svchost.exe hat 100% Auslastung - vermute Trojaner

tiger2come · 18.07.2011, 07:10

Hallo,

svchost.exe hat 100% Auslastung, ich vermute Trojaner.

Hier zunächst das defogger_disable.log:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 17:58 on 17/07/2011 (u)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
d347prt -> Disabled (Service running -> reboot required)
SPTD -> Disabledd347bus -> Disabled (Service running -> reboot required)

-=E.O.F=-

Vielen Dank

cosinus · 18.07.2011, 10:29

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

tiger2come · 18.07.2011, 17:22

Hallo Arne,

vielen Dank für diese schnelle Antwort.

Hier das Log von Malwarebytes' Anti-Malware 1.51.1.1800:

Malwarebytes' Anti-Malware 1.51.1.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7189

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18.07.2011 15:20:03
mbam-log-2011-07-18 (15-20-01).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|J:\|)
Durchsuchte Objekte: 212967
Laufzeit: 1 Stunde(n), 49 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Danach: OTL.exe mit folgender Fehlermeldung:

<?xml version="1.0" encoding="UTF-16"?>
<DATABASE>
<EXE NAME="OTL.exe" FILTER="GRABMI_FILTER_PRIVACY">
<MATCHING_FILE NAME="Defogger.exe" SIZE="50477" CHECKSUM="0x9176719E" MODULE_TYPE="WIN32" PE_CHECKSUM="0x1B022" LINKER_VERSION="0x10000" LINK_DATE="02/23/2010 15:26:08" UPTO_LINK_DATE="02/23/2010 15:26:08" />
<MATCHING_FILE NAME="OTL.exe" SIZE="579584" CHECKSUM="0xD7CAFC8D" BIN_FILE_VERSION="3.2.26.1" BIN_PRODUCT_VERSION="3.2.26.1" PRODUCT_VERSION="3.0.0.0" FILE_DESCRIPTION="" COMPANY_NAME="OldTimer Tools" PRODUCT_NAME="OTL" FILE_VERSION="3.2.26.1" ORIGINAL_FILENAME="OTL.exe" INTERNAL_NAME="OTL.exe" LEGAL_COPYRIGHT="" VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x4" VERFILETYPE="0x1" MODULE_TYPE="WIN32" PE_CHECKSUM="0x9BE4B" LINKER_VERSION="0x0" UPTO_BIN_FILE_VERSION="3.2.26.1" UPTO_BIN_PRODUCT_VERSION="3.2.26.1" LINK_DATE="06/19/1992 22:22:17" UPTO_LINK_DATE="06/19/1992 22:22:17" VER_LANGUAGE="English (United States) [0x409]" />
</EXE>
<EXE NAME="kernel32.dll" FILTER="GRABMI_FILTER_THISFILEONLY">
<MATCHING_FILE NAME="kernel32.dll" SIZE="989696" CHECKSUM="0x2D998938" BIN_FILE_VERSION="5.1.2600.5781" BIN_PRODUCT_VERSION="5.1.2600.5781" PRODUCT_VERSION="5.1.2600.5781" FILE_DESCRIPTION="Windows NT BASE API Client DLL" COMPANY_NAME="Microsoft Corporation" PRODUCT_NAME="Microsoft® Windows® Operating System" FILE_VERSION="5.1.2600.5781 (xpsp_sp3_gdr.090321-1317)" ORIGINAL_FILENAME="kernel32" INTERNAL_NAME="kernel32" LEGAL_COPYRIGHT="© Microsoft Corporation. All rights reserved." VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x40004" VERFILETYPE="0x2" MODULE_TYPE="WIN32" PE_CHECKSUM="0xFE572" LINKER_VERSION="0x50001" UPTO_BIN_FILE_VERSION="5.1.2600.5781" UPTO_BIN_PRODUCT_VERSION="5.1.2600.5781" LINK_DATE="03/21/2009 14:06:58" UPTO_LINK_DATE="03/21/2009 14:06:58" VER_LANGUAGE="English (United States) [0x409]" />
</EXE>
<EXE NAME="kernel32.dll" FILTER="GRABMI_FILTER_THISFILEONLY">
<MATCHING_FILE NAME="kernel32.dll" SIZE="989696" CHECKSUM="0x2D998938" BIN_FILE_VERSION="5.1.2600.5781" BIN_PRODUCT_VERSION="5.1.2600.5781" PRODUCT_VERSION="5.1.2600.5781" FILE_DESCRIPTION="Windows NT BASE API Client DLL" COMPANY_NAME="Microsoft Corporation" PRODUCT_NAME="Microsoft® Windows® Operating System" FILE_VERSION="5.1.2600.5781 (xpsp_sp3_gdr.090321-1317)" ORIGINAL_FILENAME="kernel32" INTERNAL_NAME="kernel32" LEGAL_COPYRIGHT="© Microsoft Corporation. All rights reserved." VERFILEDATEHI="0x0" VERFILEDATELO="0x0" VERFILEOS="0x40004" VERFILETYPE="0x2" MODULE_TYPE="WIN32" PE_CHECKSUM="0xFE572" LINKER_VERSION="0x50001" UPTO_BIN_FILE_VERSION="5.1.2600.5781" UPTO_BIN_PRODUCT_VERSION="5.1.2600.5781" LINK_DATE="03/21/2009 14:06:58" UPTO_LINK_DATE="03/21/2009 14:06:58" VER_LANGUAGE="English (United States) [0x409]" />
</EXE>
</DATABASE>

vielen Dank
Tiger

cosinus · 18.07.2011, 18:53

Bei OTL ist dir ein Fehler unterlaufen, mach es bitte nochmal aber richtig...

tiger2come · 19.07.2011, 01:56

Hallo Arne,

beim Aufruf von OTL.exe vom Desktop bekomme ich folgende Rückmeldung:

OTL has encountered a problem and needs to close. We are sorry ...
mit ähnlichem Logfile, wie geposted.

