wieder entspannt)

Habe gerade den flash player auf youtube getestet, musik ist auch wieder zu hören, meine Tochter wird sich freuen!!

(Bin wieder weniger entspannt

)

Für ganz später: Welche Viren / Trojaner Schutzprogramme sind zu empfehlen / zu installieren?

Gruß, Stefan

M-K-D-B · 16.06.2011, 18:27

Hallo Stefan,

Zitat:

Zitat von sbie

Von dort habe ich dann den tdsskiller zip geladen, entpackt und läuuuffft!.
Die exe hat nun eine andere Größe.

Du hast dir anscheinend gerade die neueste Version heruntergeladen.

Zitat:

Zitat von sbie

Neustart, super, auch keine IE Prozesse mehr.

Zitat:

Zitat von sbie

2011/06/16 18:32:33.0779 3348 Suspicious file (Forged): C:\Windows\system32\DRIVERS\volsnap.sys. Real md5: 7c28b63e4c9e5c3be7ffe53789593619, Fake md5: 58df9d2481a56edde167e51b334d44fd
2011/06/16 18:32:33.0779 3348 volsnap - detected Rootkit.Win32.TDSS.tdl3 (0)

Das TDSS Rootkit hat den TDSS Killer blockiert, war für die Umleitungen und für die beiden IE Prozesse verantwortlich.
Sieht so aus, als hätte der TDSS Killer das Ding zur Strecke gebracht.

Zitat:

Zitat von sbie

Fast fertig, oder?

Ja fast.
Da dein Rechner sehr start infiziert war, kommen abschließend noch ein paar Kontrollscans und Updates. Sollten diese unauffällig sein, so räumen wir die verwendeten Tools beim nächsten Mal auf und ich gebe dir noch ein paar wertvolle Tipps. Wir habens bald geschafft!

Schritt # 1: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)

Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 2: Java deinstallieren/neu installieren

Schließe alle Internet Browser.
Folge dem Pfad: Start -> Systemsteuerung -> Programme deinstallieren
Deinstalliere bitte Java(TM) 6 Update 20
Lade dir anschließend Java(TM) 6 Update 26 von hier auf deinen Desktop.
Installiere anschließend die neue Version mit Rechtsklick -> Als Administrator ausführen

Schritt # 3: Wichtige Updates

Deinstalliere bitte deine aktuelle Version von Adobe Reader:
Start --> Systemsteuerung --> Programme deinstallieren --> Adobe Reader
und lade dir die neue Version von Hier herunter.
Entferne den Hacken für den McAfee SecurityScan.

Schritt # 4: TDSS Killer ausführen

Schließe alle laufenden Programme.
Trenne dich von Internet.
Deaktiviere deine AntiViren Software.
Starte TDSSkiller.exe mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Drücke auf Start scan.
Mache während dem Scan nichts am Rechner
1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
  Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
Bitte poste mir den Inhalt hier in deinen Thread.

Schritt # 5: aswMBR.exe ausführen

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Klicke auf Scan
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Schritt # 6: ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
Dein Anti-Virus-Programm während des Scans deaktivieren.

Button (<< klick) drücken.
- Firefox-User:
  Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User:
  müssen das Installieren eines ActiveX Elements erlauben.
Setze den einen Hacken bei Yes, i accept the Terms of Use.
Drücke den Button.
Warte bis die Komponenten herunter geladen wurden.
Setze einen Haken bei "Scan archives".
Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
drücken.
Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

Klicke Finish.
Browser schließen.

Drücke bitte die

+ R Taste und kopiere folgenden Text in das Ausführen Fenster.

Code:

ATTFilter

"%ProgramFiles%\Eset\Eset Online Scanner\log.txt"

Poste nun den Inhalt der log.txt.

Schritt # 7: Durchführung einer Sicherheitskontrolle
Downloade Dir bitte SecurityCheck

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.
Poste den Inhalt bitte hier.

Schritt # 8: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

das Logfile von MBAM,
das Logfile des TDSS-Killers,
das Logfile von aswMBR,
das Logfile des ESET Online Scanners und
das Logfile von SecurityCheck.

sbie · 17.06.2011, 06:15

Moin M-K-D-B,

Zitat:

Zitat von M-K-D-B

Schritt # 1: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)

Noch 3 böse Einträge.
Log ist hier:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6872

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

16.06.2011 20:27:53
mbam-log-2011-06-16 (20-27-53).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 219789
Laufzeit: 2 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\Recycle.Bin\recycle.bin.exe (Trojan.SpyEyes) -> Quarantined and deleted successfully.
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Zitat:

Zitat von M-K-D-B

[B][COLOR="Blue"][SIZE="3"]Schritt # 2: Java deinstallieren/neu installieren

Fertig

Zitat:

Zitat von M-K-D-B

[B]Schritt # 3: Wichtige Updates[*]Entferne den Hacken für den McAfee SecurityScan.

Fertig

Zitat:

Zitat von M-K-D-B

Schritt # 4: TDSS Killer ausführen
Log ist hier:

Log hier:

Code:

