TR/Agent.73728.15 in C:\Dokumente und Einstellungen\Alexander\deadorziwaty.exe und \Lokale Einstellungen\Temp\1463906.exe

Alex282 · 13.11.2012, 15:37

Hallo,

Avira hat bei manueller Suche den Trojaner TR/Agent.73728.15 bei mir 2 mal gefunden:

C:\Dokumente und Einstellungen\Alexander\deadorziwaty.exe
und
C:\Dokumente und Einstellungen\Alexander\Lokale Einstellungen\Temp\1463906.exe

Diese habe ich in Quarantäne verschoben.
Jetzt findet Avira nichts mehr, außer 63 Warnungen.

Was mir noch aufgefallen ist, bei meinem Avira lässt sich der Echtzeit-Scanner nicht einschalten, dann stürzt Avira ab (Das Programm antwortet nicht.) Aber keine Ahnung, ob das unmittelbar damit was zu tun hat oder durch Neuinstallation von Avira behoben würde.

Zu dem Trojaner hab ich im Forum einen Beitrag gefunden (http://www.trojaner-board.de/126255-...8-80000cb.html bearbeitet von ryder am 28.10.2012), nur ich weiß nicht, ob ich mich danach richten kann, oder ob das in Quarantäne schieben vielleicht schon reicht?

Nun zu den vom Forum vorgegeben Schritten:
Den Schritt 1 (vollständiger Scan mit Anleitung: Malwarebytes Anti-Malware ) habe ich nicht gemacht, da die Dateien bereits in Quarantäne sind.

Hier die Logs aus Schritt 2:

OTL.txt
(siehe Anhang, da zu lang)

Extras.txt

Code:

ATTFilter

OTL Extras logfile created on: 13.11.2012 10:35:51 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Alexander\Desktop\Trojaner-Bekämpfung
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
895,11 Mb Total Physical Memory | 534,11 Mb Available Physical Memory | 59,67% Memory free
2,26 Gb Paging File | 1,77 Gb Available in Paging File | 78,61% Paging File free
Paging file location(s): C:\pagefile.sys 1488 2976 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 127,99 Gb Total Space | 42,31 Gb Free Space | 33,06% Space Free | Partition Type: NTFS
 
Computer Name: ALEX | User Name: Alexander | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.scr [@ = AutoCADScriptFile] -- "" "%1"
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\ICQLite\ICQLite.exe" = C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite
"C:\Programme\eMule\emule.exe" = C:\Programme\eMule\emule.exe:*:Enabled:eMule
"C:\Programme\Messenger\msmsgs.exe" = C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger -- (Microsoft Corporation)
"D:\Daten\Fun\Warmduscher.exe" = D:\Daten\Fun\Warmduscher.exe:*:Enabled:Warmduscher
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
"C:\Programme\Atari\Crashday\Crashday.exe" = C:\Programme\Atari\Crashday\Crashday.exe:*:Disabled:Crashday -- ()
"C:\Programme\Nokia\Nokia Software Updater\nsu_ui_client.exe" = C:\Programme\Nokia\Nokia Software Updater\nsu_ui_client.exe:*:Enabled:Nokia Software Updater
"C:\Programme\Gemeinsame Dateien\Nokia\Service Layer\A\nsl_host_process.exe" = C:\Programme\Gemeinsame Dateien\Nokia\Service Layer\A\nsl_host_process.exe:*:Enabled:Nokia Service Layer Host Process 
"C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe" = C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe:*:Enabled:ClipInc Server
"C:\Programme\Tobit ClipInc\Player\ClipInc-Player.exe" = C:\Programme\Tobit ClipInc\Player\ClipInc-Player.exe:*:Enabled:ClipInc Player
"C:\Programme\ICQ6\ICQ.exe" = C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6
"C:\Programme\WEB.DE\WEB.DE MultiMessenger\MESSENGR.EXE" = C:\Programme\WEB.DE\WEB.DE MultiMessenger\MESSENGR.EXE:*:Enabled:WEB.DE MultiMessenger
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"C:\Programme\Real\RealPlayer\realplay.exe" = C:\Programme\Real\RealPlayer\realplay.exe:*:Disabled:RealPlayer -- (RealNetworks, Inc.)
"E:\EasyBrowse2K2.exe" = E:\EasyBrowse2K2.exe:*:Enabled:EB.2go
"C:\WINDOWS\system32\mmc.exe" = C:\WINDOWS\system32\mmc.exe:*:Enabled:Microsoft Management Console -- (Microsoft Corporation)
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser
"C:\Programme\Bonjour\mDNSResponder.exe" = C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Dienst "Bonjour" -- (Apple Inc.)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"C:\WINDOWS\system32\svchost.exe" = C:\WINDOWS\system32\svchost.exe:*:Enabled:Microsoft Office -- (Microsoft Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{055EE59D-217B-43A7-ABFF-507B966405D8}" = ATI Catalyst Control Center
"{05E7B5BE-6E53-EBE9-E51F-B0513239B093}" = Catalyst Control Center Graphics Previews Common
"{0D09E359-0C98-4D93-B6F9-1FF68ED4B27C}" = Nokia Multimedia Player
"{136CFE1A-8B61-36A5-1071-FD4C6DCE6820}" = ccc-utility
"{15B44D14-D44E-4C99-8D5A-5E269875EA2C}" = ACSI Campingführer Deutschland 2010
"{16A7373C-4B50-7314-61DD-331A4AECD571}" = CCC Help English
"{1ADABB42-F098-0778-BC92-D66B3C5ED538}" = Catalyst Control Center Graphics Full Existing
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java(TM) 6 Update 37
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{28C2DED6-325B-4CC7-983A-1777C8F7FBAB}" = RealUpgrade 1.1
"{3248F0A8-6813-11D6-A77B-00B0D0150030}" = J2SE Runtime Environment 5.0 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java(TM) SE Runtime Environment 6 Update 1
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{43BF39DA-7C73-C00F-D5AF-775D1EC73EF3}" = Skins
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4BDFD2CE-6329-42E4-9801-9B3D1F10D79B}" = Adobe® Photoshop® Album Starter Edition 3.0
"{4DBCFDD9-2C48-7DD4-4FBE-082E457943B5}" = ccc-core-preinstall
"{51F96AEC-D902-4434-A0DC-B9692A21AE7C}" = MobileMe Control Panel
"{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support
"{5534D076-81B6-209F-119B-1A792D380C21}" = Catalyst Control Center Graphics Full New
"{5783F2D7-5013-0407-0002-0060B0CE6BBA}" = Autodesk Mechanical Desktop 2007
"{587178E7-B1DF-494E-9838-FA4DD36E873C}" = ASUSUpdate
"{5C86E6C3-BDEC-EA73-984A-DB5A30724EF9}" = Catalyst Control Center Core Implementation
"{5ECB3A3C-980B-4D12-9724-25DCB07A1F47}" = iTunes
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{64BFAD18-CE72-152A-AA9A-8C2AC170DC9E}" = Catalyst Control Center Graphics Light
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7770E71B-2D43-4800-9CB3-5B6CAAEBEBEA}" = RealNetworks - Microsoft Visual C++ 2008 Runtime
"{7DA64485-2CEE-4F7B-84AB-B287236703B6}" = HERMA Label Designer plus 1.1
"{7F4DD591-1100-0409-0000-7107D70F3DB4}" = Autodesk Inventor Professional 11
"{8A253629-0511-4854-8B4E-46E57E66005C}" = Bonjour
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{99A40651-0BC2-4095-8F9A-A40FAB224FEF}" = PC Connectivity Solution
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9C27ADE1-EAFB-4BB7-9FE3-5DD9BA9A3DD2}" = Crashday
"{9DE1BE03-AFE2-4CDB-BFEB-D06D736CD01A}" = Apple Mobile Device Support
"{A17EABB6-D0C6-44E5-820C-72DC7F495064}" = PaperPort
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{BA20221E-4D27-8DFA-14C2-D673CEB1C888}" = ccc-core-static
"{BB9AC6BF-71B6-42A4-9689-C17D9F44E79A}" = Brother MFL-Pro Suite
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C151CE54-E7EA-4804-854B-F515368B0798}" = Athlon 64 Processor Driver
"{C4674FEF-AC81-79B6-C6C9-1E13CD51B77C}" = myphotobook.de
"{CB09F557-4821-46D0-BF86-8D1389AA6BC7}" = Tabellenbuch Metall digital
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F3CA9611-CD42-4562-ADAB-A554CF8E17F1}" = Microsoft WSE 2.0 SP3 Runtime
"{FA1DF66C-5EFA-4F8A-9256-0C7D2D74C640}" = Wohnwagen Park Tycoon  So lebt totaler Trash
"{FE23D063-934D-4829-A0D8-00634CE79B4A}" = Adobe AIR
"{FE7A0CD5-09B9-411D-B122-066BF28FC553}" = GeoViewer
"4-Scan_is1" = UWerk 4-Scan V1.4
"7-Zip" = 7-Zip 4.65
"Adobe AIR" = Adobe AIR
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"All ATI Software" = ATI - Software Uninstall Utility
"ATI Display Driver" = ATI Display Driver
"Autodesk DWF Viewer" = Autodesk DWF Viewer
"Avira AntiVir Desktop" = Avira Free Antivirus
"Bagger-Simulator 2008" = Bagger-Simulator 2008
"CCleaner" = CCleaner (remove only)
"de.myphotobook.creator.001F9DF2D0BAABEB11F42CCEE43224607B61109C.1" = myphotobook.de
"FileZilla Client" = FileZilla Client 3.2.7.1
"ie8" = Windows Internet Explorer 8
"InstallShield_{0D09E359-0C98-4D93-B6F9-1FF68ED4B27C}" = Nokia Multimedia Player
"InstallShield_{15B44D14-D44E-4C99-8D5A-5E269875EA2C}" = ACSI Campingführer Deutschland 2010
"iPhoto Plus 4" = iPhoto Plus 4
"Labtec Media Keyboard V5.1" = Labtec Media Keyboard V5.1
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 16.0.2 (x86 de)" = Mozilla Firefox 16.0.2 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NVIDIA Drivers" = NVIDIA Drivers
"PCI Audio Driver" = PCI Audio Driver
"RealPlayer 12.0" = RealPlayer
"ShockwaveFlash" = Macromedia Flash Player 8
"WET7Cable" = Windows-EasyTransfer
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR Archivierer
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01005" = Microsoft User-Mode Driver Framework Feature Pack 1.5
"YTdetect" = Yahoo! Detect
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 12.11.2012 05:23:20 | Computer Name = ALEX | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung avcenter.exe, Version 13.4.0.232, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 12.11.2012 14:07:13 | Computer Name = ALEX | Source = Avira Antivirus | ID = 4122
Description = Die Datei AVGDLL_Init(avgntflt) konnte nicht geladen werden.  Fehlercode:
 0xffffffff
 
Error - 12.11.2012 14:07:32 | Computer Name = ALEX | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung avguard.exe, Version 13.4.0.232, fehlgeschlagenes
 Modul ntdll.dll, Version 5.1.2600.6055, Fehleradresse 0x00019af2.
 
