| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: BOO/TDss.M im Masterbootsektor/HD0 entdecktWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
23.07.2011, 11:12
| #1 |
 |  BOO/TDss.M im Masterbootsektor/HD0 entdeckt Einen schönen guten Tag, ich habe auf meinem Laptop während der letzten Virenprüfung mit Avira Antivir feststellen müssen, dass ich einen Virus "BOO/TDss.M" im Masterbootsektor/HD0 habe. Nach beendigung des Avira Suchlaufs wurde der restsuchlauf beendet und mir wurden komischerweise 0 Funde angezeigt. Seit dem wird mir bei jedem Neustart des PCs durch ein Avira Popup angezeigt das der Virus noch da ist (auch wenn ich in besagtem Popup auf "Entfernen" klicke). Dadurch das der Laptop auch von meiner (mittlerweile) Ex-freundin genutzt wurde, kann ich leider keine genauen Angaben dazu machen, auf welchen Websites sie war oder ob sie irgentwelche Datein runtergeladen hat die zu diesem Virus geführt haben könnten. Das Hochfahren des Laptops dauert echt ewig mittlerweile. Verschiedene Internetseiten haben sich in meinem Browser auch geöffnet, das kam aber bis auf das eine mal nicht mehr vor. Unternommen habe ich noch nicht wirklich viel, außer das ich bestimmt 5 mal einen Virenscan mit Avira durchgeührt habe und mir (auf anraten des Antivirenprogramms) ein Bootsektor Repair tool runtergeladen hab, was ich aber noch nicht genutzt habe, da das Prog es ja nicht mal schafft den Virus zu entfernen. Die defogger und OTL logs sind im Anhang gezipt. ich hoffe ihr könnt mir helfen... An dem Laptop arbeite ich nämlich auch, und wenn der nicht mehr zu gebrauchen wäre, dann wär das.... schon recht schade, um es mal so zu sagen  |
|
23.07.2011, 14:47
| #2 |
| /// TB-Ausbilder   | BOO/TDss.M im Masterbootsektor/HD0 entdeckt Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen. Bitte beachte folgende Hinweise:
Hinweis: Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Ich bereite jetzt einen Fix vor und melde mich so bald als möglich mit weiteren Anweisungen. |
|
23.07.2011, 15:04
| #3 |
| /// TB-Ausbilder | BOO/TDss.M im Masterbootsektor/HD0 entdeckt Hallo Ifron,
__________________Schritt # 1: FileSharing Programme Ich sehe das Du sogenannte Peer to Peer oder Filesharing Programme verwendest. In deinem Fall µTorrent. Diese Programme erlauben es Dir, Daten mit anderen Usern auszutauschen. Leider ist auch p2p oder Filesharing nicht ausgenommen, infizierte Dateien zu verteilen und ist auch ein Grund warum sich Malware so schnell verbreitet. Es ist also möglich, dass Du Dir eine Infizierte Datei herunter ladest. Du kannst niemals wissen, woher diese stammen. Daher sollte diese Art Software mit äußerster Vorsicht benutzt werden. Ein ebenfalls wichtiger Punkt ist, dass das Verbreiten von Media und Entertainment Dateien in den meisten Ländern der Welt gegen Copyright Rechte verstößt. Natürlich gibt es auch einen legalen Weg zur Nutzung dieses Service. Zum Beispiel zum Downloaden von Linux oder Open Office. Denoch würde ich Dich ersuchen, diese Art von Software nicht weiterhin zu verwenden. Bitte gehe zu Start --> Systemsteuerung --> Programme deinstallieren und deinstalliere die oben genannte Software. Bitte sag bescheid wenn Du eines der gelisteten Programme nicht finden kannst. Schritt # 2: aswMBR.exe ausführen Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit. Schritt # 3: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
|
23.07.2011, 17:46
| #4 |
| | BOO/TDss.M im Masterbootsektor/HD0 entdeckt Vielen Dank für die wirklich schnelle Antwort als aller erstes.  Zum Thema UTorrent: Ich habe mir das mal runtergeladen weil ich auf chip.de die Möglichkeit gesehen habe das man eben auch Torrents runterladen kann und das mal geschwindigkeitsmäßig testen wollte. Das das so unsicher ist wusste ich nicht.  Das Programm befindet sich auf einer externen Festplatte zu der ich keinen Zugriff mehr habe, Deinstallieren war also weder möglich noch nötig. ^^Hier die Logfiles von aswMBR: Code:
ATTFilter aswMBR version 0.9.8.977 Copyright(c) 2011 AVAST Software
Run date: 2011-07-23 18:25:18
-----------------------------
18:25:18.172 OS Version: Windows x64 6.1.7600
18:25:18.172 Number of processors: 2 586 0x2505
18:25:18.188 ComputerName: ANN-MARIE-1 UserName: Ann-Marie
18:25:21.526 Initialize success
18:26:09.955 AVAST engine defs: 11072301
18:26:33.745 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
18:26:33.745 Disk 0 Vendor: WDC_WD50 01.0 Size: 476940MB BusType: 3
18:26:33.761 Device \Driver\iaStor -> MajorFunction fffffa8004ad16c0
18:26:35.773 Disk 0 MBR read successfully
18:26:35.773 Disk 0 MBR scan
18:26:35.804 Disk 0 MBR:Alureon-G [Rtk]
18:26:35.804 Disk 0 TDL4@MBR code has been found
18:26:35.820 Disk 0 MBR hidden
18:26:35.820 Disk 0 MBR [TDL4] **ROOTKIT**
18:26:35.835 Disk 0 trace - called modules:
18:26:35.835 ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0xfffffa8004ad16c0]<<
18:26:35.835 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004ab7760]
18:26:35.851 3 CLASSPNP.SYS[fffff88001abf43f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa80048ee050]
18:26:35.851 \Driver\iaStor[0xfffffa8004acee70] -> IRP_MJ_CREATE -> 0xfffffa8004ad16c0
18:26:38.082 AVAST engine scan C:\Windows
18:26:43.183 AVAST engine scan C:\Windows\system32
18:28:38.062 AVAST engine scan C:\Windows\system32\drivers
18:28:49.496 AVAST engine scan C:\Users\Ann-Marie
18:31:19.243 File: C:\Users\Ann-Marie\AppData\Local\Temp\Temp1_MagicISO_5.xx.zip\patch.exe **INFECTED** Win32:Trojan-gen
18:32:23.702 File: C:\Users\Ann-Marie\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56\43cab8f8-578d78f2 **INFECTED** Win32:Kryptik-DUX [Trj]
18:35:03.540 AVAST engine scan C:\ProgramData
18:37:28.480 Scan finished successfully
18:39:42.484 Disk 0 MBR has been saved successfully to "C:\Users\Ann-Marie\Desktop\MBR.dat"
18:39:42.484 The log file has been saved successfully to "C:\Users\Ann-Marie\Desktop\aswMBR.txt"
|
|
23.07.2011, 18:30
| #5 | |
| /// TB-Ausbilder | BOO/TDss.M im Masterbootsektor/HD0 entdeckt Hallo Ifron, Zitat:
Hast du eine Windows 7 DVD zur Hand? Wenn ja, handelt es sich dabei um eine normale Windows DVD oder eine Recovery DVD? Was steht genau drauf? Du hast u.a. ein Rootkit im Master Boot Sektor. So gehts weiter: Schritt # 1: TDSS Killer ausführen Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.
Schritt # 2: ComboFix ausführen Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Lade ComboFix von einem dieser Download-Spiegel herunter: BleepingComputer - ForoSpyware * Wichtig !! Speichere ComboFix auf dem Desktop
 Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:  Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren. Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei. Schritt # 3: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
|
23.07.2011, 19:17
| #6 |
| | BOO/TDss.M im Masterbootsektor/HD0 entdeckt Bevor ich weiter mache, wollte ich noch sagen, dass ich keine Win 7 DVD besitze, da ich keine bekommen habe als ich diesen Laptop gekauft habe. Sollte ich die angegebenen Schritte trotzdem ausführen, oder muss ich unbedingt eine Win 7 DVD dazu haben? Zu dem Torrent Programm: Soweit ich mich erinnern kann habe ich dieses Programm vor einiger Zeit über meinen Laptop auf eine externe Festplatte installiert. Als ich versucht habe es zu deinstallieren kam eine Meldung die besagte, dass das besagte Programm nicht deinstalliert werden konnte, da der Dateipfad nciht gefunden wurde... Ich bin nicht so der PC kenner... gibt es einen weg wie ich es trotzdem deinstallieren kann bzw. wie ich herausfinden kann ob es doch auf meinen Laptop installiert ist? |
|
23.07.2011, 19:21
| #7 | ||
| /// TB-Ausbilder | BOO/TDss.M im Masterbootsektor/HD0 entdeckt Hallo Ifron, Zitat:
Zitat:
 Ich warte auf deine Rückmeldung. |
|
23.07.2011, 20:04
| #8 |
| | BOO/TDss.M im Masterbootsektor/HD0 entdeckt Hier die Logfiles: erst der tdsskiller log Code:
ATTFilter 2011/07/23 20:30:47.0700 1976 TDSS rootkit removing tool 2.5.11.0 Jul 11 2011 16:56:56
2011/07/23 20:30:47.0856 1976 ================================================================================
2011/07/23 20:30:47.0856 1976 SystemInfo:
2011/07/23 20:30:47.0856 1976
2011/07/23 20:30:47.0856 1976 OS Version: 6.1.7600 ServicePack: 0.0
2011/07/23 20:30:47.0856 1976 Product type: Workstation
2011/07/23 20:30:47.0856 1976 ComputerName: ANN-MARIE-1
2011/07/23 20:30:47.0856 1976 UserName: Ann-Marie
2011/07/23 20:30:47.0856 1976 Windows directory: C:\Windows
2011/07/23 20:30:47.0856 1976 System windows directory: C:\Windows
2011/07/23 20:30:47.0856 1976 Running under WOW64
2011/07/23 20:30:47.0856 1976 Processor architecture: Intel x64
2011/07/23 20:30:47.0856 1976 Number of processors: 2
2011/07/23 20:30:47.0856 1976 Page size: 0x1000
2011/07/23 20:30:47.0856 1976 Boot type: Normal boot
2011/07/23 20:30:47.0856 1976 ================================================================================
2011/07/23 20:30:48.0324 1976 Initialize success
2011/07/23 20:30:55.0531 4864 ================================================================================
2011/07/23 20:30:55.0531 4864 Scan started
2011/07/23 20:30:55.0531 4864 Mode: Manual;
2011/07/23 20:30:55.0531 4864 ================================================================================
2011/07/23 20:30:56.0217 4864 1394ohci (1b00662092f9f9568b995902f0cc40d5) C:\Windows\system32\DRIVERS\1394ohci.sys
2011/07/23 20:30:56.0326 4864 ACPI (6f11e88748cdefd2f76aa215f97ddfe5) C:\Windows\system32\DRIVERS\ACPI.sys
2011/07/23 20:30:56.0592 4864 AcpiPmi (63b05a0420ce4bf0e4af6dcc7cada254) C:\Windows\system32\DRIVERS\acpipmi.sys
2011/07/23 20:30:56.0701 4864 adp94xx (2f6b34b83843f0c5118b63ac634f5bf4) C:\Windows\system32\DRIVERS\adp94xx.sys
2011/07/23 20:30:56.0826 4864 adpahci (597f78224ee9224ea1a13d6350ced962) C:\Windows\system32\DRIVERS\adpahci.sys
