Hallo miteinander

Heute hat sich bei mir während der Internetnutzung auf dem Notebook die Fehlermeldung gezeigt dass die Festplatte beschädigt sei und ich das System neustarten soll. Zeitgleich meldete mein McAfee die Virusmeldung FakeAlert!grb Ich habe den Neustart nicht gemacht sondern habe gleich angefangen einen Festplattencheck zu laufen. Kurz darauf hat sich das System allerdings von selbst neu gestartet.

Nach dem Hochfahren hatte ich keinen Zugriff mehr auf das Systemlaufwerk und die installierten Programme. Nach etwas stöbern im Forum bin ich auf den Trick gestossen mit welchem die nicht sichtbaren Dateien auf dem Rechner wieder sichtbar gemacht werden können im Arbeitsplatz. Habe dies gemacht und kann nun meine Dateien alle wieder sehen. Da aber die Fehlermeldungen alle bleiben läuft nun mein McAfee auf hochtouren. Glaube aber nicht dass er den Trojaner komplett deinstallieren kann.

Hat jemand von euch Erfahrung? Kann ich mein Notebook von dem Trojaner befreien, oder nützt nur eine Neuinstallation?

NB: Ich schreibe von einem Zweitrechner. Habe den infizierten vom Netz getrennt.

Danke für eure Hilfe

West79

Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Bitte füge alle Logfiles in sog. Codeboxen ein. Das Symbol dafür findest du über dem Textfeld, es sieht in etwa so aus: #.
• Bitte arbeite solange mit mir mit, bis ich dir sage, dass wir hier fertig sind.
• Solltest du mir nicht innerhalb von 5 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Schritt # 1: Fragen beantworten
Zuerst kommen wir zu deinen Fragen:

Zitat:

Zitat von West79

Hat jemand von euch Erfahrung? Kann ich mein Notebook von dem Trojaner befreien, oder nützt nur eine Neuinstallation?

Ob eine Neuinstallation notwendig ist, kann ich dir erst sagen, wenn ich einen Blick auf dein System geworfen habe bzw. die Bereinigung nicht gelingt.


Bitte beantworte mir folgende Fragen:

Zitat:

Zitat von West79

Nach etwas stöbern im Forum bin ich auf den Trick gestossen mit welchem die nicht sichtbaren Dateien auf dem Rechner wieder sichtbar gemacht werden können im Arbeitsplatz.

Sprichst du hier vom Tool unhide.exe?

Gibt es derzeit noch andere Probleme?





Schritt # 2: rKill verwenden
Downloade Dir bitte rKill ( by Grinler ) von einem dieser Downloadspiegel.

• rKill.com
• rKill.scr
• rKill.exe

und speichere die Datei auf dem Desktop.

• Deaktiviere deine Anti- Viren- Software.
• Starte das Tool mit Doppelklick
  Vista und Win7 User: Mit Rechtsklick "als Administrator starten".
• Nun sollte ein schwarzes Fenster aufpoppen und dir zeigen, dass es läuft.
• Wenn das nicht der Fall ist, lösche die vorhandene Version und benutz einen anderen Downloadlink.
• Lass das Tool in Ruhe laufen

Sollte es bei keinem der aufgeführten Downloadlinks laufen, teile mir das bitte mit.





Schritt # 3: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)
Downloade Dir bitte Malwarebytes' Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 4: Stoppen von Treibern mit Defogger
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista und Windows 7 User: Bitte mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
• DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).

Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.
Wenn wir die Bereinigung beendet haben, starte bitte defogger erneut und klicke den Re-enable Button.





Schritt # 5: GMER Rootkitscan
Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan den Rechner neu starten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!





Schritt # 6: Benutzerdefinierter Scan mit OTL
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%PROGRAMFILES%\*.
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe 
winlogon.exe
wininit.exe
userinit.exe
svchost.exe
ctfmon.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
         

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt # 7: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• die Beantwortung der gestellten Fragen,
• das Logfile von MBAM,
• das Logfile von Defogger,
• das Logfile von GMER und
• die beiden Logfiles von OTL (OTL.txt und Extras.txt).

Hallo M-K-D-B

Besten Dank für dein Angebot zu Hilfe.

Antwort auf Schritt #1:

Zitat:

Sprichst du hier vom Tool unhide.exe?

Nein. Ich habe den folgenden Eintrag im Trojaner-Board gefunden um unsichtbare Dateien sichtbar zu machen.
http://www.trojaner-board.de/59624-a...tml#post369557

Soll ich dennoch unhide.exe runterladen und ausführen?

Zitat:

Gibt es derzeit noch andere Probleme?

Ich kann keine vollständige Liste an Problemen liefern, aber hier ein Auszug davon:
- Desktop-Hintergrund ist komplett schwarz. Keine Desktop-Shortlinks sind mehr vorhanden.
- Alle installierten Programme bleiben in der Start-leiste unsichtbar.
- Mit dem obig genannten Link im Trojaner-Board kann ich alle Dateien sehen, es scheint so als ob keine Verluste aufgetreten sind. Doch wurden alle Ordner und Dateien für mich unsichtbar.
- Das "Windows" (so nehm ich an, bin aber nicht sicher ob hier der Trojaner noch immer FakeAlerts sendet) meldet partout dass es kritische Probleme mit den installierten Festplatten hat. Doch bin ich überzeugt dass die Festplatten physisch völlig intakt sind, da die Systemleistung unverändert erscheint und ich wie gesagt alle Dateien zum vorschein bringen konnte.
- Es läuft ständig ein komisches "Fix-program" welches nicht Windows-like aussieht und mich auffordert es zu starten um die Festplatte zu reparieren. Habe diesen Schritt aber noch nicht getan. Sollte ich?

Antwort zu Schritt #2 - #7 folgen sobald ich all die Tests durch habe. Werde vermutlich Montag Abends so weit sein.

Nochmals vielen Dank für deine Hilfe

Gruss
West79

Hallo West79,

Zitat:

Zitat von West79

Soll ich dennoch unhide.exe runterladen und ausführen?

Ja, führe aber zuerst rkill und Malwarebytes' Anti-Malware aus (wie in meiner letzten Antwort beschrieben). Anschließend mache bitte folgendes:


Downloade dir bitte unhide.exe (by Grinler) und speichere die Datei auf deinem Desktop.

• Schließe alle laufenden Programme.
• Starte die unhide.exe.
• Das Tool kann eine Weile brauchen.
• Wenn das Tool seine Arbeit getan hat, wird eine Nachricht aufpoppen "Your files should now be visible"
• Starte den Rechner neu auf.

Anschließend kannst du mit Defogger, GMER und OTL weiter machen.

Zitat:

Zitat von West79

Ich kann keine vollständige Liste an Problemen liefern, aber hier ein Auszug davon:
- Desktop-Hintergrund ist komplett schwarz. Keine Desktop-Shortlinks sind mehr vorhanden.
- Alle installierten Programme bleiben in der Start-leiste unsichtbar.
- Mit dem obig genannten Link im Trojaner-Board kann ich alle Dateien sehen, es scheint so als ob keine Verluste aufgetreten sind. Doch wurden alle Ordner und Dateien für mich unsichtbar.
- Das "Windows" (so nehm ich an, bin aber nicht sicher ob hier der Trojaner noch immer FakeAlerts sendet) meldet partout dass es kritische Probleme mit den installierten Festplatten hat. Doch bin ich überzeugt dass die Festplatten physisch völlig intakt sind, da die Systemleistung unverändert erscheint und ich wie gesagt alle Dateien zum vorschein bringen konnte.

Du beschreibst Symptome, die typische für diese Art von Malware sind.

Zitat:

Zitat von West79

- Es läuft ständig ein komisches "Fix-program" welches nicht Windows-like aussieht und mich auffordert es zu starten um die Festplatte zu reparieren. Habe diesen Schritt aber noch nicht getan. Sollte ich?

Dieses "Fix-Programm", wie du es nennst, ist der Trojaner selbst. Auf keinen Fall starten. Mit rkill und MBAM solltest du es aber in die Schranken weisen können.

Zitat:

Zitat von West79

Antwort zu Schritt #2 - #7 folgen sobald ich all die Tests durch habe. Werde vermutlich Montag Abends so weit sein.

Ich warte auf deine Rückmeldung.
Poste alle geforderten Logfiles, sobald es die Zeit zulässt. Erst dann können wir mit der Bereinigung fortfahren.

Hallo M-K-D-B

Ich konnte praktisch mühelos alle geforderten Schritte durchgehen. Hier folgen Meine Bemerkungen und die Logfiles.

Schritt #1: Die Fragen haben wir bereits besprochen.

Schritt #2: rKill hat funktioniert. Hatte danach wieder Schreibrecht auf dem Desktop.

Schritt #3: MBAM ist durchgelaufen. Hier das logfile.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 7060

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10.07.2011 11:53:02
mbam-log-2011-07-10 (11-53-02).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 179055
Laufzeit: 15 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JUaDAjhRvP (Trojan.FakeAlert) -> Value: JUaDAjhRvP -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\juadajhrvp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\17424164.exe (Trojan.Agent) -> Quarantined and deleted successfully.
         

Schritt #3.5: unhide.exe hat super Arbeit geleistet. Der volle Desktop war wieder hergestellt.

Schritt #4: Defogger hab ich laufen lassen. Ist allerdings nicht viel passiert. Ist da was falsch gelaufen? Im Logfile steht nur das:

Code: Alles auswählenAufklappen

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 12:16 on 10/07/2011 (Stephen)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
         

Schritt #5: Gmer ist gelaufen und hat den halben Sonntagnachmittag gebraucht. Das log passt hier nicht rein; ist drum geteilt in zwei txt-files im Anhang:


Schritt #6: Auch OTL lief blendend. Das OTL.txt ist ebenso riesig und ist im Anhang un zwei Files unterteilt. Das Extra.txt ebenso im Anhang.



Ich hoffe all dies hilft uns weiter. Was denkst du? Oder sollte ich besser ?

Schöner Gruss
West79

Hallo West79,





Schritt # 1: Beantwortung deiner Fragen

Zitat:

Zitat von West79

Schritt #4: Defogger hab ich laufen lassen. Ist allerdings nicht viel passiert. Ist da was falsch gelaufen?

Nein, das mit Defogger lief so, wie es sollte. Alles in Ordnung.

Zitat:

Zitat von West79

Ich hoffe all dies hilft uns weiter. Was denkst du?

Ja, es hilft uns weiter.

Zitat:

Zitat von West79

Oder sollte ich besser ?

Nein. Sowas kommt nur in Frage, wenn alles andere scheitert.
Bislang läufts ja ganz gut.


Zu deiner eigenen Sicherheit bitte ich dich, bis auf weiteres, kein Online-Banking oder andere Online-Geschäfte an diesem Computer abzuwicklen, bis wir die Bereinigung abgeschlossen haben.





Schritt # 2: Systemdateien verstecken
Gehe bitte auf Start --> Systemsteuerung --> Extras --> Ordneroptionen.
Wechsle auf den Reiter Ansicht.

• Setze den Hacken bei Geschützte Systemdateien ausblenden ( empfohlen )
• Setze den Hacken bei Erweiterungen bei bekannten Dateitypen ausblenden
• Aktiviere Versteckte Dateien und Ordner ausblenden

Drücke auf Übernehmen und OK

Lösche keinesfalls Ordner oder Dateien ohne Anweisung





Schritt # 3: Deinstallation von Programmen

• Folge folgendem Pfad: Start -> Systemsteuerung -> Software
• Suche in der Liste Software mit dem folgenden Namen
  • Ask Toolbar
  • Conduit Engine
  • softonic-de3 Toolbar
  • NCH Toolbar
  und deinstalliere das Programm.
• Solltest du am Ende der Deinstallation zu einem Neustart aufgefordert werden, so führe diesen durch.

Schritt # 4: TDSS Killer ausführen
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.

• Schließe alle laufenden Programme.
• Trenne dich von Internet.
• Deaktiviere deine AntiViren Software.
• Starte TDSSkiller.exe mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Drücke auf Start scan.
  Mache während dem Scan nichts am Rechner
  
  1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
  2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
     Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
• Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
• Bitte poste mir den Inhalt hier in deinen Thread.

Schritt # 5: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 6: Fragen beantworten
Bitte beantworte mir folgende Fragen:

• Ich sehe in deinen Logfiles noch Reste von Symantec und Check Point:
  
  Zitat:

  "LiveReg" = LiveReg (Symantec Corporation)
  "LiveUpdate" = LiveUpdate 2.6 (Symantec Corporation)
  DRV - [2005.01.26 08:22:20 | 000,280,344 | ---- | M] (Zone Labs LLC) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)

  Gehe ich richtig in der Annahme, dass du die Produkte der beiden Hersteller zwischenzeitlich installiert hattest, aber sie inzwischen wieder deinstalliert worden sind? Eventuell hast du ja früher einemal ZoneAlarm oder Norton Antivirus oder ähnliches installiert gehabt?
  Es gibt spezielle Bereinigungstools. Diese könnten wir dann einsetzen, um die Reste zu entfernen.
• Ich sehe, dass du nicht mehr gerade viel Platz auf dem Systemlaufwerk hast:
  
  Zitat:

  Drive C: | 50.91 Gb Total Space | 5.02 Gb Free Space | 9.87% Space Free | Partition Type: NTFS

  Besitzt du eine externe Festplatte?
• Wie läuft dein Rechner derzeit?
• Gibt es irgendwelche Auffälligkeiten?
• Was ist das genau für ein Backup?
  
  Zitat:

  C:\RRbackups

  Wozu dient es?
• Hast du eine Windows XP CD zur Hand? Wenn ja, handelt es sich hierbei um eine normale Windows XP CD oder eine Recovery CD?
• Hast du neben Windows XP noch ein anderes Betriebssystem, wie z. B. Linux oder ähnliches installiert?

Schritt # 7: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• eine Rückmeldung bezüglich der geforderten Deinstallationen,
• das Logfile des TDSS Killers,
• das Logfile von ComboFix und
• die Beantwortung der gestellten Fragen.

Schritt #2 und #3 verliefen ohne Probleme. Bin nun bei Schritt #4 angelangt. Habe die Datei TDSS Killer.exe wie gewünscht runtergeladen und auf den Desktop kopiert.

Leider startet das Programm aber nicht. Nach dem Doppelklick blockt es zugleich ab, ohne Fehlermeldung und ohne sichtbare Reaktion des Computers...

Wie sollen wir weiterfahren?

Beantwortung deiner Fragen:

Zitat:

Ich sehe in deinen Logfiles noch Reste von Symantec und Check Point. Gehe ich richtig in der Annahme, dass du die Produkte der beiden Hersteller zwischenzeitlich installiert hattest, aber sie inzwischen wieder deinstalliert worden sind? Eventuell hast du ja früher einemal ZoneAlarm oder Norton Antivirus oder ähnliches installiert gehabt?
Es gibt spezielle Bereinigungstools. Diese könnten wir dann einsetzen, um die Reste zu entfernen.

Ich verwende McAfee als Virenscanner. Norton war vom Hersteller vorgeschlagen und vorinstalliert als Demoversion. Hätte eigentlich vollständig deinstalliert sein sollen, aber offenbar nicht...

Zitat:

Ich sehe, dass du nicht mehr gerade viel Platz auf dem Systemlaufwerk hast. Besitzt du eine externe Festplatte?

Ja, aber eigentlich nur zur Datenverwahrung. Alle aktiven Projekte und Programme laufen auf dem Notebook. Zugegeben, momentan ist die Platte ganz schön voll, aber es ist viel Mist drauf den ich baldmöglichst wieder entfernen werde.

Zitat:

Wie läuft dein Rechner derzeit?

Eigentlich ganz gut.

Zitat:

Gibt es irgendwelche Auffälligkeiten?

Nein, abgesehen vom älteren Baujahr läuft er ganz in Ordnung.

Zitat:

Was ist das genau für ein Backup?

War eine Backup-solution des Herstellers. Habe diese nie entfernt, aber auch nie verwendet. Für Backupzwecke habe ich die externe Harddisk manuel verwendet.

Zitat:

Hast du eine Windows XP CD zur Hand? Wenn ja, handelt es sich hierbei um eine normale Windows XP CD oder eine Recovery CD?

Ja, habe eine normale Windows XP installations CD.

Zitat:

Hast du neben Windows XP noch ein anderes Betriebssystem, wie z. B. Linux oder ähnliches installiert?

Nein, nichts dergleichen.

Hallo West79,



vielen Dank für die ausführliche Rückmeldung.

Zitat:

Zitat von West79

Bin nun bei Schritt #4 angelangt. Habe die Datei TDSS Killer.exe wie gewünscht runtergeladen und auf den Desktop kopiert.

Leider startet das Programm aber nicht. Nach dem Doppelklick blockt es zugleich ab, ohne Fehlermeldung und ohne sichtbare Reaktion des Computers...

Wahrscheinlich blockiert ein Rootkit das Tool.

Zitat:

Zitat von West79

Wie sollen wir weiterfahren?

Wir machen wie folgt weiter:




Schritt # 1: FixTDSS ausführen
Downloade dir bitte FixTDSS.exe und speichere die Datei am Desktop.

• Beende alle laufenden Programme und schließe alle offenen Fenster.
• Starte die FixTDSS.exe.
  Windows Vista und 7 Nutzer mit Rechtsklick "Als Administrator ausführen"
• Akzeptiere die Nutzungsbedingungen.
• Klicke anschließend auf Proceed und bestätige mit Ok.
• Das Tool wird deinen Rechner neu starten.
• Gegebenenfalls musst du die Ausführung von FixTDSS.exe nochmals erlauben.
• Anschließend wird das Tool automatisch den Suchlauf starten.
• Nach Ende des Suchlaufs erscheint ein kleines Fenster von FixTDSS mit einer Nachricht.
  Poste diese mit deiner nächsten Antwort.
• Starte deinen Rechner zum Abschluss neu auf.

Schritt # 2: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• die Nachricht von FixTDSS und
• das Logfile von ComboFix.

Besten dank für die Tipps. Hier die gewünschten Rückmeldungen.

Schritt 1: FixTDSS

Funktionierte ganz gut. Die Meldung nach beenden des Scans lautete:

Code: Alles auswählenAufklappen

ATTFilter

***Infected MBR detected
         

Schritt 2: ComboFix

Ebenso keine Probleme beim durchlaufen. Ich glaube hier ist einiges gelaufen. Anbei das log:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-07-11.02 - Stephen 11.07.2011  21:47:37.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.41.1031.18.1534.942 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\sephen\Desktop\ComboFix.exe
AV: McAfee VirusScan Enterprise *Enabled/Updated* {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\sephen\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\sephen\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\sephen\Desktop\Windows XP Fix.lnk
c:\dokumente und einstellungen\sephen\WINDOWS
c:\windows\IsUn0407.exe
c:\windows\system32\zlibwapi.dll
.
c:\windows\system32\kernel32.dll . . . ist infiziert!!
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-06-11 bis 2011-07-11  ))))))))))))))))))))))))))))))
.
.
2011-07-11 18:57 . 2011-07-11 18:57	26872	----a-w-	c:\windows\system32\drivers\FixTDSS.sys
2011-07-11 18:57 . 2011-07-11 18:57	--------	d-----w-	c:\dokumente und einstellungen\sephen\Anwendungsdaten\FixTDSS
2011-07-10 09:32 . 2011-07-10 09:32	--------	d-----w-	c:\dokumente und einstellungen\sephen\Anwendungsdaten\Malwarebytes
2011-07-10 09:31 . 2011-05-29 07:11	39984	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-10 09:31 . 2011-07-10 09:31	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-07-10 09:31 . 2011-05-29 07:11	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-07-10 09:31 . 2011-07-10 09:31	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-06-20 17:17 . 2011-06-20 17:17	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-06-15 19:58 . 2011-04-21 13:37	105472	------w-	c:\windows\system32\dllcache\mup.sys
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-10 08:31 . 2006-09-15 00:01	5427	----a-w-	c:\windows\system32\EGATHDRV.SYS
2011-06-06 19:42 . 2011-06-06 19:42	0	----a-w-	c:\windows\system32\ConduitEngine.tmp
2011-05-02 15:31 . 2004-08-10 11:24	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-04-29 16:19 . 1979-12-31 22:00	456320	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-04-25 16:05 . 1979-12-31 22:00	916480	----a-w-	c:\windows\system32\wininet.dll
2011-04-25 16:05 . 1979-12-31 22:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2011-04-25 16:05 . 1979-12-31 22:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2011-04-25 12:01 . 1979-12-31 22:00	385024	----a-w-	c:\windows\system32\html.iec
2011-04-21 13:37 . 1979-12-31 22:00	105472	----a-w-	c:\windows\system32\drivers\mup.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-02 68856]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2011-06-15 15141768]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2006-02-14 110592]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-02-14 512000]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-10-28 864256]
"TpShocks"="TpShocks.exe" [2005-11-07 106496]
"TP4EX"="tp4ex.exe" [2005-10-16 65536]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2006-02-24 237568]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-03-09 94208]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"suScheduler"="c:\programme\ThinkVantage\SystemUpdate\UCLauncher.exe" [2005-08-01 40960]
"LPManager"="c:\progra~1\THINKV~2\PrdCtr\LPMGR.exe" [2006-03-22 106496]
"AMSG"="c:\progra~1\THINKV~2\AMSG\amsg.exe" [2005-11-14 487424]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-08-01 122940]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"AwaySch"="c:\programme\Lenovo\AwayTask\AwaySch.EXE" [2006-03-23 69632]
"cssauth"="c:\programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" [2005-12-21 1996336]
"PDService.exe"="c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe" [2005-11-15 49152]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2005-10-28 335872]
"DiskeeperSystray"="c:\programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2006-03-01 196710]
"ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2006-04-17 409600]
"ACWLIcon"="c:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2006-04-17 98304]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2006-03-22 151552]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2006-03-22 208896]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd.exe" [2003-06-25 49152]
"HPpromo psc 2400 series"="c:\programme\HP\Digital Imaging\Promotions\HPpromo.exe" [2003-10-09 126976]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"Adobe Acrobat Speed Launcher"="c:\programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2011-01-30 38840]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2010-09-22 640440]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"BroadCam"="c:\programme\NCH Software\BroadCam\broadcam.exe" [2011-03-03 1175556]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\sephen\Startmen�\Programme\Autostart\
Persbackup.lnk - c:\programme\Personal Backup 5\Persbackup.exe [2010-9-4 3593728]
.
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Corel MEDIA FOLDERS INDEXER 8.LNK - c:\corel\Graphics8\Programs\MFIndexer.exe [2007-5-7 82944]
VPN Client.lnk - c:\windows\Installer\{176130BC-99A1-41FE-A78B-56045E33AD70}\Icon3E5562ED7.ico [2008-3-10 6144]
.
c:\dokumente und einstellungen\sephen\Startmen�\Programme\Autostart\
Persbackup.lnk - c:\programme\Personal Backup 5\Persbackup.exe [2010-9-4 3593728]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AwayNotify]
2006-03-23 00:03	49152	------w-	c:\programme\Lenovo\AwayTask\AwayNotify.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2006-02-14 10:16	39936	----a-w-	c:\windows\system32\psqlpwd.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 21:45	28672	----a-w-	c:\windows\system32\notifyf2.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 18:16	24576	----a-w-	c:\windows\system32\tphklock.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ThinkVantage\\SystemUpdate\\jre\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"86:TCP"= 86:TCP:BroadCam Video Streaming Server Web Server
"1935:TCP"= 1935:TCP:BroadCam Video Streaming Server Flash Video Server
.
R0 FixTDSS;TDSS Fixtool driver;c:\windows\system32\drivers\FixTDSS.sys [11.07.2011 20:57 26872]
R2 BroadCamService;BroadCam Video Streaming Server;c:\programme\NCH Software\BroadCam\broadcam.exe [03.03.2011 13:10 1175556]
R2 PrivateDisk;PrivateDisk;c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\privatediskm.sys [15.11.2005 13:11 46142]
R2 smi2;smi2;c:\programme\SMI2\smi2.sys [21.12.2005 16:45 3968]
R2 smihlp;SMI helper driver;c:\programme\ThinkVantage Fingerprint Software\smihlp.sys [14.02.2006 12:02 3328]
R2 SVKP;SVKP;c:\windows\system32\SVKP.sys [06.05.2008 11:22 2368]
S2 gupdate1c9eec6187682c8;Google Update Service (gupdate1c9eec6187682c8);c:\programme\Google\Update\GoogleUpdate.exe [16.06.2009 23:04 133104]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [16.06.2009 23:04 133104]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [10.07.2011 11:31 39984]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
.
Inhalt des "geplante Tasks" Ordners
.
2011-07-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-06-16 21:04]
.
2011-07-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-06-16 21:04]
.
2011-07-11 c:\windows\Tasks\Personal Backup Test1.job
- c:\programme\Personal Backup 5\Persbackup.exe [2010-09-04 12:18]
.
2011-07-11 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2006-09-15 23:13]
.
2011-03-04 c:\windows\Tasks\prismShakeIcon.job
- c:\programme\NCH Software\Prism\prism.exe [2011-03-03 11:09]
.
2007-04-27 c:\windows\Tasks\Symantec NetDetect.job
- c:\programme\Symantec\LiveUpdate\NDETECT.EXE [2006-09-14 15:38]
.
2011-03-04 c:\windows\Tasks\videopadShakeIcon.job
- c:\programme\NCH Software\VideoPad\videopad.exe [2011-03-03 11:10]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ask.com/?o=13166&l=dis
uInternet Connection Wizard,ShellNext = iexplore
IE: Append Link Target to Existing PDF - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Append to Existing PDF - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert Link Target to Adobe PDF - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert to Adobe PDF - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
TCP: DhcpNameServer = 62.2.17.61 62.2.24.158 62.2.17.60 62.2.24.162
FF - ProfilePath - c:\dokumente und einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2117678&SearchSource=3&q={searchTerms}
FF - prefs.js: network.proxy.type - 4
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: NCH Community Toolbar: {c2db4fe6-8409-45ce-8010-189a7b5cce86} - %profile%\extensions\{c2db4fe6-8409-45ce-8010-189a7b5cce86}
FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com
FF - Ext: softonic-de3 Community Toolbar: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - %profile%\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Notify-ACNotify - ACNotify.dll
Notify-NavLogon - (no file)
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
AddRemove-Presentation Director - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-07-11 21:59
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1156)
c:\windows\system32\vrlogon.dll
c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\infra.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\windows\system32\biologon.dll
c:\programme\ThinkVantage Fingerprint Software\homepass.dll
c:\programme\ThinkVantage Fingerprint Software\bio.dll
c:\programme\ThinkVantage Fingerprint Software\remote.dll
c:\windows\system32\tphklock.dll
c:\programme\ThinkVantage Fingerprint Software\crypto.dll
c:\programme\Lenovo\AwayTask\AwayNotify.dll
.
- - - - - - - > 'explorer.exe'(5248)
c:\windows\system32\PROCHLP.DLL
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\corel\Graphics8\programs\CMFFld80.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\IPSSVC.EXE
c:\programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Diskeeper Corporation\Diskeeper\DkService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\System32\TPHDEXLG.EXE
c:\windows\system32\TpKmpSVC.exe
c:\programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
c:\programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
c:\programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
c:\programme\ThinkVantage\SystemUpdate\UCLauncherService.exe
c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe
c:\programme\Windows Media Player\WMPNetwk.exe
c:\programme\IBM ThinkVantage\Common\Logger\logmon.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\acs.exe
c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\TpShocks.exe
c:\programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
c:\programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-07-11  22:06:25 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-07-11 20:06
.
Vor Suchlauf: 5'617'254'400 Bytes frei
Nach Suchlauf: 9'660'133'376 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect
.
- - End Of File - - 2104C77BC0F9F9314549F8071C205557
         