ATTFilter

2011/06/16 21:58:59.0952 2428	TDSS rootkit removing tool 2.5.5.0 Jun 16 2011 15:25:15
2011/06/16 21:58:59.0968 2428	================================================================================
2011/06/16 21:58:59.0968 2428	SystemInfo:
2011/06/16 21:58:59.0968 2428	
2011/06/16 21:58:59.0968 2428	OS Version: 6.1.7600 ServicePack: 0.0
2011/06/16 21:58:59.0968 2428	Product type: Workstation
2011/06/16 21:58:59.0968 2428	ComputerName: MEDIONE4100D
2011/06/16 21:58:59.0968 2428	UserName: xxxxx
2011/06/16 21:58:59.0968 2428	Windows directory: C:\Windows
2011/06/16 21:58:59.0968 2428	System windows directory: C:\Windows
2011/06/16 21:58:59.0968 2428	Processor architecture: Intel x86
2011/06/16 21:58:59.0968 2428	Number of processors: 2
2011/06/16 21:58:59.0968 2428	Page size: 0x1000
2011/06/16 21:58:59.0968 2428	Boot type: Normal boot
2011/06/16 21:58:59.0968 2428	================================================================================
2011/06/16 21:59:00.0966 2428	Initialize success
2011/06/16 21:59:21.0028 1232	================================================================================
2011/06/16 21:59:21.0028 1232	Scan started
2011/06/16 21:59:21.0028 1232	Mode: Manual; 
2011/06/16 21:59:21.0028 1232	================================================================================
2011/06/16 21:59:23.0259 1232	1394ohci        (6d2aca41739bfe8cb86ee8e85f29697d) C:\Windows\system32\DRIVERS\1394ohci.sys
2011/06/16 21:59:23.0290 1232	ACPI            (f0e07d144c8685b8774bc32fc8da4df0) C:\Windows\system32\DRIVERS\ACPI.sys
2011/06/16 21:59:23.0321 1232	AcpiPmi         (98d81ca942d19f7d9153b095162ac013) C:\Windows\system32\DRIVERS\acpipmi.sys
2011/06/16 21:59:23.0368 1232	adp94xx         (21e785ebd7dc90a06391141aac7892fb) C:\Windows\system32\DRIVERS\adp94xx.sys
2011/06/16 21:59:23.0384 1232	adpahci         (0c676bc278d5b59ff5abd57bbe9123f2) C:\Windows\system32\DRIVERS\adpahci.sys
2011/06/16 21:59:23.0415 1232	adpu320         (7c7b5ee4b7b822ec85321fe23a27db33) C:\Windows\system32\DRIVERS\adpu320.sys
2011/06/16 21:59:23.0477 1232	AFD             (ddc040fdb01ef1712a6b13e52afb104c) C:\Windows\system32\drivers\afd.sys
2011/06/16 21:59:23.0524 1232	agp440          (507812c3054c21cef746b6ee3d04dd6e) C:\Windows\system32\DRIVERS\agp440.sys
2011/06/16 21:59:23.0555 1232	aic78xx         (8b30250d573a8f6b4bd23195160d8707) C:\Windows\system32\DRIVERS\djsvs.sys
2011/06/16 21:59:23.0586 1232	aliide          (0d40bcf52ea90fc7df2aeab6503dea44) C:\Windows\system32\DRIVERS\aliide.sys
2011/06/16 21:59:23.0618 1232	amdagp          (3c6600a0696e90a463771c7422e23ab5) C:\Windows\system32\DRIVERS\amdagp.sys
2011/06/16 21:59:23.0633 1232	amdide          (cd5914170297126b6266860198d1d4f0) C:\Windows\system32\DRIVERS\amdide.sys
2011/06/16 21:59:23.0680 1232	AmdK8           (00dda200d71bac534bf56a9db5dfd666) C:\Windows\system32\DRIVERS\amdk8.sys
2011/06/16 21:59:23.0696 1232	AmdPPM          (3cbf30f5370fda40dd3e87df38ea53b6) C:\Windows\system32\DRIVERS\amdppm.sys
2011/06/16 21:59:23.0727 1232	amdsata         (2101a86c25c154f8314b24ef49d7fbc2) C:\Windows\system32\DRIVERS\amdsata.sys
2011/06/16 21:59:23.0758 1232	amdsbs          (ea43af0c423ff267355f74e7a53bdaba) C:\Windows\system32\DRIVERS\amdsbs.sys
2011/06/16 21:59:23.0774 1232	amdxata         (b81c2b5616f6420a9941ea093a92b150) C:\Windows\system32\DRIVERS\amdxata.sys
2011/06/16 21:59:23.0836 1232	AppID           (feb834c02ce1e84b6a38f953ca067706) C:\Windows\system32\drivers\appid.sys
2011/06/16 21:59:23.0867 1232	arc             (2932004f49677bd84dbc72edb754ffb3) C:\Windows\system32\DRIVERS\arc.sys
2011/06/16 21:59:23.0883 1232	arcsas          (5d6f36c46fd283ae1b57bd2e9feb0bc7) C:\Windows\system32\DRIVERS\arcsas.sys
2011/06/16 21:59:23.0914 1232	AsyncMac        (add2ade1c2b285ab8378d2daaf991481) C:\Windows\system32\DRIVERS\asyncmac.sys
2011/06/16 21:59:23.0945 1232	atapi           (338c86357871c167a96ab976519bf59e) C:\Windows\system32\DRIVERS\atapi.sys
2011/06/16 21:59:23.0992 1232	avgntflt        (47b879406246ffdced59e18d331a0e7d) C:\Windows\system32\DRIVERS\avgntflt.sys
2011/06/16 21:59:24.0008 1232	avipbb          (5fedef54757b34fb611b9ec8fb399364) C:\Windows\system32\DRIVERS\avipbb.sys
2011/06/16 21:59:24.0054 1232	b06bdrv         (1a231abec60fd316ec54c66715543cec) C:\Windows\system32\DRIVERS\bxvbdx.sys
2011/06/16 21:59:24.0086 1232	b57nd60x        (bd8869eb9cde6bbe4508d869929869ee) C:\Windows\system32\DRIVERS\b57nd60x.sys
2011/06/16 21:59:24.0117 1232	Beep            (505506526a9d467307b3c393dedaf858) C:\Windows\system32\drivers\Beep.sys
2011/06/16 21:59:24.0132 1232	blbdrive        (2287078ed48fcfc477b05b20cf38f36f) C:\Windows\system32\DRIVERS\blbdrive.sys
2011/06/16 21:59:24.0179 1232	bowser          (9a5c671b7fbae4865149bb11f59b91b2) C:\Windows\system32\DRIVERS\bowser.sys
2011/06/16 21:59:24.0210 1232	BrFiltLo        (9f9acc7f7ccde8a15c282d3f88b43309) C:\Windows\system32\DRIVERS\BrFiltLo.sys
2011/06/16 21:59:24.0226 1232	BrFiltUp        (56801ad62213a41f6497f96dee83755a) C:\Windows\system32\DRIVERS\BrFiltUp.sys
2011/06/16 21:59:24.0257 1232	Brserid         (845b8ce732e67f3b4133164868c666ea) C:\Windows\System32\Drivers\Brserid.sys
2011/06/16 21:59:24.0273 1232	BrSerWdm        (203f0b1e73adadbbb7b7b1fabd901f6b) C:\Windows\System32\Drivers\BrSerWdm.sys
2011/06/16 21:59:24.0288 1232	BrUsbMdm        (bd456606156ba17e60a04e18016ae54b) C:\Windows\System32\Drivers\BrUsbMdm.sys
2011/06/16 21:59:24.0304 1232	BrUsbSer        (af72ed54503f717a43268b3cc5faec2e) C:\Windows\System32\Drivers\BrUsbSer.sys
2011/06/16 21:59:24.0335 1232	BTHMODEM        (ed3df7c56ce0084eb2034432fc56565a) C:\Windows\system32\DRIVERS\bthmodem.sys
2011/06/16 21:59:24.0444 1232	cdfs            (77ea11b065e0a8ab902d78145ca51e10) C:\Windows\system32\DRIVERS\cdfs.sys
2011/06/16 21:59:24.0476 1232	cdrom           (ba6e70aa0e6091bc39de29477d866a77) C:\Windows\system32\DRIVERS\cdrom.sys
2011/06/16 21:59:24.0507 1232	circlass        (3fe3fe94a34df6fb06e6418d0f6a0060) C:\Windows\system32\DRIVERS\circlass.sys
2011/06/16 21:59:24.0538 1232	CLFS            (635181e0e9bbf16871bf5380d71db02d) C:\Windows\system32\CLFS.sys
2011/06/16 21:59:24.0554 1232	CmBatt          (dea805815e587dad1dd2c502220b5616) C:\Windows\system32\DRIVERS\CmBatt.sys
2011/06/16 21:59:24.0585 1232	cmdide          (c537b1db64d495b9b4717b4d6d9edbf2) C:\Windows\system32\DRIVERS\cmdide.sys
2011/06/16 21:59:24.0616 1232	CNG             (1b675691ed940766149c93e8f4488d68) C:\Windows\system32\Drivers\cng.sys
2011/06/16 21:59:24.0632 1232	Compbatt        (a6023d3823c37043986713f118a89bee) C:\Windows\system32\DRIVERS\compbatt.sys
2011/06/16 21:59:24.0647 1232	CompositeBus    (f1724ba27e97d627f808fb0ba77a28a6) C:\Windows\system32\DRIVERS\CompositeBus.sys
2011/06/16 21:59:24.0694 1232	crcdisk         (2c4ebcfc84a9b44f209dff6c6e6c61d1) C:\Windows\system32\DRIVERS\crcdisk.sys
2011/06/16 21:59:24.0756 1232	DfsC            (8e09e52ee2e3ceb199ef3dd99cf9e3fb) C:\Windows\system32\Drivers\dfsc.sys
2011/06/16 21:59:24.0772 1232	discache        (1a050b0274bfb3890703d490f330c0da) C:\Windows\system32\drivers\discache.sys
2011/06/16 21:59:24.0819 1232	Disk            (565003f326f99802e68ca78f2a68e9ff) C:\Windows\system32\DRIVERS\disk.sys
2011/06/16 21:59:24.0850 1232	drmkaud         (b918e7c5f9bf77202f89e1a9539f2eb4) C:\Windows\system32\drivers\drmkaud.sys
2011/06/16 21:59:24.0928 1232	DXGKrnl         (c94b6c3cc628179cb9b9061c19888b99) C:\Windows\System32\drivers\dxgkrnl.sys
2011/06/16 21:59:25.0037 1232	ebdrv           (024e1b5cac09731e4d868e64dbfb4ab0) C:\Windows\system32\DRIVERS\evbdx.sys
2011/06/16 21:59:25.0146 1232	elxstor         (0ed67910c8c326796faa00b2bf6d9d3c) C:\Windows\system32\DRIVERS\elxstor.sys
2011/06/16 21:59:25.0178 1232	ErrDev          (8fc3208352dd3912c94367a206ab3f11) C:\Windows\system32\DRIVERS\errdev.sys
2011/06/16 21:59:25.0209 1232	exfat           (2dc9108d74081149cc8b651d3a26207f) C:\Windows\system32\drivers\exfat.sys
2011/06/16 21:59:25.0240 1232	fastfat         (7e0ab74553476622fb6ae36f73d97d35) C:\Windows\system32\drivers\fastfat.sys
2011/06/16 21:59:25.0287 1232	fdc             (e817a017f82df2a1f8cfdbda29388b29) C:\Windows\system32\DRIVERS\fdc.sys
2011/06/16 21:59:25.0318 1232	FileInfo        (6cf00369c97f3cf563be99be983d13d8) C:\Windows\system32\drivers\fileinfo.sys
2011/06/16 21:59:25.0334 1232	Filetrace       (42c51dc94c91da21cb9196eb64c45db9) C:\Windows\system32\drivers\filetrace.sys
2011/06/16 21:59:25.0365 1232	flpydisk        (87907aa70cb3c56600f1c2fb8841579b) C:\Windows\system32\DRIVERS\flpydisk.sys
2011/06/16 21:59:25.0380 1232	FltMgr          (7520ec808e0c35e0ee6f841294316653) C:\Windows\system32\drivers\fltmgr.sys
2011/06/16 21:59:25.0412 1232	FsDepends       (1a16b57943853e598cff37fe2b8cbf1d) C:\Windows\system32\drivers\FsDepends.sys
2011/06/16 21:59:25.0427 1232	Fs_Rec          (a574b4360e438977038aae4bf60d79a2) C:\Windows\system32\drivers\Fs_Rec.sys
2011/06/16 21:59:25.0458 1232	fvevol          (dafbd9fe39197495aed6d51f3b85b5d2) C:\Windows\system32\DRIVERS\fvevol.sys
2011/06/16 21:59:25.0490 1232	gagp30kx        (65ee0c7a58b65e74ae05637418153938) C:\Windows\system32\DRIVERS\gagp30kx.sys
2011/06/16 21:59:25.0536 1232	hcw85cir        (c44e3c2bab6837db337ddee7544736db) C:\Windows\system32\drivers\hcw85cir.sys
2011/06/16 21:59:25.0568 1232	HdAudAddService (3530cad25deba7dc7de8bb51632cbc5f) C:\Windows\system32\drivers\HdAudio.sys
2011/06/16 21:59:25.0599 1232	HDAudBus        (717a2207fd6f13ad3e664c7d5a43c7bf) C:\Windows\system32\DRIVERS\HDAudBus.sys
2011/06/16 21:59:25.0630 1232	HidBatt         (1d58a7f3e11a9731d0eaaaa8405acc36) C:\Windows\system32\DRIVERS\HidBatt.sys
2011/06/16 21:59:25.0646 1232	HidBth          (89448f40e6df260c206a193a4683ba78) C:\Windows\system32\DRIVERS\hidbth.sys
2011/06/16 21:59:25.0677 1232	HidIr           (cf50b4cf4a4f229b9f3c08351f99ca5e) C:\Windows\system32\DRIVERS\hidir.sys
2011/06/16 21:59:25.0708 1232	HidUsb          (25072fb35ac90b25f9e4e3bacf774102) C:\Windows\system32\DRIVERS\hidusb.sys
2011/06/16 21:59:25.0739 1232	HpSAMD          (295fdc419039090eb8b49ffdbb374549) C:\Windows\system32\DRIVERS\HpSAMD.sys
2011/06/16 21:59:25.0770 1232	HTTP            (c531c7fd9e8b62021112787c4e2c5a5a) C:\Windows\system32\drivers\HTTP.sys
2011/06/16 21:59:25.0802 1232	hwpolicy        (8305f33cde89ad6c7a0763ed0b5a8d42) C:\Windows\system32\drivers\hwpolicy.sys
2011/06/16 21:59:25.0817 1232	i8042prt        (f151f0bdc47f4a28b1b20a0818ea36d6) C:\Windows\system32\DRIVERS\i8042prt.sys
