Bundespolizei-Trojaner

mueffel · 29.07.2012, 19:47

eine für das Betriebssystem C:
eine für Eigene Dateien D:
eine fürs Brennen E:
eine für Programme F:
usw...

Gibt es hinsichtlich des Trojaners noch etwas zu tun?
Bin ich mit deiner Hilfe durch?

cosinus · 29.07.2012, 20:31

Ich halte diese Aufteilung für zu übertrieben, schau dir mal deine Systempartition an, die ist fast voll!
Ich hätte max. eine Partition für das System und eine für Daten gemacht!
Eine Trennung von Programmen und dem System macht keinen Sinn! Egal welches Programm du installierst, es landen so oder so Daten auf der Systempartition!

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
FF - user.js - File not found
O4 - HKLM..\Run: []  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-854245398-179605362-839522115-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 253
O7 - HKU\S-1-5-21-854245398-179605362-839522115-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = FF FF FF 03  [binary data]
O7 - HKU\S-1-5-21-854245398-179605362-839522115-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O32 - HKLM CDRom: AutoRun - 0
O32 - AutoRun File - [2011.04.30 13:21:11 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
:Files
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.pad
C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\.#
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

mueffel · 01.09.2012, 22:47

So, ich bin nun auch aus dem Urlaib zurück.

Ich habe beim letzten Aufsetzten des PCs diverse Partitionen eingerichtet, weil ich dachte, dass ich aus Sicherheitsgründen regelmäßig Images von diesen mache. Mache ich aber doch nicht. Nur von den eigenen Datein, Bildern usw. mache ich immer mal wieder ein 1:1-Kopie auf eine externe Festplatte.

Den Fix habe ich jetzt gemacht.
Nebenbei, was passiert da eigentlich?

Code:

ATTFilter

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.
Registry value HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-21-854245398-179605362-839522115-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-21-854245398-179605362-839522115-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-21-854245398-179605362-839522115-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
========== FILES ==========
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\tmp folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\host folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache\6.0 folder moved successfully.
C:\Dokumente und Einstellungen\Internet_2\Anwendungsdaten\Sun\Java\Deployment\cache folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pmt_0piot.pad moved successfully.
C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\.# folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 117804 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41620 bytes
 
User: Internet
->Temp folder emptied: 2231245 bytes
->Temporary Internet Files folder emptied: 727464 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 65961794 bytes
->Flash cache emptied: 487 bytes
 
User: Internet_2
->Temp folder emptied: 3270503 bytes
->Temporary Internet Files folder emptied: 427986 bytes
->FireFox cache emptied: 60845321 bytes
->Flash cache emptied: 42118 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 1430834 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1138908 bytes
%systemroot%\System32 .tmp files removed: 2676103 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2161544 bytes
RecycleBin emptied: 201810448 bytes
 
Total Files Cleaned = 327,00 mb
 
 
[EMPTYFLASH]
 
User: Administrator
 
User: All Users
 
User: Default User
->Flash cache emptied: 0 bytes
 
User: Internet
->Flash cache emptied: 0 bytes
 
User: Internet_2
->Flash cache emptied: 0 bytes
 
User: LocalService
 
User: NetworkService
 
Total Flash Files Cleaned = 0,00 mb
 
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.55.0 log created on 09012012_234153

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

cosinus · 03.09.2012, 15:49

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C

nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

mueffel · 03.09.2012, 16:33

Anbei das Log:

Code:

ATTFilter

17:31:14.0062 3340  TDSS rootkit removing tool 2.8.8.0 Aug 24 2012 13:27:48
17:31:14.0265 3340  ============================================================
17:31:14.0265 3340  Current date / time: 2012/09/03 17:31:14.0265
17:31:14.0265 3340  SystemInfo:
17:31:14.0265 3340  
17:31:14.0265 3340  OS Version: 5.1.2600 ServicePack: 3.0
17:31:14.0265 3340  Product type: Workstation
17:31:14.0265 3340  ComputerName: A
17:31:14.0265 3340  UserName: Internet
17:31:14.0265 3340  Windows directory: C:\WINDOWS
17:31:14.0265 3340  System windows directory: C:\WINDOWS
17:31:14.0265 3340  Processor architecture: Intel x86
17:31:14.0265 3340  Number of processors: 2
17:31:14.0265 3340  Page size: 0x1000
17:31:14.0265 3340  Boot type: Normal boot
17:31:14.0265 3340  ============================================================
17:31:15.0265 3340  Drive \Device\Harddisk0\DR0 - Size: 0x53D67B6000 (335.35 Gb), SectorSize: 0x200, Cylinders: 0xAB01, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
17:31:15.0281 3340  Drive \Device\Harddisk1\DR7 - Size: 0xE8E0DB6000 (931.51 Gb), SectorSize: 0x200, Cylinders: 0x1DB01, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W'
17:31:15.0406 3340  Drive \Device\Harddisk5\DR16 - Size: 0x3CEBFC00 (0.95 Gb), SectorSize: 0x200, Cylinders: 0x7C, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W'
17:31:15.0406 3340  ============================================================
17:31:15.0406 3340  \Device\Harddisk0\DR0:
17:31:15.0406 3340  MBR partitions:
17:31:15.0406 3340  \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x2800A34
17:31:15.0421 3340  \Device\Harddisk0\DR0\Partition2: MBR, Type 0x7, StartLBA 0x2800AB2, BlocksNum 0x3BFF00D
17:31:15.0437 3340  \Device\Harddisk0\DR0\Partition3: MBR, Type 0x7, StartLBA 0x63FFAFE, BlocksNum 0x201C84
17:31:15.0437 3340  \Device\Harddisk0\DR0\Partition4: MBR, Type 0x7, StartLBA 0x66017C1, BlocksNum 0x63FFA80
17:31:15.0453 3340  \Device\Harddisk0\DR0\Partition5: MBR, Type 0x7, StartLBA 0xCA01280, BlocksNum 0x8C004F3
17:31:15.0468 3340  \Device\Harddisk0\DR0\Partition6: MBR, Type 0x7, StartLBA 0x156017B2, BlocksNum 0x148B120F
17:31:15.0468 3340  \Device\Harddisk1\DR7:
17:31:15.0468 3340  MBR partitions:
17:31:15.0468 3340  \Device\Harddisk1\DR7\Partition1: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x18FFEABD
17:31:15.0468 3340  \Device\Harddisk1\DR7\Partition2: MBR, Type 0x7, StartLBA 0x18FFEAFC, BlocksNum 0x5B706EC5
17:31:15.0468 3340  \Device\Harddisk5\DR16:
17:31:15.0468 3340  MBR partitions:
17:31:15.0468 3340  \Device\Harddisk5\DR16\Partition1: MBR, Type 0xB, StartLBA 0x20, BlocksNum 0x1E75BE
17:31:15.0468 3340  ============================================================
17:31:15.0484 3340  C: <-> \Device\Harddisk0\DR0\Partition1
17:31:15.0515 3340  E: <-> \Device\Harddisk0\DR0\Partition2
17:31:15.0546 3340  G: <-> \Device\Harddisk0\DR0\Partition3
17:31:15.0578 3340  F: <-> \Device\Harddisk0\DR0\Partition4
17:31:15.0625 3340  D: <-> \Device\Harddisk0\DR0\Partition5
17:31:15.0671 3340  W: <-> \Device\Harddisk0\DR0\Partition6
17:31:15.0687 3340  U: <-> \Device\Harddisk1\DR7\Partition1
17:31:15.0781 3340  V: <-> \Device\Harddisk1\DR7\Partition2
17:31:15.0781 3340  ============================================================
17:31:15.0781 3340  Initialize success
17:31:15.0781 3340  ============================================================
17:33:01.0859 3048  ============================================================
17:33:01.0859 3048  Scan started
17:33:01.0859 3048  Mode: Manual; SigCheck; TDLFS; 
17:33:01.0859 3048  ============================================================
17:33:02.0343 3048  ================ Scan services =============================
17:33:02.0453 3048  [ 4A41052E5BC201535FCAE5729D032CD9 ] 3xHybrid        C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
17:33:02.0593 3048  3xHybrid - ok
17:33:02.0656 3048  [ 7EEB488346FBFA3731276C3EE8A8FD9E ] AAV UpdateService F:\AAVUpdateManager\aavus.exe
17:33:02.0671 3048  AAV UpdateService - ok
17:33:02.0671 3048  Abiosdsk - ok
17:33:02.0687 3048  abp480n5 - ok
17:33:02.0718 3048  [ AC407F1A62C3A300B4F2B5A9F1D55B2C ] ACPI            C:\WINDOWS\system32\DRIVERS\ACPI.sys
17:33:03.0171 3048  ACPI - ok
17:33:03.0203 3048  [ 9E1CA3160DAFB159CA14F83B1E317F75 ] ACPIEC          C:\WINDOWS\system32\drivers\ACPIEC.sys
17:33:03.0281 3048  ACPIEC - ok
17:33:03.0390 3048  [ 63AB43534CBF5D7F3EB81DFDC8161490 ] AdobeActiveFileMonitor5.0 F:\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
17:33:03.0421 3048  AdobeActiveFileMonitor5.0 - ok
17:33:03.0421 3048  adpu160m - ok
17:33:03.0453 3048  [ 8BED39E3C35D6A489438B8141717A557 ] aec             C:\WINDOWS\system32\drivers\aec.sys
17:33:03.0546 3048  aec - ok
17:33:03.0578 3048  [ 1E44BC1E83D8FD2305F8D452DB109CF9 ] AFD             C:\WINDOWS\System32\drivers\afd.sys
17:33:03.0609 3048  AFD - ok
17:33:03.0625 3048  Aha154x - ok
17:33:03.0640 3048  aic78u2 - ok
17:33:03.0656 3048  aic78xx - ok
17:33:03.0703 3048  [ 738D80CC01D7BC7584BE917B7F544394 ] Alerter         C:\WINDOWS\system32\alrsvc.dll
17:33:03.0812 3048  Alerter - ok
17:33:03.0843 3048  [ 190CD73D4984F94D823F9444980513E5 ] ALG             C:\WINDOWS\System32\alg.exe
17:33:03.0937 3048  ALG - ok
17:33:03.0953 3048  AliIde - ok
17:33:03.0968 3048  amsint - ok
17:33:03.0984 3048  AppMgmt - ok
17:33:04.0015 3048  [ B5B8A80875C1DEDEDA8B02765642C32F ] Arp1394         C:\WINDOWS\system32\DRIVERS\arp1394.sys
17:33:04.0109 3048  Arp1394 - ok
17:33:04.0125 3048  asc - ok
17:33:04.0140 3048  asc3350p - ok
17:33:04.0156 3048  asc3550 - ok
17:33:04.0187 3048  [ 5B01AF89D16D562825C4DB4530F20CBB ] Aspi32          C:\WINDOWS\system32\drivers\aspi32.sys
17:33:04.0203 3048  Aspi32 ( UnsignedFile.Multi.Generic ) - warning
17:33:04.0203 3048  Aspi32 - detected UnsignedFile.Multi.Generic (1)
17:33:04.0250 3048  [ 0E5E4957549056E2BF2C49F4F6B601AD ] aspnet_state    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
17:33:04.0265 3048  aspnet_state - ok
17:33:04.0281 3048  [ B153AFFAC761E7F5FCFA822B9C4E97BC ] AsyncMac        C:\WINDOWS\system32\DRIVERS\asyncmac.sys
17:33:04.0359 3048  AsyncMac - ok
17:33:04.0390 3048  [ 9F3A2F5AA6875C72BF062C712CFA2674 ] atapi           C:\WINDOWS\system32\DRIVERS\atapi.sys
17:33:04.0484 3048  atapi - ok
17:33:04.0484 3048  Atdisk - ok
17:33:04.0515 3048  [ 9916C1225104BA14794209CFA8012159 ] Atmarpc         C:\WINDOWS\system32\DRIVERS\atmarpc.sys
17:33:04.0593 3048  Atmarpc - ok
17:33:04.0625 3048  [ 58ED0D5452DF7BE732193E7999C6B9A4 ] AudioSrv        C:\WINDOWS\System32\audiosrv.dll
17:33:04.0718 3048  AudioSrv - ok
17:33:04.0750 3048  [ D9F724AA26C010A217C97606B160ED68 ] audstub         C:\WINDOWS\system32\DRIVERS\audstub.sys
17:33:04.0828 3048  audstub - ok
17:33:04.0875 3048  [ DA1F27D85E0D1525F6621372E7B685E9 ] Beep            C:\WINDOWS\system32\drivers\Beep.sys
17:33:04.0953 3048  Beep - ok
17:33:04.0984 3048  [ D6F603772A789BB3228F310D650B8BD1 ] BITS            C:\WINDOWS\system32\qmgr.dll
17:33:05.0078 3048  BITS - ok
17:33:05.0125 3048  [ B71549F23736ADF83A571061C47777FD ] Browser         C:\WINDOWS\System32\browser.dll
17:33:05.0156 3048  Browser - ok
17:33:05.0171 3048  [ 90A673FC8E12A79AFBED2576F6A7AAF9 ] cbidf2k         C:\WINDOWS\system32\drivers\cbidf2k.sys
17:33:05.0265 3048  cbidf2k - ok
17:33:05.0296 3048  [ 0BE5AEF125BE881C4F854C554F2B025C ] CCDECODE        C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
17:33:05.0375 3048  CCDECODE - ok
17:33:05.0390 3048  cd20xrnt - ok
17:33:05.0421 3048  [ C1B486A7658353D33A10CC15211A873B ] Cdaudio         C:\WINDOWS\system32\drivers\Cdaudio.sys
17:33:05.0515 3048  Cdaudio - ok
17:33:05.0546 3048  [ C885B02847F5D2FD45A24E219ED93B32 ] Cdfs            C:\WINDOWS\system32\drivers\Cdfs.sys
17:33:05.0640 3048  Cdfs - ok
17:33:05.0656 3048  [ 1F4260CC5B42272D71F79E570A27A4FE ] Cdrom           C:\WINDOWS\system32\DRIVERS\cdrom.sys
17:33:05.0734 3048  Cdrom - ok
17:33:05.0750 3048  Changer - ok
17:33:05.0781 3048  [ 28E3040D1F1CA2008CD6B29DFEBC9A5E ] cisvc           C:\WINDOWS\System32\cisvc.exe
17:33:05.0875 3048  cisvc - ok
17:33:05.0875 3048  [ 778A30ED3C134EB7E406AFC407E9997D ] ClipSrv         C:\WINDOWS\system32\clipsrv.exe
17:33:06.0000 3048  ClipSrv - ok
17:33:06.0015 3048  [ D87ACAED61E417BBA546CED5E7E36D9C ] clr_optimization_v2.0.50727_32 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
17:33:06.0031 3048  clr_optimization_v2.0.50727_32 - ok
17:33:06.0031 3048  CmdIde - ok
17:33:06.0046 3048  COMSysApp - ok
17:33:06.0078 3048  Cpqarray - ok
17:33:06.0109 3048  [ 611F824E5C703A5A899F84C5F1699E4D ] CryptSvc        C:\WINDOWS\System32\cryptsvc.dll
17:33:06.0203 3048  CryptSvc - ok
17:33:06.0218 3048  dac2w2k - ok
17:33:06.0234 3048  dac960nt - ok
17:33:06.0265 3048  [ 3127AFBF2C1ED0AB14A1BBB7AAECB85B ] DcomLaunch      C:\WINDOWS\system32\rpcss.dll
17:33:06.0328 3048  DcomLaunch - ok
17:33:06.0359 3048  [ C29A1C9B75BA38FA37F8C44405DEC360 ] Dhcp            C:\WINDOWS\System32\dhcpcsvc.dll
17:33:06.0453 3048  Dhcp - ok
17:33:06.0484 3048  [ 044452051F3E02E7963599FC8F4F3E25 ] Disk            C:\WINDOWS\system32\DRIVERS\disk.sys
17:33:06.0578 3048  Disk - ok
17:33:06.0578 3048  dmadmin - ok
17:33:06.0640 3048  [ 0DCFC8395A99FECBB1EF771CEC7FE4EA ] dmboot          C:\WINDOWS\system32\drivers\dmboot.sys
17:33:06.0750 3048  dmboot - ok
17:33:06.0796 3048  [ 53720AB12B48719D00E327DA470A619A ] dmio            C:\WINDOWS\system32\drivers\dmio.sys
17:33:06.0890 3048  dmio - ok
