|
Plagegeister aller Art und deren Bekämpfung: Eine Art Bundespolizei-Trojaner?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
09.04.2012, 16:27 | #16 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Eine Art Bundespolizei-Trojaner? Du solltest eigentlich nicht ohne Anweisung fixen aber du hast es zum Glück richtig gemacht Mach bitte ein neues Log mit dem TDSS-Killer
__________________ Logfiles bitte immer in CODE-Tags posten |
09.04.2012, 17:04 | #17 |
| Eine Art Bundespolizei-Trojaner? Wenn man nach dem Scan nicht für alle Ergebnisse 'Skip' auswählt, erledigt das Programm beim nächsten Neustart die Arbeit anscheinend von selbst: Das hatte ich nicht kapiert :-(. Na ja- hier die neue Log- Datei:
__________________Code:
ATTFilter 17:58:05.0421 0548 TDSS rootkit removing tool 2.7.27.0 Apr 9 2012 09:53:37 17:58:05.0625 0548 ============================================================ 17:58:05.0625 0548 Current date / time: 2012/04/09 17:58:05.0625 17:58:05.0625 0548 SystemInfo: 17:58:05.0625 0548 17:58:05.0625 0548 OS Version: 5.1.2600 ServicePack: 3.0 17:58:05.0625 0548 Product type: Workstation 17:58:05.0625 0548 ComputerName: *** 17:58:05.0625 0548 UserName: *** 17:58:05.0625 0548 Windows directory: C:\WINDOWS 17:58:05.0625 0548 System windows directory: C:\WINDOWS 17:58:05.0625 0548 Processor architecture: Intel x86 17:58:05.0625 0548 Number of processors: 2 17:58:05.0625 0548 Page size: 0x1000 17:58:05.0625 0548 Boot type: Normal boot 17:58:05.0625 0548 ============================================================ 17:58:06.0328 0548 Drive \Device\Harddisk0\DR0 - Size: 0x3A38B2E000 (232.89 Gb), SectorSize: 0x200, Cylinders: 0x76C1, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000058 17:58:06.0328 0548 Drive \Device\Harddisk1\DR3 - Size: 0x7AF00000 (1.92 Gb), SectorSize: 0x200, Cylinders: 0xFA, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W' 17:58:06.0328 0548 Drive \Device\Harddisk2\DR4 - Size: 0xFB000000 (3.92 Gb), SectorSize: 0x200, Cylinders: 0x1FF, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W' 17:58:06.0328 0548 \Device\Harddisk0\DR0: 17:58:06.0328 0548 MBR used 17:58:06.0328 0548 \Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0xAFC6752 17:58:06.0328 0548 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0xAFC6800, BlocksNum 0x121FEDD5 17:58:06.0328 0548 \Device\Harddisk1\DR3: 17:58:06.0328 0548 MBR used 17:58:06.0328 0548 \Device\Harddisk1\DR3\Partition0: MBR, Type 0xE, StartLBA 0x20, BlocksNum 0x3D77E0 17:58:06.0328 0548 \Device\Harddisk2\DR4: 17:58:06.0328 0548 MBR used 17:58:06.0421 0548 Initialize success 17:58:06.0421 0548 ============================================================ 17:58:14.0062 3780 ============================================================ 17:58:14.0062 3780 Scan started 17:58:14.0062 3780 Mode: Manual; SigCheck; TDLFS; 17:58:14.0062 3780 ============================================================ 17:58:14.0265 3780 Abiosdsk - ok 17:58:14.0265 3780 abp480n5 - ok 17:58:14.0328 3780 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys 17:58:15.0140 3780 ACPI - ok 17:58:15.0265 3780 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys 17:58:15.0375 3780 ACPIEC - ok 17:58:15.0437 3780 Adobe LM Service (6ef096317e127aecf4cb61081d88ad0b) C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe 17:58:15.0468 3780 Adobe LM Service ( UnsignedFile.Multi.Generic ) - warning 17:58:15.0468 3780 Adobe LM Service - detected UnsignedFile.Multi.Generic (1) 17:58:15.0562 3780 AdobeFlashPlayerUpdateSvc (0d4c486a24a711a45fd83acdf4d18506) C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe 17:58:15.0578 3780 AdobeFlashPlayerUpdateSvc - ok 17:58:15.0640 3780 adpu160m - ok 17:58:15.0703 3780 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys 17:58:15.0796 3780 aec - ok 17:58:15.0843 3780 AFD (1e44bc1e83d8fd2305f8d452db109cf9) C:\WINDOWS\System32\drivers\afd.sys 17:58:15.0890 3780 AFD - ok 17:58:15.0968 3780 Aha154x - ok 17:58:15.0968 3780 aic78u2 - ok 17:58:15.0984 3780 aic78xx - ok 17:58:16.0015 3780 Alerter (738d80cc01d7bc7584be917b7f544394) C:\WINDOWS\system32\alrsvc.dll 17:58:16.0125 3780 Alerter - ok 17:58:16.0156 3780 ALG (190cd73d4984f94d823f9444980513e5) C:\WINDOWS\System32\alg.exe 17:58:16.0265 3780 ALG - ok 17:58:16.0265 3780 AliIde - ok 17:58:16.0296 3780 AmdK8 (58be3c2f1aa041ea56f7305a6463035c) C:\WINDOWS\system32\DRIVERS\AmdK8.sys 17:58:16.0343 3780 AmdK8 - ok 17:58:16.0421 3780 amsint - ok 17:58:16.0562 3780 AntiVirSchedulerService (c27d46b06d340293670450fce9dfb166) C:\Programme\Avira\AntiVir Desktop\sched.exe 17:58:16.0562 3780 AntiVirSchedulerService - ok 17:58:16.0609 3780 AntiVirService (72d90e56563165984224493069c69ed4) C:\Programme\Avira\AntiVir Desktop\avguard.exe 17:58:16.0625 3780 AntiVirService - ok 17:58:16.0687 3780 AppMgmt - ok 17:58:16.0750 3780 Asapi (1e0eeb62964513f4f1e18fee3c69c43d) C:\WINDOWS\system32\drivers\Asapi.sys 17:58:16.0750 3780 Asapi ( UnsignedFile.Multi.Generic ) - warning 17:58:16.0750 3780 Asapi - detected UnsignedFile.Multi.Generic (1) 17:58:16.0765 3780 asc - ok 17:58:16.0765 3780 asc3350p - ok 17:58:16.0781 3780 asc3550 - ok 17:58:16.0875 3780 aspnet_state (0e5e4957549056e2bf2c49f4f6b601ad) C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe 17:58:16.0890 3780 aspnet_state - ok 17:58:16.0984 3780 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys 17:58:17.0093 3780 AsyncMac - ok 17:58:17.0109 3780 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys 17:58:17.0203 3780 atapi - ok 17:58:17.0203 3780 Atdisk - ok 17:58:17.0250 3780 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys 17:58:17.0343 3780 Atmarpc - ok 17:58:17.0437 3780 AudioSrv (58ed0d5452df7be732193e7999c6b9a4) C:\WINDOWS\System32\audiosrv.dll 17:58:17.0546 3780 AudioSrv - ok 17:58:17.0625 3780 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys 17:58:17.0718 3780 audstub - ok 17:58:17.0859 3780 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys 17:58:17.0859 3780 avgio - ok 17:58:17.0937 3780 avgntflt (1e4114685de1ffa9675e09c6a1fb3f4b) C:\WINDOWS\system32\DRIVERS\avgntflt.sys 17:58:18.0203 3780 avgntflt - ok 17:58:18.0218 3780 avipbb (0f78d3dae6dedd99ae54c9491c62adf2) C:\WINDOWS\system32\DRIVERS\avipbb.sys 17:58:18.0234 3780 avipbb - ok 17:58:18.0281 3780 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys 17:58:18.0406 3780 Beep - ok 17:58:18.0484 3780 BITS (d6f603772a789bb3228f310d650b8bd1) C:\WINDOWS\system32\qmgr.dll 17:58:18.0593 3780 BITS - ok 17:58:18.0640 3780 Browser (b42057f06bbb98b31876c0b3f2b54e33) C:\WINDOWS\System32\browser.dll 17:58:18.0718 3780 Browser - ok 17:58:18.0906 3780 catchme - ok 17:58:19.0031 3780 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys 17:58:19.0156 3780 cbidf2k - ok 17:58:19.0156 3780 cd20xrnt - ok 17:58:19.0171 3780 