2011/06/16 21:59:25.0848 1232	iaStorV         (934af4d7c5f457b9f0743f4299b77b67) C:\Windows\system32\DRIVERS\iaStorV.sys
2011/06/16 21:59:26.0082 1232	igfx            (8266ae06df974e5ba047b3e9e9e70b3f) C:\Windows\system32\DRIVERS\igdkmd32.sys
2011/06/16 21:59:26.0270 1232	iirsp           (4173ff5708f3236cf25195fecd742915) C:\Windows\system32\DRIVERS\iirsp.sys
2011/06/16 21:59:26.0348 1232	IntcAzAudAddService (f4427e5df32cde359b2e2e5512d18001) C:\Windows\system32\drivers\RTKVHDA.sys
2011/06/16 21:59:26.0410 1232	IntcHdmiAddService (264632ade8127b7baa2190cf6fad435b) C:\Windows\system32\drivers\IntcHdmi.sys
2011/06/16 21:59:26.0426 1232	intelide        (a0f12f2c9ba6c72f3987ce780e77c130) C:\Windows\system32\DRIVERS\intelide.sys
2011/06/16 21:59:26.0472 1232	intelppm        (3b514d27bfc4accb4037bc6685f766e0) C:\Windows\system32\DRIVERS\intelppm.sys
2011/06/16 21:59:26.0488 1232	IPMIDRV         (e4454b6c37d7ffd5649611f6496308a7) C:\Windows\system32\DRIVERS\IPMIDrv.sys
2011/06/16 21:59:26.0519 1232	IPNAT           (a5fa468d67abcdaa36264e463a7bb0cd) C:\Windows\system32\drivers\ipnat.sys
2011/06/16 21:59:26.0550 1232	IRENUM          (42996cff20a3084a56017b7902307e9f) C:\Windows\system32\drivers\irenum.sys
2011/06/16 21:59:26.0582 1232	isapnp          (1f32bb6b38f62f7df1a7ab7292638a35) C:\Windows\system32\DRIVERS\isapnp.sys
2011/06/16 21:59:26.0613 1232	iScsiPrt        (ed46c223ae46c6866ab77cdc41c404b7) C:\Windows\system32\DRIVERS\msiscsi.sys
2011/06/16 21:59:26.0644 1232	kbdclass        (adef52ca1aeae82b50df86b56413107e) C:\Windows\system32\DRIVERS\kbdclass.sys
2011/06/16 21:59:26.0660 1232	kbdhid          (3d9f0ebf350edcfd6498057301455964) C:\Windows\system32\DRIVERS\kbdhid.sys
2011/06/16 21:59:26.0691 1232	KSecDD          (e36a061ec11b373826905b21be10948f) C:\Windows\system32\Drivers\ksecdd.sys
2011/06/16 21:59:26.0706 1232	KSecPkg         (365c6154bbbc5377173f1ca7bfb6cc59) C:\Windows\system32\Drivers\ksecpkg.sys
2011/06/16 21:59:26.0753 1232	lltdio          (f7611ec07349979da9b0ae1f18ccc7a6) C:\Windows\system32\DRIVERS\lltdio.sys
2011/06/16 21:59:26.0784 1232	LSI_FC          (eb119a53ccf2acc000ac71b065b78fef) C:\Windows\system32\DRIVERS\lsi_fc.sys
2011/06/16 21:59:26.0800 1232	LSI_SAS         (8ade1c877256a22e49b75d1cc9161f9c) C:\Windows\system32\DRIVERS\lsi_sas.sys
2011/06/16 21:59:26.0831 1232	LSI_SAS2        (dc9dc3d3daa0e276fd2ec262e38b11e9) C:\Windows\system32\DRIVERS\lsi_sas2.sys
2011/06/16 21:59:26.0862 1232	LSI_SCSI        (0a036c7d7cab643a7f07135ac47e0524) C:\Windows\system32\DRIVERS\lsi_scsi.sys
2011/06/16 21:59:26.0894 1232	luafv           (6703e366cc18d3b6e534f5cf7df39cee) C:\Windows\system32\drivers\luafv.sys
2011/06/16 21:59:26.0956 1232	MBAMSwissArmy   (b309912717c29fc67e1ba4730a82b6dd) C:\Windows\system32\drivers\mbamswissarmy.sys
2011/06/16 21:59:26.0987 1232	megasas         (0fff5b045293002ab38eb1fd1fc2fb74) C:\Windows\system32\DRIVERS\megasas.sys
2011/06/16 21:59:27.0003 1232	MegaSR          (dcbab2920c75f390caf1d29f675d03d6) C:\Windows\system32\DRIVERS\MegaSR.sys
2011/06/16 21:59:27.0065 1232	mod7700         (e821a366aa77f6e4f76056f35f76dee8) C:\Windows\system32\DRIVERS\dvb7700all.sys
2011/06/16 21:59:27.0081 1232	Modem           (f001861e5700ee84e2d4e52c712f4964) C:\Windows\system32\drivers\modem.sys
2011/06/16 21:59:27.0112 1232	monitor         (79d10964de86b292320e9dfe02282a23) C:\Windows\system32\DRIVERS\monitor.sys
2011/06/16 21:59:27.0143 1232	mouclass        (fb18cc1d4c2e716b6b903b0ac0cc0609) C:\Windows\system32\DRIVERS\mouclass.sys
2011/06/16 21:59:27.0190 1232	mouhid          (2c388d2cd01c9042596cf3c8f3c7b24d) C:\Windows\system32\DRIVERS\mouhid.sys
2011/06/16 21:59:27.0206 1232	mountmgr        (921c18727c5920d6c0300736646931c2) C:\Windows\system32\drivers\mountmgr.sys
2011/06/16 21:59:27.0237 1232	mpio            (2af5997438c55fb79d33d015c30e1974) C:\Windows\system32\DRIVERS\mpio.sys
2011/06/16 21:59:27.0252 1232	mpsdrv          (ad2723a7b53dd1aacae6ad8c0bfbf4d0) C:\Windows\system32\drivers\mpsdrv.sys
2011/06/16 21:59:27.0284 1232	MRxDAV          (b1be47008d20e43da3adc37c24cdb89d) C:\Windows\system32\drivers\mrxdav.sys
2011/06/16 21:59:27.0315 1232	mrxsmb          (b4c76ef46322a9711c7b0f4e21ef6ea5) C:\Windows\system32\DRIVERS\mrxsmb.sys
2011/06/16 21:59:27.0362 1232	mrxsmb10        (e593d45024a3fdd11e93cc4a6ca91101) C:\Windows\system32\DRIVERS\mrxsmb10.sys
2011/06/16 21:59:27.0408 1232	mrxsmb20        (a9f86c82c9cc3b679cc3957e1183a30f) C:\Windows\system32\DRIVERS\mrxsmb20.sys
2011/06/16 21:59:27.0440 1232	msahci          (4326d168944123f38dd3b2d9c37a0b12) C:\Windows\system32\DRIVERS\msahci.sys
2011/06/16 21:59:27.0455 1232	msdsm           (455029c7174a2dbb03dba8a0d8bddd9a) C:\Windows\system32\DRIVERS\msdsm.sys
2011/06/16 21:59:27.0486 1232	Msfs            (daefb28e3af5a76abcc2c3078c07327f) C:\Windows\system32\drivers\Msfs.sys
2011/06/16 21:59:27.0502 1232	mshidkmdf       (3e1e5767043c5af9367f0056295e9f84) C:\Windows\System32\drivers\mshidkmdf.sys
2011/06/16 21:59:27.0533 1232	msisadrv        (0a4e5757ae09fa9622e3158cc1aef114) C:\Windows\system32\DRIVERS\msisadrv.sys
2011/06/16 21:59:27.0564 1232	MSKSSRV         (8c0860d6366aaffb6c5bb9df9448e631) C:\Windows\system32\drivers\MSKSSRV.sys
2011/06/16 21:59:27.0580 1232	MSPCLOCK        (3ea8b949f963562cedbb549eac0c11ce) C:\Windows\system32\drivers\MSPCLOCK.sys
2011/06/16 21:59:27.0611 1232	MSPQM           (f456e973590d663b1073e9c463b40932) C:\Windows\system32\drivers\MSPQM.sys
2011/06/16 21:59:27.0627 1232	MsRPC           (0e008fc4819d238c51d7c93e7b41e560) C:\Windows\system32\drivers\MsRPC.sys
2011/06/16 21:59:27.0658 1232	mssmbios        (fc6b9ff600cc585ea38b12589bd4e246) C:\Windows\system32\DRIVERS\mssmbios.sys
2011/06/16 21:59:27.0674 1232	MSTEE           (b42c6b921f61a6e55159b8be6cd54a36) C:\Windows\system32\drivers\MSTEE.sys
2011/06/16 21:59:27.0705 1232	MTConfig        (33599130f44e1f34631cea241de8ac84) C:\Windows\system32\DRIVERS\MTConfig.sys
2011/06/16 21:59:27.0720 1232	Mup             (159fad02f64e6381758c990f753bcc80) C:\Windows\system32\Drivers\mup.sys
2011/06/16 21:59:27.0783 1232	NativeWifiP     (26384429fcd85d83746f63e798ab1480) C:\Windows\system32\DRIVERS\nwifi.sys
2011/06/16 21:59:27.0814 1232	NDIS            (23759d175a0a9baaf04d05047bc135a8) C:\Windows\system32\drivers\ndis.sys
2011/06/16 21:59:27.0845 1232	NdisCap         (0e1787aa6c9191d3d319e8bafe86f80c) C:\Windows\system32\DRIVERS\ndiscap.sys
2011/06/16 21:59:27.0876 1232	NdisTapi        (e4a8aec125a2e43a9e32afeea7c9c888) C:\Windows\system32\DRIVERS\ndistapi.sys
2011/06/16 21:59:27.0908 1232	Ndisuio         (b30ae7f2b6d7e343b0df32e6c08fce75) C:\Windows\system32\DRIVERS\ndisuio.sys
2011/06/16 21:59:27.0923 1232	NdisWan         (267c415eadcbe53c9ca873dee39cf3a4) C:\Windows\system32\DRIVERS\ndiswan.sys
2011/06/16 21:59:27.0970 1232	NDNdisprot      (8f619cc242442dfa6d42a8227866fd57) C:\Windows\system32\DRIVERS\ndndisprot.sys
2011/06/16 21:59:27.0986 1232	NDProxy         (af7e7c63dcef3f8772726f86039d6eb4) C:\Windows\system32\drivers\NDProxy.sys
2011/06/16 21:59:28.0001 1232	NetBIOS         (80b275b1ce3b0e79909db7b39af74d51) C:\Windows\system32\DRIVERS\netbios.sys
2011/06/16 21:59:28.0032 1232	NetBT           (dd52a733bf4ca5af84562a5e2f963b91) C:\Windows\system32\DRIVERS\netbt.sys
2011/06/16 21:59:28.0079 1232	nfrd960         (1d85c4b390b0ee09c7a46b91efb2c097) C:\Windows\system32\DRIVERS\nfrd960.sys
2011/06/16 21:59:28.0110 1232	Npfs            (1db262a9f8c087e8153d89bef3d2235f) C:\Windows\system32\drivers\Npfs.sys
2011/06/16 21:59:28.0142 1232	nsiproxy        (e9a0a4d07e53d8fea2bb8387a3293c58) C:\Windows\system32\drivers\nsiproxy.sys
2011/06/16 21:59:28.0188 1232	Ntfs            (3795dcd21f740ee799fb7223234215af) C:\Windows\system32\drivers\Ntfs.sys
2011/06/16 21:59:28.0235 1232	Null            (f9756a98d69098dca8945d62858a812c) C:\Windows\system32\drivers\Null.sys
2011/06/16 21:59:28.0251 1232	nvraid          (3f3d04b1d08d43c16ea7963954ec768d) C:\Windows\system32\DRIVERS\nvraid.sys
2011/06/16 21:59:28.0282 1232	nvstor          (c99f251a5de63c6f129cf71933aced0f) C:\Windows\system32\DRIVERS\nvstor.sys
2011/06/16 21:59:28.0313 1232	nv_agp          (5a0983915f02bae73267cc2a041f717d) C:\Windows\system32\DRIVERS\nv_agp.sys
2011/06/16 21:59:28.0329 1232	ohci1394        (08a70a1f2cdde9bb49b885cb817a66eb) C:\Windows\system32\DRIVERS\ohci1394.sys
2011/06/16 21:59:28.0376 1232	Parport         (2ea877ed5dd9713c5ac74e8ea7348d14) C:\Windows\system32\DRIVERS\parport.sys
2011/06/16 21:59:28.0391 1232	partmgr         (ff4218952b51de44fe910953a3e686b9) C:\Windows\system32\drivers\partmgr.sys
2011/06/16 21:59:28.0422 1232	Parvdm          (eb0a59f29c19b86479d36b35983daadc) C:\Windows\system32\DRIVERS\parvdm.sys
2011/06/16 21:59:28.0469 1232	pci             (c858cb77c577780ecc456a892e7e7d0f) C:\Windows\system32\DRIVERS\pci.sys
2011/06/16 21:59:28.0500 1232	pciide          (afe86f419014db4e5593f69ffe26ce0a) C:\Windows\system32\DRIVERS\pciide.sys
2011/06/16 21:59:28.0516 1232	pcmcia          (f396431b31693e71e8a80687ef523506) C:\Windows\system32\DRIVERS\pcmcia.sys
2011/06/16 21:59:28.0547 1232	pcw             (250f6b43d2b613172035c6747aeeb19f) C:\Windows\system32\drivers\pcw.sys
2011/06/16 21:59:28.0578 1232	PEAUTH          (9e0104ba49f4e6973749a02bf41344ed) C:\Windows\system32\drivers\peauth.sys
2011/06/16 21:59:28.0656 1232	PptpMiniport    (631e3e205ad6d86f2aed6a4a8e69f2db) C:\Windows\system32\DRIVERS\raspptp.sys
2011/06/16 21:59:28.0703 1232	Processor       (85b1e3a0c7585bc4aae6899ec6fcf011) C:\Windows\system32\DRIVERS\processr.sys
2011/06/16 21:59:28.0734 1232	Psched          (6270ccae2a86de6d146529fe55b3246a) C:\Windows\system32\DRIVERS\pacer.sys
2011/06/16 21:59:28.0781 1232	ql2300          (ab95ecf1f6659a60ddc166d8315b0751) C:\Windows\system32\DRIVERS\ql2300.sys
2011/06/16 21:59:28.0844 1232	ql40xx          (b4dd51dd25182244b86737dc51af2270) C:\Windows\system32\DRIVERS\ql40xx.sys
2011/06/16 21:59:28.0875 1232	QWAVEdrv        (584078ca1b95ca72df2a27c336f9719d) C:\Windows\system32\drivers\qwavedrv.sys
2011/06/16 21:59:28.0890 1232	RasAcd          (30a81b53c766d0133bb86d234e5556ab) C:\Windows\system32\DRIVERS\rasacd.sys
2011/06/16 21:59:28.0906 1232	RasAgileVpn     (57ec4aef73660166074d8f7f31c0d4fd) C:\Windows\system32\DRIVERS\AgileVpn.sys
2011/06/16 21:59:28.0937 1232	Rasl2tp         (d9f91eafec2815365cbe6d167e4e332a) C:\Windows\system32\DRIVERS\rasl2tp.sys
2011/06/16 21:59:28.0968 1232	RasPppoe        (0fe8b15916307a6ac12bfb6a63e45507) C:\Windows\system32\DRIVERS\raspppoe.sys
