Antivir hat WORM/phorpiex.B.56 gefunden, kann nicht gelöscht werden

trullala · 25.10.2011, 11:36

Hallo,

ich habe mir sehr wahrscheinlich auch über facebook den o.g. Virus gefangen. Auch bei mir war dieser als Bildschirmschoner getarnt.

Habe schon Defogger runtergeladen und ausgeführt und die LOGs von OTL und GMER angehängt.

Malware habe ich auch runtergeladen, kann aber nicht aktualisieren, da Fehlermeldung kommt (Screenshot ebenfalls anbei)

Würde mich wahnsinnig über Hilfe freuen!

cosinus · 26.10.2011, 12:16

Zitat:

da Fehlermeldung kommt (Screenshot ebenfalls anbei)

Bitte beachten und umsetzen => http://www.trojaner-board.de/94344-p...n-pruefen.html

trullala · 27.10.2011, 10:45

Hallo,

ich hab's geschafft. Lag wirklich am Proxy... Hätte ich auch selber draufkommen können.

Hier die Logfile von Malware:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8028

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

27.10.2011 11:41:27
mbam-log-2011-10-27 (11-41-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 231281
Laufzeit: 1 Stunde(n), 3 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Update (Trojan.Agent) -> Value: Microsoft® Windows Update -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll.5 (Adware.WidgiToolbar) -> No action taken.
c:\system volume information\_restore{04187ba7-aa8b-4f2c-a655-4c8b915e53e8}\RP436\A0044632.rbf (Adware.WidgiToolbar) -> No action taken.

Antivir findet ihn übrigens nicht mehr...?!

Vielen Dank schonmal,
Gruß Sven

cosinus · 27.10.2011, 12:31

Zitat:

-> No action taken.

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

trullala · 27.10.2011, 12:51

Hab ich getan.

Hier die neue Log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8028

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

27.10.2011 13:38:17
mbam-log-2011-10-27 (13-38-17).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 231281
Laufzeit: 1 Stunde(n), 3 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Update (Trojan.Agent) -> Value: Microsoft® Windows Update -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll.5 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{04187ba7-aa8b-4f2c-a655-4c8b915e53e8}\RP436\A0044632.rbf (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

Gruß Sven

cosinus · 27.10.2011, 14:36

Führ bitte auch ESET aus, danach sehen wir weiter:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

trullala · 27.10.2011, 16:56

Und hier das ESET-Log:

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
Update failed (45315). Trying proxy 192.168.115.13128
finished. ret_update=0 e_gle=0
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=120419008db6d14c83c3184d7331755b
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-27 03:40:58
# local_time=2011-10-27 05:40:58 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 42253527 42253527 0 0
# compatibility_mode=8192 67108863 100 0 364 364 0 0
# scanned=65454
# found=1
# cleaned=0
# scan_time=4729
C:\Dokumente und Einstellungen\Sven Kasper\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81QBGHAB\pdfforgeToolbar[1].msi	a variant of Win32/Adware.Toolbar.Dealio application (unable to clean)	00000000000000000000000000000000	I

Gruß
Sven

cosinus · 27.10.2011, 18:48

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

ATTFilter

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = localhost
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=192.168.115.1:3128;https=192.168.115.1:3128;ftp=192.168.115.1:3128;socks=192.168.115.1:1080
FF - prefs.js..keyword.URL: "http://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p="
FF - prefs.js..network.proxy.MM3ProxySwitch.type: 1
FF - prefs.js..network.proxy.ftp: "192.168.115.1"
FF - prefs.js..network.proxy.ftp_port: 3128
FF - prefs.js..network.proxy.http: "192.168.115.1"
FF - prefs.js..network.proxy.http_port: 3128
FF - prefs.js..network.proxy.no_proxies_on: ""
FF - prefs.js..network.proxy.socks: "192.168.115.1"
FF - prefs.js..network.proxy.socks_port: 1080
FF - prefs.js..network.proxy.ssl: "192.168.115.1"
FF - prefs.js..network.proxy.ssl_port: 3128
FF - prefs.js..network.proxy.type: 1
O4 - HKCU..\Run: [Microsoft® Windows Update] C:\Dokumente und Einstellungen\***\M-1-52-5782-8752-5245\winsvc.exe File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.07.27 10:33:53 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{07a42645-7a89-11de-a205-8d766b49bf6f}\Shell\AutoRun\command - "" = G:\StartPortableApps.exe
O33 - MountPoints2\{6c0a5c87-9c43-11de-a22d-0023ae0cedc5}\Shell\AutoRun\command - "" = F:\StartPortableApps.exe
O33 - MountPoints2\{a824a814-b3dd-11de-a241-0023ae0cedc5}\Shell\AutoRun\command - "" = F:\Menu.exe
O33 - MountPoints2\{cef91e0d-992e-11de-a22c-0023ae0cedc5}\Shell - "" = AutoRun
O33 - MountPoints2\{cef91e0d-992e-11de-a22c-0023ae0cedc5}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{cef91e0d-992e-11de-a22c-0023ae0cedc5}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Autostart.exe
O33 - MountPoints2\{df553ea1-901a-11e0-a3e3-0023ae0cedc5}\Shell\AutoRun\command - "" = F:\ContentManager\ContentManagerStarter.exe
[2011.10.21 16:58:11 | 000,000,000 | RHSD | C] -- C:\Dokumente und Einstellungen\***\M-1-52-5782-8752-5245
:Commands
[emptytemp]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

