|
Log-Analyse und Auswertung: Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglichWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
27.05.2012, 11:48 | #1 |
| Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich Bitte um Hilfe. Hier die übersicht über den OTL scan: OTL logfile created on: 5/26/2012 7:43:57 PM - Run OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,022.00 Mb Total Physical Memory | 830.00 Mb Available Physical Memory | 81.00% Memory free 906.00 Mb Paging File | 846.00 Mb Available in Paging File | 93.00% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 33.64 Gb Total Space | 23.55 Gb Free Space | 70.00% Space Free | Partition Type: NTFS Drive D: | 33.64 Gb Total Space | 33.44 Gb Free Space | 99.42% Space Free | Partition Type: NTFS Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS Computer Name: REATOGO | User Name: SYSTEM Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 7 Days Using ControlSet: ControlSet002 ========== Win32 Services (SafeList) ========== SRV - File not found [On_Demand] -- -- (AppMgmt) SRV - [2012/04/27 12:46:36 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012/02/29 02:50:48 | 000,158,856 | R--- | M] (Skype Technologies) [Auto] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate) SRV - [2005/05/28 03:35:56 | 000,036,864 | R--- | M] () [Auto] -- C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe -- (SNM WLAN Service) SRV - [2002/09/20 10:50:10 | 000,045,056 | ---- | M] (Analog Devices, Inc.) [Auto] -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- (SoundMAX Agent Service (default)) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand] -- -- (WDICA) DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP) DRV - File not found [Kernel | System] -- -- (PCIDump) DRV - File not found [Kernel | System] -- -- (lbrtfdc) DRV - File not found [Kernel | System] -- -- (i2omgmt) DRV - File not found [Kernel | System] -- -- (Changer) DRV - [2010/12/08 15:56:36 | 000,004,300 | ---- | M] () [Kernel | Auto] -- C:\WINDOWS\system32\MEMIO.SYS -- (DOSMEMIO) DRV - [2005/06/28 01:01:58 | 001,241,088 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2005/06/08 11:58:10 | 000,017,792 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\WOWFilter.sys -- (wowfilter) DRV - [2005/04/30 11:01:56 | 003,281,408 | ---- | M] (Intel® Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\w29n51.sys -- (w29n51) Intel(R) DRV - [2005/04/18 17:21:08 | 000,027,136 | ---- | M] (REDC) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\risdptsk.sys -- (risdptsk) DRV - [2004/12/06 10:51:10 | 000,051,328 | ---- | M] (REDC) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\rimsptsk.sys -- (rimsptsk) DRV - [2004/12/05 16:57:14 | 000,307,456 | ---- | M] (REDC) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\rixdptsk.sys -- (rismxdp) DRV - [2004/05/26 09:18:18 | 000,044,928 | R--- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys -- (bcm4sbxp) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\TMH_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/04/27 12:46:36 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011/04/15 15:43:07 | 000,000,000 | ---D | M] [2010/12/08 16:32:40 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\mozilla\Extensions [2011/04/15 15:27:00 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\mozilla\Firefox\Profiles\hw42as3f.default\extensions [2012/05/23 17:01:11 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\mozilla\Firefox\Profiles\hw42as3f.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} [2012/05/23 17:01:11 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\mozilla\Firefox\Profiles\hw42as3f.default\extensions\dplauncher@digitalpublishing.de [2012/01/12 13:09:49 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012/04/30 12:32:43 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} [2012/04/27 12:46:35 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2011/10/02 23:06:04 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2012/01/12 13:09:28 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012/01/12 13:09:28 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012/01/12 13:09:28 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012/01/12 13:09:28 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012/01/12 13:09:28 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012/01/12 13:09:28 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2004/08/04 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe (Analog Devices, Inc.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.) O4 - HKU\TMH_ON_C..\Run: [80906D2D] C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn\04F6CA0480906D2DC90C.exe (Корпорация Майкрософт) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 O7 - HKU\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\30AF2DA780906D2D623F.exe) - C:\WINDOWS\system32\30AF2DA780906D2D623F.exe (Корпорация Майкрософт) O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: O24 - Desktop BackupWallPaper: O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found O32 - HKLM CDRom: AutoRun - 0 O32 - AutoRun File - [2010/12/08 15:40:10 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 7 Days ========== [2012/05/23 16:54:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn [2012/05/23 16:54:00 | 000,052,224 | -H-- | C] (Корпорация Майкрософт) -- C:\WINDOWS\System32\30AF2DA780906D2D623F.exe [2012/05/23 16:53:39 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 7 Days ========== [2012/05/26 12:26:19 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012/05/25 16:39:01 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012/05/23 16:54:00 | 000,052,224 | -H-- | M] (Корпорация Майкрософт) -- C:\WINDOWS\System32\30AF2DA780906D2D623F.exe [2012/05/23 07:54:39 | 000,000,043 | ---- | M] () -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\XtQETUOjDxJnpfN [2012/05/22 15:10:57 | 000,001,584 | ---- | M] () -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk [2012/05/21 17:10:11 | 000,036,471 | ---- | M] () -- C:\Dokumente und Einstellungen\TMH\Desktop\dOADGvLXfNyesQoaUOAl [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2012/05/23 16:55:12 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325 [2012/05/23 16:55:12 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324 [2012/05/23 16:55:12 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323 [2012/05/23 16:55:12 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322 [2012/05/23 16:55:12 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321 [2012/05/23 16:55:12 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320 [2012/05/22 15:10:57 | 000,001,584 | ---- | C] () -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk [2012/05/08 01:33:00 | 000,122,136 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012/02/16 02:11:16 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2011/01/29 16:29:45 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat [2011/01/01 13:24:54 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2010/12/12 09:42:08 | 000,045,056 | ---- | C] () -- C:\Dokumente und Einstellungen\TMH\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010/12/08 16:32:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2010/12/08 15:56:39 | 000,004,300 | ---- | C] () -- C:\WINDOWS\System32\MEMIO.SYS [2010/12/08 15:53:06 | 000,095,617 | R--- | C] () -- C:\WINDOWS\System32\atiicdxx.dat [2010/12/08 15:42:30 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2010/12/08 15:37:10 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2010/12/08 15:16:50 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2005/06/08 11:58:10 | 000,017,792 | ---- | C] () -- C:\WINDOWS\System32\drivers\WOWFilter.sys [2005/06/08 11:58:08 | 000,035,840 | ---- | C] () -- C:\WINDOWS\System32\drivers\WOWXT_kern_i386.sys [2005/06/08 11:58:08 | 000,029,184 | ---- | C] () -- C:\WINDOWS\System32\drivers\TSXT_kern_i386.sys [2004/08/04 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2004/08/04 08:00:00 | 000,449,418 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2004/08/04 08:00:00 | 000,433,138 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2004/08/04 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2004/08/04 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2004/08/04 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2004/08/04 08:00:00 | 000,080,936 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2004/08/04 08:00:00 | 000,068,094 