2011/06/16 21:59:29.0000 1232	RasSstp         (44101f495a83ea6401d886e7fd70096b) C:\Windows\system32\DRIVERS\rassstp.sys
2011/06/16 21:59:29.0015 1232	rdbss           (835d7e81bf517a3b72384bdcc85e1ce6) C:\Windows\system32\DRIVERS\rdbss.sys
2011/06/16 21:59:29.0031 1232	rdpbus          (0d8f05481cb76e70e1da06ee9f0da9df) C:\Windows\system32\DRIVERS\rdpbus.sys
2011/06/16 21:59:29.0046 1232	RDPCDD          (1e016846895b15a99f9a176a05029075) C:\Windows\system32\DRIVERS\RDPCDD.sys
2011/06/16 21:59:29.0078 1232	RDPENCDD        (5a53ca1598dd4156d44196d200c94b8a) C:\Windows\system32\drivers\rdpencdd.sys
2011/06/16 21:59:29.0109 1232	RDPREFMP        (44b0a53cd4f27d50ed461dae0c0b4e1f) C:\Windows\system32\drivers\rdprefmp.sys
2011/06/16 21:59:29.0124 1232	RDPWD           (801371ba9782282892d00aadb08ee367) C:\Windows\system32\drivers\RDPWD.sys
2011/06/16 21:59:29.0156 1232	rdyboost        (4ea225bf1cf05e158853f30a99ca29a7) C:\Windows\system32\drivers\rdyboost.sys
2011/06/16 21:59:29.0202 1232	rspndr          (032b0d36ad92b582d869879f5af5b928) C:\Windows\system32\DRIVERS\rspndr.sys
2011/06/16 21:59:29.0249 1232	RTL8167         (bcebd5d1aabce4efb7597635e347c44b) C:\Windows\system32\DRIVERS\Rt86win7.sys
2011/06/16 21:59:29.0312 1232	RTL8192su       (51adef77e4c929535fd50da153774e79) C:\Windows\system32\DRIVERS\RTL8192su.sys
2011/06/16 21:59:29.0405 1232	SASDIFSV        (a3281aec37e0720a2bc28034c2df2a56) C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS
2011/06/16 21:59:29.0436 1232	SASKUTIL        (61db0d0756a99506207fd724e3692b25) C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS
2011/06/16 21:59:29.0468 1232	sbp2port        (34ee0c44b724e3e4ce2eff29126de5b5) C:\Windows\system32\DRIVERS\sbp2port.sys
2011/06/16 21:59:29.0514 1232	scfilter        (a95c54b2ac3cc9c73fcdf9e51a1d6b51) C:\Windows\system32\DRIVERS\scfilter.sys
2011/06/16 21:59:29.0546 1232	secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\Windows\system32\drivers\secdrv.sys
2011/06/16 21:59:29.0592 1232	Serenum         (9ad8b8b515e3df6acd4212ef465de2d1) C:\Windows\system32\DRIVERS\serenum.sys
2011/06/16 21:59:29.0624 1232	Serial          (5fb7fcea0490d821f26f39cc5ea3d1e2) C:\Windows\system32\DRIVERS\serial.sys
2011/06/16 21:59:29.0639 1232	sermouse        (79bffb520327ff916a582dfea17aa813) C:\Windows\system32\DRIVERS\sermouse.sys
2011/06/16 21:59:29.0686 1232	sffdisk         (9f976e1eb233df46fce808d9dea3eb9c) C:\Windows\system32\DRIVERS\sffdisk.sys
2011/06/16 21:59:29.0702 1232	sffp_mmc        (932a68ee27833cfd57c1639d375f2731) C:\Windows\system32\DRIVERS\sffp_mmc.sys
2011/06/16 21:59:29.0717 1232	sffp_sd         (a0708bbd07d245c06ff9de549ca47185) C:\Windows\system32\DRIVERS\sffp_sd.sys
2011/06/16 21:59:29.0733 1232	sfloppy         (db96666cc8312ebc45032f30b007a547) C:\Windows\system32\DRIVERS\sfloppy.sys
2011/06/16 21:59:29.0764 1232	sisagp          (2565cac0dc9fe0371bdce60832582b2e) C:\Windows\system32\DRIVERS\sisagp.sys
2011/06/16 21:59:29.0780 1232	SiSRaid2        (a9f0486851becb6dda1d89d381e71055) C:\Windows\system32\DRIVERS\SiSRaid2.sys
2011/06/16 21:59:29.0811 1232	SiSRaid4        (3727097b55738e2f554972c3be5bc1aa) C:\Windows\system32\DRIVERS\sisraid4.sys
2011/06/16 21:59:29.0858 1232	Smb             (3e21c083b8a01cb70ba1f09303010fce) C:\Windows\system32\DRIVERS\smb.sys
2011/06/16 21:59:29.0873 1232	spldr           (95cf1ae7527fb70f7816563cbc09d942) C:\Windows\system32\drivers\spldr.sys
2011/06/16 21:59:29.0936 1232	srv             (4a9b0f215de2519e2363f91df25c1e97) C:\Windows\system32\DRIVERS\srv.sys
2011/06/16 21:59:29.0982 1232	srv2            (14c44875518ae1c982e54ea8c5f7fe28) C:\Windows\system32\DRIVERS\srv2.sys
2011/06/16 21:59:30.0029 1232	srvnet          (07a14223b0a50e76ade003fdf95d4fec) C:\Windows\system32\DRIVERS\srvnet.sys
2011/06/16 21:59:30.0092 1232	ssmdrv          (a36ee93698802cd899f98bfd553d8185) C:\Windows\system32\DRIVERS\ssmdrv.sys
2011/06/16 21:59:30.0107 1232	stexstor        (db32d325c192b801df274bfd12a7e72b) C:\Windows\system32\DRIVERS\stexstor.sys
2011/06/16 21:59:30.0138 1232	swenum          (e58c78a848add9610a4db6d214af5224) C:\Windows\system32\DRIVERS\swenum.sys
2011/06/16 21:59:30.0216 1232	Tcpip           (bb7f39c31c4a4417fd318e7cd184e225) C:\Windows\system32\drivers\tcpip.sys
2011/06/16 21:59:30.0279 1232	TCPIP6          (bb7f39c31c4a4417fd318e7cd184e225) C:\Windows\system32\DRIVERS\tcpip.sys
2011/06/16 21:59:30.0326 1232	tcpipreg        (e64444523add154f86567c469bc0b17f) C:\Windows\system32\drivers\tcpipreg.sys
2011/06/16 21:59:30.0341 1232	TDPIPE          (1875c1490d99e70e449e3afae9fcbadf) C:\Windows\system32\drivers\tdpipe.sys
2011/06/16 21:59:30.0372 1232	TDTCP           (7551e91ea999ee9a8e9c331d5a9c31f3) C:\Windows\system32\drivers\tdtcp.sys
2011/06/16 21:59:30.0388 1232	tdx             (cb39e896a2a83702d1737bfd402b3542) C:\Windows\system32\DRIVERS\tdx.sys
2011/06/16 21:59:30.0404 1232	TermDD          (c36f41ee20e6999dbf4b0425963268a5) C:\Windows\system32\DRIVERS\termdd.sys
2011/06/16 21:59:30.0450 1232	tssecsrv        (98ae6fa07d12cb4ec5cf4a9bfa5f4242) C:\Windows\system32\DRIVERS\tssecsrv.sys
2011/06/16 21:59:30.0482 1232	tunnel          (3e461d890a97f9d4c168f5fda36e1d00) C:\Windows\system32\DRIVERS\tunnel.sys
2011/06/16 21:59:30.0497 1232	uagp35          (750fbcb269f4d7dd2e420c56b795db6d) C:\Windows\system32\DRIVERS\uagp35.sys
2011/06/16 21:59:30.0528 1232	udfs            (09cc3e16f8e5ee7168e01cf8fcbe061a) C:\Windows\system32\DRIVERS\udfs.sys
2011/06/16 21:59:30.0575 1232	uliagpkx        (44e8048ace47befbfdc2e9be4cbc8880) C:\Windows\system32\DRIVERS\uliagpkx.sys
2011/06/16 21:59:30.0606 1232	umbus           (049b3a50b3d646baeeee9eec9b0668dc) C:\Windows\system32\DRIVERS\umbus.sys
2011/06/16 21:59:30.0638 1232	UmPass          (7550ad0c6998ba1cb4843e920ee0feac) C:\Windows\system32\DRIVERS\umpass.sys
2011/06/16 21:59:30.0669 1232	usbccgp         (8455c4ed038efd09e99327f9d2d48ffa) C:\Windows\system32\DRIVERS\usbccgp.sys
2011/06/16 21:59:30.0684 1232	usbcir          (04ec7cec62ec3b6d9354eee93327fc82) C:\Windows\system32\DRIVERS\usbcir.sys
2011/06/16 21:59:30.0700 1232	usbehci         (ff32d4f3ec3c68b2ca61782c7964f54e) C:\Windows\system32\DRIVERS\usbehci.sys
2011/06/16 21:59:30.0731 1232	usbhub          (b0dfc7b484e0ca0c27bda5433b82d94a) C:\Windows\system32\DRIVERS\usbhub.sys
2011/06/16 21:59:30.0747 1232	usbohci         (a6fb7957ea7afb1165991e54ce934b74) C:\Windows\system32\DRIVERS\usbohci.sys
2011/06/16 21:59:30.0778 1232	usbprint        (797d862fe0875e75c7cc4c1ad7b30252) C:\Windows\system32\DRIVERS\usbprint.sys
2011/06/16 21:59:30.0825 1232	usbscan         (576096ccbc07e7c4ea4f5e6686d6888f) C:\Windows\system32\DRIVERS\usbscan.sys
2011/06/16 21:59:30.0872 1232	USBSTOR         (d8889d56e0d27e57ed4591837fe71d27) C:\Windows\system32\DRIVERS\USBSTOR.SYS
2011/06/16 21:59:30.0887 1232	usbuhci         (78780c3ebce17405b1ccd07a3a8a7d72) C:\Windows\system32\DRIVERS\usbuhci.sys
2011/06/16 21:59:30.0918 1232	vdrvroot        (a059c4c3edb09e07d21a8e5c0aabd3cb) C:\Windows\system32\DRIVERS\vdrvroot.sys
2011/06/16 21:59:30.0965 1232	vga             (17c408214ea61696cec9c66e388b14f3) C:\Windows\system32\DRIVERS\vgapnp.sys
2011/06/16 21:59:30.0996 1232	VgaSave         (8e38096ad5c8570a6f1570a61e251561) C:\Windows\System32\drivers\vga.sys
2011/06/16 21:59:31.0028 1232	vhdmp           (3be6e1f3a4f1afec8cee0d7883f93583) C:\Windows\system32\DRIVERS\vhdmp.sys
2011/06/16 21:59:31.0059 1232	viaagp          (c829317a37b4bea8f39735d4b076e923) C:\Windows\system32\DRIVERS\viaagp.sys
2011/06/16 21:59:31.0090 1232	ViaC7           (e02f079a6aa107f06b16549c6e5c7b74) C:\Windows\system32\DRIVERS\viac7.sys
2011/06/16 21:59:31.0106 1232	viaide          (e43574f6a56a0ee11809b48c09e4fd3c) C:\Windows\system32\DRIVERS\viaide.sys
2011/06/16 21:59:31.0137 1232	volmgr          (384e5a2aa49934295171e499f86ba6f3) C:\Windows\system32\DRIVERS\volmgr.sys
2011/06/16 21:59:31.0152 1232	volmgrx         (b5bb72067ddddbbfb04b2f89ff8c3c87) C:\Windows\system32\drivers\volmgrx.sys
2011/06/16 21:59:31.0184 1232	volsnap         (58df9d2481a56edde167e51b334d44fd) C:\Windows\system32\DRIVERS\volsnap.sys
2011/06/16 21:59:31.0230 1232	vsmraid         (9dfa0cc2f8855a04816729651175b631) C:\Windows\system32\DRIVERS\vsmraid.sys
2011/06/16 21:59:31.0262 1232	vwifibus        (90567b1e658001e79d7c8bbd3dde5aa6) C:\Windows\System32\drivers\vwifibus.sys
2011/06/16 21:59:31.0277 1232	vwififlt        (7090d3436eeb4e7da3373090a23448f7) C:\Windows\system32\DRIVERS\vwififlt.sys
2011/06/16 21:59:31.0293 1232	vwifimp         (a3f04cbea6c2a10e6cb01f8b47611882) C:\Windows\system32\DRIVERS\vwifimp.sys
2011/06/16 21:59:31.0324 1232	WacomPen        (de3721e89c653aa281428c8a69745d90) C:\Windows\system32\DRIVERS\wacompen.sys
2011/06/16 21:59:31.0355 1232	WANARP          (692a712062146e96d28ba0b7d75de31b) C:\Windows\system32\DRIVERS\wanarp.sys
2011/06/16 21:59:31.0355 1232	Wanarpv6        (692a712062146e96d28ba0b7d75de31b) C:\Windows\system32\DRIVERS\wanarp.sys
2011/06/16 21:59:31.0418 1232	Wd              (1112a9badacb47b7c0bb0392e3158dff) C:\Windows\system32\DRIVERS\wd.sys
2011/06/16 21:59:31.0433 1232	Wdf01000        (9950e3d0f08141c7e89e64456ae7dc73) C:\Windows\system32\drivers\Wdf01000.sys
2011/06/16 21:59:31.0496 1232	WfpLwf          (8b9a943f3b53861f2bfaf6c186168f79) C:\Windows\system32\DRIVERS\wfplwf.sys
2011/06/16 21:59:31.0527 1232	WIMMount        (5cf95b35e59e2a38023836fff31be64c) C:\Windows\system32\drivers\wimmount.sys
2011/06/16 21:59:31.0620 1232	WinUsb          (30fc6e5448d0cbaaa95280eeef7fedae) C:\Windows\system32\DRIVERS\WinUsb.sys
2011/06/16 21:59:31.0667 1232	WmiAcpi         (0217679b8fca58714c3bf2726d2ca84e) C:\Windows\system32\DRIVERS\wmiacpi.sys
2011/06/16 21:59:31.0698 1232	ws2ifsl         (6db3276587b853bf886b69528fdb048c) C:\Windows\system32\drivers\ws2ifsl.sys
2011/06/16 21:59:31.0745 1232	WudfPf          (6f9b6c0c93232cff47d0f72d6db1d21e) C:\Windows\system32\drivers\WudfPf.sys
2011/06/16 21:59:31.0776 1232	WUDFRd          (f91ff1e51fca30b3c3981db7d5924252) C:\Windows\system32\DRIVERS\WUDFRd.sys
2011/06/16 21:59:31.0823 1232	MBR (0x1B8)     (01c6ae8eadd5f5b4c22dd5848d9cb4b9) \Device\Harddisk0\DR0
2011/06/16 21:59:31.0886 1232	================================================================================
2011/06/16 21:59:31.0886 1232	Scan finished
2011/06/16 21:59:31.0886 1232	================================================================================
2011/06/16 21:59:31.0901 4020	Detected object count: 0
2011/06/16 21:59:31.0901 4020	Actual detected object count: 0
2011/06/16 22:00:00.0309 0756	Deinitialize success