Derartige Ergebnisse hatte ich schon vorher,

was genau mache ich falsch?

mfg

Tiger

cosinus · 19.07.2011, 10:10

Lad die OTL.exe bitte neu herunter und probier es nochmal. Wenn es immer noch nicht geht mal im abgesicherten Modus von Windows ausprobieren

tiger2come · 19.07.2011, 18:02

Beim abgesicherten Modus habe ich das gleiche Ergebnis.

Gruß,
Tiger

cosinus · 19.07.2011, 21:18

Geht es denn so?

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

tiger2come · 20.07.2011, 04:39

1. OTL 5x heruntergeladen, alle identisch mit dem ersten dnld.
2. Alle im normalen und im abgesicherten Modus gestartet.
2.1 Kein Start möglich
2.1.1 OTL has encountered a problem and needs to close. We are sorry ...

3. Keine Logs.

Gruß,
Tiger

tiger2come · 20.07.2011, 06:12

1. OTL 5x heruntergeladen
2. OTL im normalen und im abgesicherten Modus 5x gestartet.
2.1 OTL startet nicht.
2.2 OTL Fehlermeldung: OTL has encountered a problem and needs to close. We are sorry ...
3. keine Logfile.

Gruß,
Tiger

cosinus · 20.07.2011, 09:25

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )

Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

tiger2come · 21.07.2011, 09:50

1. OTL läßt sich auf einen anderen Rechner problemlos starten. Bei diesem nicht.
2. Hier das Log vom TDSS rootkit removing tool 2.5.11.0 Jul 11 2011 16:56:56:

2011/07/21 10:23:59.0788 3420 TDSS rootkit removing tool 2.5.11.0 Jul 11 2011 16:56:56
2011/07/21 10:24:01.0531 3420 ================================================================================
2011/07/21 10:24:01.0531 3420 SystemInfo:
2011/07/21 10:24:01.0531 3420
2011/07/21 10:24:01.0531 3420 OS Version: 5.1.2600 ServicePack: 3.0
2011/07/21 10:24:01.0531 3420 Product type: Workstation
2011/07/21 10:24:01.0531 3420 ComputerName: STUDIO-CUSL2
2011/07/21 10:24:01.0531 3420 UserName: u
2011/07/21 10:24:01.0531 3420 Windows directory: C:\WINDOWS
2011/07/21 10:24:01.0531 3420 System windows directory: C:\WINDOWS
2011/07/21 10:24:01.0531 3420 Processor architecture: Intel x86
2011/07/21 10:24:01.0531 3420 Number of processors: 1
2011/07/21 10:24:01.0531 3420 Page size: 0x1000
2011/07/21 10:24:01.0531 3420 Boot type: Normal boot
2011/07/21 10:24:01.0531 3420 ================================================================================
2011/07/21 10:24:03.0834 3420 Initialize success
2011/07/21 10:24:09.0763 2280 ================================================================================
2011/07/21 10:24:09.0763 2280 Scan started
2011/07/21 10:24:09.0763 2280 Mode: Manual;
2011/07/21 10:24:09.0763 2280 ================================================================================
2011/07/21 10:24:11.0465 2280 ACPI (8fd99680a539792a30e97944fdaecf17) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/07/21 10:24:11.0946 2280 ACPIEC (9859c0f6936e723e4892d7141b1327d5) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/07/21 10:24:12.0787 2280 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/07/21 10:24:13.0298 2280 AFD (355556d9e580915118cd7ef736653a89) C:\WINDOWS\System32\drivers\afd.sys
2011/07/21 10:24:13.0748 2280 agp440 (08fd04aa961bdc77fb983f328334e3d7) C:\WINDOWS\system32\DRIVERS\agp440.sys
2011/07/21 10:24:16.0122 2280 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2011/07/21 10:24:17.0784 2280 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/07/21 10:24:18.0235 2280 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/07/21 10:24:19.0106 2280 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/07/21 10:24:19.0547 2280 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/07/21 10:24:20.0007 2280 avmaudio (728c4a6c722535c16d1025f51aa31e22) C:\WINDOWS\system32\DRIVERS\avmaudio.sys
2011/07/21 10:24:20.0498 2280 avmaura (728c4a6c722535c16d1025f51aa31e22) C:\WINDOWS\system32\DRIVERS\avmaura.sys
2011/07/21 10:24:21.0009 2280 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/07/21 10:24:21.0479 2280 BootScreen (79ae655e58499f208cdf6320c12a91c3) C:\WINDOWS\System32\drivers\vidstub.sys
2011/07/21 10:24:22.0050 2280 CBDisk (93c568904e116607df2389907a9d8899) C:\WINDOWS\system32\drivers\CBDisk.sys
2011/07/21 10:24:22.0511 2280 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/07/21 10:24:22.0942 2280 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2011/07/21 10:24:23.0713 2280 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/07/21 10:24:24.0163 2280 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/07/21 10:24:24.0614 2280 Cdrom (4b0a100eaf5c49ef3cca8c641431eacc) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/07/21 10:24:26.0427 2280 ctljystk (71007bd2e1e26927fe3e4eb00c0beedf) C:\WINDOWS\system32\DRIVERS\ctljystk.sys
2011/07/21 10:24:26.0877 2280 d347bus (5776322f93cdb91086111f5ffbfda2a0) C:\WINDOWS\system32\DRIVERS\d347bus.sys
2011/07/21 10:24:27.0388 2280 d347prt (b49f79ace459763f4e0380071be9cb45) C:\WINDOWS\System32\Drivers\d347prt.sys
2011/07/21 10:24:28.0640 2280 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/07/21 10:24:29.0331 2280 dmboot (d992fe1274bde0f84ad826acae022a41) C:\WINDOWS\system32\drivers\dmboot.sys
2011/07/21 10:24:30.0092 2280 dmio (7c824cf7bbde77d95c08005717a95f6f) C:\WINDOWS\system32\drivers\dmio.sys
2011/07/21 10:24:30.0553 2280 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/07/21 10:24:30.0983 2280 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/07/21 10:24:32.0165 2280 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/07/21 10:24:32.0766 2280 EL90XBC (6e883bf518296a40959131c2304af714) C:\WINDOWS\system32\DRIVERS\el90xbc5.sys
2011/07/21 10:24:33.0487 2280 emu10k (eac137eb2c92c524cbb91b60f82db27e) C:\WINDOWS\system32\drivers\emu10k1f.sys
2011/07/21 10:24:34.0188 2280 emu10k1 (aadc81e967c25dd7c90e150fec6eab74) C:\WINDOWS\system32\drivers\ctlface.sys
2011/07/21 10:24:34.0849 2280 EverestDriver (898ad7d508f6ade242d94752e09f4152) F:\Programme 03\System\Diagnose\everest ultimate 5.50 PRG\kerneld.wnt
2011/07/21 10:24:35.0389 2280 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/07/21 10:24:35.0900 2280 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/07/21 10:24:36.0331 2280 Fips (d45926117eb9fa946a6af572fbe1caa3) C:\WINDOWS\system32\drivers\Fips.sys
2011/07/21 10:24:36.0761 2280 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/07/21 10:24:37.0232 2280 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/07/21 10:24:37.0713 2280 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/07/21 10:24:38.0204 2280 Ftdisk (6ac26732762483366c3969c9e4d2259d) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/07/21 10:24:38.0654 2280 gameenum (065639773d8b03f33577f6cdaea21063) C:\WINDOWS\system32\DRIVERS\gameenum.sys
2011/07/21 10:24:39.0085 2280 GEARAspiWDM (8182ff89c65e4d38b2de4bb0fb18564e) C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys
2011/07/21 10:24:39.0586 2280 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/07/21 10:24:40.0026 2280 HH9Help.sys (14c5a90d09e2ce3e66f2f9bb223242a0) C:\WINDOWS\system32\drivers\HH9Help.sys
2011/07/21 10:24:40.0927 2280 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/07/21 10:24:42.0229 2280 i8042prt (4a0b06aa8943c1e332520f7440c0aa30) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/07/21 10:24:42.0700 2280 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/07/21 10:24:43.0601 2280 IntelIde (b5466a9250342a7aa0cd1fba13420678) C:\WINDOWS\system32\DRIVERS\intelide.sys