17:33:06.0921 3048  [ E9317282A63CA4D188C0DF5E09C6AC5F ] dmload          C:\WINDOWS\system32\drivers\dmload.sys
17:33:07.0000 3048  dmload - ok
17:33:07.0218 3048  [ 25C83FFBBA13B554EB6D59A9B2E2EE78 ] dmserver        C:\WINDOWS\System32\dmserver.dll
17:33:07.0296 3048  dmserver - ok
17:33:07.0328 3048  [ 8A208DFCF89792A484E76C40E5F50B45 ] DMusic          C:\WINDOWS\system32\drivers\DMusic.sys
17:33:07.0437 3048  DMusic - ok
17:33:07.0468 3048  [ 407F3227AC618FD1CA54B335B083DE07 ] Dnscache        C:\WINDOWS\System32\dnsrslvr.dll
17:33:07.0500 3048  Dnscache - ok
17:33:07.0531 3048  [ 676E36C4FF5BCEA1900F44182B9723E6 ] Dot3svc         C:\WINDOWS\System32\dot3svc.dll
17:33:07.0625 3048  Dot3svc - ok
17:33:07.0640 3048  dpti2o - ok
17:33:07.0671 3048  [ 8F5FCFF8E8848AFAC920905FBD9D33C8 ] drmkaud         C:\WINDOWS\system32\drivers\drmkaud.sys
17:33:07.0750 3048  drmkaud - ok
17:33:07.0765 3048  [ 4E4F2FDDAB0A0736D7671134DCCE91FB ] EapHost         C:\WINDOWS\System32\eapsvc.dll
17:33:07.0859 3048  EapHost - ok
17:33:07.0890 3048  [ 877C18558D70587AA7823A1A308AC96B ] ERSvc           C:\WINDOWS\System32\ersvc.dll
17:33:07.0968 3048  ERSvc - ok
17:33:08.0000 3048  [ A3EDBE9053889FB24AB22492472B39DC ] Eventlog        C:\WINDOWS\system32\services.exe
17:33:08.0015 3048  Eventlog - ok
17:33:08.0046 3048  [ AF4F6B5739D18CA7972AB53E091CBC74 ] EventSystem     C:\WINDOWS\System32\es.dll
17:33:08.0078 3048  EventSystem - ok
17:33:08.0125 3048  Fabs - ok
17:33:08.0140 3048  [ 38D332A6D56AF32635675F132548343E ] Fastfat         C:\WINDOWS\system32\drivers\Fastfat.sys
17:33:08.0218 3048  Fastfat - ok
17:33:08.0250 3048  [ 2DB7D303C36DDD055215052F118E8E75 ] FastUserSwitchingCompatibility C:\WINDOWS\System32\shsvcs.dll
17:33:08.0281 3048  FastUserSwitchingCompatibility - ok
17:33:08.0296 3048  [ 92CDD60B6730B9F50F6A1A0C1F8CDC81 ] Fdc             C:\WINDOWS\system32\drivers\Fdc.sys
17:33:08.0390 3048  Fdc - ok
17:33:08.0406 3048  [ E9648254056BCE81A85380C0C3647DC4 ] FETNDIS         C:\WINDOWS\system32\DRIVERS\fetnd5.sys
17:33:08.0500 3048  FETNDIS - ok
17:33:08.0531 3048  [ B0678A548587C5F1967B0D70BACAD6C1 ] Fips            C:\WINDOWS\system32\drivers\Fips.sys
17:33:08.0609 3048  Fips - ok
17:33:08.0703 3048  [ FFF1130F7C9FA01D093A1EDFC5CCE8FC ] FirebirdServerMAGIXInstance C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe
17:33:08.0781 3048  FirebirdServerMAGIXInstance ( UnsignedFile.Multi.Generic ) - warning
17:33:08.0781 3048  FirebirdServerMAGIXInstance - detected UnsignedFile.Multi.Generic (1)
17:33:08.0812 3048  [ 9D27E7B80BFCDF1CDD9B555862D5E7F0 ] Flpydisk        C:\WINDOWS\system32\drivers\Flpydisk.sys
17:33:08.0890 3048  Flpydisk - ok
17:33:08.0921 3048  [ B2CF4B0786F8212CB92ED2B50C6DB6B0 ] FltMgr          C:\WINDOWS\system32\drivers\fltmgr.sys
17:33:09.0015 3048  FltMgr - ok
17:33:09.0062 3048  [ 8BA7C024070F2B7FDD98ED8A4BA41789 ] FontCache3.0.0.0 C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
17:33:09.0062 3048  FontCache3.0.0.0 - ok
17:33:09.0093 3048  [ 790A4CA68F44BE35967B3DF61F3E4675 ] FsUsbExDisk     C:\WINDOWS\system32\FsUsbExDisk.SYS
17:33:09.0093 3048  FsUsbExDisk ( UnsignedFile.Multi.Generic ) - warning
17:33:09.0093 3048  FsUsbExDisk - detected UnsignedFile.Multi.Generic (1)
17:33:09.0109 3048  [ 3E1E2BD4F39B0E2B7DC4F4D2BCC2779A ] Fs_Rec          C:\WINDOWS\system32\drivers\Fs_Rec.sys
17:33:09.0203 3048  Fs_Rec - ok
17:33:09.0218 3048  [ 8F1955CE42E1484714B542F341647778 ] Ftdisk          C:\WINDOWS\system32\DRIVERS\ftdisk.sys
17:33:09.0312 3048  Ftdisk - ok
17:33:09.0343 3048  [ 0A02C63C8B144BD8C86B103DEE7C86A2 ] Gpc             C:\WINDOWS\system32\DRIVERS\msgpc.sys
17:33:09.0437 3048  Gpc - ok
17:33:09.0453 3048  [ 573C7D0A32852B48F3058CFD8026F511 ] HDAudBus        C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
17:33:09.0546 3048  HDAudBus - ok
17:33:09.0593 3048  [ CB66BF85BF599BEFD6C6A57C2E20357F ] helpsvc         C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll
17:33:09.0687 3048  helpsvc - ok
17:33:09.0703 3048  [ B35DA85E60C0103F2E4104532DA2F12B ] HidServ         C:\WINDOWS\System32\hidserv.dll
17:33:09.0796 3048  HidServ - ok
17:33:09.0828 3048  [ CCF82C5EC8A7326C3066DE870C06DAF1 ] hidusb          C:\WINDOWS\system32\DRIVERS\hidusb.sys
17:33:09.0906 3048  hidusb - ok
17:33:09.0937 3048  [ ED29F14101523A6E0E808107405D452C ] hkmsvc          C:\WINDOWS\System32\kmsvc.dll
17:33:10.0015 3048  hkmsvc - ok
17:33:10.0078 3048  [ D1E9CB573A9EDF7BE12E9C57F32E97F7 ] HP LaserJet Service C:\Programme\HP\HPLaserJetService\HPLaserJetService.exe
17:33:10.0109 3048  HP LaserJet Service ( UnsignedFile.Multi.Generic ) - warning
17:33:10.0109 3048  HP LaserJet Service - detected UnsignedFile.Multi.Generic (1)
17:33:10.0140 3048  [ 6F98A555ACF3C1B68FCC1F50E0FD2091 ] HPFXBULKLEDM    C:\WINDOWS\system32\drivers\hppcbulkio.sys
17:33:10.0156 3048  HPFXBULKLEDM - ok
17:33:10.0171 3048  hpn - ok
17:33:10.0187 3048  hpt3xx - ok
17:33:10.0234 3048  [ F32A6BEC07C164E3E2983A2E34FD91D8 ] HSFHWBS2        C:\WINDOWS\system32\DRIVERS\HSFHWBS2.sys
17:33:10.0250 3048  HSFHWBS2 - ok
17:33:10.0296 3048  [ 96764C153D8D29078E70D60742047A6D ] HSF_DPV         C:\WINDOWS\system32\DRIVERS\HSF_DPV.sys
17:33:10.0343 3048  HSF_DPV - ok
17:33:10.0375 3048  [ F80A415EF82CD06FFAF0D971528EAD38 ] HTTP            C:\WINDOWS\system32\Drivers\HTTP.sys
17:33:10.0421 3048  HTTP - ok
17:33:10.0453 3048  [ 9E4ADB854CEBCFB81A4B36718FEECD16 ] HTTPFilter      C:\WINDOWS\System32\w3ssl.dll
17:33:10.0546 3048  HTTPFilter - ok
17:33:10.0546 3048  i2omgmt - ok
17:33:10.0562 3048  i2omp - ok
17:33:10.0593 3048  [ E283B97CFBEB86C1D86BAED5F7846A92 ] i8042prt        C:\WINDOWS\system32\DRIVERS\i8042prt.sys
17:33:10.0687 3048  i8042prt - ok
17:33:10.0734 3048  [ C01AC32DC5C03076CFB852CB5DA5229C ] idsvc           C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
17:33:10.0796 3048  idsvc - ok
17:33:10.0828 3048  [ 083A052659F5310DD8B6A6CB05EDCF8E ] Imapi           C:\WINDOWS\system32\drivers\Imapi.sys
17:33:10.0921 3048  Imapi - ok
17:33:10.0953 3048  [ D4B413AA210C21E46AEDD2BA5B68D38E ] ImapiService    C:\WINDOWS\System32\imapi.exe
17:33:11.0031 3048  ImapiService - ok
17:33:11.0046 3048  ini910u - ok
17:33:11.0171 3048  [ 1B717CAF195AD09A67A7904140B2C6FB ] IntcAzAudAddService C:\WINDOWS\system32\drivers\RtkHDAud.sys
17:33:11.0218 3048  IntcAzAudAddService ( UnsignedFile.Multi.Generic ) - warning
17:33:11.0218 3048  IntcAzAudAddService - detected UnsignedFile.Multi.Generic (1)
17:33:11.0234 3048  IntelIde - ok
17:33:11.0281 3048  [ 4C7D2750158ED6E7AD642D97BFFAE351 ] intelppm        C:\WINDOWS\system32\DRIVERS\intelppm.sys
17:33:11.0359 3048  intelppm - ok
17:33:11.0390 3048  [ 3BB22519A194418D5FEC05D800A19AD0 ] ip6fw           C:\WINDOWS\system32\drivers\ip6fw.sys
17:33:11.0468 3048  ip6fw - ok
17:33:11.0500 3048  [ 731F22BA402EE4B62748ADAF6363C182 ] IpFilterDriver  C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
17:33:11.0593 3048  IpFilterDriver - ok
17:33:11.0609 3048  [ B87AB476DCF76E72010632B5550955F5 ] IpInIp          C:\WINDOWS\system32\DRIVERS\ipinip.sys
17:33:11.0703 3048  IpInIp - ok
17:33:11.0734 3048  [ CC748EA12C6EFFDE940EE98098BF96BB ] IpNat           C:\WINDOWS\system32\DRIVERS\ipnat.sys
17:33:11.0828 3048  IpNat - ok
17:33:11.0859 3048  [ 23C74D75E36E7158768DD63D92789A91 ] IPSec           C:\WINDOWS\system32\DRIVERS\ipsec.sys
17:33:11.0953 3048  IPSec - ok
17:33:11.0968 3048  [ C93C9FF7B04D772627A3646D89F7BF89 ] IRENUM          C:\WINDOWS\system32\DRIVERS\irenum.sys
17:33:12.0062 3048  IRENUM - ok
17:33:12.0093 3048  [ 6DFB88F64135C525433E87648BDA30DE ] isapnp          C:\WINDOWS\system32\DRIVERS\isapnp.sys
17:33:12.0171 3048  isapnp - ok
17:33:12.0234 3048  [ 0A5709543986843D37A92290B7838340 ] JavaQuickStarterService C:\Programme\Java\jre6\bin\jqs.exe
17:33:12.0250 3048  JavaQuickStarterService - ok
17:33:12.0265 3048  [ 1704D8C4C8807B889E43C649B478A452 ] Kbdclass        C:\WINDOWS\system32\DRIVERS\kbdclass.sys
17:33:12.0343 3048  Kbdclass - ok
17:33:12.0375 3048  [ B6D6C117D771C98130497265F26D1882 ] kbdhid          C:\WINDOWS\system32\DRIVERS\kbdhid.sys
17:33:12.0468 3048  kbdhid - ok
17:33:12.0484 3048  [ 692BCF44383D056AED41B045A323D378 ] kmixer          C:\WINDOWS\system32\drivers\kmixer.sys
17:33:12.0578 3048  kmixer - ok
17:33:12.0609 3048  [ B467646C54CC746128904E1654C750C1 ] KSecDD          C:\WINDOWS\system32\drivers\KSecDD.sys
17:33:12.0640 3048  KSecDD - ok
17:33:12.0671 3048  [ 2BBDCB79900990F0716DFCB714E72DE7 ] lanmanserver    C:\WINDOWS\System32\srvsvc.dll
17:33:12.0703 3048  lanmanserver - ok
17:33:12.0734 3048  [ 1869B14B06B44B44AF70548E1EA3303F ] lanmanworkstation C:\WINDOWS\System32\wkssvc.dll
17:33:12.0765 3048  lanmanworkstation - ok
17:33:12.0781 3048  lbrtfdc - ok
17:33:12.0812 3048  [ 636714B7D43C8D0C80449123FD266920 ] LmHosts         C:\WINDOWS\System32\lmhsvc.dll
17:33:12.0906 3048  LmHosts - ok
17:33:12.0937 3048  [ 3C318B9CD391371BED62126581EE9961 ] mdmxsdk         C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys
17:33:12.0953 3048  mdmxsdk - ok
17:33:12.0968 3048  [ B7550A7107281D170CE85524B1488C98 ] Messenger       C:\WINDOWS\System32\msgsvc.dll
17:33:13.0046 3048  Messenger - ok
17:33:13.0078 3048  [ 4AE068242760A1FB6E1A44BF4E16AFA6 ] mnmdd           C:\WINDOWS\system32\drivers\mnmdd.sys
17:33:13.0156 3048  mnmdd - ok
17:33:13.0171 3048  [ C2F1D365FD96791B037EE504868065D3 ] mnmsrvc         C:\WINDOWS\System32\mnmsrvc.exe
17:33:13.0265 3048  mnmsrvc - ok
17:33:13.0281 3048  [ 6FB74EBD4EC57A6F1781DE3852CC3362 ] Modem           C:\WINDOWS\system32\drivers\Modem.sys