Error - 12.11.2012 14:09:17 | Computer Name = ALEX | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung avcenter.exe, Version 13.4.0.232, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 12.11.2012 14:13:57 | Computer Name = ALEX | Source = Avira Antivirus | ID = 4122
Description = Die Datei AVGDLL_Init(avgntflt) konnte nicht geladen werden.  Fehlercode:
 0xffffffff
 
Error - 12.11.2012 14:23:37 | Computer Name = ALEX | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung avcenter.exe, Version 13.4.0.232, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 12.11.2012 15:41:47 | Computer Name = ALEX | Source = Avira Antivirus | ID = 4122
Description = Die Datei AVGDLL_Init(avgntflt) konnte nicht geladen werden.  Fehlercode:
 0xffffffff
 
Error - 13.11.2012 05:16:16 | Computer Name = ALEX | Source = Avira Antivirus | ID = 4122
Description = Die Datei AVGDLL_Init(avgntflt) konnte nicht geladen werden.  Fehlercode:
 0xffffffff
 
Error - 13.11.2012 05:21:39 | Computer Name = ALEX | Source = Avira Antivirus | ID = 4122
Description = Die Datei AVGDLL_Init(avgntflt) konnte nicht geladen werden.  Fehlercode:
 0xffffffff
 
Error - 13.11.2012 05:21:59 | Computer Name = ALEX | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung avguard.exe, Version 13.4.0.232, fehlgeschlagenes
 Modul ntdll.dll, Version 5.1.2600.6055, Fehleradresse 0x00019af2.
 
[ System Events ]
Error - 12.11.2012 14:24:15 | Computer Name = ALEX | Source = Service Control Manager | ID = 7000
Description = Der Dienst "avipbb" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%31
 
Error - 12.11.2012 15:41:41 | Computer Name = ALEX | Source = Service Control Manager | ID = 7000
Description = Der Dienst "avipbb" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%31
 
Error - 12.11.2012 15:42:05 | Computer Name = ALEX | Source = Service Control Manager | ID = 7024
Description = Der Dienst "Avira Echtzeit-Scanner" wurde mit folgendem dienstspezifischem
 Fehler beendet: 307 (0x133).
 
Error - 13.11.2012 05:04:51 | Computer Name = ALEX | Source = Service Control Manager | ID = 7000
Description = Der Dienst "avgntflt" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%31
 
Error - 13.11.2012 05:16:08 | Computer Name = ALEX | Source = Service Control Manager | ID = 7022
Description = Der Dienst "Avira Echtzeit-Scanner" wurde nicht ordnungsgemäß gestartet.
 
Error - 13.11.2012 05:16:08 | Computer Name = ALEX | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   avipbb  avkmgr  sptd
 
Error - 13.11.2012 05:16:10 | Computer Name = ALEX | Source = Service Control Manager | ID = 7000
Description = Der Dienst "avipbb" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%31
 
Error - 13.11.2012 05:16:35 | Computer Name = ALEX | Source = Service Control Manager | ID = 7024
Description = Der Dienst "Avira Echtzeit-Scanner" wurde mit folgendem dienstspezifischem
 Fehler beendet: 307 (0x133).
 
Error - 13.11.2012 05:21:33 | Computer Name = ALEX | Source = Service Control Manager | ID = 7000
Description = Der Dienst "avipbb" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%31
 
Error - 13.11.2012 05:21:54 | Computer Name = ALEX | Source = Service Control Manager | ID = 7024
Description = Der Dienst "Avira Echtzeit-Scanner" wurde mit folgendem dienstspezifischem
 Fehler beendet: 307 (0x133).
 
 
< End of report >

Gmer.txt

(Dabei kam zunächst Folgende Fehlermeldung:
LoadDriver("C:\DOKUME~1\ALEXAN~1\LOKALE~1\Temp\pxtdrpog.sys") error 0xC0000001: Ein dauerhafter Unterschlüssel kann nicht unter einem temporären übergeordneten Schlüssel erstellt werden.
Danach ging es dann aber weiter.)

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-11-13 11:03:52
Windows 5.1.2600 Service Pack 3 
Running: lhkxdpco.exe


---- Services - GMER 1.0.15 ----

Service  C:\WINDOWS\System32\Drivers\b517761af784ab3.sys (*** hidden *** )                                [BOOT] b517761af784ab3                             <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\b517761af784ab3@ImagePath                                 \SystemRoot\System32\Drivers\b517761af784ab3.sys
Reg      HKLM\SYSTEM\CurrentControlSet\Services\b517761af784ab3@Group                                     Boot Bus Extender
Reg      HKLM\SYSTEM\CurrentControlSet\Services\b517761af784ab3@ErrorControl                              0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\b517761af784ab3@Type                                      1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\b517761af784ab3@Start                                     0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\b517761af784ab3@Tag                                       1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\b517761af784ab3@DisplayName                               deadorziwaty.exe
Reg      HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000b0d0a103b                      
Reg      HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000b0d0a103b@001de97b523a         0xCF 0x0F 0x9D 0x02 ...
Reg      HKLM\SYSTEM\ControlSet002\Services\b517761af784ab3@ImagePath                                     \SystemRoot\System32\Drivers\b517761af784ab3.sys
Reg      HKLM\SYSTEM\ControlSet002\Services\b517761af784ab3@Group                                         Boot Bus Extender
Reg      HKLM\SYSTEM\ControlSet002\Services\b517761af784ab3@ErrorControl                                  0
Reg      HKLM\SYSTEM\ControlSet002\Services\b517761af784ab3@Type                                          1
Reg      HKLM\SYSTEM\ControlSet002\Services\b517761af784ab3@Start                                         0
Reg      HKLM\SYSTEM\ControlSet002\Services\b517761af784ab3@Tag                                           1
Reg      HKLM\SYSTEM\ControlSet002\Services\b517761af784ab3@DisplayName                                   deadorziwaty.exe
Reg      HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000b0d0a103b (not active ControlSet)  
Reg      HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000b0d0a103b@001de97b523a             0xCF 0x0F 0x9D 0x02 ...

---- EOF - GMER 1.0.15 ----

Und zum Schluss noch die 2 Avira Logs:
(Nach dem ersten Suchlauf hatte ich anscheinend nicht alles in Qurantäne geschoben, den 2. lauf habe ich am Tag später im abgesicherten Modus gemacht. Ein 3. Suchlauf im normalen Modus ergab dann keine Befunde mehr, davon hier auch kein Log.)

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 10. November 2012  14:10


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ALEX

Versionsinformationen:
BUILD.DAT      : 13.0.0.2735    48280 Bytes  26.10.2012 10:11:00
AVSCAN.EXE     : 13.4.0.235    637728 Bytes  17.10.2012 14:55:14
AVSCANRC.DLL   : 13.4.0.219     64800 Bytes  09.10.2012 13:49:58
LUKE.DLL       : 13.4.0.232     67360 Bytes  16.10.2012 17:05:31
AVSCPLR.DLL    : 13.4.0.232     93984 Bytes  16.10.2012 16:58:17
AVREG.DLL      : 13.4.0.232    245536 Bytes  16.10.2012 16:57:43
avlode.dll     : 13.4.0.240    426272 Bytes  25.10.2012 13:40:31
avlode.rdf     : 13.0.0.24       7196 Bytes  27.09.2012 10:30:38
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 14:50:29
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 14:50:31
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 14:50:34
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 14:50:36
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 14:50:37
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 14:42:40
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 14:42:40
VBASE007.VDF   : 7.11.45.207  2363904 Bytes  11.10.2012 15:52:17
VBASE008.VDF   : 7.11.45.208     2048 Bytes  11.10.2012 15:52:17
VBASE009.VDF   : 7.11.45.209     2048 Bytes  11.10.2012 15:52:17
VBASE010.VDF   : 7.11.45.210     2048 Bytes  11.10.2012 15:52:17
VBASE011.VDF   : 7.11.45.211     2048 Bytes  11.10.2012 15:52:17
VBASE012.VDF   : 7.11.45.212     2048 Bytes  11.10.2012 15:52:17
VBASE013.VDF   : 7.11.45.213     2048 Bytes  11.10.2012 15:52:17
VBASE014.VDF   : 7.11.46.65    220160 Bytes  16.10.2012 12:34:30
VBASE015.VDF   : 7.11.46.153   173568 Bytes  18.10.2012 09:35:47
VBASE016.VDF   : 7.11.46.223   162304 Bytes  19.10.2012 09:35:47
VBASE017.VDF   : 7.11.47.35    126464 Bytes  22.10.2012 07:59:23
VBASE018.VDF   : 7.11.47.95    175616 Bytes  24.10.2012 12:50:08
VBASE019.VDF   : 7.11.47.177   164352 Bytes  26.10.2012 13:06:55
VBASE020.VDF   : 7.11.47.229   143360 Bytes  28.10.2012 13:06:57
VBASE021.VDF   : 7.11.48.47    138240 Bytes  30.10.2012 13:06:59
VBASE022.VDF   : 7.11.48.135   122880 Bytes  01.11.2012 13:07:01
VBASE023.VDF   : 7.11.48.209   142848 Bytes  05.11.2012 13:07:03
VBASE024.VDF   : 7.11.48.243   119296 Bytes  05.11.2012 13:07:06
VBASE025.VDF   : 7.11.49.47    136704 Bytes  07.11.2012 13:07:08
VBASE026.VDF   : 7.11.49.135   194560 Bytes  09.11.2012 13:07:12
VBASE027.VDF   : 7.11.49.136     2048 Bytes  09.11.2012 13:07:12
VBASE028.VDF   : 7.11.49.137     2048 Bytes  09.11.2012 13:07:12
VBASE029.VDF   : 7.11.49.138     2048 Bytes  09.11.2012 13:07:12
VBASE030.VDF   : 7.11.49.139     2048 Bytes  09.11.2012 13:07:12
VBASE031.VDF   : 7.11.49.178    58368 Bytes  10.11.2012 13:07:13
Engineversion  : 8.2.10.196
AEVDF.DLL      : 8.1.2.10      102772 Bytes  19.09.2012 14:42:55
AESCRIPT.DLL   : 8.1.4.64      463228 Bytes  10.11.2012 13:08:14
AESCN.DLL      : 8.1.9.2       131444 Bytes  26.09.2012 14:54:07
AESBX.DLL      : 8.2.5.12      606578 Bytes  28.08.2012 16:58:06
AERDL.DLL      : 8.2.0.74      643445 Bytes  10.11.2012 13:08:12
AEPACK.DLL     : 8.3.0.38      811382 Bytes  28.09.2012 11:24:10
AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  10.11.2012 13:08:04
AEHEUR.DLL     : 8.1.4.130    5513592 Bytes  10.11.2012 13:08:00
AEHELP.DLL     : 8.1.25.2      258423 Bytes  12.10.2012 15:52:32
AEGEN.DLL      : 8.1.6.8       434548 Bytes  10.11.2012 13:07:22
AEEXP.DLL      : 8.2.0.10      119158 Bytes  10.11.2012 13:08:16
AEEMU.DLL      : 8.1.3.2       393587 Bytes  19.09.2012 14:42:55
AECORE.DLL     : 8.1.29.2      201079 Bytes  10.11.2012 13:07:19
AEBB.DLL       : 8.1.1.4        53619 Bytes  10.11.2012 13:07:18
AVWINLL.DLL    : 13.4.0.163     25888 Bytes  19.09.2012 18:09:30
AVPREF.DLL     : 13.4.0.163     50464 Bytes  19.09.2012 18:07:51
AVREP.DLL      : 13.4.0.214    179240 Bytes  10.11.2012 13:08:17
AVARKT.DLL     : 13.4.0.232    260384 Bytes  16.10.2012 16:55:29
AVEVTLOG.DLL   : 13.4.0.232    167200 Bytes  16.10.2012 16:56:35
SQLITE3.DLL    : 3.7.0.1       397088 Bytes  19.09.2012 18:17:40
AVSMTP.DLL     : 13.4.0.163     62240 Bytes  19.09.2012 18:08:54
NETNT.DLL      : 13.4.0.163     15648 Bytes  19.09.2012 18:16:26
RCIMAGE.DLL    : 13.4.0.163   4780832 Bytes  19.09.2012 18:21:16
RCTEXT.DLL     : 13.4.0.163     68384 Bytes  19.09.2012 18:21:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Schnelle Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\quicksysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Samstag, 10. November 2012  14:10