2011/07/21 10:24:44.0002 2280 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/07/21 10:24:44.0442 2280 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/07/21 10:24:44.0883 2280 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/07/21 10:24:45.0354 2280 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/07/21 10:24:45.0814 2280 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/07/21 10:24:46.0225 2280 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/07/21 10:24:46.0626 2280 isapnp (05a299ec56e52649b1cf2fc52d20f2d7) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/07/21 10:24:47.0176 2280 Kbdclass (463c1ec80cd17420a542b7f36a36f128) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/07/21 10:24:47.0637 2280 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/07/21 10:24:48.0168 2280 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/07/21 10:24:49.0259 2280 LVUSBSta (c5efbd05a5195402121711a6ebbb271f) C:\WINDOWS\system32\drivers\lvusbsta.sys
2011/07/21 10:24:49.0780 2280 MBAMProtector (eca00eed9ab95489007b0ef84c7149de) C:\WINDOWS\system32\drivers\mbam.sys
2011/07/21 10:24:50.0301 2280 MDFSYSNT (958b893eb11586b4ed1301ba067abc94) C:\WINDOWS\system32\drivers\MDFSYSNT.sys
2011/07/21 10:24:50.0792 2280 MDPMGRNT (9f06ca581cce21fc72a946487aa243e9) C:\WINDOWS\system32\drivers\MDPMGRNT.sys
2011/07/21 10:24:51.0212 2280 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/07/21 10:24:51.0673 2280 Modem (dfcbad3cec1c5f964962ae10e0bcc8e1) C:\WINDOWS\system32\drivers\Modem.sys
2011/07/21 10:24:52.0093 2280 Mouclass (35c9e97194c8cfb8430125f8dbc34d04) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/07/21 10:24:52.0554 2280 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/07/21 10:24:53.0415 2280 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/07/21 10:24:54.0006 2280 MRxSmb (0dc719e9b15e902346e87e9dcd5751fa) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/07/21 10:24:54.0617 2280 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/07/21 10:24:55.0038 2280 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/07/21 10:24:55.0438 2280 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/07/21 10:24:55.0849 2280 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/07/21 10:24:56.0269 2280 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/07/21 10:24:56.0690 2280 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
2011/07/21 10:24:57.0141 2280 Mup (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
2011/07/21 10:24:57.0621 2280 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2011/07/21 10:24:58.0162 2280 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/07/21 10:24:58.0653 2280 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2011/07/21 10:24:59.0074 2280 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/07/21 10:24:59.0464 2280 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/07/21 10:24:59.0905 2280 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/07/21 10:25:00.0365 2280 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/07/21 10:25:00.0836 2280 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/07/21 10:25:01.0337 2280 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/07/21 10:25:01.0928 2280 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
2011/07/21 10:25:02.0408 2280 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/07/21 10:25:02.0989 2280 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/07/21 10:25:03.0690 2280 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/07/21 10:25:05.0142 2280 nv (2b298519edbfcf451d43e0f1e8f1006d) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2011/07/21 10:25:06.0194 2280 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/07/21 10:25:06.0644 2280 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/07/21 10:25:07.0135 2280 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2011/07/21 10:25:07.0606 2280 oodisr (283158b203da30bf3889619e2a490bd9) C:\WINDOWS\system32\DRIVERS\oodisr.sys
2011/07/21 10:25:08.0046 2280 oodisrh (f7a4bb81aa6f463696877d02fd8a00b3) C:\WINDOWS\system32\DRIVERS\oodisrh.sys
2011/07/21 10:25:08.0487 2280 oodivd (206eef1646e322cf2e1c0d7cf9ba53fc) C:\WINDOWS\system32\DRIVERS\oodivd.sys
2011/07/21 10:25:08.0938 2280 oodivdh (1b8a96970ab02bb8728aebcc89018a38) C:\WINDOWS\system32\DRIVERS\oodivdh.sys
2011/07/21 10:25:09.0388 2280 P3 (c90018bafdc7098619a4a95b046b30f3) C:\WINDOWS\system32\DRIVERS\p3.sys
2011/07/21 10:25:09.0859 2280 Parport (5575faf8f97ce5e713d108c2a58d7c7c) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/07/21 10:25:10.0310 2280 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/07/21 10:25:10.0730 2280 ParVdm (70e98b3fd8e963a6a46a2e6247e0bea1) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/07/21 10:25:11.0161 2280 PCI (a219903ccf74233761d92bef471a07b1) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/07/21 10:25:12.0353 2280 Pcmcia (9e89ef60e9ee05e3f2eef2da7397f1c1) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/07/21 10:25:15.0006 2280 PfModNT (2f5532f9b0f903b26847da674b4f55b2) C:\WINDOWS\system32\PfModNT.sys
2011/07/21 10:25:15.0587 2280 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/07/21 10:25:16.0028 2280 PQNTDrv (04f3971b70a7855f04d351aa4bee7799) C:\WINDOWS\system32\drivers\PQNTDrv.sys
2011/07/21 10:25:16.0489 2280 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/07/21 10:25:16.0959 2280 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/07/21 10:25:17.0800 2280 QCMerced (9a155d31b8e52f41b258282092cc93a7) C:\WINDOWS\system32\DRIVERS\LVCM.sys
2011/07/21 10:25:20.0615 2280 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/07/21 10:25:21.0045 2280 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/07/21 10:25:21.0496 2280 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/07/21 10:25:21.0916 2280 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/07/21 10:25:22.0377 2280 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/07/21 10:25:22.0798 2280 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/07/21 10:25:23.0298 2280 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/07/21 10:25:23.0819 2280 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/07/21 10:25:24.0340 2280 redbook (f828dd7e1419b6653894a8f97a0094c5) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/07/21 10:25:24.0780 2280 SASDIFSV (5bf35c4ea3f00fa8d3f1e5bf03d24584) C:\Program Files\Security\SUPERAntiSpyware\SASDIFSV.SYS
