| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Remotecontrol/Backdoor-Trojaner/firmware-rootkit auf allen GerätenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
12.11.2012, 01:23
| #1 |
 |  Remotecontrol/Backdoor-Trojaner/firmware-rootkit auf allen Geräten /// Gleich als erstes bitte ich um Entschuldigung für eventuelle Formatierungsfehler und fehlende Logs. Ich versuch mein bestes mich an die Vorgaben zu halten  (Sobald ich nach dem Windows Neuaufsetzen ins Internet geh, haut der mir nach etwa 10 Minuten alle IP´s durcheinander. Daher schreib ich das jetzt in nem Textdokument vor und habe die Files so gut es geht vorbereitet) OTL kann ich leider nicht laden. Ich habe es von 3 oder 4 Mirrors probiert, aber alle meine Internetfähigen Geräte steuern wohl einen anderen DNS Server oder so an und verhindern den Download. Auf einen sauberen Rechner kann ich aber auch nicht, da der USB stick sofort alles infiziert. Ehrlich gesagt hab ich die ganze Hardware auch fast schon aufgegeben nach dem was ich über "Hardware Backdoors" gelesen habe ( hxxp://www.google.com/url?sa=t&source=web&cd=1&ved=0CDEQFjAA&url=http%3A%2F%2Fwww.extremetech.com%2Fcomputing%2F133773-rakshasa-the-hardware-backdoor-that-china-could-embed-in-every-computer&ei=rT6gUJ-VEomPswbH7oGgDw&usg=AFQjCNHZmHUuiPoh7nand1Aji_K1MnxgPw). Aber vielleicht liege ich ja falsch ////Die "Story": Offenbar war ich in ein Botnetz eingebunden und habe ein wenig im System geforscht und Prozesse beendet. Fand nen Logfile was rund 2 monate zurück datiert war. wurden also schön alle meine Daten gesammelt und hochgeladen. Na Super. Hatte Malwarebytes, AVG Free Antivirus und Windows Firewall drauf, aber die waren schon längst unterwandert und zeigten immer schön "alles sauber" an. Offenbar wurd der Rechner in meiner Abwesenheit auch mal hochgefahren etc. Ich war auch ein wenig angeschwipst den Abend und anstatt vernünftigerweise den Rechner auszumachen und mich bei euch zu melden, hab ich natürlich die ganze Nacht rumgespielt und versucht rauszufinden was da alles gemacht wird. Und natürlich auch nix gespeichert von den Logs -.- (DAU halt) Hab dann im Laufe des Abends die Festplatte formatiert. Vorher war Win7 x64 vom USB Stick drauf , aber ich hatte nur noch ne neue 32bit xp home edition hier (super. den oem-key bin ich dann auch los) Bei dem ersten Start von Win XP wurden viele Dateien auf meinem Rechner installiert und "neue hardware gefunden". Lauter Ordner im Win Ordner die da sonst eigentlich nicht sein sollten. Naja mein smartphone war mittlerweile auch ferngesteuert und wurde neu gerootet mit nem manipulierten gingerbread ohne dass ich es mitbekommen hab. Was ich gemacht hab: - Dem Log hab ich entnommen, dass Sie anfangs an den Treibern der Soundkarte was gemacht haben. -> Soundkarte ausgebaut - Hatte manipuliertes BIOS gefunden nachm Neustart -> Neues BIOS raufgeflasht -> Keinen Effekt - Festplatte formatiert (mehrmals auch übers Repairtool mit fixmbr, fixboot und bootcfg /rebuild) -> Nach jedem Neustart wieder manipulierter Bootsektor - Soundkarte+festplatte+dvd-laufwerk ausgebaut+bios geflashed. AUch in Kombination mit Strom-aus und cmos reset. Und nachm Neustart war wieder alles beim alten -.- - regedit+Ereignisprotokolle(Infos sammeln; Einstellungen wurden eh resettet nach Neustart), msconfig , abgesichterter Modus etc. - Router resettet, Wlan aus, neue Passwörter. Kein PC dran bis alles sauber ist. Deshalb häng ich hier jetzt auch mit UMTS - hab probiert mit Ubuntu CD zu booten -> wird vom Laufwerk gefressen und Laufwerk verschwindet ausm Explorer Bin mittlerweile zu dem Schluss gekommen, dass absolut jede Firmware infiziert sein könnte und man jedes einzelne Bauteil/Gerät in sauberer Umgebung neu flashen müsste um dem Herr zu werden. Sogar die Firmware von meiner Digicam die ich vor nem Monat am USB hatte is neu... Hoffentlich krieg ich wenigstens mein Handy wieder hin (vielleicht weiß jemand wo ich damit am besten hingehen kann? Selber machen würd ich eher ungern. Hab weder einen sauberen PC noch Ahnung vom "rooten"). Wenn ich das an Samsung schick werden die mich auch auslachen^^ Was noch fraglich ist: - Ist der W-lan router auch infiziert? Hab schon öfter von manipulierter Firmware gehört wo man dann Vollzugriff auf die Einstellungen kriegen kann und auch DNS server ändern kann usw. Da an dem W-Lan auch noch andere PC´s hingen oder von Besuch etc. befürchte ich dass da jetzt nen Botnet ordentlich zuwachs bekommen hat... - Was sollte ich tun wenn ich mit einem neuen Gerät wieder ins Internet will und den nicht auch gleich anstecken will? - Wo war die Schwachstelle? Aber ich denk mal allein durchs Smartphone hatten sie schon genug Angriffsfläche. Kann gut sein, mal ne falsche App angeklickt zu haben die mir auf den Desktop kopiert wurde  - Welche Geräte sind noch brauchbar? Also ich glaub selbst ne Maus hat ein BIOS oder? - Andere noch nicht formatierte Festplatten sind auch verseucht. Backup am besten alles ins Internet hochladen und dann mit dem sauberen PC wieder runterladen oder? Die Logs sind vom Win XP mit treibern für grafikkarte, soundkarte und Lan. Muessen noch kurz warten inet zu langsam. sorry alles in einem ordner jetzt. lg Geändert von herr nachbar (12.11.2012 um 01:37 Uhr) |
|
12.11.2012, 18:35
| #2 | |||||
| /// Winkelfunktion /// TB-Süch-Tiger™   | Remotecontrol/Backdoor-Trojaner/firmware-rootkit auf allen Geräten Hallo und
__________________ Zitat:
Ein kompromittiertes BIOS ist zwar nicht unmöglich aber äußerst unwahrscheinlich und selten Zitat:
Vorausgesetzt du hast auch wirklich alles richtig gemacht beim Überschreiben des MBR, wo ich noch ein wenig meine Zweifel habe Zitat:
 Dem Router ist es egal was für Kisten an ihm hängen Zitat:
Zitat:
 Sieh erstmal zu, dass du den Rechner von Ubuntu oder einem anderen Live-OS gestartet bekommst. Dann kann man mal sehen ob der MBR noch infiziert ist und ob ein Überschreiben des MBR unter Ubuntu etwas bringt sprich der MBR nicht bei jedem neuen Hochfahren re-infiziert wird.
__________________ |
|
13.11.2012, 02:14
| #3 | ||||
| | Remotecontrol/Backdoor-Trojaner/firmware-rootkit auf allen Geräten Ich hoffe diesmal hab ich mehr hilfreiche Infos im Wall of Text versteckt als im Startpost, Danke schonmal für die schnelle Antwort
__________________Jetzt mal ein ganz frisches Windows und nicht den Fehler gemacht den Internetexplorer zu starten. Die Startseite vom Internetexplorer startet eine dll datei die das internet umkonfiguriert^^ (hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome). Jetzt kann ich auch n vernünftigen Post machen. Die Anhänge (optional): - gmer Der Einfachheit halber mal das gmer-log am Ende des Posts (log von voriger Installation nachdem Grafik- Sound- und Netzwerktreiber installiert waren. Mit frischem Win XP keine Funde gemeldet.) - Systemdateien auf Speichermedien.zip (Bootdateien die das windows auf andere Medien installiert. ->infoquelle) - Screenshots (vielleicht findet man da ja was verdächtiges. "pagefile.sys" 2gb groß?)   - msinfo32.nfo - Zip - hab auch noch logdateien, scripte etc von einigen der Programme, wenn Bedarf besteht. Wüsste zu gerne womit ich es überhaupt zu tun habe, bevor ichs platt mach, aber will jetzt nicht alles mit logs zuspammen ihr wollt hier eh andere sehen und wenns doch nur n langweiliges rootkit ist, hält sich das interesse dann eh in Grenzen Neben einer Kurierung des Systems hätte ich mittlerweile auch durchaus Interesse an gefundenen Spuren die Hinterlassen wurden. Son madiges scriptpaket gehört verbannt^^ Zu deinen Punkten: Zitat:
 ) Unter der Windows den Stick angeguckt dann war da nen papierkorb mit ner .pxr datei drin.Alle Änderungen der BIOS optionen sind in der Registry zu sehen (Anhang: logs) Mein Mainboard hat außerdem das "Asus Express Gate". quasi ein preboot OS welches ich ausgeschaltet hatte aber neuerdings mit einer Fehlermeldung lud. (Die Fehlermeldung war nach meinem ersten bios flash-versuch weg). Asus Express Gate im Bios deaktivieren bleibt ohne Effekt. Außerdem wurde meine Hardware teiwleise garnicht mehr erkannt. Dafür lauter PCI Adapter. Naja ich denk mal die Logdateien sind da recht aufschlussreich. Zitat:
Netzteil aus, zieht er immernoch Strom aus der cmos Batterie. Nehm ich die CMOS batterie raus, blinkt die grüne lampe immernoch. Strom vom Monitorkabel? Erst nach entfernen vom DVI kabel ist der Rechner wirklich aus. Danach hat er beim ersten Start VOR der Anzeige vom BIOS ca 4 sekunden n blackscreen gehabt und paar Geräusche ausm PC. "Klick-Klack" (festplatte?) Und dann ist wieder das manipulierte bios bzw fake bios drauf. Ich hab auch schon alle Geräte die er nicht zum Hochfahren braucht entfernt und dann das Bios geflashed (mir fällt grad ein, vielleicht war der USB stick bereits infiziert und hat das gefaked? Oder der Stick wurde beim Einstecken vom manipulierten Bios/Express Gate direkt unterwandert?) Danach n zweiter Versuch mit Kompletten Strom weg als er gerade fertig war mitm Bios flashen bevor er neustarten konnte. Wieder CMOS Batterie mit raus. Und wieder startet er mit dem falschen BIOS. Also wo steckt der Wurm oder was auch immer? Daher ist es doch auch recht egal ob ich die Festplatte jetzt richtig gereinigt hab oder nicht, da der RAM, das BIOS und die Physikalischen Datenträger wohl nicht die einzigen Malware-Backups im System sind?! Hoffentlich hab ich Unrecht. Zitat:
war son 5 schritte guide gegen mbr rootkits, aber wohl nicht ausreichendIch dachte allerdings auch zuerst an nen mebroot rootkit o.ä. Wenn er jetzt manipulierte windows treiber hat und ich Ubuntu installier sollte er doch eigentlich garnix machen können ohne Internet oder? Also klar, halt wieder recoverykonsole fixmbr deviceharddisk0 um den bootsektor zu fixen oder mal eines der andere Programme ausprobieren. OTL und mbr such ich gleich mal. Das Ubuntu hab ich natürlich beim Booten installieren wollen (von DVD) und dort hing er sich auf. Unter WIndows die selbe Geräuschsymptomatik bis zur ewigen Stille. Aber wie ich mittlerweile in den logs gesehen hab ist das Laufwerk treiberseitig nur als CD Laufwerk installiert/nutzbar?! Hab Ubuntu leider nicht auf Stick und ich kenn niemanden der einen meiner Sticks bei sich reinstecken lassen würde Beim booten sieht man auch, dass das Primäre Bootlaufwerk "Disk" heißt mit der Schnittstelle "Port". Im BIOS ui gibts nur einen Hinweis dass nicht alle bootmedien angezeigt werden können. Zitat:
Ich brauch im Prinzip irgendwas, das noch vor dem express gate bootet, bzw n express gate mit rootkit detection. Aber davon hab ich noch nie gehört^^ Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-11-06 20:56:14
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-10 WDC_WD4000AAKS-00A7B0 rev.01.03B01
Running: gmer.exe; Driver: C:\DOKUME~1\afsgh\LOKALE~1\Temp\pfrcqkob.sys
---- Kernel code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB971E000, 0x2ACED8, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[152] ole32.dll!CoCreateInstanceEx 774F5FB1 5 Bytes JMP 10007FD0 C:\WINDOWS\system\CmGxSrv.DLL (CMGxSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[152] ole32.dll!CoCreateInstance 774F6009 5 Bytes JMP 10007EE0 C:\WINDOWS\system\CmGxSrv.DLL (CMGxSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[224] ole32.dll!CoCreateInstanceEx 774F5FB1 5 Bytes JMP 10007FD0 C:\WINDOWS\system\CmGxSrv.DLL (CMGxSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[224] ole32.dll!CoCreateInstance 774F6009 5 Bytes JMP 10007EE0 C:\WINDOWS\system\CmGxSrv.DLL (CMGxSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Dokumente und Einstellungen\afsgh\Desktop\gmer\gmer.exe[1444] ole32.dll!CoCreateInstanceEx 774F5FB1 5 Bytes JMP 10007FD0 C:\WINDOWS\system\CmGxSrv.DLL (CMGxSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Dokumente und Einstellungen\afsgh\Desktop\gmer\gmer.exe[1444] ole32.dll!CoCreateInstance 774F6009 5 Bytes JMP 10007EE0 C:\WINDOWS\system\CmGxSrv.DLL (CMGxSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\system\CMGxMon.exe[1856] ole32.dll!CoCreateInstanceEx 774F5FB1 5 Bytes JMP 10007FD0 C:\WINDOWS\system\CmGxSrv.DLL (CMGxSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\system\CMGxMon.exe[1856] ole32.dll!CoCreateInstance 774F6009 5 Bytes JMP 10007EE0 C:\WINDOWS\system\CmGxSrv.DLL (CMGxSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\system32\ctfmon.exe[1880] ole32.dll!CoCreateInstanceEx 774F5FB1 5 Bytes JMP 10007FD0 C:\WINDOWS\system\CmGxSrv.DLL (CMGxSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\system32\ctfmon.exe[1880] ole32.dll!CoCreateInstance 774F6009 5 Bytes JMP 10007EE0 C:\WINDOWS\system\CmGxSrv.DLL (CMGxSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Programme\ASUS Xonar DX Audio\Customapp\Program\MXMon.exe[1912] ole32.dll!CoCreateInstanceEx 774F5FB1 5 Bytes JMP 10007FD0 C:\WINDOWS\system\CmGxSrv.DLL (CMGxSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Programme\ASUS Xonar DX Audio\Customapp\Program\MXMon.exe[1912] ole32.dll!CoCreateInstance 774F6009 5 Bytes JMP 10007EE0 C:\WINDOWS\system\CmGxSrv.DLL (CMGxSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\system32\wscntfy.exe[1928] ole32.dll!CoCreateInstanceEx 774F5FB1 5 Bytes JMP 10007FD0 C:\WINDOWS\system\CmGxSrv.DLL (CMGxSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\system32\wscntfy.exe[1928] ole32.dll!CoCreateInstance 774F6009 5 Bytes JMP 10007EE0 C:\WINDOWS\system\CmGxSrv.DLL (CMGxSrv Dynamic Link Library/C-Media Electronics Inc.)
---- EOF - GMER 1.0.15 ----
|
|
13.11.2012, 09:10
| #4 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Remotecontrol/Backdoor-Trojaner/firmware-rootkit auf allen Geräten Hm, das werden zuviele Themen auf einmal und durcheinander, fangen wir mal sauber nur mit wenigen Punkten an Zitat:
Wohl aber können merkwürdige Geräusche sowohl beim Booten als auch bei der Nutzung des opt. Laufwerkes unter Windows auf einen Defekt hindeuten Einfach mal ein anderes optisches Laufwerk einbauen Zitat:
Normalerweise zeigt GMER einen verdächtigen MBR an (rootkit-like behaviour) aber ich seh da nichts 1. aswMBR Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop. Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!
Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button. 2. TDSS-Killer Download TDSS-Killer auf Desktop siehe => http://www.trojaner-board.de/82358-t...entfernen.html Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm! Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs. Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
13.11.2012, 13:46
| #5 |
| | Remotecontrol/Backdoor-Trojaner/firmware-rootkit auf allen GerätenCode:
ATTFilter 13:44:41.0593 2372 TDSS rootkit removing tool 2.8.15.0 Oct 31 2012 21:47:35
13:44:41.0890 2372 ============================================================
13:44:41.0890 2372 Current date / time: 2012/11/08 13:44:41.0890
13:44:41.0890 2372 SystemInfo:
13:44:41.0890 2372
13:44:41.0890 2372 OS Version: 5.1.2600 ServicePack: 2.0
13:44:41.0890 2372 Product type: Workstation
13:44:41.0890 2372 ComputerName: ZTRTZRZR-AD8ABC
13:44:41.0890 2372 UserName: gtzjk
13:44:41.0890 2372 Windows directory: C:\WINDOWS
13:44:41.0890 2372 System windows directory: C:\WINDOWS
13:44:41.0890 2372 Processor architecture: Intel x86
13:44:41.0890 2372 Number of processors: 2
13:44:41.0890 2372 Page size: 0x1000
13:44:41.0890 2372 Boot type: Normal boot
13:44:41.0890 2372 ============================================================
13:44:42.0703 2372 Drive \Device\Harddisk0\DR0 - Size: 0x5D27216000 (372.61 Gb), SectorSize: 0x200, Cylinders: 0x10B31D, SectorsPerTrack: 0x15, TracksPerCylinder: 0x22, Type 'K0', Flags 0x00000054
13:44:42.0703 2372 ============================================================
13:44:42.0703 2372 \Device\Harddisk0\DR0:
13:44:42.0703 2372 MBR partitions:
13:44:42.0703 2372 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x15, BlocksNum 0x2E938C03
13:44:42.0703 2372 ============================================================
13:44:42.0734 2372 C: <-> \Device\Harddisk0\DR0\Partition1
13:44:42.0734 2372 ============================================================
13:44:42.0734 2372 Initialize success
13:44:42.0734 2372 ============================================================
13:45:02.0031 2172 ============================================================
13:45:02.0031 2172 Scan started
13:45:02.0031 2172 Mode: Manual; SigCheck; TDLFS;
13:45:02.0031 2172 ============================================================
13:45:02.0281 2172 ================ Scan system memory ========================
13:45:02.0281 2172 System memory - ok
13:45:02.0281 2172 ================ Scan services =============================
13:45:02.0812 2172 Abiosdsk - ok
13:45:02.0812 2172 abp480n5 - ok
13:45:02.0828 2172 [ 94B4741D2CF9ED38140B831293D1601A ] ACPI C:\WINDOWS\system32\DRIVERS\ACPI.sys
13:45:02.0984 2172 ACPI - ok
13:45:03.0031 2172 [ 9E1CA3160DAFB159CA14F83B1E317F75 ] ACPIEC C:\WINDOWS\system32\drivers\ACPIEC.sys
13:45:03.0078 2172 ACPIEC - ok
13:45:03.0125 2172 [ 0CB0AA071C7B86A64F361DCFDF357329 ] AdobeFlashPlayerUpdateSvc C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
13:45:03.0125 2172 AdobeFlashPlayerUpdateSvc - ok
13:45:03.0125 2172 adpu160m - ok
13:45:03.0140 2172 [ 841F385C6CFAF66B58FBD898722BB4F0 ] aec C:\WINDOWS\system32\drivers\aec.sys
13:45:03.0187 2172 aec - ok
13:45:03.0203 2172 [ 5AC495F4CB807B2B98AD2AD591E6D92E ] AFD C:\WINDOWS\System32\drivers\afd.sys
13:45:03.0250 2172 AFD - ok
13:45:03.0265 2172 Aha154x - ok
13:45:03.0265 2172 aic78u2 - ok
13:45:03.0265 2172 aic78xx - ok
13:45:03.0265 2172 [ 1AAB6C5F8376357CB9B16C38C42C4076 ] Alerter C:\WINDOWS\system32\alrsvc.dll
13:45:03.0328 2172 Alerter - ok
13:45:03.0328 2172 [ 6596DD260FFDE1BDC994C1DF236307BB ] ALG C:\WINDOWS\System32\alg.exe
13:45:03.0343 2172 ALG - ok
13:45:03.0343 2172 AliIde - ok
13:45:03.0359 2172 amsint - ok
13:45:03.0359 2172 AppMgmt - ok
13:45:03.0359 2172 asc - ok
13:45:03.0359 2172 asc3350p - ok
13:45:03.0359 2172 asc3550 - ok
13:45:03.0468 2172 [ D33C507942299753868204CC7642FA27 ] aspnet_state C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
13:45:03.0468 2172 aspnet_state - ok
13:45:03.0468 2172 [ 02000ABF34AF4C218C35D257024807D6 ] AsyncMac C:\WINDOWS\system32\DRIVERS\asyncmac.sys
13:45:03.0515 2172 AsyncMac - ok
13:45:03.0515 2172 [ CDFE4411A69C224BD1D11B2DA92DAC51 ] atapi C:\WINDOWS\system32\DRIVERS\atapi.sys
13:45:03.0578 2172 atapi - ok
13:45:03.0578 2172 Atdisk - ok
13:45:03.0625 2172 [ 6A5614F785DEEA2C17DA494B5198355C ] Ati HotKey Poller C:\WINDOWS\system32\Ati2evxx.exe
13:45:03.0718 2172 Ati HotKey Poller - ok
13:45:03.0828 2172 [ 5CB8B6775285F2F908C3F810EAB78500 ] ati2mtag C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
13:45:04.0062 2172 ati2mtag - ok
13:45:04.0062 2172 [ EC88DA854AB7D7752EC8BE11A741BB7F ] Atmarpc C:\WINDOWS\system32\DRIVERS\atmarpc.sys
13:45:04.0109 2172 Atmarpc - ok
13:45:04.0125 2172 [ E98B8250398F6637B335A76BA8DFB602 ] AudioSrv C:\WINDOWS\System32\audiosrv.dll
13:45:04.0171 2172 AudioSrv - ok
13:45:04.0203 2172 [ D9F724AA26C010A217C97606B160ED68 ] audstub C:\WINDOWS\system32\DRIVERS\audstub.sys
13:45:04.0250 2172 audstub - ok
13:45:04.0265 2172 [ DA1F27D85E0D1525F6621372E7B685E9 ] Beep C:\WINDOWS\system32\drivers\Beep.sys
13:45:04.0312 2172 Beep - ok
13:45:04.0343 2172 [ 3A5E54A9AB96EF2D273B58136FB58EFE ] BITS C:\WINDOWS\system32\qmgr.dll
13:45:04.0406 2172 BITS - ok
13:45:04.0406 2172 [ D8653DCD80CF2EBB333FC4FCC43A7DEF ] Browser C:\WINDOWS\System32\browser.dll
13:45:04.0468 2172 Browser - ok
13:45:04.0484 2172 [ 90A673FC8E12A79AFBED2576F6A7AAF9 ] cbidf2k C:\WINDOWS\system32\drivers\cbidf2k.sys
13:45:04.0531 2172 cbidf2k - ok
13:45:04.0531 2172 cd20xrnt - ok
13:45:04.0531 2172 [ C1B486A7658353D33A10CC15211A873B ] Cdaudio C:\WINDOWS\system32\drivers\Cdaudio.sys
13:45:04.0578 2172 Cdaudio - ok
13:45:04.0609 2172 [ CD7D5152DF32B47F4E36F710B35AAE02 ] Cdfs C:\WINDOWS\system32\drivers\Cdfs.sys
13:45:04.0656 2172 Cdfs - ok
13:45:04.0656 2172 [ AF9C19B3100FE010496B1A27181FBF72 ] Cdrom C:\WINDOWS\system32\DRIVERS\cdrom.sys
13:45:04.0718 2172 Cdrom - ok
13:45:04.0718 2172 Changer - ok
13:45:04.0718 2172 [ 234D52C63C67A8CF4AF9BECCE43BFB4A ] CiSvc C:\WINDOWS\system32\cisvc.exe
13:45:04.0781 2172 CiSvc - ok
13:45:04.0781 2172 [ 0461868578D29DC18FB1C79933C5158A ] ClipSrv C:\WINDOWS\system32\clipsrv.exe
13:45:04.0828 2172 ClipSrv - ok
13:45:04.0875 2172 [ 5724D9ECBF2A378EBF85FDC3BDA01F98 ] CLPSLauncher C:\Programme\Gemeinsame Dateien\Comodo\launcher_service.exe
13:45:04.0953 2172 CLPSLauncher - ok
13:45:04.0968 2172 [ 3C4D595E7F9B747325AEF28B4ADCAAE5 ] clr_optimization_v2.0.50727_32 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
13:45:04.0984 2172 clr_optimization_v2.0.50727_32 - ok
13:45:05.0078 2172 [ 2A2D72271844C52F004901A60312B96A ] cmdAgent C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
13:45:05.0125 2172 cmdAgent - ok
13:45:05.0140 2172 [ 26F9E72754B2DBC53977E92B647A6ABA ] cmderd C:\WINDOWS\system32\DRIVERS\cmderd.sys
13:45:05.0218 2172 cmderd - ok
13:45:05.0234 2172 [ 9181CC4D007ADBE21DB9A11BFECAFEF5 ] cmdGuard C:\WINDOWS\system32\DRIVERS\cmdguard.sys
13:45:05.0328 2172 cmdGuard - ok
13:45:05.0343 2172 [ C5A9FB50E8CA7FD99F256255FEE71580 ] cmdHlp C:\WINDOWS\system32\DRIVERS\cmdhlp.sys
13:45:05.0406 2172 cmdHlp - ok
13:45:05.0406 2172 CmdIde - ok
13:45:05.0453 2172 [ AE5D0AF16FEB93A17AD6B6339D1674DD ] cmudaxp C:\WINDOWS\system32\drivers\cmudaxp.sys
13:45:05.0593 2172 cmudaxp - ok
13:45:05.0609 2172 COMSysApp - ok
13:45:05.0609 2172 Cpqarray - ok
13:45:05.0640 2172 [ 1A5F9DB98DF7955B4C7CBDBF2C638238 ] CryptSvc C:\WINDOWS\System32\cryptsvc.dll
13:45:05.0687 2172 CryptSvc - ok
13:45:05.0687 2172 dac2w2k - ok
13:45:05.0687 2172 dac960nt - ok
13:45:05.0703 2172 [ 9F28FF58D6D67B123272869D89D14004 ] DcomLaunch C:\WINDOWS\system32\rpcss.dll
13:45:05.0765 2172 DcomLaunch - ok
13:45:05.0765 2172 [ 69F986B2688BA95A0D9362B0E233D5FF ] Dhcp C:\WINDOWS\System32\dhcpcsvc.dll
13:45:05.0828 2172 Dhcp - ok
13:45:05.0828 2172 [ 00CA44E4534865F8A3B64F7C0984BFF0 ] Disk C:\WINDOWS\system32\DRIVERS\disk.sys
13:45:05.0890 2172 Disk - ok
13:45:05.0890 2172 dmadmin - ok
13:45:05.0906 2172 [ 5789B83BA87FC84C3568CF86CACEF8CE ] dmboot C:\WINDOWS\system32\drivers\dmboot.sys
13:45:06.0000 2172 dmboot - ok
13:45:06.0000 2172 [ 084EB0A50A4F7B4705C8A57F234E5291 ] dmio C:\WINDOWS\system32\drivers\dmio.sys
13:45:06.0062 2172 dmio - ok
13:45:06.0078 2172 [ E9317282A63CA4D188C0DF5E09C6AC5F ] dmload C:\WINDOWS\system32\drivers\dmload.sys
13:45:06.0125 2172 dmload - ok
13:45:06.0140 2172 [ FA2D9D1A9F6B5A88D01E1685CE2378BA ] dmserver C:\WINDOWS\System32\dmserver.dll
13:45:06.0187 2172 dmserver - ok
13:45:06.0203 2172 [ A6F881284AC1150E37D9AE47FF601267 ] DMusic C:\WINDOWS\system32\drivers\DMusic.sys
13:45:06.0265 2172 DMusic - ok
13:45:06.0265 2172 [ D1F5B71BBAEEE07B78980DBD878C0BC7 ] Dnscache C:\WINDOWS\System32\dnsrslvr.dll
13:45:06.0312 2172 Dnscache - ok
13:45:06.0312 2172 dpti2o - ok
13:45:06.0375 2172 [ 28A88BB61B6B4A352729BA22BD2D2604 ] DragonUpdater C:\Programme\Comodo\Dragon\dragon_updater.exe
13:45:06.0406 2172 DragonUpdater - ok
13:45:06.0437 2172 [ 1ED4DBBAE9F5D558DBBA4CC450E3EB2E ] drmkaud C:\WINDOWS\system32\drivers\drmkaud.sys
13:45:06.0484 2172 drmkaud - ok
13:45:06.0500 2172 [ 877A4512CC9074D6954776AF47021766 ] ERSvc C:\WINDOWS\System32\ersvc.dll
13:45:06.0546 2172 ERSvc - ok
13:45:06.0546 2172 [ EDB6B81761BD60F32F740BBC40AFB676 ] Eventlog C:\WINDOWS\system32\services.exe
13:45:06.0625 2172 Eventlog - ok
13:45:06.0625 2172 [ 4E1A8645EE77CB9454FFE53C59620A25 ] EventSystem C:\WINDOWS\system32\es.dll
13:45:06.0687 2172 EventSystem - ok
13:45:06.0687 2172 [ 3117F595E9615E04F05A54FC15A03B20 ] Fastfat C:\WINDOWS\system32\drivers\Fastfat.sys
13:45:06.0750 2172 Fastfat - ok
13:45:06.0750 2172 [ BAC5F7F0C2B8C1B9832594851E0F9914 ] FastUserSwitchingCompatibility C:\WINDOWS\System32\shsvcs.dll
13:45:06.0812 2172 FastUserSwitchingCompatibility - ok
13:45:06.0812 2172 [ CED2E8396A8838E59D8FD529C680E02C ] Fdc C:\WINDOWS\system32\drivers\Fdc.sys
13:45:06.0875 2172 Fdc - ok
13:45:06.0875 2172 [ 9E9AF89F9B14AA6249065C309CE73BD8 ] Fips C:\WINDOWS\system32\drivers\Fips.sys
13:45:06.0921 2172 Fips - ok
13:45:06.0921 2172 [ 0DD1DE43115B93F4D85E889D7A86F548 ] Flpydisk C:\WINDOWS\system32\drivers\Flpydisk.sys
13:45:06.0984 2172 Flpydisk - ok
13:45:07.0000 2172 [ 157754F0DF355A9E0A6F54721914F9C6 ] FltMgr C:\WINDOWS\system32\DRIVERS\fltMgr.sys
13:45:07.0046 2172 FltMgr - ok
13:45:07.0062 2172 [ 3E1E2BD4F39B0E2B7DC4F4D2BCC2779A ] Fs_Rec C:\WINDOWS\system32\drivers\Fs_Rec.sys
13:45:07.0109 2172 Fs_Rec - ok
13:45:07.0109 2172 [ 8F1955CE42E1484714B542F341647778 ] Ftdisk C:\WINDOWS\system32\DRIVERS\ftdisk.sys
13:45:07.0156 2172 Ftdisk - ok
13:45:07.0187 2172 [ 31B5C233933CAF0FB1499F458F04FD9A ] GeekBuddyRSP C:\Programme\Gemeinsame Dateien\Comodo\GeekBuddyRSP.exe
13:45:07.0296 2172 GeekBuddyRSP - ok
13:45:07.0312 2172 [ C0F1D4A21DE5A415DF8170616703DEBF ] Gpc C:\WINDOWS\system32\DRIVERS\msgpc.sys
13:45:07.0359 2172 Gpc - ok
13:45:07.0375 2172 [ BA85BCF1A2BCF927C3600574173403E0 ] helpsvc C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll
13:45:07.0421 2172 helpsvc - ok
13:45:07.0421 2172 HidServ - ok
13:45:07.0437 2172 [ 1DE6783B918F540149AA69943BDFEBA8 ] hidusb C:\WINDOWS\system32\DRIVERS\hidusb.sys
13:45:07.0484 2172 hidusb - ok
13:45:07.0484 2172 hpn - ok
13:45:07.0484 2172 [ C19B522A9AE0BBC3293397F3055E80A1 ] HTTP C:\WINDOWS\system32\Drivers\HTTP.sys
13:45:07.0546 2172 HTTP - ok
13:45:07.0562 2172 [ 9EC7E866BBDBF3ECC0E67F4E0A838EB2 ] HTTPFilter C:\WINDOWS\System32\w3ssl.dll
13:45:07.0625 2172 HTTPFilter - ok
13:45:07.0625 2172 i2omgmt - ok
13:45:07.0625 2172 i2omp - ok
13:45:07.0640 2172 [ 7C575018D0413440D75432A78B88C899 ] i8042prt C:\WINDOWS\system32\DRIVERS\i8042prt.sys
13:45:07.0703 2172 i8042prt - ok
13:45:07.0703 2172 [ F8AA320C6A0409C0380E5D8A99D76EC6 ] Imapi C:\WINDOWS\system32\DRIVERS\imapi.sys
13:45:07.0750 2172 Imapi - ok
13:45:07.0765 2172 [ 57D7267A9ED91ECAF4336B08C9628FCA ] ImapiService C:\WINDOWS\system32\imapi.exe
13:45:07.0812 2172 ImapiService - ok
13:45:07.0812 2172 ini910u - ok
13:45:07.0828 2172 [ E1DF634BEC066B3D4FFE437BCB78C282 ] Inspect C:\WINDOWS\system32\DRIVERS\inspect.sys
13:45:07.0890 2172 Inspect - ok
13:45:07.0906 2172 IntelIde - ok
13:45:07.0921 2172 [ C1C2CC1DA79C5EE10457EF0A3B8568C7 ] intelppm C:\WINDOWS\system32\DRIVERS\intelppm.sys
13:45:07.0968 2172 intelppm - ok
13:45:07.0968 2172 [ 4448006B6BC60E6C027932CFC38D6855 ] Ip6Fw C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
13:45:08.0015 2172 Ip6Fw - ok
13:45:08.0031 2172 [ 731F22BA402EE4B62748ADAF6363C182 ] IpFilterDriver C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
13:45:08.0093 2172 IpFilterDriver - ok
13:45:08.0093 2172 [ E1EC7F5DA720B640CD8FB8424F1B14BB ] IpInIp C:\WINDOWS\system32\DRIVERS\ipinip.sys
13:45:08.0140 2172 IpInIp - ok
13:45:08.0140 2172 [ B5A8E215AC29D24D60B4D1250EF05ACE ] IpNat C:\WINDOWS\system32\DRIVERS\ipnat.sys
13:45:08.0187 2172 IpNat - ok
13:45:08.0187 2172 [ 64537AA5C003A6AFEEE1DF819062D0D1 ] IPSec C:\WINDOWS\system32\DRIVERS\ipsec.sys
13:45:08.0250 2172 IPSec - ok
13:45:08.0265 2172 [ 50708DAA1B1CBB7D6AC1CF8F56A24410 ] IRENUM C:\WINDOWS\system32\DRIVERS\irenum.sys
13:45:08.0296 2172 IRENUM - ok
13:45:08.0312 2172 [ CE9B7AFDF0A3D7DD8D1487262316B959 ] isapnp C:\WINDOWS\system32\DRIVERS\isapnp.sys