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path\Debugger> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1614895754-1958367476-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\deadorziwaty> wurde erfolgreich entfernt.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'deadorziwaty.exe' - '66' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\Dokumente und Einstellungen\Alexander\deadorziwaty.exe>
  [FUND]      Ist das Trojanische Pferd TR/Agent.73728.15
  [HINWEIS]   Prozess 'deadorziwaty.exe' wurde beendet
  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
  [HINWEIS]   Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1614895754-1958367476-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\deadorziwaty> wurde erfolgreich repariert.
Durchsuche Prozess 'deadorziwaty.exe' - '62' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\Dokumente und Einstellungen\Alexander\deadorziwaty.exe>
  [FUND]      Ist das Trojanische Pferd TR/Agent.73728.15
  [HINWEIS]   Prozess 'deadorziwaty.exe' wurde beendet
  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'PAStiSvc.exe' - '6' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccc.exe' - '155' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'deadorziwaty.exe' - '61' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\Dokumente und Einstellungen\Alexander\deadorziwaty.exe>
  [FUND]      Ist das Trojanische Pferd TR/Agent.73728.15
  [HINWEIS]   Prozess 'deadorziwaty.exe' wurde beendet
  [HINWEIS]   Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
Durchsuche Prozess 'avgnt.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.EXE' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTask.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'Mixer.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'kbdap32a.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '150' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Dokumente und Einstellungen\Alexander\deadorziwaty.exe
  [FUND]      Ist das Trojanische Pferd TR/Agent.73728.15
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '724bb73c.qua' verschoben!


Ende des Suchlaufs: Samstag, 10. November 2012  14:12
Benötigte Zeit: 01:39 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
   5382 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
   5380 Dateien ohne Befall
     20 Archive wurden durchsucht
      0 Warnungen
      4 Hinweise

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 12. November 2012  10:52


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Abgesicherter Modus
Benutzername   : Alexander
Computername   : ALEX

Versionsinformationen:
BUILD.DAT      : 13.0.0.2735    48280 Bytes  26.10.2012 10:11:00
AVSCAN.EXE     : 13.4.0.235    637728 Bytes  17.10.2012 14:55:14
AVSCANRC.DLL   : 13.4.0.219     64800 Bytes  09.10.2012 13:49:58
LUKE.DLL       : 13.4.0.232     67360 Bytes  16.10.2012 17:05:31
AVSCPLR.DLL    : 13.4.0.232     93984 Bytes  16.10.2012 16:58:17
AVREG.DLL      : 13.4.0.232    245536 Bytes  16.10.2012 16:57:43
avlode.dll     : 13.4.0.240    426272 Bytes  25.10.2012 13:40:31
avlode.rdf     : 13.0.0.24       7196 Bytes  27.09.2012 10:30:38
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 14:50:29
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 14:50:31
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 14:50:34
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 14:50:36
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 14:50:37
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 14:42:40
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 14:42:40
VBASE007.VDF   : 7.11.45.207  2363904 Bytes  11.10.2012 15:52:17
VBASE008.VDF   : 7.11.45.208     2048 Bytes  11.10.2012 15:52:17
VBASE009.VDF   : 7.11.45.209     2048 Bytes  11.10.2012 15:52:17
VBASE010.VDF   : 7.11.45.210     2048 Bytes  11.10.2012 15:52:17
VBASE011.VDF   : 7.11.45.211     2048 Bytes  11.10.2012 15:52:17
VBASE012.VDF   : 7.11.45.212     2048 Bytes  11.10.2012 15:52:17
VBASE013.VDF   : 7.11.45.213     2048 Bytes  11.10.2012 15:52:17
VBASE014.VDF   : 7.11.46.65    220160 Bytes  16.10.2012 12:34:30
VBASE015.VDF   : 7.11.46.153   173568 Bytes  18.10.2012 09:35:47
VBASE016.VDF   : 7.11.46.223   162304 Bytes  19.10.2012 09:35:47
VBASE017.VDF   : 7.11.47.35    126464 Bytes  22.10.2012 07:59:23
VBASE018.VDF   : 7.11.47.95    175616 Bytes  24.10.2012 12:50:08
VBASE019.VDF   : 7.11.47.177   164352 Bytes  26.10.2012 13:06:55
VBASE020.VDF   : 7.11.47.229   143360 Bytes  28.10.2012 13:06:57
VBASE021.VDF   : 7.11.48.47    138240 Bytes  30.10.2012 13:06:59
VBASE022.VDF   : 7.11.48.135   122880 Bytes  01.11.2012 13:07:01
VBASE023.VDF   : 7.11.48.209   142848 Bytes  05.11.2012 13:07:03
VBASE024.VDF   : 7.11.48.243   119296 Bytes  05.11.2012 13:07:06
VBASE025.VDF   : 7.11.49.47    136704 Bytes  07.11.2012 13:07:08
VBASE026.VDF   : 7.11.49.135   194560 Bytes  09.11.2012 13:07:12
VBASE027.VDF   : 7.11.49.136     2048 Bytes  09.11.2012 13:07:12
VBASE028.VDF   : 7.11.49.137     2048 Bytes  09.11.2012 13:07:12
VBASE029.VDF   : 7.11.49.138     2048 Bytes  09.11.2012 13:07:12
VBASE030.VDF   : 7.11.49.139     2048 Bytes  09.11.2012 13:07:12
VBASE031.VDF   : 7.11.49.184   112128 Bytes  10.11.2012 19:08:26
Engineversion  : 8.2.10.196
AEVDF.DLL      : 8.1.2.10      102772 Bytes  19.09.2012 14:42:55
AESCRIPT.DLL   : 8.1.4.64      463228 Bytes  10.11.2012 13:08:14
AESCN.DLL      : 8.1.9.2       131444 Bytes  26.09.2012 14:54:07
AESBX.DLL      : 8.2.5.12      606578 Bytes  28.08.2012 16:58:06
AERDL.DLL      : 8.2.0.74      643445 Bytes  10.11.2012 13:08:12
AEPACK.DLL     : 8.3.0.38      811382 Bytes  28.09.2012 11:24:10
AEOFFICE.DLL   : 8.1.2.50      201084 Bytes  10.11.2012 13:08:04
AEHEUR.DLL     : 8.1.4.130    5513592 Bytes  10.11.2012 13:08:00
AEHELP.DLL     : 8.1.25.2      258423 Bytes  12.10.2012 15:52:32
AEGEN.DLL      : 8.1.6.8       434548 Bytes  10.11.2012 13:07:22
AEEXP.DLL      : 8.2.0.10      119158 Bytes  10.11.2012 13:08:16
AEEMU.DLL      : 8.1.3.2       393587 Bytes  19.09.2012 14:42:55
AECORE.DLL     : 8.1.29.2      201079 Bytes  10.11.2012 13:07:19
AEBB.DLL       : 8.1.1.4        53619 Bytes  10.11.2012 13:07:18
AVWINLL.DLL    : 13.4.0.163     25888 Bytes  19.09.2012 18:09:30
AVPREF.DLL     : 13.4.0.163     50464 Bytes  19.09.2012 18:07:51
AVREP.DLL      : 13.4.0.214    179240 Bytes  10.11.2012 13:08:17
AVARKT.DLL     : 13.4.0.232    260384 Bytes  16.10.2012 16:55:29
AVEVTLOG.DLL   : 13.4.0.232    167200 Bytes  16.10.2012 16:56:35
SQLITE3.DLL    : 3.7.0.1       397088 Bytes  19.09.2012 18:17:40
AVSMTP.DLL     : 13.4.0.163     62240 Bytes  19.09.2012 18:08:54
NETNT.DLL      : 13.4.0.163     15648 Bytes  19.09.2012 18:16:26
RCIMAGE.DLL    : 13.4.0.163   4780832 Bytes  19.09.2012 18:21:16
RCTEXT.DLL     : 13.4.0.163     68384 Bytes  19.09.2012 18:21:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 12. November 2012  10:52

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '4830' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Alexander\Lokale Einstellungen\Temp\1463906.exe
  [FUND]      Ist das Trojanische Pferd TR/Agent.73728.15
C:\WINDOWS\system32\drivers\b517761af784ab3.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\slwdmsup.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\smbali.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\smclib.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sonydcam.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\splitter.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sr.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\srv.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\stream.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\streamip.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\swenum.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\swmidi.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sysaudio.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tape.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tcpip.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tcpip6.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tdi.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tdpipe.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tdtcp.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\termdd.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tosdvd.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tsbvcap.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\tunmp.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\uagp35.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\udfs.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\update.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usb8023.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usb8023x.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbaapl.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbcamd.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbcamd2.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbccgp.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbd.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbehci.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbhub.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbintel.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbohci.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbport.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbprint.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbscan.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\USBSTOR.SYS
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\usbvideo.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\vchnt5.dll
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\vdmindvd.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\vga.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\viaagp.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\videoprt.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\volsnap.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wacompen.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wadv07nt.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wadv08nt.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wadv09nt.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wadv11nt.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wanarp.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\watv06nt.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\watv10nt.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wceusbsh.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wdmaud.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wmilib.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\ws2ifsl.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\wstcodec.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\WudfPf.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\WudfRd.sys
  [WARNUNG]   Die Datei konnte nicht geöffnet werden!