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys 17:58:19.0296 3780 Cdaudio - ok 17:58:19.0343 3780 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys 17:58:19.0421 3780 Cdfs - ok 17:58:19.0453 3780 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys 17:58:19.0546 3780 Cdrom - ok 17:58:19.0609 3780 Changer - ok 17:58:19.0656 3780 CiSvc (28e3040d1f1ca2008cd6b29dfebc9a5e) C:\WINDOWS\system32\cisvc.exe 17:58:19.0750 3780 CiSvc - ok 17:58:19.0750 3780 ClipSrv (778a30ed3c134eb7e406afc407e9997d) C:\WINDOWS\system32\clipsrv.exe 17:58:19.0843 3780 ClipSrv - ok 17:58:19.0921 3780 clr_optimization_v2.0.50727_32 (d87acaed61e417bba546ced5e7e36d9c) C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe 17:58:19.0937 3780 clr_optimization_v2.0.50727_32 - ok 17:58:20.0046 3780 clr_optimization_v4.0.30319_32 (c5a75eb48e2344abdc162bda79e16841) C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe 17:58:20.0046 3780 clr_optimization_v4.0.30319_32 - ok 17:58:20.0062 3780 CmdIde - ok 17:58:20.0078 3780 COMSysApp - ok 17:58:20.0093 3780 Cpqarray - ok 17:58:20.0140 3780 CryptSvc (611f824e5c703a5a899f84c5f1699e4d) C:\WINDOWS\System32\cryptsvc.dll 17:58:20.0234 3780 CryptSvc - ok 17:58:20.0234 3780 dac2w2k - ok 17:58:20.0250 3780 dac960nt - ok 17:58:20.0296 3780 DcomLaunch (3127afbf2c1ed0ab14a1bbb7aaecb85b) C:\WINDOWS\system32\rpcss.dll 17:58:20.0390 3780 DcomLaunch - ok 17:58:20.0500 3780 Dhcp (c29a1c9b75ba38fa37f8c44405dec360) C:\WINDOWS\System32\dhcpcsvc.dll 17:58:20.0593 3780 Dhcp - ok 17:58:20.0609 3780 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys 17:58:20.0703 3780 Disk - ok 17:58:20.0703 3780 dmadmin - ok 17:58:20.0796 3780 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys 17:58:20.0921 3780 dmboot - ok 17:58:21.0031 3780 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys 17:58:21.0140 3780 dmio - ok 17:58:21.0171 3780 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys 17:58:21.0296 3780 dmload - ok 17:58:21.0343 3780 dmserver (25c83ffbba13b554eb6d59a9b2e2ee78) C:\WINDOWS\System32\dmserver.dll 17:58:21.0437 3780 dmserver - ok 17:58:21.0546 3780 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys 17:58:21.0640 3780 DMusic - ok 17:58:21.0671 3780 Dnscache (407f3227ac618fd1ca54b335b083de07) C:\WINDOWS\System32\dnsrslvr.dll 17:58:21.0750 3780 Dnscache - ok 17:58:21.0890 3780 Dot3svc (676e36c4ff5bcea1900f44182b9723e6) C:\WINDOWS\System32\dot3svc.dll 17:58:22.0000 3780 Dot3svc - ok 17:58:22.0031 3780 dpti2o - ok 17:58:22.0078 3780 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys 17:58:22.0171 3780 drmkaud - ok 17:58:22.0296 3780 EapHost (4e4f2fddab0a0736d7671134dcce91fb) C:\WINDOWS\System32\eapsvc.dll 17:58:22.0375 3780 EapHost - ok 17:58:22.0406 3780 ERSvc (877c18558d70587aa7823a1a308ac96b) C:\WINDOWS\System32\ersvc.dll 17:58:22.0500 3780 ERSvc - ok 17:58:22.0546 3780 Eventlog (a3edbe9053889fb24ab22492472b39dc) C:\WINDOWS\system32\services.exe 17:58:22.0578 3780 Eventlog - ok 17:58:22.0703 3780 EventSystem (af4f6b5739d18ca7972ab53e091cbc74) C:\WINDOWS\system32\es.dll 17:58:22.0734 3780 EventSystem - ok 17:58:22.0812 3780 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys 17:58:22.0906 3780 Fastfat - ok 17:58:22.0953 3780 FastUserSwitchingCompatibility (2db7d303c36ddd055215052f118e8e75) C:\WINDOWS\System32\shsvcs.dll 17:58:23.0015 3780 FastUserSwitchingCompatibility - ok 17:58:23.0125 3780 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys 17:58:23.0203 3780 Fdc - ok 17:58:23.0218 3780 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys 17:58:23.0296 3780 Fips - ok 17:58:23.0312 3780 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys 17:58:23.0390 3780 Flpydisk - ok 17:58:23.0437 3780 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys 17:58:23.0515 3780 FltMgr - ok 17:58:23.0671 3780 FontCache3.0.0.0 (8ba7c024070f2b7fdd98ed8a4ba41789) c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe 17:58:23.0671 3780 FontCache3.0.0.0 - ok 17:58:23.0703 3780 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys 17:58:23.0828 3780 Fs_Rec - ok 17:58:23.0843 3780 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys 17:58:23.0953 3780 Ftdisk - ok 17:58:24.0031 3780 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys 17:58:24.0125 3780 Gpc - ok 17:58:24.0265 3780 gupdate (f02a533f517eb38333cb12a9e8963773) C:\Programme\Google\Update\GoogleUpdate.exe 17:58:24.0265 3780 gupdate - ok 17:58:24.0281 3780 gupdatem (f02a533f517eb38333cb12a9e8963773) C:\Programme\Google\Update\GoogleUpdate.exe 17:58:24.0281 3780 gupdatem - ok 17:58:24.0343 3780 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys 17:58:24.0437 3780 HDAudBus - ok 17:58:24.0531 3780 helpsvc (cb66bf85bf599befd6c6a57c2e20357f) C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll 17:58:24.0625 3780 helpsvc - ok 17:58:24.0625 3780 HidServ - ok 17:58:24.0687 3780 hkmsvc (ed29f14101523a6e0e808107405d452c) C:\WINDOWS\System32\kmsvc.dll 17:58:24.0765 3780 hkmsvc - ok 17:58:24.0796 3780 hpn - ok 17:58:24.0843 3780 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys 17:58:24.0890 3780 HTTP - ok 17:58:24.0968 3780 HTTPFilter (9e4adb854cebcfb81a4b36718feecd16) C:\WINDOWS\System32\w3ssl.dll 17:58:25.0062 3780 HTTPFilter - ok 17:58:25.0078 3780 i2omgmt - ok 17:58:25.0093 3780 i2omp - ok 17:58:25.0125 3780 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys 17:58:25.0218 3780 i8042prt - ok 17:58:25.0359 3780 idsvc (c01ac32dc5c03076cfb852cb5da5229c) C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe 17:58:25.0390 3780 idsvc - ok 17:58:25.0515 3780 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys 17:58:25.0609 3780 Imapi - ok 17:58:25.0640 3780 ImapiService (d4b413aa210c21e46aedd2ba5b68d38e) C:\WINDOWS\system32\imapi.exe 17:58:25.0734 3780 ImapiService - ok 17:58:25.0750 3780 ini910u - ok 17:58:25.0921 3780 IntcAzAudAddService (19d3781892a3794672cd1962f3d8d3b8) C:\WINDOWS\system32\drivers\RtkHDAud.sys 17:58:26.0234 3780 IntcAzAudAddService - ok 17:58:26.0296 3780 IntelIde - ok 17:58:26.0328 3780 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys 17:58:26.0437 3780 Ip6Fw - ok 17:58:26.0453 3780 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys 17:58:26.0593 3780 IpFilterDriver - ok 17:58:26.0625 3780 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys 17:58:26.0718 3780 IpInIp - ok 17:58:26.0828 3780 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys 17:58:26.0921 3780 IpNat - ok 17:58:26.0937 3780 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys 17:58:27.0031 3780 IPSec - ok 17:58:27.0062 3780 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys 17:58:27.0156 3780 IRENUM - ok 17:58:27.0265 3780 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys 17:58:27.0359 3780 isapnp - ok 17:58:27.0484 3780 JavaQuickStarterService (381b25dc8e958d905b33130d500bbf29) C:\Programme\Java\jre6\bin\jqs.exe 17:58:27.0500 3780 JavaQuickStarterService - ok 17:58:27.0515 3780 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys 17:58:27.0593 3780 Kbdclass - ok 17:58:27.0718 3780 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys 17:58:27.0796 3780 kmixer - ok 17:58:27.0859 3780 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys 17:58:27.0921 3780 KSecDD - ok 17:58:28.0031 3780 lanmanserver (2bbdcb79900990f0716dfcb714e72de7) C:\WINDOWS\System32\srvsvc.dll 17:58:28.0062 3780 lanmanserver - ok 17:58:28.0109 3780 lanmanworkstation (1869b14b06b44b44af70548e1ea3303f) C:\WINDOWS\System32\wkssvc.dll 17:58:28.0156 3780 lanmanworkstation - ok 17:58:28.0187 3780 lbrtfdc - ok 17:58:28.0234 3780 LmHosts (636714b7d43c8d0c80449123fd266920) C:\WINDOWS\System32\lmhsvc.dll 17:58:28.0328 3780 LmHosts - ok 17:58:28.0359 3780 Messenger (b7550a7107281d170ce85524b1488c98) C:\WINDOWS\System32\msgsvc.dll 17:58:28.0453 3780 Messenger - ok 17:58:28.0500 3780 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys 17:58:28.0625 3780 mnmdd - ok 17:58:28.0734 3780 mnmsrvc (c2f1d365fd96791b037ee504868065d3) C:\WINDOWS\system32\mnmsrvc.exe 17:58:28.0828 3780 mnmsrvc - ok 17:58:28.0875 3780 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys 17:58:28.0968 3780 Modem - ok 17:58:28.0984 3780 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys 17:58:29.0078 3780 Mouclass - ok 17:58:29.0093 3780 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys 17:58:29.0171 3780 MountMgr - ok 17:58:29.0187 3780 mraid35x - ok 17:58:29.0203 3780 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys 17:58:29.0296 3780 MRxDAV - ok 17:58:29.0359 3780 MRxSmb (7d304a5eb4344ebeeab53a2fe3ffb9f0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys 17:58:29.0437 3780 MRxSmb - ok 17:58:29.0546 3780 MSDTC (35a031af38c55f92d28aa03ee9f12cc9) C:\WINDOWS\system32\msdtc.exe 17:58:29.0640 3780 MSDTC - ok 17:58:29.0718 3780 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys 17:58:29.0796 3780 Msfs - ok 17:58:29.0812 3780 MSIServer - ok 17:58:29.0843 3780 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys 17:58:29.0921 3780 MSKSSRV - ok 17:58:30.0000 3780 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys 17:58:30.0093 3780 MSPCLOCK - ok 17:58:30.0125 3780 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys 17:58:30.0234 3780 MSPQM - ok 17:58:30.0281 3780 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys 17:58:30.0359 3780 mssmbios - ok 17:58:30.0406 3780 Mup (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys 17:58:30.0437 3780 Mup - ok 17:58:30.0546 3780 napagent (46bb15ae2ac7d025d6d2567b876817bd) C:\WINDOWS\System32\qagentrt.dll 17:58:30.0656 3780 napagent - ok 17:58:30.0718 3780 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys 17:58:30.0796 3780 NDIS - ok 17:58:30.0859 3780 NdisTapi (0109c4f3850dfbab279542515386ae22) C:\WINDOWS\system32\DRIVERS\ndistapi.sys 17:58:30.0890 3780 NdisTapi - ok 17:58:30.0921 3780 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys 17:58:31.0015 3780 Ndisuio - ok 17:58:31.0109 3780 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys 17:58:31.0203 3780 NdisWan - ok 17:58:31.0234 3780 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys 17:58:31.0296 3780 NDProxy - ok 17:58:31.0406 3780 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys 17:58:31.0500 3780 NetBIOS - ok 17:58:31.0531 3780 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys 17:58:31.0609 3780 NetBT - ok 17:58:31.0656 3780 NetDDE (8ace4251bffd09ce75679fe940e996cc) C:\WINDOWS\system32\netdde.exe 17:58:31.0750 3780 NetDDE - ok 17:58:31.0765 3780 NetDDEdsdm (8ace4251bffd09ce75679fe940e996cc) C:\WINDOWS\system32\netdde.exe 17:58:31.0843 3780 NetDDEdsdm - ok 17:58:31.0953 3780 Netlogon (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe 17:58:32.0031 3780 Netlogon - ok 17:58:32.0046 3780 Netman (e6d88f1f6745bf00b57e7855a2ab696c) C:\WINDOWS\System32\netman.dll 17:58:32.0140 3780 Netman - ok 17:58:32.0218 3780 NetTcpPortSharing (d34612c5d02d026535b3095d620626ae) C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe 17:58:32.0234 3780 NetTcpPortSharing - ok 17:58:32.0343 3780 Nla (f1b67b6b0751ae0e6e964b02821206a3) C:\WINDOWS\System32\mswsock.dll 17:58:32.0421 3780 Nla - ok 17:58:32.0468 3780 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys 17:58:32.0562 3780 Npfs - ok 17:58:32.0578 3780 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys 17:58:32.0718 3780 Ntfs - ok 17:58:32.0765 3780 NtLmSsp (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe 17:58:32.0859 3780 NtLmSsp - ok 17:58:32.0921 3780 NtmsSvc (56af4064996fa5bac9c449b1514b4770) C:\WINDOWS\system32\ntmssvc.dll 17:58:33.0046 3780 NtmsSvc - ok 17:58:33.0156 3780 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys 17:58:33.0281 3780 Null - ok 17:58:33.0484 3780 nv (8e72e452b9cc1e455d19e3c9fa964d37) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys 17:58:33.0843 3780 nv - ok 17:58:33.0953 3780 NVENETFD (70217a23470f4bb4c8fb4abe06813081) C:\WINDOWS\system32\DRIVERS\NVENETFD.sys 17:58:33.0968 3780 NVENETFD - ok 17:58:33.0984 3780 nvgts (a117466b0acb13288deee4f2e936e67f) C:\WINDOWS\system32\DRIVERS\nvgts.sys 17:58:34.0000 3780 nvgts - ok 17:58:34.0046 3780 nvnetbus (be8513730653384939a4d2d977c81027) C:\WINDOWS\system32\DRIVERS\nvnetbus.sys 17:58:34.0093 3780 nvnetbus - ok 17:58:34.0203 3780 NVSvc (934833b3cd462a6f8a96f64d024c8b20) C:\WINDOWS\system32\nvsvc32.exe 17:58:34.0218 3780 NVSvc - ok 17:58:34.0281 3780 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys 17:58:34.0375 3780 NwlnkFlt - ok 17:58:34.0406 3780 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys 17:58:34.0531 3780 NwlnkFwd - ok 17:58:34.0578 3780 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys 17:58:34.0656 3780 Parport - ok 17:58:34.0718 3780 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys 17:58:34.0812 3780 PartMgr - ok 17:58:34.0859 3780 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys 17:58:34.0968 3780 ParVdm - ok 17:58:35.0015 3780 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys 17:58:35.0109 3780 PCI - ok 17:58:35.0109 3780 PCIDump - ok 17:58:35.0140 3780 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys 17:58:35.0250 3780 PCIIde - ok 17:58:35.0281 3780 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys 17:58:35.0390 3780 Pcmcia - ok 17:58:35.0468 3780 PDCOMP - ok 17:58:35.0531 3780 PDDSLADP (ab6f9ee08b82a46f2b4f0ab909f1fad9) C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS 17:58:35.0531 3780 PDDSLADP ( UnsignedFile.Multi.Generic ) - warning 17:58:35.0531 3780 PDDSLADP - detected UnsignedFile.Multi.Generic (1) 17:58:35.0562 3780 PDDSLHND (49e3fa74798f192d4a6b299ee0b8e5f3) C:\WINDOWS\system32\drivers\PDDSLHND.sys 17:58:35.0562 