Zitat:

Zitat von M-K-D-B

Schritt # 5: aswMBR.exe ausführen

Log ist hier:

Code:

ATTFilter

aswMBR version 0.9.6.399 Copyright(c) 2011 AVAST Software
Run date: 2011-06-16 22:01:26
-----------------------------
22:01:26.224    OS Version: Windows 6.1.7600 
22:01:26.224    Number of processors: 2 586 0x170A
22:01:26.224    ComputerName: MEDIONE4100D  UserName: xxxxx
22:01:45.365    Initialize success
22:02:28.234    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2
22:02:28.249    Disk 0 Vendor: ST3750528AS CC44 Size: 715404MB BusType: 3
22:02:30.277    Disk 0 MBR read successfully
22:02:30.277    Disk 0 MBR scan
22:02:30.277    Disk 0 unknown MBR code
22:02:32.290    Disk 0 scanning sectors +1465145344
22:02:32.321    Disk 0 scanning C:\Windows\system32\drivers
22:02:36.939    Service scanning
22:02:38.561    Disk 0 trace - called modules:
22:02:38.561    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll ataport.SYS intelide.sys PCIIDEX.SYS atapi.sys 
22:02:38.577    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8607c030]
22:02:38.577    3 CLASSPNP.SYS[8af9859e] -> nt!IofCallDriver -> [0x852d8640]
22:02:38.592    5 ACPI.sys[8aa923b2] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-2[0x85be1338]
22:02:38.592    Scan finished successfully
22:02:59.637    Disk 0 MBR has been saved successfully to "C:\Users\xxxx\Desktop\MBR.dat"
22:02:59.637    The log file has been saved successfully to "C:\Users\xxxx\Desktop\aswMBR.txt"

Zitat:

Zitat von M-K-D-B

Schritt # 6: ESET Online Scanner

Hat sehr lange gedauert, war dann bei Ende nicht am Platz, Rechner hatte wohl durchgestartet, Anmedebildschirm war aktiv. Ich lasse den Bildschirm noch 15 Minuten stehen, dann fahr ich den Rechner runter.
Laufwerk F: ist meine Sicherungsplatte...

Code:

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.7600.16385 (win7_rtm.090713-1255)
# OnlineScanner.ocx=1.0.0.6526
# api_version=3.0.2
# EOSSerial=c4928f9d60bc514d93cad8393aed4e84
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-06-16 11:18:54
# local_time=2011-06-17 01:18:54 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT 
# compatibility_mode=1797 16775165 100 94 16537 44792439 0 0
# compatibility_mode=5893 16776573 100 94 16210 60694326 0 0
# compatibility_mode=8192 67108863 100 0 68 68 0 0
# scanned=250543
# found=7
# cleaned=0
# scan_time=10751
C:\Qoobox_alt\Quarantine\C\Users\xxx\AppData\Roaming\appconf32.exe.vir	a variant of Win32/Kryptik.PAP trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\xxxxx\Downloads\Setup_FreeFlvConverter68.exe	Win32/Adware.Toolbar.Dealio application (unable to clean)	00000000000000000000000000000000	I
C:\Users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OUWH137F\info[1].exe	a variant of Win32/Kryptik.PBY trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\xx\Downloads\SweetImSetup.exe	a variant of Win32/SweetIM.B application (unable to clean)	00000000000000000000000000000000	I
F:\MEDIONE4100D\Backup Set 2011-06-09 062704\Backup Files 2011-06-09 062704\Backup files 10.zip	Java/TrojanDownloader.OpenStream.AF trojan (unable to clean)	00000000000000000000000000000000	I
F:\MEDIONE4100D\Backup Set 2011-06-09 062704\Backup Files 2011-06-09 062704\Backup files 14.zip	a variant of Win32/SweetIM.B application (unable to clean)	00000000000000000000000000000000	I
F:\MEDIONE4100D\Backup Set 2011-06-09 062704\Backup Files 2011-06-09 062704\Backup files 7.zip	Win32/Adware.Toolbar.Dealio application (unable to clean)	00000000000000000000000000000000	I

Zitat:

Zitat von M-K-D-B

Schritt # 7: Durchführung einer Sicherheitskontrolle

Ist das Programm noch nichtr zuende? Box steht noch mit der Meldung 'Results have been copied to checkup txt, which should open now!'

Code:

ATTFilter

 Results of screen317's Security Check version 0.99.13  
 Windows 7  (UAC is enabled) 
 Internet Explorer 8  
`````````````````````````````` 
Antivirus/Firewall Check: 
 Windows Security Center service is not running! This report may not be accurate! 
 Avira AntiVir Personal - Free Antivirus 
 ESET Online Scanner v3   
 WMI entry may not exist for antivirus; attempting automatic update. 
 Avira successfully updated! 
``````````````````````````````` 
Anti-malware/Other Utilities Check: 
 Malwarebytes' Anti-Malware    
 Java(TM) 6 Update 26  
 Adobe Flash Player   
Adobe Reader X (10.1.0) - Deutsch 
```````````````````````````````` 
Process Check:  
objlist.exe by Laurent 
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
``````````End of Log````````````

Zitat:

Zitat von M-K-D-B

Schritt # 8: Deine Rückmeldung[*]das Logfile von MBAM,[*]das Logfile des TDSS-Killers,[*]das Logfile von aswMBR,[*]das Logfile des ESET Online Scanners und[*]das Logfile von SecurityCheck.[/LIST]

Alles da....

Gruß, Stefan

M-K-D-B · 17.06.2011, 11:35

Hallo Stefan,

Schritt # 1: Wichtige Hinweise
MBAM hat noch folgendes gefunden:

Zitat:

c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.
c:\Recycle.Bin\recycle.bin.exe (Trojan.SpyEyes) -> Quarantined and deleted successfully.
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Dieser Trojaner spioniert Passwörter aus. Kein Online-Banking und keine Online-Einkäufe mehr machen!

Daneben hat ESET noch einiges gefunden:

Zitat:

C:\Qoobox_alt\Quarantine\C\Users\xxx\AppData\Roaming\appconf32.exe.vir a variant of Win32/Kryptik.PAP trojan

Darum brauchen wir uns nicht kümmern; das Erledigt ComboFix bei der Bereinigung.

Zitat:

C:\Users\xxxxx\Downloads\Setup_FreeFlvConverter68.exe Win32/Adware.Toolbar.Dealio application
C:\Users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OUWH137F\info[1].exe a variant of Win32/Kryptik.PBY trojan
C:\Users\xx\Downloads\SweetImSetup.exe a variant of Win32/SweetIM.B application

Darum kümmern wir uns jetzt noch mit OTL.

Zitat:

F:\MEDIONE4100D\Backup Set 2011-06-09 062704\Backup Files 2011-06-09 062704\Backup files 10.zip Java/TrojanDownloader.OpenStream.AF trojan
F:\MEDIONE4100D\Backup Set 2011-06-09 062704\Backup Files 2011-06-09 062704\Backup files 14.zip a variant of Win32/SweetIM.B application
F:\MEDIONE4100D\Backup Set 2011-06-09 062704\Backup Files 2011-06-09 062704\Backup files 7.zip Win32/Adware.Toolbar.Dealio application

Dieses Backup vom 09. Juni ist infiziert. Ich empfehle dir, die aufgelisteten Archive von Hand zu löschen.

Schritt # 2: Fix mit OTL

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

:OTL
:files
%userprofile%\Downloads\Setup_FreeFlvConverter68.exe
%userprofile%\Downloads\SweetImSetup.exe

:Commands
[emptytemp]

Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt # 3: Kontrolle mit VirusTotal
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

Klicke auf Durchsuchen
Kopiere nun folgendes in die Suchleiste.
Code:
ATTFilter
```
%userprofile%\Desktop\MBR.dat
         
```
und klicke auf Öffnen.
Klicke auf Send File.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.

Zitat:

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Schritt # 4: Benutzerdefinierter Scan mit OTL
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%PROGRAMFILES%\*.
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe 
winlogon.exe
wininit.exe
userinit.exe
svchost.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT

Schließe bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Schritt # 5: Fragen beantworten
Bitte beantworte mir folgende Fragen:

Wie läuft dein Rechner derzeit?
Gibt es noch irgendwelche Probleme? Wenn ja, beschreibe diese bitte so gut es geht.

Schritt # 6: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

das Logfile des OTL-Fix,
den Link zum Ergebnis von VirusTotal,
das neue Logfile von OTL (OTL.txt) und
die Beantwortung der gestellten Fragen.

sbie · 17.06.2011, 18:45

Hallo M-K-D-B

Schritt # 1: Wichtige Hinweise
Der Trojan.Spyeyes ist doch 'Quarantined and deleted successfully'. Ist der trotzdem noch auf dem Rechner, wie aktiviert sich das Programm?
Online Banking mach ich hier seit Tagen nicht mehr, nur email Abfrage aus dem freien Netz.