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Alexander\Lokale Einstellungen\Temp\1463906.exe
  [FUND]      Ist das Trojanische Pferd TR/Agent.73728.15
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '521e8b07.qua' verschoben!


Ende des Suchlaufs: Montag, 12. November 2012  18:17
Benötigte Zeit:  5:29:24 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  16111 Verzeichnisse wurden überprüft
 524089 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
     63 Dateien konnten nicht durchsucht werden
 524025 Dateien ohne Befall
   6038 Archive wurden durchsucht
     63 Warnungen
      1 Hinweise

Vielen Dank schon mal im Vorraus!

markusg · 13.11.2012, 15:53

hi

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Alex282 · 13.11.2012, 20:07

Hier die ComboFix.txt

Code:

ATTFilter

ComboFix 12-11-13.02 - Alexander 13.11.2012  19:44:55.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.895.608 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Alexander\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Alexander\WINDOWS
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\windows\system32\dllcache\wmpvis.dll
c:\windows\system32\drivers\b517761af784ab3.sys
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\system32\SET4A.tmp
c:\windows\system32\SET4E.tmp
c:\windows\system32\SET4F.tmp
c:\windows\system32\SET56.tmp
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
c:\windows\unin0407.exe
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_b517761af784ab3
-------\Service_b517761af784ab3
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-10-13 bis 2012-11-13  ))))))))))))))))))))))))))))))
.
.
2012-11-10 19:08 . 2012-11-10 19:08	36552	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2012-11-10 19:08 . 2012-11-10 19:08	133824	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-11-10 13:05 . 2012-11-10 13:05	--------	dcsh--w-	c:\dokumente und einstellungen\Alexander\PrivacIE
2012-11-10 12:59 . 2012-11-10 12:59	--------	dc----w-	c:\dokumente und einstellungen\Alexander\Anwendungsdaten\Avira
2012-11-10 12:59 . 2012-09-13 09:58	83792	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-11-10 12:59 . 2012-11-10 12:59	--------	d-----w-	c:\programme\Avira
2012-11-10 12:59 . 2012-11-10 12:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2012-10-31 18:33 . 2012-10-31 18:33	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService\IETldCache
2012-10-31 07:54 . 2012-10-31 07:54	--------	dcsh--w-	c:\dokumente und einstellungen\Alexander\IETldCache
2012-10-30 17:19 . 2012-10-30 17:19	--------	dc-h--w-	c:\windows\ie8
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-10 08:46 . 2012-05-29 06:03	696760	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-10-10 08:46 . 2011-10-14 14:47	73656	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-09-24 13:32 . 2012-06-16 10:38	477168	----a-w-	c:\windows\system32\npdeployJava1.dll
2012-09-24 13:32 . 2010-05-10 08:43	473072	----a-w-	c:\windows\system32\deployJava1.dll
2012-09-24 11:51 . 2007-05-04 17:22	73728	----a-w-	c:\windows\system32\javacpl.cpl
2012-08-24 13:53 . 2001-08-18 12:00	177664	----a-w-	c:\windows\system32\wintrust.dll
2012-08-23 06:26 . 2001-08-18 12:00	2195200	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-08-23 06:26 . 2001-08-18 04:28	2071936	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-10-29 08:22 . 2012-10-29 08:22	261600	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\system32\drivers\atapi.sys
[-] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys
[-] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\system32\ReinstallBackups\0011\DriverFiles\i386\atapi.sys
[-] 2004-08-04 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys
.
[-] 2008-04-13 . B153AFFAC761E7F5FCFA822B9C4E97BC . 14336 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\asyncmac.sys
[-] 2008-04-13 . B153AFFAC761E7F5FCFA822B9C4E97BC . 14336 . . [5.1.2600.5512] . . c:\windows\system32\drivers\asyncmac.sys
[-] 2004-08-04 . 02000ABF34AF4C218C35D257024807D6 . 14336 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\asyncmac.sys
.
[-] 2001-08-18 . DA1F27D85E0D1525F6621372E7B685E9 . 4224 . . [5.1.2600.0] . . c:\windows\system32\dllcache\beep.sys
[-] 2001-08-18 . DA1F27D85E0D1525F6621372E7B685E9 . 4224 . . [5.1.2600.0] . . c:\windows\system32\drivers\beep.sys
.
[-] 2008-04-14 . 1704D8C4C8807B889E43C649B478A452 . 25216 . . [5.1.2600.5512] . . c:\windows\system32\drivers\kbdclass.sys
[-] 2008-04-14 . 1704D8C4C8807B889E43C649B478A452 . 25216 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\kbdclass.sys
[-] 2004-08-04 . B128FC0A5CD83F669D5DE4B58F77C7D6 . 25216 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\kbdclass.sys
.
[-] 2008-04-13 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ndis.sys
[-] 2008-04-13 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ndis.sys
[-] 2004-08-04 . 558635D3AF1C7546D26067D5D9B6959E . 182912 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ndis.sys
.
[-] 2008-04-13 . 78A08DD6A8D65E697C18E1DB01C5CDCA . 574976 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ntfs.sys
[-] 2008-04-13 . 78A08DD6A8D65E697C18E1DB01C5CDCA . 574976 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ntfs.sys
[-] 2007-02-09 . 05AB81909514BFD69CBB1F2C147CF6B9 . 574976 . . [5.1.2600.3081] . . c:\windows\$hf_mig$\KB930916\SP2QFE\ntfs.sys
[-] 2007-02-09 . 19A811EF5F1ED5C926A028CE107FF1AF . 574464 . . [5.1.2600.3081] . . c:\windows\$NtServicePackUninstall$\ntfs.sys
[-] 2004-08-04 . B78BE402C3F63DD55521F73876951CDD . 574592 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB930916$\ntfs.sys
.
[-] 2001-08-18 . 73C1E1F395918BC2C6DD67AF7591A3AD . 2944 . . [5.1.2600.0] . . c:\windows\system32\dllcache\null.sys
[-] 2001-08-18 . 73C1E1F395918BC2C6DD67AF7591A3AD . 2944 . . [5.1.2600.0] . . c:\windows\system32\drivers\null.sys
.
[-] 2008-04-14 . AFB8261B56CBA0D86AEB6DF682AF9785 . 13312 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\lsass.exe
[-] 2008-04-14 . AFB8261B56CBA0D86AEB6DF682AF9785 . 13312 . . [5.1.2600.5512] . . c:\windows\system32\lsass.exe
[-] 2004-08-04 . 183805EB05BCA5A1E4AAAED4D2BE3690 . 13312 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\lsass.exe
.
[-] 2008-04-14 . E6D88F1F6745BF00B57E7855A2AB696C . 198144 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\netman.dll
[-] 2008-04-14 . E6D88F1F6745BF00B57E7855A2AB696C . 198144 . . [5.1.2600.5512] . . c:\windows\system32\netman.dll
[-] 2005-08-22 . 1E5218FBE323C375B488318950E10FB4 . 197632 . . [5.1.2600.2743] . . c:\windows\$NtServicePackUninstall$\netman.dll
[-] 2005-08-22 . 19D9B6B139F09A72AE71758BDF28308E . 197632 . . [5.1.2600.2743] . . c:\windows\$hf_mig$\KB905414\SP2QFE\netman.dll
[-] 2004-08-04 . CDF4DA6B518105343FE9E8AFBBF8FBF4 . 198144 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB905414$\netman.dll
.
[-] 2008-04-14 02:22 . D0DE8A2EC95184E5193BB4B3112E29DF . 846848 . . [2001.12.4414.700] . . c:\windows\ServicePackFiles\i386\comres.dll
[-] 2008-04-14 02:22 . D0DE8A2EC95184E5193BB4B3112E29DF . 846848 . . [2001.12.4414.700] . . c:\windows\system32\comres.dll
[-] 2004-08-04 07:57 . 4B9D9E2708019763C5A72DA776DB1158 . 846848 . . [2001.12.4414.258] . . c:\windows\$NtServicePackUninstall$\comres.dll
.
[-] 2008-04-14 . D6F603772A789BB3228F310D650B8BD1 . 409088 . . [6.7.2600.5512] . . c:\windows\ServicePackFiles\i386\qmgr.dll
[-] 2008-04-14 . D6F603772A789BB3228F310D650B8BD1 . 409088 . . [6.7.2600.5512] . . c:\windows\system32\qmgr.dll
[-] 2008-04-14 . D6F603772A789BB3228F310D650B8BD1 . 409088 . . [6.7.2600.5512] . . c:\windows\system32\bits\qmgr.dll
[-] 2004-08-04 . 3A5E54A9AB96EF2D273B58136FB58EFE . 382464 . . [6.6.2600.2180] . . c:\windows\$NtServicePackUninstall$\qmgr.dll
[-] 2001-08-18 . 27E84951136C596E3F84E2C47DA522DA . 180736 . . [6.0.2600.0] . . c:\windows\$NtUninstallKB842773$\qmgr.dll
.
[-] 2009-02-09 . D3D765E8455A961AE567B408F767D4F9 . 401408 . . [5.1.2600.5755] . . c:\windows\$hf_mig$\KB956572\SP3QFE\rpcss.dll
[-] 2009-02-09 . 3127AFBF2C1ED0AB14A1BBB7AAECB85B . 401408 . . [5.1.2600.5755] . . c:\windows\system32\rpcss.dll
[-] 2009-02-09 . 3127AFBF2C1ED0AB14A1BBB7AAECB85B . 401408 . . [5.1.2600.5755] . . c:\windows\system32\dllcache\rpcss.dll
[-] 2008-04-14 . E970C2296916BF4A2F958680016FE312 . 399360 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB956572$\rpcss.dll
[-] 2008-04-14 . E970C2296916BF4A2F958680016FE312 . 399360 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\rpcss.dll
[-] 2005-07-26 . 891E3E4537C6DFCAE475073FC49CE9CB . 397824 . . [5.1.2600.2726] . . c:\windows\$NtServicePackUninstall$\rpcss.dll
[-] 2005-07-26 . DBA9F9C00A7A2B45EB8E451C2B6D10E9 . 398336 . . [5.1.2600.2726] . . c:\windows\$hf_mig$\KB902400\SP2QFE\rpcss.dll
[-] 2005-04-28 . 434A27912D53BF3FB6C1CE37BAFA5CF6 . 396288 . . [5.1.2600.2665] . . c:\windows\$hf_mig$\KB894391\SP2QFE\rpcss.dll
[-] 2005-04-28 . A9219270CA2E5DDB52828E7AB7268B82 . 395776 . . [5.1.2600.2665] . . c:\windows\$NtUninstallKB902400$\rpcss.dll
[-] 2004-08-04 . 9F28FF58D6D67B123272869D89D14004 . 395776 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB894391$\rpcss.dll
[-] 2004-03-06 . B81ACEDCB6248B4838849EA85E3FFA00 . 263680 . . [5.1.2600.1361] . . c:\windows\$xpsp1hfm$\KB828741\rpcss.dll
[-] 2001-08-18 . CC504878DDE9174648B2C6CC7D129223 . 259072 . . [5.1.2600.0] . . c:\windows\$NtUninstallKB828741$\rpcss.dll
.
[-] 2009-02-09 . A3EDBE9053889FB24AB22492472B39DC . 111104 . . [5.1.2600.5755] . . c:\windows\system32\services.exe
[-] 2009-02-09 . A3EDBE9053889FB24AB22492472B39DC . 111104 . . [5.1.2600.5755] . . c:\windows\system32\dllcache\services.exe
[-] 2009-02-09 . F0A7D59AF279326528715B206669B86C . 111104 . . [5.1.2600.5755] . . c:\windows\$hf_mig$\KB956572\SP3QFE\services.exe
[-] 2008-04-14 . 4BB6A83640F1D1792AD21CE767B621C6 . 109056 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB956572$\services.exe
[-] 2008-04-14 . 4BB6A83640F1D1792AD21CE767B621C6 . 109056 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\services.exe
[-] 2004-08-04 . EDB6B81761BD60F32F740BBC40AFB676 . 108544 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\services.exe