3780 PDDSLHND ( UnsignedFile.Multi.Generic ) - warning 17:58:35.0562 3780 PDDSLHND - detected UnsignedFile.Multi.Generic (1) 17:58:35.0578 3780 PDFRAME - ok 17:58:35.0578 3780 PDRELI - ok 17:58:35.0593 3780 PDRFRAME - ok 17:58:35.0593 3780 perc2 - ok 17:58:35.0609 3780 perc2hib - ok 17:58:35.0687 3780 PlugPlay (a3edbe9053889fb24ab22492472b39dc) C:\WINDOWS\system32\services.exe 17:58:35.0718 3780 PlugPlay - ok 17:58:35.0812 3780 PolicyAgent (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe 17:58:35.0890 3780 PolicyAgent - ok 17:58:35.0968 3780 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys 17:58:36.0046 3780 PptpMiniport - ok 17:58:36.0093 3780 Processor (2cb55427c58679f49ad600fccba76360) C:\WINDOWS\system32\DRIVERS\processr.sys 17:58:36.0203 3780 Processor - ok 17:58:36.0250 3780 ProtectedStorage (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe 17:58:36.0328 3780 ProtectedStorage - ok 17:58:36.0343 3780 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys 17:58:36.0453 3780 PSched - ok 17:58:36.0593 3780 PSI (d24dfd16a1e2a76034df5aa18125c35d) C:\WINDOWS\system32\DRIVERS\psi_mf.sys 17:58:36.0609 3780 PSI - ok 17:58:36.0656 3780 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys 17:58:36.0765 3780 Ptilink - ok 17:58:36.0796 3780 PxHelp20 (153d02480a0a2f45785522e814c634b6) C:\WINDOWS\system32\Drivers\PxHelp20.sys 17:58:36.0812 3780 PxHelp20 - ok 17:58:36.0812 3780 ql1080 - ok 17:58:36.0828 3780 Ql10wnt - ok 17:58:36.0828 3780 ql12160 - ok 17:58:36.0843 3780 ql1240 - ok 17:58:36.0859 3780 ql1280 - ok 17:58:36.0890 3780 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys 17:58:37.0000 3780 RasAcd - ok 17:58:37.0078 3780 RasAuto (f5ba6caccdb66c8f048e867563203246) C:\WINDOWS\System32\rasauto.dll 17:58:37.0187 3780 RasAuto - ok 17:58:37.0265 3780 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys 17:58:37.0359 3780 Rasl2tp - ok 17:58:37.0453 3780 RasMan (f9a7b66ea345726edb5862a46b1eccd5) C:\WINDOWS\System32\rasmans.dll 17:58:37.0546 3780 RasMan - ok 17:58:37.0593 3780 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys 17:58:37.0687 3780 RasPppoe - ok 17:58:37.0687 3780 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys 17:58:37.0796 3780 Raspti - ok 17:58:37.0843 3780 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys 17:58:37.0921 3780 Rdbss - ok 17:58:37.0937 3780 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys 17:58:38.0046 3780 RDPCDD - ok 17:58:38.0093 3780 RDPWD (5b3055daa788bd688594d2f5981f2a83) C:\WINDOWS\system32\drivers\RDPWD.sys 17:58:38.0125 3780 RDPWD - ok 17:58:38.0218 3780 RDSessMgr (263af18af0f3db99f574c95f284ccec9) C:\WINDOWS\system32\sessmgr.exe 17:58:38.0328 3780 RDSessMgr - ok 17:58:38.0375 3780 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys 17:58:38.0453 3780 redbook - ok 17:58:38.0515 3780 RemoteAccess (0e97ec96d6942ceec2d188cc2eb69a01) C:\WINDOWS\System32\mprdim.dll 17:58:38.0609 3780 RemoteAccess - ok 17:58:38.0718 3780 RpcLocator (2a02e21867497df20b8fc95631395169) C:\WINDOWS\system32\locator.exe 17:58:38.0828 3780 RpcLocator - ok 17:58:38.0875 3780 RpcSs (3127afbf2c1ed0ab14a1bbb7aaecb85b) C:\WINDOWS\System32\rpcss.dll 17:58:38.0937 3780 RpcSs - ok 17:58:38.0968 3780 RSVP (4bdd71b4b521521499dfd14735c4f398) C:\WINDOWS\system32\rsvp.exe 17:58:39.0078 3780 RSVP - ok 17:58:39.0171 3780 SamSs (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe 17:58:39.0250 3780 SamSs - ok 17:58:39.0296 3780 SCardSvr (dcec079fad95d36c8dd5cb6d779dfe32) C:\WINDOWS\System32\SCardSvr.exe 17:58:39.0390 3780 SCardSvr - ok 17:58:39.0437 3780 Schedule (a050194a44d7fa8d7186ed2f4e8367ae) C:\WINDOWS\system32\schedsvc.dll 17:58:39.0531 3780 Schedule - ok 17:58:39.0625 3780 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys 17:58:39.0703 3780 Secdrv - ok 17:58:39.0734 3780 seclogon (bee4cfd1d48c23b44cf4b974b0b79b2b) C:\WINDOWS\System32\seclogon.dll 17:58:39.0828 3780 seclogon - ok 17:58:39.0906 3780 Secunia PSI Agent - ok 17:58:39.0906 3780 Secunia Update Agent - ok 17:58:40.0000 3780 SENS (2aac9b6ed9eddffb721d6452e34d67e3) C:\WINDOWS\system32\sens.dll 17:58:40.0078 3780 SENS - ok 17:58:40.0140 3780 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys 17:58:40.0234 3780 serenum - ok 17:58:40.0234 3780 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys 17:58:40.0328 3780 Serial - ok 17:58:40.0406 3780 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys 17:58:40.0500 3780 Sfloppy - ok 17:58:40.0546 3780 SharedAccess (cad058d5f8b889a87ca3eb3cf624dcef) C:\WINDOWS\System32\ipnathlp.dll 17:58:40.0671 3780 SharedAccess - ok 17:58:40.0796 3780 ShellHWDetection (2db7d303c36ddd055215052f118e8e75) C:\WINDOWS\System32\shsvcs.dll 17:58:40.0812 3780 ShellHWDetection - ok 17:58:40.0828 3780 Simbad - ok 17:58:40.0843 3780 Sparrow - ok 17:58:40.0906 3780 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys 17:58:40.0984 3780 splitter - ok 17:58:41.0015 3780 Spooler (60784f891563fb1b767f70117fc2428f) C:\WINDOWS\system32\spoolsv.exe 17:58:41.0062 3780 Spooler - ok 17:58:41.0187 3780 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys 17:58:41.0281 3780 sr - ok 17:58:41.0328 3780 srservice (fe77a85495065f3ad59c5c65b6c54182) C:\WINDOWS\system32\srsvc.dll 17:58:41.0406 3780 srservice - ok 17:58:41.0453 3780 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys 17:58:41.0515 3780 Srv - ok 17:58:41.0609 3780 SSDPSRV (4df5b05dfaec29e13e1ed6f6ee12c500) C:\WINDOWS\System32\ssdpsrv.dll 17:58:41.0703 3780 SSDPSRV - ok 17:58:41.0765 3780 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys 17:58:41.0765 3780 ssmdrv - ok 17:58:41.0796 3780 stisvc (bc2c5985611c5356b24aeb370953ded9) C:\WINDOWS\system32\wiaservc.dll 17:58:41.0921 3780 stisvc - ok 17:58:42.0000 3780 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys 17:58:42.0093 3780 swenum - ok 17:58:42.0125 3780 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys 17:58:42.0218 3780 swmidi - ok 17:58:42.0234 3780 SwPrv - ok 17:58:42.0234 3780 symc810 - ok 17:58:42.0250 3780 symc8xx - ok 17:58:42.0250 3780 sym_hi - ok 17:58:42.0265 3780 sym_u3 - ok 17:58:42.0281 3780 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys 17:58:42.0375 3780 sysaudio - ok 17:58:42.0421 3780 SysmonLog (2903fffa2523926d6219428040dce6b9) C:\WINDOWS\system32\smlogsvc.exe 17:58:42.0515 3780 SysmonLog - ok 17:58:42.0593 3780 TapiSrv (05903cac4b98908d55ea5774775b382e) C:\WINDOWS\System32\tapisrv.dll 17:58:42.0703 3780 TapiSrv - ok 17:58:42.0750 3780 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys 17:58:42.0843 3780 Tcpip - ok 17:58:42.0875 3780 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys 17:58:42.0953 3780 TDPIPE - ok 17:58:43.0031 3780 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys 17:58:43.0140 3780 TDTCP - ok 17:58:43.0140 3780 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys 17:58:43.0234 3780 TermDD - ok 17:58:43.0296 3780 TermService (b7de02c863d8f5a005a7bf375375a6a4) C:\WINDOWS\System32\termsrv.dll 17:58:43.0390 3780 TermService - ok 17:58:43.0453 3780 Themes (2db7d303c36ddd055215052f118e8e75) C:\WINDOWS\System32\shsvcs.dll 17:58:43.0468 3780 Themes - ok 17:58:43.0468 3780 TosIde - ok 17:58:43.0484 3780 TrkWks (626504572b175867f30f3215c04b3e2f) C:\WINDOWS\system32\trkwks.dll 17:58:43.0609 3780 TrkWks - ok 17:58:43.0656 3780 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys 17:58:43.0765 3780 Udfs - ok 17:58:43.0828 3780 ultra - ok 17:58:43.0875 3780 UMWdf (c81b8635dee0d3ef5f64b3dd643023a5) C:\WINDOWS\system32\wdfmgr.exe 17:58:43.0906 3780 UMWdf - ok 17:58:43.0953 3780 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys 17:58:44.0078 3780 Update - ok 17:58:44.0203 3780 upnphost (1dfd8975d8c89214b98d9387c1125b49) C:\WINDOWS\System32\upnphost.dll 17:58:44.0296 3780 upnphost - ok 17:58:44.0328 3780 UPS (9b11e6118958e63e1fef129466e2bda7) C:\WINDOWS\System32\ups.exe 17:58:44.0421 3780 UPS - ok 17:58:44.0484 3780 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys 17:58:44.0593 3780 usbccgp - ok 17:58:44.0687 3780 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys 17:58:44.0781 3780 usbehci - ok 17:58:44.0796 3780 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys 17:58:44.0890 3780 usbhub - ok 17:58:44.0937 3780 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys 17:58:45.0015 3780 usbohci - ok 17:58:45.0109 3780 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys 17:58:45.0203 3780 usbprint - ok 17:58:45.0218 3780 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys 17:58:45.0296 3780 usbscan - ok 17:58:45.0296 3780 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS 17:58:45.0390 3780 USBSTOR - ok 17:58:45.0406 3780 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys 17:58:45.0500 3780 VgaSave - ok 17:58:45.0500 3780 ViaIde - ok 17:58:45.0562 3780 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys 17:58:45.0640 3780 VolSnap - ok 17:58:45.0765 3780 VSS (68f106273be29e7b7ef8266977268e78) C:\WINDOWS\System32\vssvc.exe 17:58:45.0843 3780 VSS - ok 17:58:45.0875 3780 W32Time (7b353059e665f8b7ad2bbeaef597cf45) C:\WINDOWS\system32\w32time.dll 17:58:45.0968 3780 W32Time - ok 17:58:46.0015 3780 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys 17:58:46.0109 3780 Wanarp - ok 17:58:46.0109 3780 WDICA - ok 17:58:46.0140 3780 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys 17:58:46.0234 3780 wdmaud - ok 17:58:46.0281 3780 WebClient (81727c9873e3905a2ffc1ebd07265002) C:\WINDOWS\System32\webclnt.dll 17:58:46.0359 3780 WebClient - ok 17:58:46.0484 3780 winmgmt (6f3f3973d97714cc5f906a19fe883729) C:\WINDOWS\system32\wbem\WMIsvc.dll 17:58:46.0578 3780 winmgmt - ok 17:58:46.0625 3780 WmdmPmSN (a477391b7a8b0a0daabadb17cf533a4b) C:\WINDOWS\system32\mspmsnsv.dll 17:58:46.0671 3780 WmdmPmSN - ok 17:58:46.0703 3780 WmiApSrv (93908111ba57a6e60ec2fa2de202105c) C:\WINDOWS\system32\wbem\wmiapsrv.exe 17:58:46.0781 3780 WmiApSrv - ok 17:58:47.0015 3780 WPFFontCache_v0400 (dcf3e3edf5109ee8bc02fe6e1f045795) C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe 17:58:47.0031 3780 WPFFontCache_v0400 - ok 17:58:47.0109 3780 wscsvc (300b3e84faf1a5c1f791c159ba28035d) C:\WINDOWS\system32\wscsvc.dll 17:58:47.0203 3780 wscsvc - ok 17:58:47.0265 3780 wuauserv (7b4fe05202aa6bf9f4dfd0e6a0d8a085) C:\WINDOWS\system32\wuauserv.dll 17:58:47.0359 3780 wuauserv - ok 17:58:47.0421 3780 WZCSVC (c4f109c005f6725162d2d12ca751e4a7) C:\WINDOWS\System32\wzcsvc.dll 17:58:47.0562 3780 WZCSVC - ok 17:58:47.0640 3780 xmlprov (0ada34871a2e1cd2caafed1237a47750) C:\WINDOWS\System32\xmlprov.dll 17:58:47.0750 3780 xmlprov - ok 17:58:47.0781 3780 MBR (0x1B8) (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0 17:58:47.0968 3780 \Device\Harddisk0\DR0 - ok 17:58:47.0984 3780 MBR (0x1B8) (671b81004fdd1588fa9ed1331c9ceca9) \Device\Harddisk1\DR3 17:58:58.0984 3780 \Device\Harddisk1\DR3 - ok 17:58:58.0984 3780 MBR (0x1B8) (5f0c182b562b3e23431a346295e19b32) \Device\Harddisk2\DR4 17:58:59.0484 3780 \Device\Harddisk2\DR4 - ok 17:58:59.0500 3780 Boot (0x1200) (83c2ad04c403d21c5fb18c3a9a6534b9) \Device\Harddisk0\DR0\Partition0 17:58:59.0500 3780 \Device\Harddisk0\DR0\Partition0 - ok 17:58:59.0515 3780 Boot (0x1200) (63107a0dfc5a95a0a18d33084b699e2c) \Device\Harddisk0\DR0\Partition1 17:58:59.0515 3780 \Device\Harddisk0\DR0\Partition1 - ok 17:58:59.0515 3780 Boot (0x1200) (575159508634dc095068102423bb2eae) \Device\Harddisk1\DR3\Partition0 17:58:59.0515 3780 \Device\Harddisk1\DR3\Partition0 - ok 17:58:59.0515 3780 ============================================================ 17:58:59.0515 3780 Scan finished 17:58:59.0515 3780 ============================================================ 17:58:59.0625 3772 Detected object count: 4 17:58:59.0625 3772 Actual detected object count: 4 17:59:22.0234 3772 Adobe LM Service ( UnsignedFile.Multi.Generic ) - skipped by user 17:59:22.0234 3772 Adobe LM Service ( UnsignedFile.Multi.Generic ) - User select action: Skip 17:59:22.0234 3772 Asapi ( UnsignedFile.Multi.Generic ) - skipped by user 17:59:22.0234 3772 Asapi ( UnsignedFile.Multi.Generic ) - User select action: Skip 17:59:22.0234 3772 PDDSLADP ( UnsignedFile.Multi.Generic ) - skipped by user 17:59:22.0234 3772 PDDSLADP ( UnsignedFile.Multi.Generic ) - User select action: Skip 17:59:22.0234 3772 PDDSLHND ( UnsignedFile.Multi.Generic ) - skipped by user 17:59:22.0234 3772 PDDSLHND ( UnsignedFile.Multi.Generic ) - User select action: Skip 17:59:24.0828 2300 Deinitialize success sandero |
09.04.2012, 17:38 | #18 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Eine Art Bundespolizei-Trojaner? Ok, dann mach dich jetzt mal an CF ran, Anleitung hab ich ja schon unter #12 gepostet
__________________
__________________ |
09.04.2012, 18:27 | #19 |
| Eine Art Bundespolizei-Trojaner? Ich muss 'aus aktuellem Anlass' noch eine wichtige Frage einfügen, vielleicht kannst du mir da ja auch weiterhelfen: Ich arbeite im Bereich Webdesign und habe WS-FTP mit Zugangsdaten zu Kunden- Accounts auf dem Rechner. Allerdings habe ich keines der Passwörter auf dem Rechner gespeichert, die habe ich alle 'auf Papier': Nun ist von zwei Kunden am gleichen Tag der FTP-Account gehackt worden: Da klingeln natürlich die Alarmglocken. Habe aber, wie gesagt, kein Passwort auf dem Rechner, und bei allen weiteren 13 Accounts ist auch nichts passiert. Außerdem läuft mein Rechner aktuell absolut stabil, und die Ursache dieses Posts war ja auch 'nur' der Bundespolizei- Trojaner. Meine Frage(n) also: 1.Kann ein Rechner auch eine Sicherheitslücke darstellen, wenn FTP-Kennwörter gar nicht abgespeichert wurden? Falls ja: 2. Lassen die bisherigen Funde auf meinem Rechner irgend so etwas vermuten? So, jetzt begebe ich mich aber trotzdem erstmal an CF! Gruß, sandero |