Schöner Gruss
West79

Hallo West79,

Zitat:

***Infected MBR detected

Zitat:

c:\windows\system32\kernel32.dll . . . ist infiziert!!

Du hast wahrscheinlich ein Rootkit im Master Boot Sektor. Halte bitte deine Windows XP CD bereit. Eventuell benötigen wir diese bald!





Schritt # 1: Fragen beantworten
Bitte beantworte mir folgende Fragen:

• Gib über Google verschiedene Suchbegriffe ein und klicke auf die vorgegebenen Links. Wirst du dabei auf andere, nicht gewünschte Seiten umgeleitet? Teste bitte mit Firefox und dem Internet Explorer und berichte.

Schritt # 2: Kontrolle mit VirusTotal
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Durchsuchen
• Kopiere nun folgendes in die Suchleiste.
  
  Code: Alles auswählenAufklappen

  ATTFilter

  c:\windows\system32\kernel32.dll
           

• und klicke auf Öffnen.
• Klicke auf Send File.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.

Zitat:

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.





Schritt # 3: Benutzerdefinierter Scan mit OTL

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

/md5start
kernel32.dll
/md5stop
         

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Nichts und danach den Scan Button.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Schritt # 4: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 5: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• die Beantwortung der gestellten Fragen,
• den Link zum Ergebnis von VirusTotal,
• das Logfile von OTL (OTL.txt) und
• das Logfile von aswMBR.

Schritt 1: Beantwortung der gestellten Fragen

Zitat:

Gib über Google verschiedene Suchbegriffe ein und klicke auf die vorgegebenen Links. Wirst du dabei auf andere, nicht gewünschte Seiten umgeleitet? Teste bitte mit Firefox und dem Internet Explorer und berichte.

Han über Google im Firefox und im Internet Explorer verschiedene Begriffe gesucht. Hat jedesmal richtig funktioniert und der Link führte auf die völlig korrekte Homepages.


Schritt 2: VirusTotal

Hab die gefragte Datei kernel32.dll mit VirusTotal untersuchen lassen. In der Tat musste ich Reanalyze klicken als die von dir genannte Message aufpoppte. Hier folgt der Link. Scheint so als ob keiner der Virenscanner was gefunden hatte.

VirusTotal - Free Online Virus, Malware and URL Scanner


Schritt 3: OTL

Ist auch gut gelaufen. Hier der Inhalt von OTL.txt

OTL Logfile:

Code: Alles auswählenAufklappen

ATTFilter

OTL logfile created on: 12.07.2011 09:44:08 - Run 2
OTL by OldTimer - Version 3.2.26.1     Folder = C:\Dokumente und Einstellungen\sephen\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy
 
1.50 Gb Total Physical Memory | 1.00 Gb Available Physical Memory | 66.69% Memory free
2.35 Gb Paging File | 2.01 Gb Available in Paging File | 85.57% Paging File free
Paging file location(s): C:\pagefile.sys 1024 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 50.91 Gb Total Space | 9.05 Gb Free Space | 17.77% Space Free | Partition Type: NTFS
Drive D: | 135.06 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: WEYENETH | User Name: Stephen | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.07.10 16:16:42 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\sephen\Desktop\OTL.exe
PRC - [2010.09.22 18:11:26 | 000,640,440 | ---- | M] (Adobe Systems Inc.) -- C:\Programme\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
PRC - [2010.09.22 18:11:20 | 000,148,928 | ---- | M] (Adobe Systems Incorporated.) -- C:\Programme\Adobe\Acrobat 9.0\Acrobat\acrodist.exe
PRC - [2010.08.06 10:07:57 | 000,651,720 | ---- | M] (Macrovision Europe Ltd.) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2006.11.10 11:46:26 | 001,504,304 | ---- | M] (Cisco Systems, Inc.) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
PRC - [2006.04.17 13:13:00 | 000,094,208 | ---- | M] (Lenovo) -- C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
PRC - [2006.04.17 13:12:28 | 000,151,552 | ---- | M] (Lenovo) -- C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
PRC - [2006.04.17 13:12:26 | 000,040,960 | ---- | M] () -- C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
PRC - [2006.04.17 13:09:10 | 000,409,600 | ---- | M] (Lenovo) -- C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
PRC - [2006.04.17 12:59:10 | 000,098,304 | ---- | M] (Lenovo) -- C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
PRC - [2006.03.23 02:03:00 | 000,073,728 | ---- | M] (Lenovo Group Limited) -- C:\WINDOWS\system32\IPSSVC.EXE
PRC - [2006.03.23 02:03:00 | 000,069,632 | ---- | M] (Lenovo Group Limited) -- C:\Programme\Lenovo\AwayTask\AwaySch.EXE
PRC - [2006.03.01 11:50:06 | 000,626,810 | ---- | M] (Diskeeper Corporation) -- C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
PRC - [2006.02.14 14:17:28 | 000,110,592 | ---- | M] (Synaptics, Inc.) -- C:\Programme\Synaptics\SynTP\SynTPLpr.exe
PRC - [2006.01.17 10:37:24 | 000,266,295 | ---- | M] (Broadcom Corporation.) -- C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
PRC - [2006.01.02 17:41:22 | 000,045,056 | ---- | M] (ATI Technologies Inc.) -- C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
PRC - [2005.12.21 18:34:58 | 000,077,824 | ---- | M] () -- C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
PRC - [2005.12.21 18:27:00 | 000,032,768 | ---- | M] () -- C:\Programme\IBM ThinkVantage\Common\Logger\logmon.exe
PRC - [2005.12.21 18:20:56 | 001,384,448 | ---- | M] () -- C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
PRC - [2005.12.21 18:08:02 | 001,996,336 | ---- | M] (Lenovo Group Limited) -- C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe
PRC - [2005.12.21 17:17:54 | 000,722,480 | ---- | M] (IBM) -- C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
PRC - [2005.11.15 13:13:24 | 000,049,152 | R--- | M] (Utimaco Safeware AG) -- C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe
PRC - [2005.11.08 16:07:02 | 000,036,864 | ---- | M] () -- C:\WINDOWS\system32\acs.exe
PRC - [2005.10.26 00:44:30 | 000,086,016 | ---- | M] (Lenovo Group Limited) -- C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
PRC - [2005.08.01 17:32:40 | 000,040,960 | ---- | M] () -- C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe
PRC - [2005.08.01 05:10:00 | 000,122,940 | ---- | M] (Sonic Solutions) -- C:\WINDOWS\system32\DLA\DLACTRLW.EXE
PRC - [2005.07.05 14:57:12 | 000,077,824 | ---- | M] () -- C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
PRC - [2005.06.06 21:26:22 | 000,032,768 | ---- | M] () -- C:\WINDOWS\system32\TpKmpSvc.exe
PRC - [2004.07.27 16:50:18 | 000,081,920 | ---- | M] (InstallShield Software Corporation) -- C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
PRC - [2003.10.09 13:17:48 | 000,126,976 | ---- | M] (hp) -- C:\Programme\HP\Digital Imaging\Promotions\HPpromo.exe
PRC - [2003.06.25 12:24:48 | 000,049,152 | ---- | M] (Hewlett-Packard) -- C:\Programme\HP\HP Software Update\hpwuSchd.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.07.10 16:16:42 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\sephen\Desktop\OTL.exe
MOD - [2010.08.23 18:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
MOD - [2006.03.23 02:03:00 | 000,086,016 | ---- | M] (Lenovo Group Limited) -- C:\WINDOWS\system32\PROCHLP.DLL
MOD - [2006.02.14 14:17:12 | 000,065,536 | ---- | M] (Synaptics, Inc.) -- C:\WINDOWS\system32\SynTPFcs.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] --  -- (PsaSrv)
SRV - [2011.03.03 13:10:56 | 001,175,556 | ---- | M] (NCH Software) [Auto | Stopped] -- C:\Programme\NCH Software\BroadCam\broadcam.exe -- (BroadCamService)
SRV - [2010.08.06 10:07:57 | 000,651,720 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2006.11.10 11:46:26 | 001,504,304 | ---- | M] (Cisco Systems, Inc.) [Auto | Running] -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe -- (CVPND)
SRV - [2006.04.17 13:12:28 | 000,151,552 | ---- | M] (Lenovo) [Auto | Running] -- C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe -- (AcSvc)
SRV - [2006.04.17 13:12:26 | 000,040,960 | ---- | M] () [Auto | Running] -- C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe -- (AcPrfMgrSvc)
SRV - [2006.03.23 02:03:00 | 000,073,728 | ---- | M] (Lenovo Group Limited) [Auto | Running] -- C:\WINDOWS\system32\IPSSVC.EXE -- (IPSSVC)
SRV - [2006.03.01 11:50:06 | 000,626,810 | ---- | M] (Diskeeper Corporation) [Auto | Running] -- C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe -- (Diskeeper)
SRV - [2006.01.17 10:37:24 | 000,266,295 | ---- | M] (Broadcom Corporation.) [Auto | Running] -- C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe -- (btwdins)
SRV - [2005.12.21 18:34:58 | 000,077,824 | ---- | M] () [Auto | Running] -- C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe -- (TVT Scheduler)
SRV - [2005.12.21 18:20:56 | 001,384,448 | ---- | M] () [Auto | Running] -- C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe -- (TVT Backup Service)
SRV - [2005.12.21 17:17:54 | 000,722,480 | ---- | M] (IBM) [Auto | Running] -- C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe -- (TSSCoreService)
SRV - [2005.11.08 16:07:02 | 000,036,864 | ---- | M] () [On_Demand | Running] -- C:\WINDOWS\system32\acs.exe -- (ACS)
SRV - [2005.08.01 17:32:40 | 000,040,960 | ---- | M] () [Auto | Running] -- C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe -- (UCLauncherService)
SRV - [2005.06.06 21:26:22 | 000,032,768 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\TpKmpSvc.exe -- (TpKmpSVC)
SRV - [2004.10.22 03:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.07.11 20:57:20 | 000,026,872 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\FixTDSS.sys -- (FixTDSS)
DRV - [2011.05.29 09:11:30 | 000,039,984 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - [2008.05.06 11:22:40 | 000,002,368 | ---- | M] (AntiCracking) [Kernel | Auto | Running] -- C:\WINDOWS\system32\SVKP.sys -- (SVKP)
DRV - [2007.11.11 19:14:02 | 000,043,488 | ---- | M] (Oak Technology Inc.) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\AFS2K.SYS -- (AFS2K)
DRV - [2006.11.10 11:44:52 | 000,305,788 | ---- | M] (Cisco Systems, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys -- (CVPNDRVA)
DRV - [2006.10.02 18:45:40 | 000,126,864 | ---- | M] (Deterministic Networks, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\dne2000.sys -- (DNE)
DRV - [2006.09.15 01:59:34 | 000,016,256 | ---- | M] (Lenovo) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\psadd.sys -- (psadd)
DRV - [2006.03.23 02:03:00 | 000,005,120 | ---- | M] (Lenovo Group Limited) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\PROCDD.SYS -- (PROCDD)
DRV - [2006.03.23 01:13:00 | 000,004,442 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\TPPWRIF.SYS -- (TPPWRIF)
DRV - [2006.02.27 02:52:00 | 000,007,168 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\TSMAPIP.SYS -- (TSMAPIP)
DRV - [2006.02.21 22:46:26 | 001,505,792 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2006.02.14 12:02:40 | 000,003,328 | ---- | M] (UPEK Inc.) [Kernel | Auto | Running] -- C:\Programme\ThinkVantage Fingerprint Software\smihlp.sys -- (smihlp)
DRV - [2006.01.17 10:18:22 | 000,850,474 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL)
DRV - [2006.01.17 10:14:52 | 000,065,688 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB)
DRV - [2006.01.17 01:52:00 | 000,014,848 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SMAPINT.SYS -- (Smapint)
DRV - [2006.01.17 01:52:00 | 000,009,343 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\TDSMAPI.SYS -- (TDSMAPI)
DRV - [2006.01.13 00:33:22 | 000,006,016 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\IBMBLDID.sys -- (IBMTPCHK)
DRV - [2005.12.21 17:14:58 | 000,012,544 | ---- | M] (IBM) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\ibmfilter.sys -- (ibmfilter)
DRV - [2005.12.21 10:19:10 | 000,470,208 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ar5211.sys -- (AR5211)
DRV - [2005.11.15 13:11:28 | 000,046,142 | R--- | M] (Utimaco Safeware AG) [Kernel | Auto | Running] -- C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\privatediskm.sys -- (PrivateDisk)
DRV - [2005.11.08 09:27:20 | 000,011,520 | ---- | M] (IBM Corp.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ANC.sys -- (ANC)
DRV - [2005.10.26 10:01:02 | 000,142,720 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2005.08.01 05:10:00 | 000,092,700 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAUDFAM.SYS -- (DLAUDFAM)
DRV - [2005.08.01 05:10:00 | 000,087,004 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAUDF_M.SYS -- (DLAUDF_M)
DRV - [2005.08.01 05:10:00 | 000,086,524 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAIFS_M.SYS -- (DLAIFS_M)
DRV - [2005.08.01 05:10:00 | 000,025,628 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLABOIOM.SYS -- (DLABOIOM)
DRV - [2005.08.01 05:10:00 | 000,014,684 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAOPIOM.SYS -- (DLAOPIOM)
DRV - [2005.08.01 05:10:00 | 000,006,364 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAPoolM.SYS -- (DLAPoolM)
DRV - [2005.08.01 05:10:00 | 000,002,496 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLADResN.SYS -- (DLADResN)
DRV - [2005.07.07 09:03:34 | 000,005,628 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLACDBHM.SYS -- (DLACDBHM)
DRV - [2005.07.07 09:02:56 | 000,022,684 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLARTL_N.SYS -- (DLARTL_N)
DRV - [2005.05.17 05:51:34 | 000,005,315 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\CVirtA.sys -- (CVirtA)
DRV - [2005.01.26 08:22:20 | 000,280,344 | ---- | M] (Zone Labs LLC) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ask.com/?o=13166&l=dis
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultthis.engineName: "NCH Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2117678&SearchSource=3&q={searchTerms}"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {c2db4fe6-8409-45ce-8010-189a7b5cce86}:3.3.5.1
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.5.1
FF - prefs.js..extensions.enabledItems: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065}:3.2.5.2
FF - prefs.js..network.proxy.type: 4
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.18\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.06.22 21:22:03 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.18\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.06.22 21:22:03 | 000,000,000 | ---D | M]
 