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2004/08/04 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2004/08/04 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2004/08/04 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2004/08/04 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2004/08/04 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin [2004/08/04 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [2001/08/31 01:32:24 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2001/08/31 01:30:56 | 000,004,486 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat ========== LOP Check ========== [2012/05/23 16:54:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn [2012/05/07 03:07:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Canon [2011/02/15 13:55:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\digital publishing [2012/05/23 17:01:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\DVDVideoSoftIEHelpers [2012/05/07 06:08:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\elsterformular [2011/02/08 15:17:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\OpenOffice.org [2010/12/30 19:19:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Serif [2010/12/21 19:02:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\XMedia Recode [2012/05/23 17:01:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular ========== Purity Check ========== < End of report > |
29.05.2012, 10:46 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)
__________________Code:
ATTFilter :OTL O4 - HKU\TMH_ON_C..\Run: [80906D2D] C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn\04F6CA0480906D2DC90C.exe O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 O7 - HKU\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\30AF2DA780906D2D623F.exe) - C:\WINDOWS\system32\30AF2DA780906D2D623F.exe O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found O32 - HKLM CDRom: AutoRun - 0 O32 - AutoRun File - [2010/12/08 15:40:10 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] :Files C:\WINDOWS\system32\30AF2DA780906D2D623F.exe C:\WINDOWS\System32\winsh32? :Commands [purity] [resethosts] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen! 2.) Ordner movedfiles in C:\_OTL in eine Datei zippen 3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten
__________________ |
29.05.2012, 19:36 | #3 |
| Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich Hallo,
__________________Windows lässt sich wieder hochfahren! hier nun der Wortlaut des Logfiles: ========== OTL ========== Registry value HKEY_USERS\TMH_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\80906D2D deleted successfully. C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn\04F6CA0480906D2DC90C.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully. Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_USERS\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_USERS\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_USERS\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_USERS\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully. Registry value HKEY_USERS\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully. Registry value HKEY_USERS\TMH_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\30AF2DA780906D2D623F.exe deleted successfully. C:\WINDOWS\system32\30AF2DA780906D2D623F.exe moved successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! C:\AUTOEXEC.BAT moved successfully. ========== FILES ========== File\Folder C:\WINDOWS\system32\30AF2DA780906D2D623F.exe not found. C:\WINDOWS\System32\winsh320 moved successfully. C:\WINDOWS\System32\winsh321 moved successfully. C:\WINDOWS\System32\winsh322 moved successfully. C:\WINDOWS\System32\winsh323 moved successfully. C:\WINDOWS\System32\winsh324 moved successfully. C:\WINDOWS\System32\winsh325 moved successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTLPE by OldTimer - Version 3.1.48.0 log created on 05292012_220512 und den gezippte movedfiles ordner lade ich gleich im Anschluss wie verlangt hoch. Zusatzinfo: Windows-System-Dateien werden wieder normal angezeigt, alle weiteren Dateien sind immernoch verschlüsselt. Ich möchte aber nur einen überschaubaren Teil davon wiederherstellen, bevor ich dann das ganze System platt mache. Ich hoffe Ihr könnt mir dabei weiterhelfen? Vielen Dank schonmal |
30.05.2012, 09:43 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglichZitat:
Bitte jetzt routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden. Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
__________________ Logfiles bitte immer in CODE-Tags posten |
31.05.2012, 12:46 | #5 |
| Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich Hallo Arne, der malware-scan hat nix gefunden. Hier das Logfile: Code:
ATTFilter Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.05.30.02 Windows XP Service Pack 3 x86 NTFS Internet Explorer 6.0.2900.5512 TMH :: P1 [Administrator] 30.05.2012 12:40:52 mbam-log-2012-05-30 (12-40-52).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 221018 Laufzeit: 2 Stunde(n), 8 Minute(n), 57 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Hier das zugehörige Logfile: Code:
ATTFilter ESETSmartInstaller@High as downloader log: all ok esets_scanner_update returned -1 esets_gle=0 # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=12217dd971a0df4c859414b18ca51c4e # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-05-31 07:52:19 # local_time=2012-05-31 09:52:19 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=8192 67108863 100 0 3007 3007 0 0 # scanned=0 # found=0 # cleaned=0 # scan_time=0 ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=12217dd971a0df4c859414b18ca51c4e # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-05-31 10:56:11 # local_time=2012-05-31 12:56:11 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=8192 67108863 100 0 7071 7071 0 0 # scanned=46690 # found=4 # cleaned=0 # scan_time=6971 C:\Dokumente und Einstellungen\TMH\Lokale Einstellungen\Temp\Buchung.zip Win32/Trustezeb.B trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\TMH\Lokale Einstellungen\Temp\mrynwsfipz.pre Win32/Trustezeb.B trojan (unable to clean) 00000000000000000000000000000000 I C:\_OTL\MovedFiles\05292012_220512\C_Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn\04F6CA0480906D2DC90C.exe Win32/Trustezeb.B trojan (unable to clean) 00000000000000000000000000000000 I C:\_OTL\MovedFiles\05292012_220512\C_WINDOWS\system32\30AF2DA780906D2D623F.exe Win32/Trustezeb.B trojan (unable to clean) 00000000000000000000000000000000 I Mit der Entschlüsselung meiner alten Daten werde ich erst anfangen sobald ich wieder trojanerfrei bin. Viele Grüße |
31.05.2012, 13:30 | #6 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglichZitat:
__________________ --> Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich |
31.05.2012, 17:18 | #7 |
| Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich Die Dateien habe ich wie gewünscht hochgeladen. Was ist noch zu tun? Könnt ihr aus diesen Daten erkennen, um welche Art von Verschlüsselung es sich in meinem Fall handelt und welches Tool am besten für die Entschlüsselung geeignet ist? |
31.05.2012, 18:48 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich Glaubst du wir sind Magier? Man kommt nicht an die Entschlüsselungsmethode nur weil man die Datei hat, da steckt richtig harte Analysearbeit hinter! Also mal etwas Geduld bitte! Hätte da mal zwei Fragen bevor es weiter geht 1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? (abgesehen von den verschlüsselten Dateien) 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?
__________________ Logfiles bitte immer in CODE-Tags posten |
01.06.2012, 10:57 | #9 |
| Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich Ja, ich glaube gaanz fest an eure magische Tastatur!!! Windows lässt sich problemlos öffnen und im Startmenü sind auch keinerlei leere Ordner zu finden. |
01.06.2012, 14:10 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start wininit.exe userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT
__________________ Logfiles bitte immer in CODE-Tags posten |
01.06.2012, 22:04 | #11 |
| Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich Hier nun das OTL-Logfile nach dem Qickscan: OTL Logfile: Code:
ATTFilter OTL logfile created on: 01.06.2012 22:41:06 - Run 1 OTL by OldTimer - Version 3.2.45.0 Folder = C:\Dokumente und Einstellungen\TMH\Eigene Dateien\Downloads Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1022,17 Mb Total Physical Memory | 719,72 Mb Available Physical Memory | 70,41% Memory free 2,41 Gb Paging File | 2,23 Gb Available in Paging File | 92,57% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 33,64 Gb Total Space | 23,27 Gb Free Space | 69,18% Space Free | Partition Type: NTFS Drive D: | 33,64 Gb Total Space | 33,44 Gb Free Space | 99,42% Space Free | Partition Type: NTFS Drive F: | 961,25 Mb Total Space | 376,25 Mb Free Space | 39,14% Space Free | Partition Type: FAT Computer Name: P1 | User Name: TMH | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.06.01 22:35:15 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\TMH\Eigene Dateien\Downloads\OTL.exe PRC - [2011.06.09 13:06:06 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2005.05.28 09:35:56 | 000,036,864 | R--- | M] () -- C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe PRC - [2005.02.02 12:12:22 | 000,102,492 | ---- | M] (Synaptics, Inc.) -- C:\Programme\Synaptics\SynTP\SynTPLpr.exe PRC - [2004.07.27 14:48:04 | 001,388,544 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe PRC - [2002.09.20 16:50:10 | 000,045,056 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe ========== Modules (No Company Name) ========== MOD - [2005.05.28 09:35:56 | 000,036,864 | R--- | M] () -- C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe MOD - [2005.05.27 23:03:06 | 000,364,666 | R--- | M] () -- C:\Programme\samsung\Samsung Network Manager\SNMCoreDll.dll MOD - [2001.10.28 17:42:30 | 000,116,224 | ---- | M] () -- C:\WINDOWS\system32\pdfcmnnt.dll ========== Win32 Services (SafeList) ========== SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt) SRV - [2012.04.27 18:46:36 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012.02.29 08:50:48 | 000,158,856 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate) SRV - [2008.07.29 19:16:38 | 000,132,096 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe -- (NetTcpPortSharing) SRV - [2008.04.14 04:22:55 | 000,114,176 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\netdde.exe -- (NetDDEdsdm) SRV - [2008.04.14 04:22:55 | 000,114,176 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\netdde.exe -- (NetDDE) SRV - [2008.04.14 04:22:38 | 000,033,280 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\clipsrv.exe -- (ClipSrv) SRV - [2008.04.14 04:22:16 | 000,033,792 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\msgsvc.dll -- (Messenger) SRV - [2008.04.14 04:22:15 | 000,053,248 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\mprdim.dll -- (RemoteAccess) SRV - [2008.04.14 04:22:07 | 000,017,408 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\alrsvc.dll -- (Alerter) SRV - [2005.05.28 09:35:56 | 000,036,864 | R--- | M] () [Auto | Running] -- C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe -- (SNM WLAN Service) SRV - [2002.09.20 16:50:10 | 000,045,056 | ---- | M] (Analog Devices, Inc.) [Auto | Running] -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- (SoundMAX Agent Service (default)) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - [2010.12.08 21:56:36 | 000,004,300 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\MEMIO.SYS -- (DOSMEMIO) DRV - [2008.04.14 03:58:18 | 000,154,112 | ---- | M] (Microsoft Corp., Veritas Software) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\dmio.sys -- (dmio) DRV - [2008.04.14 03:58:13 | 000,800,384 | ---- | M] (Microsoft Corp., Veritas Software) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\dmboot.sys -- (dmboot) DRV - [2008.04.13 20:32:36 | 000,066,048 | ---- | M] (Microsoft Corporation) [File_System | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\udfs.sys -- (Udfs) DRV - [2005.06.28 07:01:58 | 001,241,088 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2005.06.08 17:58:10 | 000,017,792 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\WOWFilter.sys -- (wowfilter) DRV - [2005.04.30 17:01:56 | 003,281,408 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\w29n51.sys -- (w29n51) Intel(R) DRV - [2005.04.18 23:21:08 | 000,027,136 | ---- | M] (REDC) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\risdptsk.sys -- (risdptsk) DRV - [2004.12.06 16:51:10 | 000,051,328 | ---- | M] (REDC) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\rimsptsk.sys -- (rimsptsk) DRV - [2004.12.05 22:57:14 | 000,307,456 | ---- | M] (REDC) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\rixdptsk.sys -- (rismxdp) DRV - [2004.08.04 14:00:00 | 000,013,952 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\cbidf2k.sys -- (cbidf2k) DRV - [2004.08.04 14:00:00 | 000,005,888 | ---- | M] (Microsoft Corp., Veritas Software.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\dmload.sys -- (dmload) DRV - [2004.05.26 15:18:18 | 000,044,928 | R--- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys -- (bcm4sbxp) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-329068152-220523388-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.04.27 18:46:36 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.04.15 21:43:07 | 000,000,000 | ---D | M] [2010.12.08 22:32:40 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Mozilla\Extensions [2012.06.01 21:49:42 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Mozilla\Firefox\Profiles\hw42as3f.default\extensions [2012.01.12 19:09:49 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012.04.30 18:32:43 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} [2012.04.27 18:46:35 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2011.10.03 05:06:04 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2012.01.12 19:09:28 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.01.12 19:09:28 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012.01.12 19:09:28 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012.01.12 19:09:28 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012.01.12 19:09:28 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012.01.12 19:09:28 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2012.05.30 04:05:17 | 000,000,098 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\Hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe (Analog Devices, Inc.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.) O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm File not found O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{CF361CAA-0FF1-4711-A503-BBDE29E3263E}: DhcpNameServer = 192.168.1.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (c:\windows\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: O24 - Desktop BackupWallPaper: O32 - HKLM CDRom: AutoRun - 1 O33 - MountPoints2\{7fca5f41-02ff-11e0-8100-806d6172696f}\Shell - "" = AutoRun O33 - MountPoints2\{7fca5f41-02ff-11e0-8100-806d6172696f}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{7fca5f41-02ff-11e0-8100-806d6172696f}\Shell\AutoRun\command - "" = E:\reatogoMenu.exe O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) NetSvcs: 6to4 - File not found NetSvcs: AppMgmt - %SystemRoot%\System32\appmgmts.dll File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found MsConfig - State: "system.ini" - 0 MsConfig - State: "win.ini" - 0 MsConfig - State: "bootini" - 2 MsConfig - State: "services" - 0 MsConfig - State: "startup" - 0 ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789) ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation) Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.) Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.) Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.) Drivers32: vidc.DIVX - C:\WINDOWS\System32\DivX.dll (DivX, Inc.) Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation) Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation) Drivers32: vidc.yv12 - C:\WINDOWS\System32\DivX.dll (DivX, Inc.) CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2012.05.31 09:02:12 | 000,000,000 | ---D | C] -- C:\Programme\ESET [2012.05.30 12:38:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Malwarebytes [2012.05.30 12:38:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2012.05.30 12:38:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2012.05.30 12:38:11 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.05.30 12:38:11 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2012.05.30 04:05:12 | 000,000,000 | ---D | C] -- C:\_OTL [2012.05.23 22:54:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn [2012.05.23 22:53:39 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF [2012.05.07 22:12:42 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\TMH\Recent [2012.05.07 22:06:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\vlc [2012.05.07 12:08:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\elsterformular [2012.05.07 12:07:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ElsterFormular [2012.05.07 12:07:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular [2012.05.07 12:05:34 | 000,000,000 | ---D | C] -- C:\Programme\ElsterFormular [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.06.01 21:38:23 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.05.30 12:38:21 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.05.29 22:15:53 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.05.21 23:10:11 | 000,036,471 | ---- | M] () -- C:\Dokumente und Einstellungen\TMH\Desktop\dOADGvLXfNyesQoaUOAl [2012.05.09 20:36:30 | 000,122,136 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.05.09 20:01:15 | 000,449,418 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2012.05.09 20:01:15 | 000,433,138 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2012.05.09 20:01:15 | 000,080,936 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2012.05.09 20:01:15 | 000,068,094 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2012.05.09 19:50:21 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2012.05.08 15:26:52 | 000,067,157 | ---- | M] () -- C:\Dokumente und Einstellungen\TMH\Desktop\qetuEaUgjDxJnXVN [2012.05.07 21:56:11 | 032,655,308 | ---- | M] () -- C:\Dokumente und Einstellungen\TMH\Desktop\OjDxvLXfNyetuoadgjlG [2012.05.07 12:07:17 | 000,000,854 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsterFormular.lnk [2012.05.07 12:01:54 | 060,109,528 | ---- | M] () -- C:\Dokumente und Einstellungen\TMH\Desktop\DxvLpVNqetuoTdOjlxJL [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.05.30 12:38:21 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.05.09 19:46:07 | 000,001,355 | ---- | C] () -- C:\WINDOWS\imsins.BAK [2012.05.08 07:33:00 | 000,122,136 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.05.07 12:07:17 | 000,000,854 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ElsterFormular.lnk [2012.02.16 08:11:16 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2011.01.29 22:29:45 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat [2011.01.01 19:24:54 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2010.12.12 15:42:08 | 000,045,056 | ---- | C] () -- C:\Dokumente und Einstellungen\TMH\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.12.08 22:32:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2010.12.08 21:56:39 | 000,004,300 | ---- | C] () -- C:\WINDOWS\System32\MEMIO.SYS [2010.12.08 21:53:06 | 000,095,617 | R--- | C] () -- C:\WINDOWS\System32\atiicdxx.dat [2010.12.08 21:42:30 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2010.12.08 21:37:10 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2010.12.08 21:16:50 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI ========== LOP Check ========== [2012.05.23 23:01:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular [2012.05.30 04:05:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn [2012.05.07 09:07:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Canon [2011.02.15 19:55:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\digital publishing [2012.05.23 23:01:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\DVDVideoSoftIEHelpers [2012.05.07 12:08:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\elsterformular [2011.02.08 21:17:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\OpenOffice.org [2010.12.31 01:19:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Serif [2010.12.22 01:02:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\XMedia Recode ========== Purity Check ========== ========== Custom Scans ========== < %ALLUSERSPROFILE%\Application Data\*. > < %ALLUSERSPROFILE%\Application Data\*.exe /s > < %APPDATA%\*. > [2011.07.28 21:52:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Adobe [2010.12.09 00:09:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\AdobeUM [2010.12.19 17:25:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\AVS4YOU [2012.05.30 04:05:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn [2012.05.07 09:07:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Canon [2011.08.14 21:03:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\CyberLink [2011.02.15 19:55:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\digital publishing [2010.12.08 23:57:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\DivX [2011.08.14 20:57:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\dvdcss [2012.05.23 23:01:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\DVDVideoSoftIEHelpers [2012.05.07 12:08:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\elsterformular [2010.12.08 22:11:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Help [2010.12.08 21:48:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Identities [2010.12.08 22:36:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Macromedia [2012.05.30 12:38:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Malwarebytes [2010.12.20 19:43:53 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Microsoft [2010.12.08 22:32:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Mozilla [2011.02.08 21:17:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\OpenOffice.org [2010.12.31 01:19:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Serif [2012.05.23 23:01:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Skype [2012.05.23 23:01:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\skypePM [2011.02.08 20:46:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Sun [2012.05.23 23:01:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\vlc [2010.12.22 01:02:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\XMedia Recode < %APPDATA%\*.exe /s > < %SYSTEMDRIVE%\*.exe > < MD5 for: AGP440.SYS > [2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys [2010.12.08 23:23:24 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys [2010.12.08 23:23:24 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys [2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys [2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys < MD5 for: ATAPI.SYS > [2004.08.04 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys [2010.12.08 23:23:24 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys [2010.12.08 23:23:24 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys [2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys [2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys [2004.08.03 23:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys [2004.08.04 14:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0012\DriverFiles\i386\atapi.sys < MD5 for: EVENTLOG.DLL > [2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll [2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll [2004.08.04 14:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll < MD5 for: NETLOGON.DLL > [2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll [2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll [2004.08.04 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll [2009.02.06 20:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB968389\SP2QFE\netlogon.dll [2009.02.06 20:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB975467\SP2QFE\netlogon.dll < MD5 for: SCECLI.DLL > [2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll [2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll [2004.08.04 14:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll < MD5 for: USER32.DLL > [2004.08.04 14:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll [2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll [2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll < MD5 for: USERINIT.EXE > [2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe [2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe [2004.08.04 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe < MD5 for: WINLOGON.EXE > [2012.04.04 15:56:38 | 000,199,240 | ---- | M] () MD5=097D0E812D7A9A3101CE46CB2BE0474D -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe [2004.08.04 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe [2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe [2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe < MD5 for: WS2IFSL.SYS > [2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys [2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > [2010.12.08 22:14:56 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav [2010.12.08 22:14:56 | 000,638,976 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav [2010.12.08 22:14:56 | 000,434,176 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < > < End of report > [/code] |