trullala · 28.10.2011, 07:33

Guten Morgen!

Hab den Fix gemacht:

Code:

ATTFilter

All processes killed
========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Local Page| /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Prefs.js: "hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=" removed from keyword.URL
Prefs.js: 1 removed from network.proxy.MM3ProxySwitch.type
Prefs.js: "192.168.115.1" removed from network.proxy.ftp
Prefs.js: 3128 removed from network.proxy.ftp_port
Prefs.js: "192.168.115.1" removed from network.proxy.http
Prefs.js: 3128 removed from network.proxy.http_port
Prefs.js: "" removed from network.proxy.no_proxies_on
Prefs.js: "192.168.115.1" removed from network.proxy.socks
Prefs.js: 1080 removed from network.proxy.socks_port
Prefs.js: "192.168.115.1" removed from network.proxy.ssl
Prefs.js: 3128 removed from network.proxy.ssl_port
Prefs.js: 1 removed from network.proxy.type
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Microsoft® Windows Update not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{07a42645-7a89-11de-a205-8d766b49bf6f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{07a42645-7a89-11de-a205-8d766b49bf6f}\ not found.
File G:\StartPortableApps.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6c0a5c87-9c43-11de-a22d-0023ae0cedc5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6c0a5c87-9c43-11de-a22d-0023ae0cedc5}\ not found.
File F:\StartPortableApps.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a824a814-b3dd-11de-a241-0023ae0cedc5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a824a814-b3dd-11de-a241-0023ae0cedc5}\ not found.
File F:\Menu.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cef91e0d-992e-11de-a22c-0023ae0cedc5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{cef91e0d-992e-11de-a22c-0023ae0cedc5}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cef91e0d-992e-11de-a22c-0023ae0cedc5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{cef91e0d-992e-11de-a22c-0023ae0cedc5}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cef91e0d-992e-11de-a22c-0023ae0cedc5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{cef91e0d-992e-11de-a22c-0023ae0cedc5}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Autostart.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{df553ea1-901a-11e0-a3e3-0023ae0cedc5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{df553ea1-901a-11e0-a3e3-0023ae0cedc5}\ not found.
File F:\ContentManager\ContentManagerStarter.exe not found.
C:\Dokumente und Einstellungen\***\M-1-52-5782-8752-5245 folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56468 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 11177442 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: ***
->Temp folder emptied: 2324579202 bytes
->Temporary Internet Files folder emptied: 127441186 bytes
->Java cache emptied: 77623243 bytes
->FireFox cache emptied: 51940683 bytes
->Flash cache emptied: 56941 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2167231 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 106731938 bytes
RecycleBin emptied: 455680 bytes
 
Total Files Cleaned = 2.577,00 mb
 
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.31.0 log created on 10282011_081807

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\WCESLog.log moved successfully.

Registry entries deleted on Reboot...

Sieht doch jetzt gut aus, oder?!

Gruß

cosinus · 28.10.2011, 10:37

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )

Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

trullala · 28.10.2011, 10:57

Moin!
Das war ja mal ein schneller Scan...