[2010.02.14 13:04:29 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Extensions
[2011.07.11 21:13:40 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\extensions
[2011.06.23 22:42:10 | 000,000,000 | ---D | M] (NCH Community Toolbar) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\extensions\{c2db4fe6-8409-45ce-8010-189a7b5cce86}
[2011.07.08 19:28:36 | 000,000,000 | ---D | M] (softonic-de3 Community Toolbar) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}
[2011.06.23 22:42:08 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\extensions\engine@conduit.com
[2011.01.17 15:40:58 | 000,000,909 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\searchplugins\conduit.xml
[2011.07.11 21:13:40 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.05.13 15:42:12 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.10.07 22:49:37 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.12.10 19:13:19 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010.12.21 10:00:06 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2010.04.11 09:43:31 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2010.11.12 19:53:06 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011.03.10 21:24:02 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.03.10 21:24:02 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.03.10 21:24:02 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.03.10 21:24:03 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.03.10 21:24:03 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.07.11 21:59:17 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Snapform Viewer PlugIn for IE) - {00AF1458-D967-4C0E-B736-D6D010521EF5} - C:\Programme\SnapFormViewer\Viewer\bin\lib\SFVPlugInIE_x86.dll (Ringler Informatik AG)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\DLA\DLASHX_W.DLL (Sonic Solutions)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll (Google Inc.)
O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe (Lenovo)
O4 - HKLM..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe (Lenovo)
O4 - HKLM..\Run: [Adobe Acrobat Speed Launcher] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)
O4 - HKLM..\Run: [AwaySch] C:\Programme\Lenovo\AwayTask\AwaySch.EXE (Lenovo Group Limited)
O4 - HKLM..\Run: [BLOG] C:\Programme\ThinkPad\Utilities\BATLOGEX.DLL ()
O4 - HKLM..\Run: [BroadCam] C:\Programme\NCH Software\BroadCam\broadcam.exe (NCH Software)
O4 - HKLM..\Run: [cssauth] C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe (Lenovo Group Limited)
O4 - HKLM..\Run: [DiskeeperSystray] C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe (Diskeeper Corporation)
O4 - HKLM..\Run: [DLA] C:\WINDOWS\system32\DLA\DLACTRLW.EXE (Sonic Solutions)
O4 - HKLM..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd.exe (Hewlett-Packard)
O4 - HKLM..\Run: [HPpromo psc 2400 series] C:\Programme\HP\Digital Imaging\Promotions\HPpromo.exe (hp)
O4 - HKLM..\Run: [ISUSPM Startup] c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation)
O4 - HKLM..\Run: [ISUSScheduler] c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation)
O4 - HKLM..\Run: [PDService.exe] C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe (Utimaco Safeware AG)
O4 - HKLM..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe (Google Inc.)
O4 - HKLM..\Run: [PWRMGRTR] C:\Programme\ThinkPad\Utilities\PWRMGRTR.DLL (Lenovo Group Limited)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [suScheduler] C:\Programme\ThinkVantage\SystemUpdate\UCLauncher.exe ()
O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)
O4 - HKLM..\Run: [TP4EX] C:\WINDOWS\System32\TP4EX.exe (Lenovo Group Limited)
O4 - HKLM..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe (Lenovo)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe (Corel Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{176130BC-99A1-41FE-A78B-56045E33AD70}\Icon3E5562ED7.ico ()
O4 - Startup: C:\Dokumente und Einstellungen\sephen\Startmenü\Programme\Autostart\Persbackup.lnk = C:\Programme\Personal Backup 5\Persbackup.exe (J. Rathlev, IEAP, Uni-Kiel)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Append Link Target to Existing PDF - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Append to Existing PDF - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert Link Target to Adobe PDF - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert to Adobe PDF - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm ()
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe ()
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189769570031 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/1.4.2/jinstall-142-win.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: GinaDLL - (vrlogon.dll) - C:\WINDOWS\System32\vrlogon.dll (UPEK Inc.)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\AwayNotify: DllName - C:\Programme\Lenovo\AwayTask\AwayNotify.dll - C:\Programme\Lenovo\AwayTask\AwayNotify.dll (Lenovo Group Limited)
O20 - Winlogon\Notify\psfus: DllName - psqlpwd.dll - C:\WINDOWS\System32\psqlpwd.dll (UPEK Inc.)
O20 - Winlogon\Notify\tpfnf2: DllName - notifyf2.dll - C:\WINDOWS\System32\notifyf2.dll ()
O20 - Winlogon\Notify\tphotkey: DllName - tphklock.dll - C:\WINDOWS\System32\tphklock.dll ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.04.27 02:32:27 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009.01.16 03:00:00 | 000,000,027 | R--- | M] () - D:\Autorun.inf -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.07.11 21:45:04 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2011.07.11 21:29:18 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2011.07.11 21:29:18 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2011.07.11 21:29:18 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2011.07.11 21:29:18 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2011.07.11 21:29:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2011.07.11 21:14:29 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.07.11 20:57:20 | 000,026,872 | ---- | C] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\FixTDSS.sys
[2011.07.11 20:57:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\FixTDSS
[2011.07.11 20:54:25 | 004,148,094 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\sephen\Desktop\ComboFix.exe
[2011.07.11 20:54:25 | 001,932,256 | ---- | C] (Symantec Corporation) -- C:\Dokumente und Einstellungen\sephen\Desktop\FixTDSS.exe
[2011.07.11 10:35:02 | 001,458,992 | ---- | C] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\sephen\Desktop\tdsskiller.exe
[2011.07.10 17:08:51 | 000,579,584 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\sephen\Desktop\OTL.exe
[2011.07.10 11:32:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Malwarebytes
[2011.07.10 11:31:49 | 000,039,984 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.07.10 11:31:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.07.10 11:31:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.07.10 11:31:41 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.07.10 11:31:40 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.07.10 11:25:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Desktop\Trojaner-Krieg
[2011.07.10 10:52:46 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\sephen\Recent
[2011.07.08 18:07:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Startmenü\Programme\Windows XP Fix
[2011.07.08 08:53:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype
[2011.06.30 14:41:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Desktop\Spin Glass
[2011.06.20 19:17:18 | 000,404,640 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2011.06.15 21:58:29 | 000,105,472 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mup.sys
[9 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[8 C:\Dokumente und Einstellungen\sephen\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\sephen\Desktop\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.07.12 09:43:32 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\broadcamShakeIcon.job
[2011.07.12 09:24:13 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.07.12 09:23:50 | 000,002,423 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
[2011.07.12 09:23:36 | 000,000,316 | ---- | M] () -- C:\WINDOWS\tasks\PMTask.job
[2011.07.12 09:23:26 | 000,008,880 | ---- | M] () -- C:\WINDOWS\System32\PROCDB.INI
[2011.07.12 09:23:12 | 000,002,278 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.07.12 09:23:08 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.07.12 09:22:20 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.07.12 09:22:18 | 1608,941,568 | -HS- | M] () -- C:\hiberfil.sys
[2011.07.11 21:59:17 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.07.11 21:45:11 | 000,000,310 | RHS- | M] () -- C:\BOOT.INI
[2011.07.11 20:57:20 | 000,026,872 | ---- | M] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\FixTDSS.sys
[2011.07.11 20:53:06 | 004,148,094 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\sephen\Desktop\ComboFix.exe
[2011.07.11 20:51:12 | 001,932,256 | ---- | M] (Symantec Corporation) -- C:\Dokumente und Einstellungen\sephen\Desktop\FixTDSS.exe
[2011.07.11 12:18:10 | 000,000,410 | ---- | M] () -- C:\WINDOWS\tasks\Personal Backup Test1.job
[2011.07.11 10:34:14 | 001,458,992 | ---- | M] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\sephen\Desktop\tdsskiller.exe
[2011.07.10 16:16:42 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\sephen\Desktop\OTL.exe
[2011.07.10 12:16:46 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\defogger_reenable
[2011.07.10 12:14:18 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\hdyof2xc.exe
[2011.07.10 12:08:30 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Defogger.exe
[2011.07.10 12:01:18 | 000,684,297 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\unhide.exe
[2011.07.08 18:14:56 | 000,000,040 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~17424164
[2011.06.30 23:04:05 | 000,000,716 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Skype™ Extras Manager.lnk
[2011.06.26 08:45:56 | 000,256,000 | ---- | M] () -- C:\WINDOWS\PEV.exe
[2011.06.24 11:09:22 | 000,828,165 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\e144527.pdf
[2011.06.22 23:59:34 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011.06.20 19:17:18 | 000,404,640 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2011.06.13 16:32:44 | 000,179,045 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Raiffeisen_Budgetrechner_DE.pdf
[9 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[8 C:\Dokumente und Einstellungen\sephen\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\sephen\Desktop\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.07.12 09:43:32 | 000,000,276 | ---- | C] () -- C:\WINDOWS\tasks\broadcamShakeIcon.job
[2011.07.11 21:49:59 | 000,001,583 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\McAfee Security Scan Plus.lnk
[2011.07.11 21:45:11 | 000,000,194 | ---- | C] () -- C:\Boot.bak
[2011.07.11 21:45:06 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2011.07.11 21:29:18 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011.07.11 21:29:18 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011.07.11 21:29:18 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011.07.11 21:29:18 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2011.07.11 21:29:18 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2011.07.10 12:28:35 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\hdyof2xc.exe
[2011.07.10 12:16:46 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\defogger_reenable
[2011.07.10 12:15:51 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Defogger.exe
[2011.07.10 12:07:30 | 000,001,720 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2011.07.10 12:07:30 | 000,001,699 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GameSpy Comrade.lnk
[2011.07.10 12:07:30 | 000,001,577 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2011.07.10 12:07:30 | 000,001,528 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ThinkVantage Productivity Center.lnk
[2011.07.10 12:07:30 | 000,000,937 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\HP Bildergalerie.lnk
[2011.07.10 12:07:30 | 000,000,771 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\HP Director.lnk
[2011.07.10 12:07:15 | 000,002,423 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
[2011.07.10 12:07:15 | 000,001,686 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Corel MEDIA FOLDERS INDEXER 8.LNK
[2011.07.10 12:07:15 | 000,000,662 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Movie Maker.lnk
[2011.07.10 12:07:14 | 000,002,371 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Acrobat Distiller 9.lnk
[2011.07.10 12:07:14 | 000,002,359 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Acrobat 9 Pro.lnk
[2011.07.10 12:07:14 | 000,002,043 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\IBM Java Plug-in-Systemsteuerung 1.4.2.lnk
[2011.07.10 12:07:14 | 000,001,908 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\MSN.lnk
[2011.07.10 12:07:14 | 000,001,871 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe LiveCycle Designer ES 8.2.lnk
[2011.07.10 12:07:14 | 000,001,804 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader 9.lnk
[2011.07.10 12:07:14 | 000,001,744 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Money.LNK
[2011.07.10 12:07:14 | 000,000,830 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\VideoPad Videobearbeitungs-Software.lnk
[2011.07.10 12:07:14 | 000,000,816 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\BroadCam Video Streaming Server.lnk
[2011.07.10 12:07:14 | 000,000,770 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Prism Videodatei-Konverter.lnk
[2011.07.10 12:07:14 | 000,000,717 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\I.R.I.S. OCR-Registrierung.lnk
[2011.07.10 12:07:14 | 000,000,621 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Messenger.lnk
[2011.07.10 12:07:14 | 000,000,322 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Bluetooth-Umgebung.lnk
[2011.07.10 12:01:47 | 000,684,297 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\unhide.exe
[2011.07.08 18:07:35 | 000,000,040 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~17424164
[2011.06.29 13:30:02 | 000,000,722 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Startmenü\Programme\Skype™ Extras Manager.lnk
[2011.06.29 13:30:02 | 000,000,716 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Skype™ Extras Manager.lnk
[2011.06.24 11:09:22 | 000,828,165 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\e144527.pdf
[2010.12.19 13:33:55 | 000,000,038 | ---- | C] () -- C:\WINDOWS\TETRIS.INI
[2010.12.19 13:13:08 | 000,306,688 | ---- | C] () -- C:\WINDOWS\Uninstall Spielesammlung.exe
[2010.12.19 13:13:03 | 000,000,380 | ---- | C] () -- C:\WINDOWS\Uninstall Spielesammlung.ini
[2010.06.10 18:09:43 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.02.14 13:04:16 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2009.05.10 14:42:30 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2009.02.08 15:43:20 | 000,002,478 | ---- | C] () -- C:\WINDOWS\wincmd.ini
[2008.09.17 18:27:18 | 000,000,056 | ---- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2008.08.25 14:10:54 | 000,765,952 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2008.08.25 14:10:53 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2008.05.11 12:12:58 | 000,068,166 | ---- | C] () -- C:\Programme\Gamesload.RPT
[2008.05.05 23:01:15 | 000,004,096 | ---- | C] () -- C:\WINDOWS\d3dx.dat
[2008.02.21 10:03:01 | 000,000,145 | ---- | C] () -- C:\WINDOWS\AVI2MPEG.ini
[2008.02.21 09:54:32 | 000,059,904 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.11.11 19:03:57 | 000,034,480 | ---- | C] () -- C:\WINDOWS\hpomdl03.dat
[2007.11.11 19:03:57 | 000,028,982 | ---- | C] () -- C:\WINDOWS\hpoins03.dat
[2007.07.02 19:25:18 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PowerReg.dat
[2007.05.07 21:17:54 | 000,108,032 | ---- | C] () -- C:\WINDOWS\System32\sh33w32.dll
[2007.05.07 21:17:00 | 000,039,095 | ---- | C] () -- C:\WINDOWS\iccsigs.dat
[2007.05.07 21:14:19 | 000,000,465 | ---- | C] () -- C:\WINDOWS\barcode.ini
[2007.05.07 20:32:51 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\Msvcrt10.dll
[2007.05.06 17:49:51 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2007.05.03 13:15:10 | 000,000,000 | ---- | C] () -- C:\WINDOWS\vpc32.INI
[2007.04.27 02:32:17 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2007.03.16 17:00:00 | 000,003,403 | ---- | C] () -- C:\WINDOWS\System32\hptcpmon.ini
[2006.11.10 11:46:36 | 000,197,680 | ---- | C] () -- C:\WINDOWS\System32\vpnapi.dll
[2006.11.10 11:46:24 | 000,193,584 | ---- | C] () -- C:\WINDOWS\System32\CSGina.dll
[2006.09.15 02:04:14 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2006.09.15 02:03:47 | 000,016,384 | ---- | C] () -- C:\WINDOWS\PWMBTHLP.EXE
[2006.09.15 02:03:47 | 000,004,442 | ---- | C] () -- C:\WINDOWS\System32\drivers\TPPWRIF.SYS
[2006.09.15 02:03:31 | 000,006,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\IBMBLDID.sys
[2006.09.15 01:59:55 | 000,032,256 | ---- | C] () -- C:\WINDOWS\System32\drivers\psasrv.exe
[2006.09.15 01:53:51 | 000,000,040 | ---- | C] () -- C:\WINDOWS\System32\profile.dat
[2006.09.15 01:49:48 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2006.09.15 01:49:48 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2006.09.15 01:49:48 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2006.09.15 01:49:48 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2006.09.15 01:49:48 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2006.09.15 01:49:48 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2006.09.15 01:49:14 | 000,028,848 | ---- | C] () -- C:\WINDOWS\System32\drivers\USBkey.sys
[2006.09.15 01:48:42 | 000,000,148 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2006.09.15 01:32:45 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\FPCALL.dll
[2006.09.15 01:31:41 | 000,009,343 | ---- | C] () -- C:\WINDOWS\System32\drivers\TDSMAPI.SYS
[2006.09.15 01:30:29 | 000,147,520 | ---- | C] () -- C:\WINDOWS\_tpiu000.exe
[2006.09.15 01:30:03 | 000,651,264 | ---- | C] () -- C:\WINDOWS\System32\libeay32.dll
[2006.09.15 01:30:03 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\ssleay32.dll
[2006.09.15 01:30:03 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\acs.exe
[2006.09.15 01:29:33 | 000,315,392 | ---- | C] () -- C:\WINDOWS\System32\AegisI5.exe
[2006.09.15 01:29:20 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\TpKmpSvc.exe
[2006.01.27 09:59:50 | 000,002,963 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2006.01.20 16:05:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini
[2006.01.17 10:31:30 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\btprn2k.dll
[2005.10.17 15:22:24 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\DEVMAN.DLL
[2005.07.08 01:06:00 | 000,114,688 | ---- | C] () -- C:\WINDOWS\desktopset.exe
[2005.05.23 08:22:24 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\OEMBIOS.BIN
[2005.05.23 08:22:24 | 000,004,547 | ---- | C] () -- C:\WINDOWS\System32\OEMBIOS.DAT
[2004.08.10 13:48:32 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2004.08.10 13:33:43 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2004.08.10 13:23:42 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004.08.10 13:18:03 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2004.08.10 13:17:14 | 000,497,048 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2003.08.11 10:44:18 | 000,565,248 | ---- | C] () -- C:\WINDOWS\System32\hpotscl.dll
[2001.11.14 12:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll
[1999.01.22 20:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
[1980.01.01 00:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[1980.01.01 00:00:00 | 000,391,568 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[1980.01.01 00:00:00 | 000,380,684 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[1980.01.01 00:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[1980.01.01 00:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[1980.01.01 00:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[1980.01.01 00:00:00 | 000,121,995 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[1980.01.01 00:00:00 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\SynTPCoI.dll
[1980.01.01 00:00:00 | 000,073,782 | ---- | C] () -- C:\WINDOWS\System32\ibmpmsvc.exe
[1980.01.01 00:00:00 | 000,063,982 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[1980.01.01 00:00:00 | 000,053,098 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[1980.01.01 00:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[1980.01.01 00:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[1980.01.01 00:00:00 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\notifyf2.dll
[1980.01.01 00:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[1980.01.01 00:00:00 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\tphklock.dll
[1980.01.01 00:00:00 | 000,008,880 | ---- | C] () -- C:\WINDOWS\System32\PROCDB.INI
[1980.01.01 00:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[1980.01.01 00:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[1980.01.01 00:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[1980.01.01 00:00:00 | 000,000,487 | ---- | C] () -- C:\WINDOWS\System32\IPSCTRL.INI
 
========== Custom Scans ==========
 
 
 
< MD5 for: KERNEL32.DLL  >
[2009.03.21 15:59:24 | 001,065,472 | ---- | M] (Microsoft Corporation) MD5=3EB703BFC2ED26A3D8ACB8626AB2C006 -- C:\WINDOWS\$hf_mig$\KB959426\SP3QFE\kernel32.dll
[2008.04.14 04:22:13 | 001,063,424 | ---- | M] (Microsoft Corporation) MD5=4C897C69754D88F496339B1A666907C1 -- C:\WINDOWS\$NtUninstallKB959426$\kernel32.dll
[2008.04.14 04:22:13 | 001,063,424 | ---- | M] (Microsoft Corporation) MD5=4C897C69754D88F496339B1A666907C1 -- C:\WINDOWS\ServicePackFiles\i386\kernel32.dll
[2007.04.16 18:09:38 | 001,059,840 | ---- | M] (Microsoft Corporation) MD5=5D0974BD58808FACA5D2C437B6FC8D85 -- C:\WINDOWS\$hf_mig$\KB935839\SP2QFE\kernel32.dll
[2007.04.16 17:53:05 | 001,058,304 | ---- | M] (Microsoft Corporation) MD5=8EEA8280A1E0E794EDFCCAD3721C7CAB -- C:\WINDOWS\$NtServicePackUninstall$\kernel32.dll
[2009.03.21 16:06:58 | 001,063,424 | ---- | M] (Microsoft Corporation) MD5=B055C64AABC1A3E3DE57EC8025CAD283 -- C:\WINDOWS\ERDNT\cache\kernel32.dll
[2009.03.21 16:06:58 | 001,063,424 | ---- | M] (Microsoft Corporation) MD5=B055C64AABC1A3E3DE57EC8025CAD283 -- C:\WINDOWS\system32\kernel32.dll
[2004.08.04 05:00:00 | 001,057,280 | ---- | M] (Microsoft Corporation) MD5=E6CD85D0D37416CF138F01F4BB0FC872 -- C:\WINDOWS\$NtUninstallKB935839$\kernel32.dll
 
< End of report >
         

--- --- ---



Schritt 4: aswMBR

Funktionierte super. Hier das log.

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.7.705 Copyright(c) 2011 AVAST Software
Run date: 2011-07-12 10:11:45
-----------------------------
10:11:45.671    OS Version: Windows 5.1.2600 Service Pack 3
10:11:45.671    Number of processors: 2 586 0xE08
10:11:45.671    ComputerName: WEYENETH  UserName: Stephen
10:11:46.390    Initialize success
10:13:59.875    AVAST engine defs: 11071101
10:14:14.812    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
10:14:14.828    Disk 0 Vendor: HTS54106 MB3I Size: 57231MB BusType: 3
10:14:14.843    Disk 0 MBR read successfully
10:14:14.843    Disk 0 MBR scan
10:14:14.843    Disk 0 unknown MBR code
10:14:14.843    Disk 0 scanning sectors +117210240
10:14:14.984    Disk 0 scanning C:\WINDOWS\system32\drivers
10:14:33.718    Service scanning
10:14:34.890    Disk 0 trace - called modules:
10:14:34.921    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll iaStor.sys 
10:14:34.921    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a2df968]
10:14:34.921    3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\00000094[0x8a396f18]
10:14:34.921    5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x8a40b030]
10:14:35.515    AVAST engine scan C:\WINDOWS
10:46:46.859    AVAST engine scan C:\Dokumente und Einstellungen\sephen
11:05:28.968    AVAST engine scan C:\Dokumente und Einstellungen\All Users
11:08:00.843    Scan finished successfully
11:08:51.421    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\sephen\Desktop\MBR.dat"
11:08:51.421    The log file has been saved successfully to "C:\Dokumente und Einstellungen\sephen\Desktop\aswMBR.txt"
         

Gruss
West79

...komischerweise hat es mir den Link zu Schritt 2 im vorhergehenden post nicht akzeptiert. Hier ist nochmals der link zum Resultat von VirusTotal:

VirusTotal - Free Online Virus, Malware and URL Scanner

Code: Alles auswählenAufklappen

ATTFilter

hxxp://www.virustotal.com/file-scan/report.html?id=4b9333743a73d4426019bbb66fd60a55802bcdfe2cdb1d71f92f83950f103e9c-1310455599
         

Gruss
West79

Again... Hoffentlich nicht wieder als hxxp...

VirusTotal - Free Online Virus, Malware and URL Scanner

Code: Alles auswählenAufklappen

ATTFilter

hxxp://www.virustotal.com/file-scan/report.html?id=4b9333743a73d4426019bbb66fd60a55802bcdfe2cdb1d71f92f83950f103e9c-1310455599
         

Hallo West79,



Lösche die vorhandene tdsskiller.exe von deinem Desktop, bevor du Schritt # 3 durchführst!




Schritt # 1: Scan mit MBRCheck
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
• Poste mir bitte den Inhalt des .txt Dokumentes.

Schritt # 2: Rootkitscan mit Rootkit Unhooker (RKU)
Downloade Dir bitte RKUnhookerLE
und speichere die Datei auf deinem Desktop.

• Trenne dich vom Internet ( Wlan nicht vergessen ), deaktiviere alle Hintergrundwächter, besonders den deiner Anti-Viren Software.
• Schließe alle offenen Programme.
• Starte die RKUnhookerLE.exe
  Windows Vista und Windows 7 mit Rechtsklick "Als Administrator ausführen"
• Klicke rechts auf Report und anschließend auf den Scan Button.
• Setze ein Häkchen vor
  • Drivers
  • Stealth Code
  • Code Hooks
• Entferne alle anderen Haken.
• Bestätige mit Ok.
• Wenn Du gefragt wirst, welcher Bereich gescannt werden soll, gehe sicher das dein Systemlaufwerk ( meistens C: ) angehakt ist. Deaktiviere alle anderen Laufwerke. Bestätige wieder mit Ok.
• Das Tool scannt nun deinen Rechner. Hab Geduld.
• Wenn der Scan beendet ist, klicke auf File -> Save Report
• Speichere die Datei als RKU.txt auf deinem Desktop.
• Klicke auf Close und bestätige mit Ja.
• Poste das Logfile mit deiner nächsten Antwort.

Hinweis: Solltest Du folgende Warnung bekommen

Zitat:

"Rootkit Unhooker has detected a parasite inside itself!
It is recommended to remove parasite, okay?"

Klicke auf OK





Schritt # 3: TDSS Killer ausführen
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.

• Schließe alle laufenden Programme.
• Trenne dich von Internet.
• Deaktiviere deine AntiViren Software.
• Starte TDSSkiller.exe mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Drücke auf Start scan.
  Mache während dem Scan nichts am Rechner
  
  1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
  2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
     Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
• Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
• Bitte poste mir den Inhalt hier in deinen Thread.

Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile von MBRCheck,
• das Logfile von RKU und
• das Logfile des TDSS Killers.

Guten Morgen

Hat alles soweit funktioniert. Hier mein Rückmeldungen:

Schritt 1: Scan mit MBRCheck

Was wirklich ein schneller scan. Hier das log.