2011/07/23 20:30:56.0982 4864 adpu320 (e109549c90f62fb570b9540c4b148e54) C:\Windows\system32\DRIVERS\adpu320.sys
2011/07/23 20:30:57.0153 4864 AFD (b9384e03479d2506bc924c16a3db87bc) C:\Windows\system32\drivers\afd.sys
2011/07/23 20:30:57.0278 4864 agp440 (608c14dba7299d8cb6ed035a68a15799) C:\Windows\system32\DRIVERS\agp440.sys
2011/07/23 20:30:57.0403 4864 aliide (5812713a477a3ad7363c7438ca2ee038) C:\Windows\system32\DRIVERS\aliide.sys
2011/07/23 20:30:57.0512 4864 amdide (1ff8b4431c353ce385c875f194924c0c) C:\Windows\system32\DRIVERS\amdide.sys
2011/07/23 20:30:57.0621 4864 AmdK8 (7024f087cff1833a806193ef9d22cda9) C:\Windows\system32\DRIVERS\amdk8.sys
2011/07/23 20:30:57.0746 4864 AmdPPM (1e56388b3fe0d031c44144eb8c4d6217) C:\Windows\system32\DRIVERS\amdppm.sys
2011/07/23 20:30:57.0871 4864 amdsata (7a4b413614c055935567cf88a9734d38) C:\Windows\system32\DRIVERS\amdsata.sys
2011/07/23 20:30:57.0996 4864 amdsbs (f67f933e79241ed32ff46a4f29b5120b) C:\Windows\system32\DRIVERS\amdsbs.sys
2011/07/23 20:30:58.0105 4864 amdxata (b4ad0cacbab298671dd6f6ef7e20679d) C:\Windows\system32\DRIVERS\amdxata.sys
2011/07/23 20:30:58.0245 4864 AmUStor (391887990cdaa83de5c56c3fde966da1) C:\Windows\system32\drivers\AmUStor.SYS
2011/07/23 20:30:58.0401 4864 ApfiltrService (fab590e0fc28cb474b965f8267458e14) C:\Windows\system32\DRIVERS\Apfiltr.sys
2011/07/23 20:30:58.0510 4864 AppID (42fd751b27fa0e9c69bb39f39e409594) C:\Windows\system32\drivers\appid.sys
2011/07/23 20:30:58.0666 4864 arc (c484f8ceb1717c540242531db7845c4e) C:\Windows\system32\DRIVERS\arc.sys
2011/07/23 20:30:58.0744 4864 arcsas (019af6924aefe7839f61c830227fe79c) C:\Windows\system32\DRIVERS\arcsas.sys
2011/07/23 20:30:58.0869 4864 AsyncMac (769765ce2cc62867468cea93969b2242) C:\Windows\system32\DRIVERS\asyncmac.sys
2011/07/23 20:30:58.0978 4864 atapi (02062c0b390b7729edc9e69c680a6f3c) C:\Windows\system32\DRIVERS\atapi.sys
2011/07/23 20:30:59.0119 4864 athr (e642491f64e58cd5bc8fb8b347dcf65f) C:\Windows\system32\DRIVERS\athrx.sys
2011/07/23 20:30:59.0322 4864 atksgt (09149d03629a44f4773e621c432d1d89) C:\Windows\system32\DRIVERS\atksgt.sys
2011/07/23 20:30:59.0509 4864 avgntflt (b1224e6b086cd6548315b04ab575a23e) C:\Windows\system32\DRIVERS\avgntflt.sys
2011/07/23 20:30:59.0634 4864 avipbb (ed45f12cfa62b83765c9c1496758cc87) C:\Windows\system32\DRIVERS\avipbb.sys
2011/07/23 20:30:59.0805 4864 b06bdrv (3e5b191307609f7514148c6832bb0842) C:\Windows\system32\DRIVERS\bxvbda.sys
2011/07/23 20:30:59.0961 4864 b57nd60a (b5ace6968304a3900eeb1ebfd9622df2) C:\Windows\system32\DRIVERS\b57nd60a.sys
2011/07/23 20:31:00.0148 4864 BCM43XX (9e84a931dbee0292e38ed672f6293a99) C:\Windows\system32\DRIVERS\bcmwl664.sys
2011/07/23 20:31:00.0351 4864 Beep (16a47ce2decc9b099349a5f840654746) C:\Windows\system32\drivers\Beep.sys
2011/07/23 20:31:00.0476 4864 blbdrive (61583ee3c3a17003c4acd0475646b4d3) C:\Windows\system32\DRIVERS\blbdrive.sys
2011/07/23 20:31:00.0601 4864 bowser (91ce0d3dc57dd377e690a2d324022b08) C:\Windows\system32\DRIVERS\bowser.sys
2011/07/23 20:31:00.0694 4864 BrFiltLo (f09eee9edc320b5e1501f749fde686c8) C:\Windows\system32\DRIVERS\BrFiltLo.sys
2011/07/23 20:31:00.0741 4864 BrFiltUp (b114d3098e9bdb8bea8b053685831be6) C:\Windows\system32\DRIVERS\BrFiltUp.sys
2011/07/23 20:31:00.0788 4864 Brserid (43bea8d483bf1870f018e2d02e06a5bd) C:\Windows\System32\Drivers\Brserid.sys
2011/07/23 20:31:00.0819 4864 BrSerWdm (a6eca2151b08a09caceca35c07f05b42) C:\Windows\System32\Drivers\BrSerWdm.sys
2011/07/23 20:31:00.0866 4864 BrUsbMdm (b79968002c277e869cf38bd22cd61524) C:\Windows\System32\Drivers\BrUsbMdm.sys
2011/07/23 20:31:00.0897 4864 BrUsbSer (a87528880231c54e75ea7a44943b38bf) C:\Windows\System32\Drivers\BrUsbSer.sys
2011/07/23 20:31:01.0006 4864 BTHMODEM (9da669f11d1f894ab4eb69bf546a42e8) C:\Windows\system32\DRIVERS\bthmodem.sys
2011/07/23 20:31:01.0131 4864 cdfs (b8bd2bb284668c84865658c77574381a) C:\Windows\system32\DRIVERS\cdfs.sys
2011/07/23 20:31:01.0240 4864 cdrom (83d2d75e1efb81b3450c18131443f7db) C:\Windows\system32\DRIVERS\cdrom.sys
2011/07/23 20:31:01.0381 4864 circlass (d7cd5c4e1b71fa62050515314cfb52cf) C:\Windows\system32\DRIVERS\circlass.sys
2011/07/23 20:31:01.0474 4864 CLFS (fe1ec06f2253f691fe36217c592a0206) C:\Windows\system32\CLFS.sys
2011/07/23 20:31:01.0662 4864 CmBatt (0840155d0bddf1190f84a663c284bd33) C:\Windows\system32\DRIVERS\CmBatt.sys
2011/07/23 20:31:01.0740 4864 cmdide (e19d3f095812725d88f9001985b94edd) C:\Windows\system32\DRIVERS\cmdide.sys
2011/07/23 20:31:01.0802 4864 CNG (f95fd4cb7da00ba2a63ce9f6b5c053e1) C:\Windows\system32\Drivers\cng.sys
2011/07/23 20:31:01.0958 4864 Compbatt (102de219c3f61415f964c88e9085ad14) C:\Windows\system32\DRIVERS\compbatt.sys
2011/07/23 20:31:02.0083 4864 CompositeBus (f26b3a86f6fa87ca360b879581ab4123) C:\Windows\system32\DRIVERS\CompositeBus.sys
2011/07/23 20:31:02.0192 4864 crcdisk (1c827878a998c18847245fe1f34ee597) C:\Windows\system32\DRIVERS\crcdisk.sys
2011/07/23 20:31:02.0364 4864 DfsC (3f1dc527070acb87e40afe46ef6da749) C:\Windows\system32\Drivers\dfsc.sys
2011/07/23 20:31:02.0442 4864 discache (13096b05847ec78f0977f2c0f79e9ab3) C:\Windows\system32\drivers\discache.sys
2011/07/23 20:31:02.0488 4864 Disk (9819eee8b5ea3784ec4af3b137a5244c) C:\Windows\system32\DRIVERS\disk.sys
2011/07/23 20:31:02.0613 4864 drmkaud (9b19f34400d24df84c858a421c205754) C:\Windows\system32\drivers\drmkaud.sys
2011/07/23 20:31:02.0785 4864 DXGKrnl (24ce1ecf9d0ae0301775b07f5fea175b) C:\Windows\System32\drivers\dxgkrnl.sys
2011/07/23 20:31:03.0034 4864 ebdrv (dc5d737f51be844d8c82c695eb17372f) C:\Windows\system32\DRIVERS\evbda.sys
2011/07/23 20:31:03.0300 4864 elxstor (0e5da5369a0fcaea12456dd852545184) C:\Windows\system32\DRIVERS\elxstor.sys
2011/07/23 20:31:03.0378 4864 ErrDev (34a3c54752046e79a126e15c51db409b) C:\Windows\system32\DRIVERS\errdev.sys
2011/07/23 20:31:03.0487 4864 exfat (a510c654ec00c1e9bdd91eeb3a59823b) C:\Windows\system32\drivers\exfat.sys
2011/07/23 20:31:03.0549 4864 fastfat (0adc83218b66a6db380c330836f3e36d) C:\Windows\system32\drivers\fastfat.sys
2011/07/23 20:31:03.0643 4864 fdc (d765d19cd8ef61f650c384f62fac00ab) C:\Windows\system32\DRIVERS\fdc.sys
2011/07/23 20:31:03.0721 4864 FileInfo (655661be46b5f5f3fd454e2c3095b930) C:\Windows\system32\drivers\fileinfo.sys
2011/07/23 20:31:03.0783 4864 Filetrace (5f671ab5bc87eea04ec38a6cd5962a47) C:\Windows\system32\drivers\filetrace.sys
2011/07/23 20:31:03.0908 4864 flpydisk (c172a0f53008eaeb8ea33fe10e177af5) C:\Windows\system32\DRIVERS\flpydisk.sys
2011/07/23 20:31:03.0970 4864 FltMgr (f7866af72abbaf84b1fa5aa195378c59) C:\Windows\system32\drivers\fltmgr.sys
2011/07/23 20:31:04.0064 4864 FsDepends (d43703496149971890703b4b1b723eac) C:\Windows\system32\drivers\FsDepends.sys
2011/07/23 20:31:04.0189 4864 fssfltr (6c06701bf1db05405804d7eb610991ce) C:\Windows\system32\DRIVERS\fssfltr.sys
2011/07/23 20:31:04.0298 4864 Fs_Rec (e95ef8547de20cf0603557c0cf7a9462) C:\Windows\system32\drivers\Fs_Rec.sys
2011/07/23 20:31:04.0423 4864 fvevol (ae87ba80d0ec3b57126ed2cdc15b24ed) C:\Windows\system32\DRIVERS\fvevol.sys
2011/07/23 20:31:04.0548 4864 gagp30kx (8c778d335c9d272cfd3298ab02abe3b6) C:\Windows\system32\DRIVERS\gagp30kx.sys
2011/07/23 20:31:04.0704 4864 GEARAspiWDM (e403aacf8c7bb11375122d2464560311) C:\Windows\system32\DRIVERS\GEARAspiWDM.sys
2011/07/23 20:31:04.0860 4864 hcw85cir (f2523ef6460fc42405b12248338ab2f0) C:\Windows\system32\drivers\hcw85cir.sys
2011/07/23 20:31:04.0953 4864 HdAudAddService (6410f6f415b2a5a9037224c41da8bf12) C:\Windows\system32\drivers\HdAudio.sys
2011/07/23 20:31:05.0125 4864 HDAudBus (0a49913402747a0b67de940fb42cbdbb) C:\Windows\system32\DRIVERS\HDAudBus.sys
2011/07/23 20:31:05.0234 4864 HECIx64 (b6ac71aaa2b10848f57fc49d55a651af) C:\Windows\system32\DRIVERS\HECIx64.sys
2011/07/23 20:31:05.0359 4864 HidBatt (78e86380454a7b10a5eb255dc44a355f) C:\Windows\system32\DRIVERS\HidBatt.sys
2011/07/23 20:31:05.0421 4864 HidBth (7fd2a313f7afe5c4dab14798c48dd104) C:\Windows\system32\DRIVERS\hidbth.sys
2011/07/23 20:31:05.0468 4864 HidIr (0a77d29f311b88cfae3b13f9c1a73825) C:\Windows\system32\DRIVERS\hidir.sys
2011/07/23 20:31:05.0624 4864 HidUsb (b3bf6b5b50006def50b66306d99fcf6f) C:\Windows\system32\DRIVERS\hidusb.sys
2011/07/23 20:31:05.0733 4864 HpSAMD (0886d440058f203eba0e1825e4355914) C:\Windows\system32\DRIVERS\HpSAMD.sys
2011/07/23 20:31:05.0796 4864 HTTP (cee049cac4efa7f4e1e4ad014414a5d4) C:\Windows\system32\drivers\HTTP.sys
2011/07/23 20:31:05.0858 4864 hwpolicy (f17766a19145f111856378df337a5d79) C:\Windows\system32\drivers\hwpolicy.sys
2011/07/23 20:31:05.0952 4864 i8042prt (fa55c73d4affa7ee23ac4be53b4592d3) C:\Windows\system32\DRIVERS\i8042prt.sys
2011/07/23 20:31:06.0076 4864 iaStor (abbf174cb394f5c437410a788b7e404a) C:\Windows\system32\DRIVERS\iaStor.sys
2011/07/23 20:31:06.0186 4864 iaStorV (d83efb6fd45df9d55e9a1afc63640d50) C:\Windows\system32\DRIVERS\iaStorV.sys
2011/07/23 20:31:06.0544 4864 igfx (2a22ab054f4630d2ef4bab2853f6d5f6) C:\Windows\system32\DRIVERS\igdkmd64.sys
2011/07/23 20:31:06.0903 4864 iirsp (5c18831c61933628f5bb0ea2675b9d21) C:\Windows\system32\DRIVERS\iirsp.sys
2011/07/23 20:31:07.0044 4864 Impcd (dd587a55390ed2295bce6d36ad567da9) C:\Windows\system32\DRIVERS\Impcd.sys
2011/07/23 20:31:07.0215 4864 IntcAzAudAddService (e8017f1662d9142f45ceab694d013c00) C:\Windows\system32\drivers\RTKVHD64.sys
2011/07/23 20:31:07.0371 4864 IntcDAud (58cf58dee26c909bd6f977b61d246295) C:\Windows\system32\DRIVERS\IntcDAud.sys
2011/07/23 20:31:07.0496 4864 intelide (f00f20e70c6ec3aa366910083a0518aa) C:\Windows\system32\DRIVERS\intelide.sys
2011/07/23 20:31:07.0652 4864 intelppm (ada036632c664caa754079041cf1f8c1) C:\Windows\system32\DRIVERS\intelppm.sys
2011/07/23 20:31:07.0746 4864 IpFilterDriver (722dd294df62483cecaae6e094b4d695) C:\Windows\system32\DRIVERS\ipfltdrv.sys