2011/07/21 10:25:24.0951 2280 SASENUM (a22f08c98ac2f44587bf3a1fb52bf8cd) C:\Program Files\Security\SUPERAntiSpyware\SASENUM.SYS
2011/07/21 10:25:25.0151 2280 SASKUTIL (c7d81c10d3befeee41f3408714637438) C:\Program Files\Security\SUPERAntiSpyware\SASKUTIL.sys
2011/07/21 10:25:25.0381 2280 SbieDrv (0e37b22d506d09f349885049db34f0dc) C:\Program Files\VirtualEnvironment\Sandboxie\SbieDrv.sys
2011/07/21 10:25:25.0902 2280 sbp2port (b244960e5a1db8e9d5d17086de37c1e4) C:\WINDOWS\system32\DRIVERS\sbp2port.sys
2011/07/21 10:25:26.0423 2280 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/07/21 10:25:26.0894 2280 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/07/21 10:25:27.0324 2280 Serial (cca207a8896d4c6a0c9ce29a4ae411a7) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/07/21 10:25:27.0775 2280 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/07/21 10:25:28.0195 2280 sfman (28b740a66cb88be3d0cd93d5664d7d88) C:\WINDOWS\system32\drivers\sfman.sys
2011/07/21 10:25:29.0117 2280 SiSV (3a4db551bcbfb9779b67e1982a1a8400) C:\WINDOWS\system32\DRIVERS\SiSV.sys
2011/07/21 10:25:29.0537 2280 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2011/07/21 10:25:30.0018 2280 snapman (b6aa9bbff890ffea333ffe81d0b888ff) C:\WINDOWS\system32\DRIVERS\snapman.sys
2011/07/21 10:25:30.0889 2280 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/07/21 10:25:31.0680 2280 sr (76bb022c2fb6902fd5bdd4f78fc13a5d) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/07/21 10:25:32.0251 2280 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/07/21 10:25:32.0852 2280 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2011/07/21 10:25:33.0223 2280 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/07/21 10:25:33.0683 2280 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/07/21 10:25:35.0696 2280 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/07/21 10:25:36.0257 2280 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/07/21 10:25:36.0808 2280 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/07/21 10:25:37.0258 2280 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/07/21 10:25:37.0669 2280 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/07/21 10:25:38.0070 2280 tifsfilter (b84b82c0cbeb1b0d7eb7a946bade5830) C:\WINDOWS\system32\DRIVERS\tifsfilt.sys
2011/07/21 10:25:38.0711 2280 timounter (c820bfc70feb25ec877c49e81cd477c1) C:\WINDOWS\system32\DRIVERS\timntr.sys
2011/07/21 10:25:40.0173 2280 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/07/21 10:25:40.0713 2280 UnlockerDriver5 (bb879dcfd22926efbeb3298129898cbb) F:\Programme 03\Dateienverwaltung\Unlocker 1.9.0\Unlocker 1.9.0 PRG\UnlockerDriver5.sys
2011/07/21 10:25:41.0284 2280 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/07/21 10:25:41.0955 2280 usbaudio (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
2011/07/21 10:25:42.0386 2280 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/07/21 10:25:42.0806 2280 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/07/21 10:25:43.0267 2280 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/07/21 10:25:43.0768 2280 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/07/21 10:25:44.0148 2280 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/07/21 10:25:44.0549 2280 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/07/21 10:25:44.0960 2280 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/07/21 10:25:45.0380 2280 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/07/21 10:25:45.0470 2280 Suspicious service (NoAccess): vdrv9000
2011/07/21 10:25:45.0871 2280 vdrv9000 (619714bcfca3b4e113940c37a89fe182) C:\WINDOWS\system32\DRIVERS\vdrv9000.sys
2011/07/21 10:25:45.0991 2280 vdrv9000 - detected LockedService.Multi.Generic (1)
2011/07/21 10:25:46.0402 2280 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/07/21 10:25:47.0243 2280 VolSnap (4c8fcb5cc53aab716d810740fe59d025) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/07/21 10:25:47.0774 2280 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/07/21 10:25:48.0334 2280 Wdf01000 (bbcfeab7e871cddac2d397ee7fa91fdc) C:\WINDOWS\system32\Drivers\wdf01000.sys
2011/07/21 10:25:49.0306 2280 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/07/21 10:25:50.0077 2280 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2011/07/21 10:25:50.0558 2280 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/07/21 10:25:51.0018 2280 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/07/21 10:25:51.0309 2280 MBR (0x1B8) (8f558eb6672622401da993e1e865c861) \Device\Harddisk0\DR0
2011/07/21 10:25:51.0599 2280 MBR (0x1B8) (7490e13dc489e4e704d2115976665d5e) \Device\Harddisk1\DR1
2011/07/21 10:25:51.0869 2280 MBR (0x1B8) (8f558eb6672622401da993e1e865c861) \Device\Harddisk2\DR5
2011/07/21 10:25:52.0040 2280 MBR (0x1B8) (8f558eb6672622401da993e1e865c861) \Device\Harddisk2\DR5
2011/07/21 10:25:52.0150 2280 Boot (0x1200) (66f18657bc6decb58873f7cfeea12ed1) \Device\Harddisk0\DR0\Partition0
2011/07/21 10:25:52.0220 2280 Boot (0x1200) (f821d6af0bb02893ce8a5059eab64726) \Device\Harddisk0\DR0\Partition1
2011/07/21 10:25:52.0300 2280 Boot (0x1200) (e2331c4a456f169306da634ed7497088) \Device\Harddisk2\DR5\Partition0
2011/07/21 10:25:52.0410 2280 Boot (0x1200) (e2331c4a456f169306da634ed7497088) \Device\Harddisk2\DR5\Partition0
2011/07/21 10:25:52.0781 2280 ================================================================================
2011/07/21 10:25:52.0781 2280 Scan finished
2011/07/21 10:25:52.0781 2280 ================================================================================
2011/07/21 10:25:52.0851 2272 Detected object count: 1
2011/07/21 10:25:52.0851 2272 Actual detected object count: 1
2011/07/21 10:26:52.0727 2272 LockedService.Multi.Generic(vdrv9000) - User select action: Skip
2011/07/21 10:31:22.0395 2476 Deinitialize success