17:33:13.0375 3048  Modem - ok
17:33:13.0390 3048  [ B24CE8005DEAB254C0251E15CB71D802 ] Mouclass        C:\WINDOWS\system32\DRIVERS\mouclass.sys
17:33:13.0484 3048  Mouclass - ok
17:33:13.0515 3048  [ 66A6F73C74E1791464160A7065CE711A ] mouhid          C:\WINDOWS\system32\DRIVERS\mouhid.sys
17:33:13.0593 3048  mouhid - ok
17:33:13.0609 3048  [ A80B9A0BAD1B73637DBCBBA7DF72D3FD ] MountMgr        C:\WINDOWS\system32\drivers\MountMgr.sys
17:33:13.0703 3048  MountMgr - ok
17:33:13.0734 3048  [ 46297FA8E30A6007F14118FC2B942FBC ] MozillaMaintenance C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
17:33:13.0750 3048  MozillaMaintenance - ok
17:33:13.0781 3048  [ C0F8E0C2C3C0437CF37C6781896DC3EC ] MPE             C:\WINDOWS\system32\DRIVERS\MPE.sys
17:33:13.0859 3048  MPE - ok
17:33:13.0890 3048  [ D993BEA500E7382DC4E760BF4F35EFCB ] MpFilter        C:\WINDOWS\system32\DRIVERS\MpFilter.sys
17:33:13.0906 3048  MpFilter - ok
17:33:13.0984 3048  [ A69630D039C38018689190234F866D77 ] MpKsl7b1df15b   C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{1554F17D-A56D-4C51-BC70-B4FE75C35A82}\MpKsl7b1df15b.sys
17:33:13.0984 3048  MpKsl7b1df15b - ok
17:33:14.0000 3048  mraid35x - ok
17:33:14.0031 3048  [ 11D42BB6206F33FBB3BA0288D3EF81BD ] MRxDAV          C:\WINDOWS\system32\DRIVERS\mrxdav.sys
17:33:14.0125 3048  MRxDAV - ok
17:33:14.0156 3048  [ 7D304A5EB4344EBEEAB53A2FE3FFB9F0 ] MRxSmb          C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
17:33:14.0218 3048  MRxSmb - ok
17:33:14.0359 3048  [ 35A031AF38C55F92D28AA03EE9F12CC9 ] MSDTC           C:\WINDOWS\System32\msdtc.exe
17:33:14.0453 3048  MSDTC - ok
17:33:14.0468 3048  [ C941EA2454BA8350021D774DAF0F1027 ] Msfs            C:\WINDOWS\system32\drivers\Msfs.sys
17:33:14.0546 3048  Msfs - ok
17:33:14.0562 3048  MSIServer - ok
17:33:14.0593 3048  [ D1575E71568F4D9E14CA56B7B0453BF1 ] MSKSSRV         C:\WINDOWS\system32\drivers\MSKSSRV.sys
17:33:14.0671 3048  MSKSSRV - ok
17:33:14.0718 3048  [ 24516BF4E12A46CB67302E2CDCB8CDDF ] MsMpSvc         C:\Programme\Microsoft Security Client\MsMpEng.exe
17:33:14.0734 3048  MsMpSvc - ok
17:33:14.0750 3048  [ 325BB26842FC7CCC1FCCE2C457317F3E ] MSPCLOCK        C:\WINDOWS\system32\drivers\MSPCLOCK.sys
17:33:14.0843 3048  MSPCLOCK - ok
17:33:14.0859 3048  [ BAD59648BA099DA4A17680B39730CB3D ] MSPQM           C:\WINDOWS\system32\drivers\MSPQM.sys
17:33:14.0937 3048  MSPQM - ok
17:33:14.0968 3048  [ AF5F4F3F14A8EA2C26DE30F7A1E17136 ] mssmbios        C:\WINDOWS\system32\DRIVERS\mssmbios.sys
17:33:15.0046 3048  mssmbios - ok
17:33:15.0062 3048  [ E53736A9E30C45FA9E7B5EAC55056D1D ] MSTEE           C:\WINDOWS\system32\drivers\MSTEE.sys
17:33:15.0140 3048  MSTEE - ok
17:33:15.0171 3048  [ DE6A75F5C270E756C5508D94B6CF68F5 ] Mup             C:\WINDOWS\system32\drivers\Mup.sys
17:33:15.0203 3048  Mup - ok
17:33:15.0234 3048  [ 5B50F1B2A2ED47D560577B221DA734DB ] NABTSFEC        C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
17:33:15.0312 3048  NABTSFEC - ok
17:33:15.0343 3048  [ 46BB15AE2AC7D025D6D2567B876817BD ] napagent        C:\WINDOWS\System32\qagentrt.dll
17:33:15.0437 3048  napagent - ok
17:33:15.0468 3048  [ 1DF7F42665C94B825322FAE71721130D ] NDIS            C:\WINDOWS\system32\drivers\NDIS.sys
17:33:15.0562 3048  NDIS - ok
17:33:15.0578 3048  [ 7FF1F1FD8609C149AA432F95A8163D97 ] NdisIP          C:\WINDOWS\system32\DRIVERS\NdisIP.sys
17:33:15.0671 3048  NdisIP - ok
17:33:15.0703 3048  [ 0109C4F3850DFBAB279542515386AE22 ] NdisTapi        C:\WINDOWS\system32\DRIVERS\ndistapi.sys
17:33:15.0718 3048  NdisTapi - ok
17:33:15.0734 3048  [ F927A4434C5028758A842943EF1A3849 ] Ndisuio         C:\WINDOWS\system32\DRIVERS\ndisuio.sys
17:33:15.0828 3048  Ndisuio - ok
17:33:15.0859 3048  [ EDC1531A49C80614B2CFDA43CA8659AB ] NdisWan         C:\WINDOWS\system32\DRIVERS\ndiswan.sys
17:33:15.0937 3048  NdisWan - ok
17:33:15.0968 3048  [ 9282BD12DFB069D3889EB3FCC1000A9B ] NDProxy         C:\WINDOWS\system32\drivers\NDProxy.sys
17:33:15.0984 3048  NDProxy - ok
17:33:16.0015 3048  [ 80B7A96F908DA13617E7E6832C5C6A64 ] Net Driver HPZ12 C:\WINDOWS\System32\HPZinw12.dll
17:33:16.0031 3048  Net Driver HPZ12 ( UnsignedFile.Multi.Generic ) - warning
17:33:16.0031 3048  Net Driver HPZ12 - detected UnsignedFile.Multi.Generic (1)
17:33:16.0046 3048  [ 5D81CF9A2F1A3A756B66CF684911CDF0 ] NetBIOS         C:\WINDOWS\system32\DRIVERS\netbios.sys
17:33:16.0140 3048  NetBIOS - ok
17:33:16.0156 3048  [ 74B2B2F5BEA5E9A3DC021D685551BD3D ] NetBT           C:\WINDOWS\system32\DRIVERS\netbt.sys
17:33:16.0234 3048  NetBT - ok
17:33:16.0265 3048  [ 8ACE4251BFFD09CE75679FE940E996CC ] NetDDE          C:\WINDOWS\system32\netdde.exe
17:33:16.0375 3048  NetDDE - ok
17:33:16.0390 3048  [ 8ACE4251BFFD09CE75679FE940E996CC ] NetDDEdsdm      C:\WINDOWS\system32\netdde.exe
17:33:16.0468 3048  NetDDEdsdm - ok
17:33:16.0500 3048  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] Netlogon        C:\WINDOWS\System32\lsass.exe
17:33:16.0593 3048  Netlogon - ok
17:33:16.0609 3048  [ E6D88F1F6745BF00B57E7855A2AB696C ] Netman          C:\WINDOWS\System32\netman.dll
17:33:16.0687 3048  Netman - ok
17:33:16.0718 3048  [ 2DD6BB85C8BDAE6116565AB5BECA4F7C ] netr73          C:\WINDOWS\system32\DRIVERS\netr73.sys
17:33:16.0734 3048  netr73 ( UnsignedFile.Multi.Generic ) - warning
17:33:16.0734 3048  netr73 - detected UnsignedFile.Multi.Generic (1)
17:33:16.0765 3048  [ D34612C5D02D026535B3095D620626AE ] NetTcpPortSharing C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
17:33:16.0781 3048  NetTcpPortSharing - ok
17:33:16.0812 3048  [ E9E47CFB2D461FA0FC75B7A74C6383EA ] NIC1394         C:\WINDOWS\system32\DRIVERS\nic1394.sys
17:33:16.0890 3048  NIC1394 - ok
17:33:16.0921 3048  [ F1B67B6B0751AE0E6E964B02821206A3 ] Nla             C:\WINDOWS\System32\mswsock.dll
17:33:16.0937 3048  Nla - ok
17:33:16.0968 3048  [ 7AEA4DF1CA68FD45DD4BBE1F0243CE7F ] NMSAccess       F:\CDBurnerXP\NMSAccessU.exe
17:33:16.0984 3048  NMSAccess - ok
17:33:17.0000 3048  [ 3182D64AE053D6FB034F44B6DEF8034A ] Npfs            C:\WINDOWS\system32\drivers\Npfs.sys
17:33:17.0093 3048  Npfs - ok
17:33:17.0109 3048  [ 78A08DD6A8D65E697C18E1DB01C5CDCA ] Ntfs            C:\WINDOWS\system32\drivers\Ntfs.sys
17:33:17.0234 3048  Ntfs - ok
17:33:17.0265 3048  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] NtLmSsp         C:\WINDOWS\System32\lsass.exe
17:33:17.0343 3048  NtLmSsp - ok
17:33:17.0375 3048  [ 56AF4064996FA5BAC9C449B1514B4770 ] NtmsSvc         C:\WINDOWS\system32\ntmssvc.dll
17:33:17.0484 3048  NtmsSvc - ok
17:33:17.0515 3048  [ 73C1E1F395918BC2C6DD67AF7591A3AD ] Null            C:\WINDOWS\system32\drivers\Null.sys
17:33:17.0593 3048  Null - ok
17:33:17.0812 3048  [ C4267BE1FA6B5DFE5A7559F804E31CF5 ] nv              C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
17:33:18.0015 3048  nv ( UnsignedFile.Multi.Generic ) - warning
17:33:18.0015 3048  nv - detected UnsignedFile.Multi.Generic (1)
17:33:18.0062 3048  [ 311D7C3C8FC53F47F03DF9633C0E1498 ] NVHDA           C:\WINDOWS\system32\drivers\nvhda32.sys
17:33:18.0078 3048  NVHDA - ok
17:33:18.0093 3048  [ E5C9F185E980FB63E9B7E81E6EED10CC ] nvsvc           C:\WINDOWS\system32\nvsvc32.exe
17:33:18.0109 3048  nvsvc - ok
17:33:18.0125 3048  [ B305F3FAD35083837EF46A0BBCE2FC57 ] NwlnkFlt        C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
17:33:18.0218 3048  NwlnkFlt - ok
17:33:18.0250 3048  [ C99B3415198D1AAB7227F2C88FD664B9 ] NwlnkFwd        C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
17:33:18.0343 3048  NwlnkFwd - ok
17:33:18.0359 3048  [ CA33832DF41AFB202EE7AEB05145922F ] ohci1394        C:\WINDOWS\system32\DRIVERS\ohci1394.sys
17:33:18.0437 3048  ohci1394 - ok
17:33:18.0468 3048  [ F84785660305B9B903FB3BCA8BA29837 ] Parport         C:\WINDOWS\system32\DRIVERS\parport.sys
17:33:18.0546 3048  Parport - ok
17:33:18.0578 3048  [ BEB3BA25197665D82EC7065B724171C6 ] PartMgr         C:\WINDOWS\system32\drivers\PartMgr.sys
17:33:18.0671 3048  PartMgr - ok
17:33:18.0687 3048  [ C2BF987829099A3EAA2CA6A0A90ECB4F ] ParVdm          C:\WINDOWS\system32\drivers\ParVdm.sys
17:33:18.0781 3048  ParVdm - ok
17:33:18.0812 3048  [ 175CC28DCF819F78CAA3FBD44AD9E52A ] pccsmcfd        C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys
17:33:18.0828 3048  pccsmcfd - ok
17:33:18.0859 3048  [ 387E8DEDC343AA2D1EFBC30580273ACD ] PCI             C:\WINDOWS\system32\DRIVERS\pci.sys
17:33:18.0937 3048  PCI - ok
17:33:18.0953 3048  PCIDump - ok
17:33:18.0984 3048  [ 59BA86D9A61CBCF4DF8E598C331F5B82 ] PCIIde          C:\WINDOWS\system32\DRIVERS\pciide.sys
17:33:19.0078 3048  PCIIde - ok
17:33:19.0093 3048  [ A2A966B77D61847D61A3051DF87C8C97 ] Pcmcia          C:\WINDOWS\system32\drivers\Pcmcia.sys
17:33:19.0203 3048  Pcmcia - ok
17:33:19.0203 3048  PDCOMP - ok
17:33:19.0218 3048  PDFRAME - ok
17:33:19.0234 3048  PDRELI - ok
17:33:19.0250 3048  PDRFRAME - ok
17:33:19.0265 3048  perc2 - ok
17:33:19.0281 3048  perc2hib - ok
17:33:19.0328 3048  [ A3EDBE9053889FB24AB22492472B39DC ] PlugPlay        C:\WINDOWS\system32\services.exe
17:33:19.0343 3048  PlugPlay - ok
17:33:19.0359 3048  [ 0C155C5D8942B3CBCF9506A9D376B9AD ] Pml Driver HPZ12 C:\WINDOWS\System32\HPZipm12.dll
17:33:19.0375 3048  Pml Driver HPZ12 ( UnsignedFile.Multi.Generic ) - warning
17:33:19.0375 3048  Pml Driver HPZ12 - detected UnsignedFile.Multi.Generic (1)
17:33:19.0406 3048  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] PolicyAgent     C:\WINDOWS\System32\lsass.exe
17:33:19.0484 3048  PolicyAgent - ok