02.06.2012, 18:13 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL O32 - HKLM CDRom: AutoRun - 1 O33 - MountPoints2\{7fca5f41-02ff-11e0-8100-806d6172696f}\Shell - "" = AutoRun O33 - MountPoints2\{7fca5f41-02ff-11e0-8100-806d6172696f}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{7fca5f41-02ff-11e0-8100-806d6172696f}\Shell\AutoRun\command - "" = E:\reatogoMenu.exe :Files C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn :Commands [purity] [emptytemp] [emptyflash] [resethosts] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
03.06.2012, 10:36 | #13 |
| Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich Hallo, hier das Logfile vom letzten fix: Code:
ATTFilter All processes killed ========== OTL ========== HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7fca5f41-02ff-11e0-8100-806d6172696f}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7fca5f41-02ff-11e0-8100-806d6172696f}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7fca5f41-02ff-11e0-8100-806d6172696f}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7fca5f41-02ff-11e0-8100-806d6172696f}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7fca5f41-02ff-11e0-8100-806d6172696f}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7fca5f41-02ff-11e0-8100-806d6172696f}\ not found. File E:\reatogoMenu.exe not found. ========== FILES ========== C:\Dokumente und Einstellungen\TMH\Anwendungsdaten\Bcrwn folder moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: TMH ->Temp folder emptied: 109707520 bytes ->Temporary Internet Files folder emptied: 7733894 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 100312675 bytes ->Flash cache emptied: 4159 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2134333 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 65536 bytes RecycleBin emptied: 89562 bytes Total Files Cleaned = 210,00 mb [EMPTYFLASH] User: All Users User: Default User User: LocalService User: NetworkService User: TMH ->Flash cache emptied: 0 bytes Total Flash Files Cleaned = 0,00 mb C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTL by OldTimer - Version 3.2.45.0 log created on 06032012_122245 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
03.06.2012, 13:31 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm! Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C nach, da speichert der TDSS-Killer seine Logs. Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!
__________________ Logfiles bitte immer in CODE-Tags posten |
03.06.2012, 14:00 | #15 |
| Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich TDSS-Killer Scan durchgeführt. Hier das Logfile: Code:
ATTFilter 15:55:15.0796 3996 TDSS rootkit removing tool 2.7.36.0 May 21 2012 16:40:16 15:55:16.0015 3996 ============================================================ 15:55:16.0015 3996 Current date / time: 2012/06/03 15:55:16.0015 15:55:16.0015 3996 SystemInfo: 15:55:16.0015 3996 15:55:16.0015 3996 OS Version: 5.1.2600 ServicePack: 3.0 15:55:16.0015 3996 Product type: Workstation 15:55:16.0015 3996 ComputerName: P1 15:55:16.0015 3996 UserName: TMH 15:55:16.0015 3996 Windows directory: C:\WINDOWS 15:55:16.0015 3996 System windows directory: C:\WINDOWS 15:55:16.0015 3996 Processor architecture: Intel x86 15:55:16.0015 3996 Number of processors: 1 15:55:16.0015 3996 Page size: 0x1000 15:55:16.0015 3996 Boot type: Normal boot 15:55:16.0015 3996 ============================================================ 15:55:18.0625 3996 Drive \Device\Harddisk0\DR0 - Size: 0x10D26F5C00 (67.29 Gb), SectorSize: 0x200, Cylinders: 0x224F, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054 15:55:18.0625 3996 Drive \Device\Harddisk1\DR3 - Size: 0x3C200000 (0.94 Gb), SectorSize: 0x200, Cylinders: 0x7A, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W' 15:55:18.0625 3996 ============================================================ 15:55:18.0625 3996 \Device\Harddisk0\DR0: 15:55:18.0625 3996 MBR partitions: 15:55:18.0625 3996 \Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x4346028 15:55:18.0640 3996 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x43460A6, BlocksNum 0x4346028 15:55:18.0656 3996 \Device\Harddisk1\DR3: 15:55:18.0656 3996 MBR partitions: 15:55:18.0656 3996 \Device\Harddisk1\DR3\Partition0: MBR, Type 0x6, StartLBA 0x20, BlocksNum 0x1E0FE0 15:55:18.0656 3996 ============================================================ 15:55:18.0687 3996 C: <-> \Device\Harddisk0\DR0\Partition0 15:55:18.0750 3996 D: <-> \Device\Harddisk0\DR0\Partition1 15:55:18.0812 3996 ============================================================ 15:55:18.0812 3996 Initialize success 15:55:18.0812 3996 ============================================================ 15:56:24.0109 2444 ============================================================ 15:56:24.0109 2444 Scan started 15:56:24.0109 2444 Mode: Manual; 15:56:24.0109 2444 ============================================================ 15:56:24.0875 2444 Abiosdsk - ok 15:56:24.0875 2444 abp480n5 - ok 15:56:25.0046 2444 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys 15:56:25.0156 2444 ACPI - ok 15:56:25.0187 2444 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys 15:56:25.0187 2444 ACPIEC - ok 15:56:25.0203 2444 adpu160m - ok 15:56:25.0312 2444 aeaudio (cde1f62fe63631b932ace2249fb11da0) C:\WINDOWS\system32\drivers\aeaudio.sys 15:56:25.0312 2444 aeaudio - ok 15:56:25.0421 2444 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys 15:56:25.0500 2444 aec - ok 15:56:25.0625 2444 AFD (1e44bc1e83d8fd2305f8d452db109cf9) C:\WINDOWS\System32\drivers\afd.sys 15:56:25.0718 2444 AFD - ok 15:56:25.0718 2444 Aha154x - ok 15:56:25.0734 2444 aic78u2 - ok 15:56:25.0734 2444 aic78xx - ok 15:56:25.0781 2444 Alerter (738d80cc01d7bc7584be917b7f544394) C:\WINDOWS\system32\alrsvc.dll 15:56:25.0796 2444 Alerter - ok 15:56:25.0843 2444 ALG (190cd73d4984f94d823f9444980513e5) C:\WINDOWS\System32\alg.exe 15:56:25.0875 2444 ALG - ok 15:56:25.0875 2444 AliIde - ok 15:56:25.0875 2444 amsint - ok 15:56:25.0890 2444 AppMgmt - ok 15:56:25.0937 2444 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys 15:56:25.0984 2444 Arp1394 - ok 15:56:25.0984 2444 asc - ok 15:56:25.0984 2444 asc3350p - ok 15:56:26.0000 2444 asc3550 - ok 15:56:26.0125 2444 aspnet_state (0e5e4957549056e2bf2c49f4f6b601ad) C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe 15:56:26.0156 2444 aspnet_state - ok 15:56:26.0187 2444 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys 15:56:26.0187 2444 AsyncMac - ok 15:56:26.0250 2444 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys 15:56:26.0265 2444 atapi - ok 15:56:26.0265 2444 Atdisk - ok 15:56:26.0531 2444 Ati HotKey Poller (06b67e6a0b679d037d2d9e27a64ce90c) C:\WINDOWS\system32\Ati2evxx.exe 15:56:26.0750 2444 Ati HotKey Poller - ok 15:56:27.0531 2444 ati2mtag (d5537cc8cc9a86668e3903bd53caa83c) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys 15:56:27.0546 2444 ati2mtag - ok 15:56:27.0625 2444 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys 15:56:27.0656 2444 Atmarpc - ok 15:56:27.0718 2444 AudioSrv (58ed0d5452df7be732193e7999c6b9a4) C:\WINDOWS\System32\audiosrv.dll 15:56:27.0750 2444 AudioSrv - ok 15:56:27.0796 2444 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys 15:56:27.0796 2444 audstub - ok 15:56:27.0875 2444 bcm4sbxp (78123f44be9e4768852a3a017e02d637) C:\WINDOWS\system32\DRIVERS\bcm4sbxp.sys 15:56:27.0890 2444 bcm4sbxp - ok 15:56:27.0937 2444 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys 15:56:27.0953 2444 Beep - ok 15:56:28.0218 2444 BITS (d6f603772a789bb3228f310d650b8bd1) C:\WINDOWS\system32\qmgr.dll 15:56:28.0500 2444 BITS - ok 15:56:28.0578 2444 Browser (b42057f06bbb98b31876c0b3f2b54e33) C:\WINDOWS\System32\browser.dll 15:56:28.0625 2444 Browser - ok 15:56:28.0656 2444 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys 15:56:28.0671 2444 cbidf2k - ok 15:56:28.0671 2444 cd20xrnt - ok 15:56:28.0703 2444 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys 15:56:28.0718 2444 Cdaudio - ok 15:56:28.0781 2444 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys 15:56:28.0812 2444 Cdfs - ok 15:56:28.0859 2444 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys 15:56:28.0906 2444 Cdrom - ok 15:56:28.0906 2444 Changer - ok 