3. Es gibt noch zwei weitere Logfiles vom 28.06.2011 mit ähnlichen Ergbnis.
4. Es gibt ein TDSSKiller_Quarantine Ordner auf Laufwerk C
4.1 Alle 3 Loggiles zusammen mit dem TDSSKiller_Quarantine Ordner habe ich in ein .RAR-Archiev gepackt und möchte dieses gerne als Anhang posten. Wie geht das?

Gruß
Tiger

cosinus · 21.07.2011, 10:53

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

tiger2come · 21.07.2011, 14:00

ComboFix bleibt mit folgender Meldung stehen:
ComboFix - Find3M - Konsolenmeldung:
Bereite Logdatei vor.
Starte keine anderen Programme, bevor ComboFix fertig ist.

Ferner noch drei weitere Events:

1. (PopUp)
CF26674.cfxxe - Corrupt File
The file or directory C:\Qoobox is corrupt and unreadable. Please run the Chkdsk utility.

2. (Message)
Cannot export C:\Qoobox\Quarantine\Registry_backups\AddRemove-Proactive System Password Recovery.reg.dat: Error opening the file. There may be a disk or file system error.

3. (Application Install - Security Warning)

Name: AVM Fritz!Box USB-Fernanschluss
From clickonce.avm.de
Publisher: AVM ... GmbH
[Instal] [Don't Install]

Gruß
Tiger

tiger2come · 21.07.2011, 14:13

Zitat:

Zitat von tiger2come

ComboFix bleibt mit folgender Meldung stehen:
ComboFix - Find3M - Konsolenmeldung:
Bereite Logdatei vor.
Starte keine anderen Programme, bevor ComboFix fertig ist.

Ferner noch drei weitere Events:

1. (PopUp)
CF26674.cfxxe - Corrupt File
The file or directory C:\Qoobox is corrupt and unreadable. Please run the Chkdsk utility.

2. (Message)
Cannot export C:\Qoobox\Quarantine\Registry_backups\AddRemove-Proactive System Password Recovery.reg.dat: Error opening the file. There may be a disk or file system error.

3. (Application Install - Security Warning)

Name: AVM Fritz!Box USB-Fernanschluss
From clickonce.avm.de
Publisher: AVM ... GmbH
[Instal] [Don't Install]

Gruß
Tiger

Habe nach anklicken des OK-Buttoms das Log bekommen:

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-07-21.02 - u 21.07.2011  13:46:45.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1033.18.511.116 [GMT 2:00]
ausgeführt von:: c:\documents and settings\u\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\u\WINDOWS
c:\windows\explorer(2).exe
c:\windows\explorer(3).exe
c:\windows\IsUn0407.exe
c:\windows\system32\ctfmon(2).exe
c:\windows\system32\ctfmon(3).exe
c:\windows\system32\linkinfo(2).dll
c:\windows\system32\linkinfo(3).dll
c:\windows\system32\regsvr32(2).exe
c:\windows\system32\regsvr32(3).exe
c:\windows\system32\usp10(2).dll
c:\windows\unin0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-06-21 bis 2011-07-21  ))))))))))))))))))))))))))))))
.
.
2011-07-21 11:21 . 2011-07-21 11:21	--------	d-----w-	C:\TDSSKiller_Quarantine
2011-07-17 09:39 . 2011-07-17 09:39	--------	d-----w-	c:\windows\$$ 14.07.2011  10,3 MB (10.898.456 bytes)
2011-07-14 11:26 . 2011-07-14 11:26	54016	----a-w-	c:\windows\system32\drivers\slxv.sys
2011-07-12 06:46 . 2011-07-12 06:52	--------	d-----w-	c:\documents and settings\u\Application Data\Smarty Uninstaller
2011-07-12 06:32 . 2011-07-12 06:32	--------	d-----w-	c:\documents and settings\All Users\Application Data\IsolatedStorage
2011-07-12 06:30 . 2011-04-25 08:25	4603616	----a-w-	c:\windows\system32\DevComponents.DotNetBar2.dll
2011-06-28 09:04 . 2011-06-28 09:04	--------	d-----w-	c:\documents and settings\u\Application Data\Malwarebytes
2011-06-28 09:04 . 2011-07-06 17:52	41272	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-06-28 09:03 . 2011-06-28 09:03	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-06-28 09:03 . 2011-07-06 17:52	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-06-26 13:21 . 2011-06-26 13:21	11	----a-w-	C:\mbrfix.bat
2011-06-26 13:20 . 2011-06-26 13:04	89088	----a-w-	C:\mbr.exe
2011-06-26 13:12 . 2011-06-26 13:04	89088	----a-w-	c:\windows\system32\mbr.exe
2011-06-26 09:57 . 2011-06-26 09:57	--------	d-----w-	c:\program files\Common Files\BitDefender
2011-06-26 09:54 . 2011-06-26 10:18	47358	----a-w-	c:\documents and settings\All Users\Application Data\bdinstall.bin
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-18 19:48 . 2011-05-21 18:48	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-06-02 14:02 . 2009-10-10 18:10	1858944	----a-w-	c:\windows\system32\win32k.sys
2011-05-24 07:10 . 2011-05-24 07:10	119808	----a-r-	c:\documents and settings\u\Application Data\Microsoft\Installer\{CCF298AF-9CE1-4B26-B251-486E98A34789}\icons.exe
2011-05-02 15:31 . 2009-09-23 07:51	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-04-29 17:25 . 2009-10-10 18:10	151552	----a-w-	c:\windows\system32\schannel.dll
2011-04-29 16:19 . 2009-10-10 18:10	456320	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-04-26 11:07 . 2009-10-10 18:10	33280	----a-w-	c:\windows\system32\csrsrv.dll
2011-04-26 11:07 . 2004-08-03 22:56	293376	----a-w-	c:\windows\system32\winsrv.dll
2011-04-25 16:11 . 2004-08-03 22:56	916480	----a-w-	c:\windows\system32\wininet.dll
2011-04-25 16:11 . 2004-08-03 22:56	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2011-04-25 16:11 . 2004-08-03 22:56	43520	----a-w-	c:\windows\system32\licmgr10.dll
2011-04-25 12:01 . 2004-08-03 20:59	385024	----a-w-	c:\windows\system32\html.iec
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OODIIcon]
@="{14A94384-BBED-47ed-86C0-6BF63FD892D0}"
[HKEY_CLASSES_ROOT\CLSID\{14A94384-BBED-47ed-86C0-6BF63FD892D0}]
2010-09-01 00:21	111944	----a-w-	f:\programme 03\Dateienverwaltung\IMAGE-Tools\O&O DiskImage 5 Pro PRG\oodishi.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vidalia"="REM" [X]
"LDM"="REM" [X]
"LogitechSoftwareUpdate"="REM" [X]
"SandboxieControl"="REM" [X]
"AVMUSBRemoteConnection"="REM" [X]
"PeerBlock"="REM" [X]
"SUPERAntiSpyware"="REM" [X]
"AVMUSBFernanschluss"="c:\documents and settings\u\Local Settings\Apps\2.0\3OEW5K9B.2D6\LW0Y1VBV.G0V\frit..tion_8488884cfbcefd60_0002.0002_8541bf1f4a1c673d\AVMAutoStart.exe" [2011-01-09 147456]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="REM" [X]
"VC9Player"="REM" [X]
"AudioHQ"="REM" [X]
"Dell AIO Printer A920"="REM" [X]
"MacDrive 8 application"="REM" [X]
"Getting started with MacDrive 8"="REM" [X]
"AppleSyncNotifier"="REM" [X]
"OODefragTray"="REM" [X]
"QuickTime Task"="REM" [X]
"LogitechVideoRepair"="REM" [X]
"LogitechVideoTray"="REM" [X]
"LogitechGalleryRepair"="REM" [X]
"LogitechImageStudioTray"="REM" [X]
"AVMUSBRemoteConnection"="REM" [X]
"LVCOMSX"="REM" [X]
"RAMpage"="REM" [X]
"ABBYY Community Agent"="REM" [X]
"SunJavaUpdateSched"="REM" [X]
"TomTomHOME.exe"="REM" [X]
"OODITRAY.EXE"="REM" [X]
"Malwarebytes' Anti-Malware"="REM" [X]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
.
c:\documents and settings\u\Start Menu\Programs\Startup\
ERUNT AutoBackup.lnk - c:\program files\Registry\ERUNT\AUTOBACK.EXE [2005-10-20 38912]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\SharedTaskScheduler]
"{EC654325-1273-C2A9-2B7C-45A29BCE2FBD}"= "c:\windows\system32\regsvr32.exe" [2008-04-14 11776]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\Security\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21	548352	----a-w-	c:\program files\Security\SUPERAntiSpyware\SASWINLO.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0oodbs\0pgdfgsvc C 1
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Apple Mobile Device"=2 (0x2)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\InterNet\\uTorrent\\uTorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\DSL\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Program Files\\DSL\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Program Files\\DSL\\FRITZ!DSL\\WebwaIgd.exe"=
"c:\\Documents and Settings\\u\\Local Settings\\Apps\\2.0\\XW5471ZK.4N3\\KZVHJ9MH.BZ7\\frit..tion_8488884cfbcefd60_0002.0001_f24dc39254641428\\fritzbox-usb-fernanschluss.exe"=
"c:\\Program Files\\Media\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Brwoser\\Opera\\opera.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=
"c:\\Documents and Settings\\u\\Local Settings\\Apps\\2.0\\XW5471ZK.4N3\\KZVHJ9MH.BZ7\\frit..tion_8488884cfbcefd60_0002.0002_9409db79b3f040fd\\fritzbox-usb-fernanschluss.exe"=
"c:\\Documents and Settings\\u\\Local Settings\\Apps\\2.0\\3OEW5K9B.2D6\\LW0Y1VBV.G0V\\frit..tion_8488884cfbcefd60_0002.0002_8541bf1f4a1c673d\\fritzbox-usb-fernanschluss.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R0 MDFSYSNT;MacDrive file system driver;c:\windows\system32\drivers\MDFSYSNT.SYS [07.10.2010 16:36 234160]
R0 MDPMGRNT;MacDrive partition driver;c:\windows\system32\drivers\MDPMGRNT.SYS [12.05.2010 15:51 29792]
R0 oodisr;O&O DiskImage Snapshot/Restore Driver;c:\windows\system32\drivers\oodisr.sys [01.09.2010 02:24 96336]
R0 oodisrh;oodisrh;c:\windows\system32\drivers\oodisrh.sys [01.09.2010 02:24 28752]
R0 oodivd;O&O DiskImage Virtual Devices Driver;c:\windows\system32\drivers\oodivd.sys [01.09.2010 02:24 171088]
R0 oodivdh;oodivdh;c:\windows\system32\drivers\oodivdh.sys [01.09.2010 02:24 31824]
R1 CBDisk;CBDisk;c:\windows\system32\drivers\CBDisk.sys [19.02.2010 10:17 57800]
R1 SASDIFSV;SASDIFSV;c:\program files\Security\SUPERAntiSpyware\sasdifsv.sys [04.09.2009 14:50 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\Security\SUPERAntiSpyware\SASKUTIL.SYS [04.09.2009 14:49 74480]
R1 vdrv9000;vdrv9000;c:\windows\system32\drivers\vdrv9000.sys [27.09.2009 11:08 113688]
R2 ABBYY.Licensing.FineReader.Corporate.10.0;ABBYY FineReader 10 CE Licensing Service;c:\program files\Common Files\ABBYY\FineReader\10.00\Licensing\CE\NetworkLicenseServer.exe [19.12.2009 02:06 814344]