.
[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2004-08-04 . 2B6A0BAF33A9918F09442D873848FF72 . 507392 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\winlogon.exe
.
[-] 2008-04-13 . 23C74D75E36E7158768DD63D92789A91 . 75264 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ipsec.sys
[-] 2008-04-13 . 23C74D75E36E7158768DD63D92789A91 . 75264 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ipsec.sys
[-] 2004-08-04 . 64537AA5C003A6AFEEE1DF819062D0D1 . 74752 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ipsec.sys
.
[-] 2008-04-14 . 611F824E5C703A5A899F84C5F1699E4D . 62464 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\cryptsvc.dll
[-] 2008-04-14 . 611F824E5C703A5A899F84C5F1699E4D . 62464 . . [5.1.2600.5512] . . c:\windows\system32\cryptsvc.dll
[-] 2004-08-04 . 1A5F9DB98DF7955B4C7CBDBF2C638238 . 60416 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\cryptsvc.dll
.
[-] 2008-07-07 20:30 . D68ED3908C7A0DB446111D34AC40DC18 . 253952 . . [2001.12.4414.320] . . c:\windows\$NtServicePackUninstall$\es.dll
[-] 2008-07-07 20:26 . AF4F6B5739D18CA7972AB53E091CBC74 . 253952 . . [2001.12.4414.706] . . c:\windows\$hf_mig$\KB950974\SP3GDR\es.dll
[-] 2008-07-07 20:26 . AF4F6B5739D18CA7972AB53E091CBC74 . 253952 . . [2001.12.4414.706] . . c:\windows\system32\es.dll
[-] 2008-07-07 20:26 . AF4F6B5739D18CA7972AB53E091CBC74 . 253952 . . [2001.12.4414.706] . . c:\windows\system32\dllcache\es.dll
[-] 2008-07-07 20:23 . ADA7241C16F3F42C7F210539FAD5F3AA . 253952 . . [2001.12.4414.706] . . c:\windows\$hf_mig$\KB950974\SP3QFE\es.dll
[-] 2008-07-07 20:16 . 3912BEF896D1D687B6053409E5F5F2A6 . 253952 . . [2001.12.4414.320] . . c:\windows\$hf_mig$\KB950974\SP2QFE\es.dll
[-] 2008-04-14 02:22 . 0F3EDAEE1EF97CF3DB2BE23A7289B78C . 246272 . . [2001.12.4414.701] . . c:\windows\$NtUninstallKB950974$\es.dll
[-] 2008-04-14 02:22 . 0F3EDAEE1EF97CF3DB2BE23A7289B78C . 246272 . . [2001.12.4414.701] . . c:\windows\ServicePackFiles\i386\es.dll
[-] 2005-07-26 04:39 . BEBC63622BDC30053A3145EBD90AF450 . 243200 . . [2001.12.4414.308] . . c:\windows\$NtUninstallKB950974_0$\es.dll
[-] 2005-07-26 04:29 . 0D0F85237E32538F58278D673032676A . 243200 . . [2001.12.4414.308] . . c:\windows\$hf_mig$\KB902400\SP2QFE\es.dll
[-] 2004-08-04 07:57 . 4E1A8645EE77CB9454FFE53C59620A25 . 243200 . . [2001.12.4414.258] . . c:\windows\$NtUninstallKB902400$\es.dll
[-] 2004-03-06 02:16 . 92FF315800E8E7DB79E5B8B74FBA81A8 . 226816 . . [2001.12.4414.53] . . c:\windows\$xpsp1hfm$\KB828741\es.dll
[-] 2001-08-18 12:00 . 4359EC03BBAFB6BFE5CC7D4CEA237AE7 . 224768 . . [2001.12.4414.42] . . c:\windows\$NtUninstallKB828741$\es.dll
.
[-] 2008-04-14 . F9954695D246B33A5BF105029A4C6AB6 . 110080 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\imm32.dll
[-] 2008-04-14 . F9954695D246B33A5BF105029A4C6AB6 . 110080 . . [5.1.2600.5512] . . c:\windows\system32\imm32.dll
[-] 2004-08-04 . 94101D13A1818A9D08337EEC12ED277A . 110080 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\imm32.dll
.
[-] 2009-03-21 . B055C64AABC1A3E3DE57EC8025CAD283 . 1063424 . . [5.1.2600.5781] . . c:\windows\system32\kernel32.dll
[-] 2009-03-21 . B055C64AABC1A3E3DE57EC8025CAD283 . 1063424 . . [5.1.2600.5781] . . c:\windows\system32\dllcache\kernel32.dll
[-] 2009-03-21 . 3EB703BFC2ED26A3D8ACB8626AB2C006 . 1065472 . . [5.1.2600.5781] . . c:\windows\$hf_mig$\KB959426\SP3QFE\kernel32.dll
[-] 2008-04-14 . 4C897C69754D88F496339B1A666907C1 . 1063424 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB959426$\kernel32.dll
[-] 2008-04-14 . 4C897C69754D88F496339B1A666907C1 . 1063424 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\kernel32.dll
[-] 2007-04-16 . 5D0974BD58808FACA5D2C437B6FC8D85 . 1059840 . . [5.1.2600.3119] . . c:\windows\$hf_mig$\KB935839\SP2QFE\kernel32.dll
[-] 2007-04-16 . 8EEA8280A1E0E794EDFCCAD3721C7CAB . 1058304 . . [5.1.2600.3119] . . c:\windows\$NtServicePackUninstall$\kernel32.dll
[-] 2006-07-05 . 0BEFE0BF274818EC0785B7B842967313 . 1058816 . . [5.1.2600.2945] . . c:\windows\$hf_mig$\KB917422\SP2QFE\kernel32.dll
[-] 2006-07-05 . E42795D2E7725D378EE2A4BFA6FE9DB3 . 1057792 . . [5.1.2600.2945] . . c:\windows\$NtUninstallKB935839$\kernel32.dll
[-] 2004-08-04 . E6CD85D0D37416CF138F01F4BB0FC872 . 1057280 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB917422$\kernel32.dll
.
[-] 2008-04-14 . 5543A9D4A1D0F9F84092482A9373A024 . 19968 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\linkinfo.dll
[-] 2008-04-14 . 5543A9D4A1D0F9F84092482A9373A024 . 19968 . . [5.1.2600.5512] . . c:\windows\system32\linkinfo.dll
[-] 2005-09-01 . F2AFE60F01040B23207D8EB7DC26EC96 . 19968 . . [5.1.2600.2751] . . c:\windows\$hf_mig$\KB900725\SP2QFE\linkinfo.dll
[-] 2005-09-01 . 0E2B88912BF78549D5177A84A3375D52 . 19968 . . [5.1.2600.2751] . . c:\windows\$NtServicePackUninstall$\linkinfo.dll
[-] 2004-08-04 . 3898FFF548E2968CB3AC5A71D7F4E425 . 18944 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB900725$\linkinfo.dll
.
[-] 2008-04-14 . F38F3C47BBFFD748C1359AB171C3A630 . 22016 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\lpk.dll
[-] 2008-04-14 . F38F3C47BBFFD748C1359AB171C3A630 . 22016 . . [5.1.2600.5512] . . c:\windows\system32\lpk.dll
[-] 2004-08-04 . B4AD65C79F85C61D32C015B11E03CAAD . 22016 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\lpk.dll
.
[-] 2008-04-14 . C6A6E53A0C34EC87883137A6CB87AE5E . 343040 . . [7.0.2600.5512] . . c:\windows\ServicePackFiles\i386\msvcrt.dll
[-] 2008-04-14 . C6A6E53A0C34EC87883137A6CB87AE5E . 343040 . . [7.0.2600.5512] . . c:\windows\system32\msvcrt.dll
[-] 2008-04-14 . C536AAD8A71608FE33CD956214EDD366 . 343040 . . [7.0.2600.5512] . . c:\windows\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.2600.5512_x-ww_3fd60d63\msvcrt.dll
[-] 2004-08-04 . B30BAA48E5063E71C76280E34E7E4802 . 343040 . . [7.0.2600.2180] . . c:\windows\$NtServicePackUninstall$\msvcrt.dll
[-] 2004-08-04 . 365B3C43810E1CF41B3BE1E7180F583B . 343040 . . [7.0.2600.2180] . . c:\windows\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.2600.2180_x-ww_b2505ed9\msvcrt.dll
[-] 2001-08-18 . 4200BE3808F6406DBE45A7B88DAE5035 . 322560 . . [7.0.2600.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.0.0_x-ww_2726e76a\msvcrt.dll
.
[-] 2008-04-14 . 0098D35F91DEAB9C127360A877F2CF84 . 407040 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\netlogon.dll
[-] 2008-04-14 . 0098D35F91DEAB9C127360A877F2CF84 . 407040 . . [5.1.2600.5512] . . c:\windows\system32\netlogon.dll
[-] 2004-08-04 . D27395EDCD3416AFD125A9370DCB585C . 407040 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\netlogon.dll
.
[-] 2008-04-14 . C8C0BDABC966B6C24D337DF0A0A399E1 . 17408 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\powrprof.dll
[-] 2008-04-14 . C8C0BDABC966B6C24D337DF0A0A399E1 . 17408 . . [6.00.2900.5512] . . c:\windows\system32\powrprof.dll
[-] 2004-08-04 . 5604574D490B798BD9A946B021A766AD . 17408 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\powrprof.dll
.
[-] 2008-04-14 . 5132443DF6FC3771A17AB4AE55DCBC28 . 187904 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\scecli.dll
[-] 2008-04-14 . 5132443DF6FC3771A17AB4AE55DCBC28 . 187904 . . [5.1.2600.5512] . . c:\windows\system32\scecli.dll
[-] 2004-08-04 . 64DC26B3CF7BCCAD431CE360A4C625D5 . 186880 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\scecli.dll
.
[-] 2008-04-14 . 44161A59DC33AC2EA9C95438ADFFFB7F . 5120 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\sfc.dll
[-] 2008-04-14 . 44161A59DC33AC2EA9C95438ADFFFB7F . 5120 . . [5.1.2600.5512] . . c:\windows\system32\sfc.dll
[-] 2004-08-04 . F62934BC94299083EBFC8810242D8640 . 5120 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\sfc.dll
.
[-] 2008-04-14 . 4FBC75B74479C7A6F829E0CA19DF3366 . 14336 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\svchost.exe
[-] 2008-04-14 . 4FBC75B74479C7A6F829E0CA19DF3366 . 14336 . . [5.1.2600.5512] . . c:\windows\system32\svchost.exe
[-] 2004-08-04 . 65A819B121EB6FDAB4400EA42BDFFE64 . 14336 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\svchost.exe
.
[-] 2008-04-14 . 05903CAC4B98908D55EA5774775B382E . 249856 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tapisrv.dll
[-] 2008-04-14 . 05903CAC4B98908D55EA5774775B382E . 249856 . . [5.1.2600.5512] . . c:\windows\system32\tapisrv.dll
[-] 2005-07-08 . F07061E18613F336A3120229097F7635 . 249344 . . [5.1.2600.2716] . . c:\windows\$hf_mig$\KB893756\SP2QFE\tapisrv.dll
[-] 2005-07-08 . 427D7EB3B453347082C8F4B370065D60 . 249344 . . [5.1.2600.2716] . . c:\windows\$NtServicePackUninstall$\tapisrv.dll
[-] 2004-08-04 . 4584E2A5FE662AB3E7C32936E1449043 . 246272 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB893756$\tapisrv.dll
.
[-] 2008-04-14 . B0050CC5340E3A0760DD8B417FF7AEBD . 580096 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\user32.dll
[-] 2008-04-14 . B0050CC5340E3A0760DD8B417FF7AEBD . 580096 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
[-] 2007-03-08 . 78785EFF8CB90CEC1862A4CCFD9A3C3A . 579584 . . [5.1.2600.3099] . . c:\windows\$hf_mig$\KB925902\SP2QFE\user32.dll
[-] 2007-03-08 . 492E166CFD26A50FB9160DB536FF7D2B . 579072 . . [5.1.2600.3099] . . c:\windows\$NtServicePackUninstall$\user32.dll
[-] 2005-03-02 . 4C90159A69A5FD3EB39C71411F28FCFF . 578560 . . [5.1.2600.2622] . . c:\windows\$hf_mig$\KB890859\SP2QFE\user32.dll
[-] 2004-08-04 . 56785FD5236D7B22CF471A6DA9DB46D8 . 578560 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB925902$\user32.dll
.
[-] 2008-04-14 . 788F95312E26389D596C0FA55834E106 . 26624 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\userinit.exe
[-] 2008-04-14 . 788F95312E26389D596C0FA55834E106 . 26624 . . [5.1.2600.5512] . . c:\windows\system32\userinit.exe
[-] 2004-08-04 . D1E53DC57143F2584B1DD53B036C0633 . 25088 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\userinit.exe
.
[-] 2008-04-14 . 6A35E2D6F5F052C84EC2CEB296389439 . 82432 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ws2_32.dll
[-] 2008-04-14 . 6A35E2D6F5F052C84EC2CEB296389439 . 82432 . . [5.1.2600.5512] . . c:\windows\system32\ws2_32.dll
[-] 2004-08-04 . D569240A22421D5F670BB6FB6DD522B5 . 82944 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ws2_32.dll