13:45:08.0359 2172 isapnp - ok
13:45:08.0359 2172 [ B128FC0A5CD83F669D5DE4B58F77C7D6 ] Kbdclass C:\WINDOWS\system32\DRIVERS\kbdclass.sys
13:45:08.0421 2172 Kbdclass - ok
13:45:08.0421 2172 [ D93CAD07C5683DB066B0B2D2D3790EAD ] kmixer C:\WINDOWS\system32\drivers\kmixer.sys
13:45:08.0484 2172 kmixer - ok
13:45:08.0484 2172 [ EB7FFE87FD367EA8FCA0506F74A87FBB ] KSecDD C:\WINDOWS\system32\drivers\KSecDD.sys
13:45:08.0531 2172 KSecDD - ok
13:45:08.0546 2172 [ 93E64BAB9DEE162CA0CA5258D132A047 ] L1e C:\WINDOWS\system32\DRIVERS\l1e51x86.sys
13:45:08.0562 2172 L1e - ok
13:45:08.0578 2172 [ F8170AA51CD202BC062B8A0983F361B7 ] lanmanserver C:\WINDOWS\System32\srvsvc.dll
13:45:08.0640 2172 lanmanserver - ok
13:45:08.0656 2172 [ 36D74668F5448D55887FA3958488DC06 ] lanmanworkstation C:\WINDOWS\System32\wkssvc.dll
13:45:08.0703 2172 lanmanworkstation - ok
13:45:08.0703 2172 lbrtfdc - ok
13:45:08.0718 2172 [ 4C25FADD7FE1D5BD779B20D3D0EB8D7C ] LmHosts C:\WINDOWS\System32\lmhsvc.dll
13:45:08.0765 2172 LmHosts - ok
13:45:08.0765 2172 [ E5215AB942C5AC5F7EB0E54871D7A27C ] Messenger C:\WINDOWS\System32\msgsvc.dll
13:45:08.0812 2172 Messenger - ok
13:45:08.0828 2172 [ 4AE068242760A1FB6E1A44BF4E16AFA6 ] mnmdd C:\WINDOWS\system32\drivers\mnmdd.sys
13:45:08.0875 2172 mnmdd - ok
13:45:08.0890 2172 [ BB2470D20405B272EA47CA5E18F1C58E ] mnmsrvc C:\WINDOWS\system32\mnmsrvc.exe
13:45:08.0953 2172 mnmsrvc - ok
13:45:08.0953 2172 [ 91A3DA4B12F6F1D760463A7F7857F748 ] Modem C:\WINDOWS\system32\drivers\Modem.sys
13:45:09.0015 2172 Modem - ok
13:45:09.0015 2172 [ 71E15CA47FD947552054AFB28536268F ] Mouclass C:\WINDOWS\system32\DRIVERS\mouclass.sys
13:45:09.0062 2172 Mouclass - ok
13:45:09.0062 2172 [ 66A6F73C74E1791464160A7065CE711A ] mouhid C:\WINDOWS\system32\DRIVERS\mouhid.sys
13:45:09.0109 2172 mouhid - ok
13:45:09.0109 2172 [ 65653F3B4477F3C63E68A9659F85EE2E ] MountMgr C:\WINDOWS\system32\drivers\MountMgr.sys
13:45:09.0171 2172 MountMgr - ok
13:45:09.0171 2172 mraid35x - ok
13:45:09.0171 2172 [ 46EDCC8F2DB2F322C24F48785CB46366 ] MRxDAV C:\WINDOWS\system32\DRIVERS\mrxdav.sys
13:45:09.0218 2172 MRxDAV - ok
13:45:09.0234 2172 [ 1FD607FC67F7F7C633C3DA65BFC53D18 ] MRxSmb C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
13:45:09.0296 2172 MRxSmb - ok
13:45:09.0328 2172 [ D059F9C7752EF461476E83180DAA5C62 ] MSDTC C:\WINDOWS\system32\msdtc.exe
13:45:09.0375 2172 MSDTC - ok
13:45:09.0375 2172 [ 561B3A4333CA2DBDBA28B5B956822519 ] Msfs C:\WINDOWS\system32\drivers\Msfs.sys
13:45:09.0421 2172 Msfs - ok
13:45:09.0421 2172 MSIServer - ok
13:45:09.0437 2172 [ AE431A8DD3C1D0D0610CDBAC16057AD0 ] MSKSSRV C:\WINDOWS\system32\drivers\MSKSSRV.sys
13:45:09.0484 2172 MSKSSRV - ok
13:45:09.0500 2172 [ 13E75FEF9DFEB08EEDED9D0246E1F448 ] MSPCLOCK C:\WINDOWS\system32\drivers\MSPCLOCK.sys
13:45:09.0546 2172 MSPCLOCK - ok
13:45:09.0546 2172 [ 1988A33FF19242576C3D0EF9CE785DA7 ] MSPQM C:\WINDOWS\system32\drivers\MSPQM.sys
13:45:09.0593 2172 MSPQM - ok
13:45:09.0609 2172 [ 469541F8BFD2B32659D5D463A6714BCE ] mssmbios C:\WINDOWS\system32\DRIVERS\mssmbios.sys
13:45:09.0656 2172 mssmbios - ok
13:45:09.0656 2172 [ 82035E0F41C2DD05AE41D27FE6CF7DE1 ] Mup C:\WINDOWS\system32\drivers\Mup.sys
13:45:09.0703 2172 Mup - ok
13:45:09.0718 2172 [ 558635D3AF1C7546D26067D5D9B6959E ] NDIS C:\WINDOWS\system32\drivers\NDIS.sys
13:45:09.0781 2172 NDIS - ok
13:45:09.0781 2172 [ 08D43BBDACDF23F34D79E44ED35C1B4C ] NdisTapi C:\WINDOWS\system32\DRIVERS\ndistapi.sys
13:45:09.0843 2172 NdisTapi - ok
13:45:09.0843 2172 [ 34D6CD56409DA9A7ED573E1C90A308BF ] Ndisuio C:\WINDOWS\system32\DRIVERS\ndisuio.sys
13:45:09.0890 2172 Ndisuio - ok
13:45:09.0890 2172 [ 0B90E255A9490166AB368CD55A529893 ] NdisWan C:\WINDOWS\system32\DRIVERS\ndiswan.sys
13:45:09.0937 2172 NdisWan - ok
13:45:09.0953 2172 [ 59FC3FB44D2669BC144FD87826BB571F ] NDProxy C:\WINDOWS\system32\drivers\NDProxy.sys
13:45:10.0000 2172 NDProxy - ok
13:45:10.0000 2172 [ 3A2ACA8FC1D7786902CA434998D7CEB4 ] NetBIOS C:\WINDOWS\system32\DRIVERS\netbios.sys
13:45:10.0046 2172 NetBIOS - ok
13:45:10.0062 2172 [ 0C80E410CD2F47134407EE7DD19CC86B ] NetBT C:\WINDOWS\system32\DRIVERS\netbt.sys
13:45:10.0109 2172 NetBT - ok
13:45:10.0125 2172 [ F4EFF57254F565F39B6029150414A0D5 ] NetDDE C:\WINDOWS\system32\netdde.exe
13:45:10.0171 2172 NetDDE - ok
13:45:10.0171 2172 [ F4EFF57254F565F39B6029150414A0D5 ] NetDDEdsdm C:\WINDOWS\system32\netdde.exe
13:45:10.0218 2172 NetDDEdsdm - ok
13:45:10.0234 2172 [ 183805EB05BCA5A1E4AAAED4D2BE3690 ] Netlogon C:\WINDOWS\system32\lsass.exe
13:45:10.0281 2172 Netlogon - ok
13:45:10.0281 2172 [ CDF4DA6B518105343FE9E8AFBBF8FBF4 ] Netman C:\WINDOWS\System32\netman.dll
13:45:10.0343 2172 Netman - ok
13:45:10.0343 2172 [ B36E08F680BAE4DFC5C24D00A2DFC9E7 ] Nla C:\WINDOWS\System32\mswsock.dll
13:45:10.0406 2172 Nla - ok
13:45:10.0406 2172 [ 4F601BCB8F64EA3AC0994F98FED03F8E ] Npfs C:\WINDOWS\system32\drivers\Npfs.sys
13:45:10.0453 2172 Npfs - ok
13:45:10.0468 2172 [ B78BE402C3F63DD55521F73876951CDD ] Ntfs C:\WINDOWS\system32\drivers\Ntfs.sys
13:45:10.0531 2172 Ntfs - ok
13:45:10.0531 2172 [ 183805EB05BCA5A1E4AAAED4D2BE3690 ] NtLmSsp C:\WINDOWS\system32\lsass.exe
13:45:10.0578 2172 NtLmSsp - ok
13:45:10.0609 2172 [ 428AA946A8D9F32DBB4260C8E6E13377 ] NtmsSvc C:\WINDOWS\system32\ntmssvc.dll
13:45:10.0656 2172 NtmsSvc - ok
13:45:10.0656 2172 [ 73C1E1F395918BC2C6DD67AF7591A3AD ] Null C:\WINDOWS\system32\drivers\Null.sys
13:45:10.0703 2172 Null - ok
13:45:10.0718 2172 [ B305F3FAD35083837EF46A0BBCE2FC57 ] NwlnkFlt C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
13:45:10.0765 2172 NwlnkFlt - ok
13:45:10.0765 2172 [ C99B3415198D1AAB7227F2C88FD664B9 ] NwlnkFwd C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
13:45:10.0812 2172 NwlnkFwd - ok
13:45:10.0828 2172 [ B2F17A2EDB5450E61973A037F63A595B ] Parport C:\WINDOWS\system32\drivers\Parport.sys
13:45:10.0875 2172 Parport - ok
13:45:10.0875 2172 [ 3334430C29DC338092F79C38EF7B4CD0 ] PartMgr C:\WINDOWS\system32\drivers\PartMgr.sys
13:45:10.0921 2172 PartMgr - ok
13:45:10.0937 2172 [ C2BF987829099A3EAA2CA6A0A90ECB4F ] ParVdm C:\WINDOWS\system32\drivers\ParVdm.sys
13:45:10.0984 2172 ParVdm - ok
13:45:11.0000 2172 [ 6FB463E5B243FBD6F3D3C83F914D94FB ] PCI C:\WINDOWS\system32\DRIVERS\pci.sys
13:45:11.0062 2172 PCI - ok
13:45:11.0062 2172 PCIDump - ok
13:45:11.0062 2172 [ 59BA86D9A61CBCF4DF8E598C331F5B82 ] PCIIde C:\WINDOWS\system32\DRIVERS\pciide.sys
13:45:11.0109 2172 PCIIde - ok
13:45:11.0125 2172 [ E2363F4C1DAFF89ABEE5F593E13D8A05 ] Pcmcia C:\WINDOWS\system32\drivers\Pcmcia.sys
13:45:11.0171 2172 Pcmcia - ok
13:45:11.0171 2172 PDCOMP - ok
13:45:11.0171 2172 PDFRAME - ok
13:45:11.0187 2172 PDRELI - ok
13:45:11.0187 2172 PDRFRAME - ok
13:45:11.0187 2172 perc2 - ok
13:45:11.0187 2172 perc2hib - ok
13:45:11.0203 2172 [ EDB6B81761BD60F32F740BBC40AFB676 ] PlugPlay C:\WINDOWS\system32\services.exe
13:45:11.0250 2172 PlugPlay - ok
13:45:11.0250 2172 [ 183805EB05BCA5A1E4AAAED4D2BE3690 ] PolicyAgent C:\WINDOWS\system32\lsass.exe
13:45:11.0296 2172 PolicyAgent - ok
13:45:11.0312 2172 [ 1C5CC65AAC0783C344F16353E60B72AC ] PptpMiniport C:\WINDOWS\system32\DRIVERS\raspptp.sys
13:45:11.0359 2172 PptpMiniport - ok
13:45:11.0375 2172 [ 183805EB05BCA5A1E4AAAED4D2BE3690 ] ProtectedStorage C:\WINDOWS\system32\lsass.exe
13:45:11.0421 2172 ProtectedStorage - ok
13:45:11.0421 2172 [ 48671F327553DCF1D27F6197F622A668 ] PSched C:\WINDOWS\system32\DRIVERS\psched.sys
13:45:11.0468 2172 PSched - ok
13:45:11.0468 2172 [ 80D317BD1C3DBC5D4FE7B1678C60CADD ] Ptilink C:\WINDOWS\system32\DRIVERS\ptilink.sys
13:45:11.0515 2172 Ptilink - ok
13:45:11.0515 2172 ql1080 - ok
13:45:11.0531 2172 Ql10wnt - ok
13:45:11.0531 2172 ql12160 - ok
13:45:11.0531 2172 ql1240 - ok
13:45:11.0531 2172 ql1280 - ok
13:45:11.0531 2172 [ FE0D99D6F31E4FAD8159F690D68DED9C ] RasAcd C:\WINDOWS\system32\DRIVERS\rasacd.sys
13:45:11.0578 2172 RasAcd - ok
13:45:11.0593 2172 [ E3C6E87C1F84584A773D7C3DD205DBFF ] RasAuto C:\WINDOWS\System32\rasauto.dll
13:45:11.0656 2172 RasAuto - ok
13:45:11.0656 2172 [ 98FAEB4A4DCF812BA1C6FCA4AA3E115C ] Rasl2tp C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
13:45:11.0703 2172 Rasl2tp - ok
13:45:11.0718 2172 [ A5D2D745A2AEFA327DCA6DA317B5FD70 ] RasMan C:\WINDOWS\System32\rasmans.dll
13:45:11.0765 2172 RasMan - ok
13:45:11.0781 2172 [ 7306EEED8895454CBED4669BE9F79FAA ] RasPppoe C:\WINDOWS\system32\DRIVERS\raspppoe.sys
13:45:11.0828 2172 RasPppoe - ok
13:45:11.0828 2172 [ FDBB1D60066FCFBB7452FD8F9829B242 ] Raspti C:\WINDOWS\system32\DRIVERS\raspti.sys
13:45:11.0875 2172 Raspti - ok
13:45:11.0875 2172 [ 29D66245ADBA878FFF574CD66ABD2884 ] Rdbss C:\WINDOWS\system32\DRIVERS\rdbss.sys
13:45:11.0921 2172 Rdbss - ok
13:45:11.0921 2172 [ 4912D5B403614CE99C28420F75353332 ] RDPCDD C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
13:45:11.0984 2172 RDPCDD - ok
13:45:12.0000 2172 [ D4F5643D7714EF499AE9527FDCD50894 ] RDPWD C:\WINDOWS\system32\drivers\RDPWD.sys
13:45:12.0062 2172 RDPWD - ok
13:45:12.0078 2172 [ AEC159942DF64A9890072D7BB1797762 ] RDSessMgr C:\WINDOWS\system32\sessmgr.exe
13:45:12.0140 2172 RDSessMgr - ok
13:45:12.0171 2172 [ AA56702E230860565CB8D43680F57F33 ] redbook C:\WINDOWS\system32\DRIVERS\redbook.sys
13:45:12.0218 2172 redbook - ok
13:45:12.0234 2172 [ EBA80CDF25E02084857957E820004934 ] RemoteAccess C:\WINDOWS\System32\mprdim.dll
13:45:12.0281 2172 RemoteAccess - ok
13:45:12.0296 2172 [ DA23F9F3F1B1871120F980A6879581AC ] RpcLocator C:\WINDOWS\system32\locator.exe
13:45:12.0343 2172 RpcLocator - ok
13:45:12.0359 2172 [ 9F28FF58D6D67B123272869D89D14004 ] RpcSs C:\WINDOWS\system32\rpcss.dll
13:45:12.0406 2172 RpcSs - ok
13:45:12.0421 2172 [ 4BDD71B4B521521499DFD14735C4F398 ] RSVP C:\WINDOWS\system32\rsvp.exe
13:45:12.0484 2172 RSVP - ok
13:45:12.0500 2172 [ 183805EB05BCA5A1E4AAAED4D2BE3690 ] SamSs C:\WINDOWS\system32\lsass.exe
13:45:12.0546 2172 SamSs - ok
13:45:12.0546 2172 [ B4CF7B42DE6CFA6FDE7D6AF4DAA55F57 ] SCardSvr C:\WINDOWS\System32\SCardSvr.exe
13:45:12.0609 2172 SCardSvr - ok
13:45:12.0625 2172 [ D5E73842F38E24457C63FEF8CEFFBE19 ] Schedule C:\WINDOWS\system32\schedsvc.dll
13:45:12.0671 2172 Schedule - ok
13:45:12.0687 2172 [ D26E26EA516450AF9D072635C60387F4 ] Secdrv C:\WINDOWS\system32\DRIVERS\secdrv.sys
13:45:12.0703 2172 Secdrv - ok
13:45:12.0718 2172 [ FED544B43903FB801B106F062110358A ] seclogon C:\WINDOWS\System32\seclogon.dll
13:45:12.0765 2172 seclogon - ok
13:45:12.0765 2172 [ AB74D986C1DD0D0C95B6AD37EC1E9F4F ] SENS C:\WINDOWS\system32\sens.dll
13:45:12.0812 2172 SENS - ok
13:45:12.0812 2172 [ A2D868AEEFF612E70E213C451A70CAFB ] serenum C:\WINDOWS\system32\DRIVERS\serenum.sys
13:45:12.0875 2172 serenum - ok
13:45:12.0875 2172 [ CD5B9995AFCDB466C9EFC048D167E3BE ] Serial C:\WINDOWS\system32\DRIVERS\serial.sys
13:45:12.0921 2172 Serial - ok
13:45:12.0921 2172 [ 0D13B6DF6E9E101013A7AFB0CE629FE0 ] Sfloppy C:\WINDOWS\system32\drivers\Sfloppy.sys
13:45:12.0984 2172 Sfloppy - ok
13:45:13.0000 2172 [ 9245420422E409A25C1410ACB4244060 ] SharedAccess C:\WINDOWS\System32\ipnathlp.dll
13:45:13.0046 2172 SharedAccess - ok
13:45:13.0062 2172 [ BAC5F7F0C2B8C1B9832594851E0F9914 ] ShellHWDetection C:\WINDOWS\System32\shsvcs.dll
13:45:13.0125 2172 ShellHWDetection - ok
13:45:13.0125 2172 Simbad - ok
13:45:13.0125 2172 Sparrow - ok
13:45:13.0140 2172 [ 8E186B8F23295D1E42C573B82B80D548 ] splitter C:\WINDOWS\system32\drivers\splitter.sys
13:45:13.0187 2172 splitter - ok
13:45:13.0203 2172 [ 54E7113A4BD696E430919BCAF5C65E06 ] Spooler C:\WINDOWS\system32\spoolsv.exe
13:45:13.0250 2172 Spooler - ok
13:45:13.0250 2172 [ E4200CB2F418D8FC4ACDD7E38C419D6A ] sr C:\WINDOWS\system32\DRIVERS\sr.sys
13:45:13.0281 2172 sr - ok
13:45:13.0281 2172 [ 015F302C4CF961F20C3F98F3A7CA7917 ] srservice C:\WINDOWS\system32\srsvc.dll
13:45:13.0312 2172 srservice - ok
13:45:13.0312 2172 [ 20B7E396720353E4117D64D9DCB926CA ] Srv C:\WINDOWS\system32\DRIVERS\srv.sys
13:45:13.0375 2172 Srv - ok
13:45:13.0375 2172 [ 6FA03B462B2FFFE2627171B7FE73EE29 ] SSDPSRV C:\WINDOWS\System32\ssdpsrv.dll
13:45:13.0406 2172 SSDPSRV - ok
13:45:13.0421 2172 [ 7E751068ADA60FC77638622E86A7CD9E ] stisvc C:\WINDOWS\system32\wiaservc.dll
13:45:13.0468 2172 stisvc - ok
13:45:13.0484 2172 [ 03C1BAE4766E2450219D20B993D6E046 ] swenum C:\WINDOWS\system32\DRIVERS\swenum.sys
13:45:13.0531 2172 swenum - ok
13:45:13.0531 2172 [ 94ABC808FC4B6D7D2BBF42B85E25BB4D ] swmidi C:\WINDOWS\system32\drivers\swmidi.sys
13:45:13.0593 2172 swmidi - ok
13:45:13.0593 2172 SwPrv - ok
13:45:13.0593 2172 symc810 - ok
13:45:13.0593 2172 symc8xx - ok
13:45:13.0593 2172 sym_hi - ok
13:45:13.0593 2172 sym_u3 - ok
13:45:13.0609 2172 [ 650AD082D46BAC0E64C9C0E0928492FD ] sysaudio C:\WINDOWS\system32\drivers\sysaudio.sys
13:45:13.0656 2172 sysaudio - ok
13:45:13.0671 2172 [ 6D0C43DF9D3A7C5A9B4F94772CBD5DDC ] SysmonLog C:\WINDOWS\system32\smlogsvc.exe
13:45:13.0718 2172 SysmonLog - ok
13:45:13.0734 2172 [ 4584E2A5FE662AB3E7C32936E1449043 ] TapiSrv C:\WINDOWS\System32\tapisrv.dll
13:45:13.0781 2172 TapiSrv - ok
13:45:13.0796 2172 [ 9F4B36614A0FC234525BA224957DE55C ] Tcpip C:\WINDOWS\system32\DRIVERS\tcpip.sys
13:45:13.0859 2172 Tcpip - ok
13:45:13.0890 2172 [ 38D437CF2D98965F239B0ABCD66DCB0F ] TDPIPE C:\WINDOWS\system32\drivers\TDPIPE.sys
