Gema Virusbefall

Pesmerga · 10.01.2012, 20:44

Hallo Trojaner-Board-Team,

Ich hab mir wohl den GEMA-Virus eingefangen. Und wenn ich mir die Logs von Malwarebytes so anschaue dann nicht nur den...
Nach selbstrecherche habe in mein PC im abgesicherten Modus und mit Eingabeaufforderung geöffnet.
Mit Malwarebytes hab ich dann erstmal ein Quickscan gemacht und die gefundenen Schädlinge entfernt Log folgt sogleich.
Nach einem Neustart war schonmal wenigstens der Hintergrund meines Desktops zu erkennen... leider nur der Hintergrund und ich kann auch nichts weiter machen.
Nach erneutem diesmal aber vollständigem Suchlauf mit Malwarbytes im Abgesicherten Modus mit Eingabeaufforderung hab ich auch diesmal die gefundenen Dateien gelöscht.
Nunja jetzt ist die Frage was kann ich machen damit wenn ich meinen PC starte alles so ist wie es früher mal war?

Vielen Dank im voraus!

Log Quickscan:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.02.04

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus)
Internet Explorer 6.0.2900.5512
Mike Corhsen :: MIKE-5BC3D5B838 [Administrator]

10.01.2012 19:29:26
mbam-log-2012-01-10 (19-29-26).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 185589
Laufzeit: 2 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|olmwKSKlNdgCU6b (Trojan.Agent) -> Daten: C:\Dokumente und Einstellungen\Mike Corhsen\Anwendungsdaten\ActiveX32_64lo.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|olmwKSKlNdgCU6b (Trojan.Agent) -> Daten: C:\Dokumente und Einstellungen\Mike Corhsen\Anwendungsdaten\ActiveX32_64lo.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDesktop (PUM.Hidden.Desktop) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Dokumente und Einstellungen\Mike Corhsen\Anwendungsdaten\ActiveX32_64lo.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator.MIKE-5BC3D5B838\Anwendungsdaten\ActiveX32_64lo.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Mike Corhsen\Lokale Einstellungen\Temp\0.4427210939649836.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Log Vollscan:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.02.04

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus)
Internet Explorer 6.0.2900.5512
Mike Corhsen :: MIKE-5BC3D5B838 [Administrator]

10.01.2012 19:46:22
mbam-log-2012-01-10 (19-46-22).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 313311
Laufzeit: 28 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 8
C:\Dokumente und Einstellungen\Mike Corhsen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\7a3e4fe2-79ae2463 (Trojan.Downloader.bh) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Mike Corhsen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\57\23a8f79-7b831c8b (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Mike Corhsen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\57\2aa9b1b9-7d6af2d9 (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Mike Corhsen\Desktop\wpepro09x\WPE PRO.exe (HackTool.Sniffer.WpePro) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Mike Corhsen\Desktop\wpepro09x\WpeSpy.dll (HackTool.Sniffer.WpePro) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{2C210B81-19E1-48AD-A2A9-6B0A38836C22}\RP255\A0056986.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{2C210B81-19E1-48AD-A2A9-6B0A38836C22}\RP273\A0076293.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{2C210B81-19E1-48AD-A2A9-6B0A38836C22}\RP273\A0076294.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

cosinus · 11.01.2012, 19:04

Zitat:

C:\Dokumente und Einstellungen\Mike Corhsen\Desktop\wpepro09x\WPE PRO.exe (HackTool.Sniffer.WpePro)

Du bescheißt also gern? Find ich ein wenig

Mach bitte einen neuen Vollscan mit aktuellen Signaturen. Der letzte Scan ist schon über eine Woche her

Pesmerga · 11.01.2012, 21:26

Den letzten Vollscan hab ich wie man den logs entnehmen kann gestern um 19:46 gemacht o0

Oder meinst du was anderes?

Und das spiel ist offline gegangen und deshalb hab ich das die letzte spielewoche benutzt. Aber ich muss mich ja hier nicht rechtfertigen :O

cosinus · 11.01.2012, 21:43

Zitat:

Datenbank Version: v2012.01.02.04

Sry ich meinte die Datenbank war nicht aktuell. Aktualisieren, neuen Vollscan machen

Zitat:

Aber ich muss mich ja hier nicht rechtfertigen :O

Dieses Zeug ist hochriskant un bei WoW sind solche Mogeleien eh verboten

Pesmerga · 11.01.2012, 21:53

Ich hab es mir fast gedacht...
Das problem ist ich komm nicht ins internet. Mein WLanstick ist im PC nur im Abgesicherten Modus scheint der PC nicht darauf zu reagieren

Gibt es eine Möglichkeit per explorer die Drahtlosen Netzwerke zu öffnen?

cosinus · 12.01.2012, 14:59

Es gibt auch den abgesicherten Modus mit Netzwerktreibern. Den einfach mal booten und testen

Pesmerga · 12.01.2012, 18:58

Funktioniert nur bedingt...
Er fährt hoch aber dann kommt ein Schwarzer Desktop sonst nichts.
Gut oben links/rechts und unten links/rechts steht Abgesicherter Modus aber das ist ja eher irrelevant.

cosinus · 12.01.2012, 20:16

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Pesmerga · 12.01.2012, 22:16

So hier die OTL.txt Datei
eine Extras.txt Datei wurde nicht erstellt.