.
[-] 2008-04-14 . C7D8A0517CBF16B84F657DE87EBE9D4B . 19968 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ws2help.dll
[-] 2008-04-14 . C7D8A0517CBF16B84F657DE87EBE9D4B . 19968 . . [5.1.2600.5512] . . c:\windows\system32\ws2help.dll
[-] 2004-08-04 . B3ADA72D1E3E10A8F6430669DFC38ED0 . 19968 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ws2help.dll
.
[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe
[-] 2007-06-13 . 64D320C0E301EEDC5A4ADBBDC5024F7F . 1036288 . . [6.00.2900.3156] . . c:\windows\$NtServicePackUninstall$\explorer.exe
[-] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[-] 2004-08-04 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe
.
[-] 2008-04-14 . AD9226BF3CED13636083BB9C76E9D2A2 . 153600 . . [5.1.2600.5512] . . c:\windows\regedit.exe
[-] 2008-04-14 . AD9226BF3CED13636083BB9C76E9D2A2 . 153600 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\regedit.exe
[-] 2004-08-04 . 8193CE5FB09E83F2699FD65BBCBE2FD2 . 153600 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\regedit.exe
.
[-] 2008-04-14 . 671ABB33C712B1585A5BF7ADD36AD96E . 4096 . . [5.3.2600.5512] . . c:\windows\system32\ksuser.dll
[-] 2008-04-14 . 671ABB33C712B1585A5BF7ADD36AD96E . 4096 . . [5.3.2600.5512] . . c:\windows\system32\dllcache\ksuser.dll
[-] 2008-04-14 . 671ABB33C712B1585A5BF7ADD36AD96E . 4096 . . [5.3.2600.5512] . . c:\windows\ServicePackFiles\i386\ksuser.dll
[-] 2008-04-14 . 671ABB33C712B1585A5BF7ADD36AD96E . 4096 . . [5.3.2600.5512] . . c:\windows\system32\ReinstallBackups\0007\DriverFiles\i386\ksuser.dll
[-] 2004-08-04 . 4721744CE11F385073F6F9F7831752C7 . 4096 . . [5.3.2600.2180] . . c:\windows\$NtServicePackUninstall$\ksuser.dll
[-] 2002-12-11 22:14 . 15914E0BF4DDA56CF797993DCCB637D1 . 4096 . . [5.3.0000000.900 built by: DIRECTX] . . c:\windows\RegisteredPackages\{44BBA855-CC51-11CF-AAFA-00AA00B6015C}\ksuser.dll
.
[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
[-] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
.
[-] 2008-04-14 . DC4E223F5813150073FB5CC63D13293B . 4608 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\msimg32.dll
[-] 2008-04-14 . DC4E223F5813150073FB5CC63D13293B . 4608 . . [5.1.2600.5512] . . c:\windows\system32\msimg32.dll
[-] 2004-08-04 . 3B8A9C87027BF8D6D156BE5FA6E8EBC6 . 4608 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\msimg32.dll
.
[-] 2008-04-14 . FE77A85495065F3AD59C5C65B6C54182 . 171520 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\srsvc.dll
[-] 2008-04-14 . FE77A85495065F3AD59C5C65B6C54182 . 171520 . . [5.1.2600.5512] . . c:\windows\system32\srsvc.dll
[-] 2004-08-04 . 015F302C4CF961F20C3F98F3A7CA7917 . 171008 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\srsvc.dll
.
[-] 2008-04-14 . EDAFBE25FB6480CE68F688BA691890DC . 13824 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\wscntfy.exe
[-] 2008-04-14 . EDAFBE25FB6480CE68F688BA691890DC . 13824 . . [5.1.2600.5512] . . c:\windows\system32\wscntfy.exe
[-] 2004-08-04 . 7D3E0BEB62799112F5C9FF717D72BF29 . 13824 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\wscntfy.exe
.
[-] 2008-04-14 . 0ADA34871A2E1CD2CAAFED1237A47750 . 129024 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\xmlprov.dll
[-] 2008-04-14 . 0ADA34871A2E1CD2CAAFED1237A47750 . 129024 . . [5.1.2600.5512] . . c:\windows\system32\xmlprov.dll
[-] 2004-08-04 . 8302DE1C64618D72346DD0034DBC5D9B . 129536 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\xmlprov.dll
.
[-] 2009-02-27 . B97AFE7A2A3D47E3BBBA37F913E50732 . 177152 . . [5.1.2600.5768] . . c:\windows\system32\msctfime.ime
[-] 2009-02-27 . B97AFE7A2A3D47E3BBBA37F913E50732 . 177152 . . [5.1.2600.5768] . . c:\windows\system32\dllcache\msctfime.ime
[-] 2009-02-27 . 29DAAEB07885C57AD6E5860BACDF6EAA . 177152 . . [5.1.2600.5768] . . c:\windows\$hf_mig$\KB961503\SP3QFE\msctfime.ime
[-] 2008-04-14 . 275CAC40038A2643833B5F48FB474857 . 177152 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB961503$\msctfime.ime
[-] 2008-04-14 . 275CAC40038A2643833B5F48FB474857 . 177152 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\msctfime.ime
[-] 2004-08-04 . C7329927E2C73450323565DCFE17D78E . 177152 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\msctfime.ime
.
[-] 2008-04-14 . 04955AA695448C181B367D964AF158AA . 56320 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\eventlog.dll
[-] 2008-04-14 . 04955AA695448C181B367D964AF158AA . 56320 . . [5.1.2600.5512] . . c:\windows\system32\eventlog.dll
[-] 2004-08-04 . B932C077D5A65B71B4512544AC404CB4 . 55808 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\eventlog.dll
.
[-] 2008-04-14 . 5251425B86EA4A3532B8BB8D14044E61 . 1571840 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\sfcfiles.dll
[-] 2008-04-14 . 5251425B86EA4A3532B8BB8D14044E61 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
[-] 2004-08-04 . 80F7B7198B869C07C98627AF812D68B6 . 1548288 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\sfcfiles.dll
.
[-] 2008-04-13 . 23C74D75E36E7158768DD63D92789A91 . 75264 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ipsec.sys
[-] 2008-04-13 . 23C74D75E36E7158768DD63D92789A91 . 75264 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ipsec.sys
[-] 2004-08-04 . 64537AA5C003A6AFEEE1DF819062D0D1 . 74752 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ipsec.sys
.
[-] 2008-04-14 . E4CD1F3D84E1C2CA0B8CF7501E201593 . 59904 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\regsvc.dll
[-] 2008-04-14 . E4CD1F3D84E1C2CA0B8CF7501E201593 . 59904 . . [5.1.2600.5512] . . c:\windows\system32\regsvc.dll
[-] 2004-08-04 . AE81CF7D7CFA79CD03E8FB99788A7E09 . 59904 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\regsvc.dll
.
[-] 2008-04-14 . A050194A44D7FA8D7186ED2F4E8367AE . 193536 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\schedsvc.dll
[-] 2008-04-14 . A050194A44D7FA8D7186ED2F4E8367AE . 193536 . . [5.1.2600.5512] . . c:\windows\system32\schedsvc.dll
[-] 2004-08-04 . D5E73842F38E24457C63FEF8CEFFBE19 . 192000 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\schedsvc.dll
.
[-] 2008-04-14 . 4DF5B05DFAEC29E13E1ED6F6EE12C500 . 71680 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ssdpsrv.dll
[-] 2008-04-14 . 4DF5B05DFAEC29E13E1ED6F6EE12C500 . 71680 . . [5.1.2600.5512] . . c:\windows\system32\ssdpsrv.dll
[-] 2004-08-04 . 6FA03B462B2FFFE2627171B7FE73EE29 . 71680 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ssdpsrv.dll
.
[-] 2008-04-14 . B7DE02C863D8F5A005A7BF375375A6A4 . 297472 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\termsrv.dll
[-] 2008-04-14 . B7DE02C863D8F5A005A7BF375375A6A4 . 297472 . . [5.1.2600.5512] . . c:\windows\system32\termsrv.dll
[-] 2004-08-04 . 1850BC10DE5DCCCEDE063FC2D0F2CEDA . 297472 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\termsrv.dll
.
[-] 2008-04-14 . 0DAF0705D7B39C94E287913226688804 . 348672 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\hnetcfg.dll
[-] 2008-04-14 . 0DAF0705D7B39C94E287913226688804 . 348672 . . [5.1.2600.5512] . . c:\windows\system32\hnetcfg.dll
[-] 2004-08-04 . AE93E415220A4C0112768A0DEE36D28D . 348672 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\hnetcfg.dll
.
[-] 2008-04-14 . D45960BE52C3C610D361977057F98C54 . 175616 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\appmgmts.dll
[-] 2008-04-14 . D45960BE52C3C610D361977057F98C54 . 175616 . . [5.1.2600.5512] . . c:\windows\system32\appmgmts.dll
[-] 2004-08-04 . BECD5328E7869807D6557BE4FE60C72F . 175616 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\appmgmts.dll
.
[-] 2001-08-18 . 9E1CA3160DAFB159CA14F83B1E317F75 . 12160 . . [5.1.2600.0] . . c:\windows\system32\drivers\acpiec.sys
.
[-] 2008-04-13 16:39 . 8BED39E3C35D6A489438B8141717A557 . 142592 . . [5.1.2601.3142] . . c:\windows\ServicePackFiles\i386\aec.sys
[-] 2008-04-13 16:39 . 8BED39E3C35D6A489438B8141717A557 . 142592 . . [5.1.2601.3142] . . c:\windows\system32\drivers\aec.sys
[-] 2006-02-15 00:30 . 1EE7B434BA961EF845DE136224C30FEC . 142464 . . [5.1.2601.2180] . . c:\windows\$hf_mig$\KB900485\SP2QFE\aec.sys
[-] 2006-02-15 00:22 . 1EE7B434BA961EF845DE136224C30FEC . 142464 . . [5.1.2601.2180] . . c:\windows\$NtServicePackUninstall$\aec.sys
[-] 2004-08-04 05:39 . 841F385C6CFAF66B58FBD898722BB4F0 . 142464 . . [5.1.2601.2078] . . c:\windows\$NtUninstallKB900485$\aec.sys
.
[-] 2008-04-13 . 08FD04AA961BDC77FB983F328334E3D7 . 42368 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\agp440.sys
[-] 2008-04-13 . 08FD04AA961BDC77FB983F328334E3D7 . 42368 . . [5.1.2600.5512] . . c:\windows\system32\drivers\agp440.sys
[-] 2004-08-04 . 2C428FA0C3E3A01ED93C9B2A27D8D4BB . 42368 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\agp440.sys
.
[-] 2008-04-13 . 3BB22519A194418D5FEC05D800A19AD0 . 36608 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ip6fw.sys
[-] 2008-04-13 . 3BB22519A194418D5FEC05D800A19AD0 . 36608 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ip6fw.sys
[-] 2004-08-04 . 4448006B6BC60E6C027932CFC38D6855 . 29056 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ip6fw.sys
.
[-] 2008-04-14 . B7550A7107281D170CE85524B1488C98 . 33792 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\msgsvc.dll
[-] 2008-04-14 . B7550A7107281D170CE85524B1488C98 . 33792 . . [5.1.2600.5512] . . c:\windows\system32\msgsvc.dll
[-] 2004-08-04 . E5215AB942C5AC5F7EB0E54871D7A27C . 33792 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\msgsvc.dll
.
[-] 2006-10-18 19:47 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll
[-] 2004-08-04 07:57 . D68CC4EBF7B03FD770D5962295AD814E . 52736 . . [9.0.1.56] . . c:\windows\$NtUninstallWMFDist11$\mspmsnsv.dll
[-] 2004-08-04 07:57 . D68CC4EBF7B03FD770D5962295AD814E . 52736 . . [9.0.1.56] . . c:\windows\ServicePackFiles\i386\mspmsnsv.dll
.
[-] 2008-04-14 02:22 . 56AF4064996FA5BAC9C449B1514B4770 . 438272 . . [5.1.2400.5512] . . c:\windows\ServicePackFiles\i386\ntmssvc.dll
[-] 2008-04-14 02:22 . 56AF4064996FA5BAC9C449B1514B4770 . 438272 . . [5.1.2400.5512] . . c:\windows\system32\ntmssvc.dll
[-] 2004-08-04 07:57 . 428AA946A8D9F32DBB4260C8E6E13377 . 438272 . . [5.1.2400.2180] . . c:\windows\$NtServicePackUninstall$\ntmssvc.dll
.