17:33:19.0500 3048  [ EFEEC01B1D3CF84F16DDD24D9D9D8F99 ] PptpMiniport    C:\WINDOWS\system32\DRIVERS\raspptp.sys
17:33:19.0593 3048  PptpMiniport - ok
17:33:19.0593 3048  [ 2CB55427C58679F49AD600FCCBA76360 ] Processor       C:\WINDOWS\system32\DRIVERS\processr.sys
17:33:19.0687 3048  Processor - ok
17:33:19.0703 3048  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] ProtectedStorage C:\WINDOWS\system32\lsass.exe
17:33:19.0781 3048  ProtectedStorage - ok
17:33:19.0812 3048  [ 09298EC810B07E5D582CB3A3F9255424 ] PSched          C:\WINDOWS\system32\DRIVERS\psched.sys
17:33:19.0890 3048  PSched - ok
17:33:19.0921 3048  [ 80D317BD1C3DBC5D4FE7B1678C60CADD ] Ptilink         C:\WINDOWS\system32\DRIVERS\ptilink.sys
17:33:20.0000 3048  Ptilink - ok
17:33:20.0031 3048  [ E42E3433DBB4CFFE8FDD91EAB29AEA8E ] PxHelp20        C:\WINDOWS\system32\Drivers\PxHelp20.sys
17:33:20.0031 3048  PxHelp20 - ok
17:33:20.0046 3048  ql1080 - ok
17:33:20.0062 3048  Ql10wnt - ok
17:33:20.0078 3048  ql12160 - ok
17:33:20.0093 3048  ql1240 - ok
17:33:20.0109 3048  ql1280 - ok
17:33:20.0140 3048  [ FE0D99D6F31E4FAD8159F690D68DED9C ] RasAcd          C:\WINDOWS\system32\DRIVERS\rasacd.sys
17:33:20.0234 3048  RasAcd - ok
17:33:20.0250 3048  [ F5BA6CACCDB66C8F048E867563203246 ] RasAuto         C:\WINDOWS\System32\rasauto.dll
17:33:20.0343 3048  RasAuto - ok
17:33:20.0375 3048  [ 11B4A627BC9614B885C4969BFA5FF8A6 ] Rasl2tp         C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
17:33:20.0453 3048  Rasl2tp - ok
17:33:20.0484 3048  [ F9A7B66EA345726EDB5862A46B1ECCD5 ] RasMan          C:\WINDOWS\System32\rasmans.dll
17:33:20.0578 3048  RasMan - ok
17:33:20.0593 3048  [ 5BC962F2654137C9909C3D4603587DEE ] RasPppoe        C:\WINDOWS\system32\DRIVERS\raspppoe.sys
17:33:20.0671 3048  RasPppoe - ok
17:33:20.0703 3048  [ FDBB1D60066FCFBB7452FD8F9829B242 ] Raspti          C:\WINDOWS\system32\DRIVERS\raspti.sys
17:33:20.0796 3048  Raspti - ok
17:33:20.0812 3048  [ 7AD224AD1A1437FE28D89CF22B17780A ] Rdbss           C:\WINDOWS\system32\DRIVERS\rdbss.sys
17:33:20.0906 3048  Rdbss - ok
17:33:20.0921 3048  [ 4912D5B403614CE99C28420F75353332 ] RDPCDD          C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
17:33:21.0031 3048  RDPCDD - ok
17:33:21.0078 3048  [ 43AF5212BD8FB5BA6EED9754358BD8F7 ] RDPWD           C:\WINDOWS\system32\drivers\RDPWD.sys
17:33:21.0093 3048  RDPWD - ok
17:33:21.0125 3048  [ 263AF18AF0F3DB99F574C95F284CCEC9 ] RDSessMgr       C:\WINDOWS\system32\sessmgr.exe
17:33:21.0218 3048  RDSessMgr - ok
17:33:21.0250 3048  [ ED761D453856F795A7FE056E42C36365 ] redbook         C:\WINDOWS\system32\DRIVERS\redbook.sys
17:33:21.0359 3048  redbook - ok
17:33:21.0421 3048  [ DCD47436476140ECC3998672C0B85BE3 ] ReminderFoxUpdater C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\ReminderFox\IE\ReminderFoxUpdater.exe
17:33:21.0437 3048  ReminderFoxUpdater ( UnsignedFile.Multi.Generic ) - warning
17:33:21.0437 3048  ReminderFoxUpdater - detected UnsignedFile.Multi.Generic (1)
17:33:21.0453 3048  [ 0E97EC96D6942CEEC2D188CC2EB69A01 ] RemoteAccess    C:\WINDOWS\System32\mprdim.dll
17:33:21.0546 3048  RemoteAccess - ok
17:33:21.0562 3048  [ 2A02E21867497DF20B8FC95631395169 ] RpcLocator      C:\WINDOWS\System32\locator.exe
17:33:21.0656 3048  RpcLocator - ok
17:33:21.0687 3048  [ 3127AFBF2C1ED0AB14A1BBB7AAECB85B ] RpcSs           C:\WINDOWS\system32\rpcss.dll
17:33:21.0703 3048  RpcSs - ok
17:33:21.0718 3048  [ 4BDD71B4B521521499DFD14735C4F398 ] RSVP            C:\WINDOWS\System32\rsvp.exe
17:33:21.0828 3048  RSVP - ok
17:33:21.0859 3048  [ DA4980FAD2B7D86D6ED8E35E3874F65E ] RT73            C:\WINDOWS\system32\DRIVERS\rt73.sys
17:33:21.0906 3048  RT73 - ok
17:33:21.0937 3048  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] SamSs           C:\WINDOWS\system32\lsass.exe
17:33:22.0015 3048  SamSs - ok
17:33:22.0031 3048  [ DCEC079FAD95D36C8DD5CB6D779DFE32 ] SCardSvr        C:\WINDOWS\System32\SCardSvr.exe
17:33:22.0109 3048  SCardSvr - ok
17:33:22.0140 3048  [ A050194A44D7FA8D7186ED2F4E8367AE ] Schedule        C:\WINDOWS\system32\schedsvc.dll
17:33:22.0250 3048  Schedule - ok
17:33:22.0281 3048  [ 90A3935D05B494A5A39D37E71F09A677 ] Secdrv          C:\WINDOWS\system32\DRIVERS\secdrv.sys
17:33:22.0375 3048  Secdrv - ok
17:33:22.0390 3048  [ BEE4CFD1D48C23B44CF4B974B0B79B2B ] seclogon        C:\WINDOWS\System32\seclogon.dll
17:33:22.0468 3048  seclogon - ok
17:33:22.0484 3048  [ 2AAC9B6ED9EDDFFB721D6452E34D67E3 ] SENS            C:\WINDOWS\system32\sens.dll
17:33:22.0562 3048  SENS - ok
17:33:22.0593 3048  [ 0F29512CCD6BEAD730039FB4BD2C85CE ] serenum         C:\WINDOWS\system32\DRIVERS\serenum.sys
17:33:22.0671 3048  serenum - ok
17:33:22.0687 3048  [ CF24EB4F0412C82BCD1F4F35A025E31D ] Serial          C:\WINDOWS\system32\DRIVERS\serial.sys
17:33:22.0765 3048  Serial - ok
17:33:22.0812 3048  [ 9D38320BB32230349379DF5DDBBF7FCE ] ServiceLayer    C:\Programme\PC Connectivity Solution\ServiceLayer.exe
17:33:22.0828 3048  ServiceLayer ( UnsignedFile.Multi.Generic ) - warning
17:33:22.0828 3048  ServiceLayer - detected UnsignedFile.Multi.Generic (1)
17:33:22.0875 3048  [ 8E6B8C671615D126FDC553D1E2DE5562 ] Sfloppy         C:\WINDOWS\system32\drivers\Sfloppy.sys
17:33:22.0968 3048  Sfloppy - ok
17:33:23.0000 3048  [ CAD058D5F8B889A87CA3EB3CF624DCEF ] SharedAccess    C:\WINDOWS\System32\ipnathlp.dll
17:33:23.0093 3048  SharedAccess - ok
17:33:23.0109 3048  [ 2DB7D303C36DDD055215052F118E8E75 ] ShellHWDetection C:\WINDOWS\System32\shsvcs.dll
17:33:23.0125 3048  ShellHWDetection - ok
17:33:23.0140 3048  Simbad - ok
17:33:23.0156 3048  [ 866D538EBE33709A5C9F5C62B73B7D14 ] SLIP            C:\WINDOWS\system32\DRIVERS\SLIP.sys
17:33:23.0250 3048  SLIP - ok
17:33:23.0265 3048  Sparrow - ok
17:33:23.0296 3048  [ AB8B92451ECB048A4D1DE7C3FFCB4A9F ] splitter        C:\WINDOWS\system32\drivers\splitter.sys
17:33:23.0375 3048  splitter - ok
17:33:23.0406 3048  [ 60784F891563FB1B767F70117FC2428F ] Spooler         C:\WINDOWS\system32\spoolsv.exe
17:33:23.0437 3048  Spooler - ok
17:33:23.0453 3048  [ 50FA898F8C032796D3B1B9951BB5A90F ] sr              C:\WINDOWS\system32\DRIVERS\sr.sys
17:33:23.0531 3048  sr - ok
17:33:23.0578 3048  [ FE77A85495065F3AD59C5C65B6C54182 ] srservice       C:\WINDOWS\System32\srsvc.dll
17:33:23.0687 3048  srservice - ok
17:33:23.0718 3048  [ 47DDFC2F003F7F9F0592C6874962A2E7 ] Srv             C:\WINDOWS\system32\DRIVERS\srv.sys
17:33:23.0765 3048  Srv - ok
17:33:23.0781 3048  [ 4DF5B05DFAEC29E13E1ED6F6EE12C500 ] SSDPSRV         C:\WINDOWS\System32\ssdpsrv.dll
17:33:23.0859 3048  SSDPSRV - ok
17:33:23.0906 3048  [ 306521935042FC0A6988D528643619B3 ] StarOpen        C:\WINDOWS\system32\drivers\StarOpen.sys
17:33:23.0906 3048  StarOpen ( UnsignedFile.Multi.Generic ) - warning
17:33:23.0906 3048  StarOpen - detected UnsignedFile.Multi.Generic (1)
17:33:23.0937 3048  [ BC2C5985611C5356B24AEB370953DED9 ] stisvc          C:\WINDOWS\system32\wiaservc.dll
17:33:24.0031 3048  stisvc - ok
17:33:24.0046 3048  [ 77813007BA6265C4B6098187E6ED79D2 ] streamip        C:\WINDOWS\system32\DRIVERS\StreamIP.sys
17:33:24.0140 3048  streamip - ok
17:33:24.0171 3048  [ 3941D127AEF12E93ADDF6FE6EE027E0F ] swenum          C:\WINDOWS\system32\DRIVERS\swenum.sys
17:33:24.0250 3048  swenum - ok
17:33:24.0281 3048  [ 8CE882BCC6CF8A62F2B2323D95CB3D01 ] swmidi          C:\WINDOWS\system32\drivers\swmidi.sys
17:33:24.0359 3048  swmidi - ok
17:33:24.0375 3048  SwPrv - ok
17:33:24.0390 3048  symc810 - ok
17:33:24.0406 3048  symc8xx - ok
17:33:24.0421 3048  sym_hi - ok
17:33:24.0437 3048  sym_u3 - ok
17:33:24.0468 3048  [ 8B83F3ED0F1688B4958F77CD6D2BF290 ] sysaudio        C:\WINDOWS\system32\drivers\sysaudio.sys
17:33:24.0546 3048  sysaudio - ok
17:33:24.0578 3048  [ 2903FFFA2523926D6219428040DCE6B9 ] SysmonLog       C:\WINDOWS\system32\smlogsvc.exe
17:33:24.0656 3048  SysmonLog - ok
17:33:24.0687 3048  [ 05903CAC4B98908D55EA5774775B382E ] TapiSrv         C:\WINDOWS\System32\tapisrv.dll
17:33:24.0781 3048  TapiSrv - ok
17:33:24.0812 3048  [ 9AEFA14BD6B182D61E3119FA5F436D3D ] Tcpip           C:\WINDOWS\system32\DRIVERS\tcpip.sys
17:33:24.0859 3048  Tcpip - ok
17:33:24.0875 3048  [ 6471A66807F5E104E4885F5B67349397 ] TDPIPE          C:\WINDOWS\system32\drivers\TDPIPE.sys
17:33:24.0953 3048  TDPIPE - ok
17:33:24.0984 3048  [ C56B6D0402371CF3700EB322EF3AAF61 ] TDTCP           C:\WINDOWS\system32\drivers\TDTCP.sys
17:33:25.0062 3048  TDTCP - ok
17:33:25.0078 3048  [ 88155247177638048422893737429D9E ] TermDD          C:\WINDOWS\system32\DRIVERS\termdd.sys
17:33:25.0156 3048  TermDD - ok
17:33:25.0187 3048  [ B7DE02C863D8F5A005A7BF375375A6A4 ] TermService     C:\WINDOWS\System32\termsrv.dll
17:33:25.0281 3048  TermService - ok
17:33:25.0312 3048  [ 2DB7D303C36DDD055215052F118E8E75 ] Themes          C:\WINDOWS\System32\shsvcs.dll
17:33:25.0312 3048  Themes - ok
17:33:25.0328 3048  TosIde - ok
17:33:25.0359 3048  [ 626504572B175867F30F3215C04B3E2F ] TrkWks          C:\WINDOWS\system32\trkwks.dll
17:33:25.0437 3048  TrkWks - ok
17:33:25.0453 3048  TwkMs - ok
17:33:25.0468 3048  TWKSER2K - ok
17:33:25.0500 3048  [ D85938F272D1BCF3DB3A31FC0A048928 ] uagp35          C:\WINDOWS\system32\DRIVERS\uagp35.sys
17:33:25.0578 3048  uagp35 - ok
17:33:25.0609 3048  [ 5787B80C2E3C5E2F56C2A233D91FA2C9 ] Udfs            C:\WINDOWS\system32\drivers\Udfs.sys
17:33:25.0687 3048  Udfs - ok
17:33:25.0703 3048  ultra - ok
17:33:25.0734 3048  [ 402DDC88356B1BAC0EE3DD1580C76A31 ] Update          C:\WINDOWS\system32\DRIVERS\update.sys