Code:

ATTFilter

OTL logfile created on: 1/12/2012 9:53:17 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 92.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 50.00 Gb Total Space | 19.71 Gb Free Space | 39.42% Space Free | Partition Type: NTFS
Drive D: | 139.92 Gb Total Space | 84.26 Gb Free Space | 60.22% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet003
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled] --  -- (HidServ)
SRV - [2011/11/18 08:51:12 | 003,673,944 | ---- | M] () [Auto] -- C:\Programme\Tobit Radio.fx\Server\rfx-server.exe -- (Radio.fx)
SRV - [2011/10/05 03:18:00 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011/10/05 03:17:51 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010/01/15 07:49:20 | 000,227,232 | ---- | M] (McAfee, Inc.) [On_Demand] -- C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2011/09/18 01:39:27 | 000,134,344 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/09/15 16:55:04 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011/09/15 16:55:03 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010/09/28 06:26:13 | 000,081,920 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2010/09/28 06:25:54 | 000,046,208 | ---- | M] (JMicron Technology Corp.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\jraid.sys -- (JRAID)
DRV - [2010/09/28 06:25:54 | 000,006,912 | ---- | M] (JMicron ) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\JGOGO.sys -- (JGOGO)
DRV - [2010/09/28 06:23:32 | 000,005,810 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
DRV - [2010/06/17 08:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2006/04/05 18:00:00 | 000,264,704 | ---- | M] (AVM GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\fwlanusb.sys -- (FWLANUSB)
DRV - [2006/03/17 11:18:58 | 000,392,960 | R--- | M] (Sensaura) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\senfilt.sys -- (SenFiltService)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator.MIKE-5BC3D5B838_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\Mike_C**_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\Mike_C**_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 119.46.111.3 :8080
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Programme\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2011/09/19 10:24:17 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.25\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011/12/21 10:21:57 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.25\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011/12/21 10:21:57 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.7\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011/02/07 10:11:55 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.7\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2011/03/11 16:04:14 | 000,000,000 | ---D | M]
 