R2 IGDCTRL;AVM IGD CTRL Service;c:\program files\DSL\FRITZ!DSL\IGDCTRL.EXE [28.07.2009 17:07 73528]
R2 MacDrive8Service;MacDrive 8 service;c:\program files\Mediafour\MacDrive 8\MacDrive8Service.exe [08.10.2010 13:11 131584]
R2 MBAMService;MBAMService;f:\programme 03\Security\Malwarebytes' Anti-Malware PRG\mbamservice.exe [28.06.2011 11:04 366640]
R2 OO DiskImage;OO DiskImage;f:\programme 03\Dateienverwaltung\IMAGE-Tools\O&O DiskImage 5 Pro PRG\oodiag.exe [01.09.2010 02:21 2811208]
R2 TomTomHOMEService;TomTomHOMEService;f:\programme 03\NaViGat\TomTom HOME 2 PRG\TomTomHOMEService.exe [22.04.2011 14:21 92592]
R2 VC9SecS;Virtual CD v9 Management Service;c:\program files\CDVD\Virtual CD v9\System\VC9SecS.exe [27.09.2009 11:08 132424]
R3 avmaudio;AVM Audio;c:\windows\system32\drivers\avmaudio.sys [15.11.2010 21:51 101248]
R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [14.12.2009 14:18 101248]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [28.06.2011 11:03 22712]
R3 SiSV;SiSV;c:\windows\system32\drivers\SiSV.sys [23.09.2009 11:46 50432]
S3 DRHARD;DRHARD;\??\c:\windows\system32\DRIVERS\DRHARD.SYS --> c:\windows\system32\DRIVERS\DRHARD.SYS [?]
S3 DrvSnSht;DrvSnSht;\??\c:\docume~1\u\LOCALS~1\Temp\RarSFX0\DrvSnSht.sys --> c:\docume~1\u\LOCALS~1\Temp\RarSFX0\DrvSnSht.sys [?]
S3 DYCD;DYCD;c:\docume~1\u\LOCALS~1\Temp\DYCD.exe --> c:\docume~1\u\LOCALS~1\Temp\DYCD.exe [?]
S3 EST_BusEnum;Network USB Device Bus;c:\windows\system32\DRIVERS\GenBus.sys --> c:\windows\system32\DRIVERS\GenBus.sys [?]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;f:\programme 03\System\Diagnose\everest ultimate 5.50 PRG\kerneld.wnt [08.08.2010 10:17 27760]
S3 HH9Help.sys;HH9Help.sys;c:\windows\system32\drivers\HH9Help.sys [27.09.2009 11:08 11392]
S3 KZ;KZ;c:\docume~1\u\LOCALS~1\Temp\KZ.exe --> c:\docume~1\u\LOCALS~1\Temp\KZ.exe [?]
S3 NUS_Bus;Network USB Server Bus;c:\windows\system32\DRIVERS\NUS_Bus.sys --> c:\windows\system32\DRIVERS\NUS_Bus.sys [?]
S3 OFI;OFI;c:\docume~1\u\LOCALS~1\Temp\OFI.exe --> c:\docume~1\u\LOCALS~1\Temp\OFI.exe [?]
S3 R-ImageDisk;R-ImageDisk;\??\c:\docume~1\u\LOCALS~1\Temp\RarSFX0\R-ImageDisk.sys --> c:\docume~1\u\LOCALS~1\Temp\RarSFX0\R-ImageDisk.sys [?]
S3 SASENUM;SASENUM;c:\program files\Security\SUPERAntiSpyware\SASENUM.SYS [04.09.2009 14:50 7408]
S4 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [23.09.2009 10:06 155136]
S4 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [23.09.2009 10:06 5248]
S4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
2011-07-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = localhost
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: Interfaces\{185678A2-0AEE-47CC-A45E-4DA946872CD5}: NameServer = 192.168.178.2,192.168.1.1
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\u\Application Data\Mozilla\Firefox\Profiles\628zcihv.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1700389&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://web.de/
.
Supplementary scan did not complete!
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
ShellIconOverlayIdentifiers-MacDrive volume icons - (no file)
HKCU-Run-fsm - (no file)
HKU-Default-Run-FRITZ!protect - FwebProt.exe
AddRemove-Proactive System Password Recovery - f:\programme 03\Security\Password Recovery\Proactive System Password Recovery 6.3 PRG\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-07-21 14:20
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet025\Services\EverestDriver]
"ImagePath"="\??\f:\programme 03\System\Diagnose\everest ultimate 5.50 PRG\kerneld.wnt"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•A~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•A~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
"OODEFRAG11.00.00.01WORKSTATION"="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"
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
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(844)
c:\program files\Security\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\WININET.dll
c:\documents and settings\u\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
c:\documents and settings\u\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
.
- - - - - - - > 'explorer.exe'(3820)
c:\windows\system32\WININET.dll
f:\programme 03\Dateienverwaltung\IMAGE-Tools\O&O DiskImage 5 Pro PRG\oodishi.dll
f:\programme 03\Dateienverwaltung\IMAGE-Tools\O&O DiskImage 5 Pro PRG\oodishrs.dll
c:\program files\Mediafour\MacDrive 8\MDVolumeIcons.dll
c:\program files\Mediafour\MacDrive 8\MACDRAPI.DLL
c:\program files\Media\iTunes\iTunesMiniPlayer.dll
c:\program files\Media\iTunes\iTunesMiniPlayer.Resources\de.lproj\iTunesMiniPlayerLocalized.dll
c:\program files\Media\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\IEFRAME.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\msi.dll
c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\MSVCR80.dll
f:\programme 03\Dateienverwaltung\Unlocker 1.9.0\Unlocker 1.9.0 PRG\UnlockerCOM.dll
f:\programme 03\Security\Malwarebytes' Anti-Malware PRG\mbamext.dll
c:\program files\CDVD\Virtual CD v9\System\vc9extse.dll
c:\program files\CDVD\Virtual CD v9\System\vc9fwd.dll
c:\program files\CDVD\Virtual CD v9\System\vc9job.dll
c:\program files\CDVD\Virtual CD v9\System\VC9Env.dll
c:\windows\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_b77cec8e\MFC80.DLL
c:\program files\CDVD\Virtual CD v9\System\vc9cvt.dll
c:\program files\CDVD\Virtual CD v9\System\VC9Scsi.dll
c:\program files\CDVD\Virtual CD v9\System\vc9perm.dll
c:\program files\CDVD\Virtual CD v9\System\vc9comm.dll
c:\program files\CDVD\Virtual CD v9\System\vc9prop.dll
c:\program files\CDVD\Virtual CD v9\System\hhfiledlg.dll
c:\program files\CDVD\Virtual CD v9\System\vc9op.dll
c:\program files\Dateienverwaltung\Packer\WinRAR PRG\rarext.dll
c:\progra~1\FESTPL~1\OOSOFT~1\DEFRAG~1\oodsh.dll
c:\progra~1\FESTPL~1\OOSOFT~1\DEFRAG~1\OODSHRS.DLL
f:\programme 03\Text\FineReader\FineReader 10 Corporate Edition PRG\FRIntegration.dll
c:\program files\DeskTop\Fences\FencesMenu.dll
c:\program files\Dateienverwaltung\Explorer\FastFolders PRG\FastFolders32.dll
c:\program files\Microsoft Office\OFFICE11\msohev.dll
c:\program files\Dateienverwaltung\Explorer\FastFolders PRG\FolderSize32.dll
c:\program files\Common Files\Mediafour\MACFPROP.DLL
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\oodag.exe
c:\program files\VirtualEnvironment\Sandboxie\SbieSvc.exe
c:\windows\system32\devldr32.exe
c:\windows\Microsoft.NET\Framework\v2.0.50727\dfsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-07-21  15:08:20 - PC wurde neu gestartet
.
Vor Suchlauf: 4.279.001.088 bytes free
Nach Suchlauf: 4.267.352.064 bytes free
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - F34F9AE0DABFADCDF445161F0021C590

--- --- ---

Gruß
Tiger

18.07.2011, 18:53	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	svchost.exe hat 100% Auslastung - vermute Trojaner Bei OTL ist dir ein Fehler unterlaufen, mach es bitte nochmal aber richtig... __________________ Logfiles bitte immer in CODE-Tags posten

19.07.2011, 10:10	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	svchost.exe hat 100% Auslastung - vermute Trojaner Lad die OTL.exe bitte neu herunter und probier es nochmal. Wenn es immer noch nicht geht mal im abgesicherten Modus von Windows ausprobieren __________________ --> svchost.exe hat 100% Auslastung - vermute Trojaner

svchost.exe hat 100% Auslastung - vermute Trojaner

Log-Analyse und Auswertung: svchost.exe hat 100% Auslastung - vermute Trojaner