Code: Alles auswählenAufklappen

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x0000001c

Kernel Drivers (total 164):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E6000 \WINDOWS\system32\hal.dll
  0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
  0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
  0xBA328000 FixTDSS.sys
  0xB9F78000 ACPI.sys
  0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xB9F67000 pci.sys
  0xBA0A8000 isapnp.sys
  0xBA4BC000 compbatt.sys
  0xBA4C0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
  0xBA670000 pciide.sys
  0xBA330000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xB9F49000 pcmcia.sys
  0xBA0B8000 MountMgr.sys
  0xB9F2A000 ftdisk.sys
  0xBA5AC000 dmload.sys
  0xB9F04000 dmio.sys
  0xBA338000 PartMgr.sys
  0xBA4C4000 ACPIEC.sys
  0xBA671000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
  0xB9EEF000 Shockprf.sys
  0xBA0C8000 VolSnap.sys
  0xB9ED7000 atapi.sys
  0xB9E01000 iaStor.sys
  0xBA0D8000 disk.sys
  0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xB9DE1000 fltmgr.sys
  0xB9DCF000 sr.sys
  0xB9DB9000 DRVMCDB.SYS
  0xBA340000 PxHelp20.sys
  0xB9DA2000 KSecDD.sys
  0xB9D15000 Ntfs.sys
  0xB9CE8000 NDIS.sys
  0xBA0F8000 ohci1394.sys
  0xBA108000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xB9CCE000 Mup.sys
  0xBA138000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xBA148000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xB90BF000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
  0xB90AB000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xB9083000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xB9060000 \SystemRoot\system32\DRIVERS\b57xp32.sys
  0xB8FED000 \SystemRoot\system32\DRIVERS\ar5211.sys
  0xBA3F0000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xB8FC9000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xBA3F8000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xBA158000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xBA400000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xB8F9D000 \SystemRoot\system32\DRIVERS\SynTP.sys
  0xBA602000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xBA408000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xBA410000 \SystemRoot\system32\DRIVERS\atmeltpm.sys
  0xB9C31000 \SystemRoot\system32\DRIVERS\CmBatt.sys
  0xB9C2D000 \SystemRoot\system32\DRIVERS\ibmpmdrv.sys
  0xBA168000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xBA178000 \SystemRoot\System32\Drivers\AFS2K.SYS
  0xBA418000 \SystemRoot\system32\drivers\iviaspi.sys
  0xBA604000 \SystemRoot\System32\Drivers\DLACDBHM.SYS
  0xBA188000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xBA198000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xB8F7A000 \SystemRoot\system32\DRIVERS\ks.sys
  0xB8EAE000 \SystemRoot\system32\DRIVERS\btkrnl.sys
  0xB8E90000 \SystemRoot\system32\DRIVERS\dne2000.sys
  0xBA7B3000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xB92CD000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xB9C21000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xB8E79000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xB92BD000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xB92AD000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xBA420000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xB8E68000 \SystemRoot\system32\DRIVERS\psched.sys
  0xB929D000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xBA428000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xBA430000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xB8E38000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xB928D000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xBA608000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB8DDA000 \SystemRoot\system32\DRIVERS\update.sys
  0xB96E5000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xB926D000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xB4D63000 \SystemRoot\system32\drivers\ADIHdAud.sys
  0xB4D3F000 \SystemRoot\system32\drivers\portcls.sys
  0xB923D000 \SystemRoot\system32\drivers\drmk.sys
  0xB4D19000 \SystemRoot\system32\drivers\AEAudio.sys
  0xB4CDF000 \SystemRoot\system32\DRIVERS\hsxhwazl.sys
  0xB4BE8000 \SystemRoot\system32\DRIVERS\hsx_dpv.sys
  0xB4B32000 \SystemRoot\system32\DRIVERS\hsx_cnxt.sys
  0xBA438000 \SystemRoot\System32\Drivers\Modem.SYS
  0xB33DA000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xB4156000 \SystemRoot\System32\Drivers\i2omgmt.SYS
  0xBA5B2000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xB2D6F000 \SystemRoot\System32\Drivers\Null.SYS
  0xBA5B4000 \SystemRoot\System32\Drivers\Beep.SYS
  0xB31FB000 \SystemRoot\System32\Drivers\DLARTL_N.SYS
  0xB31F3000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xB31EB000 \SystemRoot\System32\drivers\vga.sys
  0xBA5B6000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xBA5B8000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xB31E3000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xB31DB000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xB414A000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xB1E44000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xB1DEB000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xB1D9B000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xB1D75000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xB1D53000 \SystemRoot\System32\drivers\afd.sys
  0xB33CA000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xB31D3000 \SystemRoot\System32\drivers\TSMAPIP.SYS
  0xB31CB000 \SystemRoot\System32\drivers\Tppwrif.sys
  0xB31C3000 \SystemRoot\System32\Drivers\TPHKDRV.SYS
  0xB31BB000 \SystemRoot\System32\drivers\TDSMAPI.SYS
  0xB2D64000 \SystemRoot\System32\drivers\Smapint.sys
  0xBA5BA000 \SystemRoot\System32\Drivers\ShockMgr.SYS
  0xB1D08000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xB1C98000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xBA5BC000 \??\C:\WINDOWS\system32\Drivers\IBMBLDID.sys
  0xB339A000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB338A000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xB337A000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xB2D5C000 \SystemRoot\System32\Drivers\tcusb.sys
  0xB366A000 \SystemRoot\System32\drivers\ANC.SYS
  0xAA9C9000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xA9B98000 \SystemRoot\System32\Drivers\dump_iaStor.sys
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xAA803000 \SystemRoot\System32\drivers\Dxapi.sys
  0xAA6AC000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xAEADC000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\ati2dvag.dll
  0xBF054000 \SystemRoot\System32\ati2cqag.dll
  0xBF093000 \SystemRoot\System32\atikvmag.dll
  0xBF0C9000 \SystemRoot\System32\ati3duag.dll
  0xBF34D000 \SystemRoot\System32\ativvaxx.dll
  0xB2AB6000 \SystemRoot\System32\Drivers\DRVNDDM.SYS
  0xBA736000 \SystemRoot\System32\DLA\DLADResN.SYS
  0xA7B82000 \SystemRoot\System32\DLA\DLAIFS_M.SYS
  0xAF16D000 \SystemRoot\System32\DLA\DLAOPIOM.SYS
  0xAA067000 \SystemRoot\System32\DLA\DLAPoolM.SYS
  0xBA737000 \??\C:\Programme\ThinkVantage Fingerprint Software\smihlp.sys
  0xB1EA3000 \SystemRoot\System32\DLA\DLABOIOM.SYS
  0xA7B6B000 \SystemRoot\System32\DLA\DLAUDFAM.SYS
  0xA7B55000 \SystemRoot\System32\DLA\DLAUDF_M.SYS
  0xB3203000 \SystemRoot\system32\DRIVERS\AegisP.sys
  0xB294F000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xA7B00000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xB1BB5000 \SystemRoot\system32\DRIVERS\PROCDD.SYS
  0xA7A9B000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB1C18000 \SystemRoot\system32\drivers\sysaudio.sys
  0xA7995000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
  0xBA632000 \??\C:\WINDOWS\SYSTEM32\EGATHDRV.SYS
  0xA792C000 \SystemRoot\System32\Drivers\HTTP.sys
  0xA7ADC000 \??\C:\WINDOWS\system32\drivers\ibmfilter.sys
  0xA797D000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
  0xA785C000 \SystemRoot\system32\DRIVERS\srv.sys
  0xBA656000 \??\C:\WINDOWS\System32\drivers\pmemnt.sys
  0xB4A16000 \??\C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\PrivateDiskM.sys
  0xB1F2B000 \SystemRoot\system32\DRIVERS\secdrv.sys
  0xBA740000 \??\C:\Programme\SMI2\smi2.sys
  0xBA758000 \??\C:\WINDOWS\system32\SVKP.sys
  0xA645B000 \SystemRoot\system32\drivers\kmixer.sys
  0xAAABB000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xA6437000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 78):
       0 System Idle Process
       4 System
    1084 C:\WINDOWS\system32\smss.exe
    1136 csrss.exe
    1168 C:\WINDOWS\system32\winlogon.exe
    1212 C:\WINDOWS\system32\services.exe
    1224 C:\WINDOWS\system32\lsass.exe
    1400 C:\WINDOWS\system32\ibmpmsvc.exe
    1428 C:\WINDOWS\system32\ati2evxx.exe
    1444 C:\WINDOWS\system32\svchost.exe
    1528 svchost.exe
    1568 C:\WINDOWS\system32\svchost.exe
    1728 svchost.exe
    1760 svchost.exe
     164 C:\WINDOWS\system32\spoolsv.exe
     348 svchost.exe
     376 C:\WINDOWS\system32\IPSSVC.EXE
     388 C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
     456 C:\Programme\NCH Software\BroadCam\broadcam.exe
     592 C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
     612 C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
     640 C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
     764 C:\WINDOWS\system32\svchost.exe
     824 C:\Programme\Java\jre6\bin\jqs.exe
     924 C:\WINDOWS\system32\svchost.exe
     980 C:\WINDOWS\system32\svchost.exe
    1052 C:\WINDOWS\system32\svchost.exe
    1076 C:\WINDOWS\system32\TPHDEXLG.exe
    1480 C:\WINDOWS\system32\TpKmpSvc.exe
    1660 ibmtcsd.exe
    1688 C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
    1612 C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
    1796 C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe
    1912 C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
    2136 wmpnetwk.exe
    2340 C:\Programme\IBM ThinkVantage\Common\Logger\logmon.exe
    2428 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    2524 alg.exe
    3248 C:\WINDOWS\system32\acs.exe
    3876 C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
    3440 C:\WINDOWS\system32\ati2evxx.exe
    3656 C:\WINDOWS\system32\wscntfy.exe
    3692 C:\WINDOWS\explorer.exe
     508 C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    1068 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    1640 C:\WINDOWS\system32\TpShocks.exe
     664 C:\PROGRA~1\ThinkPad\UTILIT~1\EZEJMNAP.EXE
    2804 C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
    2856 C:\Programme\Analog Devices\Core\smax4pnp.exe
    2876 C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
    2472 C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
    2900 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
     292 C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.EXE
    3740 C:\PROGRA~1\THINKV~2\AMSG\AMSG.EXE
     300 C:\WINDOWS\system32\DLA\DLACTRLW.EXE
     884 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
    1440 C:\Programme\Lenovo\AwayTask\AwaySch.EXE
    3008 C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe
    2880 C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe
     500 C:\Programme\Picasa2\PicasaMediaDetector.exe
    3340 C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
    3188 C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
    1284 C:\WINDOWS\system32\rundll32.exe
    4024 C:\Programme\HP\HP Software Update\hpwuSchd.exe
    4080 C:\Programme\HP\Digital Imaging\Promotions\HPpromo.exe
    2976 C:\Programme\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
    3032 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
    3388 C:\Programme\NCH Software\BroadCam\broadcam.exe
    3024 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    3820 C:\Programme\Windows Media Player\wmpnscfg.exe
     528 C:\Programme\Skype\Phone\Skype.exe
    3420 C:\WINDOWS\system32\ctfmon.exe
    3376 C:\Corel\Graphics8\Programs\MFIndexer.exe
    3492 C:\Programme\Personal Backup 5\Persbackup.exe
    1616 C:\WINDOWS\system32\wuauclt.exe
    5584 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
    2424 C:\WINDOWS\system32\wuauclt.exe
    1632 C:\Dokumente und Einstellungen\sephen\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: HTS541060G9SA00, Rev: MB3IC60H

      Size  Device Name          MBR Status
  --------------------------------------------
     55 GB  \\.\PhysicalDrive0   Unknown MBR code
            SHA1: 38BE7869FCCF026F920DA4A541B12E68993C36ED


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 

Done!
         

Schritt 2: Rootkitscan mit Rootkit Unhooker (RKU).

Ging eigentlich auch ganz flott. Eine Warnung ist keine aufgepoppt. Hier das log:

Code: Alles auswählenAufklappen

ATTFilter

RkU Version: 3.8.389.593, Type LE (SR2)
==============================================
OS Name: Windows XP
Version 5.1.2600 (Service Pack 3)
Number of processors #2
==============================================
>Drivers
==============================================
0xBF0C9000 C:\WINDOWS\System32\ati3duag.dll 2637824 bytes (ATI Technologies Inc. , ati3duag.dll)
0x804D7000 C:\WINDOWS\system32\ntkrnlpa.exe 2158592 bytes (Microsoft Corporation, NT-Kernel und -System)
0x804D7000 PnpManager 2158592 bytes
0x804D7000 RAW 2158592 bytes
0x804D7000 WMIxWDM 2158592 bytes
0xBF800000 Win32k 1859584 bytes
0xBF800000 C:\WINDOWS\System32\win32k.sys 1859584 bytes (Microsoft Corporation, Mehrbenutzer-Win32-Treiber)
0xB90BF000 C:\WINDOWS\system32\DRIVERS\ati2mtag.sys 1564672 bytes (ATI Technologies Inc., ATI Radeon WindowsNT Miniport Driver)
0xB4BE8000 C:\WINDOWS\system32\DRIVERS\hsx_dpv.sys 1011712 bytes (Conexant Systems, Inc., HSF_DP driver)
0xA9B98000 C:\WINDOWS\System32\Drivers\dump_iaStor.sys 876544 bytes
0xB9E01000 iaStor.sys 876544 bytes (Intel Corporation, Intel Matrix Storage Manager driver)
0xBF34D000 C:\WINDOWS\System32\ativvaxx.dll 864256 bytes (ATI Technologies Inc. , Radeon Video Acceleration Universal Driver)
0xB8EAE000 C:\WINDOWS\system32\DRIVERS\btkrnl.sys 835584 bytes (Broadcom Corporation., Bluetooth Bus Enumerator)
0xB4B32000 C:\WINDOWS\system32\DRIVERS\hsx_cnxt.sys 745472 bytes (Conexant Systems, Inc., HSF_CNXT driver)
0xA7995000 C:\WINDOWS\system32\Drivers\CVPNDRVA.sys 589824 bytes (Cisco Systems, Inc., Cisco Systems VPN Client IPSec Driver)
0xB9D15000 Ntfs.sys 577536 bytes (Microsoft Corporation, NT File System Driver)
0xB8FED000 C:\WINDOWS\system32\DRIVERS\ar5211.sys 471040 bytes (Atheros Communications, Inc., Driver for Atheros AR5001 Wireless Network Adapter)
0xB1C98000 C:\WINDOWS\system32\DRIVERS\mrxsmb.sys 458752 bytes (Microsoft Corporation, Windows NT SMB Minirdr)
0xB8DDA000 C:\WINDOWS\system32\DRIVERS\update.sys 385024 bytes (Microsoft Corporation, Update Driver)
0xB1DEB000 C:\WINDOWS\system32\DRIVERS\tcpip.sys 364544 bytes (Microsoft Corporation, TCP/IP Protocol Driver)
0xA785C000 C:\WINDOWS\system32\DRIVERS\srv.sys 360448 bytes (Microsoft Corporation, Server driver)
0xBF012000 C:\WINDOWS\System32\ati2dvag.dll 270336 bytes (ATI Technologies Inc., ATI Radeon WindowsNT Display Driver)
0xA792C000 C:\WINDOWS\System32\Drivers\HTTP.sys 266240 bytes (Microsoft Corporation, HTTP Protocol Stack)
0xBF054000 C:\WINDOWS\System32\ati2cqag.dll 258048 bytes (ATI Technologies Inc., Central Memory Manager / Queue Server Module)
0xB4CDF000 C:\WINDOWS\system32\DRIVERS\hsxhwazl.sys 237568 bytes (Conexant Systems, Inc., HSF_HWAZL WDM driver)
0xBF093000 C:\WINDOWS\System32\atikvmag.dll 221184 bytes (ATI Technologies Inc., Virtual Command And Memory Manager)
0xB8E38000 C:\WINDOWS\system32\DRIVERS\rdpdr.sys 196608 bytes (Microsoft Corporation, Microsoft RDP Device redirector)
0xB9F78000 ACPI.sys 192512 bytes (Microsoft Corporation, ACPI-Treiber für NT)
0xB4D63000 C:\WINDOWS\system32\drivers\ADIHdAud.sys 192512 bytes (Analog Devices, Inc., High Definition Audio Function Driver(Release Candidate 1))