[2012/01/07 16:04:59 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010/09/29 12:19:33 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010/09/29 12:19:22 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011/09/03 14:29:57 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011/09/03 14:29:57 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011/09/03 14:29:57 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011/09/03 14:29:57 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011/09/03 14:29:57 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011/08/12 07:17:45 | 000,000,098 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC)
O4 - HKLM..\Run: [36X Raid Configurer] C:\WINDOWS\System32\xRaidSetup.exe (JMicron Technology Corp.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLanMini.exe (AVM Berlin GmbH)
O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe ()
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKU\Mike_C**_ON_C..\Run: [rfxsrvtray] C:\Programme\Tobit Radio.fx\Client\rfx-tray.exe (Tobit.Software)
O4 - HKU\Mike_C**_ON_C..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware  (cleanup)] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll (Malwarebytes Corporation)
O4 - HKU\Mike_C**_ON_C..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil10n_Plugin.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Mike C**\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator.MIKE-5BC3D5B838_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Mike_C**_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Mike_C**_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 0
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1285763104671 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Mike C**\Anwendungsdaten\ActiveX32_64lo.exe) -  File not found
O20 - HKU\Mike_C**_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Mike C**\Anwendungsdaten\ActiveX32_64lo.exe) -  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/01/10 12:26:01 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC
[2011/12/30 05:57:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Mike C**\Desktop\Ramona CD
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/01/12 15:30:47 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/01/11 15:12:48 | 000,013,684 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/01/02 15:57:28 | 000,010,412 | ---- | M] () -- C:\Dokumente und Einstellungen\Mike C**\Desktop\Sylt.odt
[2012/01/02 15:56:22 | 003,886,281 | ---- | M] () -- C:\Dokumente und Einstellungen\Mike C**\Desktop\Sylt 2011bahls.jpg
[2011/12/30 09:36:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011/12/23 13:14:39 | 000,449,236 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011/12/23 13:14:39 | 000,432,928 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011/12/23 13:14:39 | 000,080,738 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011/12/23 13:14:39 | 000,067,884 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011/12/21 16:30:57 | 000,154,234 | ---- | M] () -- C:\Dokumente und Einstellungen\Mike C**\Desktop\Neu OpenDocument Text (7).odt
[2011/12/20 15:44:43 | 000,018,942 | ---- | M] () -- C:\Dokumente und Einstellungen\Mike C**\Desktop\Grundbuch.odt
[2011/12/20 14:12:57 | 000,019,893 | ---- | M] () -- C:\Dokumente und Einstellungen\Mike C**\Desktop\Verbraucherdarlehen.odt
[2011/12/17 21:26:55 | 000,000,520 | ---- | M] () -- C:\Dokumente und Einstellungen\Mike C**\Eigene Dateien\spider.sav
[2011/12/16 11:52:20 | 000,117,360 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011/12/15 15:57:35 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/01/02 15:56:47 | 000,010,412 | ---- | C] () -- C:\Dokumente und Einstellungen\Mike C**\Desktop\Sylt.odt
[2012/01/02 15:56:18 | 003,886,281 | ---- | C] () -- C:\Dokumente und Einstellungen\Mike C**\Desktop\Sylt 2011bahls.jpg
[2011/12/21 16:27:04 | 000,154,234 | ---- | C] () -- C:\Dokumente und Einstellungen\Mike C**\Desktop\Neu OpenDocument Text (7).odt
[2011/12/20 14:13:03 | 000,018,942 | ---- | C] () -- C:\Dokumente und Einstellungen\Mike C**\Desktop\Grundbuch.odt
[2011/12/20 13:11:13 | 000,019,893 | ---- | C] () -- C:\Dokumente und Einstellungen\Mike C**\Desktop\Verbraucherdarlehen.odt
[2011/08/03 14:32:33 | 000,000,317 | ---- | C] () -- C:\WINDOWS\WPE PRO.INI
[2011/08/02 14:36:59 | 002,681,344 | ---- | C] () -- C:\WINDOWS\System32\dvmsg.dll
[2011/07/12 15:38:40 | 000,000,447 | ---- | C] () -- C:\Dokumente und Einstellungen\Mike C**\SciTE.session
[2011/07/09 07:13:20 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI
[2010/09/29 08:15:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010/09/29 07:54:35 | 000,013,824 | ---- | C] () -- C:\Dokumente und Einstellungen\Mike C**\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/09/29 07:22:02 | 000,097,312 | ---- | C] () -- C:\WINDOWS\System32\drivers\Fwusb1b.bin
[2010/09/28 06:56:52 | 000,001,769 | ---- | C] () -- C:\WINDOWS\Language_trs.ini
[2010/09/28 06:23:24 | 000,232,968 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2010/09/28 06:23:21 | 000,232,968 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2010/09/28 06:23:21 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2010/09/28 05:01:34 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010/09/28 04:58:32 | 000,117,360 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010/09/28 04:55:41 | 002,195,030 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2010/09/28 04:13:23 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010/09/28 04:07:47 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008/04/14 01:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2007/10/29 07:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2007/10/29 07:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2007/10/29 07:00:00 | 000,449,236 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2007/10/29 07:00:00 | 000,432,928 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2007/10/29 07:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2007/10/29 07:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2007/10/29 07:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2007/10/29 07:00:00 | 000,080,738 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2007/10/29 07:00:00 | 000,067,884 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2007/10/29 07:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2007/10/29 07:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2007/10/29 07:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2007/10/29 07:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2007/10/29 07:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2006/12/31 00:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/13 11:56:20 | 000,005,810 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
 
========== LOP Check ==========
 
[2011/05/27 10:29:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mike C**\Anwendungsdaten\.minecraft
[2011/09/19 10:26:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mike C**\Anwendungsdaten\DDMSettings
[2011/04/08 10:57:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mike C**\Anwendungsdaten\Mumble
[2010/09/29 08:32:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mike C**\Anwendungsdaten\OpenOffice.org
[2011/02/07 10:11:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mike C**\Anwendungsdaten\Thunderbird
[2011/08/02 14:37:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mike C**\Anwendungsdaten\Tobit
[2011/07/12 14:35:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Mike C**\Anwendungsdaten\TS3Client
[2010/11/19 14:32:14 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
 
========== Purity Check ==========
 
 
< End of report >

cosinus · 12.01.2012, 22:54

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

ATTFilter

:OTL
IE - HKU\Mike_C**_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\Mike_C**_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 119.46.111.3 :8080
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Mike C**\Anwendungsdaten\ActiveX32_64lo.exe) -  File not found
O20 - HKU\Mike_C**_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Mike C**\Anwendungsdaten\ActiveX32_64lo.exe) -  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
:Commands
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Pesmerga · 13.01.2012, 18:08

Hochgeladen.