Code:

ATTFilter

11:50:09.0709 1236	TDSS rootkit removing tool 2.6.13.0 Oct 25 2011 13:56:21
11:50:09.0709 1236	============================================================
11:50:09.0709 1236	Current date / time: 2011/10/28 11:50:09.0709
11:50:09.0709 1236	SystemInfo:
11:50:09.0709 1236	
11:50:09.0709 1236	OS Version: 5.1.2600 ServicePack: 3.0
11:50:09.0709 1236	Product type: Workstation
11:50:09.0709 1236	ComputerName: NOTE-KASPER
11:50:09.0709 1236	UserName: Sven Kasper
11:50:09.0709 1236	Windows directory: C:\WINDOWS
11:50:09.0709 1236	System windows directory: C:\WINDOWS
11:50:09.0709 1236	Processor architecture: Intel x86
11:50:09.0709 1236	Number of processors: 2
11:50:09.0709 1236	Page size: 0x1000
11:50:09.0709 1236	Boot type: Normal boot
11:50:09.0709 1236	============================================================
11:50:11.0835 1236	Initialize success
11:50:49.0885 3372	============================================================
11:50:49.0885 3372	Scan started
11:50:49.0885 3372	Mode: Manual; SigCheck; TDLFS; 
11:50:49.0885 3372	============================================================
11:50:50.0792 3372	Abiosdsk - ok
11:50:50.0823 3372	abp480n5 - ok
11:50:50.0885 3372	ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
11:50:52.0386 3372	ACPI - ok
11:50:52.0730 3372	ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
11:50:52.0855 3372	ACPIEC - ok
11:50:52.0855 3372	adpu160m - ok
11:50:52.0902 3372	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
11:50:53.0136 3372	aec - ok
11:50:53.0465 3372	AESTAud         (f21d5e93a94514be9f5b6ebf74a696b2) C:\WINDOWS\system32\drivers\AESTAud.sys
11:50:53.0496 3372	AESTAud - ok
11:50:53.0559 3372	AFD             (355556d9e580915118cd7ef736653a89) C:\WINDOWS\System32\drivers\afd.sys
11:50:53.0621 3372	AFD - ok
11:50:53.0621 3372	Aha154x - ok
11:50:53.0637 3372	aic78u2 - ok
11:50:53.0637 3372	aic78xx - ok
11:50:53.0652 3372	AliIde - ok
11:50:53.0668 3372	amsint - ok
11:50:53.0715 3372	Arp1394         (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
11:50:53.0918 3372	Arp1394 - ok
11:50:53.0918 3372	asc - ok
11:50:53.0934 3372	asc3350p - ok
11:50:53.0934 3372	asc3550 - ok
11:50:54.0199 3372	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
11:50:54.0340 3372	AsyncMac - ok
11:50:54.0387 3372	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
11:50:54.0496 3372	atapi - ok
11:50:54.0496 3372	Atdisk - ok
11:50:54.0528 3372	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
11:50:54.0747 3372	Atmarpc - ok
11:50:55.0044 3372	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
11:50:55.0137 3372	audstub - ok
11:50:55.0294 3372	avgio           (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
11:50:55.0309 3372	avgio - ok
11:50:55.0372 3372	avgntflt        (14fe36d8f2c6a2435275338d061a0b66) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
11:50:55.0466 3372	avgntflt - ok
11:50:55.0513 3372	avipbb          (6d52060b59e7d79cd2a044b6add1f1ef) C:\WINDOWS\system32\DRIVERS\avipbb.sys
11:50:55.0544 3372	avipbb - ok
11:50:55.0606 3372	b57w2k          (559ddda2c88459478056174247706deb) C:\WINDOWS\system32\DRIVERS\b57xp32.sys
11:50:55.0685 3372	b57w2k - ok
11:50:55.0794 3372	BCM43XX         (fe4ed785396eaa554c561992106a35fa) C:\WINDOWS\system32\DRIVERS\bcmwl5.sys
11:50:56.0075 3372	BCM43XX - ok
11:50:56.0200 3372	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
11:50:56.0372 3372	Beep - ok
11:50:56.0701 3372	BrPar           (2fe6d5be0629f706197b30c0aa05de30) C:\WINDOWS\System32\drivers\BrPar.sys
11:50:56.0748 3372	BrPar ( UnsignedFile.Multi.Generic ) - warning
11:50:56.0748 3372	BrPar - detected UnsignedFile.Multi.Generic (1)
11:50:56.0779 3372	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
11:50:56.0888 3372	cbidf2k - ok
11:50:56.0998 3372	cd20xrnt - ok
11:50:57.0092 3372	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
11:50:57.0279 3372	Cdaudio - ok
11:50:57.0607 3372	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
11:50:57.0701 3372	Cdfs - ok
11:50:57.0701 3372	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