[-] 2008-04-14 . 1DFD8975D8C89214B98D9387C1125B49 . 186880 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\upnphost.dll
[-] 2008-04-14 . 1DFD8975D8C89214B98D9387C1125B49 . 186880 . . [5.1.2600.5512] . . c:\windows\system32\upnphost.dll
[-] 2007-02-05 . 5C686B95470AC24E133AB4DAC4639A6C . 185856 . . [5.1.2600.3077] . . c:\windows\$hf_mig$\KB931261\SP2QFE\upnphost.dll
[-] 2007-02-05 . 855790C1BACED245A6B210AF430ED17B . 185856 . . [5.1.2600.3077] . . c:\windows\$NtServicePackUninstall$\upnphost.dll
[-] 2004-08-04 . 09D4A2D7C5A8ABEC227D118765FAADDF . 185856 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB931261$\upnphost.dll
.
[-] 2008-04-14 . 9236E736EDB57BE7D1EF6274410E3BAC . 367616 . . [5.3.2600.5512] . . c:\windows\ServicePackFiles\i386\dsound.dll
[-] 2008-04-14 . 9236E736EDB57BE7D1EF6274410E3BAC . 367616 . . [5.3.2600.5512] . . c:\windows\system32\dsound.dll
[-] 2004-08-04 . 7DB3393F98E4211F5CE8F003DE0615CF . 367616 . . [5.3.2600.2180] . . c:\windows\$NtServicePackUninstall$\dsound.dll
[-] 2004-07-09 02:27 . 033A45AB696EEF481707C2808C806E1A . 381952 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . c:\windows\RegisteredPackages\{44BBA855-CC51-11CF-AAFA-00AA00B6015C}\dsound.dll
.
[-] 2008-04-14 . 36969CF86E51EC8ED202B40F2FA80AA6 . 1689088 . . [5.03.2600.5512] . . c:\windows\ServicePackFiles\i386\d3d9.dll
[-] 2008-04-14 . 36969CF86E51EC8ED202B40F2FA80AA6 . 1689088 . . [5.03.2600.5512] . . c:\windows\system32\d3d9.dll
[-] 2004-08-04 . 20AE7889467887B869F30308EEED9A2A . 1689088 . . [5.03.2600.2180] . . c:\windows\$NtServicePackUninstall$\d3d9.dll
.
[-] 2008-04-14 . 4A37188B83B00DD9CFBA049687AD0DAF . 279552 . . [5.03.2600.5512] . . c:\windows\ServicePackFiles\i386\ddraw.dll
[-] 2008-04-14 . 4A37188B83B00DD9CFBA049687AD0DAF . 279552 . . [5.03.2600.5512] . . c:\windows\system32\ddraw.dll
[-] 2004-08-04 . CAC545A56482DE01640E6B791DE19944 . 266240 . . [5.03.2600.2180] . . c:\windows\$NtServicePackUninstall$\ddraw.dll
[-] 2004-07-09 02:27 . 90114704C17A581DA1BAE029F20932BE . 292864 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . c:\windows\RegisteredPackages\{44BBA855-CC51-11CF-AAFA-00AA00B6015C}\ddraw.dll
.
[-] 2008-04-14 02:22 . 5D7F5A46975D2E59A6FECB6C231D200F . 84992 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\olepro32.dll
[-] 2008-04-14 02:22 . 5D7F5A46975D2E59A6FECB6C231D200F . 84992 . . [5.1.2600.5512] . . c:\windows\system32\olepro32.dll
[-] 2004-08-04 07:57 . 1404D3DD4ED4F5E2A938B43794049A81 . 83456 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\olepro32.dll
.
[-] 2008-04-14 . C47FD93010649AC0D79022D9B69ADBE4 . 41984 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\perfctrs.dll
[-] 2008-04-14 . C47FD93010649AC0D79022D9B69ADBE4 . 41984 . . [5.1.2600.5512] . . c:\windows\system32\perfctrs.dll
[-] 2004-08-04 . 007BFD01772B5202C5CE4F208A2F3F46 . 41984 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\perfctrs.dll
.
[-] 2008-04-14 . F86000634319F71535BCE6B06995EE99 . 18944 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\version.dll
[-] 2008-04-14 . F86000634319F71535BCE6B06995EE99 . 18944 . . [5.1.2600.5512] . . c:\windows\system32\version.dll
[-] 2004-08-04 . 4EF2FDC0A085C8339ED4D9C59CE8FC60 . 18944 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\version.dll
.
[-] 2008-04-14 . FE77A85495065F3AD59C5C65B6C54182 . 171520 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\srsvc.dll
[-] 2008-04-14 . FE77A85495065F3AD59C5C65B6C54182 . 171520 . . [5.1.2600.5512] . . c:\windows\system32\srsvc.dll
[-] 2004-08-04 . 015F302C4CF961F20C3F98F3A7CA7917 . 171008 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\srsvc.dll
.
[-] 2008-04-14 . 7B353059E665F8B7AD2BBEAEF597CF45 . 177152 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\w32time.dll
[-] 2008-04-14 . 7B353059E665F8B7AD2BBEAEF597CF45 . 177152 . . [5.1.2600.5512] . . c:\windows\system32\w32time.dll
[-] 2004-08-04 . C6D874CD2A5B83CD11CDEBD28A638584 . 176640 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\w32time.dll
.
[-] 2008-04-14 . BC2C5985611C5356B24AEB370953DED9 . 334336 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\wiaservc.dll
[-] 2008-04-14 . BC2C5985611C5356B24AEB370953DED9 . 334336 . . [5.1.2600.5512] . . c:\windows\system32\wiaservc.dll
[-] 2006-12-19 . 452AA1C0E7FEE4B2E78D32BCF36FCEBE . 334336 . . [5.1.2600.3051] . . c:\windows\$hf_mig$\KB927802\SP2QFE\wiaservc.dll
[-] 2006-12-19 . 25E9B30AF1FA1B9AF1853577F39FF20B . 334336 . . [5.1.2600.3051] . . c:\windows\$NtServicePackUninstall$\wiaservc.dll
[-] 2004-08-04 . 7E751068ADA60FC77638622E86A7CD9E . 333824 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB927802$\wiaservc.dll
.
[-] 2008-04-14 . 2CF969B9BF1EF069075DCDCE309FAAE1 . 18944 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\midimap.dll
[-] 2008-04-14 . 2CF969B9BF1EF069075DCDCE309FAAE1 . 18944 . . [5.1.2600.5512] . . c:\windows\system32\midimap.dll
[-] 2004-08-04 . 32641AE4D340C1AC2D9B3A3BD71F5C47 . 18944 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\midimap.dll
.
[-] 2008-04-14 . 469FED8597896DB77B49384BE90E2E0A . 7680 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\rasadhlp.dll
[-] 2008-04-14 . 469FED8597896DB77B49384BE90E2E0A . 7680 . . [5.1.2600.5512] . . c:\windows\system32\rasadhlp.dll
[-] 2006-06-26 . 45F87F6E7AB4F79B5C719B78C289DB66 . 7680 . . [5.1.2600.2938] . . c:\windows\$hf_mig$\KB920683\SP2QFE\rasadhlp.dll
[-] 2006-06-26 . DC940E8932827D65180F6A71BD4BD878 . 8192 . . [5.1.2600.2938] . . c:\windows\$NtServicePackUninstall$\rasadhlp.dll
[-] 2004-08-04 . 84028E2EBE7A25494766673A5FF4B304 . 8192 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB920683$\rasadhlp.dll
.
[-] 2008-04-14 . 02AF8A799D173C2D0C71F399C03AC9E1 . 19456 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\wshtcpip.dll
[-] 2008-04-14 . 02AF8A799D173C2D0C71F399C03AC9E1 . 19456 . . [5.1.2600.5512] . . c:\windows\system32\wshtcpip.dll
[-] 2004-08-04 . 3FEADE4D0B41D22E8B8460739A9B4FEE . 19968 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\wshtcpip.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [2005-10-11 1961984]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-16 13680640]
"nwiz"="nwiz.exe" [2009-01-16 1657376]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"OFFICEKB"="c:\programme\Labtec\Keyboard\V5.1\kbdap32a.exe" [2007-05-04 387584]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"C-Media Mixer"="Mixer.exe" [2007-04-17 1855488]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-03-16 47392]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-16 86016]
"ControlCenter2.0"="c:\programme\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 933888]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-13 16862720]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-04-28 142120]
"TkBellExe"="c:\programme\real\realplayer\update\realsched.exe" [2011-08-18 273544]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-09-17 254896]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-10-16 384800]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Status Monitor.lnk - c:\programme\Brother\Brmfcmon\BrMfcWnd.exe [2010-1-14 802816]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Atari\\Crashday\\Crashday.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [10.11.2012 20:08 36552]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [10.11.2012 13:59 84256]
S3 CFcatchme;CFcatchme;\??\c:\dokume~1\ALEXAN~1\LOKALE~1\Temp\CFcatchme.sys --> c:\dokume~1\ALEXAN~1\LOKALE~1\Temp\CFcatchme.sys [?]
S3 PAC207;Q-TEC WEBCAM 110 USB;c:\windows\system32\DRIVERS\pfc027.sys --> c:\windows\system32\DRIVERS\pfc027.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [03.01.2008 13:25 664064]
.
Inhalt des "geplante Tasks" Ordners
.
2012-11-13 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-29 08:46]
.
2012-11-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2012-11-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-10-04 15:06]
.
2012-11-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-10-04 15:06]
.
2012-11-13 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1614895754-1958367476-839522115-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2011-03-29 08:47]
.
2012-11-10 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1614895754-1958367476-839522115-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2011-03-29 08:47]
.
2012-10-18 c:\windows\Tasks\ReclaimerResumeInstall_Alexander.job
- c:\dokumente und einstellungen\Alexander\Anwendungsdaten\Real\Update\UpgradeHelper\RealPlayer\10.20\agent\rnupgagent.exe [2012-10-18 17:44]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://go.web.de/suchbox/webdesuche?su=%s
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Alexander\Anwendungsdaten\Mozilla\Firefox\Profiles\68egnaxa.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - ExtSQL: 2012-10-26 18:35; {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}; c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
FF - ExtSQL: !HIDDEN! 2009-09-02 09:22; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
.
------- Dateityp-Verknüpfung -------
.
.scr=AutoCADScriptFile
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-Performance Center - c:\programme\Ascentive\Performance Center\APCMain.exe
AddRemove-iPhoto Plus 4 - c:\windows\unin0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-11-13 19:56
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(732)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3428)
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\System32\brss01a.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\System32\PAStiSvc.exe
c:\windows\Mixer.exe
c:\windows\system32\rundll32.exe
c:\windows\RTHDCPL.EXE
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\iPod\bin\iPodService.exe
c:\windows\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-11-13  20:02:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-11-13 19:02
.
Vor Suchlauf: 16 Verzeichnis(se), 45.371.121.664 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 46.254.534.656 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
.
- - End Of File - - 9EBD13D5BA95F0FFE1DB4D68EE82788C