OTL hat mir nach dem Fix geschrieben das der PC neugestartet wird.
Ich hab auf Yes geklickt aber er hat sich nicht neu gestartet...
Als ich dann nach 10 Minütigem warten die Hoffnung aufgegeben hab, hab ich ihn manuell neu gestartet.
Jetzt kann ich zwar die Taskleiste sehen und auch ins Internet aber mein Problem ist weiterhin das ich auf meinem Desktop keine Symbole mehr hab -.-

cosinus · 13.01.2012, 18:38

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C

nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )

Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

Pesmerga · 13.01.2012, 19:12

Hier die Logs vom TDSS Killer:

Code:

ATTFilter

19:08:03.0971 2844	TDSS rootkit removing tool 2.7.1.0 Jan 13 2012 15:24:05
19:08:04.0143 2844	============================================================
19:08:04.0143 2844	Current date / time: 2012/01/13 19:08:04.0143
19:08:04.0143 2844	SystemInfo:
19:08:04.0143 2844	
19:08:04.0143 2844	OS Version: 5.1.2600 ServicePack: 3.0
19:08:04.0143 2844	Product type: Workstation
19:08:04.0143 2844	ComputerName: MIKE-5BC3D5B838
19:08:04.0143 2844	UserName: Mike Corhsen
19:08:04.0143 2844	Windows directory: C:\WINDOWS
19:08:04.0143 2844	System windows directory: C:\WINDOWS
19:08:04.0143 2844	Processor architecture: Intel x86
19:08:04.0143 2844	Number of processors: 2
19:08:04.0143 2844	Page size: 0x1000
19:08:04.0143 2844	Boot type: Normal boot
19:08:04.0143 2844	============================================================
19:08:05.0846 2844	Drive \Device\Harddisk0\DR0 - Size: 0x2F7B100000, SectorSize: 0x200, Cylinders: 0x60D8, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K', Flags 0x00000058
19:08:05.0956 2844	Initialize success
19:09:31.0721 3948	============================================================
19:09:31.0721 3948	Scan started
19:09:31.0721 3948	Mode: Manual; SigCheck; TDLFS; 
19:09:31.0721 3948	============================================================
19:09:32.0299 3948	Abiosdsk - ok
19:09:32.0315 3948	abp480n5 - ok
19:09:32.0377 3948	ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
19:09:32.0659 3948	ACPI - ok
19:09:32.0721 3948	ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
19:09:32.0831 3948	ACPIEC - ok
19:09:32.0877 3948	ADIHdAudAddService (34f144814cdcbe8ef9a26d68dc82bf91) C:\WINDOWS\system32\drivers\ADIHdAud.sys
19:09:32.0893 3948	ADIHdAudAddService - ok
19:09:32.0924 3948	adpu160m - ok
19:09:32.0971 3948	AEAudio         (03be587e90c8b37c7ff1fe2e9c1d1c90) C:\WINDOWS\system32\drivers\AEAudio.sys
19:09:32.0987 3948	AEAudio - ok
19:09:33.0018 3948	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
19:09:33.0112 3948	aec - ok
19:09:33.0206 3948	AFD             (1e44bc1e83d8fd2305f8d452db109cf9) C:\WINDOWS\System32\drivers\afd.sys
19:09:33.0221 3948	AFD - ok
19:09:33.0237 3948	Aha154x - ok
19:09:33.0268 3948	aic78u2 - ok
19:09:33.0284 3948	aic78xx - ok
19:09:33.0315 3948	AliIde - ok
19:09:33.0331 3948	amsint - ok
19:09:33.0362 3948	asc - ok
19:09:33.0377 3948	asc3350p - ok
19:09:33.0393 3948	asc3550 - ok
19:09:33.0440 3948	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
19:09:33.0534 3948	AsyncMac - ok
19:09:33.0581 3948	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
19:09:33.0659 3948	atapi - ok
19:09:33.0674 3948	Atdisk - ok
19:09:33.0706 3948	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
19:09:33.0799 3948	Atmarpc - ok
19:09:33.0846 3948	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
19:09:33.0924 3948	audstub - ok
19:09:33.0971 3948	avgntflt        (7713e4eb0276702faa08e52a6e23f2a6) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
19:09:34.0018 3948	avgntflt - ok
19:09:34.0065 3948	avipbb          (475fbb85956534720858ae72010c0a43) C:\WINDOWS\system32\DRIVERS\avipbb.sys
19:09:34.0065 3948	avipbb - ok
19:09:34.0096 3948	avkmgr          (271cfd1a989209b1964e24d969552bf7) C:\WINDOWS\system32\DRIVERS\avkmgr.sys
19:09:34.0112 3948	avkmgr - ok
19:09:34.0159 3948	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
19:09:34.0237 3948	Beep - ok
19:09:34.0284 3948	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
19:09:34.0377 3948	cbidf2k - ok
19:09:34.0393 3948	cd20xrnt - ok
19:09:34.0440 3948	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
19:09:34.0534 3948	Cdaudio - ok
19:09:34.0565 3948	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
19:09:34.0643 3948	Cdfs - ok
19:09:34.0690 3948	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
19:09:34.0768 3948	Cdrom - ok
19:09:34.0815 3948	Changer - ok
19:09:34.0862 3948	CmdIde - ok
19:09:34.0893 3948	Cpqarray - ok