09.04.2012, 18:36 | #20 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Eine Art Bundespolizei-Trojaner?Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
09.04.2012, 18:50 | #21 |
| Eine Art Bundespolizei-Trojaner? Beide Accounts wurden am 22.3. geknackt. Habe aber definitiv an beiden betroffenen Accounts im letzten halben Jahr nicht gearbeitet, also noch nicht einmal eines der Kennwörter eingetippt. Paranoiderweise habe ich sogar schon meine gespeicherten Mails durchsucht: Eines der beiden Kennwörter findet sich in einer seehr alten Mail. Aber so etwas könnte wirklich nur der König der Trojaner rausfinden, oder? Und so infiziert ist mein Rechner dann bestimmt nicht- sonst wäre ja schon vorm 22.3. etwas Ähnliches passiert. Gruß, sandero P.S. Beide Kunden sind beim gleichen Anbieter (:Hosteurope) Geändert von sandero (09.04.2012 um 18:52 Uhr) Grund: Ein vielleicht wichtiges (?) P.S. angefügt |
09.04.2012, 19:09 | #22 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Eine Art Bundespolizei-Trojaner? Dann ist das einfach nur ein dummer Zufall oder über eine Lücke die wir noch nicht kennen
__________________ Logfiles bitte immer in CODE-Tags posten |
09.04.2012, 19:25 | #23 |
| Eine Art Bundespolizei-Trojaner? Puh, das ist schon mal eine beruhigende Auskunft! Es folgt die CF- Logdatei: Combofix Logfile: Code:
ATTFilter ComboFix 12-04-09.05 - *** 09.04.2012 20:10:12.3.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1791.1227 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7} . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\windows\system32\dllcache\dlimport.exe . . ((((((((((((((((((((((( Dateien erstellt von 2012-03-09 bis 2012-04-09 )))))))))))))))))))))))))))))) . . 2012-03-30 13:58 . 2012-03-30 14:56 418464 ----a-w- c:\windows\system32\FlashPlayerApp.exe . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-03-30 14:56 . 2011-06-17 08:41 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2012-02-03 09:57 . 2006-02-28 12:00 1860224 ----a-w- c:\windows\system32\win32k.sys 2012-01-11 19:06 . 2012-02-15 00:33 3072 ------w- c:\windows\system32\iacenc.dll 2011-04-14 16:40 . 2011-10-04 13:17 142296 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-06-01 94208] "H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000] "pdfSaver3"="c:\programme\S.A.D\PDF-XChange 3 Pro\pdfSaver\pdfSaver3.exe" [2004-06-09 385024] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-02 13529088] "nwiz"="nwiz.exe" [2008-05-02 1630208] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-02 86016] "RTHDCPL"="RTHDCPL.EXE" [2008-10-28 17331200] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-06-09 254696] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\ Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2010-12-31 110592] OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008] . c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ Adobe Gamma Loader.exe.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2010-12-31 110592] Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] Secunia PSI Tray.lnk - c:\programme\Secunia\PSI\psi_tray.exe [2011-4-19 291896] WinZip Quick Pick.lnk - c:\programme\WinZip\WZQKPICK.EXE [2010-12-31 106560] . [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "DisableNotifications"= 1 (0x1) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Macromedia\\FreeHand MX\\FreeHand MX.exe"= "c:\\Programme\\Winamp\\winamp.exe"= "c:\\Programme\\Opera\\opera.exe"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\Program Files\\WS_FTP\\WS_FTP95.exe"= "c:\\xampp\\mysql\\bin\\mysqld.exe"= "c:\\xampp\\apache\\bin\\apache.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service . R0 PDDSLHND;PDDSLHND;c:\windows\system32\drivers\PDDSLHND.SYS [29.12.2010 00:32 15187] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [29.12.2010 01:34 136360] R2 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [31.12.2010 13:16 8768] R2 Secunia PSI Agent;Secunia PSI Agent;c:\programme\Secunia\PSI\PSIA.exe --start-service --> c:\programme\Secunia\PSI\PSIA.exe --start-service [?] R2 Secunia Update Agent;Secunia Update Agent;c:\programme\Secunia\PSI\sua.exe --start-service --> c:\programme\Secunia\PSI\sua.exe --start-service [?] R3 PDDSLADP;ProDyne DSL Adapter;c:\windows\system32\drivers\PDDSLADP.SYS [29.12.2010 00:32 15571] R3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [01.09.2010 10:30 15544] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [27.04.2011 18:14 136176] S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [30.03.2012 15:58 253600] S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [27.04.2011 18:14 136176] S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504] . --- Andere Dienste/Treiber im Speicher --- . *NewlyCreated* - 31520515 *Deregistered* - 31520515 . Inhalt des "geplante Tasks" Ordners . 2012-04-09 c:\windows\Tasks\Adobe Flash Player Updater.job - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-30 14:56] . 2012-04-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2011-04-27 16:14] . 2012-04-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2011-04-27 16:14] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.alice-dsl.de/ IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\fbwy9sr7.default\ FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: privacy.clearOnShutdown.cookies - false FF - user.js: security.warn_viewing_mixed - false FF - user.js: security.warn_viewing_mixed.show_once - false FF - user.js: security.warn_submit_insecure - false FF - user.js: security.warn_submit_insecure.show_once - false . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2012-04-09 20:15 Windows 5.1.2600 Service Pack 3 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'winlogon.exe'(672) c:\windows\system32\SAMLIB.dll . Zeit der Fertigstellung: 2012-04-09 20:17:38 ComboFix-quarantined-files.txt 2012-04-09 18:17 ComboFix2.txt 2011-08-29 23:33 . Vor Suchlauf: 10 Verzeichnis(se), 131.836.592.128 Bytes frei Nach Suchlauf: 11 Verzeichnis(se), 131.921.186.816 Bytes frei . - - End Of File - - 8902E970D1956C9F2E2C5EBBCED02E88 Gruß, sandero |
09.04.2012, 19:35 | #24 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Eine Art Bundespolizei-Trojaner? Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.
__________________ Logfiles bitte immer in CODE-Tags posten |
09.04.2012, 22:17 | #25 |