0xA7B00000 C:\WINDOWS\system32\DRIVERS\mrxdav.sys 184320 bytes (Microsoft Corporation, Windows NT WebDav Minirdr)
0xB9CE8000 NDIS.sys 184320 bytes (Microsoft Corporation, NDIS 5.1 wrapper driver)
0xB8F9D000 C:\WINDOWS\system32\DRIVERS\SynTP.sys 180224 bytes (Synaptics, Inc., Synaptics Touchpad Driver)
0xA645B000 C:\WINDOWS\system32\drivers\kmixer.sys 176128 bytes (Microsoft Corporation, Kernel Mode Audio Mixer)
0xB1D08000 C:\WINDOWS\system32\DRIVERS\rdbss.sys 176128 bytes (Microsoft Corporation, Redirected Drive Buffering SubSystem Driver)
0xB9083000 C:\WINDOWS\system32\DRIVERS\HDAudBus.sys 163840 bytes (Windows (R) Server 2003 DDK provider, High Definition Audio Bus Driver v1.0a)
0xB1D9B000 C:\WINDOWS\system32\DRIVERS\netbt.sys 163840 bytes (Microsoft Corporation, MBT Transport driver)
0xB4D19000 C:\WINDOWS\system32\drivers\AEAudio.sys 155648 bytes (Andrea Electronics Corporation, Audio Noise Filtering Driver)
0xB9F04000 dmio.sys 155648 bytes (Microsoft Corp., Veritas Software, E/A-Treiber für NT Datenträgerverwaltung)
0xB1D75000 C:\WINDOWS\system32\DRIVERS\ipnat.sys 155648 bytes (Microsoft Corporation, IP Network Address Translator)
0xA6437000 C:\WINDOWS\System32\Drivers\Fastfat.SYS 147456 bytes (Microsoft Corporation, Fast FAT File System Driver)
0xB4D3F000 C:\WINDOWS\system32\drivers\portcls.sys 147456 bytes (Microsoft Corporation, Port Class (Class Driver for Port/Miniport Devices))
0xB8FC9000 C:\WINDOWS\system32\DRIVERS\USBPORT.SYS 147456 bytes (Microsoft Corporation, USB 1.1 & 2.0 Port Driver)
0xB9060000 C:\WINDOWS\system32\DRIVERS\b57xp32.sys 143360 bytes (Broadcom Corporation, Broadcom NetXtreme Gigabit Ethernet NDIS5.1 Driver.)
0xB8F7A000 C:\WINDOWS\system32\DRIVERS\ks.sys 143360 bytes (Microsoft Corporation, Kernel CSA Library)
0xB1D53000 C:\WINDOWS\System32\drivers\afd.sys 139264 bytes (Microsoft Corporation, Ancillary Function Driver for WinSock)
0x806E6000 ACPI_HAL 134400 bytes
0x806E6000 C:\WINDOWS\system32\hal.dll 134400 bytes (Microsoft Corporation, Hardware Abstraction Layer DLL)
0xB9DE1000 fltmgr.sys 131072 bytes (Microsoft Corporation, Microsoft Filesystem Filter Manager)
0xB9F2A000 ftdisk.sys 126976 bytes (Microsoft Corporation, FT-Datenträgertreiber)
0xB8E90000 C:\WINDOWS\system32\DRIVERS\dne2000.sys 122880 bytes (Deterministic Networks, Inc., Deterministic Network Enhancer)
0xB9F49000 pcmcia.sys 122880 bytes (Microsoft Corporation, PCMCIA-Treiber)
0xB9CCE000 Mup.sys 106496 bytes (Microsoft Corporation, Multiple UNC Provider driver)
0xB9ED7000 atapi.sys 98304 bytes (Microsoft Corporation, IDE/ATAPI Port Driver)
0xA7B6B000 C:\WINDOWS\System32\DLA\DLAUDFAM.SYS 94208 bytes (Sonic Solutions, Drive Letter Access Component)
0xB9DA2000 KSecDD.sys 94208 bytes (Microsoft Corporation, Kernel Security Support Provider Interface)
0xB8E79000 C:\WINDOWS\system32\DRIVERS\ndiswan.sys 94208 bytes (Microsoft Corporation, MS PPP Framing Driver (Strong Encryption))
0xA7B82000 C:\WINDOWS\System32\DLA\DLAIFS_M.SYS 90112 bytes (Sonic Solutions, Drive Letter Access Component)
0xA7B55000 C:\WINDOWS\System32\DLA\DLAUDF_M.SYS 90112 bytes (Sonic Solutions, Drive Letter Access Component)
0xB9DB9000 DRVMCDB.SYS 90112 bytes (Sonic Solutions, Device Driver)
0xB9EEF000 Shockprf.sys 86016 bytes (Lenovo, Shockproof Disk Driver)
0xA7A9B000 C:\WINDOWS\system32\drivers\wdmaud.sys 86016 bytes (Microsoft Corporation, MMSYSTEM Wave/Midi API mapper)
0xB90AB000 C:\WINDOWS\system32\DRIVERS\VIDEOPRT.SYS 81920 bytes (Microsoft Corporation, Video Port Driver)
0xB1E44000 C:\WINDOWS\system32\DRIVERS\ipsec.sys 77824 bytes (Microsoft Corporation, IPSec Driver)
0xBF000000 C:\WINDOWS\System32\drivers\dxg.sys 73728 bytes (Microsoft Corporation, DirectX Graphics Driver)
0xB9DCF000 sr.sys 73728 bytes (Microsoft Corporation, Dateisystemfilter-Treiber der Systemwiederherstellung)
0xB9F67000 pci.sys 69632 bytes (Microsoft Corporation, NT-Plug & Play PCI-Enumerator)
0xB8E68000 C:\WINDOWS\system32\DRIVERS\psched.sys 69632 bytes (Microsoft Corporation, MS QoS Packet Scheduler)
0xAA9C9000 C:\WINDOWS\System32\Drivers\Cdfs.SYS 65536 bytes (Microsoft Corporation, CD-ROM File System Driver)
0xBA188000 C:\WINDOWS\system32\DRIVERS\cdrom.sys 65536 bytes (Microsoft Corporation, SCSI CD-ROM Driver)
0xBA138000 C:\WINDOWS\system32\DRIVERS\nic1394.sys 65536 bytes (Microsoft Corporation, IEEE1394 Ndis Miniport and Call Manager)
0xBA0F8000 ohci1394.sys 65536 bytes (Microsoft Corporation, 1394 OpenHCI Port Driver)
0xB337A000 C:\WINDOWS\system32\DRIVERS\arp1394.sys 61440 bytes (Microsoft Corporation, IP/1394 Arp Client)
0xB923D000 C:\WINDOWS\system32\drivers\drmk.sys 61440 bytes (Microsoft Corporation, Microsoft Kernel DRM Descrambler Filter)
0xBA198000 C:\WINDOWS\system32\DRIVERS\redbook.sys 61440 bytes (Microsoft Corporation, Redbook-Audiofiltertreiber)
0xB1C18000 C:\WINDOWS\system32\drivers\sysaudio.sys 61440 bytes (Microsoft Corporation, System Audio WDM Filter)
0xB33DA000 C:\WINDOWS\system32\DRIVERS\usbhub.sys 61440 bytes (Microsoft Corporation, Default Hub Driver for USB)
0xBA108000 C:\WINDOWS\system32\DRIVERS\1394BUS.SYS 57344 bytes (Microsoft Corporation, 1394 Bus Device Driver)
0xBA0C8000 VolSnap.sys 57344 bytes (Microsoft Corporation, Volumeschattenkopie-Treiber)
0xBA0E8000 C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS 53248 bytes (Microsoft Corporation, SCSI Class System Dll)
0xBA158000 C:\WINDOWS\system32\DRIVERS\i8042prt.sys 53248 bytes (Microsoft Corporation, i8042-Anschlusstreiber)
0xB92CD000 C:\WINDOWS\system32\DRIVERS\rasl2tp.sys 53248 bytes (Microsoft Corporation, RAS L2TP mini-port/call-manager driver)
0xB4A16000 C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\PrivateDiskM.sys 49152 bytes (Utimaco Safeware AG, SafeGuard® PrivateDisk Driver)
0xB92AD000 C:\WINDOWS\system32\DRIVERS\raspptp.sys 49152 bytes (Microsoft Corporation, Peer-to-Peer Tunneling Protocol)
0xB339A000 C:\WINDOWS\System32\Drivers\Fips.SYS 45056 bytes (Microsoft Corporation, FIPS-Verschlüsselungstreiber)
0xBA168000 C:\WINDOWS\system32\DRIVERS\imapi.sys 45056 bytes (Microsoft Corporation, IMAPI Kernel Driver)
0xBA0B8000 MountMgr.sys 45056 bytes (Microsoft Corporation, Mount Manager)
0xB92BD000 C:\WINDOWS\system32\DRIVERS\raspppoe.sys 45056 bytes (Microsoft Corporation, RAS PPPoE mini-port/call-manager driver)
0xBA178000 C:\WINDOWS\System32\Drivers\AFS2K.SYS 40960 bytes (Oak Technology Inc., Audio File System)
0xB2AB6000 C:\WINDOWS\System32\Drivers\DRVNDDM.SYS 40960 bytes (Sonic Solutions, Device Driver Manager)
0xBA148000 C:\WINDOWS\system32\DRIVERS\intelppm.sys 40960 bytes (Microsoft Corporation, Prozessorgerätetreiber)
0xBA0A8000 isapnp.sys 40960 bytes (Microsoft Corporation, PNP-ISA-Bustreiber)
0xB926D000 C:\WINDOWS\System32\Drivers\NDProxy.SYS 40960 bytes (Microsoft Corporation, NDIS Proxy)
0xB1F2B000 C:\WINDOWS\system32\DRIVERS\secdrv.sys 40960 bytes (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K., Macrovision SECURITY Driver)
0xB928D000 C:\WINDOWS\system32\DRIVERS\termdd.sys 40960 bytes (Microsoft Corporation, Terminal Server Driver)
0xA6C51000 C:\WINDOWS\System32\Drivers\BlackBox.SYS 36864 bytes (RKU Driver)
0xBA0D8000 disk.sys 36864 bytes (Microsoft Corporation, PnP Disk Driver)
0xB929D000 C:\WINDOWS\system32\DRIVERS\msgpc.sys 36864 bytes (Microsoft Corporation, MS General Packet Classifier)
0xB33CA000 C:\WINDOWS\system32\DRIVERS\netbios.sys 36864 bytes (Microsoft Corporation, NetBIOS interface driver)
0xB338A000 C:\WINDOWS\system32\DRIVERS\wanarp.sys 36864 bytes (Microsoft Corporation, MS Remote Access and Routing ARP Driver)
0xBA410000 C:\WINDOWS\system32\DRIVERS\atmeltpm.sys 32768 bytes (Atmel, Inc., Atmel TPM Driver)
0xBA438000 C:\WINDOWS\System32\Drivers\Modem.SYS 32768 bytes (Microsoft Corporation, Modemgerätetreiber)
0xB31DB000 C:\WINDOWS\System32\Drivers\Npfs.SYS 32768 bytes (Microsoft Corporation, NPFS Driver)
0xB2D64000 C:\WINDOWS\System32\drivers\Smapint.sys 32768 bytes (Microsoft Corporation, SMAPI I/O)
0xB2D5C000 C:\WINDOWS\System32\Drivers\tcusb.sys 32768 bytes (UPEK Inc., TouchChip USB Kernel Driver)
0xBA3F8000 C:\WINDOWS\system32\DRIVERS\usbehci.sys 32768 bytes (Microsoft Corporation, EHCI eUSB Miniport Driver)
0xB1EA3000 C:\WINDOWS\System32\DLA\DLABOIOM.SYS 28672 bytes (Sonic Solutions, Drive Letter Access Component)
0xB31F3000 C:\WINDOWS\system32\DRIVERS\HIDPARSE.SYS 28672 bytes (Microsoft Corporation, Hid Parsing Library)
0xBA400000 C:\WINDOWS\system32\DRIVERS\kbdclass.sys 28672 bytes (Microsoft Corporation, Tastaturklassentreiber)
0xBA330000 C:\WINDOWS\system32\DRIVERS\PCIIDEX.SYS 28672 bytes (Microsoft Corporation, PCI IDE Bus Driver Extension)
0xB1BB5000 C:\WINDOWS\system32\DRIVERS\PROCDD.SYS 28672 bytes (Lenovo Group Limited, IPS Helper Driver)
0xAAABB000 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS 28672 bytes (Microsoft Corporation, USB Mass Storage Class Driver)
0xB31FB000 C:\WINDOWS\System32\Drivers\DLARTL_N.SYS 24576 bytes (Sonic Solutions, Shared Driver Component)
0xBA418000 C:\WINDOWS\system32\drivers\iviaspi.sys 24576 bytes (InterVideo, Inc., InterVideo ASPI Shell)
0xBA408000 C:\WINDOWS\system32\DRIVERS\mouclass.sys 24576 bytes (Microsoft Corporation, Mausklassentreiber)
0xB31BB000 C:\WINDOWS\System32\drivers\TDSMAPI.SYS 24576 bytes
0xB31D3000 C:\WINDOWS\System32\drivers\TSMAPIP.SYS 24576 bytes
0xBA3F0000 C:\WINDOWS\system32\DRIVERS\usbuhci.sys 24576 bytes (Microsoft Corporation, UHCI USB Miniport Driver)
0xB31EB000 C:\WINDOWS\System32\drivers\vga.sys 24576 bytes (Microsoft Corporation, VGA/Super VGA Video Driver)
0xB3203000 C:\WINDOWS\system32\DRIVERS\AegisP.sys 20480 bytes (Meetinghouse Data Communications, IEEE 802.1X Protocol Driver)
0xBA328000 FixTDSS.sys 20480 bytes (Symantec Corporation, TDSS Fix Tool)
0xB31E3000 C:\WINDOWS\System32\Drivers\Msfs.SYS 20480 bytes (Microsoft Corporation, Mailslot driver)
0xBA338000 PartMgr.sys 20480 bytes (Microsoft Corporation, Partition Manager)
0xBA428000 C:\WINDOWS\system32\DRIVERS\ptilink.sys 20480 bytes (Parallel Technologies, Inc., Parallel Technologies DirectParallel IO Library)
0xBA340000 PxHelp20.sys 20480 bytes (Sonic Solutions, Px Engine Device Driver for Windows 2000/XP)
0xBA430000 C:\WINDOWS\system32\DRIVERS\raspti.sys 20480 bytes (Microsoft Corporation, PTI DirectParallel(R) mini-port/call-manager driver)
0xBA420000 C:\WINDOWS\system32\DRIVERS\TDI.SYS 20480 bytes (Microsoft Corporation, TDI Wrapper)
0xB31C3000 C:\WINDOWS\System32\Drivers\TPHKDRV.SYS 20480 bytes (IBM Corporation, ThinkPad Hotkey Driver)
0xB31CB000 C:\WINDOWS\System32\drivers\Tppwrif.sys 20480 bytes
0xAA6AC000 C:\WINDOWS\System32\watchdog.sys 20480 bytes (Microsoft Corporation, Watchdog Driver)
0xBA4C0000 C:\WINDOWS\system32\DRIVERS\BATTC.SYS 16384 bytes (Microsoft Corporation, Battery Class Driver)
0xB9C31000 C:\WINDOWS\system32\DRIVERS\CmBatt.sys 16384 bytes (Microsoft Corporation, Control Method Battery Driver)
0xAF16D000 C:\WINDOWS\System32\DLA\DLAOPIOM.SYS 16384 bytes (Sonic Solutions, Drive Letter Access Component)
0xA7ADC000 C:\WINDOWS\system32\drivers\ibmfilter.sys 16384 bytes (IBM, IBM Rescue and Recovery filter driver)
0xA797D000 C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys 16384 bytes (Conexant, Diagnostic Interface DRIVER)
0xB96E5000 C:\WINDOWS\system32\DRIVERS\mssmbios.sys 16384 bytes (Microsoft Corporation, System Management BIOS Driver)
0xB294F000 C:\WINDOWS\system32\DRIVERS\ndisuio.sys 16384 bytes (Microsoft Corporation, NDIS User mode I/O Driver)
0xBA4C4000 ACPIEC.sys 12288 bytes (Microsoft Corporation, ACPI Embedded Controllertreiber)
0xB366A000 C:\WINDOWS\System32\drivers\ANC.SYS 12288 bytes (IBM Corp., IBM Access Connections - ANC)
0xBA4B8000 C:\WINDOWS\system32\BOOTVID.dll 12288 bytes (Microsoft Corporation, VGA Boot Driver)
0xBA4BC000 compbatt.sys 12288 bytes (Microsoft Corporation, Composite Battery Driver)
0xAA803000 C:\WINDOWS\System32\drivers\Dxapi.sys 12288 bytes (Microsoft Corporation, DirectX API Driver)
0xB4156000 C:\WINDOWS\System32\Drivers\i2omgmt.SYS 12288 bytes (Microsoft Corporation, I2O Utility Filter)
0xB9C2D000 C:\WINDOWS\system32\DRIVERS\ibmpmdrv.sys 12288 bytes (Lenovo., ThinkPad Power Management Driver)
0xB9C21000 C:\WINDOWS\system32\DRIVERS\ndistapi.sys 12288 bytes (Microsoft Corporation, NDIS 3.0 connection wrapper driver)
0xB414A000 C:\WINDOWS\system32\DRIVERS\rasacd.sys 12288 bytes (Microsoft Corporation, RAS Automatic Connection Driver)
0xBA5B4000 C:\WINDOWS\System32\Drivers\Beep.SYS 8192 bytes (Microsoft Corporation, BEEP Driver)
0xBA604000 C:\WINDOWS\System32\Drivers\DLACDBHM.SYS 8192 bytes (Sonic Solutions, Shared Driver Component)
0xAA067000 C:\WINDOWS\System32\DLA\DLAPoolM.SYS 8192 bytes (Sonic Solutions, Drive Letter Access Component)
0xBA5AC000 dmload.sys 8192 bytes (Microsoft Corp., Veritas Software., NT Disk Manager Startup Driver)
0xBA632000 C:\WINDOWS\SYSTEM32\EGATHDRV.SYS 8192 bytes (IBM Corporation, IBM eGatherer Kernel Module)
0xBA5B2000 C:\WINDOWS\System32\Drivers\Fs_Rec.SYS 8192 bytes (Microsoft Corporation, File System Recognizer Driver)
0xBA5BC000 C:\WINDOWS\system32\Drivers\IBMBLDID.sys 8192 bytes
0xBA5A8000 C:\WINDOWS\system32\KDCOM.DLL 8192 bytes (Microsoft Corporation, Kernel Debugger HW Extension DLL)
0xBA5B6000 C:\WINDOWS\System32\Drivers\mnmdd.SYS 8192 bytes (Microsoft Corporation, Frame buffer simulator)
0xBA656000 C:\WINDOWS\System32\drivers\pmemnt.sys 8192 bytes (Microsoft Corporation, Physical Memory Driver)
0xBA5B8000 C:\WINDOWS\System32\DRIVERS\RDPCDD.sys 8192 bytes (Microsoft Corporation, RDP Miniport)
0xBA5BA000 C:\WINDOWS\System32\Drivers\ShockMgr.SYS 8192 bytes (Lenovo., ShockMgr Device Driver)
0xBA608000 C:\WINDOWS\system32\DRIVERS\swenum.sys 8192 bytes (Microsoft Corporation, Plug and Play Software Device Enumerator)
0xBA602000 C:\WINDOWS\system32\DRIVERS\USBD.SYS 8192 bytes (Microsoft Corporation, Universal Serial Bus Driver)
0xBA5AA000 C:\WINDOWS\system32\DRIVERS\WMILIB.SYS 8192 bytes (Microsoft Corporation, WMILIB WMI support library Dll)
0xBA7B3000 C:\WINDOWS\system32\DRIVERS\audstub.sys 4096 bytes (Microsoft Corporation, AudStub Driver)
0xBA736000 C:\WINDOWS\System32\DLA\DLADResN.SYS 4096 bytes (Sonic Solutions, Drive Letter Access Component)
0xAEADC000 C:\WINDOWS\System32\drivers\dxgthk.sys 4096 bytes (Microsoft Corporation, DirectX Graphics Driver Thunk)
0xB2D6F000 C:\WINDOWS\System32\Drivers\Null.SYS 4096 bytes (Microsoft Corporation, NULL Driver)
0xBA671000 C:\WINDOWS\system32\DRIVERS\OPRGHDLR.SYS 4096 bytes (Microsoft Corporation, ACPI Operation Registration Driver)
0xBA670000 pciide.sys 4096 bytes (Microsoft Corporation, Allgemeiner PCI IDE Bustreiber)
0xBA740000 C:\Programme\SMI2\smi2.sys 4096 bytes (IBM Corp., SMI BIOS driver)
0xBA737000 C:\Programme\ThinkVantage Fingerprint Software\smihlp.sys 4096 bytes (UPEK Inc., SMI helper driver)
0xBA758000 C:\WINDOWS\system32\SVKP.sys 4096 bytes (AntiCracking, SVKP driver for NT)
==============================================
>Stealth
==============================================
==============================================
>Hooks
==============================================
ntkrnlpa.exe+0x0006ECEE, Type: Inline - RelativeJump 0x80545CEE-->80545CF5 [ntkrnlpa.exe]
[3692]explorer.exe-->advapi32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x77DA1218-->5CF07774 [shimeng.dll]
[3692]explorer.exe-->crypt32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x77A51188-->5CF07774 [shimeng.dll]
[3692]explorer.exe-->gdi32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x77EF10B4-->5CF07774 [shimeng.dll]
[3692]explorer.exe-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x01001268-->5CF07774 [shimeng.dll]
[3692]explorer.exe-->shell32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x7E6715A4-->5CF07774 [shimeng.dll]
[3692]explorer.exe-->user32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x7E36133C-->5CF07774 [shimeng.dll]
[3692]explorer.exe-->wininet.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x408B14B0-->5CF07774 [shimeng.dll]
[3692]explorer.exe-->ws2_32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x71A1109C-->5CF07774 [shimeng.dll]
         