2011/07/23 20:31:07.0839 4864 IPMIDRV (e2b4a4494db7cb9b89b55ca268c337c5) C:\Windows\system32\DRIVERS\IPMIDrv.sys
2011/07/23 20:31:07.0917 4864 IPNAT (af9b39a7e7b6caa203b3862582e9f2d0) C:\Windows\system32\drivers\ipnat.sys
2011/07/23 20:31:08.0058 4864 IRENUM (3abf5e7213eb28966d55d58b515d5ce9) C:\Windows\system32\drivers\irenum.sys
2011/07/23 20:31:08.0136 4864 isapnp (2f7b28dc3e1183e5eb418df55c204f38) C:\Windows\system32\DRIVERS\isapnp.sys
2011/07/23 20:31:08.0229 4864 iScsiPrt (fa4d2557de56d45b0a346f93564be6e1) C:\Windows\system32\DRIVERS\msiscsi.sys
2011/07/23 20:31:08.0416 4864 k57nd60a (12e27942dbb7c91880163634b0d8a776) C:\Windows\system32\DRIVERS\k57nd60a.sys
2011/07/23 20:31:08.0557 4864 kbdclass (bc02336f1cba7dcc7d1213bb588a68a5) C:\Windows\system32\DRIVERS\kbdclass.sys
2011/07/23 20:31:08.0666 4864 kbdhid (6def98f8541e1b5dceb2c822a11f7323) C:\Windows\system32\DRIVERS\kbdhid.sys
2011/07/23 20:31:08.0760 4864 KSecDD (e8b6fcc9c83535c67f835d407620bd27) C:\Windows\system32\Drivers\ksecdd.sys
2011/07/23 20:31:08.0853 4864 KSecPkg (a8c63880ef6f4d3fec7b616b9c060215) C:\Windows\system32\Drivers\ksecpkg.sys
2011/07/23 20:31:08.0947 4864 ksthunk (6869281e78cb31a43e969f06b57347c4) C:\Windows\system32\drivers\ksthunk.sys
2011/07/23 20:31:09.0103 4864 L1E (2ac603c3188c704cfce353659aa7ad71) C:\Windows\system32\DRIVERS\L1E62x64.sys
2011/07/23 20:31:09.0228 4864 lirsgt (5ea407821bb3104c31a705175ab4f309) C:\Windows\system32\DRIVERS\lirsgt.sys
2011/07/23 20:31:09.0493 4864 lltdio (1538831cf8ad2979a04c423779465827) C:\Windows\system32\DRIVERS\lltdio.sys
2011/07/23 20:31:09.0649 4864 LSI_FC (1a93e54eb0ece102495a51266dcdb6a6) C:\Windows\system32\DRIVERS\lsi_fc.sys
2011/07/23 20:31:09.0742 4864 LSI_SAS (1047184a9fdc8bdbff857175875ee810) C:\Windows\system32\DRIVERS\lsi_sas.sys
2011/07/23 20:31:09.0836 4864 LSI_SAS2 (30f5c0de1ee8b5bc9306c1f0e4a75f93) C:\Windows\system32\DRIVERS\lsi_sas2.sys
2011/07/23 20:31:09.0883 4864 LSI_SCSI (0504eacaff0d3c8aed161c4b0d369d4a) C:\Windows\system32\DRIVERS\lsi_scsi.sys
2011/07/23 20:31:09.0914 4864 luafv (43d0f98e1d56ccddb0d5254cff7b356e) C:\Windows\system32\drivers\luafv.sys
2011/07/23 20:31:10.0054 4864 megasas (a55805f747c6edb6a9080d7c633bd0f4) C:\Windows\system32\DRIVERS\megasas.sys
2011/07/23 20:31:10.0132 4864 MegaSR (baf74ce0072480c3b6b7c13b2a94d6b3) C:\Windows\system32\DRIVERS\MegaSR.sys
2011/07/23 20:31:10.0226 4864 Modem (800ba92f7010378b09f9ed9270f07137) C:\Windows\system32\drivers\modem.sys
2011/07/23 20:31:10.0273 4864 monitor (b03d591dc7da45ece20b3b467e6aadaa) C:\Windows\system32\DRIVERS\monitor.sys
2011/07/23 20:31:10.0444 4864 mouclass (7d27ea49f3c1f687d357e77a470aea99) C:\Windows\system32\DRIVERS\mouclass.sys
2011/07/23 20:31:10.0538 4864 mouhid (d3bf052c40b0c4166d9fd86a4288c1e6) C:\Windows\system32\DRIVERS\mouhid.sys
2011/07/23 20:31:10.0663 4864 mountmgr (791af66c4d0e7c90a3646066386fb571) C:\Windows\system32\drivers\mountmgr.sys
2011/07/23 20:31:10.0741 4864 mpio (609d1d87649ecc19796f4d76d4c15cea) C:\Windows\system32\DRIVERS\mpio.sys
2011/07/23 20:31:10.0819 4864 mpsdrv (6c38c9e45ae0ea2fa5e551f2ed5e978f) C:\Windows\system32\drivers\mpsdrv.sys
2011/07/23 20:31:10.0866 4864 MRxDAV (30524261bb51d96d6fcbac20c810183c) C:\Windows\system32\drivers\mrxdav.sys
2011/07/23 20:31:10.0897 4864 mrxsmb (767a4c3bcf9410c286ced15a2db17108) C:\Windows\system32\DRIVERS\mrxsmb.sys
2011/07/23 20:31:10.0944 4864 mrxsmb10 (920ee0ff995fcfdeb08c41605a959e1c) C:\Windows\system32\DRIVERS\mrxsmb10.sys
2011/07/23 20:31:10.0975 4864 mrxsmb20 (740d7ea9d72c981510a5292cf6adc941) C:\Windows\system32\DRIVERS\mrxsmb20.sys
2011/07/23 20:31:11.0100 4864 msahci (5c37497276e3b3a5488b23a326a754b7) C:\Windows\system32\DRIVERS\msahci.sys
2011/07/23 20:31:11.0178 4864 msdsm (8d27b597229aed79430fb9db3bcbfbd0) C:\Windows\system32\DRIVERS\msdsm.sys
2011/07/23 20:31:11.0271 4864 Msfs (aa3fb40e17ce1388fa1bedab50ea8f96) C:\Windows\system32\drivers\Msfs.sys
2011/07/23 20:31:11.0318 4864 mshidkmdf (f9d215a46a8b9753f61767fa72a20326) C:\Windows\System32\drivers\mshidkmdf.sys
2011/07/23 20:31:11.0474 4864 msisadrv (d916874bbd4f8b07bfb7fa9b3ccae29d) C:\Windows\system32\DRIVERS\msisadrv.sys
2011/07/23 20:31:11.0661 4864 MSKSSRV (49ccf2c4fea34ffad8b1b59d49439366) C:\Windows\system32\drivers\MSKSSRV.sys
2011/07/23 20:31:11.0833 4864 MSPCLOCK (bdd71ace35a232104ddd349ee70e1ab3) C:\Windows\system32\drivers\MSPCLOCK.sys
2011/07/23 20:31:12.0004 4864 MSPQM (4ed981241db27c3383d72092b618a1d0) C:\Windows\system32\drivers\MSPQM.sys
2011/07/23 20:31:12.0160 4864 MsRPC (89cb141aa8616d8c6a4610fa26c60964) C:\Windows\system32\drivers\MsRPC.sys
2011/07/23 20:31:12.0348 4864 mssmbios (0eed230e37515a0eaee3c2e1bc97b288) C:\Windows\system32\DRIVERS\mssmbios.sys
2011/07/23 20:31:12.0519 4864 MSTEE (2e66f9ecb30b4221a318c92ac2250779) C:\Windows\system32\drivers\MSTEE.sys
2011/07/23 20:31:12.0675 4864 MTConfig (7ea404308934e675bffde8edf0757bcd) C:\Windows\system32\DRIVERS\MTConfig.sys
2011/07/23 20:31:12.0831 4864 Mup (f9a18612fd3526fe473c1bda678d61c8) C:\Windows\system32\Drivers\mup.sys
2011/07/23 20:31:13.0034 4864 NativeWifiP (1ea3749c4114db3e3161156ffffa6b33) C:\Windows\system32\DRIVERS\nwifi.sys
2011/07/23 20:31:13.0221 4864 NDIS (cad515dbd07d082bb317d9928ce8962c) C:\Windows\system32\drivers\ndis.sys
2011/07/23 20:31:13.0471 4864 NdisCap (9f9a1f53aad7da4d6fef5bb73ab811ac) C:\Windows\system32\DRIVERS\ndiscap.sys
2011/07/23 20:31:13.0611 4864 NdisTapi (30639c932d9fef22b31268fe25a1b6e5) C:\Windows\system32\DRIVERS\ndistapi.sys
2011/07/23 20:31:13.0752 4864 Ndisuio (f105ba1e22bf1f2ee8f005d4305e4bec) C:\Windows\system32\DRIVERS\ndisuio.sys
2011/07/23 20:31:13.0861 4864 NdisWan (557dfab9ca1fcb036ac77564c010dad3) C:\Windows\system32\DRIVERS\ndiswan.sys
2011/07/23 20:31:14.0032 4864 NDProxy (659b74fb74b86228d6338d643cd3e3cf) C:\Windows\system32\drivers\NDProxy.sys
2011/07/23 20:31:14.0220 4864 NetBIOS (86743d9f5d2b1048062b14b1d84501c4) C:\Windows\system32\DRIVERS\netbios.sys
2011/07/23 20:31:14.0407 4864 NetBT (9162b273a44ab9dce5b44362731d062a) C:\Windows\system32\DRIVERS\netbt.sys
2011/07/23 20:31:14.0656 4864 nfrd960 (77889813be4d166cdab78ddba990da92) C:\Windows\system32\DRIVERS\nfrd960.sys
2011/07/23 20:31:14.0828 4864 Npfs (1e4c4ab5c9b8dd13179bbdc75a2a01f7) C:\Windows\system32\drivers\Npfs.sys
2011/07/23 20:31:15.0031 4864 nsiproxy (e7f5ae18af4168178a642a9247c63001) C:\Windows\system32\drivers\nsiproxy.sys
2011/07/23 20:31:15.0249 4864 Ntfs (356698a13c4630d5b31c37378d469196) C:\Windows\system32\drivers\Ntfs.sys
2011/07/23 20:31:15.0468 4864 NTIDrvr (64ddd0dee976302f4bd93e5efcc2f013) C:\Windows\system32\drivers\NTIDrvr.sys
2011/07/23 20:31:15.0592 4864 Null (9899284589f75fa8724ff3d16aed75c1) C:\Windows\system32\drivers\Null.sys
2011/07/23 20:31:15.0811 4864 nvraid (3e38712941e9bb4ddbee00affe3fed3d) C:\Windows\system32\DRIVERS\nvraid.sys
2011/07/23 20:31:16.0014 4864 nvstor (477dc4d6deb99be37084c9ac6d013da1) C:\Windows\system32\DRIVERS\nvstor.sys
2011/07/23 20:31:16.0232 4864 nv_agp (270d7cd42d6e3979f6dd0146650f0e05) C:\Windows\system32\DRIVERS\nv_agp.sys
2011/07/23 20:31:16.0450 4864 ohci1394 (3589478e4b22ce21b41fa1bfc0b8b8a0) C:\Windows\system32\DRIVERS\ohci1394.sys
2011/07/23 20:31:16.0731 4864 Parport (0086431c29c35be1dbc43f52cc273887) C:\Windows\system32\DRIVERS\parport.sys
2011/07/23 20:31:16.0903 4864 partmgr (7daa117143316c4a1537e074a5a9eaf0) C:\Windows\system32\drivers\partmgr.sys
2011/07/23 20:31:17.0106 4864 pci (f36f6504009f2fb0dfd1b17a116ad74b) C:\Windows\system32\DRIVERS\pci.sys
2011/07/23 20:31:17.0277 4864 pciide (b5b8b5ef2e5cb34df8dcf8831e3534fa) C:\Windows\system32\DRIVERS\pciide.sys
2011/07/23 20:31:17.0480 4864 pcmcia (b2e81d4e87ce48589f98cb8c05b01f2f) C:\Windows\system32\DRIVERS\pcmcia.sys
2011/07/23 20:31:17.0683 4864 pcw (d6b9c2e1a11a3a4b26a182ffef18f603) C:\Windows\system32\drivers\pcw.sys
2011/07/23 20:31:17.0870 4864 PEAUTH (68769c3356b3be5d1c732c97b9a80d6e) C:\Windows\system32\drivers\peauth.sys
2011/07/23 20:31:18.0166 4864 PptpMiniport (27cc19e81ba5e3403c48302127bda717) C:\Windows\system32\DRIVERS\raspptp.sys
2011/07/23 20:31:18.0354 4864 Processor (0d922e23c041efb1c3fac2a6f943c9bf) C:\Windows\system32\DRIVERS\processr.sys
2011/07/23 20:31:18.0603 4864 Psched (ee992183bd8eaefd9973f352e587a299) C:\Windows\system32\DRIVERS\pacer.sys
2011/07/23 20:31:18.0775 4864 PxHlpa64 (87b04878a6d59d6c79251dc960c674c1) C:\Windows\system32\Drivers\PxHlpa64.sys
2011/07/23 20:31:19.0009 4864 ql2300 (a53a15a11ebfd21077463ee2c7afeef0) C:\Windows\system32\DRIVERS\ql2300.sys
2011/07/23 20:31:19.0212 4864 ql40xx (4f6d12b51de1aaeff7dc58c4d75423c8) C:\Windows\system32\DRIVERS\ql40xx.sys
2011/07/23 20:31:19.0368 4864 QWAVEdrv (76707bb36430888d9ce9d705398adb6c) C:\Windows\system32\drivers\qwavedrv.sys
2011/07/23 20:31:19.0539 4864 RasAcd (5a0da8ad5762fa2d91678a8a01311704) C:\Windows\system32\DRIVERS\rasacd.sys
2011/07/23 20:31:19.0711 4864 RasAgileVpn (7ecff9b22276b73f43a99a15a6094e90) C:\Windows\system32\DRIVERS\AgileVpn.sys
2011/07/23 20:31:19.0929 4864 Rasl2tp (87a6e852a22991580d6d39adc4790463) C:\Windows\system32\DRIVERS\rasl2tp.sys
2011/07/23 20:31:20.0132 4864 RasPppoe (855c9b1cd4756c5e9a2aa58a15f58c25) C:\Windows\system32\DRIVERS\raspppoe.sys
2011/07/23 20:31:20.0319 4864 RasSstp (e8b1e447b008d07ff47d016c2b0eeecb) C:\Windows\system32\DRIVERS\rassstp.sys
2011/07/23 20:31:20.0475 4864 rdbss (3bac8142102c15d59a87757c1d41dce5) C:\Windows\system32\DRIVERS\rdbss.sys
2011/07/23 20:31:20.0647 4864 rdpbus (302da2a0539f2cf54d7c6cc30c1f2d8d) C:\Windows\system32\DRIVERS\rdpbus.sys
2011/07/23 20:31:20.0756 4864 RDPCDD (cea6cc257fc9b7715f1c2b4849286d24) C:\Windows\system32\DRIVERS\RDPCDD.sys
2011/07/23 20:31:20.0881 4864 RDPENCDD (bb5971a4f00659529a5c44831af22365) C:\Windows\system32\drivers\rdpencdd.sys
2011/07/23 20:31:20.0928 4864 RDPREFMP (216f3fa57533d98e1f74ded70113177a) C:\Windows\system32\drivers\rdprefmp.sys