| Eine Art Bundespolizei-Trojaner? Hier zunächst die GMER- Logdatei, OSAM folgt entweder gleich o. morgen: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2012-04-09 23:11:06 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Scsi\nvgts1Port2Path0Target0Lun0 Hitachi_ rev.GM2O Running: uy58jyzx.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\ugtdipoc.sys ---- System - GMER 1.0.15 ---- SSDT AE72CA6C ZwClose SSDT AE72CA26 ZwCreateKey SSDT AE72CA76 ZwCreateSection SSDT AE72CA1C ZwCreateThread SSDT AE72CA2B ZwDeleteKey SSDT AE72CA35 ZwDeleteValueKey SSDT AE72CA67 ZwDuplicateObject SSDT AE72CA3A ZwLoadKey SSDT AE72CA08 ZwOpenProcess SSDT AE72CA0D ZwOpenThread SSDT AE72CA44 ZwReplaceKey SSDT AE72CA3F ZwRestoreKey SSDT AE72CA7B ZwSetContextThread SSDT AE72CA30 ZwSetValueKey SSDT AE72CA17 ZwTerminateProcess Code \??\C:\DOKUME~1\***\LOKALE~1\Temp\catchme.sys pIofCallDriver ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB95B8360, 0x372FAD, 0xE8000020] ? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Das System kann die angegebene Datei nicht finden. ! ? C:\DOKUME~1\***\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. ! ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRequest] [BA4BD54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [BA4BD20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [BA4BD256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [BA4BD52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [BA4BD4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [BA4BD4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRequest] [BA4BD54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [BA4BD256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [BA4BD20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [BA4BD52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRequest] [BA4BD54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [BA4BD52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [BA4BD4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [BA4BD256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [BA4BD20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [BA4BD4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [BA4BD52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [BA4BD20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRequest] [BA4BD54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [BA4BD256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [BA4BD20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRequest] [BA4BD54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [BA4BD256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [BA4BD4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [BA4BD52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [BA4BD4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [BA4BD256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [BA4BD20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRequest] [BA4BD54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [BA4BD4FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [BA4BD52C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRequest] [BA4BD54E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [BA4BD20E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [BA4BD256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne) ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 488396248 ---- EOF - GMER 1.0.15 ---- Gruß, sandero So, hier kommen OSAM und aswMBR. Beim letzteren habe ich schusseligerweise 30 Sek. zu früh die Logdatei gespeichert, abschließend sicherheitshalber dann nochmal: Deswegen taucht der Eintrag mehrfach auf. a) OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 23:41:31 on 09.04.2012 OS: Windows XP Home Edition Service Pack 3 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "Adobe Flash Player Updater.job" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl "nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl "nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl "Startup.cpl" - ? - C:\WINDOWS\system32\Startup.cpl (File found, but it contains no detailed information) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Adobe Gamma" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma.cpl "Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "Asapi" (Asapi) - "VOB Computersysteme GmbH" - C:\WINDOWS\system32\drivers\Asapi.sys "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\DOKUME~1\***\LOKALE~1\Temp\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "mbr" (mbr) - ? - C:\ComboFix\mbr.sys (Hidden registry entry, rootkit activity | File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDDSLHND" (PDDSLHND) - "ProDyne" - C:\WINDOWS\system32\drivers\PDDSLHND.sys "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "ProDyne DSL Adapter" (PDDSLADP) - "ProDyne" - C:\WINDOWS\System32\DRIVERS\PDDSLADP.SYS "PSI" (PSI) - "Secunia" - C:\WINDOWS\System32\DRIVERS\psi_mf.sys "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "ugtdipoc" (ugtdipoc) - ? - C:\DOKUME~1\***\LOKALE~1\Temp\ugtdipoc.sys (Hidden registry entry, rootkit activity | File not found) "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {9875BFAF-B04D-445E-8A69-BE36838CDE3E} "ChromeProtocol Class" - "Google Inc." - C:\Programme\Google\Chrome Frame\Application\18.0.1025.151\npchrome_frame.dll {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL {CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - (File not found | COM-object registry key not found) {1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found) {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll {49BF5420-FA7F-11cf-8011-00A0C90A8F78} "Mobiles Gerät" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\Wcesview.dll {B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL {E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL {E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL {E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "EPSON Web-To-Page" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_29" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_29.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} "Java Plug-in 1.6.0_29" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_29.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_29" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_29.