Schritt 3: TDSS Killer ausführen

Der Killer ist diesmal angelaufen und hat so wie ich das sehe ganze Arbeit geleistet. Anbei das log:

Code: Alles auswählenAufklappen

ATTFilter

2011/07/13 10:55:53.0328 4840	TDSS rootkit removing tool 2.5.11.0 Jul 11 2011 16:56:56
2011/07/13 10:55:53.0343 4840	================================================================================
2011/07/13 10:55:53.0343 4840	SystemInfo:
2011/07/13 10:55:53.0343 4840	
2011/07/13 10:55:53.0343 4840	OS Version: 5.1.2600 ServicePack: 3.0
2011/07/13 10:55:53.0343 4840	Product type: Workstation
2011/07/13 10:55:53.0343 4840	ComputerName: WEYENETH
2011/07/13 10:55:53.0343 4840	UserName: Stephen
2011/07/13 10:55:53.0343 4840	Windows directory: C:\WINDOWS
2011/07/13 10:55:53.0343 4840	System windows directory: C:\WINDOWS
2011/07/13 10:55:53.0359 4840	Processor architecture: Intel x86
2011/07/13 10:55:53.0359 4840	Number of processors: 2
2011/07/13 10:55:53.0359 4840	Page size: 0x1000
2011/07/13 10:55:53.0359 4840	Boot type: Normal boot
2011/07/13 10:55:53.0359 4840	================================================================================
2011/07/13 10:55:53.0906 4840	Initialize success
2011/07/13 10:56:10.0390 3464	================================================================================
2011/07/13 10:56:10.0390 3464	Scan started
2011/07/13 10:56:10.0390 3464	Mode: Manual; 
2011/07/13 10:56:10.0390 3464	================================================================================
2011/07/13 10:56:10.0750 3464	61883           (914a9709fc3bf419ad2f85547f2a4832) C:\WINDOWS\system32\DRIVERS\61883.sys
2011/07/13 10:56:10.0828 3464	abp480n5        (6abb91494fe6c59089b9336452ab2ea3) C:\WINDOWS\system32\DRIVERS\ABP480N5.SYS
2011/07/13 10:56:10.0859 3464	ac97intc        (0f2d66d5f08ebe2f77bb904288dcf6f0) C:\WINDOWS\system32\drivers\ac97intc.sys
2011/07/13 10:56:10.0921 3464	ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/07/13 10:56:10.0953 3464	ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
2011/07/13 10:56:11.0000 3464	ADIHdAudAddService (66614b9fdc7e74ab736a84d89f7b06b6) C:\WINDOWS\system32\drivers\ADIHdAud.sys
2011/07/13 10:56:11.0062 3464	adpu160m        (9a11864873da202c996558b2106b0bbc) C:\WINDOWS\system32\DRIVERS\adpu160m.sys
2011/07/13 10:56:11.0109 3464	AEAudioService  (c984de22ed71414abc42c1e03d412e33) C:\WINDOWS\system32\drivers\AEAudio.sys
2011/07/13 10:56:11.0140 3464	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/07/13 10:56:11.0171 3464	AegisP          (91f3df93f40a74d222cd166fe95db633) C:\WINDOWS\system32\DRIVERS\AegisP.sys
2011/07/13 10:56:11.0250 3464	AFD             (355556d9e580915118cd7ef736653a89) C:\WINDOWS\System32\drivers\afd.sys
2011/07/13 10:56:11.0421 3464	AFS2K           (c719341a1cf6afd4fa0808ae3d23d6a3) C:\WINDOWS\system32\drivers\AFS2K.sys
2011/07/13 10:56:11.0531 3464	agp440          (08fd04aa961bdc77fb983f328334e3d7) C:\WINDOWS\system32\DRIVERS\agp440.sys
2011/07/13 10:56:11.0562 3464	agpCPQ          (03a7e0922acfe1b07d5db2eeb0773063) C:\WINDOWS\system32\DRIVERS\agpCPQ.sys
2011/07/13 10:56:11.0625 3464	Aha154x         (c23ea9b5f46c7f7910db3eab648ff013) C:\WINDOWS\system32\DRIVERS\aha154x.sys
2011/07/13 10:56:11.0656 3464	aic78u2         (19dd0fb48b0c18892f70e2e7d61a1529) C:\WINDOWS\system32\DRIVERS\aic78u2.sys
2011/07/13 10:56:11.0687 3464	aic78xx         (b7fe594a7468aa0132deb03fb8e34326) C:\WINDOWS\system32\DRIVERS\aic78xx.sys
2011/07/13 10:56:11.0750 3464	AliIde          (1140ab9938809700b46bb88e46d72a96) C:\WINDOWS\system32\DRIVERS\aliide.sys
2011/07/13 10:56:11.0781 3464	alim1541        (cb08aed0de2dd889a8a820cd8082d83c) C:\WINDOWS\system32\DRIVERS\alim1541.sys
2011/07/13 10:56:11.0812 3464	amdagp          (95b4fb835e28aa1336ceeb07fd5b9398) C:\WINDOWS\system32\DRIVERS\amdagp.sys
2011/07/13 10:56:11.0843 3464	amsint          (79f5add8d24bd6893f2903a3e2f3fad6) C:\WINDOWS\system32\DRIVERS\amsint.sys
2011/07/13 10:56:11.0875 3464	ANC             (11ab185a7af224800bbfb5b836974a17) C:\WINDOWS\system32\drivers\ANC.SYS
2011/07/13 10:56:11.0921 3464	AR5211          (1b778efe22771e827ee24b334084a1f5) C:\WINDOWS\system32\DRIVERS\ar5211.sys
2011/07/13 10:56:12.0109 3464	Arp1394         (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2011/07/13 10:56:12.0140 3464	asc             (62d318e9a0c8fc9b780008e724283707) C:\WINDOWS\system32\DRIVERS\asc.sys
2011/07/13 10:56:12.0171 3464	asc3350p        (69eb0cc7714b32896ccbfd5edcbea447) C:\WINDOWS\system32\DRIVERS\asc3350p.sys
2011/07/13 10:56:12.0187 3464	asc3550         (5d8de112aa0254b907861e9e9c31d597) C:\WINDOWS\system32\DRIVERS\asc3550.sys
2011/07/13 10:56:12.0250 3464	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/07/13 10:56:12.0265 3464	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/07/13 10:56:12.0453 3464	ati2mtag        (07ac9a98ea70b5a6655a5797174bd282) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
2011/07/13 10:56:12.0531 3464	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/07/13 10:56:12.0703 3464	atmeltpm        (dbf0d7e2df33b469eb55406fea759350) C:\WINDOWS\system32\DRIVERS\atmeltpm.sys
2011/07/13 10:56:12.0750 3464	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/07/13 10:56:12.0796 3464	Avc             (f8e6956a614f15a0860474c5e2a7de6b) C:\WINDOWS\system32\DRIVERS\avc.sys
2011/07/13 10:56:12.0843 3464	b57w2k          (c0acd392ece55784884cc208aafa06ce) C:\WINDOWS\system32\DRIVERS\b57xp32.sys
2011/07/13 10:56:12.0875 3464	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/07/13 10:56:12.0953 3464	BTKRNL          (4ebd4ebff01617fbda6ce7963f150918) C:\WINDOWS\system32\DRIVERS\btkrnl.sys
2011/07/13 10:56:13.0015 3464	BTWUSB          (589400f357f6cb156a6f804035514da0) C:\WINDOWS\system32\Drivers\btwusb.sys
2011/07/13 10:56:13.0046 3464	cbidf           (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\DRIVERS\cbidf2k.sys
2011/07/13 10:56:13.0062 3464	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/07/13 10:56:13.0109 3464	CCDECODE        (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2011/07/13 10:56:13.0171 3464	cd20xrnt        (f3ec03299634490e97bbce94cd2954c7) C:\WINDOWS\system32\DRIVERS\cd20xrnt.sys
2011/07/13 10:56:13.0187 3464	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/07/13 10:56:13.0265 3464	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/07/13 10:56:13.0390 3464	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/07/13 10:56:13.0453 3464	CmBatt          (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
2011/07/13 10:56:13.0484 3464	CmdIde          (c687f81290303d90099b027a6474f99f) C:\WINDOWS\system32\DRIVERS\cmdide.sys
2011/07/13 10:56:13.0500 3464	Compbatt        (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
2011/07/13 10:56:13.0546 3464	Cpqarray        (3ee529119eed34cd212a215e8c40d4b6) C:\WINDOWS\system32\DRIVERS\cpqarray.sys
2011/07/13 10:56:13.0609 3464	CVirtA          (5c706c06c1279952d2cc1a609ca948bf) C:\WINDOWS\system32\DRIVERS\CVirtA.sys
2011/07/13 10:56:13.0687 3464	CVPNDRVA        (03516f6d3b8c91c919de622196a84bce) C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
2011/07/13 10:56:13.0718 3464	dac2w2k         (e550e7418984b65a78299d248f0a7f36) C:\WINDOWS\system32\DRIVERS\dac2w2k.sys
2011/07/13 10:56:13.0750 3464	dac960nt        (683789caa3864eb46125ae86ff677d34) C:\WINDOWS\system32\DRIVERS\dac960nt.sys
2011/07/13 10:56:13.0765 3464	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/07/13 10:56:13.0843 3464	DLABOIOM        (efae981c8ba3dad4103a76bcb5955b07) C:\WINDOWS\system32\DLA\DLABOIOM.SYS
2011/07/13 10:56:13.0859 3464	DLACDBHM        (8d45ac148fd8c1a25204aeca1397fa7e) C:\WINDOWS\system32\Drivers\DLACDBHM.SYS
2011/07/13 10:56:13.0890 3464	DLADResN        (75f07b1ba9a358e401856cf51b6a65d0) C:\WINDOWS\system32\DLA\DLADResN.SYS
2011/07/13 10:56:13.0921 3464	DLAIFS_M        (2aef49904bde7398d0f09b6a603738ef) C:\WINDOWS\system32\DLA\DLAIFS_M.SYS
2011/07/13 10:56:13.0953 3464	DLAOPIOM        (46fa268a829384256179f4ccb6eb308f) C:\WINDOWS\system32\DLA\DLAOPIOM.SYS
2011/07/13 10:56:13.0968 3464	DLAPoolM        (26e89839af248625a4e7c4cf5873375d) C:\WINDOWS\system32\DLA\DLAPoolM.SYS
2011/07/13 10:56:14.0031 3464	DLARTL_N        (94accf8f7b87fbeaa27266927319e6ba) C:\WINDOWS\system32\Drivers\DLARTL_N.SYS
2011/07/13 10:56:14.0109 3464	DLAUDFAM        (5e914bd7f68dde3fb4bffe005162c1e6) C:\WINDOWS\system32\DLA\DLAUDFAM.SYS
2011/07/13 10:56:14.0156 3464	DLAUDF_M        (8c3cfb22a7fb3be67e0c321fa10b8b50) C:\WINDOWS\system32\DLA\DLAUDF_M.SYS
2011/07/13 10:56:14.0250 3464	dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/07/13 10:56:14.0296 3464	dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/07/13 10:56:14.0312 3464	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/07/13 10:56:14.0359 3464	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/07/13 10:56:14.0421 3464	DNE             (8101650993b2f79118d2bf24402c390d) C:\WINDOWS\system32\DRIVERS\dne2000.sys
2011/07/13 10:56:14.0484 3464	dpti2o          (40f3b93b4e5b0126f2f5c0a7a5e22660) C:\WINDOWS\system32\DRIVERS\dpti2o.sys
2011/07/13 10:56:14.0515 3464	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/07/13 10:56:14.0578 3464	DRVMCDB         (ab6c5c26fff9b3c456aeaf7e0093c2fe) C:\WINDOWS\system32\Drivers\DRVMCDB.SYS
2011/07/13 10:56:14.0718 3464	DRVNDDM         (4a307ade1638d9358b6eb90076481cc6) C:\WINDOWS\system32\Drivers\DRVNDDM.SYS
2011/07/13 10:56:14.0765 3464	E100B           (a6de5342417fec3c0aa8efebb899c431) C:\WINDOWS\system32\DRIVERS\e100b325.sys
2011/07/13 10:56:14.0828 3464	EGATHDRV        (2d0fc676d159525f6cd74c3302c7a61c) C:\WINDOWS\SYSTEM32\EGATHDRV.SYS
2011/07/13 10:56:14.0921 3464	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/07/13 10:56:14.0968 3464	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/07/13 10:56:15.0015 3464	Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/07/13 10:56:15.0062 3464	FixTDSS         (77d6ffaa3010b66fb4692532d75a585f) C:\WINDOWS\system32\drivers\FixTDSS.sys
2011/07/13 10:56:15.0093 3464	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/07/13 10:56:15.0140 3464	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/07/13 10:56:15.0171 3464	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/07/13 10:56:15.0218 3464	Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/07/13 10:56:15.0265 3464	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/07/13 10:56:15.0421 3464	HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/07/13 10:56:15.0484 3464	HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/07/13 10:56:15.0546 3464	hpn             (b028377dea0546a5fcfba928a8aefae0) C:\WINDOWS\system32\DRIVERS\hpn.sys
2011/07/13 10:56:15.0593 3464	HPZid412        (287a63bd8509bd78e7978823b38afa81) C:\WINDOWS\system32\DRIVERS\HPZid412.sys
2011/07/13 10:56:15.0625 3464	HPZipr12        (0b4fda2657c3e0315eaa57f9c6d4fd1f) C:\WINDOWS\system32\DRIVERS\HPZipr12.sys
2011/07/13 10:56:15.0640 3464	HPZius12        (29559db25258b60510a60c4e470fce32) C:\WINDOWS\system32\DRIVERS\HPZius12.sys
2011/07/13 10:56:15.0718 3464	HSF_DPV         (b1fc0b027df4374f9e5b796cfdf797b3) C:\WINDOWS\system32\DRIVERS\hsx_dpv.sys
2011/07/13 10:56:15.0812 3464	HSXHWAZL        (3af45f5b4157c88ffae24d89ba408302) C:\WINDOWS\system32\DRIVERS\hsxhwazl.sys
2011/07/13 10:56:15.0890 3464	HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/07/13 10:56:16.0062 3464	i2omgmt         (9368670bd426ebea5e8b18a62416ec28) C:\WINDOWS\system32\drivers\i2omgmt.sys
2011/07/13 10:56:16.0078 3464	i2omp           (f10863bf1ccc290babd1a09188ae49e0) C:\WINDOWS\system32\DRIVERS\i2omp.sys
2011/07/13 10:56:16.0125 3464	i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/07/13 10:56:16.0187 3464	iaStor          (309c4d86d989fb1fcf64bd30dc81c51b) C:\WINDOWS\system32\DRIVERS\iaStor.sys
2011/07/13 10:56:16.0234 3464	ibmfilter       (bd1ddf774e7fd633d701b1fb69b9f081) C:\WINDOWS\system32\drivers\ibmfilter.sys
2011/07/13 10:56:16.0250 3464	IBMPMDRV        (067a88764593b1f46a6cfb00c69c11eb) C:\WINDOWS\system32\DRIVERS\ibmpmdrv.sys
2011/07/13 10:56:16.0281 3464	IBMTPCHK        (bfc9f3adaad74e13f9ce16c8bd336f95) C:\WINDOWS\system32\Drivers\IBMBLDID.sys
2011/07/13 10:56:16.0312 3464	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/07/13 10:56:16.0343 3464	ini910u         (4a40e045faee58631fd8d91afc620719) C:\WINDOWS\system32\DRIVERS\ini910u.sys
2011/07/13 10:56:16.0390 3464	IntelIde        (69c4e3c9e67a1f103b94e14fdd5f3213) C:\WINDOWS\system32\DRIVERS\intelide.sys
2011/07/13 10:56:16.0453 3464	intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/07/13 10:56:16.0484 3464	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/07/13 10:56:16.0671 3464	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/07/13 10:56:16.0734 3464	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/07/13 10:56:16.0765 3464	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/07/13 10:56:16.0812 3464	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/07/13 10:56:16.0843 3464	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/07/13 10:56:16.0890 3464	isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/07/13 10:56:16.0953 3464	Iviaspi         (f59c3569a2f2c464bb78cb1bdcdca55e) C:\WINDOWS\system32\drivers\iviaspi.sys
2011/07/13 10:56:16.0984 3464	Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/07/13 10:56:17.0015 3464	kbdhid          (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/07/13 10:56:17.0062 3464	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/07/13 10:56:17.0093 3464	KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/07/13 10:56:17.0187 3464	MBAMSwissArmy   (b309912717c29fc67e1ba4730a82b6dd) C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2011/07/13 10:56:17.0343 3464	mdmxsdk         (e246a32c445056996074a397da56e815) C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys
2011/07/13 10:56:17.0453 3464	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/07/13 10:56:17.0500 3464	Modem           (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/07/13 10:56:17.0546 3464	Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/07/13 10:56:17.0593 3464	mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/07/13 10:56:17.0609 3464	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/07/13 10:56:17.0656 3464	mraid35x        (3f4bb95e5a44f3be34824e8e7caf0737) C:\WINDOWS\system32\DRIVERS\mraid35x.sys
2011/07/13 10:56:17.0687 3464	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/07/13 10:56:17.0765 3464	MRxSmb          (0dc719e9b15e902346e87e9dcd5751fa) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/07/13 10:56:17.0859 3464	MSDV            (1477849772712bac69c144dcf2c9ce81) C:\WINDOWS\system32\DRIVERS\msdv.sys
2011/07/13 10:56:17.0875 3464	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/07/13 10:56:17.0921 3464	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/07/13 10:56:18.0078 3464	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/07/13 10:56:18.0109 3464	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/07/13 10:56:18.0171 3464	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/07/13 10:56:18.0218 3464	MSTEE           (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
2011/07/13 10:56:18.0265 3464	Mup             (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
2011/07/13 10:56:18.0312 3464	NABTSFEC        (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2011/07/13 10:56:18.0359 3464	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/07/13 10:56:18.0421 3464	NdisIP          (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2011/07/13 10:56:18.0484 3464	NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/07/13 10:56:18.0515 3464	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/07/13 10:56:18.0546 3464	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/07/13 10:56:18.0593 3464	NDProxy         (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/07/13 10:56:18.0765 3464	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/07/13 10:56:18.0796 3464	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/07/13 10:56:18.0859 3464	NIC1394         (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
2011/07/13 10:56:18.0875 3464	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/07/13 10:56:18.0921 3464	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/07/13 10:56:19.0015 3464	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/07/13 10:56:19.0156 3464	nv              (2b298519edbfcf451d43e0f1e8f1006d) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2011/07/13 10:56:19.0328 3464	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/07/13 10:56:19.0375 3464	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/07/13 10:56:19.0421 3464	ohci1394        (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2011/07/13 10:56:19.0468 3464	Parport         (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/07/13 10:56:19.0515 3464	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/07/13 10:56:19.0546 3464	ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/07/13 10:56:19.0578 3464	PCI             (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/07/13 10:56:19.0625 3464	PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/07/13 10:56:19.0671 3464	Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\DRIVERS\pcmcia.sys
2011/07/13 10:56:19.0796 3464	perc2           (6c14b9c19ba84f73d3a86dba11133101) C:\WINDOWS\system32\DRIVERS\perc2.sys
2011/07/13 10:56:19.0828 3464	perc2hib        (f50f7c27f131afe7beba13e14a3b9416) C:\WINDOWS\system32\DRIVERS\perc2hib.sys
2011/07/13 10:56:19.0890 3464	pmem            (fa292805788528c083f416e151b60ab6) C:\WINDOWS\System32\drivers\pmemnt.sys
2011/07/13 10:56:19.0921 3464	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/07/13 10:56:20.0109 3464	PrivateDisk     (e580dd7d54415905bb0bab306b659fdf) C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\PrivateDiskM.sys
2011/07/13 10:56:20.0234 3464	PROCDD          (6f9e6e874fd74ee6dd0bbecde9d3f795) C:\WINDOWS\system32\DRIVERS\PROCDD.SYS
2011/07/13 10:56:20.0281 3464	Processor       (2cb55427c58679f49ad600fccba76360) C:\WINDOWS\system32\DRIVERS\processr.sys
2011/07/13 10:56:20.0328 3464	psadd           (76df9412c1556fca3d6d94b2c9d94d6b) C:\WINDOWS\system32\Drivers\psadd.sys
2011/07/13 10:56:20.0375 3464	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/07/13 10:56:20.0484 3464	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/07/13 10:56:20.0546 3464	PxHelp20        (183ef96bcc2ec3d5294cb2c2c0ecbcd1) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/07/13 10:56:20.0578 3464	ql1080          (0a63fb54039eb5662433caba3b26dba7) C:\WINDOWS\system32\DRIVERS\ql1080.sys
2011/07/13 10:56:20.0609 3464	Ql10wnt         (6503449e1d43a0ff0201ad5cb1b8c706) C:\WINDOWS\system32\DRIVERS\ql10wnt.sys
2011/07/13 10:56:20.0640 3464	ql12160         (156ed0ef20c15114ca097a34a30d8a01) C:\WINDOWS\system32\DRIVERS\ql12160.sys
2011/07/13 10:56:20.0671 3464	ql1240          (70f016bebde6d29e864c1230a07cc5e6) C:\WINDOWS\system32\DRIVERS\ql1240.sys
2011/07/13 10:56:20.0703 3464	ql1280          (907f0aeea6bc451011611e732bd31fcf) C:\WINDOWS\system32\DRIVERS\ql1280.sys
2011/07/13 10:56:20.0734 3464	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/07/13 10:56:20.0765 3464	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/07/13 10:56:20.0796 3464	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/07/13 10:56:20.0812 3464	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/07/13 10:56:20.0843 3464	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/07/13 10:56:20.0984 3464	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/07/13 10:56:21.0046 3464	rdpdr           (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/07/13 10:56:21.0109 3464	RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/07/13 10:56:21.0140 3464	redbook         (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/07/13 10:56:21.0234 3464	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/07/13 10:56:21.0296 3464	serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/07/13 10:56:21.0328 3464	Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/07/13 10:56:21.0359 3464	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\DRIVERS\sfloppy.sys
2011/07/13 10:56:21.0421 3464	ShockMgr        (1a9b76c8e0d77bcaca24fdf36781b59d) C:\WINDOWS\system32\drivers\ShockMgr.sys
2011/07/13 10:56:21.0484 3464	Shockprf        (70d82eb75e7e3b2980d6bf5b26051f4b) C:\WINDOWS\system32\drivers\Shockprf.sys
2011/07/13 10:56:21.0546 3464	sisagp          (6b33d0ebd30db32e27d1d78fe946a754) C:\WINDOWS\system32\DRIVERS\sisagp.sys
2011/07/13 10:56:21.0593 3464	SLIP            (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2011/07/13 10:56:21.0703 3464	Smapint         (26341d0dd225d19fd50e0ee3c3c77502) C:\WINDOWS\system32\drivers\Smapint.sys
2011/07/13 10:56:21.0765 3464	smi2            (3ba9d0c8a0fbd9fb4029b6cd87c8ce0b) C:\Programme\SMI2\smi2.sys
2011/07/13 10:56:21.0812 3464	smihlp          (519b79e94950b9a13eb95cb01d932e8d) C:\Programme\ThinkVantage Fingerprint Software\smihlp.sys
2011/07/13 10:56:21.0875 3464	Sparrow         (83c0f71f86d3bdaf915685f3d568b20e) C:\WINDOWS\system32\DRIVERS\sparrow.sys
2011/07/13 10:56:21.0953 3464	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/07/13 10:56:21.0984 3464	sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/07/13 10:56:22.0062 3464	Srv             (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/07/13 10:56:22.0203 3464	streamip        (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2011/07/13 10:56:22.0250 3464	SVKP            (f05028b163b92c302a74409d683ac9b0) C:\WINDOWS\system32\SVKP.sys
2011/07/13 10:56:22.0375 3464	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/07/13 10:56:22.0406 3464	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/07/13 10:56:22.0453 3464	symc810         (1ff3217614018630d0a6758630fc698c) C:\WINDOWS\system32\DRIVERS\symc810.sys
2011/07/13 10:56:22.0515 3464	symc8xx         (070e001d95cf725186ef8b20335f933c) C:\WINDOWS\system32\DRIVERS\symc8xx.sys
2011/07/13 10:56:22.0546 3464	sym_hi          (80ac1c4abbe2df3b738bf15517a51f2c) C:\WINDOWS\system32\DRIVERS\sym_hi.sys
2011/07/13 10:56:22.0578 3464	sym_u3          (bf4fab949a382a8e105f46ebb4937058) C:\WINDOWS\system32\DRIVERS\sym_u3.sys
2011/07/13 10:56:22.0593 3464	SynTP           (7c02db7416d52c02b131d0e3a8d2337c) C:\WINDOWS\system32\DRIVERS\SynTP.sys
2011/07/13 10:56:22.0671 3464	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/07/13 10:56:22.0750 3464	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/07/13 10:56:22.0890 3464	TcUsb           (fc6fe02f400308606a911640e72326b5) C:\WINDOWS\system32\Drivers\tcusb.sys
2011/07/13 10:56:22.0921 3464	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/07/13 10:56:22.0968 3464	TDSMAPI         (564b337034271b7bddcabfddc91c6b7a) C:\WINDOWS\system32\drivers\TDSMAPI.SYS
2011/07/13 10:56:23.0000 3464	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/07/13 10:56:23.0062 3464	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/07/13 10:56:23.0109 3464	TosIde          (d213a9247dc347f305a2d4cc9b951487) C:\WINDOWS\system32\DRIVERS\toside.sys
2011/07/13 10:56:23.0140 3464	TPHKDRV         (29f3601d4233a53f819010fee8c04a60) C:\WINDOWS\system32\drivers\TPHKDRV.sys
2011/07/13 10:56:23.0187 3464	TPPWRIF         (44672de6cea9569c21c4b7a8d2560750) C:\WINDOWS\system32\drivers\Tppwrif.sys
2011/07/13 10:56:23.0234 3464	TSMAPIP         (f2aba3066d7921d7fcdbd66dea88be11) C:\WINDOWS\system32\drivers\TSMAPIP.SYS
2011/07/13 10:56:23.0328 3464	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/07/13 10:56:23.0343 3464	ultra           (1b698a51cd528d8da4ffaed66dfc51b9) C:\WINDOWS\system32\DRIVERS\ultra.sys
2011/07/13 10:56:23.0421 3464	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/07/13 10:56:23.0500 3464	usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/07/13 10:56:23.0531 3464	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/07/13 10:56:23.0640 3464	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/07/13 10:56:23.0671 3464	usbprint        (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/07/13 10:56:23.0703 3464	usbscan         (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/07/13 10:56:23.0718 3464	USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/07/13 10:56:23.0734 3464	usbuhci         (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/07/13 10:56:23.0765 3464	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/07/13 10:56:23.0796 3464	viaagp          (754292ce5848b3738281b4f3607eaef4) C:\WINDOWS\system32\DRIVERS\viaagp.sys
2011/07/13 10:56:23.0843 3464	ViaIde          (3b3efcda263b8ac14fdf9cbdd0791b2e) C:\WINDOWS\system32\DRIVERS\viaide.sys
2011/07/13 10:56:23.0875 3464	VolSnap         (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/07/13 10:56:23.0953 3464	vsdatant        (27b3dd12a19eec50220df15b64913dda) C:\WINDOWS\system32\vsdatant.sys
2011/07/13 10:56:24.0031 3464	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/07/13 10:56:24.0078 3464	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/07/13 10:56:24.0171 3464	winachsf        (11ec1afceb5c917ce73d3c301ff4291e) C:\WINDOWS\system32\DRIVERS\hsx_cnxt.sys
2011/07/13 10:56:24.0421 3464	WSTCODEC        (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2011/07/13 10:56:24.0484 3464	WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/07/13 10:56:24.0515 3464	WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/07/13 10:56:24.0593 3464	MBR (0x1B8)     (6f9a1d528242bc09104b85e0becf5554) \Device\Harddisk0\DR0
2011/07/13 10:56:24.0609 3464	\Device\Harddisk0\DR0 - detected Rootkit.Boot.SST.a (0)
2011/07/13 10:56:24.0609 3464	Boot (0x1200)   (e21f79a86536e7c80ad7525604af25f8) \Device\Harddisk0\DR0\Partition0
2011/07/13 10:56:24.0625 3464	================================================================================
2011/07/13 10:56:24.0625 3464	Scan finished
2011/07/13 10:56:24.0625 3464	================================================================================
2011/07/13 10:56:24.0640 3052	Detected object count: 1
2011/07/13 10:56:24.0640 3052	Actual detected object count: 1
2011/07/13 10:57:15.0343 3052	\Device\Harddisk0\DR0 (Rootkit.Boot.SST.a) - will be cured after reboot
2011/07/13 10:57:15.0343 3052	\Device\Harddisk0\DR0 - ok
2011/07/13 10:57:15.0343 3052	Rootkit.Boot.SST.a(\Device\Harddisk0\DR0) - User select action: Cure 
2011/07/13 10:57:28.0203 4820	Deinitialize success
         

Gruss
West79

Hallo West79,

Zitat:

2011/07/13 10:56:24.0609 3464 \Device\Harddisk0\DR0 - detected Rootkit.Boot.SST.a (0)

Ach sie an, da ist ja das Rootkit, das ich vermutet habe.





Schritt # 1: Norton Removal Tool

• Downloade dir Norton_Removal-Tool.exe auf deinen Desktop.
• Starte das Programm.
  Benutzer von Windows Vista und 7: Rechtsklick -> Als Administrator ausführen
• Folge den Anweisungen auf dem Bildschirm.
• Starte deinen Computer nach der Bereinigung neu auf.

Schritt # 2: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Nein.
• Klicke auf Scan
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 3: Systemscan mit OTL

• Starte bitte OTL.exe.
• Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
• Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile von aswMBR und
• die beiden neuen Logfiles von OTL.

Hallo

Schritt 1 - 3 liefen ohne weitere Probleme.