11:50:57.0811 3372	Cdrom - ok
11:50:57.0842 3372	cercsr6         (84853b3fd012251690570e9e7e43343f) C:\WINDOWS\system32\drivers\cercsr6.sys
11:50:57.0873 3372	cercsr6 ( UnsignedFile.Multi.Generic ) - warning
11:50:57.0873 3372	cercsr6 - detected UnsignedFile.Multi.Generic (1)
11:50:57.0889 3372	Changer - ok
11:50:57.0920 3372	CmBatt          (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
11:50:58.0155 3372	CmBatt - ok
11:50:58.0170 3372	CmdIde - ok
11:50:58.0420 3372	Compbatt        (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
11:50:58.0498 3372	Compbatt - ok
11:50:58.0514 3372	Cpqarray - ok
11:50:58.0514 3372	dac2w2k - ok
11:50:58.0530 3372	dac960nt - ok
11:50:58.0796 3372	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
11:50:59.0218 3372	Disk - ok
11:50:59.0499 3372	dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
11:50:59.0624 3372	dmboot - ok
11:50:59.0671 3372	dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
11:50:59.0765 3372	dmio - ok
11:50:59.0812 3372	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
11:50:59.0937 3372	dmload - ok
11:50:59.0984 3372	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
11:51:00.0093 3372	DMusic - ok
11:51:00.0093 3372	dpti2o - ok
11:51:00.0124 3372	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
11:51:00.0202 3372	drmkaud - ok
11:51:00.0218 3372	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
11:51:00.0312 3372	Fastfat - ok
11:51:00.0328 3372	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
11:51:00.0421 3372	Fdc - ok
11:51:00.0437 3372	Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
11:51:00.0531 3372	Fips - ok
11:51:00.0546 3372	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
11:51:00.0640 3372	Flpydisk - ok
11:51:00.0687 3372	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
11:51:00.0765 3372	FltMgr - ok
11:51:00.0781 3372	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
11:51:00.0875 3372	Fs_Rec - ok
11:51:00.0890 3372	Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
11:51:00.0984 3372	Ftdisk - ok
11:51:01.0031 3372	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
11:51:01.0125 3372	Gpc - ok
11:51:01.0172 3372	HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
11:51:01.0265 3372	HDAudBus - ok
11:51:01.0312 3372	HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
11:51:01.0406 3372	HidUsb - ok
11:51:01.0422 3372	hpn - ok
11:51:01.0469 3372	HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
11:51:01.0547 3372	HTTP - ok
11:51:01.0578 3372	i2omgmt - ok
11:51:01.0594 3372	i2omp - ok
11:51:01.0641 3372	i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
11:51:01.0750 3372	i8042prt - ok
11:51:01.0938 3372	ialm            (3b743262b6456167888d15f1121b3bf7) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
11:51:02.0375 3372	ialm - ok
11:51:02.0500 3372	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
11:51:02.0672 3372	Imapi - ok
11:51:02.0688 3372	ini910u - ok
11:51:02.0969 3372	IntcHdmiAddService (f32a62c765885bd8e4352a1565f702a6) C:\WINDOWS\system32\drivers\IntcHdmi.sys
11:51:03.0032 3372	IntcHdmiAddService - ok
11:51:03.0048 3372	IntelIde - ok
11:51:03.0079 3372	intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
11:51:03.0173 3372	intelppm - ok
11:51:03.0220 3372	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
11:51:03.0392 3372	Ip6Fw - ok
11:51:03.0704 3372	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
11:51:03.0845 3372	IpFilterDriver - ok
11:51:04.0095 3372	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
11:51:04.0298 3372	IpInIp - ok
11:51:04.0564 3372	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
11:51:04.0752 3372	IpNat - ok
11:51:05.0017 3372	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
11:51:05.0111 3372	IPSec - ok
11:51:05.0127 3372	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
11:51:05.0252 3372	IRENUM - ok
11:51:05.0330 3372	isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
11:51:05.0439 3372	isapnp - ok
11:51:05.0752 3372	Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
11:51:05.0846 3372	Kbdclass - ok