19:09:34.0909 3948	dac2w2k - ok
19:09:34.0940 3948	dac960nt - ok
19:09:34.0956 3948	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
19:09:35.0049 3948	Disk - ok
19:09:35.0112 3948	dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
19:09:35.0346 3948	dmboot - ok
19:09:35.0377 3948	dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
19:09:35.0471 3948	dmio - ok
19:09:35.0502 3948	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
19:09:35.0581 3948	dmload - ok
19:09:35.0627 3948	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
19:09:35.0721 3948	DMusic - ok
19:09:35.0737 3948	dpti2o - ok
19:09:35.0768 3948	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
19:09:35.0846 3948	drmkaud - ok
19:09:35.0893 3948	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
19:09:35.0987 3948	Fastfat - ok
19:09:36.0002 3948	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
19:09:36.0096 3948	Fdc - ok
19:09:36.0112 3948	Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
19:09:36.0206 3948	Fips - ok
19:09:36.0237 3948	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
19:09:36.0315 3948	Flpydisk - ok
19:09:36.0362 3948	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
19:09:36.0456 3948	FltMgr - ok
19:09:36.0487 3948	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
19:09:36.0565 3948	Fs_Rec - ok
19:09:36.0596 3948	Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
19:09:36.0690 3948	Ftdisk - ok
19:09:36.0737 3948	FWLANUSB        (b45f1df1cce34e2af422f0ed78cd70ef) C:\WINDOWS\system32\DRIVERS\fwlanusb.sys
19:09:36.0752 3948	FWLANUSB - ok
19:09:36.0784 3948	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
19:09:36.0877 3948	Gpc - ok
19:09:36.0924 3948	HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
19:09:37.0018 3948	HDAudBus - ok
19:09:37.0049 3948	HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
19:09:37.0127 3948	HidUsb - ok
19:09:37.0159 3948	hpn - ok
19:09:37.0206 3948	HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
19:09:37.0221 3948	HTTP - ok
19:09:37.0252 3948	i2omgmt - ok
19:09:37.0268 3948	i2omp - ok
19:09:37.0331 3948	i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
19:09:37.0409 3948	i8042prt - ok
19:09:37.0440 3948	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
19:09:37.0518 3948	Imapi - ok
19:09:37.0549 3948	ini910u - ok
19:09:37.0565 3948	IntelIde - ok
19:09:37.0612 3948	intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
19:09:37.0690 3948	intelppm - ok
19:09:37.0737 3948	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
19:09:37.0815 3948	Ip6Fw - ok
19:09:37.0862 3948	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
19:09:37.0940 3948	IpFilterDriver - ok
19:09:37.0971 3948	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
19:09:38.0049 3948	IpInIp - ok
19:09:38.0096 3948	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
19:09:38.0502 3948	IpNat - ok
19:09:38.0534 3948	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
19:09:38.0612 3948	IPSec - ok
19:09:38.0659 3948	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
19:09:38.0706 3948	IRENUM - ok
19:09:38.0752 3948	isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
19:09:38.0831 3948	isapnp - ok
19:09:38.0877 3948	JGOGO           (c995c0e8b4503fac38793bb0236ad246) C:\WINDOWS\system32\DRIVERS\JGOGO.sys
19:09:38.0893 3948	JGOGO - ok
19:09:38.0924 3948	JRAID           (8f55efd8b7d99465c16d06b345d50ca9) C:\WINDOWS\system32\DRIVERS\jraid.sys
19:09:38.0940 3948	JRAID - ok
19:09:39.0002 3948	Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
19:09:39.0081 3948	Kbdclass - ok
19:09:39.0143 3948	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
19:09:39.0237 3948	kmixer - ok
19:09:39.0284 3948	KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
19:09:39.0299 3948	KSecDD - ok
19:09:39.0315 3948	lbrtfdc - ok
19:09:39.0377 3948	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
19:09:39.0456 3948	mnmdd - ok
19:09:39.0502 3948	Modem           (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
19:09:39.0596 3948	Modem - ok
19:09:39.0643 3948	Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
19:09:39.0721 3948	Mouclass - ok
19:09:39.0768 3948	mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
19:09:39.0862 3948	mouhid - ok
19:09:39.0893 3948	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
19:09:39.0971 3948	MountMgr - ok
19:09:40.0002 3948	mraid35x - ok
19:09:40.0018 3948	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
19:09:40.0112 3948	MRxDAV - ok