Hier das log von aswMBR

Code: Alles auswählenAufklappen

ATTFilter

aswMBR version 0.9.7.707 Copyright(c) 2011 AVAST Software
Run date: 2011-07-13 21:37:04
-----------------------------
21:37:04.968    OS Version: Windows 5.1.2600 Service Pack 3
21:37:04.968    Number of processors: 2 586 0xE08
21:37:04.968    ComputerName: WEYENETH  UserName: Stephen
21:37:05.625    Initialize success
21:37:30.375    AVAST engine defs: 11071101
21:37:38.078    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
21:37:38.078    Disk 0 Vendor: HTS54106 MB3I Size: 57231MB BusType: 3
21:37:38.093    Disk 0 MBR read successfully
21:37:38.093    Disk 0 MBR scan
21:37:38.109    Disk 0 unknown MBR code
21:37:38.109    Disk 0 scanning sectors +117210240
21:37:38.250    Disk 0 scanning C:\WINDOWS\system32\drivers
21:37:57.421    Service scanning
21:37:58.687    Disk 0 trace - called modules:
21:37:58.703    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll iaStor.sys 
21:37:58.703    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a395ab8]
21:37:58.718    3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\00000094[0x8a380a00]
21:37:58.718    5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x8a378030]
21:37:59.203    AVAST engine scan C:\WINDOWS
22:10:17.343    AVAST engine scan C:\Dokumente und Einstellungen\sephen
22:30:19.140    AVAST engine scan C:\Dokumente und Einstellungen\All Users
22:33:02.875    Scan finished successfully
22:38:51.390    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\sephen\Desktop\MBR.dat"
22:38:51.390    The log file has been saved successfully to "C:\Dokumente und Einstellungen\sephen\Desktop\aswMBR 110713.txt"
         

Hier das OTL.txt

Code: Alles auswählenAufklappen

ATTFilter

OTL logfile created on: 13.07.2011 22:41:36 - Run 3
OTL by OldTimer - Version 3.2.26.1     Folder = C:\Dokumente und Einstellungen\sephen\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy
 
1.50 Gb Total Physical Memory | 0.85 Gb Available Physical Memory | 56.50% Memory free
2.35 Gb Paging File | 1.87 Gb Available in Paging File | 79.67% Paging File free
Paging file location(s): C:\pagefile.sys 1024 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 50.91 Gb Total Space | 8.97 Gb Free Space | 17.63% Space Free | Partition Type: NTFS
Drive D: | 135.06 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: WEYENETH | User Name: Stephen | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.07.10 16:16:42 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\sephen\Desktop\OTL.exe
PRC - [2011.03.03 13:10:56 | 001,175,556 | ---- | M] (NCH Software) -- C:\Programme\NCH Software\BroadCam\broadcam.exe
PRC - [2010.09.22 18:11:26 | 000,640,440 | ---- | M] (Adobe Systems Inc.) -- C:\Programme\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
PRC - [2010.09.03 14:18:32 | 003,593,728 | ---- | M] (J. Rathlev, IEAP, Uni-Kiel) -- C:\Programme\Personal Backup 5\Persbackup.exe
PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2006.11.10 11:46:26 | 001,504,304 | ---- | M] (Cisco Systems, Inc.) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
PRC - [2006.04.17 13:13:00 | 000,094,208 | ---- | M] (Lenovo) -- C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
PRC - [2006.04.17 13:12:28 | 000,151,552 | ---- | M] (Lenovo) -- C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
PRC - [2006.04.17 13:12:26 | 000,040,960 | ---- | M] () -- C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
PRC - [2006.04.17 13:09:10 | 000,409,600 | ---- | M] (Lenovo) -- C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
PRC - [2006.04.17 12:59:10 | 000,098,304 | ---- | M] (Lenovo) -- C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
PRC - [2006.03.23 02:03:00 | 000,073,728 | ---- | M] (Lenovo Group Limited) -- C:\WINDOWS\system32\IPSSVC.EXE
PRC - [2006.03.23 02:03:00 | 000,069,632 | ---- | M] (Lenovo Group Limited) -- C:\Programme\Lenovo\AwayTask\AwaySch.EXE
PRC - [2006.03.01 11:50:06 | 000,626,810 | ---- | M] (Diskeeper Corporation) -- C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
PRC - [2006.02.14 14:17:28 | 000,110,592 | ---- | M] (Synaptics, Inc.) -- C:\Programme\Synaptics\SynTP\SynTPLpr.exe
PRC - [2006.01.17 10:37:24 | 000,266,295 | ---- | M] (Broadcom Corporation.) -- C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
PRC - [2006.01.02 17:41:22 | 000,045,056 | ---- | M] (ATI Technologies Inc.) -- C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
PRC - [2005.12.21 18:34:58 | 000,077,824 | ---- | M] () -- C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
PRC - [2005.12.21 18:27:00 | 000,032,768 | ---- | M] () -- C:\Programme\IBM ThinkVantage\Common\Logger\logmon.exe
PRC - [2005.12.21 18:20:56 | 001,384,448 | ---- | M] () -- C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
PRC - [2005.12.21 18:08:02 | 001,996,336 | ---- | M] (Lenovo Group Limited) -- C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe
PRC - [2005.12.21 17:17:54 | 000,722,480 | ---- | M] (IBM) -- C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
PRC - [2005.11.15 13:13:24 | 000,049,152 | R--- | M] (Utimaco Safeware AG) -- C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe
PRC - [2005.11.08 16:07:02 | 000,036,864 | ---- | M] () -- C:\WINDOWS\system32\acs.exe
PRC - [2005.10.28 20:08:32 | 000,335,872 | ---- | M] (Google Inc.) -- C:\Programme\Picasa2\PicasaMediaDetector.exe
PRC - [2005.10.26 00:44:30 | 000,086,016 | ---- | M] (Lenovo Group Limited) -- C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
PRC - [2005.08.01 17:32:40 | 000,040,960 | ---- | M] () -- C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe
PRC - [2005.08.01 05:10:00 | 000,122,940 | ---- | M] (Sonic Solutions) -- C:\WINDOWS\system32\DLA\DLACTRLW.EXE
PRC - [2005.07.05 14:57:12 | 000,077,824 | ---- | M] () -- C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
PRC - [2005.06.06 21:26:22 | 000,032,768 | ---- | M] () -- C:\WINDOWS\system32\TpKmpSvc.exe
PRC - [2004.07.27 16:50:18 | 000,081,920 | ---- | M] (InstallShield Software Corporation) -- C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
PRC - [2003.10.09 13:17:48 | 000,126,976 | ---- | M] (hp) -- C:\Programme\HP\Digital Imaging\Promotions\HPpromo.exe
PRC - [2003.06.25 12:24:48 | 000,049,152 | ---- | M] (Hewlett-Packard) -- C:\Programme\HP\HP Software Update\hpwuSchd.exe
PRC - [1998.04.15 16:14:46 | 000,082,944 | ---- | M] (Corel Corporation) -- C:\Corel\Graphics8\Programs\MFIndexer.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.07.10 16:16:42 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\sephen\Desktop\OTL.exe
MOD - [2010.08.23 18:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
MOD - [2006.03.23 02:03:00 | 000,086,016 | ---- | M] (Lenovo Group Limited) -- C:\WINDOWS\system32\PROCHLP.DLL
MOD - [2006.02.14 14:17:12 | 000,065,536 | ---- | M] (Synaptics, Inc.) -- C:\WINDOWS\system32\SynTPFcs.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] --  -- (PsaSrv)
SRV - [2011.03.03 13:10:56 | 001,175,556 | ---- | M] (NCH Software) [Auto | Running] -- C:\Programme\NCH Software\BroadCam\broadcam.exe -- (BroadCamService)
SRV - [2010.08.06 10:07:57 | 000,651,720 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2006.11.10 11:46:26 | 001,504,304 | ---- | M] (Cisco Systems, Inc.) [Auto | Running] -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe -- (CVPND)
SRV - [2006.04.17 13:12:28 | 000,151,552 | ---- | M] (Lenovo) [Auto | Running] -- C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe -- (AcSvc)
SRV - [2006.04.17 13:12:26 | 000,040,960 | ---- | M] () [Auto | Running] -- C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe -- (AcPrfMgrSvc)
SRV - [2006.03.23 02:03:00 | 000,073,728 | ---- | M] (Lenovo Group Limited) [Auto | Running] -- C:\WINDOWS\system32\IPSSVC.EXE -- (IPSSVC)
SRV - [2006.03.01 11:50:06 | 000,626,810 | ---- | M] (Diskeeper Corporation) [Auto | Running] -- C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe -- (Diskeeper)
SRV - [2006.01.17 10:37:24 | 000,266,295 | ---- | M] (Broadcom Corporation.) [Auto | Running] -- C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe -- (btwdins)
SRV - [2005.12.21 18:34:58 | 000,077,824 | ---- | M] () [Auto | Running] -- C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe -- (TVT Scheduler)
SRV - [2005.12.21 18:20:56 | 001,384,448 | ---- | M] () [Auto | Running] -- C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe -- (TVT Backup Service)
SRV - [2005.12.21 17:17:54 | 000,722,480 | ---- | M] (IBM) [Auto | Running] -- C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe -- (TSSCoreService)
SRV - [2005.11.08 16:07:02 | 000,036,864 | ---- | M] () [On_Demand | Running] -- C:\WINDOWS\system32\acs.exe -- (ACS)
SRV - [2005.08.01 17:32:40 | 000,040,960 | ---- | M] () [Auto | Running] -- C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe -- (UCLauncherService)
SRV - [2005.06.06 21:26:22 | 000,032,768 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\TpKmpSvc.exe -- (TpKmpSVC)
SRV - [2004.10.22 03:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.07.11 20:57:20 | 000,026,872 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\FixTDSS.sys -- (FixTDSS)
DRV - [2011.05.29 09:11:30 | 000,039,984 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - [2008.05.06 11:22:40 | 000,002,368 | ---- | M] (AntiCracking) [Kernel | Auto | Running] -- C:\WINDOWS\system32\SVKP.sys -- (SVKP)
DRV - [2007.11.11 19:14:02 | 000,043,488 | ---- | M] (Oak Technology Inc.) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\AFS2K.SYS -- (AFS2K)
DRV - [2006.11.10 11:44:52 | 000,305,788 | ---- | M] (Cisco Systems, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys -- (CVPNDRVA)
DRV - [2006.10.02 18:45:40 | 000,126,864 | ---- | M] (Deterministic Networks, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\dne2000.sys -- (DNE)
DRV - [2006.09.15 01:59:34 | 000,016,256 | ---- | M] (Lenovo) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\psadd.sys -- (psadd)
DRV - [2006.03.23 02:03:00 | 000,005,120 | ---- | M] (Lenovo Group Limited) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\PROCDD.SYS -- (PROCDD)
DRV - [2006.03.23 01:13:00 | 000,004,442 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\TPPWRIF.SYS -- (TPPWRIF)
DRV - [2006.02.27 02:52:00 | 000,007,168 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\TSMAPIP.SYS -- (TSMAPIP)
DRV - [2006.02.21 22:46:26 | 001,505,792 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2006.02.14 12:02:40 | 000,003,328 | ---- | M] (UPEK Inc.) [Kernel | Auto | Running] -- C:\Programme\ThinkVantage Fingerprint Software\smihlp.sys -- (smihlp)
DRV - [2006.01.17 10:18:22 | 000,850,474 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL)
DRV - [2006.01.17 10:14:52 | 000,065,688 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB)
DRV - [2006.01.17 01:52:00 | 000,014,848 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SMAPINT.SYS -- (Smapint)
DRV - [2006.01.17 01:52:00 | 000,009,343 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\TDSMAPI.SYS -- (TDSMAPI)
DRV - [2006.01.13 00:33:22 | 000,006,016 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\IBMBLDID.sys -- (IBMTPCHK)
DRV - [2005.12.21 17:14:58 | 000,012,544 | ---- | M] (IBM) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\ibmfilter.sys -- (ibmfilter)
DRV - [2005.12.21 10:19:10 | 000,470,208 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ar5211.sys -- (AR5211)
DRV - [2005.11.15 13:11:28 | 000,046,142 | R--- | M] (Utimaco Safeware AG) [Kernel | Auto | Running] -- C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\privatediskm.sys -- (PrivateDisk)
DRV - [2005.11.08 09:27:20 | 000,011,520 | ---- | M] (IBM Corp.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ANC.sys -- (ANC)
DRV - [2005.10.26 10:01:02 | 000,142,720 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2005.08.01 05:10:00 | 000,092,700 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAUDFAM.SYS -- (DLAUDFAM)
DRV - [2005.08.01 05:10:00 | 000,087,004 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAUDF_M.SYS -- (DLAUDF_M)
DRV - [2005.08.01 05:10:00 | 000,086,524 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAIFS_M.SYS -- (DLAIFS_M)
DRV - [2005.08.01 05:10:00 | 000,025,628 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLABOIOM.SYS -- (DLABOIOM)
DRV - [2005.08.01 05:10:00 | 000,014,684 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAOPIOM.SYS -- (DLAOPIOM)
DRV - [2005.08.01 05:10:00 | 000,006,364 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAPoolM.SYS -- (DLAPoolM)
DRV - [2005.08.01 05:10:00 | 000,002,496 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLADResN.SYS -- (DLADResN)
DRV - [2005.07.07 09:03:34 | 000,005,628 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLACDBHM.SYS -- (DLACDBHM)
DRV - [2005.07.07 09:02:56 | 000,022,684 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLARTL_N.SYS -- (DLARTL_N)
DRV - [2005.05.17 05:51:34 | 000,005,315 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\CVirtA.sys -- (CVirtA)
DRV - [2005.01.26 08:22:20 | 000,280,344 | ---- | M] (Zone Labs LLC) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ask.com/?o=13166&l=dis
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultthis.engineName: "NCH Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2117678&SearchSource=3&q={searchTerms}"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {c2db4fe6-8409-45ce-8010-189a7b5cce86}:3.3.5.1
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.5.1
FF - prefs.js..extensions.enabledItems: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065}:3.2.5.2
FF - prefs.js..network.proxy.type: 4
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.18\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.06.22 21:22:03 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.18\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.06.22 21:22:03 | 000,000,000 | ---D | M]
 
[2010.02.14 13:04:29 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Extensions
[2011.07.11 21:13:40 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\extensions
[2011.06.23 22:42:10 | 000,000,000 | ---D | M] (NCH Community Toolbar) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\extensions\{c2db4fe6-8409-45ce-8010-189a7b5cce86}
[2011.07.08 19:28:36 | 000,000,000 | ---D | M] (softonic-de3 Community Toolbar) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}
[2011.06.23 22:42:08 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\extensions\engine@conduit.com
[2011.01.17 15:40:58 | 000,000,909 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\searchplugins\conduit.xml
[2011.07.11 21:13:40 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.05.13 15:42:12 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.10.07 22:49:37 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.12.10 19:13:19 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010.12.21 10:00:06 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2010.04.11 09:43:31 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2010.11.12 19:53:06 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011.03.10 21:24:02 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.03.10 21:24:02 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.03.10 21:24:02 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.03.10 21:24:03 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.03.10 21:24:03 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.07.11 21:59:17 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Snapform Viewer PlugIn for IE) - {00AF1458-D967-4C0E-B736-D6D010521EF5} - C:\Programme\SnapFormViewer\Viewer\bin\lib\SFVPlugInIE_x86.dll (Ringler Informatik AG)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\DLA\DLASHX_W.DLL (Sonic Solutions)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll (Google Inc.)
O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe (Lenovo)
O4 - HKLM..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe (Lenovo)
O4 - HKLM..\Run: [Adobe Acrobat Speed Launcher] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)
O4 - HKLM..\Run: [AwaySch] C:\Programme\Lenovo\AwayTask\AwaySch.EXE (Lenovo Group Limited)
O4 - HKLM..\Run: [BLOG] C:\Programme\ThinkPad\Utilities\BATLOGEX.DLL ()
O4 - HKLM..\Run: [BroadCam] C:\Programme\NCH Software\BroadCam\broadcam.exe (NCH Software)
O4 - HKLM..\Run: [cssauth] C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe (Lenovo Group Limited)
O4 - HKLM..\Run: [DiskeeperSystray] C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe (Diskeeper Corporation)
O4 - HKLM..\Run: [DLA] C:\WINDOWS\system32\DLA\DLACTRLW.EXE (Sonic Solutions)
O4 - HKLM..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd.exe (Hewlett-Packard)
O4 - HKLM..\Run: [HPpromo psc 2400 series] C:\Programme\HP\Digital Imaging\Promotions\HPpromo.exe (hp)
O4 - HKLM..\Run: [ISUSPM Startup] c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation)
O4 - HKLM..\Run: [ISUSScheduler] c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation)
O4 - HKLM..\Run: [PDService.exe] C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe (Utimaco Safeware AG)
O4 - HKLM..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe (Google Inc.)
O4 - HKLM..\Run: [PWRMGRTR] C:\Programme\ThinkPad\Utilities\PWRMGRTR.DLL (Lenovo Group Limited)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [suScheduler] C:\Programme\ThinkVantage\SystemUpdate\UCLauncher.exe ()
O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)
O4 - HKLM..\Run: [TP4EX] C:\WINDOWS\System32\TP4EX.exe (Lenovo Group Limited)
O4 - HKLM..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe (Lenovo)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe (Corel Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{176130BC-99A1-41FE-A78B-56045E33AD70}\Icon3E5562ED7.ico ()
O4 - Startup: C:\Dokumente und Einstellungen\sephen\Startmenü\Programme\Autostart\Persbackup.lnk = C:\Programme\Personal Backup 5\Persbackup.exe (J. Rathlev, IEAP, Uni-Kiel)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Append Link Target to Existing PDF - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Append to Existing PDF - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert Link Target to Adobe PDF - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert to Adobe PDF - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm ()
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe ()
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189769570031 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/1.4.2/jinstall-142-win.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: GinaDLL - (vrlogon.dll) - C:\WINDOWS\System32\vrlogon.dll (UPEK Inc.)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\AwayNotify: DllName - C:\Programme\Lenovo\AwayTask\AwayNotify.dll - C:\Programme\Lenovo\AwayTask\AwayNotify.dll (Lenovo Group Limited)
O20 - Winlogon\Notify\psfus: DllName - psqlpwd.dll - C:\WINDOWS\System32\psqlpwd.dll (UPEK Inc.)
O20 - Winlogon\Notify\tpfnf2: DllName - notifyf2.dll - C:\WINDOWS\System32\notifyf2.dll ()
O20 - Winlogon\Notify\tphotkey: DllName - tphklock.dll - C:\WINDOWS\System32\tphklock.dll ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.04.27 02:32:27 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009.01.16 03:00:00 | 000,000,027 | R--- | M] () - D:\Autorun.inf -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.07.13 21:36:26 | 001,905,664 | ---- | C] (AVAST Software) -- C:\Dokumente und Einstellungen\sephen\Desktop\aswMBR.exe
[2011.07.13 10:46:59 | 001,436,976 | ---- | C] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\sephen\Desktop\tdsskiller.exe
[2011.07.13 10:45:04 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2011.07.11 21:45:04 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2011.07.11 21:29:18 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2011.07.11 21:29:18 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2011.07.11 21:29:18 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2011.07.11 21:29:18 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2011.07.11 21:29:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2011.07.11 21:14:29 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.07.11 20:57:20 | 000,026,872 | ---- | C] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\FixTDSS.sys
[2011.07.11 20:57:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\FixTDSS
[2011.07.11 20:54:25 | 004,148,094 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\sephen\Desktop\ComboFix.exe
[2011.07.11 20:54:25 | 001,932,256 | ---- | C] (Symantec Corporation) -- C:\Dokumente und Einstellungen\sephen\Desktop\FixTDSS.exe
[2011.07.10 17:08:51 | 000,579,584 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\sephen\Desktop\OTL.exe
[2011.07.10 11:32:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Malwarebytes
[2011.07.10 11:31:49 | 000,039,984 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.07.10 11:31:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.07.10 11:31:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.07.10 11:31:41 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.07.10 11:31:40 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.07.10 11:25:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Desktop\Trojaner-Krieg
[2011.07.10 10:52:46 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\sephen\Recent
[2011.07.08 18:07:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Startmenü\Programme\Windows XP Fix
[2011.07.08 08:53:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype
[2011.06.30 14:41:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Desktop\Spin Glass
[2011.06.20 19:17:18 | 000,404,640 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2011.06.15 21:58:29 | 000,105,472 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mup.sys
[9 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[8 C:\Dokumente und Einstellungen\sephen\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\sephen\Desktop\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.07.13 22:38:51 | 000,000,512 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\MBR.dat
[2011.07.13 22:24:11 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.07.13 21:33:51 | 000,002,423 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
[2011.07.13 21:33:36 | 000,000,316 | ---- | M] () -- C:\WINDOWS\tasks\PMTask.job
[2011.07.13 21:33:28 | 000,008,880 | ---- | M] () -- C:\WINDOWS\System32\PROCDB.INI
[2011.07.13 21:33:14 | 000,002,278 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.07.13 21:33:13 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.07.13 21:32:58 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.07.13 21:32:56 | 1608,962,048 | -HS- | M] () -- C:\hiberfil.sys
[2011.07.13 21:24:44 | 001,905,664 | ---- | M] (AVAST Software) -- C:\Dokumente und Einstellungen\sephen\Desktop\aswMBR.exe
[2011.07.13 21:23:42 | 000,920,384 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Norton_Removal_Tool.exe
[2011.07.13 12:18:08 | 000,000,410 | ---- | M] () -- C:\WINDOWS\tasks\Personal Backup Test1.job
[2011.07.13 10:45:58 | 001,436,976 | ---- | M] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\sephen\Desktop\tdsskiller.exe
[2011.07.13 10:45:34 | 000,139,264 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\RKUnhookerLE.EXE
[2011.07.13 10:45:26 | 000,080,384 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\MBRCheck.exe
[2011.07.11 21:59:17 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.07.11 21:45:11 | 000,000,310 | RHS- | M] () -- C:\BOOT.INI
[2011.07.11 20:57:20 | 000,026,872 | ---- | M] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\FixTDSS.sys
[2011.07.11 20:53:06 | 004,148,094 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\sephen\Desktop\ComboFix.exe
[2011.07.11 20:51:12 | 001,932,256 | ---- | M] (Symantec Corporation) -- C:\Dokumente und Einstellungen\sephen\Desktop\FixTDSS.exe
[2011.07.10 16:16:42 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\sephen\Desktop\OTL.exe
[2011.07.10 12:16:46 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\defogger_reenable
[2011.07.10 12:14:18 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\hdyof2xc.exe
[2011.07.10 12:08:30 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Defogger.exe
[2011.07.10 12:01:18 | 000,684,297 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\unhide.exe
[2011.07.08 18:14:56 | 000,000,040 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~17424164
[2011.06.30 23:04:05 | 000,000,716 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Skype™ Extras Manager.lnk
[2011.06.26 08:45:56 | 000,256,000 | ---- | M] () -- C:\WINDOWS\PEV.exe
[2011.06.24 11:09:22 | 000,828,165 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\e144527.pdf
[2011.06.22 23:59:34 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011.06.20 19:17:18 | 000,404,640 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[9 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[8 C:\Dokumente und Einstellungen\sephen\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\sephen\Desktop\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.07.13 21:26:35 | 000,920,384 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Norton_Removal_Tool.exe
[2011.07.13 10:46:59 | 000,139,264 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\RKUnhookerLE.EXE
[2011.07.13 10:46:59 | 000,080,384 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\MBRCheck.exe
[2011.07.12 11:08:51 | 000,000,512 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\MBR.dat
[2011.07.11 21:49:59 | 000,001,583 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\McAfee Security Scan Plus.lnk
[2011.07.11 21:45:11 | 000,000,194 | ---- | C] () -- C:\Boot.bak
[2011.07.11 21:45:06 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2011.07.11 21:29:18 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011.07.11 21:29:18 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011.07.11 21:29:18 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011.07.11 21:29:18 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2011.07.11 21:29:18 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2011.07.10 12:28:35 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\hdyof2xc.exe
[2011.07.10 12:16:46 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\defogger_reenable
[2011.07.10 12:15:51 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Defogger.exe
[2011.07.10 12:07:30 | 000,001,720 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2011.07.10 12:07:30 | 000,001,699 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GameSpy Comrade.lnk
[2011.07.10 12:07:30 | 000,001,577 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2011.07.10 12:07:30 | 000,001,528 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ThinkVantage Productivity Center.lnk
[2011.07.10 12:07:30 | 000,000,937 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\HP Bildergalerie.lnk
[2011.07.10 12:07:30 | 000,000,771 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\HP Director.lnk
[2011.07.10 12:07:15 | 000,002,423 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
[2011.07.10 12:07:15 | 000,001,686 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Corel MEDIA FOLDERS INDEXER 8.LNK
[2011.07.10 12:07:15 | 000,000,662 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Movie Maker.lnk
[2011.07.10 12:07:14 | 000,002,371 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Acrobat Distiller 9.lnk
[2011.07.10 12:07:14 | 000,002,359 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Acrobat 9 Pro.lnk
[2011.07.10 12:07:14 | 000,002,043 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\IBM Java Plug-in-Systemsteuerung 1.4.2.lnk
[2011.07.10 12:07:14 | 000,001,908 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\MSN.lnk
[2011.07.10 12:07:14 | 000,001,871 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe LiveCycle Designer ES 8.2.lnk
[2011.07.10 12:07:14 | 000,001,804 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader 9.lnk
[2011.07.10 12:07:14 | 000,001,744 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Money.LNK
[2011.07.10 12:07:14 | 000,000,830 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\VideoPad Videobearbeitungs-Software.lnk
[2011.07.10 12:07:14 | 000,000,816 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\BroadCam Video Streaming Server.lnk
[2011.07.10 12:07:14 | 000,000,770 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Prism Videodatei-Konverter.lnk
[2011.07.10 12:07:14 | 000,000,717 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\I.R.I.S. OCR-Registrierung.lnk
[2011.07.10 12:07:14 | 000,000,621 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Messenger.lnk
[2011.07.10 12:07:14 | 000,000,322 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Bluetooth-Umgebung.lnk
[2011.07.10 12:01:47 | 000,684,297 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\unhide.exe
[2011.07.08 18:07:35 | 000,000,040 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~17424164
[2011.06.29 13:30:02 | 000,000,722 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Startmenü\Programme\Skype™ Extras Manager.lnk
[2011.06.29 13:30:02 | 000,000,716 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Skype™ Extras Manager.lnk
[2011.06.24 11:09:22 | 000,828,165 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\e144527.pdf
[2010.12.19 13:33:55 | 000,000,038 | ---- | C] () -- C:\WINDOWS\TETRIS.INI
[2010.12.19 13:13:08 | 000,306,688 | ---- | C] () -- C:\WINDOWS\Uninstall Spielesammlung.exe
[2010.12.19 13:13:03 | 000,000,380 | ---- | C] () -- C:\WINDOWS\Uninstall Spielesammlung.ini
[2010.06.10 18:09:43 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.02.14 13:04:16 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2009.05.10 14:42:30 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2009.02.08 15:43:20 | 000,002,478 | ---- | C] () -- C:\WINDOWS\wincmd.ini
[2008.09.17 18:27:18 | 000,000,056 | ---- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2008.08.25 14:10:54 | 000,765,952 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2008.08.25 14:10:53 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2008.05.11 12:12:58 | 000,068,166 | ---- | C] () -- C:\Programme\Gamesload.RPT
[2008.05.05 23:01:15 | 000,004,096 | ---- | C] () -- C:\WINDOWS\d3dx.dat
[2008.02.21 10:03:01 | 000,000,145 | ---- | C] () -- C:\WINDOWS\AVI2MPEG.ini
[2008.02.21 09:54:32 | 000,059,904 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.11.11 19:03:57 | 000,034,480 | ---- | C] () -- C:\WINDOWS\hpomdl03.dat
[2007.11.11 19:03:57 | 000,028,982 | ---- | C] () -- C:\WINDOWS\hpoins03.dat
[2007.07.02 19:25:18 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PowerReg.dat
[2007.05.07 21:17:54 | 000,108,032 | ---- | C] () -- C:\WINDOWS\System32\sh33w32.dll
[2007.05.07 21:17:00 | 000,039,095 | ---- | C] () -- C:\WINDOWS\iccsigs.dat
[2007.05.07 21:14:19 | 000,000,465 | ---- | C] () -- C:\WINDOWS\barcode.ini
[2007.05.07 20:32:51 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\Msvcrt10.dll
[2007.05.06 17:49:51 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2007.05.03 13:15:10 | 000,000,000 | ---- | C] () -- C:\WINDOWS\vpc32.INI
[2007.04.27 02:32:17 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2007.03.16 17:00:00 | 000,003,403 | ---- | C] () -- C:\WINDOWS\System32\hptcpmon.ini
[2006.11.10 11:46:36 | 000,197,680 | ---- | C] () -- C:\WINDOWS\System32\vpnapi.dll
[2006.11.10 11:46:24 | 000,193,584 | ---- | C] () -- C:\WINDOWS\System32\CSGina.dll
[2006.09.15 02:04:14 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2006.09.15 02:03:47 | 000,016,384 | ---- | C] () -- C:\WINDOWS\PWMBTHLP.EXE
[2006.09.15 02:03:47 | 000,004,442 | ---- | C] () -- C:\WINDOWS\System32\drivers\TPPWRIF.SYS
[2006.09.15 02:03:31 | 000,006,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\IBMBLDID.sys
[2006.09.15 01:59:55 | 000,032,256 | ---- | C] () -- C:\WINDOWS\System32\drivers\psasrv.exe
[2006.09.15 01:53:51 | 000,000,040 | ---- | C] () -- C:\WINDOWS\System32\profile.dat
[2006.09.15 01:49:48 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2006.09.15 01:49:48 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2006.09.15 01:49:48 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2006.09.15 01:49:48 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2006.09.15 01:49:48 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2006.09.15 01:49:48 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2006.09.15 01:49:14 | 000,028,848 | ---- | C] () -- C:\WINDOWS\System32\drivers\USBkey.sys
[2006.09.15 01:48:42 | 000,000,148 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2006.09.15 01:32:45 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\FPCALL.dll
[2006.09.15 01:31:41 | 000,009,343 | ---- | C] () -- C:\WINDOWS\System32\drivers\TDSMAPI.SYS
[2006.09.15 01:30:29 | 000,147,520 | ---- | C] () -- C:\WINDOWS\_tpiu000.exe
[2006.09.15 01:30:03 | 000,651,264 | ---- | C] () -- C:\WINDOWS\System32\libeay32.dll
[2006.09.15 01:30:03 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\ssleay32.dll
[2006.09.15 01:30:03 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\acs.exe
[2006.09.15 01:29:33 | 000,315,392 | ---- | C] () -- C:\WINDOWS\System32\AegisI5.exe
[2006.09.15 01:29:20 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\TpKmpSvc.exe
[2006.01.27 09:59:50 | 000,002,963 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2006.01.20 16:05:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini
[2006.01.17 10:31:30 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\btprn2k.dll
[2005.10.17 15:22:24 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\DEVMAN.DLL
[2005.07.08 01:06:00 | 000,114,688 | ---- | C] () -- C:\WINDOWS\desktopset.exe
[2005.05.23 08:22:24 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\OEMBIOS.BIN
[2005.05.23 08:22:24 | 000,004,547 | ---- | C] () -- C:\WINDOWS\System32\OEMBIOS.DAT
[2004.08.10 13:48:32 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2004.08.10 13:33:43 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2004.08.10 13:23:42 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004.08.10 13:18:03 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2004.08.10 13:17:14 | 000,497,048 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2003.08.11 10:44:18 | 000,565,248 | ---- | C] () -- C:\WINDOWS\System32\hpotscl.dll
[2001.11.14 12:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll
[1999.01.22 20:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
[1980.01.01 00:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[1980.01.01 00:00:00 | 000,391,568 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[1980.01.01 00:00:00 | 000,380,684 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[1980.01.01 00:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[1980.01.01 00:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[1980.01.01 00:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[1980.01.01 00:00:00 | 000,121,995 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[1980.01.01 00:00:00 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\SynTPCoI.dll
[1980.01.01 00:00:00 | 000,073,782 | ---- | C] () -- C:\WINDOWS\System32\ibmpmsvc.exe
[1980.01.01 00:00:00 | 000,063,982 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[1980.01.01 00:00:00 | 000,053,098 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[1980.01.01 00:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[1980.01.01 00:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[1980.01.01 00:00:00 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\notifyf2.dll
[1980.01.01 00:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[1980.01.01 00:00:00 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\tphklock.dll
[1980.01.01 00:00:00 | 000,008,880 | ---- | C] () -- C:\WINDOWS\System32\PROCDB.INI
[1980.01.01 00:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[1980.01.01 00:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[1980.01.01 00:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[1980.01.01 00:00:00 | 000,000,487 | ---- | C] () -- C:\WINDOWS\System32\IPSCTRL.INI