13:45:13.0937 2172 TDPIPE - ok
13:45:13.0937 2172 [ ED0580AF02502D00AD8C4C066B156BE9 ] TDTCP C:\WINDOWS\system32\drivers\TDTCP.sys
13:45:13.0984 2172 TDTCP - ok
13:45:14.0000 2172 [ A540A99C281D933F3D69D55E48727F47 ] TermDD C:\WINDOWS\system32\DRIVERS\termdd.sys
13:45:14.0046 2172 TermDD - ok
13:45:14.0078 2172 [ 1850BC10DE5DCCCEDE063FC2D0F2CEDA ] TermService C:\WINDOWS\System32\termsrv.dll
13:45:14.0140 2172 TermService - ok
13:45:14.0140 2172 [ BAC5F7F0C2B8C1B9832594851E0F9914 ] Themes C:\WINDOWS\System32\shsvcs.dll
13:45:14.0187 2172 Themes - ok
13:45:14.0187 2172 TosIde - ok
13:45:14.0203 2172 [ A34E894201D66E380E1FA96FE11B587E ] TrkWks C:\WINDOWS\system32\trkwks.dll
13:45:14.0265 2172 TrkWks - ok
13:45:14.0281 2172 [ 12F70256F140CD7D52C58C7048FDE657 ] Udfs C:\WINDOWS\system32\drivers\Udfs.sys
13:45:14.0328 2172 Udfs - ok
13:45:14.0328 2172 ultra - ok
13:45:14.0359 2172 [ AFF2E5045961BBC0A602BB6F95EB1345 ] Update C:\WINDOWS\system32\DRIVERS\update.sys
13:45:14.0406 2172 Update - ok
13:45:14.0406 2172 [ 09D4A2D7C5A8ABEC227D118765FAADDF ] upnphost C:\WINDOWS\System32\upnphost.dll
13:45:14.0437 2172 upnphost - ok
13:45:14.0437 2172 [ A99F867E76CFDAA28EE305B93F70E84F ] UPS C:\WINDOWS\System32\ups.exe
13:45:14.0484 2172 UPS - ok
13:45:14.0500 2172 [ BFFD9F120CC63BCBAA3D840F3EEF9F79 ] usbccgp C:\WINDOWS\system32\DRIVERS\usbccgp.sys
13:45:14.0546 2172 usbccgp - ok
13:45:14.0546 2172 [ 15E993BA2F6946B2BFBBFCD30398621E ] usbehci C:\WINDOWS\system32\DRIVERS\usbehci.sys
13:45:14.0593 2172 usbehci - ok
13:45:14.0609 2172 [ C72F40947F92CEA56A8FB532EDF025F1 ] usbhub C:\WINDOWS\system32\DRIVERS\usbhub.sys
13:45:14.0656 2172 usbhub - ok
13:45:14.0671 2172 [ 6CD7B22193718F1D17A47A1CD6D37E75 ] USBSTOR C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
13:45:14.0718 2172 USBSTOR - ok
13:45:14.0734 2172 [ F8FD1400092E23C8F2F31406EF06167B ] usbuhci C:\WINDOWS\system32\DRIVERS\usbuhci.sys
13:45:14.0781 2172 usbuhci - ok
13:45:14.0781 2172 [ 8A60EDD72B4EA5AEA8202DAF0E427925 ] VgaSave C:\WINDOWS\System32\drivers\vga.sys
13:45:14.0828 2172 VgaSave - ok
13:45:14.0828 2172 ViaIde - ok
13:45:14.0843 2172 [ D6888520FF56D72A50437E371CA25FC9 ] VolSnap C:\WINDOWS\system32\drivers\VolSnap.sys
13:45:14.0890 2172 VolSnap - ok
13:45:14.0906 2172 [ 6635ECBF0D8090DC3A452D0D072B5D5B ] VSS C:\WINDOWS\System32\vssvc.exe
13:45:14.0921 2172 VSS - ok
13:45:14.0937 2172 [ C6D874CD2A5B83CD11CDEBD28A638584 ] W32Time C:\WINDOWS\system32\w32time.dll
13:45:15.0000 2172 W32Time - ok
13:45:15.0015 2172 [ 984EF0B9788ABF89974CFED4BFBAACBC ] Wanarp C:\WINDOWS\system32\DRIVERS\wanarp.sys
13:45:15.0062 2172 Wanarp - ok
13:45:15.0062 2172 WDICA - ok
13:45:15.0078 2172 [ 2797F33EBF50466020C430EE4F037933 ] wdmaud C:\WINDOWS\system32\drivers\wdmaud.sys
13:45:15.0125 2172 wdmaud - ok
13:45:15.0140 2172 [ 1EB51FEEA9D3208EAE60604F4346C02E ] WebClient C:\WINDOWS\System32\webclnt.dll
13:45:15.0187 2172 WebClient - ok
13:45:15.0265 2172 [ DA2DADB42916E59C6E4BBA593BCCDA73 ] winmgmt C:\WINDOWS\system32\wbem\WMIsvc.dll
13:45:15.0312 2172 winmgmt - ok
13:45:15.0328 2172 [ D68CC4EBF7B03FD770D5962295AD814E ] WmdmPmSN C:\WINDOWS\system32\mspmsnsv.dll
13:45:15.0375 2172 WmdmPmSN - ok
13:45:15.0390 2172 [ 042A78FCD1ADFB0FBA9865D55C6F5CC1 ] WmiApSrv C:\WINDOWS\system32\wbem\wmiapsrv.exe
13:45:15.0453 2172 WmiApSrv - ok
13:45:15.0453 2172 [ BD3561AAE748150CF51C2CA876449EA7 ] wscsvc C:\WINDOWS\system32\wscsvc.dll
13:45:15.0515 2172 wscsvc - ok
13:45:15.0531 2172 [ 1EDDD5C0ECF3FA6EDFD8A25B2B4E7DF6 ] wuauserv C:\WINDOWS\system32\wuauserv.dll
13:45:15.0578 2172 wuauserv - ok
13:45:15.0609 2172 [ AE83ADA96575DACF533C2BCB1FC163DC ] WZCSVC C:\WINDOWS\System32\wzcsvc.dll
13:45:15.0656 2172 WZCSVC - ok
13:45:15.0687 2172 [ 8302DE1C64618D72346DD0034DBC5D9B ] xmlprov C:\WINDOWS\System32\xmlprov.dll
13:45:15.0734 2172 xmlprov - ok
13:45:15.0734 2172 ================ Scan global ===============================
13:45:15.0765 2172 [ 1B91BAC6996731EE8925F58205DCB016 ] C:\WINDOWS\system32\basesrv.dll
13:45:15.0765 2172 [ 6D4006EF6E45030BCA14CBFE8893E9B9 ] C:\WINDOWS\system32\winsrv.dll
13:45:15.0781 2172 [ 6D4006EF6E45030BCA14CBFE8893E9B9 ] C:\WINDOWS\system32\winsrv.dll
13:45:15.0781 2172 [ EDB6B81761BD60F32F740BBC40AFB676 ] C:\WINDOWS\system32\services.exe
13:45:15.0781 2172 [Global] - ok
13:45:15.0781 2172 ================ Scan MBR ==================================
13:45:15.0796 2172 [ 72B8CE41AF0DE751C946802B3ED844B4 ] \Device\Harddisk0\DR0
13:45:15.0968 2172 \Device\Harddisk0\DR0 - ok
13:45:15.0968 2172 ================ Scan VBR ==================================
13:45:15.0968 2172 [ 9BCDC840C76814E840F1E2F6BAAAA8C3 ] \Device\Harddisk0\DR0\Partition1
13:45:15.0984 2172 \Device\Harddisk0\DR0\Partition1 - ok
13:45:15.0984 2172 ============================================================
13:45:15.0984 2172 Scan finished
13:45:15.0984 2172 ============================================================
13:45:16.0078 4028 Detected object count: 0
13:45:16.0078 4028 Actual detected object count: 0
Geändert von herr nachbar (13.11.2012 um 13:53 Uhr) |
|
13.11.2012, 16:19
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Remotecontrol/Backdoor-Trojaner/firmware-rootkit auf allen Geräten Die Logs bitte NICHT anhängen!! Sie müssen nur dann in den Anhang (als eine ZIP-Datei mit allen Logdateien), wenn sie zu groß sind um direkt gepostet zu werden! Ansonsten bitte alles nach Möglichkeit hier in CODE-Tags posten. Das ist einfacher, übersichtlicher und man spart sich ne Menge Rumklickerei! Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
__________________ --> Remotecontrol/Backdoor-Trojaner/firmware-rootkit auf allen Geräten |
|
13.11.2012, 17:59
| #7 |
| | Remotecontrol/Backdoor-Trojaner/firmware-rootkit auf allen Geräten ich hab mir zwischenzeitlich ordentlich Malware eingefangen mit meinem jungfräulichen xp und hab dann "Comodo Internet Security" installiert. Das Programm hat auch ne anti rootkit Funktion oder sowas ähnliches und hat sich selber als rootkit installiert. hat mir dann das ganze Windows zerhauen und ich konnte nichtmal mehr im abgesicherten Modus Dateien verschieben o. ä. hab also jetzt neu installiert. srware iron drauf, paar Treiber und dann direkt die ganzen diagnose tools durchlaufen lassen. Ich möchte die gerne nochmal posten der vollständigkeit halber. Einfach nochmal von vorne anfangen aber das wären dann 3 Posts allein für die logs "Der Text, den Sie eingegeben haben, besteht aus 388687 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 120000 Zeichen." die logs waren eh alle leider ohne Funde Es ist mir einfach ein Rätsel wieso das system auf einmal "sauber" ist (solange ich nicht auf die eingestellte startseite vom internetexplorer klick) Selbst wenn es durch eine glückliche Fügung so sein sollte bleibt weiterhin die sache mit dem sich zurückflashenden BIOS, den PCI Controllern, der manipulierten registry deren Einträge sich nach einem Neustart wiederherstellen etc. Bei den Systemtreibern hab ich jetzt u. a. ksecdd und RDPCDD gefunden. was hab ich denn noch alles? (nfo file im startpost) Nochmal kleines Update: ich hab das asus express gate neuinstalliert und kann es nun nutzen. remotezugriff per app -.- ich frag mich ob meine daten sicher sind wenn ich übers express gate surfe? das ist ja in einem flashspeicher installiert, aber n keylogger oder so könnte ja auch da mit drin sein und während meiner sitzung hochladen oder? Geändert von herr nachbar (13.11.2012 um 18:23 Uhr) |
|
13.11.2012, 22:43
| #8 | |||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Remotecontrol/Backdoor-Trojaner/firmware-rootkit auf allen Geräten Erstmal: Code:
ATTFilter 13:38:18.500 Disk 0 MBR scan
13:38:18.531 Disk 0 Windows XP default MBR code
Zitat:
Fehlen dir jegliche Grundkenntnisse?  Zitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
15.11.2012, 19:15
| #9 |
| | Remotecontrol/Backdoor-Trojaner/firmware-rootkit auf allen Geräten ja ok ich bin das teil immernoch nicht los. das ist echt fies. unten hab ich mal das startsetup von der namenlosen malware reinkopiert. bitte sag mir dass noch hoffung besteht solange man hochfahren kann  hülfe klar dass ich keine falschen mbr dateien finde wenn meine festplatte nur ne partitionen auf seiner ramdisk ist. sämtliche dateien die man einspielt kopiert er sich sofort in den ram konfiguriert sie um und spielt sie verändert wieder zurück (verlinkt) und vergrößert sein riesiges backup und kann sofort jegliche hilfssoftware ausschalten und neue malware mit in sein repertoire aufnehmen. wenn ich mit der windows cd in die recoverykonsole gehe greift der nichtmal auf die cd zu und die konsole geht erst auf wenn er sich die ganze cd in den ram geladen hat. hab auch schon nen speicherriegel rausgenommen gehabt, aber fürs windows braucht der ja nicht viel. dem bios kann ich entnehmen, dass er rund 700mb irgendwo im system verstecken kann. "reallocate memory to pci" das bios läd er vom marvell ide controller und bootet von der grafikkarte. zusätzlich nutzt der wohl noch den lvl 3cache vom Prozessor und virtualisiert ne maschine mit intel VM. selbst die besten rescue sticks helfen nix. generell deaktiviert der alle files solange bis er sie ausgetauscht hat. wenn man ihn lässt macht der aus jedem stick n bootfähiges malware windows unter windows kann man das zwar unterbinden, mit netten programmen wie rkiller und dann mwbam aber ist ja alles nur fassade. wenn ich durch strom-aus sämtliche flashspeicher geleert und die festplatte formatiert habe (natürlich auch nur pseudo formatierung), dann hat der ohne anschluss der festplatte immernoch genug speicher im system/bios. für nen bootfähiges image. selbst auf der soundkarte war aktivität. über die sind die ja auch reingekommen^^ selbst combofix wird für dumm verkauft. ich dachte den damit schon weg zu haben, aber dann hat er sich beim neustart wiederhergestellt. richtig toll wirds wenn er dann auch n dns changer auf meinen rechner schickt der das telefon an meinem router anruft und mir dann zbot und son mist raufholt nach jeder neuinstallation mittlerweile hab ich den router wieder sauber und hab den einigermaßen wieder unter kontrolle solange ich ihn hochladen lasse. selbst den post hier loggt der mit und macht schon n päckchen fertig achja smartcards sind auch noch drauf mit remote keys auf meinen pc für verschiedenste "Kunden". wenn ich das häkchen da raus mach und abgelaufene smartcards zulasse hab ich richtig party aufm rechner^^ (hab windows auf das jahr 2025 gestellt, damit ich wenigstens länger als ne stunde aufm desktop bleiben kann, sonst laufen da 2 dutzend anwendungen) so hier das gekürzte log Code:
ATTFilter [Paths]
TargetDirectory = "\WINDOWS"
TargetDevice = "\Device\Harddisk0\Partition1"
SystemPartitionDirectory = "\"
SystemPartition = "\Device\Harddisk0\Partition1"
[Signature]
Version = "WinNt5.1"
[Files.SystemPartition]
NTDETECT.COM = "NTDETECT.COM","eee8"
ntldr = "ntldr","47ba6"
bootfont.bin = "bootfont.bin","c402"
[Files.WinNt]
\WINDOWS\system32\drivers\kbdclass.sys = "kbdclass.sys","109d4"
\WINDOWS\system32\drivers\mouclass.sys = "mouclass.sys","6e09"
\WINDOWS\system32\drivers\usbehci.sys = "usbehci.sys","e59a"
\WINDOWS\system32\hccoin.dll = "hccoin.dll","4cb6"
\WINDOWS\system32\drivers\usbuhci.sys = "usbuhci.sys","13083"
\WINDOWS\system32\drivers\usbport.sys = "usbport.sys","2f594"
\WINDOWS\system32\drivers\hidparse.sys = "hidparse.sys","e653"
\WINDOWS\system32\drivers\hidclass.sys = "hidclass.sys","ab52"
\WINDOWS\system32\drivers\usbhub.sys = "usbhub.sys","14269"
\WINDOWS\system32\drivers\usbccgp.sys = "usbccgp.sys","13c1c"
\WINDOWS\system32\drivers\pci.sys = "pci.sys","1e6c3"
\WINDOWS\system32\drivers\acpi.sys = "acpi.sys","2ed38"
\WINDOWS\system32\drivers\i8042prt.sys = "i8042prt.sys","16d7e"
\WINDOWS\system32\hal.dll = "halacpi.dll","181f2"
\WINDOWS\system32\ntkrnlpa.exe = "ntkrnlpa.exe","2002a6"
\WINDOWS\system32\ntoskrnl.exe = "ntoskrnl.exe","21aa21"
\WINDOWS\system32\winshfhc.dll = "winshfhc.dll","6337"
\WINDOWS\system32\blastcln.exe = "blastcln.exe","19325"
\WINDOWS\inf\wmaccess.inf = "wmaccess.inf","bf17"
\WINDOWS\inf\msmsgs.inf = "msmsgs.inf","24c6f"
\WINDOWS\system32\Setup\msgrocm.dll = "msgrocm.dll","8e7e"
\WINDOWS\system32\wmvds32.ax = "wmvds32.ax","41e8c"
\WINDOWS\system32\wmvdmoe2.dll = "wmvdmoe2.dll","100441"
\WINDOWS\system32\wmvdmod.dll = "wmvdmod.dll","ce9f0"
\WINDOWS\system32\wmv8ds32.ax = "wmv8ds32.ax","4c2e9"
\WINDOWS\system32\wmstream.dll = "wmstream.dll","581b7"
\WINDOWS\system32\wmspdmoe.dll = "wmspdmoe.dll","e85fa"
\WINDOWS\system32\wmspdmod.dll = "wmspdmod.dll","8495a"
\WINDOWS\system32\wmsdmoe2.dll = "wmsdmoe2.dll","11472a"
\WINDOWS\system32\wmsdmoe.dll = "wmsdmoe.dll","219e8"
\WINDOWS\system32\wmsdmod.dll = "wmsdmod.dll","c222a"
\WINDOWS\system32\wmpui.dll = "wmpui.dll","ed33"
\WINDOWS\inf\wmpocm.inf = "wmpocm.inf","104b4"
\WINDOWS\system32\wmpdxm.dll = "wmpdxm.dll","3cf26"
\WINDOWS\system32\wmpasf.dll = "wmpasf.dll","20652"
\WINDOWS\system32\wmp.dll = "wmp.dll","4b3e27"
\WINDOWS\Help\wmplayer.chm = "wmplayer.chm","aba31"
\WINDOWS\system32\wmpcd.dll = "wmpcd.dll","13ad0"
\WINDOWS\inf\wmp.inf = "wmp.inf","1a410"