17:33:25.0843 3048  Update - ok
17:33:25.0890 3048  [ 1DFD8975D8C89214B98D9387C1125B49 ] upnphost        C:\WINDOWS\System32\upnphost.dll
17:33:25.0984 3048  upnphost - ok
17:33:26.0000 3048  [ 9B11E6118958E63E1FEF129466E2BDA7 ] UPS             C:\WINDOWS\System32\ups.exe
17:33:26.0078 3048  UPS - ok
17:33:26.0109 3048  [ 173F317CE0DB8E21322E71B7E60A27E8 ] usbccgp         C:\WINDOWS\system32\DRIVERS\usbccgp.sys
17:33:26.0187 3048  usbccgp - ok
17:33:26.0218 3048  [ 65DCF09D0E37D4C6B11B5B0B76D470A7 ] usbehci         C:\WINDOWS\system32\DRIVERS\usbehci.sys
17:33:26.0296 3048  usbehci - ok
17:33:26.0328 3048  [ 1AB3CDDE553B6E064D2E754EFE20285C ] usbhub          C:\WINDOWS\system32\DRIVERS\usbhub.sys
17:33:26.0421 3048  usbhub - ok
17:33:26.0453 3048  [ A717C8721046828520C9EDF31288FC00 ] usbprint        C:\WINDOWS\system32\DRIVERS\usbprint.sys
17:33:26.0531 3048  usbprint - ok
17:33:26.0562 3048  [ A0B8CF9DEB1184FBDD20784A58FA75D4 ] usbscan         C:\WINDOWS\system32\DRIVERS\usbscan.sys
17:33:26.0640 3048  usbscan - ok
17:33:26.0656 3048  [ A32426D9B14A089EAA1D922E0C5801A9 ] usbstor         C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
17:33:26.0750 3048  usbstor - ok
17:33:26.0765 3048  [ 26496F9DEE2D787FC3E61AD54821FFE6 ] usbuhci         C:\WINDOWS\system32\DRIVERS\usbuhci.sys
17:33:26.0843 3048  usbuhci - ok
17:33:26.0859 3048  [ B6CC50279D6CD28E090A5D33244ADC9A ] usb_rndisx      C:\WINDOWS\system32\DRIVERS\usb8023x.sys
17:33:26.0937 3048  usb_rndisx - ok
17:33:26.0968 3048  [ 0D3A8FAFCEACD8B7625CD549757A7DF1 ] VgaSave         C:\WINDOWS\System32\drivers\vga.sys
17:33:27.0062 3048  VgaSave - ok
17:33:27.0093 3048  [ 3B3EFCDA263B8AC14FDF9CBDD0791B2E ] ViaIde          C:\WINDOWS\system32\DRIVERS\viaide.sys
17:33:27.0171 3048  ViaIde - ok
17:33:27.0187 3048  [ A5A712F4E880874A477AF790B5186E1D ] VolSnap         C:\WINDOWS\system32\drivers\VolSnap.sys
17:33:27.0265 3048  VolSnap - ok
17:33:27.0296 3048  [ 68F106273BE29E7B7EF8266977268E78 ] VSS             C:\WINDOWS\System32\vssvc.exe
17:33:27.0390 3048  VSS - ok
17:33:27.0406 3048  [ 7B353059E665F8B7AD2BBEAEF597CF45 ] W32Time         C:\WINDOWS\System32\w32time.dll
17:33:27.0500 3048  W32Time - ok
17:33:27.0531 3048  [ E20B95BAEDB550F32DD489265C1DA1F6 ] Wanarp          C:\WINDOWS\system32\DRIVERS\wanarp.sys
17:33:27.0609 3048  Wanarp - ok
17:33:27.0625 3048  WDICA - ok
17:33:27.0656 3048  [ 6768ACF64B18196494413695F0C3A00F ] wdmaud          C:\WINDOWS\system32\drivers\wdmaud.sys
17:33:27.0750 3048  wdmaud - ok
17:33:27.0781 3048  [ 81727C9873E3905A2FFC1EBD07265002 ] WebClient       C:\WINDOWS\System32\webclnt.dll
17:33:27.0875 3048  WebClient - ok
17:33:27.0906 3048  [ F124321F741891B4B4B8A5F3F089C7BE ] winachsf        C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys
17:33:27.0953 3048  winachsf - ok
17:33:28.0000 3048  [ 6F3F3973D97714CC5F906A19FE883729 ] winmgmt         C:\WINDOWS\system32\wbem\WMIsvc.dll
17:33:28.0093 3048  winmgmt - ok
17:33:28.0125 3048  [ C51B4A5C05A5475708E3C81C7765B71D ] WmdmPmSN        C:\WINDOWS\system32\MsPMSNSv.dll
17:33:28.0171 3048  WmdmPmSN - ok
17:33:28.0218 3048  [ 93908111BA57A6E60EC2FA2DE202105C ] WmiApSrv        C:\WINDOWS\System32\wbem\wmiapsrv.exe
17:33:28.0296 3048  WmiApSrv - ok
17:33:28.0359 3048  [ BF05650BB7DF5E9EBDD25974E22403BB ] WMPNetworkSvc   C:\Programme\Windows Media Player\WMPNetwk.exe
17:33:28.0421 3048  WMPNetworkSvc - ok
17:33:28.0453 3048  [ CF4DEF1BF66F06964DC0D91844239104 ] WpdUsb          C:\WINDOWS\system32\DRIVERS\wpdusb.sys
17:33:28.0468 3048  WpdUsb - ok
17:33:28.0500 3048  [ 300B3E84FAF1A5C1F791C159BA28035D ] wscsvc          C:\WINDOWS\system32\wscsvc.dll
17:33:28.0593 3048  wscsvc - ok
17:33:28.0609 3048  [ C98B39829C2BBD34E454150633C62C78 ] WSTCODEC        C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
17:33:28.0703 3048  WSTCODEC - ok
17:33:28.0718 3048  [ 7B4FE05202AA6BF9F4DFD0E6A0D8A085 ] wuauserv        C:\WINDOWS\system32\wuauserv.dll
17:33:28.0796 3048  wuauserv - ok
17:33:28.0828 3048  [ F15FEAFFFBB3644CCC80C5DA584E6311 ] WudfPf          C:\WINDOWS\system32\DRIVERS\WudfPf.sys
17:33:28.0843 3048  WudfPf - ok
17:33:28.0875 3048  [ 28B524262BCE6DE1F7EF9F510BA3985B ] WudfRd          C:\WINDOWS\system32\DRIVERS\wudfrd.sys
17:33:28.0890 3048  WudfRd - ok
17:33:28.0906 3048  [ 05231C04253C5BC30B26CBAAE680ED89 ] WudfSvc         C:\WINDOWS\System32\WUDFSvc.dll
17:33:28.0937 3048  WudfSvc - ok
17:33:28.0968 3048  [ C4F109C005F6725162D2D12CA751E4A7 ] WZCSVC          C:\WINDOWS\System32\wzcsvc.dll
17:33:29.0093 3048  WZCSVC - ok
17:33:29.0125 3048  [ 0ADA34871A2E1CD2CAAFED1237A47750 ] xmlprov         C:\WINDOWS\System32\xmlprov.dll
17:33:29.0234 3048  xmlprov - ok
17:33:29.0265 3048  [ 41CF36A3CC7786575247ED456918E112 ] XUIF            C:\WINDOWS\system32\Drivers\x10ufx2.sys
17:33:29.0281 3048  XUIF - ok
17:33:29.0328 3048  ================ Scan global ===============================
17:33:29.0343 3048  [ 2C60091CA5F67C3032EAB3B30390C27F ] C:\WINDOWS\system32\basesrv.dll
17:33:29.0359 3048  [ A28CE25B59C90E12743001A1F2AE3613 ] C:\WINDOWS\system32\winsrv.dll
17:33:29.0375 3048  [ A28CE25B59C90E12743001A1F2AE3613 ] C:\WINDOWS\system32\winsrv.dll
17:33:29.0390 3048  [ A3EDBE9053889FB24AB22492472B39DC ] C:\WINDOWS\system32\services.exe
17:33:29.0390 3048  [Global] - ok
17:33:29.0390 3048  ================ Scan MBR ==================================
17:33:29.0406 3048  [ 72B8CE41AF0DE751C946802B3ED844B4 ] \Device\Harddisk0\DR0
17:33:29.0609 3048  \Device\Harddisk0\DR0 - ok
17:33:29.0625 3048  [ 8F558EB6672622401DA993E1E865C861 ] \Device\Harddisk1\DR7
17:33:29.0796 3048  \Device\Harddisk1\DR7 - ok
17:33:29.0812 3048  [ E5FA06ACA0D60BA9C870D0EF3D9898C9 ] \Device\Harddisk5\DR16
17:33:32.0296 3048  \Device\Harddisk5\DR16 - ok
17:33:32.0296 3048  ================ Scan VBR ==================================
17:33:32.0296 3048  [ D22282C0DD6F2596098398A79DB3C038 ] \Device\Harddisk0\DR0\Partition1
17:33:32.0296 3048  \Device\Harddisk0\DR0\Partition1 - ok
17:33:32.0328 3048  [ B2A176F450BB5966BE750CAB89B001DE ] \Device\Harddisk0\DR0\Partition2
17:33:32.0328 3048  \Device\Harddisk0\DR0\Partition2 - ok
17:33:32.0343 3048  [ 89FEF2CDE606027282A9455033EA83C8 ] \Device\Harddisk0\DR0\Partition3
17:33:32.0343 3048  \Device\Harddisk0\DR0\Partition3 - ok
17:33:32.0375 3048  [ 75F1165979CDF7A8C55880DAA6EC642B ] \Device\Harddisk0\DR0\Partition4
17:33:32.0375 3048  \Device\Harddisk0\DR0\Partition4 - ok
17:33:32.0390 3048  [ 43625A4A4B6FC9805186C063D6139DAC ] \Device\Harddisk0\DR0\Partition5
17:33:32.0390 3048  \Device\Harddisk0\DR0\Partition5 - ok
17:33:32.0406 3048  [ 0B4A9E40CA8B10A5A8C29B99DECBB3F8 ] \Device\Harddisk0\DR0\Partition6
17:33:32.0406 3048  \Device\Harddisk0\DR0\Partition6 - ok
17:33:32.0421 3048  [ 1C69690F6EF587B059D67EF44430A98A ] \Device\Harddisk1\DR7\Partition1
17:33:32.0421 3048  \Device\Harddisk1\DR7\Partition1 - ok
17:33:32.0437 3048  [ 14DEA1EA9E22423684F51359679C6816 ] \Device\Harddisk1\DR7\Partition2
17:33:32.0437 3048  \Device\Harddisk1\DR7\Partition2 - ok
17:33:32.0453 3048  [ B32799AE6221C8559BCBB447BF5FFBFF ] \Device\Harddisk5\DR16\Partition1
17:33:32.0453 3048  \Device\Harddisk5\DR16\Partition1 - ok
17:33:32.0453 3048  ============================================================
17:33:32.0453 3048  Scan finished
17:33:32.0453 3048  ============================================================
17:33:32.0578 3032  Detected object count: 12
17:33:32.0578 3032  Actual detected object count: 12
17:33:58.0406 3032  Aspi32 ( UnsignedFile.Multi.Generic ) - skipped by user
17:33:58.0406 3032  Aspi32 ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:33:58.0406 3032  FirebirdServerMAGIXInstance ( UnsignedFile.Multi.Generic ) - skipped by user
17:33:58.0406 3032  FirebirdServerMAGIXInstance ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:33:58.0421 3032  FsUsbExDisk ( UnsignedFile.Multi.Generic ) - skipped by user
17:33:58.0421 3032  FsUsbExDisk ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:33:58.0421 3032  HP LaserJet Service ( UnsignedFile.Multi.Generic ) - skipped by user
17:33:58.0421 3032  HP LaserJet Service ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:33:58.0437 3032  IntcAzAudAddService ( UnsignedFile.Multi.Generic ) - skipped by user
17:33:58.0437 3032  IntcAzAudAddService ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:33:58.0437 3032  Net Driver HPZ12 ( UnsignedFile.Multi.Generic ) - skipped by user
17:33:58.0437 3032  Net Driver HPZ12 ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:33:58.0437 3032  netr73 ( UnsignedFile.Multi.Generic ) - skipped by user
17:33:58.0437 3032  netr73 ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:33:58.0453 3032  nv ( UnsignedFile.Multi.Generic ) - skipped by user
17:33:58.0453 3032  nv ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:33:58.0453 3032  Pml Driver HPZ12 ( UnsignedFile.Multi.Generic ) - skipped by user
17:33:58.0453 3032  Pml Driver HPZ12 ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:33:58.0468 3032  ReminderFoxUpdater ( UnsignedFile.Multi.Generic ) - skipped by user
17:33:58.0468 3032  ReminderFoxUpdater ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:33:58.0468 3032  ServiceLayer ( UnsignedFile.Multi.Generic ) - skipped by user
17:33:58.0468 3032  ServiceLayer ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:33:58.0484 3032  StarOpen ( UnsignedFile.Multi.Generic ) - skipped by user
17:33:58.0484 3032  StarOpen ( UnsignedFile.Multi.Generic ) - User select action: Skip