15:56:28.0937 2444 CiSvc (28e3040d1f1ca2008cd6b29dfebc9a5e) C:\WINDOWS\system32\cisvc.exe 15:56:28.0937 2444 CiSvc - ok 15:56:28.0984 2444 ClipSrv (778a30ed3c134eb7e406afc407e9997d) C:\WINDOWS\system32\clipsrv.exe 15:56:29.0000 2444 ClipSrv - ok 15:56:29.0171 2444 clr_optimization_v2.0.50727_32 (d87acaed61e417bba546ced5e7e36d9c) C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe 15:56:29.0218 2444 clr_optimization_v2.0.50727_32 - ok 15:56:29.0250 2444 CmBatt (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys 15:56:29.0250 2444 CmBatt - ok 15:56:29.0265 2444 CmdIde - ok 15:56:29.0296 2444 Compbatt (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys 15:56:29.0312 2444 Compbatt - ok 15:56:29.0312 2444 COMSysApp - ok 15:56:29.0328 2444 Cpqarray - ok 15:56:29.0390 2444 CryptSvc (611f824e5c703a5a899f84c5f1699e4d) C:\WINDOWS\System32\cryptsvc.dll 15:56:29.0421 2444 CryptSvc - ok 15:56:29.0437 2444 dac2w2k - ok 15:56:29.0437 2444 dac960nt - ok 15:56:29.0718 2444 DcomLaunch (3127afbf2c1ed0ab14a1bbb7aaecb85b) C:\WINDOWS\system32\rpcss.dll 15:56:29.0968 2444 DcomLaunch - ok 15:56:30.0062 2444 Dhcp (c29a1c9b75ba38fa37f8c44405dec360) C:\WINDOWS\System32\dhcpcsvc.dll 15:56:30.0125 2444 Dhcp - ok 15:56:30.0156 2444 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys 15:56:30.0187 2444 Disk - ok 15:56:30.0187 2444 dmadmin - ok 15:56:30.0734 2444 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys 15:56:31.0203 2444 dmboot - ok 15:56:31.0312 2444 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys 15:56:31.0406 2444 dmio - ok 15:56:31.0437 2444 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys 15:56:31.0453 2444 dmload - ok 15:56:31.0484 2444 dmserver (25c83ffbba13b554eb6d59a9b2e2ee78) C:\WINDOWS\System32\dmserver.dll 15:56:31.0500 2444 dmserver - ok 15:56:31.0562 2444 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys 15:56:31.0593 2444 DMusic - ok 15:56:31.0671 2444 Dnscache (407f3227ac618fd1ca54b335b083de07) C:\WINDOWS\System32\dnsrslvr.dll 15:56:31.0703 2444 Dnscache - ok 15:56:31.0734 2444 DOSMEMIO (8a4cb9438571814b128b6dc30d698064) C:\WINDOWS\system32\MEMIO.SYS 15:56:31.0734 2444 DOSMEMIO - ok 15:56:31.0843 2444 Dot3svc (676e36c4ff5bcea1900f44182b9723e6) C:\WINDOWS\System32\dot3svc.dll 15:56:31.0921 2444 Dot3svc - ok 15:56:31.0921 2444 dpti2o - ok 15:56:31.0953 2444 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys 15:56:31.0953 2444 drmkaud - ok 15:56:32.0000 2444 EapHost (4e4f2fddab0a0736d7671134dcce91fb) C:\WINDOWS\System32\eapsvc.dll 15:56:32.0015 2444 EapHost - ok 15:56:32.0078 2444 ERSvc (877c18558d70587aa7823a1a308ac96b) C:\WINDOWS\System32\ersvc.dll 15:56:32.0093 2444 ERSvc - ok 15:56:32.0187 2444 Eventlog (a3edbe9053889fb24ab22492472b39dc) C:\WINDOWS\system32\services.exe 15:56:32.0250 2444 Eventlog - ok 15:56:32.0437 2444 EventSystem (af4f6b5739d18ca7972ab53e091cbc74) C:\WINDOWS\system32\es.dll 15:56:32.0578 2444 EventSystem - ok 15:56:32.0687 2444 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys 15:56:32.0781 2444 Fastfat - ok 15:56:32.0906 2444 FastUserSwitchingCompatibility (2db7d303c36ddd055215052f118e8e75) C:\WINDOWS\System32\shsvcs.dll 15:56:33.0000 2444 FastUserSwitchingCompatibility - ok 15:56:33.0046 2444 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys 15:56:33.0062 2444 Fdc - ok 15:56:33.0140 2444 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys 15:56:33.0140 2444 Fips - ok 15:56:33.0156 2444 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys 15:56:33.0171 2444 Flpydisk - ok 15:56:33.0265 2444 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys 15:56:33.0343 2444 FltMgr - ok 15:56:33.0468 2444 FontCache3.0.0.0 (8ba7c024070f2b7fdd98ed8a4ba41789) C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe 15:56:33.0515 2444 FontCache3.0.0.0 - ok 15:56:33.0546 2444 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys 15:56:33.0546 2444 Fs_Rec - ok 15:56:33.0640 2444 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys 15:56:33.0703 2444 Ftdisk - ok 15:56:33.0750 2444 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys 15:56:33.0781 2444 Gpc - ok 15:56:33.0859 2444 helpsvc (cb66bf85bf599befd6c6a57c2e20357f) C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll 15:56:33.0875 2444 helpsvc - ok 15:56:33.0921 2444 HidServ (b35da85e60c0103f2e4104532da2f12b) C:\WINDOWS\System32\hidserv.dll 15:56:33.0937 2444 HidServ - ok 15:56:33.0953 2444 hidusb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys 15:56:33.0953 2444 hidusb - ok 15:56:34.0031 2444 hkmsvc (ed29f14101523a6e0e808107405d452c) C:\WINDOWS\System32\kmsvc.dll 15:56:34.0078 2444 hkmsvc - ok 15:56:34.0078 2444 hpn - ok 15:56:34.0281 2444 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys 15:56:34.0390 2444 HTTP - ok 15:56:34.0437 2444 HTTPFilter (9e4adb854cebcfb81a4b36718feecd16) C:\WINDOWS\System32\w3ssl.dll 15:56:34.0437 2444 HTTPFilter - ok 15:56:34.0453 2444 i2omgmt - ok 15:56:34.0453 2444 i2omp - ok 15:56:34.0515 2444 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys 15:56:34.0546 2444 i8042prt - ok 15:56:35.0125 2444 idsvc (c01ac32dc5c03076cfb852cb5da5229c) C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe 15:56:35.0687 2444 idsvc - ok 15:56:35.0734 2444 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys 15:56:35.0765 2444 Imapi - ok 15:56:35.0859 2444 ImapiService (d4b413aa210c21e46aedd2ba5b68d38e) C:\WINDOWS\system32\imapi.exe 15:56:35.0953 2444 ImapiService - ok 15:56:35.0953 2444 ini910u - ok 15:56:35.0984 2444 IntelIde (69c4e3c9e67a1f103b94e14fdd5f3213) C:\WINDOWS\system32\DRIVERS\intelide.sys 15:56:35.0984 2444 IntelIde - ok 15:56:36.0046 2444 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys 15:56:36.0078 2444 intelppm - ok 15:56:36.0140 2444 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys 15:56:36.0156 2444 Ip6Fw - ok 15:56:36.0218 2444 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys 15:56:36.0250 2444 IpFilterDriver - ok 15:56:36.0281 2444 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys 15:56:36.0296 2444 IpInIp - ok 15:56:36.0406 2444 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys 15:56:36.0500 2444 IpNat - ok 15:56:36.0562 2444 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys 15:56:36.0609 2444 IPSec - ok 15:56:36.0640 2444 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys 15:56:36.0640 2444 IRENUM - ok 15:56:36.0687 2444 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys 15:56:36.0703 2444 isapnp - ok 15:56:36.0937 2444 JavaQuickStarterService (381b25dc8e958d905b33130d500bbf29) C:\Programme\Java\jre6\bin\jqs.exe 15:56:37.0031 2444 JavaQuickStarterService - ok 15:56:37.0062 2444 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys 15:56:37.0078 2444 Kbdclass - ok 15:56:37.0203 2444 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys 15:56:37.0296 2444 kmixer - ok 15:56:37.0390 2444 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys 15:56:37.0453 2444 KSecDD - ok 15:56:37.0546 2444 lanmanserver (2bbdcb79900990f0716dfcb714e72de7) C:\WINDOWS\System32\srvsvc.dll 15:56:37.0625 2444 lanmanserver - ok 15:56:37.0734 2444 lanmanworkstation (1869b14b06b44b44af70548e1ea3303f) C:\WINDOWS\System32\wkssvc.dll 15:56:37.0828 2444 lanmanworkstation - ok 15:56:37.0843 2444 lbrtfdc - ok 15:56:37.0890 2444 LmHosts (636714b7d43c8d0c80449123fd266920) C:\WINDOWS\System32\lmhsvc.dll 15:56:37.0906 2444 LmHosts - ok 15:56:37.0953 2444 Messenger (b7550a7107281d170ce85524b1488c98) C:\WINDOWS\System32\msgsvc.dll 15:56:37.0984 2444 Messenger - ok 15:56:38.0015 2444 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys 15:56:38.0031 2444 mnmdd - ok 15:56:38.0078 2444 mnmsrvc (c2f1d365fd96791b037ee504868065d3) C:\WINDOWS\system32\mnmsrvc.exe 15:56:38.0109 2444 mnmsrvc - ok 15:56:38.0156 2444 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys 15:56:38.0171 2444 Modem - ok 15:56:38.0187 2444 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys 15:56:38.0203 2444 Mouclass - ok 15:56:38.0250 2444 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys 15:56:38.0265 2444 mouhid - ok 15:56:38.0296 2444 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys 15:56:38.0328 2444 MountMgr - ok 15:56:38.0453 2444 MozillaMaintenance (96aa8ba23142cc8e2b30f3cae0c80254) C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe 15:56:38.0546 2444 MozillaMaintenance - ok 15:56:38.0546 2444 mraid35x - ok 15:56:38.0687 2444 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys 15:56:38.0796 2444 MRxDAV - ok 15:56:39.0109 2444 MRxSmb (7d304a5eb4344ebeeab53a2fe3ffb9f0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys 15:56:39.0390 2444 MRxSmb - ok 15:56:39.0406 2444 MSDTC (35a031af38c55f92d28aa03ee9f12cc9) C:\WINDOWS\system32\msdtc.exe 15:56:39.0421 2444 MSDTC - ok 15:56:39.0437 2444 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys 15:56:39.0453 2444 Msfs - ok 15:56:39.0453 2444 MSIServer - ok 15:56:39.0484 2444 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys 15:56:39.0484 2444 MSKSSRV - ok 15:56:39.0500 2444 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys 15:56:39.0500 2444 MSPCLOCK - ok 15:56:39.0515 2444 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys 15:56:39.0515 2444 MSPQM - ok 15:56:39.0703 2444 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys 15:56:39.0703 2444 mssmbios - ok 15:56:39.0796 2444 Mup (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys 15:56:39.0859 2444 Mup - ok 15:56:40.0062 2444 napagent (46bb15ae2ac7d025d6d2567b876817bd) C:\WINDOWS\System32\qagentrt.dll 15:56:40.0250 2444 napagent - ok 15:56:40.0406 2444 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys 15:56:40.0515 2444 NDIS - ok 15:56:40.0578 2444 NdisTapi (0109c4f3850dfbab279542515386ae22) C:\WINDOWS\system32\DRIVERS\ndistapi.sys 15:56:40.0593 2444 NdisTapi - ok 15:56:40.0609 2444 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys 15:56:40.0625 2444 Ndisuio - ok 15:56:40.0687 2444 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys 15:56:40.0734 2444 NdisWan - ok 15:56:40.0781 2444 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys 15:56:40.0812 2444 NDProxy - ok 15:56:40.0843 2444 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys 15:56:40.0859 2444 NetBIOS - ok 15:56:40.0984 2444 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys 15:56:41.0078 2444 NetBT - ok 15:56:41.0187 2444 NetDDE (8ace4251bffd09ce75679fe940e996cc) C:\WINDOWS\system32\netdde.exe 15:56:41.0265 2444 NetDDE - ok 15:56:41.0265 2444 NetDDEdsdm (8ace4251bffd09ce75679fe940e996cc) C:\WINDOWS\system32\netdde.exe 15:56:41.0265 2444 NetDDEdsdm - ok 15:56:41.0296 2444 Netlogon (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe 15:56:41.0312 2444 Netlogon - ok 15:56:41.0437 2444 Netman (e6d88f1f6745bf00b57e7855a2ab696c) C:\WINDOWS\System32\netman.dll 15:56:41.0562 2444 Netman - ok 15:56:41.0781 2444 NetTcpPortSharing (d34612c5d02d026535b3095d620626ae) C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe 15:56:41.0859 2444 NetTcpPortSharing - ok 15:56:41.0937 2444 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys 15:56:41.0968 2444 NIC1394 - ok 15:56:42.0156 2444 Nla (f1b67b6b0751ae0e6e964b02821206a3) C:\WINDOWS\System32\mswsock.dll 15:56:42.0296 2444 Nla - ok 15:56:42.0343 2444 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys 15:56:42.0359 2444 Npfs - ok 15:56:42.0718 2444 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys 15:56:43.0062 2444 Ntfs - ok 15:56:43.0078 2444 NtLmSsp (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe 15:56:43.0078 2444 NtLmSsp - ok 15:56:43.0359 2444 NtmsSvc (56af4064996fa5bac9c449b1514b4770) C:\WINDOWS\system32\ntmssvc.dll 15:56:43.0640 2444 NtmsSvc - ok 15:56:43.0687 2444 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys 15:56:43.0687 2444 Null - ok 15:56:43.0734 2444 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys 15:56:43.0750 2444 NwlnkFlt - ok 15:56:43.0781 2444 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys 15:56:43.0796 2444 NwlnkFwd - ok 15:56:43.0859 2444 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys 15:56:43.0906 2444 ohci1394 - ok 15:56:43.0984 2444 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\drivers\Parport.sys 15:56:44.0031 2444 Parport - ok 15:56:44.0062 2444 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys 15:56:44.0078 2444 PartMgr - ok 15:56:44.0109 2444 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys 15:56:44.0109 2444 ParVdm - ok 15:56:44.0156 2444 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys 15:56:44.0203 2444 PCI - ok 15:56:44.0203 2444 PCIDump - ok 15:56:44.0234 2444 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys 15:56:44.0234 2444 PCIIde - ok 15:56:44.0312 2444 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\DRIVERS\pcmcia.sys 15:56:44.0390 2444 Pcmcia - ok 15:56:44.0406 2444 PDCOMP - ok 15:56:44.0421 2444 PDFRAME - ok 15:56:44.0421 2444 PDRELI - ok 15:56:44.0421 2444 PDRFRAME - ok 15:56:44.0437 2444 perc2 - ok 15:56:44.0437 2444 perc2hib - ok 15:56:44.0546 2444 PlugPlay (a3edbe9053889fb24ab22492472b39dc) C:\WINDOWS\system32\services.exe 15:56:44.0546 2444 PlugPlay - ok 15:56:44.0578 2444 PolicyAgent (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe 15:56:44.0578 2444 PolicyAgent - ok 15:56:44.0625 2444 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys 15:56:44.0656 2444 PptpMiniport - ok 15:56:44.0656 2444 ProtectedStorage (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe 15:56:44.0656 2444 ProtectedStorage - ok 15:56:44.0718 2444 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys 15:56:44.0750 2444 PSched - ok 15:56:44.0781 2444 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys 15:56:44.0781 2444 Ptilink - ok 15:56:44.0859 2444 PxHelp20 (e42e3433dbb4cffe8fdd91eab29aea8e) C:\WINDOWS\system32\Drivers\PxHelp20.sys 15:56:44.0890 2444 PxHelp20 - ok 15:56:44.0890 2444 ql1080 - ok 15:56:44.0906 2444 Ql10wnt - ok 15:56:44.0906 2444 ql12160 - ok 15:56:44.0906 2444 ql1240 - ok 15:56:44.0921 2444 ql1280 - ok 15:56:44.0937 2444 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys 15:56:44.0937 2444 RasAcd - ok 15:56:45.0015 2444 RasAuto (f5ba6caccdb66c8f048e867563203246) C:\WINDOWS\System32\rasauto.dll 15:56:45.0078 2444 RasAuto - ok 15:56:45.0125 2444 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys 15:56:45.0156 2444 Rasl2tp - ok 15:56:45.0312 2444 RasMan (f9a7b66ea345726edb5862a46b1eccd5) C:\WINDOWS\System32\rasmans.dll 15:56:45.0437 2444 RasMan - ok 15:56:45.0468 2444 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys 15:56:45.0500 2444 RasPppoe - ok 15:56:45.0515 2444 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys 15:56:45.0531 2444 Raspti - ok 15:56:45.0656 2444 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys 15:56:45.0750 2444 Rdbss - ok 15:56:45.0765 2444 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys 15:56:45.0765 2444 RDPCDD - ok 15:56:45.0906 2444 RDPWD (5b3055daa788bd688594d2f5981f2a83) C:\WINDOWS\system32\drivers\RDPWD.sys 15:56:46.0000 2444 RDPWD - ok 15:56:46.0109 2444 RDSessMgr (263af18af0f3db99f574c95f284ccec9) C:\WINDOWS\system32\sessmgr.exe 15:56:46.0187 2444 RDSessMgr - ok 15:56:46.0250 2444 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys 15:56:46.0281 2444 redbook - ok 15:56:46.0359 2444 RemoteAccess (0e97ec96d6942ceec2d188cc2eb69a01) C:\WINDOWS\System32\mprdim.dll 15:56:46.0390 2444 RemoteAccess - ok 15:56:46.0468 2444 rimsptsk (5338e12cc00f6ce1b11e252fff25ac1e) C:\WINDOWS\system32\DRIVERS\rimsptsk.sys 15:56:46.0500 2444 rimsptsk - ok 15:56:46.0515 2444 risdptsk (c5b1e7188d110aa23961f29abbad8a47) C:\WINDOWS\system32\DRIVERS\risdptsk.sys 15:56:46.0546 2444 risdptsk - ok 15:56:46.0750 2444 rismxdp (3f535dd8d6fb8c22c37ba2a8c4a32c81) C:\WINDOWS\system32\DRIVERS\rixdptsk.sys 15:56:46.0937 2444 rismxdp - ok 15:56:47.0015 2444 RpcLocator (2a02e21867497df20b8fc95631395169) C:\WINDOWS\system32\locator.exe 15:56:47.0062 2444 RpcLocator - ok 15:56:47.0328 2444 RpcSs (3127afbf2c1ed0ab14a1bbb7aaecb85b) C:\WINDOWS\system32\rpcss.dll 15:56:47.0328 2444 RpcSs - ok 15:56:47.0437 2444 RSVP (4bdd71b4b521521499dfd14735c4f398) C:\WINDOWS\system32\rsvp.exe 15:56:47.0515 2444 RSVP - ok 15:56:47.0562 2444 SamSs (afb8261b56cba0d86aeb6df682af9785) C:\WINDOWS\system32\lsass.exe 15:56:47.0562 2444 SamSs - ok 15:56:47.0656 2444 SCardSvr (dcec079fad95d36c8dd5cb6d779dfe32) C:\WINDOWS\System32\SCardSvr.exe 15:56:47.0718 2444 SCardSvr - ok 15:56:47.0875 2444 Schedule (a050194a44d7fa8d7186ed2f4e8367ae) C:\WINDOWS\system32\schedsvc.dll 15:56:47.0984 2444 Schedule - ok 15:56:48.0062 2444 sdbus (8d04819a3ce51b9eb47e5689b44d43c4) C:\WINDOWS\system32\DRIVERS\sdbus.sys 15:56:48.0109 2444 sdbus - ok 15:56:48.0171 2444 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys 15:56:48.0171 2444 Secdrv - ok 15:56:48.0218 2444 seclogon (bee4cfd1d48c23b44cf4b974b0b79b2b) C:\WINDOWS\System32\seclogon.dll 15:56:48.0218 2444 seclogon - ok 15:56:48.0265 2444 SENS (2aac9b6ed9eddffb721d6452e34d67e3) C:\WINDOWS\system32\sens.dll 15:56:48.0281 2444 SENS - ok 15:56:48.0328 2444 