11:51:05.0846 3372	kbdhid          (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
11:51:05.0940 3372	kbdhid - ok
11:51:06.0018 3372	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
11:51:06.0205 3372	kmixer - ok
11:51:06.0487 3372	KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
11:51:06.0612 3372	KSecDD - ok
11:51:06.0612 3372	lbrtfdc - ok
11:51:06.0628 3372	MBAMSwissArmy - ok
11:51:06.0690 3372	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
11:51:06.0784 3372	mnmdd - ok
11:51:06.0831 3372	Modem           (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
11:51:06.0940 3372	Modem - ok
11:51:07.0003 3372	Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
11:51:07.0097 3372	Mouclass - ok
11:51:07.0128 3372	mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
11:51:07.0222 3372	mouhid - ok
11:51:07.0253 3372	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
11:51:07.0347 3372	MountMgr - ok
11:51:07.0362 3372	mraid35x - ok
11:51:07.0362 3372	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
11:51:07.0472 3372	MRxDAV - ok
11:51:07.0534 3372	MRxSmb          (0dc719e9b15e902346e87e9dcd5751fa) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
11:51:07.0581 3372	MRxSmb - ok
11:51:07.0644 3372	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
11:51:07.0737 3372	Msfs - ok
11:51:07.0769 3372	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
11:51:07.0863 3372	MSKSSRV - ok
11:51:07.0894 3372	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
11:51:08.0003 3372	MSPCLOCK - ok
11:51:08.0019 3372	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
11:51:08.0160 3372	MSPQM - ok
11:51:08.0675 3372	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
11:51:08.0785 3372	mssmbios - ok
11:51:09.0082 3372	Mup             (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
11:51:09.0144 3372	Mup - ok
11:51:09.0191 3372	ndc             (efb402dc6ddf31fdcc6ff15b72c5822c) C:\WINDOWS\System32\Drivers\ndc.sys
11:51:09.0207 3372	ndc - ok
11:51:09.0238 3372	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
11:51:09.0348 3372	NDIS - ok
11:51:09.0363 3372	NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
11:51:09.0457 3372	NdisTapi - ok
11:51:09.0473 3372	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
11:51:09.0551 3372	Ndisuio - ok
11:51:09.0582 3372	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
11:51:09.0676 3372	NdisWan - ok
11:51:09.0723 3372	NDProxy         (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
11:51:09.0770 3372	NDProxy - ok
11:51:09.0817 3372	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
11:51:09.0910 3372	NetBIOS - ok
11:51:09.0926 3372	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
11:51:10.0067 3372	NetBT - ok
11:51:10.0114 3372	NIC1394         (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
11:51:10.0207 3372	NIC1394 - ok
11:51:10.0223 3372	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
11:51:10.0301 3372	Npfs - ok
11:51:10.0333 3372	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
11:51:10.0426 3372	Ntfs - ok
11:51:10.0473 3372	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
11:51:10.0551 3372	Null - ok
11:51:10.0614 3372	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
11:51:10.0692 3372	NwlnkFlt - ok
11:51:10.0708 3372	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
11:51:10.0802 3372	NwlnkFwd - ok
11:51:10.0833 3372	ohci1394        (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
11:51:10.0942 3372	ohci1394 - ok
11:51:10.0989 3372	Parport         (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\drivers\Parport.sys
11:51:11.0130 3372	Parport - ok
11:51:11.0130 3372	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
11:51:11.0239 3372	PartMgr - ok
11:51:11.0286 3372	ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
11:51:11.0380 3372	ParVdm - ok
11:51:11.0427 3372	PCI             (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
11:51:11.0505 3372	PCI - ok
11:51:11.0505 3372	PCIDump - ok
11:51:11.0568 3372	PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