cosinus · 03.09.2012, 20:24

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

mueffel · 04.09.2012, 16:02

Hier das ComboFix-Log:

Code:

ATTFilter

ComboFix 12-09-04.01 - Internet 04.09.2012  16:48:54.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2046.1620 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Internet\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Internet_2\4.0
c:\dokumente und einstellungen\Internet_2\Anwendungsdaten\.#
c:\windows\system32\dllcache\dlimport.exe
c:\windows\system32\dllcache\wmpvis.dll
c:\windows\system32\drivers\etc\hosts.ics
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-08-04 bis 2012-09-04  ))))))))))))))))))))))))))))))
.
.
2012-09-04 14:42 . 2012-08-23 07:15	7022536	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{D5D56ABF-FD92-444E-B225-1E63D33E91E6}\mpengine.dll
2012-09-01 21:41 . 2012-09-01 21:41	--------	d-----w-	C:\_OTL
2012-09-01 18:36 . 2012-08-23 07:15	7022536	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-06 13:59 . 2001-08-18 12:00	78336	----a-w-	c:\windows\system32\browser.dll
2012-07-04 14:05 . 2011-04-30 11:17	139784	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-07-03 18:25 . 2001-08-18 12:00	1866240	----a-w-	c:\windows\system32\win32k.sys
2012-07-03 11:46 . 2011-05-30 21:43	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-07-02 17:39 . 2001-08-18 12:00	916992	----a-w-	c:\windows\system32\wininet.dll
2012-07-02 17:39 . 2001-08-18 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-07-02 17:39 . 2001-08-18 12:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2012-07-02 12:05 . 2011-04-30 13:13	385024	----a-w-	c:\windows\system32\html.iec
2012-06-26 19:48 . 2012-06-26 19:48	53248	----a-r-	c:\dokumente und einstellungen\Internet\Anwendungsdaten\Microsoft\Installer\{DF6FE172-006A-4324-AF7F-ACFE4BA290FE}\ARPPRODUCTICON.exe
2012-06-25 14:04 . 2012-06-25 14:04	1394248	----a-w-	c:\windows\system32\msxml4.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7C9B39E6-6606-4ED2-8A3F-36E39C78CBDC}]
2012-02-02 13:33	269824	----a-w-	c:\dokumente und einstellungen\Internet\Anwendungsdaten\ReminderFox\IE\ReminderFox.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-10-08 13851752]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-04-04 05:53	843712	----a-w-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2006-10-09 09:50	69632	----a-r-	c:\windows\ALCMTR.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonSolutionMenu]
2007-05-14 16:01	644696	----a-w-	c:\programme\Canon\SolutionMenu\CNSLMAIN.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2010-06-09 18:55	49208	----a-w-	c:\programme\HP\HP Software Update\hpwuschd2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2010-10-08 01:28	13851752	----a-w-	c:\windows\system32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2010-10-08 01:28	110696	----a-w-	c:\windows\system32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2010-08-25 23:12	1753192	----a-w-	c:\programme\NVIDIA Corporation\nView\nwiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2006-10-09 09:50	16236032	----a-r-	c:\windows\RTHDCPL.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
2006-10-25 07:03	210472	----a-w-	c:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2012-01-18 12:02	254696	----a-w-	c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ToolboxFX]
2010-10-25 12:40	58936	----a-w-	c:\programme\HP\ToolboxFX\bin\HPTLBXFX.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
.
R2 AAV UpdateService;AAV UpdateService;f:\aavupdatemanager\aavus.exe [24.10.2008 16:35 128296]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [27.08.2009 18:09 1253376]
R2 HP LaserJet Service;HP LaserJet Service;c:\programme\HP\HPLaserJetService\HPLaserJetService.exe [25.10.2010 14:53 145920]
R3 3xHybrid;Philips SAA713x PCI Card;c:\windows\system32\drivers\3xHybrid.sys [30.04.2011 14:20 1105664]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32.sys [13.12.2011 19:53 100712]
S0 TwkMs;CHIPDRIVE Mouse Adapter; [x]
S2 ReminderFoxUpdater;ReminderFox Updater;c:\dokumente und einstellungen\Internet\Anwendungsdaten\ReminderFox\IE\ReminderFoxUpdater.exe [02.02.2012 15:32 18432]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 12:10 3276800]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [14.12.2011 13:03 36608]
S3 HPFXBULKLEDM;HPFXBULKLEDM;c:\windows\system32\drivers\hppcbulkio.sys [07.04.2012 00:01 20504]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [02.05.2012 17:56 113120]
S3 netr73;RT73 USB Wireless LAN Card Driver for Vista;c:\windows\system32\drivers\netr73.sys [30.04.2011 14:17 247808]
S3 TWKSER2K;CHIPDRIVE Serial SmartCardReader;c:\windows\system32\DRIVERS\TWKSER2K.sys --> c:\windows\system32\DRIVERS\TWKSER2K.sys [?]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
.
Inhalt des "geplante Tasks" Ordners
.
2012-09-04 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job
- c:\programme\Microsoft Security Client\MpCmdRun.exe [2012-03-26 15:03]
.
.
------- Zusätzlicher Suchlauf -------
.
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Internet\Anwendungsdaten\Mozilla\Firefox\Profiles\5whlkl1p.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=302398&p=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-WinampAgent - f:\winamp\winampa.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-09-04 16:51
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"???
???µ???????
???"=multi:"\00\00\00\00\00@\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00ø\00\00\00\0e\1fº\0e\00´\09Í!¸\01LÍ!This program cannot be run in DOS mode.\0d\0d\0a$\00\00\00\00\00\00\00›w{ïß\16\15¼ß\16\15¼ß\16\15¼øÐx¼Þ\16\15¼øÐ{¼Þ\16\15¼\1c\19H¼Ò\16\15¼ß\16\14¼|\16\15¼oÓh¼Â\16\15¼oÓx¼v\16\15¼oÓ{¼ã\16\15¼øÐ\00\00"
.
Zeit der Fertigstellung: 2012-09-04  16:52:41
ComboFix-quarantined-files.txt  2012-09-04 14:52
.
Vor Suchlauf: 5.789.261.824 Bytes frei
Nach Suchlauf: 6.053.994.496 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
.
- - End Of File - - B4AC10E9D7B66919E90D2CC7BFF7759C

cosinus · 04.09.2012, 18:49

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

mueffel · 06.09.2012, 16:48

Anbei drei Logs:

GMER:

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-09-06 16:36:48
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T1L0-3 ST3360320AS rev.3.AAM
Running: fmicdiyz.exe; Driver: C:\DOKUME~1\Internet\LOKALE~1\Temp\pgtdrpob.sys


---- Kernel code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                                                     section is writeable [0xB746B3A0, 0x5C77B9, 0xE8000020]

---- Registry - GMER 1.0.15 ----

Reg    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\@P_:}0+\r\0È${\5\fïµ\0ú.1}\xbd/1}\xa0o:}h*\r\0X_:}t\6  ?????@???????????????????????????????????????????????!??L?!This program cannot be run in DOS mode.   $????????w{???????????????x???????{???????H?????????|???o?h?????o?x?v???o?{????????

---- EOF - GMER 1.0.15 ----

OSAM:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 16:45:37 on 06.09.2012

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 14.0.1

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"Microsoft Antimalware Scheduled Scan.job" - "Microsoft Corporation" - C:\Programme\Microsoft Security Client\MpCmdRun.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Aspi32" (Aspi32) - "Adaptec" - C:\WINDOWS\System32\drivers\aspi32.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Internet\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"CHIPDRIVE Serial SmartCardReader" (TWKSER2K) - ? - C:\WINDOWS\System32\DRIVERS\TWKSER2K.sys  (File not found)
"FsUsbExDisk" (FsUsbExDisk) - ? - C:\WINDOWS\system32\FsUsbExDisk.SYS  (File found, but it contains no detailed information)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MpKsl8a7b76ea" (MpKsl8a7b76ea) - "Microsoft Corporation" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CD129F91-05B8-436F-812F-1F4C4946CEF2}\MpKsl8a7b76ea.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"pgtdrpob" (pgtdrpob) - ? - C:\DOKUME~1\Internet\LOKALE~1\Temp\pgtdrpob.sys  (Hidden registry entry, rootkit activity | File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"RT73 USB Wireless LAN Card Driver for Vista" (netr73) - "Ralink Technology Inc." - C:\WINDOWS\System32\DRIVERS\netr73.sys
"StarOpen" (StarOpen) - ? - C:\WINDOWS\system32\drivers\StarOpen.sys  (File found, but it contains no detailed information)
"TwkMs" (TwkMs) - ? - C:\WINDOWS\system32\drivers\TwkMs.sys  (File not found)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{09A47860-11B0-4DA5-AFA5-26D86198A780} "EPP" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\shellext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_22\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_31" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_31.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} "Java Plug-in 1.6.0_31" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_31.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_31" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_31.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "Java(tm) Plug-In SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{7C9B39E6-6606-4ED2-8A3F-36E39C78CBDC} "ReminderFox" - "Tom Mutdosch" - C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\ReminderFox\IE\ReminderFox.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Internet\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"MSC" - "Microsoft Corporation" - "C:\Programme\Microsoft Security Client\msseces.exe" -hide -runkey
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"HP Standard TCP/IP Port" - "Hewlett Packard" - C:\WINDOWS\system32\HpTcpMon.dll
"PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)
"Redirected Port" - ? - C:\WINDOWS\system32\redmonnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"AAV UpdateService" (AAV UpdateService) - ? - F:\AAVUpdateManager\aavus.exe
"Adobe Active File Monitor V5" (AdobeActiveFileMonitor5.0) - ? - F:\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe  (File found, but it contains no detailed information)
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"FABS - Helping agent for MAGIX media database" (Fabs) - "MAGIX AG" - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
"Firebird Server - MAGIX Instance" (FirebirdServerMAGIXInstance) - "MAGIX®" - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe
"HP LaserJet Service" (HP LaserJet Service) - "HP" - C:\Programme\HP\HPLaserJetService\HPLaserJetService.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"Microsoft Antimalware Service" (MsMpSvc) - "Microsoft Corporation" - C:\Programme\Microsoft Security Client\MsMpEng.exe
"Mozilla Maintenance Service" (MozillaMaintenance) - "Mozilla Foundation" - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
"Net Driver HPZ12" (Net Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\System32\HPZinw12.dll
"NMSAccess" (NMSAccess) - ? - F:\CDBurnerXP\NMSAccessU.exe  (File found, but it contains no detailed information)
"NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"Pml Driver HPZ12" (Pml Driver HPZ12) - "Hewlett-Packard" - C:\WINDOWS\System32\HPZipm12.dll
"ReminderFox Updater" (ReminderFoxUpdater) - ? - C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\ReminderFox\IE\ReminderFoxUpdater.exe  (File found, but it contains no detailed information)
"ServiceLayer" (ServiceLayer) - "Nokia." - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