2011/07/23 20:31:21.0006 4864 RDPWD (8a3e6bea1c53ea6177fe2b6eba2c80d7) C:\Windows\system32\drivers\RDPWD.sys
2011/07/23 20:31:21.0146 4864 rdyboost (e5dc9ba9e439d6dbdd79f8caacb5bf01) C:\Windows\system32\drivers\rdyboost.sys
2011/07/23 20:31:21.0349 4864 rspndr (ddc86e4f8e7456261e637e3552e804ff) C:\Windows\system32\DRIVERS\rspndr.sys
2011/07/23 20:31:21.0552 4864 sbp2port (e3bbb89983daf5622c1d50cf49f28227) C:\Windows\system32\DRIVERS\sbp2port.sys
2011/07/23 20:31:21.0723 4864 scfilter (c94da20c7e3ba1dca269bc8460d98387) C:\Windows\system32\DRIVERS\scfilter.sys
2011/07/23 20:31:21.0910 4864 secdrv (3ea8a16169c26afbeb544e0e48421186) C:\Windows\system32\drivers\secdrv.sys
2011/07/23 20:31:22.0098 4864 Serenum (cb624c0035412af0debec78c41f5ca1b) C:\Windows\system32\DRIVERS\serenum.sys
2011/07/23 20:31:22.0285 4864 Serial (c1d8e28b2c2adfaec4ba89e9fda69bd6) C:\Windows\system32\DRIVERS\serial.sys
2011/07/23 20:31:22.0456 4864 sermouse (1c545a7d0691cc4a027396535691c3e3) C:\Windows\system32\DRIVERS\sermouse.sys
2011/07/23 20:31:22.0644 4864 sffdisk (a554811bcd09279536440c964ae35bbf) C:\Windows\system32\DRIVERS\sffdisk.sys
2011/07/23 20:31:22.0800 4864 sffp_mmc (ff414f0baefeba59bc6c04b3db0b87bf) C:\Windows\system32\DRIVERS\sffp_mmc.sys
2011/07/23 20:31:22.0956 4864 sffp_sd (178298f767fe638c9fedcbdef58bb5e4) C:\Windows\system32\DRIVERS\sffp_sd.sys
2011/07/23 20:31:23.0127 4864 sfloppy (a9d601643a1647211a1ee2ec4e433ff4) C:\Windows\system32\DRIVERS\sfloppy.sys
2011/07/23 20:31:23.0314 4864 Sftfs (72cd52403efc137290cb5a328510ebca) C:\Windows\system32\DRIVERS\Sftfslh.sys
2011/07/23 20:31:23.0517 4864 Sftplay (31a36ef71af36eabcc4b4f8ab8f76465) C:\Windows\system32\DRIVERS\Sftplaylh.sys
2011/07/23 20:31:23.0704 4864 Sftredir (2d969194fcc8eb41ed1d52863bfe7f52) C:\Windows\system32\DRIVERS\Sftredirlh.sys
2011/07/23 20:31:23.0860 4864 Sftvol (08b36d2f63af3ca2248458a4280c0c50) C:\Windows\system32\DRIVERS\Sftvollh.sys
2011/07/23 20:31:24.0001 4864 SiSRaid2 (843caf1e5fde1ffd5ff768f23a51e2e1) C:\Windows\system32\DRIVERS\SiSRaid2.sys
2011/07/23 20:31:24.0110 4864 SiSRaid4 (6a6c106d42e9ffff8b9fcb4f754f6da4) C:\Windows\system32\DRIVERS\sisraid4.sys
2011/07/23 20:31:24.0235 4864 Smb (548260a7b8654e024dc30bf8a7c5baa4) C:\Windows\system32\DRIVERS\smb.sys
2011/07/23 20:31:24.0438 4864 spldr (b9e31e5cacdfe584f34f730a677803f9) C:\Windows\system32\drivers\spldr.sys
2011/07/23 20:31:24.0672 4864 sptd (602884696850c86434530790b110e8eb) C:\Windows\System32\Drivers\sptd.sys
2011/07/23 20:31:24.0874 4864 srv (de6f5658da951c4bc8e498570b5b0d5f) C:\Windows\system32\DRIVERS\srv.sys
2011/07/23 20:31:25.0077 4864 srv2 (4d33d59c0b930c523d29f9bd40cda9d2) C:\Windows\system32\DRIVERS\srv2.sys
2011/07/23 20:31:25.0280 4864 srvnet (5a663fd67049267bc5c3f3279e631ffb) C:\Windows\system32\DRIVERS\srvnet.sys
2011/07/23 20:31:25.0467 4864 stexstor (f3817967ed533d08327dc73bc4d5542a) C:\Windows\system32\DRIVERS\stexstor.sys
2011/07/23 20:31:25.0670 4864 swenum (d01ec09b6711a5f8e7e6564a4d0fbc90) C:\Windows\system32\DRIVERS\swenum.sys
2011/07/23 20:31:25.0888 4864 Tcpip (90a2d722cf64d911879d6c4a4f802a4d) C:\Windows\system32\drivers\tcpip.sys
2011/07/23 20:31:26.0138 4864 TCPIP6 (90a2d722cf64d911879d6c4a4f802a4d) C:\Windows\system32\DRIVERS\tcpip.sys
2011/07/23 20:31:26.0325 4864 tcpipreg (76d078af6f587b162d50210f761eb9ed) C:\Windows\system32\drivers\tcpipreg.sys
2011/07/23 20:31:26.0497 4864 TDPIPE (3371d21011695b16333a3934340c4e7c) C:\Windows\system32\drivers\tdpipe.sys
2011/07/23 20:31:26.0668 4864 TDTCP (e4245bda3190a582d55ed09e137401a9) C:\Windows\system32\drivers\tdtcp.sys
2011/07/23 20:31:26.0809 4864 tdx (079125c4b17b01fcaeebce0bcb290c0f) C:\Windows\system32\DRIVERS\tdx.sys
2011/07/23 20:31:27.0012 4864 TermDD (c448651339196c0e869a355171875522) C:\Windows\system32\DRIVERS\termdd.sys
2011/07/23 20:31:27.0214 4864 tssecsrv (61b96c26131e37b24e93327a0bd1fb95) C:\Windows\system32\DRIVERS\tssecsrv.sys
2011/07/23 20:31:27.0386 4864 tunnel (3836171a2cdf3af8ef10856db9835a70) C:\Windows\system32\DRIVERS\tunnel.sys
2011/07/23 20:31:27.0558 4864 uagp35 (b4dd609bd7e282bfc683cec7eaaaad67) C:\Windows\system32\DRIVERS\uagp35.sys
2011/07/23 20:31:27.0729 4864 UBHelper (2e22c1fd397a5a9ffef55e9d1fc96c00) C:\Windows\system32\drivers\UBHelper.sys
2011/07/23 20:31:27.0901 4864 udfs (d47baead86c65d4f4069d7ce0a4edceb) C:\Windows\system32\DRIVERS\udfs.sys
2011/07/23 20:31:28.0088 4864 uliagpkx (4bfe1bc28391222894cbf1e7d0e42320) C:\Windows\system32\DRIVERS\uliagpkx.sys
2011/07/23 20:31:28.0260 4864 umbus (eab6c35e62b1b0db0d1b48b671d3a117) C:\Windows\system32\DRIVERS\umbus.sys
2011/07/23 20:31:28.0431 4864 UmPass (b2e8e8cb557b156da5493bbddcc1474d) C:\Windows\system32\DRIVERS\umpass.sys
2011/07/23 20:31:28.0634 4864 USBAAPL64 (aa33fc47ed58c34e6e9261e4f850b7eb) C:\Windows\system32\Drivers\usbaapl64.sys
2011/07/23 20:31:28.0790 4864 usbccgp (b26afb54a534d634523c4fb66765b026) C:\Windows\system32\DRIVERS\usbccgp.sys
2011/07/23 20:31:28.0962 4864 usbcir (af0892a803fdda7492f595368e3b68e7) C:\Windows\system32\DRIVERS\usbcir.sys
2011/07/23 20:31:29.0133 4864 usbehci (cb490987a7f6928a04bb838e3bd8a936) C:\Windows\system32\DRIVERS\usbehci.sys
2011/07/23 20:31:29.0336 4864 usbhub (18124ef0a881a00ee222d02a3ee30270) C:\Windows\system32\DRIVERS\usbhub.sys
2011/07/23 20:31:29.0523 4864 usbohci (58e546bbaf87664fc57e0f6081e4f609) C:\Windows\system32\DRIVERS\usbohci.sys
2011/07/23 20:31:29.0695 4864 usbprint (73188f58fb384e75c4063d29413cee3d) C:\Windows\system32\DRIVERS\usbprint.sys
2011/07/23 20:31:29.0851 4864 USBSTOR (080d3820da6c046be82fc8b45a893e83) C:\Windows\system32\DRIVERS\USBSTOR.SYS
2011/07/23 20:31:30.0022 4864 usbuhci (81fb2216d3a60d1284455d511797db3d) C:\Windows\system32\DRIVERS\usbuhci.sys
2011/07/23 20:31:30.0163 4864 usbvideo (7cb8c573c6e4a2714402cc0a36eab4fe) C:\Windows\system32\Drivers\usbvideo.sys
2011/07/23 20:31:30.0319 4864 vdrvroot (c5c876ccfc083ff3b128f933823e87bd) C:\Windows\system32\DRIVERS\vdrvroot.sys
2011/07/23 20:31:30.0490 4864 vga (da4da3f5e02943c2dc8c6ed875de68dd) C:\Windows\system32\DRIVERS\vgapnp.sys
2011/07/23 20:31:30.0662 4864 VgaSave (53e92a310193cb3c03bea963de7d9cfc) C:\Windows\System32\drivers\vga.sys
2011/07/23 20:31:30.0834 4864 vhdmp (c82e748660f62a242b2dfac1442f22a4) C:\Windows\system32\DRIVERS\vhdmp.sys
2011/07/23 20:31:30.0990 4864 viaide (e5689d93ffe4e5d66c0178761240dd54) C:\Windows\system32\DRIVERS\viaide.sys
2011/07/23 20:31:31.0161 4864 volmgr (2b1a3dae2b4e70dbba822b7a03fbd4a3) C:\Windows\system32\DRIVERS\volmgr.sys
2011/07/23 20:31:31.0333 4864 volmgrx (99b0cbb569ca79acaed8c91461d765fb) C:\Windows\system32\drivers\volmgrx.sys
2011/07/23 20:31:31.0520 4864 volsnap (58f82eed8ca24b461441f9c3e4f0bf5c) C:\Windows\system32\DRIVERS\volsnap.sys
2011/07/23 20:31:31.0707 4864 vsmraid (5e2016ea6ebaca03c04feac5f330d997) C:\Windows\system32\DRIVERS\vsmraid.sys
2011/07/23 20:31:31.0879 4864 vwifibus (36d4720b72b5c5d9cb2b9c29e9df67a1) C:\Windows\system32\DRIVERS\vwifibus.sys
2011/07/23 20:31:32.0035 4864 vwififlt (6a3d66263414ff0d6fa754c646612f3f) C:\Windows\system32\DRIVERS\vwififlt.sys
2011/07/23 20:31:32.0222 4864 vwifimp (6a638fc4bfddc4d9b186c28c91bd1a01) C:\Windows\system32\DRIVERS\vwifimp.sys
2011/07/23 20:31:32.0409 4864 WacomPen (4e9440f4f152a7b944cb1663d3935a3e) C:\Windows\system32\DRIVERS\wacompen.sys
2011/07/23 20:31:32.0581 4864 WANARP (47ca49400643effd3f1c9a27e1d69324) C:\Windows\system32\DRIVERS\wanarp.sys
2011/07/23 20:31:32.0612 4864 Wanarpv6 (47ca49400643effd3f1c9a27e1d69324) C:\Windows\system32\DRIVERS\wanarp.sys
2011/07/23 20:31:32.0784 4864 Wd (72889e16ff12ba0f235467d6091b17dc) C:\Windows\system32\DRIVERS\wd.sys
2011/07/23 20:31:32.0971 4864 Wdf01000 (441bd2d7b4f98134c3a4f9fa570fd250) C:\Windows\system32\drivers\Wdf01000.sys
2011/07/23 20:31:33.0205 4864 WfpLwf (611b23304bf067451a9fdee01fbdd725) C:\Windows\system32\DRIVERS\wfplwf.sys
2011/07/23 20:31:33.0408 4864 WIMMount (05ecaec3e4529a7153b3136ceb49f0ec) C:\Windows\system32\drivers\wimmount.sys
2011/07/23 20:31:33.0657 4864 WinUsb (817eaff5d38674edd7713b9dfb8e9791) C:\Windows\system32\DRIVERS\WinUsb.sys
2011/07/23 20:31:33.0876 4864 WmiAcpi (f6ff8944478594d0e414d3f048f0d778) C:\Windows\system32\DRIVERS\wmiacpi.sys
2011/07/23 20:31:34.0141 4864 ws2ifsl (6bcc1d7d2fd2453957c5479a32364e52) C:\Windows\system32\drivers\ws2ifsl.sys
2011/07/23 20:31:34.0328 4864 WudfPf (7cadc74271dd6461c452c271b30bd378) C:\Windows\system32\drivers\WudfPf.sys
2011/07/23 20:31:34.0515 4864 WUDFRd (3b197af0fff08aa66b6b2241ca538d64) C:\Windows\system32\DRIVERS\WUDFRd.sys
2011/07/23 20:31:34.0609 4864 MBR (0x1B8) (04d4350ae5fb6fc2ad3e7c26b1323c68) \Device\Harddisk0\DR0
2011/07/23 20:31:34.0609 4864 \Device\Harddisk0\DR0 - detected Rootkit.Win32.TDSS.tdl4 (0)
2011/07/23 20:31:34.0640 4864 Boot (0x1200) (51b7192ca82e325277c1af94fdea209d) \Device\Harddisk0\DR0\Partition0
2011/07/23 20:31:34.0656 4864 Boot (0x1200) (9326f9cd04e10d7e6328a315feff1a8c) \Device\Harddisk0\DR0\Partition1
2011/07/23 20:31:34.0656 4864 ================================================================================
2011/07/23 20:31:34.0656 4864 Scan finished
2011/07/23 20:31:34.0656 4864 ================================================================================
2011/07/23 20:31:34.0671 0824 Detected object count: 1
2011/07/23 20:31:34.0671 0824 Actual detected object count: 1
2011/07/23 20:31:48.0524 0824 \Device\Harddisk0\DR0 (Rootkit.Win32.TDSS.tdl4) - will be cured after reboot
2011/07/23 20:31:48.0524 0824 \Device\Harddisk0\DR0 - ok
2011/07/23 20:31:48.0540 0824 Rootkit.Win32.TDSS.tdl4(\Device\Harddisk0\DR0) - User select action: Cure
2011/07/23 20:31:59.0475 1244 Deinitialize success
Code:
ATTFilter ComboFix 11-07-23.04 - Ann-Marie 23.07.2011 20:41:32.1.2 - x64
Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.3764.2494 [GMT 2:00]