11:51:11.0661 3372	PCIIde - ok
11:51:11.0677 3372	Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\DRIVERS\pcmcia.sys
11:51:11.0755 3372	Pcmcia - ok
11:51:11.0755 3372	PDCOMP - ok
11:51:11.0771 3372	PDFRAME - ok
11:51:11.0786 3372	PDRELI - ok
11:51:11.0786 3372	PDRFRAME - ok
11:51:11.0802 3372	perc2 - ok
11:51:11.0802 3372	perc2hib - ok
11:51:11.0849 3372	Point32         (e5582e43e167cf367757d81e9727da2a) C:\WINDOWS\system32\DRIVERS\point32.sys
11:51:11.0865 3372	Point32 - ok
11:51:11.0943 3372	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
11:51:12.0099 3372	PptpMiniport - ok
11:51:12.0130 3372	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
11:51:12.0255 3372	PSched - ok
11:51:12.0271 3372	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
11:51:12.0396 3372	Ptilink - ok
11:51:12.0396 3372	ql1080 - ok
11:51:12.0412 3372	Ql10wnt - ok
11:51:12.0412 3372	ql12160 - ok
11:51:12.0427 3372	ql1240 - ok
11:51:12.0427 3372	ql1280 - ok
11:51:12.0459 3372	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
11:51:12.0552 3372	RasAcd - ok
11:51:12.0615 3372	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
11:51:12.0693 3372	Rasl2tp - ok
11:51:12.0724 3372	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
11:51:12.0803 3372	RasPppoe - ok
11:51:12.0834 3372	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
11:51:12.0928 3372	Raspti - ok
11:51:12.0959 3372	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
11:51:13.0037 3372	Rdbss - ok
11:51:13.0068 3372	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
11:51:13.0162 3372	RDPCDD - ok
11:51:13.0209 3372	rdpdr           (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
11:51:13.0318 3372	rdpdr - ok
11:51:13.0365 3372	RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
11:51:13.0694 3372	RDPWD - ok
11:51:13.0725 3372	redbook         (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
11:51:13.0834 3372	redbook - ok
11:51:13.0881 3372	rimmptsk        (ea885e7a56f1be1f14c372337c42fe48) C:\WINDOWS\system32\DRIVERS\rimmptsk.sys
11:51:13.0944 3372	rimmptsk - ok
11:51:14.0100 3372	sdbus           (8d04819a3ce51b9eb47e5689b44d43c4) C:\WINDOWS\system32\DRIVERS\sdbus.sys
11:51:14.0303 3372	sdbus - ok
11:51:14.0585 3372	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
11:51:14.0678 3372	Secdrv - ok
11:51:14.0710 3372	serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
11:51:14.0788 3372	serenum - ok
11:51:14.0804 3372	Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
11:51:14.0944 3372	Serial - ok
11:51:15.0007 3372	sffdisk         (0fa803c64df0914b41f807ea276bf2a6) C:\WINDOWS\system32\DRIVERS\sffdisk.sys
11:51:15.0147 3372	sffdisk - ok
11:51:15.0413 3372	sffp_sd         (c17c331e435ed8737525c86a7557b3ac) C:\WINDOWS\system32\DRIVERS\sffp_sd.sys
11:51:15.0523 3372	sffp_sd - ok
11:51:15.0538 3372	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
11:51:15.0632 3372	Sfloppy - ok
11:51:15.0632 3372	Simbad - ok
11:51:15.0695 3372	snapman         (bcc773872041aa59bc9a6cf770fb32e2) C:\WINDOWS\system32\DRIVERS\snapman.sys
11:51:15.0726 3372	snapman - ok
11:51:15.0757 3372	SONYPVU1        (a1eceeaa5c5e74b2499eb51d38185b84) C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS
11:51:15.0976 3372	SONYPVU1 - ok
11:51:15.0976 3372	Sparrow - ok
11:51:16.0023 3372	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
11:51:16.0117 3372	splitter - ok
11:51:16.0164 3372	sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
11:51:16.0242 3372	sr - ok
11:51:16.0273 3372	Srv             (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
11:51:16.0336 3372	Srv - ok
11:51:16.0367 3372	ssmdrv          (5ec550b8952882ee856b862cf648522d) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
11:51:16.0382 3372	ssmdrv - ok
11:51:16.0461 3372	STHDA           (1b76479b80ff0f6e245ba590a64102be) C:\WINDOWS\system32\drivers\sthda.sys
11:51:16.0539 3372	STHDA - ok
11:51:16.0586 3372	StillCam        (a2dbcc4c8860449df1ab758ea28b4de0) C:\WINDOWS\system32\DRIVERS\serscan.sys
11:51:16.0726 3372	StillCam - ok
11:51:17.0023 3372	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