19:09:40.0174 3948	MRxSmb          (7d304a5eb4344ebeeab53a2fe3ffb9f0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
19:09:40.0252 3948	MRxSmb - ok
19:09:40.0284 3948	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
19:09:40.0362 3948	Msfs - ok
19:09:40.0409 3948	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
19:09:40.0487 3948	MSKSSRV - ok
19:09:40.0534 3948	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
19:09:40.0612 3948	MSPCLOCK - ok
19:09:40.0627 3948	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
19:09:40.0721 3948	MSPQM - ok
19:09:40.0768 3948	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
19:09:40.0846 3948	mssmbios - ok
19:09:40.0893 3948	MTsensor        (d48659bb24c48345d926ecb45c1ebdf5) C:\WINDOWS\system32\DRIVERS\ASACPI.sys
19:09:40.0909 3948	MTsensor - ok
19:09:40.0940 3948	Mup             (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
19:09:40.0956 3948	Mup - ok
19:09:40.0987 3948	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
19:09:41.0081 3948	NDIS - ok
19:09:41.0096 3948	NdisTapi        (0109c4f3850dfbab279542515386ae22) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
19:09:41.0112 3948	NdisTapi - ok
19:09:41.0143 3948	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
19:09:41.0237 3948	Ndisuio - ok
19:09:41.0252 3948	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
19:09:41.0331 3948	NdisWan - ok
19:09:41.0393 3948	NDProxy         (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
19:09:41.0393 3948	NDProxy - ok
19:09:41.0424 3948	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
19:09:41.0502 3948	NetBIOS - ok
19:09:41.0534 3948	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
19:09:41.0627 3948	NetBT - ok
19:09:41.0659 3948	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
19:09:41.0737 3948	Npfs - ok
19:09:41.0799 3948	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
19:09:41.0924 3948	Ntfs - ok
19:09:41.0971 3948	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
19:09:42.0049 3948	Null - ok
19:09:42.0534 3948	nv              (ed9816dbaf6689542ea7d022631906a1) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
19:09:43.0362 3948	nv - ok
19:09:43.0424 3948	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
19:09:43.0502 3948	NwlnkFlt - ok
19:09:43.0534 3948	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
19:09:43.0627 3948	NwlnkFwd - ok
19:09:43.0674 3948	Parport         (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
19:09:43.0752 3948	Parport - ok
19:09:43.0768 3948	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
19:09:43.0846 3948	PartMgr - ok
19:09:43.0877 3948	ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
19:09:43.0956 3948	ParVdm - ok
19:09:43.0987 3948	PCI             (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
19:09:44.0081 3948	PCI - ok
19:09:44.0096 3948	PCIDump - ok
19:09:44.0127 3948	PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
19:09:44.0206 3948	PCIIde - ok
19:09:44.0252 3948	Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
19:09:44.0346 3948	Pcmcia - ok
19:09:44.0362 3948	PDCOMP - ok
19:09:44.0377 3948	PDFRAME - ok
19:09:44.0409 3948	PDRELI - ok
19:09:44.0424 3948	PDRFRAME - ok
19:09:44.0456 3948	perc2 - ok
19:09:44.0471 3948	perc2hib - ok
19:09:44.0502 3948	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
19:09:44.0581 3948	PptpMiniport - ok
19:09:44.0627 3948	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
19:09:44.0706 3948	PSched - ok
19:09:44.0737 3948	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
19:09:44.0815 3948	Ptilink - ok
19:09:44.0846 3948	ql1080 - ok
19:09:44.0862 3948	Ql10wnt - ok
19:09:44.0877 3948	ql12160 - ok
19:09:44.0909 3948	ql1240 - ok
19:09:44.0924 3948	ql1280 - ok
19:09:44.0956 3948	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
19:09:45.0034 3948	RasAcd - ok
19:09:45.0065 3948	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
19:09:45.0143 3948	Rasl2tp - ok
19:09:45.0174 3948	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
19:09:45.0252 3948	RasPppoe - ok
19:09:45.0284 3948	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
19:09:45.0362 3948	Raspti - ok
19:09:45.0424 3948	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
19:09:45.0502 3948	Rdbss - ok
19:09:45.0518 3948	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
19:09:45.0612 3948	RDPCDD - ok
19:09:45.0659 3948	rdpdr           (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
19:09:45.0752 3948	rdpdr - ok
19:09:45.0799 3948	RDPWD           (fc105dd312ed64eb66bff111e8ec6eac) C:\WINDOWS\system32\drivers\RDPWD.sys