ausgeführt von:: c:\users\Ann-Marie\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\poooooooasi\1227DAA0653.exe
c:\users\Ann-Marie\AppData\Roaming\Adobe\shed
c:\users\Ann-Marie\AppData\Roaming\Adobe\shed\thr1.chm
c:\users\Ann-Marie\AppData\Roaming\chrtmp
c:\users\Ann-Marie\AppData\Roaming\Local
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\5.ddi
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\6.ddi
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\6dfb574e0fe44e74b45d05044aa2fd44.avi(2).ddr
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\6dfb574e0fe44e74b45d05044aa2fd44.avi.ddr
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\7.ddi
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Post_Install_RB_HiQ_de.divx.ddr
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\settings.ddi
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\(2).ddp
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\.ddp
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\6dfb574e0fe44e74b45d05044aa2fd44.avi(2).ddp
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\6dfb574e0fe44e74b45d05044aa2fd44.avi.ddp
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\jodel.avi(2).ddp
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\jodel.avi(3).ddp
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\jodel.avi(4).ddp
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\jodel.avi(5).ddp
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\jodel.avi.ddp
c:\users\Ann-Marie\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\Post_Install_RB_HiQ_de.divx.ddp
c:\windows\IsUn0407.exe
c:\windows\Temp\log.txt
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-06-23 bis 2011-07-23 ))))))))))))))))))))))))))))))
.
.
2011-07-23 18:46 . 2011-07-23 18:46 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-07-20 18:11 . 2011-07-20 18:11 -------- d-----w- c:\users\Ann-Marie\AppData\Roaming\Avira
2011-07-20 17:54 . 2011-07-20 19:18 88288 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-07-20 17:54 . 2011-07-20 19:18 123784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-07-20 17:54 . 2011-07-20 17:54 -------- d-----w- c:\programdata\Avira
2011-07-20 17:54 . 2011-07-20 17:54 -------- d-----w- c:\program files\Avira
2011-07-20 17:10 . 2011-07-21 03:25 -------- d-----w- c:\programdata\fH01602DkHfJ01602
2011-07-13 11:28 . 2011-07-13 14:36 -------- d-----w- c:\users\Ann-Marie\AppData\Roaming\.minecraft
2011-07-13 10:40 . 2011-07-22 13:42 -------- d-----w- c:\users\Ann-Marie\AppData\Roaming\Xyquy
2011-07-13 10:40 . 2011-07-16 20:38 -------- d-----w- c:\users\Ann-Marie\AppData\Roaming\Xaeb
2011-07-07 18:46 . 2011-07-07 18:46 -------- d-----w- c:\users\Ann-Marie\AppData\Local\SKIDROW
2011-07-06 09:28 . 2011-07-06 09:28 -------- d-----w- c:\program files (x86)\Apple Software Update
2011-07-06 09:27 . 2011-07-06 09:27 -------- d-----w- c:\program files\iPod
2011-07-06 09:27 . 2011-07-06 09:27 -------- d-----w- c:\program files\iTunes
2011-07-06 09:25 . 2011-07-06 09:25 -------- d-----w- c:\program files\Bonjour
2011-07-06 09:24 . 2011-07-06 09:24 -------- d-----w- c:\program files (x86)\Safari
2011-07-03 01:36 . 2011-07-16 09:45 -------- d-----w- c:\users\Ann-Marie\AppData\Roaming\uTorrent
2011-07-03 01:36 . 2011-07-03 01:36 -------- d-----w- c:\users\Ann-Marie\AppData\Local\uTorrent
2011-07-02 17:10 . 2011-07-02 17:10 -------- d-----w- c:\program files (x86)\Common Files\Blizzard Entertainment
2011-06-30 18:29 . 2011-07-23 18:49 -------- d-----w- c:\users\Ann-Marie\AppData\Local\PMB Files
2011-06-30 18:29 . 2011-06-30 18:29 -------- d-----w- c:\programdata\PMB Files
2011-06-30 18:29 . 2011-06-30 18:29 -------- d-----w- c:\program files (x86)\Pando Networks
2011-06-27 19:51 . 2011-06-27 19:51 -------- d-----w- c:\users\Ann-Marie\AppData\Roaming\InstallShield
2011-06-27 09:30 . 2011-06-27 09:30 -------- d-----w- c:\programdata\Ubisoft
2011-06-24 00:04 . 2011-06-24 00:04 98304 ----a-w- c:\windows\SysWow64\CmdLineExt.dll
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-19 16:35 . 2011-06-19 16:34 188128 ----a-w- c:\programdata\Microsoft\VCSExpress\10.0\1033\ResourceCache.dll
2011-05-10 06:06 . 2011-05-10 06:06 51712 ----a-w- c:\windows\system32\drivers\usbaapl64.sys
2011-05-10 06:06 . 2011-05-10 06:06 4517664 ----a-w- c:\windows\system32\usbaaplrc.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files (x86)\Windows Live\Messenger\msnmsgr.exe" [2010-11-10 4240760]
"Pando Media Booster"="c:\program files (x86)\Pando Networks\Media Booster\PMB.exe" [2011-06-30 3077528]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-28 35696]
"BackupManagerTray"="c:\program files (x86)\NewTech Infosystems\Packard Bell MyBackup\BackupManagerTray.exe" [2010-06-28 263936]
"LManager"="c:\program files (x86)\Launch Manager\LManager.exe" [2010-08-11 975952]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2010-12-09 1226608]
"DivX Download Manager"="c:\festplatte\Programme\DivX\DivX Plus Web Player\DDmService.exe" [2010-12-08 63360]
"iTunesHelper"="c:\festplatte\Programme\iTunes\iTunesHelper.exe" [2011-06-07 421160]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
VideoWebCamera.exe.lnk - c:\program files (x86)\Video Web Camera\VideoWebCamera.exe [2010-6-8 6329160]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS [x]
R3 dump_wmimmc;dump_wmimmc;f:\platte\Games\Flyff\GameGuard\dump_wmimmc.sys [x]
R3 GamesAppService;GamesAppService;c:\program files (x86)\WildTangent Games\App\GamesAppService.exe [2010-10-12 206072]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeActiveFileMonitor8.0;Adobe Active File Monitor V8;c:\program files (x86)\Adobe\Elements Organizer 8.0\PhotoshopElementsFileAgent.exe [2009-10-09 169312]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-21 136360]
S2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2010-02-28 821664]
S2 DsiWMIService;Dritek WMI Service;c:\program files (x86)\Launch Manager\dsiwmis.exe [2010-08-11 321104]
S2 ePowerSvc;Acer ePower Service;c:\program files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe [2010-06-11 868896]
S2 GREGService;GREGService;c:\program files (x86)\Packard Bell\Registration\GREGsvc.exe [2010-01-08 23584]
S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files (x86)\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe [2010-06-28 255744]
S2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2010-04-24 483688]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-03-03 2320920]
S2 Updater Service;Updater Service;c:\program files\Packard Bell\Packard Bell Updater\UpdaterService.exe [2010-01-28 243232]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [x]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [x]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [x]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [x]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [x]
S3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2010-04-24 209768]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AmIcoSinglun64"="c:\program files (x86)\AmIcoSingLun\AmIcoSinglun64.exe" [2010-06-10 324608]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-05-07 161304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-05-07 386584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-05-07 413208]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2010-07-29 11101800]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2009-10-22 325120]
"Acer ePower Management"="c:\program files\Packard Bell\Packard Bell Power Management\ePowerTray.exe" [2010-06-11 861216]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://packardbell.msn.com
uLocal Page = c:\windows\system32\blank.htm
mStart Page = hxxp://packardbell.msn.com
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube Download - c:\users\Ann-Marie\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to iPod Converter - c:\users\Ann-Marie\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetoipodconverter.htm
TCP: DhcpNameServer = 192.168.178.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
Wow6432Node-HKCU-Run-0X9W6E8C6H9Z5E2VUBKQVE - c:\poooooooasi\1227DAA0653.exe
Wow6432Node-HKLM-Run-SmcService - c:\festpl~1\PROGRA~1\SPF\smc.exe
Toolbar-Locked - (no file)
AddRemove-AquaNox 2 Revelation - f:\platte\Games\AQUANO~1\UNWISE.EXE
AddRemove-Audacity_is1 - c:\program files (x86)\Audacity\unins000.exe
AddRemove-DAEMON Tools Lite - f:\platte\software\DAEMON Tools Lite\uninst.exe
AddRemove-GameSpy Arcade - f:\platte\Games\HEGEMO~1\UNWISE.EXE
AddRemove-GoldWave v5.58 - c:\program files (x86)\GoldWave\unstall.exe
AddRemove-Hegemonia - f:\platte\Games\Hegemonia\uninst-hgm.exe
AddRemove-HGM_TSH - f:\platte\Games\Haegemonia - The Solon Heritage\uninst-HGM_TSH.exe
AddRemove-Magic ISO Maker v5.5 (build 0281) - f:\platte\software\MagicISO\UNWISE.EXE
AddRemove-Mozilla Firefox (3.6.13) - c:\festplatte\Programme\uninstall\helper.exe
AddRemove-PokerStars.net - f:\platte\Games\PokerStarsUninstall.exe
AddRemove-Port Royale_is1 - f:\platte\Games\Port Royal\unins000.exe
AddRemove-Postal 2_is1 - f:\platte\Games\Portal 2\unins000.exe
AddRemove-S.T.A.L.K.E.R. - Clear Sky_is1 - f:\platte\Games\S.T.A.L.K.E.R. - Clear Sky\unins000.exe
AddRemove-Warkeys - f:\platte\Games\Warcraft III\Warkeys\uninst.exe
AddRemove-Wolfenstein - Enemy Territory - f:\platte\Games\ET\Uninstall\Unwise.exe
AddRemove-X3TerranConflict_is1 - f:\platte\Games\X3 Terran Conflict\uninst\unins000.exe
AddRemove-{406FB8A4-F539-48A9-809C-F94706F9C9F6}_is1 - f:\platte\Games\S.T.A.L.K.E.R. - Call Of Pripyat\unins000.exe
AddRemove-{CC084EC0-5F74-4A17-8635-3ED61D501643}_is1 - f:\platte\Games\Flyff\unins000.exe
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1422427792-189484117-2329326468-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"
.