11:51:17.0102 3372	swenum - ok
11:51:17.0148 3372	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
11:51:17.0242 3372	swmidi - ok
11:51:17.0258 3372	symc810 - ok
11:51:17.0273 3372	symc8xx - ok
11:51:17.0305 3372	sym_hi - ok
11:51:17.0305 3372	sym_u3 - ok
11:51:17.0336 3372	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
11:51:17.0508 3372	sysaudio - ok
11:51:17.0789 3372	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
11:51:17.0868 3372	Tcpip - ok
11:51:17.0930 3372	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
11:51:18.0211 3372	TDPIPE - ok
11:51:18.0493 3372	tdrpman         (3b7b6779eb231f731bba8f9fe67aadfc) C:\WINDOWS\system32\DRIVERS\tdrpman.sys
11:51:18.0508 3372	tdrpman - ok
11:51:18.0571 3372	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
11:51:18.0680 3372	TDTCP - ok
11:51:18.0696 3372	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
11:51:19.0087 3372	TermDD - ok
11:51:19.0149 3372	tifsfilter      (b0b3122bff3910e0ba97014045467778) C:\WINDOWS\system32\DRIVERS\tifsfilt.sys
11:51:19.0165 3372	tifsfilter - ok
11:51:19.0212 3372	timounter       (13bfe330880ac0ce8672d00aa5aff738) C:\WINDOWS\system32\DRIVERS\timntr.sys
11:51:19.0228 3372	timounter - ok
11:51:19.0228 3372	TosIde - ok
11:51:19.0306 3372	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
11:51:19.0415 3372	Udfs - ok
11:51:19.0431 3372	ultra - ok
11:51:19.0478 3372	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
11:51:19.0603 3372	Update - ok
11:51:19.0650 3372	usbccgp         (c18d6c74953621346df6b0a11f80c1cc) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
11:51:19.0697 3372	usbccgp - ok
11:51:19.0743 3372	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
11:51:19.0822 3372	usbehci - ok
11:51:19.0869 3372	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
11:51:19.0962 3372	usbhub - ok
11:51:19.0978 3372	USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
11:51:20.0087 3372	USBSTOR - ok
11:51:20.0103 3372	usbuhci         (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
11:51:20.0181 3372	usbuhci - ok
11:51:20.0228 3372	usb_rndisx      (b6cc50279d6cd28e090a5d33244adc9a) C:\WINDOWS\system32\DRIVERS\usb8023x.sys
11:51:20.0353 3372	usb_rndisx - ok
11:51:20.0384 3372	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
11:51:20.0509 3372	VgaSave - ok
11:51:20.0509 3372	ViaIde - ok
11:51:20.0541 3372	VolSnap         (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
11:51:20.0650 3372	VolSnap - ok
11:51:20.0916 3372	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
11:51:21.0057 3372	Wanarp - ok
11:51:21.0463 3372	wceusbsh        (46a247f6617526afe38b6f12f5512120) C:\WINDOWS\system32\DRIVERS\wceusbsh.sys
11:51:21.0557 3372	wceusbsh - ok
11:51:21.0573 3372	WDICA - ok
11:51:21.0604 3372	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
11:51:21.0713 3372	wdmaud - ok
11:51:21.0760 3372	WmiAcpi         (c42584fd66ce9e17403aebca199f7bdb) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
11:51:22.0088 3372	WmiAcpi - ok
11:51:22.0135 3372	MBR (0x1B8)     (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
11:51:22.0417 3372	\Device\Harddisk0\DR0 - ok
11:51:22.0432 3372	Boot (0x1200)   (1439c1a73389b083125826519e05ab93) \Device\Harddisk0\DR0\Partition0
11:51:22.0432 3372	\Device\Harddisk0\DR0\Partition0 - ok
11:51:22.0448 3372	Boot (0x1200)   (4de342e4db1b1ff45dc0ecaea0ae34ea) \Device\Harddisk0\DR0\Partition1
11:51:22.0464 3372	\Device\Harddisk0\DR0\Partition1 - ok
11:51:22.0464 3372	============================================================
11:51:22.0464 3372	Scan finished
11:51:22.0464 3372	============================================================
11:51:22.0573 3664	Detected object count: 2
11:51:22.0573 3664	Actual detected object count: 2
11:52:50.0851 3664	BrPar ( UnsignedFile.Multi.Generic ) - skipped by user
11:52:50.0851 3664	BrPar ( UnsignedFile.Multi.Generic ) - User select action: Skip 
11:52:50.0851 3664	cercsr6 ( UnsignedFile.Multi.Generic ) - skipped by user
11:52:50.0851 3664	cercsr6 ( UnsignedFile.Multi.Generic ) - User select action: Skip