\WINDOWS\system32\wmnetmgr.dll = "wmnetmgr.dll","10fa73"
\WINDOWS\system32\wmidx.dll = "wmidx.dll","34605"
\WINDOWS\inf\wmfsdk.inf = "wmfsdk.inf","3887"
\WINDOWS\system32\wmerror.dll = "wmerror.dll","37207"
\WINDOWS\system32\wmdmps.dll = "wmdmps.dll","8f8a"
\WINDOWS\system32\wmdmlog.dll = "wmdmlog.dll","b7e8"
\WINDOWS\inf\wmdm.inf = "wmdm.inf","16302"
\WINDOWS\system32\wmadmoe.dll = "wmadmoe.dll","a9268"
\WINDOWS\system32\wmadmod.dll = "wmadmod.dll","6ce97"
\WINDOWS\system32\strmdll.dll = "strmdll.dll","3e7e8"
\WINDOWS\system32\sl_anet.acm = "sl_anet.acm","2280f"
\WINDOWS\inf\skins.inf = "skins.inf","ef3"
\WINDOWS\system32\shmedia.dll = "shmedia.dll","2d20c"
\WINDOWS\Help\plyr_err.chm = "plyr_err.chm","23691"
\WINDOWS\inf\mymusic.inf = "mymusic.inf","b601"
\WINDOWS\system32\mswmdm.dll = "mswmdm.dll","4a2f8"
\WINDOWS\system32\msscp.dll = "msscp.dll","5f996"
\WINDOWS\system32\msscds32.ax = "msscds32.ax","1671d"
\WINDOWS\system32\mspmsnsv.dll = "mspmsnsv.dll","17458"
\WINDOWS\system32\mspmsp.dll = "mspmsp.dll","3830a"
\WINDOWS\system32\msnetobj.dll = "msnetobj.dll","4b95a"
\WINDOWS\system32\msdxmlc.dll = "msdxmlc.dll","9497"
\WINDOWS\system32\msaud32.acm = "msaud32.acm","4d391"
\WINDOWS\system32\msadds32.ax = "msadds32.ax","3e1ad"
\WINDOWS\system32\mpg4ds32.ax = "mpg4ds32.ax","49b66"
\WINDOWS\system32\mpg4dmod.dll = "mpg4dmod.dll","41ff0"
\WINDOWS\system32\mp4sdmod.dll = "mp4sdmod.dll","6a4ef"
\WINDOWS\system32\mp43dmod.dll = "mp43dmod.dll","50ff1"
.
.
.
"\WINDOWS\srchasst\mui\0407\lcltechy.xml"="lcltechy.xml","5670"
Geändert von herr nachbar (15.11.2012 um 20:11 Uhr) |
|
15.11.2012, 22:16
| #10 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Remotecontrol/Backdoor-Trojaner/firmware-rootkit auf allen GerätenZitat:
Nochmal: die Logs von aswMBR und tdsskiller oben sind sauber! Mit welchen Funden willst du deine These des verseuchten eigentlich untermauern?! Zitat:
Disk 0 Vendor: WDC_WD4000AAKS-00A7B0 01.03B01 Size: 381554MB BusType: 3 Das kann ja wohl schlecht eine RAM-Disk sein! Zudem wird der Strang hier immer schwieriger, ich hab den Eindruck du verzettelst dich in dutzenden Themen und Vermutungen, bringst hier und da was durcheinaner und folgst dann einem völlig falschen Weg, deswegen gehe ich auf den anderen Text erstmal nicht näher ein
__________________ Logfiles bitte immer in CODE-Tags posten |
|
19.11.2012, 01:02
| #11 | |
| | Remotecontrol/Backdoor-Trojaner/firmware-rootkit auf allen GerätenZitat:
hab jetzt geschafft n Windows 7 x64 zu installieren, jetzt hab ich wenigstens halbwegs aktuelle updates nach der Neuinstallation. Leider hab ich hier schon ein paar Programme und Treiber installiert. Ich dachte schon ich hab endlich Ruhe und nach 15min ging es dann wieder los :/ Verallgemeinert könnte man sagen: - viel zu hohe CPU Auslastung und Festplattenaktivität. - Langsame Internetverbindung mit disconnects. - Das Bios hat stark veränderte Optionen - Registryeinstellungen setzen sich nach Neustart oder sogar Betriebssystemwechsel wieder zurück - Treiber stürzen ab - Ich habe auf einmal ganz viele PCI Geräte. - Virenscanner und Rootkit scanner finden nichts. - Doppelte Ordner und Dateien erstellen sich, ohne Zugriffsrechte auf diese zu haben und nach ner Zeit wieder verschwinden und naja. hier nochmal n aktuelles otl log. ich weiß echt nicht wie ich das wieder loswerde ohne n neues mainboard oder pc zu kaufen. Code:
ATTFilter OTL logfile created on: 19.11.2012 00:45:26 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\gggggg\Downloads 64bit- Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation Internet Explorer (Version = 8.0.7601.17514) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,25 Gb Total Physical Memory | 1,53 Gb Available Physical Memory | 47,09% Memory free 6,50 Gb Paging File | 4,41 Gb Available in Paging File | 67,83% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 372,51 Gb Total Space | 354,18 Gb Free Space | 95,08% Space Free | Partition Type: NTFS Computer Name: GGGGGG-PC | User Name: gggggg | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Users\gggggg\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Program Files (x86)\Comodo\Dragon\dragon_updater.exe () PRC - C:\Program Files (x86)\Comodo\Dragon\dragon.exe (Comodo) PRC - C:\Program Files (x86)\AVG\AVG2013\avgui.exe (AVG Technologies CZ, s.r.o.) PRC - C:\Program Files (x86)\AVG\AVG2013\avgidsagent.exe (AVG Technologies CZ, s.r.o.) PRC - C:\Program Files (x86)\AVG\AVG2013\avgwdsvc.exe (AVG Technologies CZ, s.r.o.) PRC - C:\Program Files (x86)\AVG\AVG2013\avgcfgex.exe (AVG Technologies CZ, s.r.o.) PRC - C:\Programme\ASUS Xonar DX Audio\Customapp\AsusAudioCenter.exe (CMedia) PRC - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation) PRC - C:\Windows\SysWOW64\HsMgr.exe () ========== Modules (No Company Name) ========== MOD - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_110.dll () MOD - C:\Program Files (x86)\Comodo\Dragon\avcodec-54.dll () MOD - C:\Program Files (x86)\Comodo\Dragon\libglesv2.dll () MOD - C:\Program Files (x86)\Comodo\Dragon\avformat-54.dll () MOD - C:\Program Files (x86)\Comodo\Dragon\avutil-51.dll () MOD - C:\Program Files (x86)\Comodo\Dragon\libegl.dll () MOD - C:\Programme\ASUS Xonar DX Audio\Customapp\VmixP8.dll () MOD - C:\Windows\SysWOW64\HsMgr.exe () ========== Services (SafeList) ========== SRV:64bit: - (AMD External Events Utility) -- C:\Windows\SysNative\atiesrxx.exe (AMD) SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation) SRV - (AdobeFlashPlayerUpdateSvc) -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated) SRV - (DragonUpdater) -- C:\Program Files (x86)\Comodo\Dragon\dragon_updater.exe () SRV - (SkypeUpdate) -- C:\Program Files (x86)\Skype\Updater\Updater.exe (Skype Technologies) SRV - (vsmon) -- C:\Program Files (x86)\CheckPoint\ZoneAlarm\vsmon.exe (Check Point Software Technologies LTD) SRV - (AVGIDSAgent) -- C:\Program Files (x86)\AVG\AVG2013\avgidsagent.exe (AVG Technologies CZ, s.r.o.) SRV - (IswSvc) -- C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe (Check Point Software Technologies) SRV - (avgfws) -- C:\Program Files (x86)\AVG\AVG2013\avgfws.exe (AVG Technologies CZ, s.r.o.) SRV - (avgwd) -- C:\Program Files (x86)\AVG\AVG2013\avgwdsvc.exe (AVG Technologies CZ, s.r.o.) SRV - (SynchronizationService.exe) -- C:\Programme\COMODO\COMMON\SynchronizationService.exe (COMODO Security Solutions) SRV - (COSService.exe) -- C:\Programme\COMODO\COMMON\COSService.exe (COMODO Security Solutions) SRV - (rpcapd) -- C:\Program Files (x86)\WinPcap\rpcapd.exe (CACE Technologies, Inc.) SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation) SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV:64bit: - (Vsdatant) -- C:\Windows\SysNative\drivers\vsdatant.sys (Check Point Software Technologies LTD) DRV:64bit: - (AVGIDSDriver) -- C:\Windows\SysNative\drivers\avgidsdrivera.sys (AVG Technologies CZ, s.r.o. ) DRV:64bit: - (AVGIDSHA) -- C:\Windows\SysNative\drivers\avgidsha.sys (AVG Technologies CZ, s.r.o. ) DRV:64bit: - (Avgmfx64) -- C:\Windows\SysNative\drivers\avgmfx64.sys (AVG Technologies CZ, s.r.o.) DRV:64bit: - (Avgldx64) -- C:\Windows\SysNative\drivers\avgldx64.sys (AVG Technologies CZ, s.r.o.) DRV:64bit: - (amdkmdag) -- C:\Windows\SysNative\drivers\atikmdag.sys (Advanced Micro Devices, Inc.) DRV:64bit: - (amdkmdap) -- C:\Windows\SysNative\drivers\atikmpag.sys (Advanced Micro Devices, Inc.) DRV:64bit: - (Avgtdia) -- C:\Windows\SysNative\drivers\avgtdia.sys (AVG Technologies CZ, s.r.o.) DRV:64bit: - (Avgloga) -- C:\Windows\SysNative\drivers\avgloga.sys (AVG Technologies CZ, s.r.o.) DRV:64bit: - (Avgrkx64) -- C:\Windows\SysNative\drivers\avgrkx64.sys (AVG Technologies CZ, s.r.o.) DRV:64bit: - (Avgfwfd) -- C:\Windows\SysNative\drivers\avgfwd6a.sys (AVG Technologies CZ, s.r.o.) DRV:64bit: - (cbvd) -- C:\Windows\SysNative\drivers\CBVD.sys (COMODO Security Solutions Inc.) DRV:64bit: - (reparse) -- C:\Windows\SysNative\drivers\cbreparse.sys (COMODO Security Solutions Inc.) DRV:64bit: - (AtiHDAudioService) -- C:\Windows\SysNative\drivers\AtihdW76.sys (Advanced Micro Devices) DRV:64bit: - (KLIF) -- C:\Windows\SysNative\drivers\klif.sys (Kaspersky Lab) DRV:64bit: - (KL1) -- C:\Windows\SysNative\drivers\kl1.sys (Kaspersky Lab ZAO) DRV:64bit: - (kl2) -- C:\Windows\SysNative\drivers\kl2.sys (Kaspersky Lab ZAO) DRV:64bit: - (cmudaxp) -- C:\Windows\SysNative\drivers\cmudaxp.sys (C-Media Inc) DRV:64bit: - (RdpVideoMiniport) -- C:\Windows\SysNative\drivers\rdpvideominiport.sys (Microsoft Corporation) DRV:64bit: - (TsUsbFlt) -- C:\Windows\SysNative\drivers\TsUsbFlt.sys (Microsoft Corporation) DRV:64bit: - (tsusbhub) -- C:\Windows\SysNative\drivers\tsusbhub.sys (Microsoft Corporation) DRV:64bit: - (Synth3dVsc) -- C:\Windows\SysNative\drivers\Synth3dVsc.sys (Microsoft Corporation) DRV:64bit: - (dmvsc) -- C:\Windows\SysNative\drivers\dmvsc.sys (Microsoft Corporation) DRV:64bit: - (terminpt) -- C:\Windows\SysNative\drivers\terminpt.sys (Microsoft Corporation) DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices) DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company) DRV:64bit: - (TsUsbGD) -- C:\Windows\SysNative\drivers\TsUsbGD.sys (Microsoft Corporation) DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices) DRV:64bit: - (NPF) -- C:\Windows\SysNative\drivers\npf.sys (CACE Technologies, Inc.) DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.) DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation) DRV:64bit: - (Fs_Rec) -- C:\Windows\SysNative\drivers\fs_rec.sys (Microsoft Corporation) DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology) DRV:64bit: - (L1E) -- C:\Windows\SysNative\drivers\L1E62x64.sys (Atheros Communications, Inc.) DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation) DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation) DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation) DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.) DRV:64bit: - (MTsensor) -- C:\Windows\SysNative\drivers\ASACPI.sys () DRV - (ISWKL) -- C:\Programme\CheckPoint\ZAForceField\ISWKL.sys (Check Point Software Technologies) DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation) ========== Standard Registry (All) ========== ========== Internet Explorer ========== IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data] IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Extensions Off Page = about:NoAdd-ons IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\System32\blank.htm IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Security Risk Page = about:SecurityRisk IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data] IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Extensions Off Page = about:NoAdd-ons IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Security Risk Page = about:SecurityRisk IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-19\..\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\Windows\SysWOW64\ieframe.dll (Microsoft Corporation) IE - HKU\S-1-5-20\..\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\Windows\SysWOW64\ieframe.dll (Microsoft Corporation) IE - HKU\S-1-5-21-3279803359-3149314571-604167332-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\system32\blank.htm IE - HKU\S-1-5-21-3279803359-3149314571-604167332-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 IE - HKU\S-1-5-21-3279803359-3149314571-604167332-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startfenster.com IE - HKU\S-1-5-21-3279803359-3149314571-604167332-1000\..\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\Windows\SysWOW64\ieframe.dll (Microsoft Corporation) IE - HKU\S-1-5-21-3279803359-3149314571-604167332-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKU\S-1-5-21-3279803359-3149314571-604167332-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKU\S-1-5-21-3279803359-3149314571-604167332-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_110.dll File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_110.dll () FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll () FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.4: C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll (VideoLAN) 64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\PROGRAM FILES\CHECKPOINT\ZAFORCEFIELD\TRUSTCHECKER [2012.11.18 22:30:18 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker [2012.11.18 22:30:19 | 000,000,000 | ---D | M] O1 HOSTS File: ([2009.06.10 22:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts O2:64bit: - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O3:64bit: - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O3 - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O4:64bit: - HKLM..\Run: [Cmaudio8788] C:\Windows\Syswow64\cmicnfgp.dll (C-Media Corporation) O4:64bit: - HKLM..\Run: [Cmaudio8788GX] C:\Windows\syswow64\HsMgr.exe () O4:64bit: - HKLM..\Run: [Cmaudio8788GX64] C:\Windows\system\HsMgr64.exe () O4:64bit: - HKLM..\Run: [ISW] File not found O4 - HKLM..\Run: [AVG_UI] C:\Program Files (x86)\AVG\AVG2013\avgui.exe (AVG Technologies CZ, s.r.o.) O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.) O4 - HKLM..