[HKEY_USERS\S-1-5-21-1422427792-189484117-2329326468-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Bonjour\mDNSResponder.exe
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files (x86)\Launch Manager\LMworker.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-07-23 20:54:14 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-07-23 18:54
.
Vor Suchlauf: 10 Verzeichnis(se), 432.066.994.176 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 433.206.317.056 Bytes frei
.
- - End Of File - - 45DC1B58533C41998E09291DF6746FC3
|
|
24.07.2011, 08:52
| #9 |
| /// TB-Ausbilder | BOO/TDss.M im Masterbootsektor/HD0 entdeckt Hallo Ifron, Wichtiger Hinweis: Du bist u.a. mit einem Trojaner infiziert, der Passwörter und Zugangsdaten ausspioniert. Darum bitte ich dich, bis auf weiteres kein Online-Banking oder andere Online Geschäfte zu tätigen. Schritt # 1: CFScript mit ComboFix ausführen Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code:
ATTFilter DDS::
uInternet Settings,ProxyOverride = *.local
DirLook::
c:\poooooooasi
c:\programdata\fH01602DkHfJ01602
c:\users\Ann-Marie\AppData\Local\SKIDROW
Folder::
c:\users\Ann-Marie\AppData\Roaming\Xyquy
c:\users\Ann-Marie\AppData\Roaming\Xaeb
Wichtig:
Schritt # 2: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
|
24.07.2011, 11:07
| #10 |
| | BOO/TDss.M im Masterbootsektor/HD0 entdeckt Hey M-K-D-B, vielen dank für die schnelle Antwort und die Mühe!! Hier der neue ComboFix Logfile: Code:
ATTFilter ComboFix 11-07-23.04 - Ann-Marie 24.07.2011 11:47:45.2.2 - x64
Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.3764.2540 [GMT 2:00]
ausgeführt von:: c:\users\Ann-Marie\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Ann-Marie\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Ann-Marie\AppData\Roaming\Xaeb
c:\users\Ann-Marie\AppData\Roaming\Xaeb\lurip.yki
c:\users\Ann-Marie\AppData\Roaming\Xaeb\lurip.yki.0
c:\users\Ann-Marie\AppData\Roaming\Xyquy
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-06-24 bis 2011-07-24 ))))))))))))))))))))))))))))))
.
.
2011-07-24 09:52 . 2011-07-24 09:52 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-07-24 09:52 . 2011-07-24 09:52 -------- d-----w- c:\users\Administrator\AppData\Local\temp
2011-07-24 09:46 . 2011-07-24 09:46 -------- d-----w- C:\32788R22FWJFW
2011-07-20 18:11 . 2011-07-20 18:11 -------- d-----w- c:\users\Ann-Marie\AppData\Roaming\Avira
2011-07-20 17:54 . 2011-07-20 19:18 88288 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-07-20 17:54 . 2011-07-20 19:18 123784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-07-20 17:54 . 2011-07-20 17:54 -------- d-----w- c:\programdata\Avira
2011-07-20 17:54 . 2011-07-20 17:54 -------- d-----w- c:\program files\Avira
2011-07-20 17:10 . 2011-07-21 03:25 -------- d-----w- c:\programdata\fH01602DkHfJ01602
2011-07-13 11:28 . 2011-07-13 14:36 -------- d-----w- c:\users\Ann-Marie\AppData\Roaming\.minecraft
2011-07-07 18:46 . 2011-07-07 18:46 -------- d-----w- c:\users\Ann-Marie\AppData\Local\SKIDROW
2011-07-06 09:28 . 2011-07-06 09:28 -------- d-----w- c:\program files (x86)\Apple Software Update
2011-07-06 09:27 . 2011-07-06 09:27 -------- d-----w- c:\program files\iPod
2011-07-06 09:27 . 2011-07-06 09:27 -------- d-----w- c:\program files\iTunes
2011-07-06 09:25 . 2011-07-06 09:25 -------- d-----w- c:\program files\Bonjour
2011-07-06 09:24 . 2011-07-06 09:24 -------- d-----w- c:\program files (x86)\Safari
2011-07-03 01:36 . 2011-07-16 09:45 -------- d-----w- c:\users\Ann-Marie\AppData\Roaming\uTorrent
2011-07-03 01:36 . 2011-07-03 01:36 -------- d-----w- c:\users\Ann-Marie\AppData\Local\uTorrent
2011-07-02 17:10 . 2011-07-02 17:10 -------- d-----w- c:\program files (x86)\Common Files\Blizzard Entertainment
2011-06-30 18:29 . 2011-07-24 09:54 -------- d-----w- c:\users\Ann-Marie\AppData\Local\PMB Files
2011-06-30 18:29 . 2011-06-30 18:29 -------- d-----w- c:\programdata\PMB Files
2011-06-30 18:29 . 2011-06-30 18:29 -------- d-----w- c:\program files (x86)\Pando Networks
2011-06-27 19:51 . 2011-06-27 19:51 -------- d-----w- c:\users\Ann-Marie\AppData\Roaming\InstallShield
2011-06-27 09:30 . 2011-06-27 09:30 -------- d-----w- c:\programdata\Ubisoft
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-24 00:04 . 2011-06-24 00:04 98304 ----a-w- c:\windows\SysWow64\CmdLineExt.dll
2011-06-19 16:35 . 2011-06-19 16:34 188128 ----a-w- c:\programdata\Microsoft\VCSExpress\10.0\1033\ResourceCache.dll
2011-05-10 06:06 . 2011-05-10 06:06 51712 ----a-w- c:\windows\system32\drivers\usbaapl64.sys
2011-05-10 06:06 . 2011-05-10 06:06 4517664 ----a-w- c:\windows\system32\usbaaplrc.dll
.
.
(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\poooooooasi ----
.
.
---- Directory of c:\programdata\fH01602DkHfJ01602 ----
.
2011-07-20 17:10 . 2011-07-20 17:16 208 ----a-w- c:\programdata\fH01602DkHfJ01602\fH01602DkHfJ01602
.
---- Directory of c:\users\Ann-Marie\AppData\Local\SKIDROW ----
.
2011-07-07 18:47 . 2011-07-11 04:13 356 ----a-w- c:\users\Ann-Marie\AppData\Local\SKIDROW\620\Stats.bin
.
.
((((((((((((((((((((((((((((( SnapShot@2011-07-23_18.49.05 )))))))))))))))))))))))))))))))))))))))))
.