Gruß

cosinus · 28.10.2011, 11:30

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

trullala · 28.10.2011, 12:00

Hi!

Habe ich dann auch hinter mich gebracht. Allerdings war es mysteriös, da CF meinte, keine Internetverbindung herstellen zu können, obwohl in der Taskleiste der Status für die LAN Verbindung ok war...

Hier die Log:

Code:

ATTFilter

ComboFix 11-10-28.03 - Sven Kasper 28.10.2011  12:41:58.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2003.1435 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Sven Kasper\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {08C942C3-77DF-43BA-9A6A-580A1A3BC5BB}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\ehome\medctrro.exe
c:\windows\help\tours\htmltour\unlock_playing.htm
c:\windows\IsUn0407.exe
c:\windows\system32\d3d9caps.dat
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-09-28 bis 2011-10-28  ))))))))))))))))))))))))))))))
.
.
2011-10-28 06:18 . 2011-10-28 06:18	--------	d-----w-	C:\_OTL
2011-10-27 14:16 . 2011-10-27 14:16	--------	d-----w-	c:\programme\ESET
2011-10-26 07:18 . 2011-10-26 07:18	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2011-10-25 10:19 . 2011-10-25 10:19	--------	d-----w-	c:\dokumente und einstellungen\Sven Kasper\Anwendungsdaten\Malwarebytes
2011-10-25 10:19 . 2011-10-25 10:19	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-10-25 10:19 . 2011-08-31 15:00	22216	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-10-25 10:18 . 2011-10-25 10:19	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-10-21 06:30 . 2011-10-21 06:30	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-11 08:22 . 2011-05-16 12:48	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-10-03 03:06 . 2010-05-03 09:23	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-10-03 00:37 . 2009-09-18 16:46	73728	----a-w-	c:\windows\system32\javacpl.cpl
2011-09-30 06:39 . 2011-03-24 16:55	134104	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2011-10-13 17351304]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SysTrayApp"="c:\programme\IDT\WDM\sttray.exe" [2009-02-23 483420]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2008-12-16 729088]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-01-21 134656]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-01-21 166912]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-01-21 134656]
"KEN Taskbar Client"="c:\programme\KEN!\kentbcli.exe" [2010-02-11 279928]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-12-03 2622104]
"AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-12-03 911184]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-12-03 140568]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2009-04-30 2396160]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"ControlCenter2.0"="c:\programme\Brother\ControlCenter2\brctrcen.exe" [2008-08-12 114688]
"itype"="c:\programme\Microsoft IntelliType Pro\itype.exe" [2009-05-21 1501064]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2009-05-26 1468296]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-06-25 209153]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2008-07-09 29984]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2008-07-09 46368]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2008-11-12 1122304]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2008-08-12 114688]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-06-09 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\n.e.t.z\\MULTI-TE\\TermMan.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Brother\\Brmfl08i\\FAXRX.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"54925:UDP"= 54925:UDP:Brother Network Scanner
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
R2 AntiVirSchedulerService;Avira AntiVir für KEN! Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [25.06.2010 15:16 108289]
R2 KEN Client Service;AVM KEN Klient;c:\programme\KEN!\kencli.exe [27.07.2009 13:29 177528]
R2 ndc;AVM KEN CAPI;c:\windows\system32\drivers\ndc.sys [27.07.2009 13:29 63160]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [27.07.2009 12:48 112512]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [27.07.2009 12:56 109568]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [14.04.2010 13:45 136176]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [14.04.2010 13:45 136176]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
2011-10-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-14 11:45]
.
2011-10-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-14 11:45]
.
.
------- Zusätzlicher Suchlauf -------
.
mLocal Page = 
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Sven Kasper\Anwendungsdaten\Mozilla\Firefox\Profiles\k3i1u5p1.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: network.proxy.ftp - 192.168.115.1
FF - prefs.js: network.proxy.ftp_port - 3128
FF - prefs.js: network.proxy.http - 192.168.115.1
FF - prefs.js: network.proxy.http_port - 3128
FF - prefs.js: network.proxy.socks - 192.168.115.1
FF - prefs.js: network.proxy.socks_port - 1080
FF - prefs.js: network.proxy.ssl - 192.168.115.1
FF - prefs.js: network.proxy.ssl_port - 3128
FF - prefs.js: network.proxy.type - 1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-AVM KEN! - c:\windows\ISUN0407.EXE
AddRemove-MULTI-TE 4.0 (59205) - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-10-28 12:47
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(1588)
c:\programme\RocketDock\RocketDock.dll
c:\windows\system32\igfxdo.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\WLTRYSVC.EXE
c:\windows\System32\bcmwltry.exe
c:\windows\system32\brss01a.exe
c:\programme\idt\dellxpm09b_6159v043\wdm\stacsv.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\igfxsrvc.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-10-28  12:56:40 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-10-28 10:56
.
Vor Suchlauf: 8 Verzeichnis(se), 19.940.524.032 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 20.047.327.232 Bytes frei
.
- - End Of File - - AE4143CDCE8DF66BD18468F62984E9E6

Gruß Sven

cosinus · 28.10.2011, 12:29

Zitat:

Allerdings war es mysteriös, da CF meinte, keine Internetverbindung herstellen zu können, obwohl in der Taskleiste der Status für die LAN Verbindung ok war...

Proxy im IE? Bitte prüfen => http://www.trojaner-board.de/94344-p...n-pruefen.html

trullala · 28.10.2011, 13:11

Hi,

Proxy ist kpl. richtig eingestellt, Skype im Autostart und Firefox hatten auch direkt wieder (und auch vorher) Zugriff...

Läuft auch alles sauber und ich habe auch auf alle Dateien Zugriff.

Das Problem trat nur auf, als er einen Wiederherstellungspunkt und die dafür benötigte Software laden wollte. Einen IE habe ich zwar auch hier irgendwo drauf, aber noch nie benutzt.

Wäre das denn wichtig?

Gruß Sven