\Run: [ZoneAlarm] C:\Program Files (x86)\CheckPoint\ZoneAlarm\zatray.exe (Check Point Software Technologies LTD) O4 - HKU\S-1-5-19..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation) O4 - HKU\S-1-5-20..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation) O4 - HKU\S-1-5-21-3279803359-3149314571-604167332-1000..\Run: [COS] C:\Programme\COMODO\COMODO Cloud\COSCLIENT.exe (COMODO Security Solutions) O4 - HKU\S-1-5-21-3279803359-3149314571-604167332-1000..\Run: [Skype] C:\Program Files (x86)\Skype\Phone\Skype.exe (Skype Technologies S.A.) O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ForceActiveDesktopOn = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableInstallerDetection = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableUIADesktopToggle = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableVirtualization = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ValidateAdminCodeSignatures = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: dontdisplaylastusername = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticecaption = O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticetext = O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: scforceoption = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: shutdownwithoutlogon = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: undockwithoutlogon = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: FilterAdministratorToken = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_TEXT = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_BITMAP = 2 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_OEMTEXT = 7 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_DIB = 8 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_PALETTE = 9 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_UNICODETEXT = 13 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_DIBV5 = 17 O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000001 [] - C:\Windows\SysNative\nlaapi.dll (Microsoft Corporation) O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000002 [] - C:\Windows\SysNative\NapiNSP.dll (Microsoft Corporation) O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000003 [] - C:\Windows\SysNative\pnrpnsp.dll (Microsoft Corporation) O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000004 [] - C:\Windows\SysNative\pnrpnsp.dll (Microsoft Corporation) O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000005 [] - C:\Windows\SysNative\mswsock.dll (Microsoft Corporation) O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000006 [] - C:\Windows\SysNative\winrnr.dll (Microsoft Corporation) O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - C:\Windows\SysNative\mswsock.dll (Microsoft Corporation) O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - C:\Windows\SysNative\mswsock.dll (Microsoft Corporation) O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - C:\Windows\SysNative\mswsock.dll (Microsoft Corporation) O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - C:\Windows\SysNative\mswsock.dll (Microsoft Corporation) O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - C:\Windows\SysNative\mswsock.dll (Microsoft Corporation) O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - C:\Windows\SysNative\mswsock.dll (Microsoft Corporation) O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - C:\Windows\SysNative\mswsock.dll (Microsoft Corporation) O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - C:\Windows\SysNative\mswsock.dll (Microsoft Corporation) O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - C:\Windows\SysNative\mswsock.dll (Microsoft Corporation) O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - C:\Windows\SysNative\mswsock.dll (Microsoft Corporation) O10 - NameSpace_Catalog5\Catalog_Entries\000000000001 [] - C:\Windows\SysWOW64\nlaapi.dll (Microsoft Corporation) O10 - NameSpace_Catalog5\Catalog_Entries\000000000002 [] - C:\Windows\SysWOW64\NapiNSP.dll (Microsoft Corporation) O10 - NameSpace_Catalog5\Catalog_Entries\000000000003 [] - C:\Windows\SysWOW64\pnrpnsp.dll (Microsoft Corporation) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Windows\SysWOW64\pnrpnsp.dll (Microsoft Corporation) O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Windows\SysWOW64\mswsock.dll (Microsoft Corporation) O10 - NameSpace_Catalog5\Catalog_Entries\000000000006 [] - C:\Windows\SysWOW64\winrnr.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Windows\SysWOW64\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Windows\SysWOW64\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Windows\SysWOW64\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Windows\SysWOW64\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Windows\SysWOW64\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Windows\SysWOW64\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Windows\SysWOW64\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Windows\SysWOW64\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\Windows\SysWOW64\mswsock.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\Windows\SysWOW64\mswsock.dll (Microsoft Corporation) O1364bit: - gopher Prefix: missing O13 - gopher Prefix: missing O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{93804515-FB5A-4C79-B731-955F0DA2486B}: DhcpNameServer = 192.168.1.1 O18:64bit: - Protocol\Handler\about {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysNative\mshtml.dll (Microsoft Corporation) O18:64bit: - Protocol\Handler\cdl {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\Windows\SysNative\urlmon.dll (Microsoft Corporation) O18:64bit: - Protocol\Handler\dvd {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\Windows\SysNative\MSVidCtl.dll (Microsoft Corporation) O18:64bit: - Protocol\Handler\file {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysNative\urlmon.dll (Microsoft Corporation) O18:64bit: - Protocol\Handler\ftp {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysNative\urlmon.dll (Microsoft Corporation) O18:64bit: - Protocol\Handler\http {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysNative\urlmon.dll (Microsoft Corporation) O18:64bit: - Protocol\Handler\https {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysNative\urlmon.dll (Microsoft Corporation) O18:64bit: - Protocol\Handler\its {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\Windows\SysNative\itss.dll (Microsoft Corporation) O18:64bit: - Protocol\Handler\javascript {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysNative\mshtml.dll (Microsoft Corporation) O18:64bit: - Protocol\Handler\local {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysNative\urlmon.dll (Microsoft Corporation) O18:64bit: - Protocol\Handler\mailto {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysNative\mshtml.dll (Microsoft Corporation) O18:64bit: - Protocol\Handler\mhtml {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\Windows\SysNative\inetcomm.dll (Microsoft Corporation) O18:64bit: - Protocol\Handler\mk {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysNative\urlmon.dll (Microsoft Corporation) O18:64bit: - Protocol\Handler\ms-its {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\Windows\SysNative\itss.dll (Microsoft Corporation) O18:64bit: - Protocol\Handler\res {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysNative\mshtml.dll (Microsoft Corporation) O18:64bit: - Protocol\Handler\skype4com - No CLSID value found O18:64bit: - Protocol\Handler\tv {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\Windows\SysNative\MSVidCtl.dll (Microsoft Corporation) O18:64bit: - Protocol\Handler\vbscript {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysNative\mshtml.dll (Microsoft Corporation) O18 - Protocol\Handler\about {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysWOW64\mshtml.dll (Microsoft Corporation) O18 - Protocol\Handler\cdl {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\Windows\SysWOW64\urlmon.dll (Microsoft Corporation) O18 - Protocol\Handler\dvd {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\Windows\SysWOW64\MSVidCtl.dll (Microsoft Corporation) O18 - Protocol\Handler\file {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysWOW64\urlmon.dll (Microsoft Corporation) O18 - Protocol\Handler\ftp {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysWOW64\urlmon.dll (Microsoft Corporation) O18 - Protocol\Handler\http {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysWOW64\urlmon.dll (Microsoft Corporation) O18 - Protocol\Handler\https {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysWOW64\urlmon.dll (Microsoft Corporation) O18 - Protocol\Handler\its {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\Windows\SysWOW64\itss.dll (Microsoft Corporation) O18 - Protocol\Handler\javascript {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysWOW64\mshtml.dll (Microsoft Corporation) O18 - Protocol\Handler\local {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysWOW64\urlmon.dll (Microsoft Corporation) O18 - Protocol\Handler\mailto {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysWOW64\mshtml.dll (Microsoft Corporation) O18 - Protocol\Handler\mhtml {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\Windows\SysWOW64\inetcomm.dll (Microsoft Corporation) O18 - Protocol\Handler\mk {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysWOW64\urlmon.dll (Microsoft Corporation) O18 - Protocol\Handler\ms-its {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\Windows\SysWOW64\itss.dll (Microsoft Corporation) O18 - Protocol\Handler\res {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysWOW64\mshtml.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies) O18 - Protocol\Handler\tv {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\Windows\SysWOW64\MSVidCtl.dll (Microsoft Corporation) O18 - Protocol\Handler\vbscript {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\Windows\SysWOW64\mshtml.dll (Microsoft Corporation) O18:64bit: - Protocol\Filter\application/octet-stream {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\Windows\SysNative\mscoree.dll (Microsoft Corporation) O18:64bit: - Protocol\Filter\application/x-complus {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\Windows\SysNative\mscoree.dll (Microsoft Corporation) O18:64bit: - Protocol\Filter\application/x-msdownload {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\Windows\SysNative\mscoree.dll (Microsoft Corporation) O18:64bit: - Protocol\Filter\deflate {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\SysNative\urlmon.dll (Microsoft Corporation) O18:64bit: - Protocol\Filter\gzip {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\SysNative\urlmon.dll (Microsoft Corporation) O18 - Protocol\Filter\application/octet-stream {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\Windows\SysWow64\mscoree.dll (Microsoft Corporation) O18 - Protocol\Filter\application/x-complus {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\Windows\SysWow64\mscoree.dll (Microsoft Corporation) O18 - Protocol\Filter\application/x-msdownload {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\Windows\SysWow64\mscoree.dll (Microsoft Corporation) O18 - Protocol\Filter\deflate {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\SysWOW64\urlmon.dll (Microsoft Corporation) O18 - Protocol\Filter\gzip {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\SysWOW64\urlmon.dll (Microsoft Corporation) O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysWow64\SystemPropertiesPerformance.exe (Microsoft Corporation) O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O29:64bit: - HKLM SecurityProviders - (credssp.dll) - C:\Windows\SysWow64\credssp.dll (Microsoft Corporation) O29 - HKLM SecurityProviders - (credssp.dll) - C:\Windows\SysWow64\credssp.dll (Microsoft Corporation) O30:64bit: - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft Corporation) O30 - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll (Microsoft Corporation) O30:64bit: - LSA: Security Packages - (kerberos) - C:\Windows\SysNative\kerberos.dll (Microsoft Corporation) O30:64bit: - LSA: Security Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft Corporation) O30:64bit: - LSA: Security Packages - (schannel) - C:\Windows\SysNative\schannel.dll (Microsoft Corporation) O30:64bit: - LSA: Security Packages - (wdigest) - C:\Windows\SysNative\wdigest.dll (Microsoft Corporation) O30:64bit: - LSA: Security Packages - (tspkg) - C:\Windows\SysNative\tspkg.dll (Microsoft Corporation) O30:64bit: - LSA: Security Packages - (pku2u) - C:\Windows\SysNative\pku2u.dll (Microsoft Corporation) O30 - LSA: Security Packages - (kerberos) - C:\Windows\SysWow64\kerberos.dll (Microsoft Corporation) O30 - LSA: Security Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll (Microsoft Corporation) O30 - LSA: Security Packages - (schannel) - C:\Windows\SysWow64\schannel.dll (Microsoft Corporation) O30 - LSA: Security Packages - (wdigest) - C:\Windows\SysWow64\wdigest.dll (Microsoft Corporation) O30 - LSA: Security Packages - (tspkg) - C:\Windows\SysWow64\tspkg.dll (Microsoft Corporation) O30 - LSA: Security Packages - (pku2u) - C:\Windows\SysWow64\pku2u.dll (Microsoft Corporation) O31 - SafeBoot: AlternateShell - cmd.exe O32 - HKLM CDRom: AutoRun - 1 O34 - HKLM BootExecute: (autocheck autochk *) O35:64bit: - HKLM\..comfile [open] -- "%1" %* O35:64bit: - HKLM\..exefile [open] -- "%1" %* O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %* O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) O38 - SubSystems\\Windows: (ServerDll=sxssrv,4) ========== Files/Folders - Created Within 30 Days ========== [2012.11.19 00:09:38 | 000,000,000 | ---D | C] -- C:\Users\gggggg\AppData\Roaming\AVG2013 [2012.11.19 00:05:48 | 000,000,000 | ---D | C] -- C:\Users\gggggg\AppData\Roaming\TuneUp Software [2012.11.19 00:05:48 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG [2012.11.19 00:05:22 | 000,000,000 | -H-D | C] -- C:\$AVG [2012.11.19 00:05:22 | 000,000,000 | ---D | C] -- C:\ProgramData\AVG2013 [2012.11.19 00:04:57 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\AVG [2012.11.18 23:57:35 | 000,000,000 | -H-D | C] -- C:\ProgramData\Common Files [2012.11.18 23:57:35 | 000,000,000 | ---D | C] -- C:\Users\gggggg\AppData\Local\MFAData [2012.11.18 23:57:35 | 000,000,000 | ---D | C] -- C:\ProgramData\MFAData [2012.11.18 23:57:35 | 000,000,000 | ---D | C] -- C:\Users\gggggg\AppData\Local\Avg2013 [2012.11.18 23:53:01 | 000,000,000 | ---D | C] -- C:\Users\gggggg\AppData\Roaming\Macromedia [2012.11.18 23:53:01 | 000,000,000 | ---D | C] -- C:\Users\gggggg\AppData\Roaming\Adobe [2012.11.18 23:52:34 | 000,697,272 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerApp.exe [2012.11.18 23:52:34 | 000,073,656 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl [2012.11.18 23:52:34 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\Macromed [2012.11.18 23:52:27 | 000,000,000 | ---D | C] -- C:\Windows\SysNative\Macromed [2012.11.18 23:50:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Adobe [2012.11.18 23:29:49 | 000,000,000 | ---D | C] -- C:\Users\gggggg\AppData\Roaming\ATI [2012.11.18 23:29:49 | 000,000,000 | ---D | C] -- C:\Users\gggggg\AppData\Local\ATI [2012.11.18 23:29:49 | 000,000,000 | ---D | C] -- C:\ProgramData\ATI [2012.11.18 23:25:59 | 000,000,000 | ---D | C] -- C:\ProgramData\AMD [2012.11.18 23:25:58 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\AMD AVT [2012.11.18 23:25:55 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\AMD APP [2012.11.18 23:25:51 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\ATI Technologies [2012.11.18 23:25:51 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\ATI Technologies [2012.11.18 23:25:41 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Catalyst Control Center [2012.11.18 23:25:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinPcap [2012.11.18 23:25:27 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\WinPcap [2012.11.18 23:24:43 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ATI Technologies [2012.11.18 23:22:42 | 000,000,000 | ---D | C] -- C:\Users\gggggg\AppData\Roaming\ASUS [2012.11.18 23:22:39 | 000,419,840 | ---- | C] (Creative Labs) -- C:\Windows\SysNative\wrap_oal.dll [2012.11.18 23:22:39 | 000,413,696 | ---- | C] (Creative Labs) -- C:\Windows\SysWow64\wrap_oal.dll [2012.11.18 23:22:39 | 000,111,616 | ---- | C] (Portions (C) Creative Labs Inc. and NVIDIA Corp.) -- C:\Windows\SysNative\OpenAL32.dll [2012.11.18 23:22:39 | 000,102,400 | ---- | C] (Portions (C) Creative Labs Inc. and NVIDIA Corp.) -- C:\Windows\SysWow64\OpenAL32.dll [2012.11.18 23:22:39 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\OpenAL [2012.11.18 23:22:31 | 008,769,536 | ---- | C] (C-Media Corporation) -- C:\Windows\SysWow64\CmiCnfgp.dll [2012.11.18 23:22:31 | 000,465,408 | ---- | C] (C-Media Electronics Inc.) -- C:\Windows\SysNative\cmasiopx.dll [2012.11.18 23:22:31 | 000,303,104 | ---- | C] (C-Media Electronics Inc.) -- C:\Windows\SysWow64\cmasiop.dll [2012.11.18 23:22:31 | 000,217,088 | ---- | C] (C-Media Electronics Inc.) -- C:\Windows\SysWow64\HsSrv2.dll [2012.11.18 23:22:31 | 000,217,088 | ---- | C] (C-Media Electronics Inc.) -- C:\Windows\SysWow64\HsSrv.dll [2012.11.18 23:22:31 | 000,200,704 | ---- | C] (C-Media) -- C:\Windows\SysWow64\Cmpaoxy.dll [2012.11.18 23:22:31 | 000,122,880 | ---- | C] (CMedia Electronics Inc.) -- C:\Windows\SysWow64\Cm_Oal.dll [2012.11.18 23:22:31 | 000,122,880 | ---- | C] (CMedia Electronics Inc.) -- C:\Windows\SysNative\Cm_Oal.dll [2012.11.18 23:22:31 | 000,121,856 | ---- | C] (C-Media Electronics Inc.) -- C:\Windows\System\HsSrv642.dll [2012.11.18 23:22:31 | 000,121,856 | ---- | C] (C-Media Electronics Inc.) -- C:\Windows\System\HsSrv64.dll [2012.11.18 23:22:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS Xonar DX Audio [2012.11.18 23:22:30 | 000,000,000 | ---D | C] -- C:\Program Files\ASUS Xonar DX Audio [2012.11.18 23:04:35 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Users\gggggg\Desktop\HiJackThis204.exe [2012.11.18 22:58:58 | 000,000,000 | ---D | C] -- C:\Program Files\COMODO [2012.11.18 22:52:58 | 000,524,768 | ---- | C] (Microsoft Corporation) -- C:\Windows\difxapi.dll [2012.11.18 22:52:03 | 002,725,376 | ---- | C] (C-Media Inc) -- C:\Windows\SysNative\drivers\cmudaxp.sys [2012.11.18 22:52:03 | 000,315,392 | ---- | C] (C-Media Electronics Inc.) -- C:\Windows\SysWow64\CmiFltr.dll [2012.11.18 22:52:03 | 000,315,392 | ---- | C] (C-Media Electronics Inc.) -- C:\Windows\System\CmiFltr.dll [2012.11.18 22:52:03 | 000,032,768 | ---- | C] (C-Media Electronics Inc.) -- C:\Windows\SysNative\cmudaxp.dll [2012.11.18 22:52:01 | 000,000,000 | ---D | C] -- C:\Users\gggggg\Desktop\PCI-DX-110512-7.12.8.1794(W7-FR) [2012.11.18 22:51:38 | 000,000,000 | ---D | C] -- C:\Users\gggggg\AppData\Roaming\WinRAR [2012.11.18 22:51:28 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR [2012.11.18 22:51:25 | 000,000,000 | ---D | C] -- C:\Users\gggggg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR [2012.11.18 22:51:06 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Microsoft.NET [2012.11.18 22:48:09 | 000,000,000 | ---D | C] -- C:\Program Files\WinRAR [2012.11.18 22:41:37 | 000,000,000 | ---D | C] -- C:\Program Files\ATI Technologies [2012.11.18 22:41:35 | 000,000,000 | ---D | C] -- C:\Program Files\ATI [2012.11.18 22:40:49 | 000,000,000 | ---D | C] -- C:\AMD [2012.11.18 22:30:20 | 000,000,000 | ---D | C] -- C:\Users\gggggg\Documents\ForceField Shared Files [2012.11.18 22:30:20 | 000,000,000 | ---D | C] -- C:\Users\gggggg\AppData\Roaming\CheckPoint [2012.11.18 22:30:15 | 000,000,000 | ---D | C] -- C:\Program Files\CheckPoint [2012.11.18 22:30:11 | 000,011,864 | ---- | C] (Kaspersky Lab ZAO) -- C:\Windows\SysNative\drivers\kl2.sys [2012.11.18 22:30:09 | 000,460,888 | ---- | C] (Kaspersky Lab ZAO) -- C:\Windows\SysNative\drivers\kl1.sys [2012.11.18 22:30:08 | 000,485,680 | ---- | C] (Kaspersky Lab) -- C:\Windows\SysNative\drivers\klif.sys [2012.11.18 22:30:08 | 000,000,000 | ---D | C] -- C:\Windows\SysNative\DRVSTORE [2012.11.18 22:30:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Check Point [2012.11.18 22:12:43 | 001,112,064 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\rdpcorets.dll [2012.11.18 22:12:43 | 001,031,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\rdpcore.dll [2012.11.18 22:12:43 | 000,826,880 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\rdpcore.dll [2012.11.18 22:11:18 | 000,000,000 | ---D | C] -- C:\ProgramData\CheckPoint [2012.11.18 22:11:18 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\CheckPoint [2012.11.18 22:09:49 | 002,622,464 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wucltux.dll [2012.11.18 22:09:49 | 000,057,880 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wuauclt.exe [2012.11.18 22:09:49 | 000,044,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wups2.dll [2012.11.18 22:09:43 | 000,701,976 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wuapi.dll [2012.11.18 22:09:43 | 000,099,840 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wudriver.dll [2012.11.18 22:09:43 | 000,038,424 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wups.dll [2012.11.18 22:09:35 | 000,186,752 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wuwebv.dll [2012.11.18 22:09:35 | 000,036,864 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wuapp.exe [2012.11.18 22:02:36 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoLAN [2012.11.18 22:02:29 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\VideoLAN [2012.11.18 22:01:44 | 000,000,000 | ---D | C] -- C:\Users\gggggg\AppData\Roaming\Skype [2012.11.18 22:01:41 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype [2012.11.18 22:01:41 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Skype [2012.11.18 22:01:40 | 000,000,000 | R--D | C] -- C:\Program Files (x86)\Skype [2012.11.18 22:01:38 | 000,000,000 | -HSD | C] -- C:\Windows\Installer [2012.11.18 22:01:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Skype [2012.11.18 22:01:16 | 000,000,000 | ---D | C] -- C:\Users\gggggg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pidgin-otr [2012.11.18 22:01:16 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\pidgin-otr [2012.11.18 22:01:16 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\pidgin-otr [2012.11.18 22:00:57 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Pidgin [2012.11.18 22:00:24 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comodo [2012.11.18 22:00:23 | 000,000,000 | ---D | C] -- C:\Users\gggggg\AppData\Local\Comodo [2012.11.18 22:00:21 | 000,050,952 | ---- | C] (COMODO CA Limited) -- C:\Windows\SysNative\certsentry.dll [2012.11.18 22:00:21 | 000,042,760 | ---- | C] (COMODO CA Limited) -- C:\Windows\SysWow64\certsentry.dll [2012.11.18 22:00:17 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Comodo [2012.11.18 22:00:08 | 001,700,352 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\gdiplus.dll [2012.11.18 22:00:08 | 001,060,864 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mfc71.dll [2012.11.18 21:58:44 | 000,000,000 | R--D | C] -- C:\Users\gggggg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup [2012.11.18 21:58:44 | 000,000,000 | R--D | C] -- C:\Users\gggggg\Searches [2012.11.18 21:58:44 | 000,000,000 | R--D | C] -- C:\Users\gggggg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools [2012.11.18 21:58:36 | 000,000,000 | ---D | C] -- C:\Users\gggggg\AppData\Roaming\Identities [2012.11.18 21:58:35 | 000,000,000 | R--D | C] -- C:\Users\gggggg\Contacts [2012.11.18 21:58:34 | 000,000,000 | ---D | C] -- C:\Users\gggggg\AppData\Local\VirtualStore [2012.11.18 21:58:26 | 000,000,000 | --SD | C] -- C:\Users\gggggg\AppData\Roaming\Microsoft [2012.11.18 21:58:26 | 000,000,000 | R--D | C] -- C:\Users\gggggg\Videos [2012.11.18 21:58:26 | 000,000,000 | R--D | C] -- C:\Users\gggggg\Saved Games [2012.11.18 21:58:26 | 000,000,000 | R--D | C] -- C:\Users\gggggg\Pictures [2012.11.18 21:58:26 | 000,000,000 | R--D | C] -- C:\Users\gggggg\Music [2012.11.18 21:58:26 | 000,000,000 | R--D | C] -- C:\Users\gggggg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance [2012.11.18 21:58:26 | 000,000,000 | R--D | C] -- C:\Users\gggggg\Links [2012.11.18 21:58:26 | 000,000,000 | R--D | C] -- C:\Users\gggggg\Favorites [2012.11.18 21:58:26 | 000,000,000 | R--D | C] -- C:\Users\gggggg\Downloads [2012.11.18 21:58:26 | 000,000,000 | R--D | C] -- C:\Users\gggggg\Documents [2012.11.18 21:58:26 | 000,000,000 | R--D | C] -- C:\Users\gggggg\Desktop [2012.11.18 21:58:26 | 000,000,000 | R--D | C] -- C:\Users\gggggg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories [2012.11.18 21:58:26 | 000,000,000 | -HSD | C] -- C:\Users\gggggg\Vorlagen [2012.11.18 21:58:26 | 000,000,000 | -HSD | C] -- C:\Users\gggggg\AppData\Local\Verlauf [2012.11.18 21:58:26 | 000,000,000 | -HSD | C] -- C:\Users\gggggg\AppData\Local\Temporary Internet Files [2012.11.18 21:58:26 | 000,000,000 | -HSD | C] -- C:\Users\gggggg\Startmenü [2012.11.18 21:58:26 | 000,000,000 | -HSD | C] -- C:\Users\gggggg\SendTo [2012.11.18 21:58:26 | 000,000,000 | -HSD | C] -- C:\Users\gggggg\Recent [2012.11.18 21:58:26 | 000,000,000 | -HSD | C] -- C:\Users\gggggg\Netzwerkumgebung [2012.11.18 21:58:26 | 000,000,000 | -HSD | C] -- C:\Users\gggggg\Lokale Einstellungen [2012.11.18 21:58:26 | 000,000,000 | -HSD | C] -- C:\Users\gggggg\Documents\Eigene Videos [2012.11.18 21:58:26 | 000,000,000 | -HSD | C] -- C:\Users\gggggg\Documents\Eigene Musik [2012.11.18 21:58:26 | 000,000,000 | -HSD | C] -- C:\Users\gggggg\Eigene Dateien [2012.11.18 21:58:26 | 000,000,000 | -HSD | C] -- C:\Users\gggggg\Documents\Eigene Bilder [2012.11.18 21:58:26 | 000,000,000 | -HSD | C] -- C:\Users\gggggg\Druckumgebung [2012.11.18 21:58:26 | 000,000,000 | -HSD | C] -- C:\Users\gggggg\Cookies [2012.11.18 21:58:26 | 000,000,000 | -HSD | C] -- C:\Users\gggggg\AppData\Local\Anwendungsdaten [2012.11.18 21:58:26 | 000,000,000 | -HSD | C] -- C:\Users\gggggg\Anwendungsdaten [2012.11.18 21:58:26 | 000,000,000 | -H-D | C] -- C:\Users\gggggg\AppData [2012.11.18 21:58:26 | 000,000,000 | ---D | C] -- C:\Users\gggggg\AppData\Local\Temp [2012.11.18 21:58:26 | 000,000,000 | ---D | C] -- C:\Users\gggggg\AppData\Local\Microsoft [2012.11.18 21:58:26 | 000,000,000 | ---D | C] -- C:\Users\gggggg\AppData\Roaming\Media