- 2011-07-23 18:49 . 2011-07-23 18:49 32768 c:\windows\Temp\Temporary Internet Files\Content.IE5\index.dat
+ 2011-07-24 09:54 . 2011-07-24 09:54 32768 c:\windows\Temp\Temporary Internet Files\Content.IE5\index.dat
- 2011-07-23 18:49 . 2011-07-23 18:49 16384 c:\windows\Temp\History\History.IE5\index.dat
+ 2011-07-24 09:54 . 2011-07-24 09:54 16384 c:\windows\Temp\History\History.IE5\index.dat
- 2011-07-23 18:49 . 2011-07-23 18:49 16384 c:\windows\Temp\Cookies\index.dat
+ 2011-07-24 09:54 . 2011-07-24 09:54 16384 c:\windows\Temp\Cookies\index.dat
+ 2011-07-24 09:52 . 2011-07-24 09:52 13360 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\SoftGrid Client\Icon Cache\icon_ex.dat
- 2011-07-23 18:47 . 2011-07-23 18:47 13360 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\SoftGrid Client\Icon Cache\icon_ex.dat
+ 2009-07-14 04:54 . 2011-07-24 09:53 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-07-14 04:54 . 2011-07-23 18:48 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-07-14 04:54 . 2011-07-24 09:53 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:54 . 2011-07-23 18:48 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:54 . 2011-07-23 18:48 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:54 . 2011-07-24 09:53 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-09-08 02:33 . 2011-07-24 09:30 55836 c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 05:10 . 2011-07-24 09:30 42902 c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2010-12-19 20:52 . 2011-07-24 09:30 10834 c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1422427792-189484117-2329326468-1001_UserData.bin
- 2010-12-20 02:40 . 2011-07-23 18:33 16384 c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-12-20 02:40 . 2011-07-24 09:28 16384 c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-12-20 02:40 . 2011-07-24 09:28 32768 c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-12-20 02:40 . 2011-07-23 18:33 32768 c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-07-14 04:54 . 2011-07-24 09:28 16384 c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-07-14 04:54 . 2011-07-23 18:33 16384 c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-12-19 21:15 . 2011-07-24 09:54 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2010-12-19 21:15 . 2011-07-23 18:50 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-12-19 21:15 . 2011-07-24 09:54 32768 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-12-19 21:15 . 2011-07-23 18:50 32768 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2010-12-19 21:15 . 2011-07-24 09:54 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2010-12-19 21:15 . 2011-07-23 18:50 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2010-12-19 20:52 . 2011-07-23 18:50 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-12-19 20:52 . 2011-07-24 09:54 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2010-12-19 20:52 . 2011-07-23 18:50 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-12-19 20:52 . 2011-07-24 09:54 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2011-07-24 09:53 . 2011-07-24 09:53 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2011-07-23 18:32 . 2011-07-23 18:48 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2011-07-23 18:32 . 2011-07-23 18:48 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2011-07-24 09:53 . 2011-07-24 09:53 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2009-07-14 02:36 . 2011-07-24 09:32 647950 c:\windows\system32\perfh009.dat
- 2009-07-14 02:36 . 2011-07-23 18:37 647950 c:\windows\system32\perfh009.dat
- 2010-10-16 10:04 . 2011-07-23 18:37 691976 c:\windows\system32\perfh007.dat
+ 2010-10-16 10:04 . 2011-07-24 09:32 691976 c:\windows\system32\perfh007.dat
- 2009-07-14 02:36 . 2011-07-23 18:37 118822 c:\windows\system32\perfc009.dat
+ 2009-07-14 02:36 . 2011-07-24 09:32 118822 c:\windows\system32\perfc009.dat
- 2010-10-16 10:04 . 2011-07-23 18:37 145284 c:\windows\system32\perfc007.dat
+ 2010-10-16 10:04 . 2011-07-24 09:32 145284 c:\windows\system32\perfc007.dat
+ 2009-07-14 05:12 . 2011-07-24 09:28 262144 c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
- 2009-07-14 05:12 . 2011-07-23 18:33 262144 c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
- 2009-07-14 05:01 . 2011-07-23 18:32 294952 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2009-07-14 05:01 . 2011-07-24 09:52 294952 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
- 2010-12-30 09:40 . 2011-07-23 18:32 4876376 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-1422427792-189484117-2329326468-1001-8192.dat
+ 2010-12-30 09:40 . 2011-07-24 09:52 4876376 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-1422427792-189484117-2329326468-1001-8192.dat
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files (x86)\Windows Live\Messenger\msnmsgr.exe" [2010-11-10 4240760]
"Pando Media Booster"="c:\program files (x86)\Pando Networks\Media Booster\PMB.exe" [2011-06-30 3077528]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-28 35696]
"BackupManagerTray"="c:\program files (x86)\NewTech Infosystems\Packard Bell MyBackup\BackupManagerTray.exe" [2010-06-28 263936]
"LManager"="c:\program files (x86)\Launch Manager\LManager.exe" [2010-08-11 975952]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2010-12-09 1226608]
"DivX Download Manager"="c:\festplatte\Programme\DivX\DivX Plus Web Player\DDmService.exe" [2010-12-08 63360]
"iTunesHelper"="c:\festplatte\Programme\iTunes\iTunesHelper.exe" [2011-06-07 421160]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
VideoWebCamera.exe.lnk - c:\program files (x86)\Video Web Camera\VideoWebCamera.exe [2010-6-8 6329160]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS [x]
R3 dump_wmimmc;dump_wmimmc;f:\platte\Games\Flyff\GameGuard\dump_wmimmc.sys [x]
R3 GamesAppService;GamesAppService;c:\program files (x86)\WildTangent Games\App\GamesAppService.exe [2010-10-12 206072]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeActiveFileMonitor8.0;Adobe Active File Monitor V8;c:\program files (x86)\Adobe\Elements Organizer 8.0\PhotoshopElementsFileAgent.exe [2009-10-09 169312]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-21 136360]
S2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2010-02-28 821664]
S2 DsiWMIService;Dritek WMI Service;c:\program files (x86)\Launch Manager\dsiwmis.exe [2010-08-11 321104]
S2 ePowerSvc;Acer ePower Service;c:\program files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe [2010-06-11 868896]
S2 GREGService;GREGService;c:\program files (x86)\Packard Bell\Registration\GREGsvc.exe [2010-01-08 23584]
S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files (x86)\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe [2010-06-28 255744]
S2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2010-04-24 483688]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-03-03 2320920]
S2 Updater Service;Updater Service;c:\program files\Packard Bell\Packard Bell Updater\UpdaterService.exe [2010-01-28 243232]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [x]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [x]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [x]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [x]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [x]
S3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2010-04-24 209768]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [x]
.
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AmIcoSinglun64"="c:\program files (x86)\AmIcoSingLun\AmIcoSinglun64.exe" [2010-06-10 324608]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-05-07 161304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-05-07 386584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-05-07 413208]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2010-07-29 11101800]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2009-10-22 325120]
"Acer ePower Management"="c:\program files\Packard Bell\Packard Bell Power Management\ePowerTray.exe" [2010-06-11 861216]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://packardbell.msn.com
uLocal Page = c:\windows\system32\blank.htm
mStart Page = hxxp://packardbell.msn.com
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Free YouTube Download - c:\users\Ann-Marie\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to iPod Converter - c:\users\Ann-Marie\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetoipodconverter.htm
TCP: DhcpNameServer = 192.168.178.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1422427792-189484117-2329326468-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"
.
[HKEY_USERS\S-1-5-21-1422427792-189484117-2329326468-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Bonjour\mDNSResponder.exe
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files (x86)\Launch Manager\LMworker.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-07-24 11:58:48 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-07-24 09:58
.
Vor Suchlauf: 13 Verzeichnis(se), 433.269.800.960 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 432.961.236.992 Bytes frei
.
- - End Of File - - 0CAE0A89DA2304984B8322B33A34A86A
|
|
24.07.2011, 11:31
| #11 |
| /// TB-Ausbilder | BOO/TDss.M im Masterbootsektor/HD0 entdeckt Hallo Ifron, Gehe ich richtig in der Annahme, dass früher auf diesem Rechner eine Sygate Firewall installiert war? Ich sehe noch ein paar Reste in den Logfiles. Mittlerweile ist diese ja deinstalliert, richtig? Lösche bitte die vorhandene CFScript.txt von deinem Desktop. Wir müssen ein neues CFScript ausführen: Schritt # 1: CFScript mit ComboFix ausführen Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code:
ATTFilter Folder::
c:\poooooooasi
c:\programdata\fH01602DkHfJ01602
Wichtig:
Schritt # 2: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM) Downloade Dir bitte Malwarebytes' Anti-Malware
Schritt # 3: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
|
24.07.2011, 13:26
| #12 |
| | BOO/TDss.M im Masterbootsektor/HD0 entdeckt Hey M-K-D-B, ja das ist richtig ich hatte mal die Sygate Personal firewall drauf, die habe ich aber schon ne ganze Weile nicht mehr, da die unter Win 7 nicht wirklich funktioniert hat (bzw. habe ich sie nicht zum laufen bekommen). Deinstalliert ist sie mittlerweile auch schon wieder. Der neue Combofix logfile ist hier: Code:
ATTFilter ComboFix 11-07-23.04 - Ann-Marie 24.07.2011 13:49:04.3.2 - x64
Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.3764.2585 [GMT 2:00]
ausgeführt von:: c:\users\Ann-Marie\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Ann-Marie\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\fH01602DkHfJ01602
c:\programdata\fH01602DkHfJ01602\fH01602DkHfJ01602
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-06-24 bis 2011-07-24 ))))))))))))))))))))))))))))))
.
.
2011-07-24 11:53 . 2011-07-24 11:53 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-07-24 11:53 . 2011-07-24 11:53 -------- d-----w- c:\users\Administrator\AppData\Local\temp
2011-07-24 09:46 . 2011-07-24 11:48 -------- d-----w- C:\32788R22FWJFW
2011-07-20 18:11 . 2011-07-20 18:11 -------- d-----w- c:\users\Ann-Marie\AppData\Roaming\Avira
2011-07-20 17:54 . 2011-07-20 19:18 88288 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-07-20 17:54 . 2011-07-20 19:18 123784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-07-20 17:54 . 2011-07-20 17:54 -------- d-----w- c:\programdata\Avira
2011-07-20 17:54 . 2011-07-20 17:54 -------- d-----w- c:\program files\Avira
2011-07-13 11:28 . 2011-07-13 14:36 -------- d-----w- c:\users\Ann-Marie\AppData\Roaming\.minecraft
2011-07-07 18:46 . 2011-07-07 18:46 -------- d-----w- c:\users\Ann-Marie\AppData\Local\SKIDROW
2011-07-06 09:28 . 2011-07-06 09:28 -------- d-----w- c:\program files (x86)\Apple Software Update
2011-07-06 09:27 . 2011-07-06 09:27 -------- d-----w- c:\program files\iPod
2011-07-06 09:27 . 2011-07-06 09:27 -------- d-----w- c:\program files\iTunes
2011-07-06 09:25 . 2011-07-06 09:25 -------- d-----w- c:\program files\Bonjour
2011-07-06 09:24 . 2011-07-06 09:24 -------- d-----w- c:\program files (x86)\Safari
2011-07-03 01:36 . 2011-07-16 09:45 -------- d-----w- c:\users\Ann-Marie\AppData\Roaming\uTorrent
2011-07-03 01:36 . 2011-07-03 01:36 -------- d-----w- c:\users\Ann-Marie\AppData\Local\uTorrent
2011-07-02 17:10 . 2011-07-02 17:10 -------- d-----w- c:\program files (x86)\Common Files\Blizzard Entertainment
2011-06-30 18:29 . 2011-07-24 11:55 -------- d-----w- c:\users\Ann-Marie\AppData\Local\PMB Files
2011-06-30 18:29 . 2011-06-30 18:29 -------- d-----w- c:\programdata\PMB Files
2011-06-30 18:29 . 2011-06-30 18:29 -------- d-----w- c:\program files (x86)\Pando Networks
2011-06-27 19:51 . 2011-06-27 19:51 -------- d-----w- c:\users\Ann-Marie\AppData\Roaming\InstallShield
2011-06-27 09:30 . 2011-06-27 09:30 -------- d-----w- c:\programdata\Ubisoft
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-24 00:04 . 2011-06-24 00:04 98304 ----a-w- c:\windows\SysWow64\CmdLineExt.dll
2011-06-19 16:35 . 2011-06-19 16:34 188128 ----a-w- c:\programdata\Microsoft\VCSExpress\10.0\1033\ResourceCache.dll
2011-05-10 06:06 . 2011-05-10 06:06 51712 ----a-w- c:\windows\system32\drivers\usbaapl64.sys
2011-05-10 06:06 . 2011-05-10 06:06 4517664 ----a-w- c:\windows\system32\usbaaplrc.dll
.
.
((((((((((((((((((((((((((((( SnapShot_2011-07-24_09.54.14 )))))))))))))))))))))))))))))))))))))))))
.
- 2011-07-24 09:54 . 2011-07-24 09:54 32768 c:\windows\Temp\Temporary Internet Files\Content.IE5\index.dat
+ 2011-07-24 11:54 . 2011-07-24 11:54 32768 c:\windows\Temp\Temporary Internet Files\Content.IE5\index.dat
- 2011-07-24 09:54 . 2011-07-24 09:54 16384 c:\windows\Temp\History\History.IE5\index.dat
+ 2011-07-24 11:54 . 2011-07-24 11:54 16384 c:\windows\Temp\History\History.IE5\index.dat
- 2011-07-24 09:54 . 2011-07-24 09:54 16384 c:\windows\Temp\Cookies\index.dat
+ 2011-07-24 11:54 . 2011-07-24 11:54 16384 c:\windows\Temp\Cookies\index.dat
+ 2011-07-24 11:53 . 2011-07-24 11:53 13360 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\SoftGrid Client\Icon Cache\icon_ex.dat
- 2011-07-24 09:52 . 2011-07-24 09:52 13360 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\SoftGrid Client\Icon Cache\icon_ex.dat
+ 2009-07-14 04:54 . 2011-07-24 11:54 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-07-14 04:54 . 2011-07-24 09:53 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-07-14 04:54 . 2011-07-24 11:54 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:54 . 2011-07-24 09:53 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:54 . 2011-07-24 09:53 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:54 . 2011-07-24 11:54 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-09-08 02:33 . 2011-07-24 09:55 56166 c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 05:10 . 2011-07-24 09:55 42926 c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2010-12-19 20:52 . 2011-07-24 09:55 10882 c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1422427792-189484117-2329326468-1001_UserData.bin
- 2010-12-20 02:40 . 2011-07-24 09:28 16384 c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-12-20 02:40 . 2011-07-24 09:54 16384 c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-12-20 02:40 . 2011-07-24 09:54 32768 c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-12-20 02:40 . 2011-07-24 09:28 32768 c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-07-14 04:54 . 2011-07-24 09:54 16384 c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-07-14 04:54 . 2011-07-24 09:28 16384 c:\windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-12-19 21:15 . 2011-07-24 11:55 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2010-12-19 21:15 . 2011-07-24 09:54 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-12-19 21:15 . 2011-07-24 11:55 32768 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2010-12-19 21:15 . 2011-07-24 09:54 32768 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2010-12-19 21:15 . 2011-07-24 11:55 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2010-12-19 21:15 . 2011-07-24 09:54 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2010-12-19 20:52 . 2011-07-24 09:54 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-12-19 20:52 . 2011-07-24 11:55 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2010-12-19 20:52 . 2011-07-24 09:54 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-12-19 20:52 . 2011-07-24 11:55 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2011-07-24 09:53 . 2011-07-24 09:53 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2011-07-24 11:54 . 2011-07-24 11:54 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2011-07-24 11:54 . 2011-07-24 11:54 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2011-07-24 09:53 . 2011-07-24 09:53 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2009-07-14 02:36 . 2011-07-24 09:58 647950 c:\windows\system32\perfh009.dat
- 2009-07-14 02:36 . 2011-07-24 09:32 647950 c:\windows\system32\perfh009.dat
- 2010-10-16 10:04 . 2011-07-24 09:32 691976 c:\windows\system32\perfh007.dat
+ 2010-10-16 10:04 . 2011-07-24 09:58 691976 c:\windows\system32\perfh007.dat
- 2009-07-14 02:36 . 2011-07-24 09:32 118822 c:\windows\system32\perfc009.dat
+ 2009-07-14 02:36 . 2011-07-24 09:58 118822 c:\windows\system32\perfc009.dat
- 2010-10-16 10:04 . 2011-07-24 09:32 145284 c:\windows\system32\perfc007.dat
+ 2010-10-16 10:04 . 2011-07-24 09:58 145284 c:\windows\system32\perfc007.dat
+ 2009-07-14 05:12 . 2011-07-24 09:54 262144 c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
- 2009-07-14 05:12 . 2011-07-24 09:28 262144 c:\windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
- 2009-07-14 05:01 . 2011-07-24 09:52 294952 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2009-07-14 05:01 . 2011-07-24 11:53 294952 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
- 2010-12-30 09:40 . 2011-07-24 09:52 4876376 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-1422427792-189484117-2329326468-1001-8192.dat
+ 2010-12-30 09:40 . 2011-07-24 11:53 4876376 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-1422427792-189484117-2329326468-1001-8192.dat
.