Schritt # 2: Fix mit OTL
Log:

Code:

ATTFilter

All processes killed
========== OTL ==========
========== FILES ==========
C:\Users\xxxxx\Downloads\Setup_FreeFlvConverter68.exe moved successfully.
File/Folder C:\Users\xxxxx\Downloads\SweetImSetup.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: xxxxx
->Temp folder emptied: 750013 bytes
->Temporary Internet Files folder emptied: 8507998 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Gast
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: xxx
->Temp folder emptied: 38970 bytes
->Temporary Internet Files folder emptied: 39663280 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 700 bytes
 
User: xx
->Temp folder emptied: 165670 bytes
->Temporary Internet Files folder emptied: 12516697 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 682 bytes
 
User: x
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
User: xxxx
->Temp folder emptied: 416147 bytes
->Temporary Internet Files folder emptied: 124264333 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 1407 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3750567 bytes
RecycleBin emptied: 9592335 bytes
 
Total Files Cleaned = 190,00 mb
 
 
OTL by OldTimer - Version 3.2.24.1 log created on 06172011_185208

Schritt # 3: Kontrolle mit VirusTotal
der Link

Code:

ATTFilter

hxxp://www.virustotal.com/file-scan/report.html?id=3d943cc1f70c15184d78699192991bd853f1127fc13088d9907c1b21ff1cc302-1308329784

Das erste Ergebnis:

Code:

ATTFilter

File name: MBR.dat
Submission date: 2011-06-17 16:56:24 (UTC)
Current status: queued queued analysing finished

Result: 0/ 42 (0.0%)

Additional informationShow all  
MD5   : 6f5d717971db31735ad6eb09b6eecb62 
SHA1  : f2d1a76ce653bc1ec961dc4b0c000d4700ea44a5 
SHA256: 3d943cc1f70c15184d78699192991bd853f1127fc13088d9907c1b21ff1cc302

Das keinerlei Aktion mehr zu sehen oder zu hören war, habe ich virustotal geschlossen und ein 2.tes mal aufgerufen, hier kam dann natürlich auch der Button Reanalyse.
Link:

Code:

ATTFilter

hxxp://www.virustotal.com/file-scan/report.html?id=3d943cc1f70c15184d78699192991bd853f1127fc13088d9907c1b21ff1cc302-1308330345

Das 2te Ergebnis:

Code:

ATTFilter

MD5: 6f5d717971db31735ad6eb09b6eecb62 
Date first seen: 2011-06-17 16:56:24 (UTC) 
Date last seen: 2011-06-17 16:56:24 (UTC) 
Detection ratio: 0/42 

File name: MBR.dat
Submission date: 2011-06-17 17:05:45 (UTC)
Current status: queued (#45) queued (#37) analysing finished

Schritt # 4: Benutzerdefinierter Scan mit OTL
Beim zweiten Start kam als erstes das Notepad hoch mit dem Inhalt

Code:

ATTFilter

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Log:
OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 17.06.2011 19:12:16 - Run 8
OTL by OldTimer - Version 3.2.24.1     Folder = C:\Users\xxxx\Desktop
 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,87 Gb Total Physical Memory | 2,04 Gb Available Physical Memory | 71,02% Memory free
5,74 Gb Paging File | 4,73 Gb Available in Paging File | 82,36% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 677,54 Gb Total Space | 528,04 Gb Free Space | 77,93% Space Free | Partition Type: NTFS
Drive D: | 20,00 Gb Total Space | 12,94 Gb Free Space | 64,68% Space Free | Partition Type: NTFS
Drive F: | 465,76 Gb Total Space | 71,88 Gb Free Space | 15,43% Space Free | Partition Type: NTFS
 
Computer Name: MEDIONE4100D | User Name: xxxxx | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\xxxx\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Common Files\TerraTec\Remote\TTTvRc.exe (Elgato Systems)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\CyberLink\Power2Go\CLMLSvc.exe (CyberLink)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Sidebar\sidebar.exe (Microsoft Corporation)
PRC - C:\Windows\System32\conhost.exe (Microsoft Corporation)
PRC - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE (Microsoft Corporation)
PRC - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE (Microsoft Corporation)
PRC - C:\Programme\Common Files\MAGIX Services\Database\bin\FABS.exe (MAGIX AG)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\xxxx\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AdobeARMservice) -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (MBAMService) -- C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (nosGetPlusHelper) getPlus(R) -- C:\Programme\NOS\bin\getPlus_Helper_3004.dll (NOS Microsystems Ltd.)
SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (WatAdminSvc) -- C:\Windows\System32\Wat\WatAdminSvc.exe (Microsoft Corporation)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (Fabs) -- C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe (MAGIX AG)
SRV - (SBSDWSCService) -- C:\Programme\Spybot - Search & Destroy\SDWinSec.exe (Safer Networking Ltd.)
SRV - (FirebirdServerMAGIXInstance) -- C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe (MAGIX®)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (MBAMSwissArmy) -- C:\Windows\System32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
DRV - (SASKUTIL) -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (SASDIFSV) -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (mod7700) -- C:\Windows\System32\drivers\dvb7700all.sys (DiBcom)
DRV - (RTL8192su) -- C:\Windows\System32\drivers\RTL8192su.sys (Realtek Semiconductor Corporation                           )
DRV - (vwifimp) -- C:\Windows\System32\drivers\vwifimp.sys (Microsoft Corporation)
DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation)
DRV - (IntcHdmiAddService) Intel(R) -- C:\Windows\System32\drivers\IntcHdmi.sys (Intel(R) Corporation)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (NDNdisprot) -- C:\Windows\System32\drivers\NDNdisprot.sys (Windows (R) 2000 DDK provider)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://medion.msn.com [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
O1 HOSTS File: ([2011.06.12 08:37:11 | 000,000,027 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Windows Live ID-Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (TerraTec Home Cinema) - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\Programme\TerraTec\TerraTec Home Cinema\ThcDeskBand.dll (TerraTec Electronic GmbH)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CLMLServer] C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe (CyberLink)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKCU..\Run: [ICQ] C:\Program Files\ICQ7.5\ICQ.exe (ICQ, LLC.)
O4 - HKCU..\Run: [Remote Control Editor] C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe (Elgato Systems)
O4 - HKLM..\RunOnce: [Uninstall Adobe Download Manager] C:\Program Files\NOS\bin\getPlusUninst_Adobe.exe (NOS Microsystems Ltd.)
O4 - Startup: C:\Users\xxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: LogonHoursAction = 2
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DontDisplayLogonHoursWarnings = 1
O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} -  File not found
O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} -  File not found
O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDNSP.DLL (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Programme\Common Files\microsoft shared\Windows Live\WLIDNSP.DLL (Microsoft Corporation)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos-beta/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} hxxp://www.sibelius.com/download/software/win/ActiveXPlugin.cab (ScorchPlugin Class)
O16 - DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} hxxp://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework/microsoft/wrc32.ocx (WRC Class)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.2
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0
ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {2D46B6DC-2207-486B-B523-A557E6D54B47} - C:\Windows\system32\cmd.exe /D /C start C:\Windows\system32\ie4uinit.exe -ClearIconCache
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\System32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\System32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
 
NetSvcs: FastUserSwitchingCompatibility -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Nla -  File not found
NetSvcs: Ntmssvc -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: SRService -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: LogonHours -  File not found
NetSvcs: PCAudit -  File not found
NetSvcs: helpsvc -  File not found
NetSvcs: uploadmgr -  File not found
 

 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.06.16 22:18:35 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2011.06.16 21:54:42 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\Adobe
[2011.06.16 21:50:23 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\Java
[2011.06.16 21:49:38 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2011.06.14 17:41:21 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip
[2011.06.14 17:41:20 | 000,000,000 | ---D | C] -- C:\Programme\7-Zip
[2011.06.13 21:41:57 | 000,000,000 | ---D | C] -- C:\Users\xxxxx\AppData\Roaming\SUPERAntiSpyware.com
[2011.06.13 21:41:57 | 000,000,000 | ---D | C] -- C:\ProgramData\SUPERAntiSpyware.com
[2011.06.13 21:41:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SUPERAntiSpyware
[2011.06.13 21:41:51 | 000,000,000 | ---D | C] -- C:\Programme\SUPERAntiSpyware
[2011.06.13 21:27:00 | 000,000,000 | ---D | C] -- C:\_OTL
[2011.06.13 19:03:45 | 000,000,000 | ---D | C] -- C:\Users\xxxxx\AppData\Roaming\Malwarebytes
[2011.06.13 19:03:34 | 000,039,984 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2011.06.13 19:03:34 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2011.06.13 19:03:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011.06.13 19:03:30 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.06.13 17:59:33 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2011.06.13 17:59:33 | 000,000,000 | ---D | C] -- C:\Users\xxxxx\AppData\Local\temp
[2011.06.13 17:59:08 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2011.06.13 17:52:01 | 000,000,000 | ---D | C] -- C:\ComboFix
[2011.06.13 14:54:10 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.06.12 08:29:42 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2011.06.12 08:29:42 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2011.06.12 08:29:42 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2011.06.12 08:29:39 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT
[2011.06.12 08:29:15 | 000,000,000 | ---D | C] -- C:\Qoobox_alt
[2011.06.11 19:24:23 | 000,000,000 | ---D | C] -- C:\Programme\NOS
[2011.06.11 19:24:23 | 000,000,000 | ---D | C] -- C:\ProgramData\NOS
[2011.06.11 15:12:40 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy
[2011.06.11 15:12:40 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2011.06.10 22:48:49 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ICQ7.5
[2011.06.10 22:48:43 | 000,000,000 | ---D | C] -- C:\Programme\ICQ6Toolbar
[2011.06.10 22:48:39 | 000,000,000 | ---D | C] -- C:\Users\xxxxx\AppData\Roaming\Mozilla
[2011.06.10 22:48:39 | 000,000,000 | ---D | C] -- C:\ProgramData\ICQ
[2011.06.10 22:48:33 | 000,000,000 | ---D | C] -- C:\Users\xxxxx\AppData\Roaming\ICQ
[2011.06.10 22:48:28 | 000,000,000 | ---D | C] -- C:\Programme\ICQ7.5
[2011.06.05 13:26:10 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Earth
[2011.05.20 17:47:46 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\Plasmoo
[2010.08.25 19:59:08 | 000,004,096 | ---- | C] ( ) -- C:\Windows\System32\IGFXDEVLib.dll
 
========== Files - Modified Within 30 Days ==========
 
[2011.06.17 19:00:54 | 000,010,096 | ---- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011.06.17 19:00:54 | 000,010,096 | ---- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011.06.17 18:54:03 | 000,001,092 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2011.06.17 18:53:37 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.06.17 18:53:32 | 2313,084,928 | -HS- | M] () -- C:\hiberfil.sys
[2011.06.17 18:25:00 | 000,001,096 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2011.06.16 22:07:18 | 000,658,002 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2011.06.16 22:07:18 | 000,611,076 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011.06.16 22:07:18 | 000,130,538 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2011.06.16 22:07:18 | 000,107,262 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011.06.16 21:54:52 | 000,001,993 | ---- | M] () -- C:\Users\Public\Desktop\Adobe Reader X.lnk
[2011.06.15 20:30:47 | 002,459,806 | ---- | M] () -- C:\Users\xxxxx\Documents\AutoRuns.arn
[2011.06.12 08:37:11 | 000,000,027 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts
[2011.06.11 17:01:45 | 000,000,000 | ---- | M] () -- C:\Users\xxxxx\defogger_reenable
[2011.06.11 15:12:45 | 000,001,220 | ---- | M] () -- C:\Users\xxxxx\Desktop\Spybot - Search & Destroy.lnk
[2011.06.10 22:48:49 | 000,001,774 | ---- | M] () -- C:\Users\Public\Desktop\ICQ7.5.lnk
[2011.06.10 22:09:37 | 000,001,079 | ---- | M] () -- C:\Users\xxxxx\Desktop\Free FLV Converter.lnk
[2011.06.05 13:26:11 | 000,002,174 | ---- | M] () -- C:\Users\Public\Desktop\Google Earth.lnk
[2011.05.29 09:11:30 | 000,039,984 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2011.05.23 22:33:55 | 289,975,938 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2011.05.20 17:48:16 | 000,001,201 | ---- | M] () -- C:\Users\xxxxx\Desktop\DVDVideoSoft Free Studio.lnk
[2011.05.20 17:47:47 | 000,001,360 | ---- | M] () -- C:\Users\xxxxx\Desktop\Free YouTube to MP3 Converter.lnk
 