19:09:45.0815 3948	RDPWD - ok
19:09:45.0862 3948	redbook         (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
19:09:45.0956 3948	redbook - ok
19:09:46.0002 3948	RTLE8023xp      (0e74171ee80a8640de564b72dbbb397b) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
19:09:46.0018 3948	RTLE8023xp - ok
19:09:46.0065 3948	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
19:09:46.0112 3948	Secdrv - ok
19:09:46.0174 3948	SenFiltService  (b6a6b409fda9d9ebd3aadb838d3d7173) C:\WINDOWS\system32\drivers\Senfilt.sys
19:09:46.0252 3948	SenFiltService - ok
19:09:46.0284 3948	serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
19:09:46.0377 3948	serenum - ok
19:09:46.0393 3948	Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
19:09:46.0487 3948	Serial - ok
19:09:46.0518 3948	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
19:09:46.0596 3948	Sfloppy - ok
19:09:46.0627 3948	Simbad - ok
19:09:46.0643 3948	Sparrow - ok
19:09:46.0690 3948	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
19:09:46.0768 3948	splitter - ok
19:09:46.0815 3948	sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
19:09:46.0862 3948	sr - ok
19:09:46.0924 3948	Srv             (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
19:09:46.0940 3948	Srv - ok
19:09:47.0002 3948	ssmdrv          (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
19:09:47.0002 3948	ssmdrv - ok
19:09:47.0034 3948	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
19:09:47.0112 3948	swenum - ok
19:09:47.0143 3948	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
19:09:47.0237 3948	swmidi - ok
19:09:47.0252 3948	symc810 - ok
19:09:47.0284 3948	symc8xx - ok
19:09:47.0299 3948	sym_hi - ok
19:09:47.0315 3948	sym_u3 - ok
19:09:47.0346 3948	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
19:09:47.0424 3948	sysaudio - ok
19:09:47.0502 3948	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
19:09:47.0534 3948	Tcpip - ok
19:09:47.0581 3948	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
19:09:47.0674 3948	TDPIPE - ok
19:09:47.0706 3948	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
19:09:47.0799 3948	TDTCP - ok
19:09:47.0831 3948	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
19:09:47.0924 3948	TermDD - ok
19:09:47.0956 3948	TosIde - ok
19:09:48.0002 3948	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
19:09:48.0096 3948	Udfs - ok
19:09:48.0127 3948	ultra - ok
19:09:48.0190 3948	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
19:09:48.0284 3948	Update - ok
19:09:48.0346 3948	usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
19:09:48.0424 3948	usbccgp - ok
19:09:48.0471 3948	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
19:09:48.0549 3948	usbehci - ok
19:09:48.0581 3948	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
19:09:48.0659 3948	usbhub - ok
19:09:48.0706 3948	usbprint        (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
19:09:48.0799 3948	usbprint - ok
19:09:48.0846 3948	usbscan         (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
19:09:48.0924 3948	usbscan - ok
19:09:48.0971 3948	usbstor         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
19:09:49.0049 3948	usbstor - ok
19:09:49.0081 3948	usbuhci         (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
19:09:49.0174 3948	usbuhci - ok
19:09:49.0206 3948	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
19:09:49.0299 3948	VgaSave - ok
19:09:49.0331 3948	ViaIde - ok
19:09:49.0362 3948	VolSnap         (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
19:09:49.0440 3948	VolSnap - ok
19:09:49.0487 3948	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
19:09:49.0565 3948	Wanarp - ok
19:09:49.0581 3948	WDICA - ok
19:09:49.0627 3948	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
19:09:49.0706 3948	wdmaud - ok
19:09:49.0768 3948	MBR (0x1B8)     (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
19:09:50.0002 3948	\Device\Harddisk0\DR0 - ok
19:09:50.0002 3948	Boot (0x1200)   (ada1e0a1304cdc49012e6f392eb3ec3a) \Device\Harddisk0\DR0\Partition0
19:09:50.0002 3948	\Device\Harddisk0\DR0\Partition0 - ok
19:09:50.0018 3948	Boot (0x1200)   (489b6bc2f102473c7babdab65ab1a71f) \Device\Harddisk0\DR0\Partition1
19:09:50.0018 3948	\Device\Harddisk0\DR0\Partition1 - ok
19:09:50.0018 3948	============================================================
19:09:50.0018 3948	Scan finished
19:09:50.0018 3948	============================================================
19:09:50.0127 3824	Detected object count: 0
19:09:50.0127 3824	Actual detected object count: 0