-- Snapshot auf jetziges Datum zurückgesetzt --
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files (x86)\Windows Live\Messenger\msnmsgr.exe" [2010-11-10 4240760]
"Pando Media Booster"="c:\program files (x86)\Pando Networks\Media Booster\PMB.exe" [2011-06-30 3077528]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-28 35696]
"BackupManagerTray"="c:\program files (x86)\NewTech Infosystems\Packard Bell MyBackup\BackupManagerTray.exe" [2010-06-28 263936]
"LManager"="c:\program files (x86)\Launch Manager\LManager.exe" [2010-08-11 975952]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2010-12-09 1226608]
"DivX Download Manager"="c:\festplatte\Programme\DivX\DivX Plus Web Player\DDmService.exe" [2010-12-08 63360]
"iTunesHelper"="c:\festplatte\Programme\iTunes\iTunesHelper.exe" [2011-06-07 421160]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
VideoWebCamera.exe.lnk - c:\program files (x86)\Video Web Camera\VideoWebCamera.exe [2010-6-8 6329160]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS [x]
R3 dump_wmimmc;dump_wmimmc;f:\platte\Games\Flyff\GameGuard\dump_wmimmc.sys [x]
R3 GamesAppService;GamesAppService;c:\program files (x86)\WildTangent Games\App\GamesAppService.exe [2010-10-12 206072]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeActiveFileMonitor8.0;Adobe Active File Monitor V8;c:\program files (x86)\Adobe\Elements Organizer 8.0\PhotoshopElementsFileAgent.exe [2009-10-09 169312]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-21 136360]
S2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2010-02-28 821664]
S2 DsiWMIService;Dritek WMI Service;c:\program files (x86)\Launch Manager\dsiwmis.exe [2010-08-11 321104]
S2 ePowerSvc;Acer ePower Service;c:\program files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe [2010-06-11 868896]
S2 GREGService;GREGService;c:\program files (x86)\Packard Bell\Registration\GREGsvc.exe [2010-01-08 23584]
S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files (x86)\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe [2010-06-28 255744]
S2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2010-04-24 483688]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-03-03 2320920]
S2 Updater Service;Updater Service;c:\program files\Packard Bell\Packard Bell Updater\UpdaterService.exe [2010-01-28 243232]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [x]
S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [x]
S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [x]
S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [x]
S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [x]
S3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2010-04-24 209768]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [x]
.
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AmIcoSinglun64"="c:\program files (x86)\AmIcoSingLun\AmIcoSinglun64.exe" [2010-06-10 324608]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-05-07 161304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-05-07 386584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-05-07 413208]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2010-07-29 11101800]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2009-10-22 325120]
"Acer ePower Management"="c:\program files\Packard Bell\Packard Bell Power Management\ePowerTray.exe" [2010-06-11 861216]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://packardbell.msn.com
uLocal Page = c:\windows\system32\blank.htm
mStart Page = hxxp://packardbell.msn.com
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Free YouTube Download - c:\users\Ann-Marie\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to iPod Converter - c:\users\Ann-Marie\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetoipodconverter.htm
TCP: DhcpNameServer = 192.168.178.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1422427792-189484117-2329326468-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"
.
[HKEY_USERS\S-1-5-21-1422427792-189484117-2329326468-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Bonjour\mDNSResponder.exe
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files (x86)\Launch Manager\LMworker.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-07-24 13:59:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-07-24 11:59
.
Vor Suchlauf: 14 Verzeichnis(se), 433.010.642.944 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 432.956.051.456 Bytes frei
.
- - End Of File - - 5B14509FD6CF7176F103C0803F42BF86
und die MBAM files sind hier: Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Datenbank Version: 7261
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
24.07.2011 14:16:35
mbam-log-2011-07-24 (14-16-35).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 174054
Laufzeit: 2 Minute(n), 40 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\TJHTHX1O7X (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
|
24.07.2011, 13:37
| #13 |
| /// TB-Ausbilder | BOO/TDss.M im Masterbootsektor/HD0 entdeckt Hallo Ifron, ich bitte um einen kleinen Zwischenbericht: Wie läuft dein Rechner derzeit? Gibt es Probleme? Wenn ja, welche? Schritt # 1: Systemscan mit OTL
Schritt # 2: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
|
24.07.2011, 14:07
| #14 |
| | BOO/TDss.M im Masterbootsektor/HD0 entdeckt Hey M-K-D-B, der Laptop läuft an sich wunderbar. Ich bin zwar der Meinung das das Hochfahren immernoch länger dauert als vor dem Virusbefall, es ist aber nur minimal und seid der bisherigen Bereinigung um EINIGES schneller geworden. Ansonsten fällt mir nichts auf was ungewöhnlich wäre, soweit ich das beurteilen kann. Die Logfiles befinden sich im Anhang, da das Hochladen in den Codeboxen komischerweise nicht funktioniert hat. An sich funktionieren alle Funktionionen des Browsers einwandfrei, nur speziell diese Antwort in den Thread zu schreiben hat nicht funktioniert (der Rechner reagiert zwar aber lädt "unendlich" lang). |
|
24.07.2011, 14:49
| #15 |
| /// TB-Ausbilder | BOO/TDss.M im Masterbootsektor/HD0 entdeckt Hallo Ifron, Schritt # 1: Fix mit OTL
Code:
ATTFilter :OTL
DRV - [2004.02.02 11:53:28 | 000,018,518 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Boot | Stopped] -- C:\Windows\system32\drivers\wpsdrvnt.sys -- (wpsdrvnt)
DRV - [2004.02.02 11:51:04 | 000,055,891 | ---- | M] (Sygate Technologies, Inc.) [Kernel | System | Stopped] -- C:\Windows\SYSTEM32\Drivers\Teefer.sys -- (Teefer)
DRV - [2004.02.02 11:37:32 | 000,011,914 | ---- | M] (Sygate Technologies, Inc.) [Kernel | Auto | Stopped] -- C:\Windows\SYSTEM32\Drivers\wg3n.sys -- (wg3n)
FF - prefs.js..browser.search.defaultthis.engineName: "Game Master 1.1 Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2856449&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Game Master 1.1 Customized Web Search"
FF - prefs.js..extensions.enabledItems: {872b5b88-9db5-4310-bdd0-ac189557e5f5}:3.3.3.2
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
[2011.06.26 12:10:46 | 000,000,000 | ---D | M] (DVDVideoSoftTB Community Toolbar) -- C:\Users\Ann-Marie\AppData\Roaming\mozilla\Firefox\Profiles\bl3lem6s.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
[2011.06.26 12:10:46 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Ann-Marie\AppData\Roaming\mozilla\Firefox\Profiles\bl3lem6s.default\extensions\engine@conduit.com
[2010.12.30 18:26:30 | 000,000,933 | ---- | M] () -- C:\Users\Ann-Marie\AppData\Roaming\Mozilla\Firefox\Profiles\bl3lem6s.default\searchplugins\conduit.xml
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
[2011.07.24 11:28:47 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{DDEF54B3-0B02-43E0-8134-DED37598DC14}
[2011.07.23 10:38:05 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{13D1B040-B56B-4B67-85D6-628BB3E80A81}
[2011.07.22 15:47:38 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{B342C8B4-5EF9-49E3-96CB-D70678747FDC}
[2011.07.20 19:39:40 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{CED6590A-550C-4BDC-9FDE-7DA5AA16B566}
[2011.07.20 19:29:40 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{D4F34911-DDD3-4080-9362-5E7E43772570}
[2011.07.20 12:43:47 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{58A7FFB2-7A6C-4829-BAD3-5D3C141FF498}
[2011.07.20 12:37:06 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{4A750548-BFCB-44A1-8FA9-A65945050B6A}
[2011.07.17 22:14:24 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{37E444B9-328A-4DC7-9DA5-CDF548036B97}
[2011.07.17 07:29:31 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{D50495AE-374D-4F2D-8676-A065A5A9484B}
[2011.07.16 10:22:18 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{ADE4BA66-CC25-4458-B292-E9DC94190A98}
[2011.07.15 11:36:39 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{D7C3F2DC-645F-44B2-B09C-3EA6F0507701}
[2011.07.14 14:28:27 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{D1AA260A-2E89-4507-9F7C-F60413894039}
[2011.07.13 13:48:54 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{727D3D80-261F-4BE2-A867-005CAD2F0EA2}
[2011.07.11 15:55:32 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{BA5EEFC1-A869-4382-AA98-ECFB5523B547}
[2011.07.10 10:33:41 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{50EA10F7-56BE-4F01-A195-BA4EDA0C250F}
[2011.07.09 00:15:20 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{827F7D1F-E9FE-43CE-AEC3-83D8BD8D3DE6}
[2011.07.06 17:48:34 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{786278F3-F4AF-4FDD-A10D-0062C2E14F8D}
[2011.07.06 16:30:31 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{04927D79-B2DA-4304-A0C9-ED1C882A35F8}
[2011.07.05 19:17:05 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{73F861E5-C43E-4944-9F8C-188DA170386E}
[2011.07.04 12:37:01 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{85CF987B-1571-441D-8F1B-1A42A54FA8A9}
[2011.07.03 17:05:13 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{E9298AAD-92BE-4761-BF74-191828F5BAA9}
[2011.07.01 09:09:11 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{09702910-F054-4AC9-AEF5-F435F98B2876}
[2011.06.30 10:55:38 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{38556073-EB8D-424F-8EB0-43E34B3C408B}
[2011.06.29 11:54:56 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{FD8A7B68-4071-466D-B3AD-3D67D91335E4}
[2011.06.28 11:14:13 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{622A6E00-B664-4645-80C9-CDC86D1110D8}
[2011.06.27 20:10:25 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{3C7A15F0-3BDB-455D-9508-BD67422CE3F1}
[2011.06.26 20:10:22 | 000,000,000 | ---D | C] -- C:\Users\Ann-Marie\AppData\Local\{5FDC8781-A78A-40F8-BB69-16F919BDCA10}
:commands
[Emptytemp]
Schritt # 2: Java deinstallieren/neu installieren
Schritt # 3: Wichtige Updates
Schritt # 4: ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
 + R Taste und kopiere folgenden Text in das Ausführen Fenster.Code:
ATTFilter "%ProgramFiles(X86)%\Eset\Eset Online Scanner\log.txt"
Schritt # 5: Durchführung einer Sicherheitskontrolle Downloade Dir bitte SecurityCheck
Schritt # 6: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
|
| Themen zu BOO/TDss.M im Masterbootsektor/HD0 entdeckt |
| antivir, avira, avira antivir, beendet, boo/tdss.m, browser, datei, entdeck, entfernen, guten, hochfahren, internetseite, klicke, laptop, mas, neustart, nicht mehr, pcs, popup, scan, seite, seiten, tool, verschiedene, virus, websites |
Textbox.
Button.
Linear-Darstellung