< End of report >
         

Hier das Extras.txt

Code: Alles auswählenAufklappen

ATTFilter

OTL Extras logfile created on: 13.07.2011 22:41:39 - Run 3
OTL by OldTimer - Version 3.2.26.1     Folder = C:\Dokumente und Einstellungen\sephen\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy
 
1.50 Gb Total Physical Memory | 0.85 Gb Available Physical Memory | 56.50% Memory free
2.35 Gb Paging File | 1.87 Gb Available in Paging File | 79.67% Paging File free
Paging file location(s): C:\pagefile.sys 1024 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 50.91 Gb Total Space | 8.97 Gb Free Space | 17.63% Space Free | Partition Type: NTFS
Drive D: | 135.06 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: WEYENETH | User Name: Stephen | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation)
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"86:TCP" = 86:TCP:*:Enabled:BroadCam Video Streaming Server Web Server
"1935:TCP" = 1935:TCP:*:Enabled:BroadCam Video Streaming Server Flash Video Server
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\ThinkVantage\SystemUpdate\jre\bin\javaw.exe" = C:\Programme\ThinkVantage\SystemUpdate\jre\bin\javaw.exe:*:Enabled:ThinkVantage System Update -- (IBM)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\ThinkVantage\SystemUpdate\jre\bin\javaw.exe" = C:\Programme\ThinkVantage\SystemUpdate\jre\bin\javaw.exe:*:Enabled:ThinkVantage System Update -- (IBM)
"C:\WINDOWS\system32\mmc.exe" = C:\WINDOWS\system32\mmc.exe:*:Enabled:Microsoft Management Console -- (Microsoft Corporation)
"C:\Dokumente und Einstellungen\sephen\Lokale Einstellungen\Temp\7zS13.tmp\SymNRT.exe" = C:\Dokumente und Einstellungen\sephen\Lokale Einstellungen\Temp\7zS13.tmp\SymNRT.exe:*:Enabled:Norton Removal Tool
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{075473F5-846A-448B-BCB3-104AA1760205}" = RecordNow Data
"{0868BB9D-5EA0-40AF-A1CC-A38ED4E5BC67}" = 32 Bit HP CIO Components Installer
"{092eeeee-9fdd-4895-a568-0818c96beb6c}" = AiO_Scan
"{1007F41F-7D69-468E-8017-3849A5A973C2}" = ThinkVantage Technologies Welcome Message
"{1206EF92-2E83-4859-ACCB-2048C3CB7DA6}" = Sonic DLA
"{1297C681-92D7-40EF-93BF-03F66EC5105C}" = ThinkPad-Dienstprogramm 'EasyEject'
"{176130BC-99A1-41FE-A78B-56045E33AD70}" = Cisco Systems VPN Client 4.8.02.0010
"{176B3593-72F1-459C-829C-5E9671E2CB35}" = GameSpy Comrade
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{2111B23F-7FDA-4A41-8309-E5A1663CA296}" = Dienstprogramm 'ThinkPad-Tastaturanpassung'
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{261C86E1-7FAE-4F47-AE51-835F127AC0A1}" = HPpromotions
"{26A24AE4-039D-4CA4-87B4-2F83216019FF}" = Java(TM) 6 Update 23
"{2A43FF29-0D97-4445-B82D-9324F176AED5}" = ThinkVantage System Update
"{2E132061-C78A-48D4-A899-1D13B9D189FA}" = Memories Disc Creator 2.0
"{2F1FD032-67D1-4569-923F-47EAF132BF0F}" = DocProc
"{30465B6C-B53F-49A1-9EBA-A3F187AD502E}" = Sonic Update Manager
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{36A1E3D6-288A-4EEE-A081-30D9808B2BE3}" = Joe
"{3B47A107-0473-4BD7-8BAB-A14FBC995C6B}" = ATI Catalyst Control Center
"{3CF78481-FB7B-4B51-99A2-D5E0CD0B3AAF}" = HPSystemDiagnostics
"{3EA9D975-BFDC-4E8E-B88B-0446FBC8CA66}" = ATI HYDRAVISION
"{3F4EC965-28EF-45C3-B063-04B25D4E9679}" = ThinkPad Bluetooth with Enhanced Data Rate Software
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4FB6F304-A91D-4919-98E5-D96E074EA9E5}" = SkinsHP1
"{54e854d5-d5d4-452d-9c75-b39f5625b5fb}" = Readme
"{5ADF6293-D60F-4425-AFA7-CEB820DB872B}" = QuickProjects
"{642a22b1-7ab8-44b5-84b9-e58eecf8ece2}" = 2400_2500Help
"{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}" = Sonic Express Labeler
"{70F8B183-99EB-4304-BA35-080E2DFFD2A3}" = Age of Empires III
"{72806716-7088-41B2-8FA6-717A2A164DAB}" = ThinkVantage System für aktiven Festplattenschutz
"{745A92AF-53B4-41A7-91C3-9B026B1D5897}" = InstantShare
"{7EB114D8-207F-45AE-BABD-1669715F2630}" = ThinkVantage Access Connections
"{7FC3BBEC-5A91-41B0-9CB8-960EC4421411}" = InterVideo WinDVD Creator
"{82512BC9-BD5D-4C50-BE4D-B98E7DF78687}" = ThinkPad-UltraNav-Assistent
"{829698DE-9EAC-475E-9A05-B7BA807CA1EF}" = Director
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{8777AC6D-89F9-4793-8266-DE406F343E89}" = QFolder
"{8E726115-FCBE-43B1-9FB7-06E8E25F9ABE}" = Diskeeper Lite
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}" = InterVideo WinDVD
"{939227BD-19D8-4684-8A04-31AC9F6A564C}" = Scan
"{9441cb44-9729-4962-9ce1-c7752350fe52}" = 23_24_2500Tour
"{986F64DC-FF15-449D-998F-EE3BCEC6666A}" = Help Center
"{98e3d87f-6946-468d-b34e-9f89ac8da70a}" = 2400
"{9F4EEA0C-7174-4BD3-89AF-7AB2F9F6AEDD}" = hpmdtab
"{9FAC9E5C-0D20-4DBF-AFE5-2E09C52A95A2}" = ThinkPad Wireless LAN Adapters Software (11a/b, 11b/g, 11a/b/g)
"{A0E64EBA-8BF0-49FB-90C0-BB3D781A2016}" = ThinkPad Energie-Manager
"{A1314B1F-B426-4CEA-968D-B0DE02BF1676}" = KI6220
"{A363B66C-1547-47bf-90F0-3834E70A841A}" = CreativeProjects
"{A8AD990E-355A-4413-8647-A9B168978423}_is1" = UltraVNC v1.0.2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AB708C9B-97C8-4AC9-899B-DBF226AC9382}" = RecordNow Audio
"{AC76BA86-1033-0000-7760-000000000004}" = Adobe Acrobat 9 Pro
"{AC76BA86-1033-0000-7760-000000000004}_943" = Adobe Acrobat 9.4.3 - CPSID_83708
"{AC76BA86-1033-0000-7760-000000000004}{AC76BA86-1033-0000-7760-000000000004}" = Adobe Acrobat 9 Pro
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.0 - Deutsch
"{B12665F4-4E93-4AB4-B7FC-37053B524629}" = RecordNow Copy
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Toolbars
"{BF90215F-2D7B-4C84-8A24-A03BC41B95DD}" = Rescue and Recovery - Client Security Solution
"{c330461f-c4a9-4fc7-af5d-c158e0b56aa7}" = AiOSoftware
"{C38BC5B7-62D3-4880-82DD-A4803FD81921}" = PhotoGallery
"{C54ED2B6-1AF2-416F-BBA8-5E2B8CDCB5C4}" = XP Themes
"{C6FA39A7-26B1-480A-BC74-6D17531AC222}" = Access Help
"{C9A162C1-031F-4EBF-A3E6-C45F7FCCBB9E}_is1" = Genie Backup Assistant
"{CA89B56F-E71B-4E08-82A9-580533E1C048}" = System Migration Assistant
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CC0A24CB-87C9-4F1C-A1F2-F87D8D4DDCAF}" = HP Software Update
"{CDBFC424-DD00-497F-9BDC-4E4178332336}" = ThinkVantage Fingerprint Software 5.4
"{CE4F8FFB-4063-4247-9F14-ECE61AFEFA25}" = TrayApp
"{CF5737AF-8550-4546-A69B-0EA9EF5A9B55}" = ThinkVantage Productivity Center
"{CFD1B282-555D-494d-8231-4175C2AF08C2}" = PrintScreen
"{D1D8C9C4-89BE-4f37-9EC4-B80E3C239C41}" = Copy
"{d40e4a88-ebc8-4d52-be3c-a4917a057ef0}" = Fax
"{D545BB81-DEB0-49f7-BE26-197BC31AAF57}" = SkinsHP2
"{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}" = Skype™ 5.3
"{D728E945-256D-4477-B377-6BBA693714AC}" = Ergänzung zu Productivity Center für ThinkPad
"{E4ABB302-9D82-4D18-83D5-AD1DFE786AA8}" = Unload
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{E7E836B8-4BDD-454F-82E6-5FEA17C83AD4}" = Message Center
"{E922961C-6DB6-41DE-9FEA-426DF3E9F81C}" = IBM 32-bit Runtime Environment for Java 2, v1.4.2
"{EA664480-3844-11D5-8C25-444553540000}" = Funktion "TrackPoint-Eingabehilfen"
"{ec7d7a6a-31cb-4810-826f-74171bef44f1}" = AIOMinimal
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F386C340-DF4B-4BBA-9503-420FB7EDB395}" = Wallpapers
"{F38FA38A-7E5A-4209-88ED-4DE21CD20EEF}" = HP PSC & OfficeJet 3.0
"{f409f2fe-2567-446f-a220-e60cd7e016f4}" = 2400_2500trb
"{FBBF532A-47AC-457d-AC06-0D3163D8911E}" = WebReg
"{FC081D4D-DF1B-4CF1-B530-027E4118D846}" = ThinkPad-Konfiguration
"2841-5017-1617-4151" = Snapform Viewer 1.7.7
"6901-5136-2669-7101" = EasyTax 2010 AG 1.0
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"AVI2MPEG" = AVI2MPEG
"AVS Update Manager_is1" = AVS Update Manager 1.0
"AVS4YOU Software Navigator_is1" = AVS4YOU Software Navigator 1.4
"AVS4YOU Video Converter 6_is1" = AVS Video Converter 6
"AVS4YOU Video Converter 7_is1" = AVS Video Converter 7
"AwayTask" = ThinkVantage Away Manager
"BroadCam" = BroadCam Video Streaming Server
"CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFA&SUBSYS_10140588" = ThinkPad Modem
"Corel Uninstaller" = Corel Uninstaller
"EasyTax 2007 AG 1.0" = EasyTax 2007 AG 1.0
"EasyTax 2008 AG 1.0" = EasyTax 2008 AG 1.0
"EasyTax 2009 AG 1.0" = EasyTax 2009 AG 1.0
"Free YouTube Download_is1" = Free YouTube Download 2.2
"GPStill" = PStill PostScript to PDF Converter (remove only)
"HP Color LaserJet CP4520 Series PCL6,HP Color LaserJet CP4020 Series PCL6" = HP Color LaserJet CP4520 Series PCL6,HP Color LaserJet CP4020 Series PCL6 [HP Color LaserJet CP4520 Series PCL6]
"HP Photo & Imaging" = HP Photo & Imaging 3.1
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{70F8B183-99EB-4304-BA35-080E2DFFD2A3}" = Age of Empires III
"InstallShield_{E922961C-6DB6-41DE-9FEA-426DF3E9F81C}" = IBM 32-bit Runtime Environment for Java 2, v1.4.2
"Jpeg2Ps-1.9-1_is1" = GnuWin32: Jpeg2Ps-1.9-1
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.0.1200
"Mathematica 4.0.0.0 P" = Mathematica 4
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"MiKTeX 2.7" = MiKTeX 2.7
"Mozilla Firefox (3.6.18)" = Mozilla Firefox (3.6.18)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"MSMONEYV80" = Microsoft Money 2000
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Origin 6.1" = Origin 6.1
"PC-Doctor 5 for Windows" = PC-Doctor 5 for Windows
"PCMCIAPW" = ThinkPad PC Card Power Policy
"Personal Backup 5_is1" = Personal Backup 5.0
"Picasa2" = Picasa 2
"POV-Ray for Windows v3.6" = POV-Ray for Windows v3.6.1c
"Power Management Driver" = ThinkPad Power Management Driver
"Prism" = Prism Videodatei-Konverter
"Remove Multimedia Center" = Remove Multimedia Center
"SynTPDeinstKey" = ThinkPad UltraNav Driver
"TeXnicCenter_is1" = TeXnicCenter Version 1 Beta 7.01 (Greengrass)
"ThinkPad FullScreen Magnifier" = ThinkPad FullScreen Magnifier
"ThinkPadSoftwareInstaller" = Software Installer
"Totalcmd" = Total Commander (Remove or Repair)
"Uninstall_is1" = Uninstall 1.0.0.1
"VideoPad" = VideoPad Videobearbeitungs-Software
"VLC media player" = VLC media player 0.9.8a
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"Xvid_is1" = Xvid 1.1.3 final uninstall
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 07.07.2011 14:03:26 | Computer Name = WEYENETH | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 07.07.2011 14:03:26 | Computer Name = WEYENETH | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 08.07.2011 03:17:19 | Computer Name = WEYENETH | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung skype.exe, Version 5.3.0.120, fehlgeschlagenes
 Modul , Version 0.0.0.0, Fehleradresse 0x00000000.
 
Error - 08.07.2011 05:16:19 | Computer Name = WEYENETH | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung skype.exe, Version 5.3.0.120, fehlgeschlagenes
 Modul , Version 0.0.0.0, Fehleradresse 0x00000000.
 
Error - 08.07.2011 07:43:29 | Computer Name = WEYENETH | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x4ebb74b2.
 
Error - 08.07.2011 07:43:37 | Computer Name = WEYENETH | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes
 Modul dbghelp.dll, Version 5.1.2600.5512, Fehleradresse 0x0001295d.
 
Error - 08.07.2011 16:59:12 | Computer Name = WEYENETH | Source = McLogEvent | ID = 259
Description = 
 
Error - 08.07.2011 17:20:25 | Computer Name = WEYENETH | Source = McLogEvent | ID = 259
Description = 
 
Error - 10.07.2011 12:41:27 | Computer Name = WEYENETH | Source = McLogEvent | ID = 259
Description = 
 
Error - 10.07.2011 16:13:14 | Computer Name = WEYENETH | Source = McLogEvent | ID = 259
Description = 
 
[ System Events ]
Error - 11.07.2011 15:24:31 | Computer Name = WEYENETH | Source = Service Control Manager | ID = 7034
Description = Dienst "McAfee McShield" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 11.07.2011 15:31:18 | Computer Name = WEYENETH | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet
 beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden
 in 30000 Millisekunden durchgeführt: Starten Sie den Dienst neu..
 
Error - 11.07.2011 15:47:22 | Computer Name = WEYENETH | Source = Service Control Manager | ID = 7034
Description = Dienst "IBM KCU Service" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 11.07.2011 15:47:22 | Computer Name = WEYENETH | Source = Service Control Manager | ID = 7034
Description = Dienst "ThinkVantage System Update" wurde unerwartet beendet. Dies
 ist bereits 1 Mal passiert.
 
Error - 11.07.2011 15:47:22 | Computer Name = WEYENETH | Source = Service Control Manager | ID = 7034
Description = Dienst "Ac Profile Manager Service" wurde unerwartet beendet. Dies
 ist bereits 1 Mal passiert.
 
Error - 11.07.2011 15:47:22 | Computer Name = WEYENETH | Source = Service Control Manager | ID = 7034
Description = Dienst "ACU Configuration Service" wurde unerwartet beendet. Dies 
ist bereits 1 Mal passiert.
 
Error - 11.07.2011 15:47:26 | Computer Name = WEYENETH | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet
 beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden
 in 30000 Millisekunden durchgeführt: Starten Sie den Dienst neu..
 
Error - 11.07.2011 15:49:43 | Computer Name = WEYENETH | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet
 beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden
 in 30000 Millisekunden durchgeführt: Starten Sie den Dienst neu..
 
Error - 11.07.2011 15:50:29 | Computer Name = WEYENETH | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet
 beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden
 in 30000 Millisekunden durchgeführt: Starten Sie den Dienst neu..
 
Error - 11.07.2011 15:58:38 | Computer Name = WEYENETH | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im 
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
 wurde angehalten.
 
 
< End of report >
         

Gruss
West79