Center Programs [2012.11.18 21:58:21 | 000,000,000 | -HSD | C] -- C:\ProgramData\Vorlagen [2012.11.18 21:58:21 | 000,000,000 | -HSD | C] -- C:\ProgramData\Startmenü [2012.11.18 21:58:21 | 000,000,000 | -HSD | C] -- C:\Recovery [2012.11.18 21:58:21 | 000,000,000 | -HSD | C] -- C:\Programme [2012.11.18 21:58:21 | 000,000,000 | -HSD | C] -- C:\Program Files\Gemeinsame Dateien [2012.11.18 21:58:21 | 000,000,000 | -HSD | C] -- C:\ProgramData\Favoriten [2012.11.18 21:58:21 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Videos [2012.11.18 21:58:21 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Musik [2012.11.18 21:58:21 | 000,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Bilder [2012.11.18 21:58:21 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen [2012.11.18 21:58:21 | 000,000,000 | -HSD | C] -- C:\ProgramData\Dokumente [2012.11.18 21:58:21 | 000,000,000 | -HSD | C] -- C:\ProgramData\Anwendungsdaten [2012.11.18 21:54:30 | 000,000,000 | ---D | C] -- C:\Windows\SoftwareDistribution [2012.11.18 21:52:13 | 000,000,000 | ---D | C] -- C:\Windows\Prefetch [2012.11.18 21:48:27 | 000,000,000 | -HSD | C] -- C:\System Volume Information [2012.11.18 21:47:05 | 000,000,000 | ---D | C] -- C:\Windows\Panther [2012.11.01 15:31:48 | 000,450,136 | ---- | C] (Check Point Software Technologies LTD) -- C:\Windows\SysNative\drivers\vsdatant.sys [2012.10.22 13:02:44 | 000,154,464 | ---- | C] (AVG Technologies CZ, s.r.o. ) -- C:\Windows\SysNative\drivers\avgidsdrivera.sys ========== Files - Modified Within 30 Days ========== [2012.11.19 00:33:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job [2012.11.19 00:05:48 | 000,000,981 | ---- | M] () -- C:\Users\Public\Desktop\AVG 2013.lnk [2012.11.18 23:52:34 | 000,697,272 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerApp.exe [2012.11.18 23:52:34 | 000,073,656 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl [2012.11.18 23:33:35 | 001,498,506 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI [2012.11.18 23:33:35 | 000,653,928 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat [2012.11.18 23:33:35 | 000,615,810 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat [2012.11.18 23:33:35 | 000,129,800 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat [2012.11.18 23:33:35 | 000,106,190 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat [2012.11.18 23:33:16 | 000,005,900 | ---- | M] () -- C:\Users\gggggg\Desktop\hijackthis2 [2012.11.18 23:28:53 | 000,275,232 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT [2012.11.18 23:28:53 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2012.11.18 23:28:46 | 000,000,000 | ---- | M] () -- C:\Windows\ativpsrm.bin [2012.11.18 23:28:41 | 2616,500,224 | -HS- | M] () -- C:\hiberfil.sys [2012.11.18 23:27:23 | 000,016,640 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2012.11.18 23:27:23 | 000,016,640 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2012.11.18 23:22:42 | 000,000,004 | ---- | M] () -- C:\Windows\SysWow64\ØL1 [2012.11.18 23:22:39 | 000,419,840 | ---- | M] (Creative Labs) -- C:\Windows\SysNative\wrap_oal.dll [2012.11.18 23:22:39 | 000,413,696 | ---- | M] (Creative Labs) -- C:\Windows\SysWow64\wrap_oal.dll [2012.11.18 23:22:39 | 000,111,616 | ---- | M] (Portions (C) Creative Labs Inc. and NVIDIA Corp.) -- C:\Windows\SysNative\OpenAL32.dll [2012.11.18 23:22:39 | 000,102,400 | ---- | M] (Portions (C) Creative Labs Inc. and NVIDIA Corp.) -- C:\Windows\SysWow64\OpenAL32.dll [2012.11.18 23:22:31 | 000,042,457 | ---- | M] () -- C:\Windows\Cmicnfgp.ini.cfl [2012.11.18 23:22:31 | 000,000,908 | ---- | M] () -- C:\Windows\Cmicnfgp.ini.imi [2012.11.18 23:22:31 | 000,000,847 | ---- | M] () -- C:\Windows\System\Cmicnfgp.ini [2012.11.18 23:22:31 | 000,000,140 | ---- | M] () -- C:\Windows\System\Dlap.pfx [2012.11.18 23:01:02 | 000,299,035 | ---- | M] () -- C:\Users\gggggg\Desktop\heheh.jpg [2012.11.18 22:59:05 | 000,000,978 | ---- | M] () -- C:\Users\Public\Desktop\COMODO Cloud.lnk [2012.11.18 22:58:07 | 000,263,954 | ---- | M] () -- C:\Users\gggggg\Desktop\Unbenannt.jpg [2012.11.18 22:40:02 | 000,415,877 | ---- | M] () -- C:\Windows\SysNative\drivers\vsconfig.xml [2012.11.18 22:30:04 | 000,000,762 | ---- | M] () -- C:\Users\Public\Desktop\ZoneAlarm Security.lnk [2012.11.18 22:02:36 | 000,001,066 | ---- | M] () -- C:\Users\Public\Desktop\VLC media player.lnk [2012.11.18 22:01:41 | 000,002,517 | ---- | M] () -- C:\Users\Public\Desktop\Skype.lnk [2012.11.18 22:01:00 | 000,000,979 | ---- | M] () -- C:\Users\Public\Desktop\Pidgin.lnk [2012.11.18 22:00:24 | 000,001,116 | ---- | M] () -- C:\Users\Public\Desktop\Comodo Dragon.lnk [2012.11.18 22:00:21 | 000,050,952 | ---- | M] (COMODO CA Limited) -- C:\Windows\SysNative\certsentry.dll [2012.11.18 22:00:21 | 000,042,760 | ---- | M] (COMODO CA Limited) -- C:\Windows\SysWow64\certsentry.dll [2012.11.18 22:00:08 | 001,700,352 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\gdiplus.dll [2012.11.18 22:00:08 | 001,060,864 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWow64\mfc71.dll [2012.11.18 21:54:37 | 000,161,548 | ---- | M] () -- C:\Windows\SysWow64\license.rtf [2012.11.18 21:54:37 | 000,161,548 | ---- | M] () -- C:\Windows\SysNative\license.rtf [2012.11.18 21:53:18 | 000,000,000 | -H-- | M] () -- C:\Windows\SysNative\drivers\Msft_User_WpdFs_01_09_00.Wdf [2012.11.17 06:18:32 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Users\gggggg\Desktop\HiJackThis204.exe [2012.11.01 15:31:48 | 000,450,136 | ---- | M] (Check Point Software Technologies LTD) -- C:\Windows\SysNative\drivers\vsdatant.sys [2012.10.22 13:02:44 | 000,154,464 | ---- | M] (AVG Technologies CZ, s.r.o. ) -- C:\Windows\SysNative\drivers\avgidsdrivera.sys ========== Files Created - No Company Name ========== [2012.11.19 00:05:48 | 000,000,981 | ---- | C] () -- C:\Users\Public\Desktop\AVG 2013.lnk [2012.11.18 23:52:35 | 000,000,884 | ---- | C] () -- C:\Windows\tasks\Adobe Flash Player Updater.job [2012.11.18 23:33:16 | 000,005,900 | ---- | C] () -- C:\Users\gggggg\Desktop\hijackthis2 [2012.11.18 23:28:46 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin [2012.11.18 23:22:42 | 000,000,004 | ---- | C] () -- C:\Windows\SysWow64\ØL1 [2012.11.18 23:22:31 | 001,144,983 | ---- | C] () -- C:\Windows\KB936225x64.msu [2012.11.18 23:22:31 | 000,389,120 | ---- | C] () -- C:\Windows\SysNative\CmiCnfgp.cpl [2012.11.18 23:22:31 | 000,282,112 | ---- | C] () -- C:\Windows\System\HsMgr64.exe [2012.11.18 23:22:31 | 000,200,704 | ---- | C] () -- C:\Windows\SysWow64\HsMgr.exe [2012.11.18 23:22:31 | 000,143,360 | ---- | C] () -- C:\Windows\SysWow64\VmixP8.dll [2012.11.18 23:22:31 | 000,000,052 | ---- | C] () -- C:\Windows\SysNative\cmasiopx.ini [2012.11.18 23:22:31 | 000,000,048 | ---- | C] () -- C:\Windows\SysWow64\cmasiop.ini [2012.11.18 23:22:30 | 000,805,376 | ---- | C] () -- C:\Windows\SysNative\Cmeauoxy.exe [2012.11.18 23:22:30 | 000,042,457 | ---- | C] () -- C:\Windows\Cmicnfgp.ini.cfl [2012.11.18 23:22:30 | 000,000,140 | ---- | C] () -- C:\Windows\System\Dlap.pfx [2012.11.18 23:22:00 | 000,000,908 | ---- | C] () -- C:\Windows\Cmicnfgp.ini.imi [2012.11.18 23:21:58 | 000,004,969 | ---- | C] () -- C:\Windows\Cmicnfgp.ini.cfg [2012.11.18 23:01:02 | 000,299,035 | ---- | C] () -- C:\Users\gggggg\Desktop\heheh.jpg [2012.11.18 22:59:05 | 000,000,978 | ---- | C] () -- C:\Users\Public\Desktop\COMODO Cloud.lnk [2012.11.18 22:58:07 | 000,263,954 | ---- | C] () -- C:\Users\gggggg\Desktop\Unbenannt.jpg [2012.11.18 22:52:58 | 000,359,424 | ---- | C] () -- C:\Windows\SysNative\CmiInstallResAll64.dll [2012.11.18 22:52:58 | 000,000,847 | ---- | C] () -- C:\Windows\System\Cmicnfgp.ini [2012.11.18 22:52:58 | 000,000,560 | ---- | C] () -- C:\Windows\cmudaxp.ini [2012.11.18 22:30:22 | 000,415,877 | ---- | C] () -- C:\Windows\SysNative\drivers\vsconfig.xml [2012.11.18 22:30:04 | 000,000,762 | ---- | C] () -- C:\Users\Public\Desktop\ZoneAlarm Security.lnk [2012.11.18 22:02:36 | 000,001,066 | ---- | C] () -- C:\Users\Public\Desktop\VLC media player.lnk [2012.11.18 22:01:41 | 000,002,517 | ---- | C] () -- C:\Users\Public\Desktop\Skype.lnk [2012.11.18 22:01:00 | 000,000,991 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pidgin.lnk [2012.11.18 22:01:00 | 000,000,979 | ---- | C] () -- C:\Users\Public\Desktop\Pidgin.lnk [2012.11.18 22:00:24 | 000,001,116 | ---- | C] () -- C:\Users\Public\Desktop\Comodo Dragon.lnk [2012.11.18 21:58:47 | 000,001,405 | ---- | C] () -- C:\Users\gggggg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk [2012.11.18 21:58:45 | 000,001,439 | ---- | C] () -- C:\Users\gggggg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [2012.11.18 21:54:30 | 000,001,345 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Center.lnk [2012.11.18 21:54:21 | 000,001,326 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows DVD Maker.lnk [2012.11.18 21:53:18 | 000,000,000 | -H-- | C] () -- C:\Windows\SysNative\drivers\Msft_User_WpdFs_01_09_00.Wdf [2012.11.18 21:51:40 | 2616,500,224 | -HS- | C] () -- C:\hiberfil.sys [2012.09.28 02:29:54 | 000,204,952 | ---- | C] () -- C:\Windows\SysWow64\ativvsvl.dat [2012.09.28 02:29:54 | 000,157,144 | ---- | C] () -- C:\Windows\SysWow64\ativvsva.dat [2012.05.02 14:58:10 | 000,029,184 | ---- | C] () -- C:\Windows\SysWow64\kdbsdk32.dll [2011.09.12 23:06:16 | 000,003,917 | ---- | C] () -- C:\Windows\SysWow64\atipblag.dat ========== ZeroAccess Check ========== [2009.07.14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64 [HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64 "" = C:\Windows\SysNative\shell32.dll -- [2010.11.21 04:23:55 | 014,174,208 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shell32.dll -- [2010.11.21 04:24:02 | 012,872,192 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 02:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.21 04:24:25 | 000,606,208 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64 "" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 02:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] < End of report > Geändert von herr nachbar (19.11.2012 um 01:18 Uhr) |
|
19.11.2012, 02:05
| #12 |
| | Remotecontrol/Backdoor-Trojaner/firmware-rootkit auf allen Geräten was ich gerade noch gesehen hab. das menu vom router hat sich geändert mit neuer firmware drauf. O2 interface anstatt alice. macht der von alleine ja eher nicht oder? ipv6 steht da jetzt auch drin und die WAN Ip hat sich geändert?! naja vielleicht fehlalarm Geändert von herr nachbar (19.11.2012 um 02:15 Uhr) |
|
19.11.2012, 10:16
| #13 | ||||||||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Remotecontrol/Backdoor-Trojaner/firmware-rootkit auf allen GerätenZitat:
Zitat:
Zitat:
Zitat:
Zitat:
Wie soll sich das bitte bemerkbar machen? Zitat:
Zitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
19.11.2012, 19:14
| #14 | ||||||
| | Remotecontrol/Backdoor-Trojaner/firmware-rootkit auf allen GerätenZitat:
   Noch konkreter kann ich halt dazu sagen dass es daran liegt, dass er sämtliche Daten spiegelt. aber das hab ich ja alles schon erzählt siehe hier:   Zitat:
Ich habs auch abfotografiert falls erwünscht. Vielleicht siehst du auch so schon was. Der Bildnerordner is nämlich recht groß. - "Einstellungen für PCIPnP" sind neu - "Intel Virtualisation Tech" ist angeschaltet - "Memory Remap Feature" ist neu und angeschaltet "PCI MMIO Allocation 4GB to 3328MB" - "Memory Hole" ist neu und deaktiviert - "Initiate Graphic Adapter" [PEG/PCI] - BIOS EHCI Handoff ist aktiviert - advanced pci/pnp settings - Plug and Play OS ist deaktiviert und auch neu - ACPI APIC Support ist neu und aktiviert - Addon ROM Display Mode [Force BIOS] Zitat:
Ich will da nicht groß was ändern, dafür weiß ich da zu wenig. es ist mir nur aufgefallen dass fehlerkorrekturenn durch z.b. AVG nach einem Neustart wieder rückgängig gemacht sind. Zitat:
Zitat:
 Zitat:
Ich hoffe das ist was du hören wolltest. wenn nicht, dann bitte spezifischer die AUfgaben an mich verteilen. ich werd mich ab sofort strikt daran halten und nicht mehr selbstinterpretieren, da ich sehr an einer problemlösung oder wenigstens problemidentifizierung interessiert bin. |
|
19.11.2012, 19:44
| #15 | |||||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Remotecontrol/Backdoor-Trojaner/firmware-rootkit auf allen Geräten Ich glaube du siehst Gespenster und interpretierst vieles einfach hysterisch falsch. Zitat:
Zitat:
Ich kenn auch nicht alle Registry-Keys und Values, aber nur weil ich etwas nicht kenne bzw. mir nur weil mir ein bestimmtes Verhalten nicht bekannt ist gehe ich nicht gleich von einer Kompromittierung aus Zitat:
Du hast nicht irgendwelche buggy Treiber benutzt? Dein System ist auch sonst nicht verhunzt unda damit meine ich zB übertaktet ?? Zitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Remotecontrol/Backdoor-Trojaner/firmware-rootkit auf allen Geräten |
| antivirus, aufgegeben, avg, booten, bot, desktop, einstellungen, ferngesteuert, festplatte, firewall, grafikkarte, home, infiziert., infiziert?, internet, logfile, malwarebytes, maus, neustart, ordner, prozesse, rooten, router, server, smartphone, stick, system, usb, usb stick, windows, wlan, ändern |
Linear-Darstellung