cosinus · 13.01.2012, 19:29

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Pesmerga · 13.01.2012, 20:43

Hier die Log ComboFix:

Code:

ATTFilter

ComboFix 12-01-13.03 - Mike Corhsen 13.01.2012  20:35:19.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3007.2455 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Mike Corhsen\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\kock
c:\windows\wpe pro.INI
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-12-13 bis 2012-01-13  ))))))))))))))))))))))))))))))
.
.
2012-01-13 22:40 . 2011-07-13 02:55	2237440	----a-r-	C:\OTLPE.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-13 17:13 . 2011-10-10 18:37	134856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-12-10 14:24 . 2011-08-12 21:10	20464	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-11-25 21:57 . 2008-04-14 05:52	293888	----a-w-	c:\windows\system32\winsrv.dll
2011-11-23 14:40 . 2008-04-14 05:23	1859712	----a-w-	c:\windows\system32\win32k.sys
2011-11-20 06:12 . 2008-04-14 05:52	61952	----a-w-	c:\windows\system32\packager.exe
2011-11-03 15:28 . 2008-04-14 05:52	387072	----a-w-	c:\windows\system32\qdvd.dll
2011-11-03 15:28 . 2008-04-14 05:52	1297920	----a-w-	c:\windows\system32\quartz.dll
2011-11-01 20:35 . 2008-04-14 05:52	672768	----a-w-	c:\windows\system32\wininet.dll
2011-11-01 20:35 . 2008-04-14 05:52	81920	----a-w-	c:\windows\system32\ieencode.dll
2011-11-01 20:35 . 2008-04-14 05:51	61952	----a-w-	c:\windows\system32\tdc.ocx
2011-11-01 20:34 . 2008-04-14 05:25	371200	----a-w-	c:\windows\system32\html.iec
2011-11-01 16:07 . 2008-04-14 05:52	1288704	----a-w-	c:\windows\system32\ole32.dll
2011-10-28 05:31 . 2008-04-14 05:52	33280	----a-w-	c:\windows\system32\csrsrv.dll
2011-10-26 10:49 . 2008-04-14 07:30	2029568	----a-w-	c:\windows\system32\ntkrnlpa.exe
2011-10-26 10:49 . 2008-04-14 05:29	2151424	----a-w-	c:\windows\system32\ntoskrnl.exe
2011-10-18 11:13 . 2008-04-14 05:52	186880	----a-w-	c:\windows\system32\encdec.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]
"rfxsrvtray"="c:\programme\Tobit Radio.fx\Client\rfx-tray.exe" [2011-07-28 1851224]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2010-07-07 1753192]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-07-09 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2010-09-28 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2010-09-28 1953792]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2006-06-23 847872]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 343552]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-10-05 258512]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Mike Corhsen\Startmenü\Programme\Autostart\
OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Tobit Radio.fx\\Server\\rfx-server.exe"=
"c:\\Programme\\Tobit Radio.fx\\Client\\rfx-client.exe"=
"c:\\Programme\\Steam\\steamapps\\rugged_amstaff\\counter-strike source\\hl2.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [10.10.2011 19:37 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [10.10.2011 19:37 86224]
R2 Radio.fx;Radio.fx Server;c:\programme\Tobit Radio.fx\Server\rfx-server.exe [02.08.2011 20:36 3673944]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [29.09.2010 13:22 264704]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 13:49 227232]
.
.
------- Zusätzlicher Suchlauf -------
.
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Mike Corhsen\Anwendungsdaten\Mozilla\Firefox\Profiles\a4tw2zid.default\
FF - prefs.js: network.proxy.type - 0
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: DivX Plus Web Player HTML5 &lt;video&gt;: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\programme\DivX\DivX Plus Web Player\firefox\DivXHTML5
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-01-13 20:38
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-01-13  20:39:41
ComboFix-quarantined-files.txt  2012-01-13 19:39
.
Vor Suchlauf: 10 Verzeichnis(se), 22.962.495.488 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 26.059.493.376 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 177661F39B36D31B493B28244A484F69

12.01.2012, 14:59	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Gema Virusbefall Es gibt auch den abgesicherten Modus mit Netzwerktreibern. Den einfach mal booten und testen __________________ --> Gema Virusbefall

Gema Virusbefall

Plagegeister aller Art und deren Bekämpfung: Gema Virusbefall