========== Files Created - No Company Name ==========
 
[2011.06.16 21:54:52 | 000,002,441 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader X.lnk
[2011.06.16 21:54:52 | 000,001,993 | ---- | C] () -- C:\Users\Public\Desktop\Adobe Reader X.lnk
[2011.06.15 20:29:19 | 002,459,806 | ---- | C] () -- C:\Users\xxxxx\Documents\AutoRuns.arn
[2011.06.12 08:29:42 | 000,256,512 | ---- | C] () -- C:\Windows\PEV.exe
[2011.06.12 08:29:42 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2011.06.12 08:29:42 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2011.06.12 08:29:42 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2011.06.12 08:29:42 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2011.06.11 17:01:45 | 000,000,000 | ---- | C] () -- C:\Users\xxxxx\defogger_reenable
[2011.06.11 15:12:45 | 000,001,220 | ---- | C] () -- C:\Users\xxxxx\Desktop\Spybot - Search & Destroy.lnk
[2011.06.10 22:48:49 | 000,001,774 | ---- | C] () -- C:\Users\Public\Desktop\ICQ7.5.lnk
[2011.06.09 21:32:18 | 000,002,174 | ---- | C] () -- C:\Users\Public\Desktop\Google Earth.lnk
[2011.06.09 21:32:18 | 000,002,016 | ---- | C] () -- C:\Users\Public\Desktop\Avira AntiVir Control Center.lnk
[2011.06.09 21:32:18 | 000,000,981 | ---- | C] () -- C:\Users\Public\Desktop\TVUPlayer.lnk
[2011.06.09 21:32:18 | 000,000,964 | ---- | C] () -- C:\Users\Public\Desktop\TerraTec Home Cinema.lnk
[2010.06.22 20:36:20 | 000,116,224 | ---- | C] () -- C:\Windows\System32\redmonnt.dll
[2010.06.22 20:36:20 | 000,045,056 | ---- | C] () -- C:\Windows\System32\unredmon.exe
[2010.05.10 13:02:04 | 000,000,017 | ---- | C] () -- C:\Windows\System32\drivers\VERSION.DAT
[2010.05.10 11:16:18 | 000,982,240 | ---- | C] () -- C:\Windows\System32\igkrng500.bin
[2010.05.10 11:16:18 | 000,004,608 | ---- | C] () -- C:\Windows\System32\HdmiCoin.dll
[2010.05.10 11:16:17 | 000,092,356 | ---- | C] () -- C:\Windows\System32\igfcg500m.bin
[2010.05.10 11:16:16 | 000,439,308 | ---- | C] () -- C:\Windows\System32\igcompkrng500.bin
[2010.03.23 12:54:45 | 000,120,200 | ---- | C] () -- C:\Windows\System32\DLLDEV32i.dll
[2010.03.18 13:32:25 | 000,208,896 | ---- | C] () -- C:\Windows\System32\iglhsip32.dll
[2010.03.18 13:32:25 | 000,143,360 | ---- | C] () -- C:\Windows\System32\iglhcp32.dll
[2010.03.18 13:32:23 | 000,000,151 | ---- | C] () -- C:\Windows\System32\GfxUI.exe.config
[2010.03.18 13:32:22 | 000,073,728 | ---- | C] () -- C:\Windows\System32\RtNicProp32.dll
[2009.08.03 16:07:42 | 000,403,816 | ---- | C] () -- C:\Windows\System32\OGACheckControl.dll
[2009.08.03 16:07:42 | 000,230,768 | ---- | C] () -- C:\Windows\System32\OGAEXEC.exe
[2009.07.14 10:47:43 | 000,658,002 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2009.07.14 10:47:43 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2009.07.14 10:47:43 | 000,130,538 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2009.07.14 10:47:43 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2009.07.14 06:57:37 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009.07.14 06:33:53 | 000,404,912 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2009.07.14 04:05:48 | 000,611,076 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2009.07.14 04:05:48 | 000,291,294 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2009.07.14 04:05:48 | 000,107,262 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2009.07.14 04:05:48 | 000,031,548 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2009.07.14 04:05:05 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2009.07.14 04:04:11 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2009.07.14 02:55:09 | 001,332,736 | ---- | C] () -- C:\Windows\System32\hpotiop1.dll
[2009.07.14 01:55:01 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009.07.14 01:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
[2009.07.14 00:09:19 | 000,139,824 | ---- | C] () -- C:\Windows\System32\igfcg500.bin
[2009.06.10 23:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
 
========== LOP Check ==========
 
[2010.07.16 21:13:04 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\Amazon
[2010.12.21 21:22:40 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\DVDVideoSoft
[2011.01.11 19:46:23 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\DVDVideoSoftIEHelpers
[2010.09.21 19:40:43 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\elsterformular
[2010.09.16 19:36:05 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\FreeFLVConverter
[2011.05.06 18:20:54 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\gtk-2.0
[2010.08.22 14:31:12 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\Helios
[2011.06.10 22:48:50 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\ICQ
[2010.08.30 21:39:39 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\Klett
[2010.07.22 20:22:07 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\MAGIX
[2011.05.06 17:56:05 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\OpenOffice.org
[2011.04.19 21:51:06 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\TerraTec
[2010.07.05 22:38:11 | 000,000,000 | ---D | M] -- C:\Users\xxxxx\AppData\Roaming\Windows Live Writer
[2011.05.10 08:17:25 | 000,032,640 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2011.06.15 20:55:13 | 000,000,000 | -HSD | M] -- C:\$RECYCLE.BIN
[2011.06.13 17:59:34 | 000,000,000 | ---D | M] -- C:\ComboFix
[2010.06.10 20:23:40 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen
[2010.05.10 13:15:07 | 000,000,000 | ---D | M] -- C:\Intel
[2010.03.19 08:24:45 | 000,000,000 | R--D | M] -- C:\MSOCache
[2011.06.16 22:18:35 | 000,000,000 | R--D | M] -- C:\Programme
[2011.06.13 21:41:57 | 000,000,000 | ---D | M] -- C:\ProgramData
[2010.06.10 20:23:40 | 000,000,000 | -HSD | M] -- C:\Programme
[2011.06.13 17:59:34 | 000,000,000 | ---D | M] -- C:\Qoobox
[2011.06.12 08:38:26 | 000,000,000 | ---D | M] -- C:\Qoobox_alt
[2010.06.10 20:23:40 | 000,000,000 | ---D | M] -- C:\Recovery
[2011.06.17 12:08:36 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.05.03 21:48:10 | 000,000,000 | R--D | M] -- C:\Users
[2011.06.16 18:09:46 | 000,000,000 | ---D | M] -- C:\Windows
[2011.06.13 21:27:00 | 000,000,000 | ---D | M] -- C:\_OTL
 
< %PROGRAMFILES%\*.exe >
 
< %PROGRAMFILES%\*. >
[2011.06.14 17:41:21 | 000,000,000 | ---D | M] -- C:\Programme\7-Zip
[2011.06.16 21:54:42 | 000,000,000 | ---D | M] -- C:\Programme\Adobe
[2010.03.23 12:55:32 | 000,000,000 | ---D | M] -- C:\Programme\ALDI Foto Service
[2010.04.15 09:46:33 | 000,000,000 | ---D | M] -- C:\Programme\Aldi Nord Fotoservice
[2010.07.16 21:12:10 | 000,000,000 | ---D | M] -- C:\Programme\Amazon
[2010.09.15 20:56:32 | 000,000,000 | ---D | M] -- C:\Programme\Avira
[2010.12.05 20:47:26 | 000,000,000 | ---D | M] -- C:\Programme\CdCoverCreator
[2011.06.16 21:54:42 | 000,000,000 | ---D | M] -- C:\Programme\Common Files
[2010.03.19 09:25:41 | 000,000,000 | ---D | M] -- C:\Programme\CyberLink
[2009.07.14 10:56:54 | 000,000,000 | ---D | M] -- C:\Programme\DVD Maker
[2011.01.11 19:46:19 | 000,000,000 | ---D | M] -- C:\Programme\DVDVideoSoft
[2010.11.12 19:42:54 | 000,000,000 | ---D | M] -- C:\Programme\EA GAMES
[2010.07.14 22:42:18 | 000,000,000 | ---D | M] -- C:\Programme\Electronic Arts
[2010.09.21 19:40:33 | 000,000,000 | ---D | M] -- C:\Programme\ElsterFormular
[2011.06.16 22:18:35 | 000,000,000 | ---D | M] -- C:\Programme\ESET
[2010.07.30 19:53:18 | 000,000,000 | ---D | M] -- C:\Programme\foobar2000
[2011.06.10 22:09:37 | 000,000,000 | ---D | M] -- C:\Programme\Free FLV Converter
[2010.07.13 22:10:54 | 000,000,000 | ---D | M] -- C:\Programme\Free M4a to MP3 Converter
[2010.06.22 20:36:19 | 000,000,000 | ---D | M] -- C:\Programme\FreePDF_XP
[2011.03.27 20:01:51 | 000,000,000 | ---D | M] -- C:\Programme\Gamigo Games
[2010.06.10 20:23:40 | 000,000,000 | -HSD | M] -- C:\Programme\Gemeinsame Dateien
[2010.06.18 19:39:09 | 000,000,000 | ---D | M] -- C:\Programme\GIMP-2.0
[2011.06.16 21:13:37 | 000,000,000 | ---D | M] -- C:\Programme\Google
[2010.06.22 20:35:46 | 000,000,000 | ---D | M] -- C:\Programme\gs
[2011.06.10 22:50:46 | 000,000,000 | ---D | M] -- C:\Programme\ICQ6Toolbar
[2011.06.10 22:48:50 | 000,000,000 | ---D | M] -- C:\Programme\ICQ7.5
[2011.06.10 22:48:39 | 000,000,000 | -H-D | M] -- C:\Programme\InstallShield Installation Information
[2010.05.10 13:15:31 | 000,000,000 | ---D | M] -- C:\Programme\Intel
[2011.06.17 03:23:20 | 000,000,000 | ---D | M] -- C:\Programme\Internet Explorer
[2011.06.16 21:49:38 | 000,000,000 | ---D | M] -- C:\Programme\Java
[2010.12.01 22:28:47 | 000,000,000 | ---D | M] -- C:\Programme\JRE
[2010.08.30 21:34:30 | 000,000,000 | ---D | M] -- C:\Programme\Klett
[2011.06.13 19:03:35 | 000,000,000 | ---D | M] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.03.18 15:16:16 | 000,000,000 | ---D | M] -- C:\Programme\MEDIONmail
[2011.06.15 00:02:47 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft
[2009.07.14 10:56:50 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft Games
[2010.03.19 08:26:09 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft Office
[2010.03.19 08:43:18 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft Office Suite Activation Assistant
[2011.06.17 03:24:22 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft Silverlight
[2010.03.18 15:11:20 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft SQL Server Compact Edition
[2010.03.18 15:11:54 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft Sync Framework
[2010.12.21 21:53:59 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft Works
[2010.07.14 22:59:19 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft WSE
[2010.03.19 08:26:03 | 000,000,000 | ---D | M] -- C:\Programme\Microsoft.NET
[2009.07.14 06:52:30 | 000,000,000 | ---D | M] -- C:\Programme\MSBuild
[2010.03.23 15:57:20 | 000,000,000 | ---D | M] -- C:\Programme\MSXML 4.0
[2010.11.04 23:27:53 | 000,000,000 | ---D | M] -- C:\Programme\Netdetect
[2011.06.11 19:24:23 | 000,000,000 | ---D | M] -- C:\Programme\NOS
[2010.12.01 22:28:46 | 000,000,000 | ---D | M] -- C:\Programme\OpenOffice.org 3
[2011.03.27 19:28:01 | 000,000,000 | ---D | M] -- C:\Programme\Pando Networks
[2010.06.10 20:23:53 | 000,000,000 | ---D | M] -- C:\Programme\PlayReady
[2010.03.18 14:45:15 | 000,000,000 | ---D | M] -- C:\Programme\Realtek
[2009.07.14 06:52:30 | 000,000,000 | ---D | M] -- C:\Programme\Reference Assemblies
[2011.02.06 20:12:13 | 000,000,000 | ---D | M] -- C:\Programme\Sibelius Software
[2011.06.11 15:13:52 | 000,000,000 | ---D | M] -- C:\Programme\Spybot - Search & Destroy
[2011.06.13 22:20:46 | 000,000,000 | ---D | M] -- C:\Programme\SUPERAntiSpyware
[2010.05.10 13:05:04 | 000,000,000 | ---D | M] -- C:\Programme\Temp
[2011.04.19 21:25:15 | 000,000,000 | ---D | M] -- C:\Programme\TerraTec
[2010.08.22 14:29:11 | 000,000,000 | ---D | M] -- C:\Programme\TextPad 5
[2011.02.11 23:23:38 | 000,000,000 | ---D | M] -- C:\Programme\Tracker Software
[2011.05.11 22:33:39 | 000,000,000 | ---D | M] -- C:\Programme\TVUPlayer
[2009.07.14 06:53:23 | 000,000,000 | ---D | M] -- C:\Programme\Uninstall Information
[2009.07.14 10:47:37 | 000,000,000 | ---D | M] -- C:\Programme\Windows Defender
[2009.07.14 10:56:53 | 000,000,000 | ---D | M] -- C:\Programme\Windows Journal
[2011.06.15 00:03:37 | 000,000,000 | ---D | M] -- C:\Programme\Windows Live
[2010.03.18 15:10:24 | 000,000,000 | ---D | M] -- C:\Programme\Windows Live SkyDrive
[2010.12.15 22:14:29 | 000,000,000 | ---D | M] -- C:\Programme\Windows Mail
[2010.10.15 11:04:15 | 000,000,000 | ---D | M] -- C:\Programme\Windows Media Player
[2010.06.10 20:23:40 | 000,000,000 | ---D | M] -- C:\Programme\Windows NT
[2009.07.14 10:47:37 | 000,000,000 | ---D | M] -- C:\Programme\Windows Photo Viewer
[2009.07.14 06:52:32 | 000,000,000 | ---D | M] -- C:\Programme\Windows Portable Devices
[2010.03.22 15:45:44 | 000,000,000 | ---D | M] -- C:\Programme\Windows Sidebar
 