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? - (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\INetRepl.dll {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "Create Mobile Favorite" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~3\INetRepl.dll -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- <binary data> "EPSON Web-To-Page" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {ECB3C477-1A0A-44BD-BB57-78F9EFE34FA7} "ChromeFrame BHO" - "Google Inc." - C:\Programme\Google\Chrome Frame\Application\18.0.1025.151\npchrome_frame.dll {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} "EpsonToolBandKicker Class" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "Adobe Gamma Loader.exe.lnk" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Shortcut exists | File exists) "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini "Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE (Shortcut exists | File exists) "Secunia PSI Tray.lnk" - "Secunia" - C:\Programme\Secunia\PSI\psi_tray.exe (Shortcut exists | File exists) "WinZip Quick Pick.lnk" - "WinZip Computing, Inc." - C:\Programme\WinZip\WZQKPICK.EXE (Shortcut exists | File exists) -----( %UserProfile%\Startmenü\Programme\Autostart )----- "Adobe Gamma.lnk" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Shortcut exists | File exists) "desktop.ini" - ? - C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\desktop.ini "OpenOffice.org 3.2.lnk" - ? - C:\Programme\OpenOffice.org 3\program\quickstart.exe (Shortcut exists | File found, but it contains no detailed information | File exists) -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" - "Nero AG" - "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" "H/PC Connection Agent" - "Microsoft Corporation" - "C:\Programme\Microsoft ActiveSync\Wcescomm.exe" "pdfSaver3" - "Tracker Software Products Ltd." - "C:\Programme\S.A.D\PDF-XChange 3 Pro\pdfSaver\pdfSaver3.exe" -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "NeroFilterCheck" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe "nwiz" - "NVIDIA Corporation" - nwiz.exe /install "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "PDF-XChange" - "Tracker Software" - C:\WINDOWS\system32\pxc25pm.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Adobe Flash Player Update Service" (AdobeFlashPlayerUpdateSvc) - "Adobe Systems Incorporated" - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe "Adobe LM Service" (Adobe LM Service) - "Adobe Systems" - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe "Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll (File not found) "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "Google Update-Dienst (gupdatem)" (gupdatem) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe "Secunia PSI Agent" (Secunia PSI Agent) - "Secunia" - C:\Programme\Secunia\PSI\PSIA.exe "Secunia Update Agent" (Secunia Update Agent) - "Secunia" - C:\Programme\Secunia\PSI\sua.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe "Windows Presentation Foundation Font Cache 4.0.0.0" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )----- {c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found) ===[ Logfile end ]=========================================[ Logfile end ]=== b) aswMBR Code:
ATTFilter aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software Run date: 2012-04-10 19:26:43 ----------------------------- 19:26:43.687 OS Version: Windows 5.1.2600 Service Pack 3 19:26:43.687 Number of processors: 2 586 0x4B02 19:26:43.687 ComputerName: *** UserName: 19:26:44.203 Initialize success 19:37:55.000 AVAST engine defs: 12041002 19:43:43.656 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Scsi\nvgts1Port2Path0Target0Lun0 19:43:43.656 Disk 0 Vendor: Hitachi_ GM2O Size: 238475MB BusType: 1 19:43:43.687 Disk 0 MBR read successfully 19:43:43.687 Disk 0 MBR scan 19:43:43.718 Disk 0 Windows XP default MBR code 19:43:43.718 Disk 0 Partition 1 00 07 HPFS/NTFS NTFS 89996 MB offset 63 19:43:43.734 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 148477 MB offset 184313856 19:43:43.750 Disk 0 scanning sectors +488396245 19:43:43.765 Disk 0 malicious Win32:MBRoot code @ sector 488396248 ! 19:43:43.812 Disk 0 scanning C:\WINDOWS\system32\drivers 19:43:52.828 Service scanning 19:44:05.437 Modules scanning 19:44:10.484 Disk 0 trace - called modules: 19:44:11.000 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll SCSIPORT.SYS nvgts.sys 19:44:11.000 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89bbc030] 19:44:11.000 3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\0000005f[0x89bff920] 19:44:11.000 5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Scsi\nvgts1Port2Path0Target0Lun0[0x89bffa38] 19:44:11.468 AVAST engine scan C:\WINDOWS 19:44:29.312 AVAST engine scan C:\WINDOWS\system32 19:46:44.218 AVAST engine scan C:\WINDOWS\system32\drivers 19:46:57.859 AVAST engine scan C:\Dokumente und Einstellungen\*** 19:49:56.609 AVAST engine scan C:\Dokumente und Einstellungen\All Users 19:51:12.484 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\MBR.dat" 19:51:12.484 The log file has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\aswMBR.txt" 19:51:40.500 Scan finished successfully 19:55:25.203 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\MBR.dat" 19:55:25.203 The log file has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\aswMBR.txt" 19:56:03.515 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\MBR.dat" 19:56:03.515 The log file has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\aswMBR.txt" sandero |
12.04.2012, 15:23 | #26 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Eine Art Bundespolizei-Trojaner? Sry hab deinen Strang übersehen Zitat:
Live-System PartedMagic / GParted 1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein 2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows 3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist 4. Du müsstest ein Symbol PartitionEditor auf dem Desktop finden, das doppelklicken 5. Wenn das Tool die Partitionen aufgelistet hat, bitte einen Screenshot mit Hilfe der Taste DRUCK auf der Tastatur erstellen, diesen Screenshot hier posten (idR hast du einen Internetzugang mit PartedMagic, wenn nicht einfach den Screenshot auf einem Stick abspeichern und unter Windows hier posten)
__________________ Logfiles bitte immer in CODE-Tags posten |
13.04.2012, 16:54 | #27 |
| Eine Art Bundespolizei-Trojaner? Hallo, mit der Druck-Taste haute es bei mir nicht hin, es gab aber im Menü eine Funktion 'Take A Screenshot' Gruß, sandero |
15.04.2012, 14:51 | #28 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Eine Art Bundespolizei-Trojaner? Also der MBR ist ok, der schädliche Code der noch gefunden wird ist nicht mehr aktiv, willst du den trotzdem überschreiben?
__________________ Logfiles bitte immer in CODE-Tags posten |
15.04.2012, 18:01 | #29 |
| Eine Art Bundespolizei-Trojaner? Na ja- wenn der Aufwand überschaubar ist und es mehr nutz als schadet: Warum nicht? Da verlasse ich mich auf dein bzw. euer Urteil. Gruß, sandero |
15.04.2012, 19:00 | #30 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Eine Art Bundespolizei-Trojaner? Ok. Starte bitte noch mal GParted von PartedMagic Klick mal bitte die untere Partition (/dev/sda2) mit Rechts an => Information Davon bitte wieder einen Screenshot erstellen
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Eine Art Bundespolizei-Trojaner? |
bundespolizei trojaner, bundespolizei-trojaner, datei, durchlauf, funde, gemeldet, minute, minuten, neustart, sporadisch, update, verlangt |