markusg · 13.11.2012, 20:37

bitte öffne arbeitsplatz, c:
qoobox
den ordner quarantain mit winrar oder einem ähnlichem archivierungsprogramm packen und hochladen:
Trojaner-Board Upload Channel
kurze info, wenn erledigt.

Alex282 · 15.11.2012, 09:35

Hab den Ordner mit 7z gepackt und hochgeladen.

(Beim ersten Pack-Versuch kam noch eine Warnung von Avira wegen Zugriff auf eine infizierte Datei. Hab das ganze dann nochmal versucht mit ausgeschaltetem Echtzeit-Scanner, dann hat es ohne Warnung geklappt.)

markusg · 16.11.2012, 14:19

hi
nutzt du den pc für Onlinebanking, zum Einkaufen, für sonstige Zahlungsabwicklungen, oder ähnlich wichtigem, wie beruflichem?

Alex282 · 17.11.2012, 11:04

Ja, die Passwörter hab ich aber, nachdem ich den Trojaner entdeckt hatte, sofort von einem anderen PC geändert und von diesem hier seitdem nicht wieder aufgerufen.

Ich hoffe, dass ich so schlimmeres verhindert habe und bald auch wieder von hier shoppen darf.

markusg · 19.11.2012, 18:35

Wenn du von diesem PC aus shoppen willst, solltest du ihn neu aufsetzen.
Da wir eine Bereinigung nicht garantieren, und eine unvollständige Bereinigung dann zu finanziellen Problemen führen kann, oder ein solcher PC für straftaten benutzt wird.
1. Datenrettung:

deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
recovery cd oder recovery partition.
falls dies ein fertig pc ist, nenne hersteller + typ.
Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Alex282 · 20.11.2012, 11:04

Hhmm, das wollte ich eigentlich vermeiden, weil das mit sehr viel Arbeit verbunden ist. Ich hatte eigentlich gehofft, genau wie ruedihi (http://www.trojaner-board.de/126255-...80000cb-2.html) darauf verzichten zu können.

Was wäre die Alternative? Also wenn ich fürs Shoppen nur noch den anderen PC nutzen würde, was müsste ich dann noch tun?

markusg · 20.11.2012, 21:57

Hi,
ich persönlich würde neu Aufsetzen, denn auch, wenn du kein Shopping über den PC betreibst, könnte er, wenn wir etwas übersehen, für angriffe auf andere PC's genutzt werden, bzw zum Spam versand. Ddos angriffe sind zb Strafbar und das könnte zu Problemen führen.
wenn du das Risiko aber eingehen willst...
combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Alex282 · 25.11.2012, 10:32

Auf dein Urteil vertrauend, geht meine Tendenz dann doch eher zur Neuinstallation.

Mein Problem ist dabei noch, dass meine Speicherkapzitäten zum Sichern begrenzt sind und ich deshalb genau prüfen muss, was ich Sichern will (bzw. was ich davon auf dem anderen Rechner schon habe). Kann also ein bisschen dauern. Evtl. muss ich mir halt noch weitere Sticks zulegen.

Vorab schon mal eine Frage:
Wie prüfe ich, ob die gesicherten Daten sauber sind (5.)?

Ich habe mir gerade xubuntu für die Datensicherung runtergeladen. Was mich irritiert: "Sie muss nach dem Download eine Größe von 680,3 MB aufweisen und folgende Prüfsummen ergeben:" Die Datei ist allerdings 682 MB groß, die Hashtab-Prüfsummen stimmen. Ist die Datei jetzt ok?

Außerdem verstehe ich nicht, warum ich bei der Datenrettung zuerst Autorun ausschalten soll und dann mit xubuntu arbeiten soll. Würd das Autorun denn bei xubuntu überhaupt noch laufen?

markusg · 27.11.2012, 17:02

Hi,
besorg dir doch lieber ne externe Festplatte, Backups sind immer nötig, und die externe Platte sollte natürlich nur dann benutzt werden, wenn du Backups machst, ansonsten sollte sie im Schrank liegen :-)
Die checksummen hat wohl keiner mehr aktualisiert, passt aber.
Autorun kannst du von mir aus an lassen.
Daten prüfen wir am Schluss.

Alex282 · 30.11.2012, 13:36

Ich stehe immer noch vor der Datenrettung.
Ich weiß jetzt, was ich sichern möchte und habe auch einen entsprechend großen USB-Stick.

Xubuntu habe ich wie in der Anleitung beschrieben auf CD gebrannt.
Mein Problem ist, mein Rechner lässt sich damit nicht booten.
Nach der Boot-Auswahl bleibt der Bildschirm dann etwa 10 Sekunden schwarz mit oben links einem blinkenden Cursor-Symbol (ca. Zeile 6) und danach startet der Rechner dann einfach neu.

Dann wollte ich die Variante Booten über USB-Stick ausprobieren, nur mein PC bietet das gar nicht an, habe auch noch in den BIOS-Einstellungen geschaut, konnte da aber auch keine USB-Auswahl finden.

Da das alles also nicht zu funktionieren scheint, kann ich die Daten nicht einfach direkt aus meinem aktuellen System (Windows XP) auf meinen USB-Stick sichern?

markusg · 30.11.2012, 15:09

dann schalte autorun aus, und sichere die daten...

Alex282 · 06.12.2012, 10:41

Ich habe jetzt XP neu installiert plus Servicepack 2 und 3,
einen Virenscanner (Avira),
Firefox
und außerdem habe ich die Windows Updates machen lassen.

Meine auf USB gesicherten Daten hab ich noch nicht zurückgespielt.

TR/Agent.73728.15 in C:\Dokumente und Einstellungen\Alexander\deadorziwaty.exe und \Lokale Einstellungen\Temp\1463906.exe

Log-Analyse und Auswertung: TR/Agent.73728.15 in C:\Dokumente und Einstellungen\Alexander\deadorziwaty.exe und \Lokale Einstellungen\Temp\1463906.exe