< %LOCALAPPDATA%\*.exe >
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: EXPLORER.EXE  >
[2009.07.14 03:14:20 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=15BC38A7492BEFE831966ADB477CF76F -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe
[2009.10.31 07:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\ERDNT\cache\explorer.exe
[2009.10.31 07:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\explorer.exe
[2009.10.31 07:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_51a66d6ddafc2ed1\explorer.exe
[2009.08.03 07:49:47 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=9FF6C4C91A3711C0A3B18F87B08B518D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_526619d4f3f142e6\explorer.exe
[2009.08.03 07:35:50 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=B95EEB0F4E5EFBF1038A35B3351CF047 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_51e07e31dad00878\explorer.exe
[2009.10.31 08:00:51 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=C76153C7ECA00FA852BB0C193378F917 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe
 
< MD5 for: REGEDIT.EXE  >
[2009.07.14 03:14:30 | 000,398,336 | ---- | M] (Microsoft Corporation) MD5=8A4883F5E7AC37444F23279239553878 -- C:\Windows\ERDNT\cache\regedit.exe
[2009.07.14 03:14:30 | 000,398,336 | ---- | M] (Microsoft Corporation) MD5=8A4883F5E7AC37444F23279239553878 -- C:\Windows\regedit.exe
[2009.07.14 03:14:30 | 000,398,336 | ---- | M] (Microsoft Corporation) MD5=8A4883F5E7AC37444F23279239553878 -- C:\Windows\winsxs\x86_microsoft-windows-registry-editor_31bf3856ad364e35_6.1.7600.16385_none_f4050b883d2c3c08\regedit.exe
 
< MD5 for: SVCHOST.EXE  >
[2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) MD5=54A47F6B5E09A77E61649109C6A08866 -- C:\Windows\ERDNT\cache\svchost.exe
[2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) MD5=54A47F6B5E09A77E61649109C6A08866 -- C:\Windows\System32\svchost.exe
[2009.07.14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) MD5=54A47F6B5E09A77E61649109C6A08866 -- C:\Windows\winsxs\x86_microsoft-windows-services-svchost_31bf3856ad364e35_6.1.7600.16385_none_b591afc466a15356\svchost.exe
 
< MD5 for: USERINIT.EXE  >
[2009.07.14 03:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\ERDNT\cache\userinit.exe
[2009.07.14 03:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\System32\userinit.exe
[2009.07.14 03:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_dbff103933038d7c\userinit.exe
 
< MD5 for: WININIT.EXE  >
[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\ERDNT\cache\wininit.exe
[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\System32\wininit.exe
[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe
 
< MD5 for: WINLOGON.EXE  >
[2009.10.28 08:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\ERDNT\cache\winlogon.exe
[2009.10.28 08:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\System32\winlogon.exe
[2009.10.28 08:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_6fc699643622d177\winlogon.exe
[2009.10.28 07:52:08 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=3BABE6767C78FBF5FB8435FEED187F30 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_703394514f56f7c2\winlogon.exe
[2009.07.14 03:14:45 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=8EC6A4AB12B8F3759E21F8E3A388F2CF -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_6f99573a36451166\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-06-17 10:08:51

< End of report >

--- --- ---

Schritt # 5: Fragen beantworten
Wie läuft dein Rechner derzeit?

Code:

ATTFilter

Super

Gibt es noch irgendwelche Probleme? Wenn ja, beschreibe diese bitte so gut es geht.

Code:

ATTFilter

Unauffällig, keine wilden Plattenaktivitäten, google suche auch ohne umleitung und schnell, aus dem IE kommen auch wieder Töne, mehr geht (fast) nicht.

Sind nun alle Trojanerchen weg?

Gruß, Stefan

M-K-D-B · 19.06.2011, 08:21

Hallo Stefan,

so, nun bin ich wieder da.

Zitat:

Zitat von sbie

Sind nun alle Trojanerchen weg?

Sieht ganz gut aus. Bevor meine Abschlussantwort kommt, müssen wir uns noch folgendes ansehen:

SecurityCheck hat noch folgende Meldung herausgegeben:

Zitat:

Windows Security Center service is not running! This report may not be accurate!

Das sollten wir uns noch genauer ansehen. Eventuell wurde dieser Windows Dienst durch das Rootkit deaktiviert oder verändert. Dann müssen wir das beheben!

Schritt # 1: Registry mit ERUNT absichern
Da wir in der Registry Änderungen vornehmen müssen, wirst Du die Registry vorher wie folgt sichern:
Lade das Tool ERUNT von Lars Hederer herunter und installiere es. Starte die erunt.exe und erstelle damit eine Backup der Registry in den vorgegebenen Ordner. Unter Sicherungsoptionen bitte alle drei Möglichkeiten anhaken. Das Programm nicht in den Systemstart aufnehmen.

Schritt # 2: Batch Datei ausführen
Drücke bitte die

+ R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

@echo off
cd \
set log=%userprofile%\Desktop\ergebnis.txt
if exist %log% del %log%
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc" /s >> "%userprofile%\Desktop\ergebnis.txt"
notepad "%userprofile%\Desktop\ergebnis.txt"
del %0

Wähle Datei --> Speichern unter
Dateiname: suche1.bat
Dateityp: Wähle Alle Dateien (*.*)
Speichere die Datei auf deinem Desktop.
Es sollte nun ungefähr so aussehen
Starte die suche1.bat.
Vista und Win7 User: Mit Rechtsklick "als Administrator starten"
Es öffnet sich die Textdatei ergebnis.txt. Diese Datei befindet sich auch auf deinem Desktop.

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

das Ergebnis der Batch Datei.

sbie · 20.06.2011, 17:06

Zitat:

Zitat von M-K-D-B

Hallo Stefan,
so, nun bin ich wieder da.

Wunderbar, Adminausflug?

Zitat:

Zitat von M-K-D-B

Windows Security Center service is not running! This report may not be accurate!

Nicht vergessen.

Zitat:

Zitat von M-K-D-B

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

das Ergebnis der Batch Datei.
ergebnis.txt. Diese Datei befindet sich auch auf deinem Desktop.

ist hier: (lag auf dem Desktop des Admins)

Code:

ATTFilter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
    DisplayName    REG_SZ    @%SystemRoot%\System32\wscsvc.dll,-200
    ErrorControl    REG_DWORD    0x1
    ImagePath    REG_EXPAND_SZ    %SystemRoot%\System32\svchost.exe -k LocalServiceNetworkRestricted
    Start    REG_DWORD    0x2
    Type    REG_DWORD    0x20
    Description    REG_SZ    @%SystemRoot%\System32\wscsvc.dll,-201
    DependOnService    REG_MULTI_SZ    RpcSs\0winmgmt
    ObjectName    REG_SZ    NT AUTHORITY\LocalService
    ServiceSidType    REG_DWORD    0x1
    RequiredPrivileges    REG_MULTI_SZ    SeChangeNotifyPrivilege\0SeImpersonatePrivilege
    DelayedAutoStart    REG_DWORD    0x1
    FailureActions    REG_BINARY    805101000000000000000000030000001400000001000000C0D4010001000000E09304000000000000000000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum
    0    REG_SZ    Root\LEGACY_WSCSVC\0000
    Count    REG_DWORD    0x1
    NextInstance    REG_DWORD    0x1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters
    ServiceDllUnloadOnStop    REG_DWORD    0x1
    ServiceDll    REG_EXPAND_SZ    %SYSTEMROOT%\system32\wscsvc.dll

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security
    Security    REG_BINARY    01001480C8000000D4000000140000003000000002001C000100000002801400FF010F00010100000000000100000000020098000600000000001400FD01020001010000000000051200000000001800FF010F0001020000000000052000000020020000000014009D010200010100000000000504000000000014008D010200010100000000000506000000000014000001000001010000000000050B000000000028001500000001060000000000055000000049599D779156E555DCF4E20EA78BEBCA7B421356010100000000000512000000010100000000000512000000

Diesmal mit Klick auf Antworten, Vorschau reicht einfach nicht....
Gruß, Stefan

M-K-D-B · 21.06.2011, 09:20

Hallo Stefan,

Zitat:

Zitat von sbie

Wunderbar, Adminausflug?

Nein, Hochzeit.

Der Service startet automatisch mit Windows, das ist in Ordnung so.

Hier scheint ein Fehler von SecurityCheck vorzuliegen.

Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Dein Rechner ist sauber.

Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.

Schritt # 1: ComboFix deinstallieren
Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücken. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.

Code:

ATTFilter

Combofix /Uninstall

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.

Schritt # 2: Systembereinigung mit OTL
Als Nächstes müssen wir alle Programme, die zur Malwarebeseitigung notwendig waren, entfernen:

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Button Bereinigung.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.

Schritt # 3: Programme deinstallieren/löschen

Deinstalliere als nächstes bitte folgende Programme über die Systemsteuerung:
- ERUNT
Führe gegebenenfalls einen Neustart deines Rechners durch.
Deinstalliere/Lösche gegebenenfalls weitere Dateien und Programme, die wir verwendet haben, manuell, falls sie noch nicht von deinem Rechner entfernt wurden.

Schritt # 4: ESET Online Scanner

Ich würde dir empfehlen, 1 mal pro Woche auch mit diesem Scanner dein System zu prüfen.
Möchtest Du ESET denoch deinstallieren:
Drücke bitte die + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Code:
ATTFilter
```
"%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"
         
```
Drücke OK.

Schritt # 5: Windows Update aktivieren
Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken.
Kopiere nun folgenden Text in die Kommandozeile:
Code:
ATTFilter
```
RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl
         
```
Klicke auf Ok.
Stelle sicher, dass die automatischen Updates aktiviert sind.
Downloade und installiere gegebenenfalls alle verfügbaren Updates.

Schritt # 6: Schutz vor weiteren Infektionen
Damit du in Zukunft vor ähnlichen Infektionen geschützt bist, empfehle ich dir noch ein paar nützliche Programme inklusive ein paar Tipps.

Vergewissere dich, dass dein Virenscanner stets aktuell ist und regelmäßig Updates erhält.
Daneben empfehle ich dir die Verwendung eines der folgenden Anti-Malware tools:
- Malwarebytes' Anti-Malware
- SuperAntiSpyware
- Emsisoft AntiMalware
SpywareBlaster
Eine kurze Einführung findest du Hier
MVPs hosts file
Eine Einführung findest du hier
Öffne keine E-Mails oder deren Anhänge, wenn du den Absender nicht kennst!
Verwende keine Filesharing Programme, da damit sehr oft Malware übertragen wird!
Verwende keine Keygens, Cracks oder andere illegale Software!
Wähle bei der Installation eines Programms immer die benutzerdefinierte Variante. Somit kannst du unnötige Toolbars, etc. abwählen!
Halte ALLE deine Programme aktuell, z. B. mit dem Online Secunia Inspector!

Schritt # 7: Passwörter ändern

Du warst mit einem Trojaner infiziert, der Passwörter ausspäht.
Darum bitte ich dich, alle deine Passwörter (E-Mail, Ebay, Amazon, Online Banking, Facebook, etc.) zu ändern.

Schritt # 8: Deine Rückmeldung
Bitte gib mir kurz Bescheid, wenn alles erledigt ist und du keine Fragen mehr hast, damit ich das Thema aus meinen Abos löschen kann.

Trojaner Kazy.26024.5 SpyEyes Trojan.FakeMS (hoffentlich) entfernt aber danach viele Probleme

Plagegeister aller Art und deren Bekämpfung: Trojaner Kazy.26024.5 SpyEyes Trojan.FakeMS (hoffentlich) entfernt aber danach viele Probleme