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\drivers\Serial.sys 15:56:48.0375 2444 Serial - ok 15:56:48.0390 2444 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys 15:56:48.0406 2444 Sfloppy - ok 15:56:48.0640 2444 SharedAccess (cad058d5f8b889a87ca3eb3cf624dcef) C:\WINDOWS\System32\ipnathlp.dll 15:56:48.0828 2444 SharedAccess - ok 15:56:48.0937 2444 ShellHWDetection (2db7d303c36ddd055215052f118e8e75) C:\WINDOWS\System32\shsvcs.dll 15:56:48.0953 2444 ShellHWDetection - ok 15:56:48.0953 2444 Simbad - ok 15:56:49.0125 2444 SkypeUpdate (6128e98eaaed364ed1a32708d2fd22cb) C:\Programme\Skype\Updater\Updater.exe 15:56:49.0218 2444 SkypeUpdate - ok 15:56:49.0421 2444 smwdm (014ab093e6452ea88031bb6e22919bb5) C:\WINDOWS\system32\drivers\smwdm.sys 15:56:49.0531 2444 smwdm - ok 15:56:49.0593 2444 SNM WLAN Service (a44fad36d97fb5ff5b57cceb581eb29f) C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe 15:56:49.0609 2444 SNM WLAN Service - ok 15:56:49.0671 2444 SoundMAX Agent Service (default) (3978f082274f723ad5a0a8058c2417dd) C:\Programme\Analog Devices\SoundMAX\SMAgent.exe 15:56:49.0687 2444 SoundMAX Agent Service (default) - ok 15:56:49.0703 2444 Sparrow - ok 15:56:49.0703 2444 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys 15:56:49.0718 2444 splitter - ok 15:56:49.0796 2444 Spooler (60784f891563fb1b767f70117fc2428f) C:\WINDOWS\system32\spoolsv.exe 15:56:49.0828 2444 Spooler - ok 15:56:49.0890 2444 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys 15:56:49.0937 2444 sr - ok 15:56:50.0062 2444 srservice (fe77a85495065f3ad59c5c65b6c54182) C:\WINDOWS\system32\srsvc.dll 15:56:50.0171 2444 srservice - ok 15:56:50.0421 2444 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys 15:56:50.0671 2444 Srv - ok 15:56:50.0734 2444 SSDPSRV (4df5b05dfaec29e13e1ed6f6ee12c500) C:\WINDOWS\System32\ssdpsrv.dll 15:56:50.0765 2444 SSDPSRV - ok 15:56:51.0000 2444 stisvc (bc2c5985611c5356b24aeb370953ded9) C:\WINDOWS\system32\wiaservc.dll 15:56:51.0187 2444 stisvc - ok 15:56:51.0234 2444 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys 15:56:51.0234 2444 swenum - ok 15:56:51.0281 2444 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys 15:56:51.0312 2444 swmidi - ok 15:56:51.0328 2444 SwPrv - ok 15:56:51.0328 2444 symc810 - ok 15:56:51.0328 2444 symc8xx - ok 15:56:51.0343 2444 sym_hi - ok 15:56:51.0343 2444 sym_u3 - ok 15:56:51.0500 2444 SynTP (1dbc86da355b5db35174f862c110fd09) C:\WINDOWS\system32\DRIVERS\SynTP.sys 15:56:51.0625 2444 SynTP - ok 15:56:51.0671 2444 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys 15:56:51.0703 2444 sysaudio - ok 15:56:51.0796 2444 SysmonLog (2903fffa2523926d6219428040dce6b9) C:\WINDOWS\system32\smlogsvc.exe 15:56:51.0843 2444 SysmonLog - ok 15:56:52.0015 2444 TapiSrv (05903cac4b98908d55ea5774775b382e) C:\WINDOWS\System32\tapisrv.dll 15:56:52.0171 2444 TapiSrv - ok 15:56:52.0421 2444 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys 15:56:52.0640 2444 Tcpip - ok 15:56:52.0671 2444 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys 15:56:52.0671 2444 TDPIPE - ok 15:56:52.0703 2444 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys 15:56:52.0718 2444 TDTCP - ok 15:56:52.0765 2444 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys 15:56:52.0796 2444 TermDD - ok 15:56:53.0031 2444 TermService (b7de02c863d8f5a005a7bf375375a6a4) C:\WINDOWS\System32\termsrv.dll 15:56:53.0203 2444 TermService - ok 15:56:53.0328 2444 Themes (2db7d303c36ddd055215052f118e8e75) C:\WINDOWS\System32\shsvcs.dll 15:56:53.0328 2444 Themes - ok 15:56:53.0328 2444 TosIde - ok 15:56:53.0406 2444 TrkWks (626504572b175867f30f3215c04b3e2f) C:\WINDOWS\system32\trkwks.dll 15:56:53.0453 2444 TrkWks - ok 15:56:53.0531 2444 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys 15:56:53.0593 2444 Udfs - ok 15:56:53.0593 2444 ultra - ok 15:56:53.0656 2444 UMWdf (c81b8635dee0d3ef5f64b3dd643023a5) C:\WINDOWS\system32\wdfmgr.exe 15:56:53.0671 2444 UMWdf - ok 15:56:53.0921 2444 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys 15:56:54.0156 2444 Update - ok 15:56:54.0296 2444 upnphost (1dfd8975d8c89214b98d9387c1125b49) C:\WINDOWS\System32\upnphost.dll 15:56:54.0406 2444 upnphost - ok 15:56:54.0437 2444 UPS (9b11e6118958e63e1fef129466e2bda7) C:\WINDOWS\System32\ups.exe 15:56:54.0453 2444 UPS - ok 15:56:54.0500 2444 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys 15:56:54.0531 2444 usbehci - ok 15:56:54.0578 2444 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys 15:56:54.0609 2444 usbhub - ok 15:56:54.0671 2444 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys 15:56:54.0687 2444 usbprint - ok 15:56:54.0734 2444 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys 15:56:54.0750 2444 usbscan - ok 15:56:54.0812 2444 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS 15:56:54.0828 2444 USBSTOR - ok 15:56:54.0859 2444 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys 15:56:54.0859 2444 usbuhci - ok 15:56:54.0890 2444 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys 15:56:54.0906 2444 VgaSave - ok 15:56:54.0906 2444 ViaIde - ok 15:56:54.0953 2444 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys 15:56:54.0984 2444 VolSnap - ok 15:56:55.0218 2444 VSS (68f106273be29e7b7ef8266977268e78) C:\WINDOWS\System32\vssvc.exe 15:56:55.0390 2444 VSS - ok 15:56:57.0500 2444 w29n51 (67caa926ef06e07f2d31056b39f51c54) C:\WINDOWS\system32\DRIVERS\w29n51.sys 15:56:59.0546 2444 w29n51 - ok 15:57:00.0140 2444 W32Time (7b353059e665f8b7ad2bbeaef597cf45) C:\WINDOWS\system32\w32time.dll 15:57:00.0234 2444 W32Time - ok 15:57:00.0359 2444 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys 15:57:00.0375 2444 Wanarp - ok 15:57:00.0390 2444 WDICA - ok 15:57:00.0453 2444 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys 15:57:00.0515 2444 wdmaud - ok 15:57:00.0578 2444 WebClient (81727c9873e3905a2ffc1ebd07265002) C:\WINDOWS\System32\webclnt.dll 15:57:00.0609 2444 WebClient - ok 15:57:00.0781 2444 winmgmt (6f3f3973d97714cc5f906a19fe883729) C:\WINDOWS\system32\wbem\WMIsvc.dll 15:57:00.0859 2444 winmgmt - ok 15:57:00.0921 2444 WmdmPmSN (a477391b7a8b0a0daabadb17cf533a4b) C:\WINDOWS\system32\MsPMSNSv.dll 15:57:00.0937 2444 WmdmPmSN - ok 15:57:01.0046 2444 WmiApSrv (93908111ba57a6e60ec2fa2de202105c) C:\WINDOWS\system32\wbem\wmiapsrv.exe 15:57:01.0125 2444 WmiApSrv - ok 15:57:01.0171 2444 wowfilter (c5ccf7e7893c49b101a29c576ba294d4) C:\WINDOWS\system32\drivers\wowfilter.sys 15:57:01.0187 2444 wowfilter - ok 15:57:01.0218 2444 WpdUsb (c1b3d9d75c3fb735f5fa3a5806aded57) C:\WINDOWS\system32\Drivers\wpdusb.sys 15:57:01.0234 2444 WpdUsb - ok 15:57:01.0328 2444 wscsvc (300b3e84faf1a5c1f791c159ba28035d) C:\WINDOWS\system32\wscsvc.dll 15:57:01.0390 2444 wscsvc - ok 15:57:01.0406 2444 wuauserv (7b4fe05202aa6bf9f4dfd0e6a0d8a085) C:\WINDOWS\system32\wuauserv.dll 15:57:01.0421 2444 wuauserv - ok 15:57:01.0781 2444 WZCSVC (c4f109c005f6725162d2d12ca751e4a7) C:\WINDOWS\System32\wzcsvc.dll 15:57:02.0078 2444 WZCSVC - ok 15:57:02.0187 2444 xmlprov (0ada34871a2e1cd2caafed1237a47750) C:\WINDOWS\System32\xmlprov.dll 15:57:02.0265 2444 xmlprov - ok 15:57:02.0312 2444 MBR (0x1B8) (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0 15:57:02.0906 2444 \Device\Harddisk0\DR0 - ok 15:57:02.0906 2444 MBR (0x1B8) (e5fa06aca0d60ba9c870d0ef3d9898c9) \Device\Harddisk1\DR3 15:57:06.0468 2444 \Device\Harddisk1\DR3 - ok 15:57:06.0484 2444 Boot (0x1200) (cb0feddb8a3b653edfc5b19e3b4f3fe8) \Device\Harddisk0\DR0\Partition0 15:57:06.0484 2444 \Device\Harddisk0\DR0\Partition0 - ok 15:57:06.0515 2444 Boot (0x1200) (b0b75fac3e0f469f1edf547801d2f890) \Device\Harddisk0\DR0\Partition1 15:57:06.0515 2444 \Device\Harddisk0\DR0\Partition1 - ok 15:57:06.0515 2444 Boot (0x1200) (c19faf35746f1d46288fe6e2da57da36) \Device\Harddisk1\DR3\Partition0 15:57:06.0515 2444 \Device\Harddisk1\DR3\Partition0 - ok 15:57:06.0531 2444 ============================================================ 15:57:06.0531 2444 Scan finished 15:57:06.0531 2444 ============================================================ 15:57:06.0531 3044 Detected object count: 0 15:57:06.0531 3044 Actual detected object count: 0 |
Themen zu Verschlüsselungs-Trojaner,OTL.exe im Anhang, Windows XP SV3, abgesicherter Modus nicht möglich |
.dll, bho, browser, cdrom, dateien, desktop, disabletaskmgr, einstellungen, error, explorer, explorer.exe, firefox, format, homepage, ics, logfile, mozilla, nicht möglich, otl-file, plug-in, registry, scan, servicepack3, software, system32, verschlüsselungs-trojaner, wallpaper, win32, windows, windows xp, winlogon |