aswMBR:

Code:

ATTFilter

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-09-06 16:47:54
-----------------------------
16:47:54.812    OS Version: Windows 5.1.2600 Service Pack 3
16:47:54.812    Number of processors: 2 586 0xF02
16:47:54.812    ComputerName: A  UserName: 
16:47:55.218    Initialize success
16:51:35.812    AVAST engine defs: 12090600
16:52:14.765    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T1L0-3
16:52:14.765    Disk 0 Vendor: ST3360320AS 3.AAM Size: 343399MB BusType: 3
16:52:14.796    Disk 0 MBR read successfully
16:52:14.796    Disk 0 MBR scan
16:52:14.812    Disk 0 Windows XP default MBR code
16:52:14.812    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        20481 MB offset 63
16:52:14.828    Disk 0 Partition - 00     0F Extended LBA            322915 MB offset 41945715
16:52:14.859    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        30718 MB offset 41945778
16:52:14.859    Disk 0 Partition - 00     05     Extended              1027 MB offset 104856255
16:52:14.875    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS         1027 MB offset 104856318
16:52:14.890    Disk 0 Partition - 00     05     Extended             51199 MB offset 169871310
16:52:14.921    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS        51199 MB offset 106960833
16:52:14.921    Disk 0 Partition - 00     05     Extended             71680 MB offset 276832080
16:52:14.968    Disk 0 Partition 5 00     07    HPFS/NTFS NTFS        71680 MB offset 211817088
16:52:14.968    Disk 0 Partition - 00     05     Extended            168290 MB offset 528490305
16:52:15.015    Disk 0 Partition 6 00     07    HPFS/NTFS NTFS       168290 MB offset 358619058
16:52:15.046    Disk 0 scanning sectors +703277505
16:52:15.218    Disk 0 scanning C:\WINDOWS\system32\drivers
16:52:48.296    Service scanning
16:52:55.500    Service MpKsl8a7b76ea C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{CD129F91-05B8-436F-812F-1F4C4946CEF2}\MpKsl8a7b76ea.sys **LOCKED** 32
16:53:05.656    Modules scanning
16:53:34.968    Disk 0 trace - called modules:
16:53:35.000    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
16:53:35.000    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89cfbab8]
16:53:35.000    3 CLASSPNP.SYS[b8108fd7] -> nt!IofCallDriver -> \Device\00000067[0x89d01f18]
16:53:35.015    5 ACPI.sys[b7f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T1L0-3[0x89d6ad98]
16:53:35.187    AVAST engine scan C:\WINDOWS
16:53:54.593    AVAST engine scan C:\WINDOWS\system32
17:00:21.703    AVAST engine scan C:\WINDOWS\system32\drivers
17:01:02.625    AVAST engine scan C:\Dokumente und Einstellungen\Internet
17:03:00.375    AVAST engine scan C:\Dokumente und Einstellungen\All Users
17:09:22.796    Scan finished successfully
17:48:48.250    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Internet\Desktop\MBR.dat"
17:48:48.250    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Internet\Desktop\aswMBR.txt"

cosinus · 06.09.2012, 20:05

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

mueffel · 11.09.2012, 06:25

Moin, ich habe die Scans mit gemacht. Malwarebytes hat nichts gefunden. SUPERAntiSpyware hat drei Cookies (etracker) auf C:\ gefunden. Die Logs kann ich erst heute abend posten. Ich habe nichts gelöscht oder ähnliches und SUPERAntiSpyware abgebrochen.
Seit dem Scan mit SUPERAntiSpyware komme ich jetzt nicht mehr ins Internet. Gibt es hier einen Zusammenhang? Die Verbindung steht, zeigt zumindest der Router an.

Wie und warum auch immer, das Internet funktioniert wieder.
Hier die Logs:

Malwarebytes

Code:

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.09.09.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Internet :: A [Administrator]

09.09.2012 21:03:44
mbam-log-2012-09-09 (21-03-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|P:\|Q:\|R:\|U:\|V:\|W:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P
Deaktivierte Suchlaufeinstellungen: 
Durchsuchte Objekte: 367544
Laufzeit: 58 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

SUPERAntiSpyware

Code:

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/10/2012 at 08:57 PM

Application Version : 5.5.1016

Core Rules Database Version : 9200
Trace Rules Database Version: 7012

Scan type       : Complete Scan
Total Scan Time : 03:17:10

Operating System Information
Windows XP Home Edition 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned      : 447
Memory threats detected   : 0
Registry items scanned    : 33363
Registry threats detected : 0
File items scanned        : 108002
File threats detected     : 3

Adware.Tracking Cookie
	www.etracker.de [ C:\DOKUMENTE UND EINSTELLUNGEN\INTERNET\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\5WHLKL1P.DEFAULT\COOKIES.SQLITE ]
	www.etracker.de [ C:\DOKUMENTE UND EINSTELLUNGEN\INTERNET\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\5WHLKL1P.DEFAULT\COOKIES.SQLITE ]
	www.etracker.de [ C:\DOKUMENTE UND EINSTELLUNGEN\INTERNET\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\5WHLKL1P.DEFAULT\COOKIES.SQLITE ]

cosinus · 11.09.2012, 15:57

Sieht ok aus, da wurden nur Cookies gefunden.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

mueffel · 11.09.2012, 16:48

Hi, danke. So wie ich das sehe, gibt es keine Probleme weiter.
Kann ich die zwischenzeitlich verwendeten Tools löschen bzw. deinstallieren?

Was mir nicht klar ist, wie sich der Trojaner auf meinem System einnisten konnte (siehe meine Notiz vom 19.07.2012). Es gibt anscheinend keinen 100%igen Schutz, hm?

Was hälst du hiervon?
Macht es Sinn, Linux und Windows nebeneinander auf dem PC zu installieren? Linux für den Weg ins Internet und Windows für den ganzen Rest? Ist man dann nicht vor solchen Schweinereien geschützt?

Zitat:

Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich habe Firefox so eingestellt, dass alles beim Schließen gelöscht wird. Das reicht doch oder?

Gibt es noch einen Tipp bezüglich Adobe Acrobat Reader? Soll ich den deinstallieren und einen anderen PDF-Reader nehmen?

cosinus · 11.09.2012, 22:05

Zitat:

Es gibt anscheinend keinen 100%igen Schutz, hm?

Nein. Der PC stammt nicht aus irgendeiner utopischen Welt, sondern aus der Realität und ist Ergebnis jahrelanger Forschung und Entdeckungen aus den verschiedensten Bereichen (Physik, Chemie, Technik, ...)
Warum soll der PC da eine Ausnahme sein? Weder in Kraftwerken, Autos, Bäckereien noch Trägerraketen und und und gibt es 100% Sicherheit.
Abgesehen davon ist selbst ein einfacher Desktoprechner schon in vielen Sachen genauer betrachtet locker um den Faktor 100 komplizierter als ein (älteres) Auto ohne viel Elektronik-Schnickschnack. Wenn es etwas so technisch komplex ist, steigt die Wahrscheinlichkeit an Fehlern auch an.

Zitat:

Was hälst du hiervon?
Macht es Sinn, Linux und Windows nebeneinander auf dem PC zu installieren? Linux für den Weg ins Internet und Windows für den ganzen Rest? Ist man dann nicht vor solchen Schweinereien geschützt?

Kann man machen, halte ich aber für umständlich. Man will und muss mit Windows ja weiterhin ins Internet. Aber Linux kann man ja für kritische Dinge wie zB OnlineBanking verwenden
Mit Linux bist du zwar aus der Schusslinie aber eben auch nicht vollkommen sicher. Deswegen ist es eben bei jedem Betriebssystem angesagt sich an prinzipielle Verhaltensregeln zur Sicherheit zu halten. Dazu zählt v.a. regelmäßige Backups und Updates, Verzicht auf Adminrechte, beim Browser zB Firefox mit sicherheitsdienlichen Erweiterungen wie NoScript, Flashblock oder WOT auszustatten, unnötige Plugins im Browser deinstallieren/deaktivieren und unnötige Software deinstallieren, etc. pp.

Zitat:

Ich habe Firefox so eingestellt, dass alles beim Schließen gelöscht wird. Das reicht doch oder?

Ja das ist sehr sicher, kann aber auch sehr unkomfortabel sein.
Mit dem CookieCuller ist es komfortabler: Nur die Cookies die du auch behalten willst bleiben erhalten, alle anderen sind bei der nächsten Browserseesion weg. Man muss den CookieCuller aber auch so einstellen. Also Cookies die man behalten will muss man auf den Status "protected" setzen und allgemein so, dass er "unprotected" Cookies löscht.

Zitat:

Gibt es noch einen Tipp bezüglich Adobe Acrobat Reader? Soll ich den deinstallieren und einen anderen PDF-Reader nehmen?

Ja, nach Möglichkeit würde ich dir raten den ganz zu entfernen.
Auf dem Win7-Notebook meiner Freundin werkelt PDF-X-Change und zum Ausprobieren hab ich mal Evince noch nachinstalliert. Evince ist im Linux-Lager ein sehr bekannter Dokumentenbetrachter.

Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => http://www.adobe.com/software/flash/about/
Downloadlinks => http://www.adobe.com/products/flashp...ribution3.html

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

mueffel · 16.09.2012, 12:55

Hi, danke für die zahlreichen Tipps.
Habe nun den Acrobat Reader runtergeschmissen und den PDF XChange Viewer installiert. Das mit Secunia finde ich auch sehr praktisch. Java ist nun auch aktuel...

Auf C: ist noch der Ordner Qoobox zurückgeblieben. Leider kann ich ihn als Admin nicht löschen: Der Zugriff wurde verweigert.

Wie werde ich das Ding los?

06.09.2012, 20:05	#25
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Bundespolizei-Trojaner Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

Bundespolizei-Trojaner

Plagegeister aller Art und deren Bekämpfung: Bundespolizei-Trojaner