| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: GVU Trojaner, abgesicherter Modus nicht möglichWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
08.07.2013, 12:50
| #1 |
 |  GVU Trojaner, abgesicherter Modus nicht möglich Hallo zusammen!  ich habe mit meinem Rechner ein Problem mit dem bekannten GVU Trojaner. Betriebssystem ist Windows XP. Erste Versuche über den abgesicherten Modus erwiesen sich als nutzlos, da der Rechner sofort wieder herunterfährt, sobald der abgesicherte Modus gestartet ist. Im Prinzip gleicht mein Problem diesem hier exakt: http://www.trojaner-board.de/137867-...odus-geht.html Aus diesem Grund habe ich bereits den ersten Schritt aus der dortigen Anleitung befolgt und ein Logfile mit OTLPE erstellt. Das ist das Logfile: Code:
ATTFilter OTL logfile created on: 7/8/2013 2:46:28 PM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1,015.00 Mb Total Physical Memory | 786.00 Mb Available Physical Memory | 77.00% Memory free
903.00 Mb Paging File | 824.00 Mb Available in Paging File | 91.00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 19.53 Gb Total Space | 4.22 Gb Free Space | 21.62% Space Free | Partition Type: NTFS
Drive D: | 315.81 Gb Total Space | 293.57 Gb Free Space | 92.96% Space Free | Partition Type: NTFS
Drive I: | 245.73 Mb Total Space | 100.13 Mb Free Space | 40.75% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
========== Win32 Services (SafeList) ==========
SRV - File not found [Disabled] -- -- (HidServ)
SRV - [2013/06/12 12:41:25 | 000,256,904 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013/02/05 11:48:00 | 000,235,216 | ---- | M] (McAfee, Inc.) [On_Demand] -- C:\Programme\McAfee Security Scan\3.0.318\McCHSvc.exe -- (McComponentHostService)
SRV - [2012/12/14 10:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) [Auto] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012/12/14 10:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) [Auto] -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler)
SRV - [2012/12/04 15:16:51 | 002,869,824 | ---- | M] (Sophos Limited) [Auto] -- C:\Programme\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe -- (swi_service)
SRV - [2012/12/04 15:16:47 | 000,216,640 | ---- | M] (Sophos Limited) [Auto] -- C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe -- (SAVAdminService)
SRV - [2012/12/04 15:16:39 | 001,459,264 | ---- | M] (Sophos Limited) [Auto] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Web Intelligence\swi_update.exe -- (swi_update)
SRV - [2012/09/19 05:29:42 | 001,699,168 | ---- | M] (TuneUp Software) [Auto] -- C:\Programme\TuneUp Utilities 2013\TuneUpUtilitiesService32.exe -- (TuneUp.UtilitiesSvc)
SRV - [2012/08/09 16:30:25 | 000,232,512 | ---- | M] (Sophos Limited) [Auto] -- C:\Programme\Sophos\AutoUpdate\ALsvc.exe -- (Sophos AutoUpdate Service)
SRV - [2012/07/30 14:50:41 | 000,357,400 | ---- | M] (Sophos Limited) [Auto] -- C:\Programme\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe -- (Sophos Web Control Service)
SRV - [2012/07/26 11:54:21 | 000,139,840 | ---- | M] (Sophos Limited) [Auto] -- C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe -- (SAVService)
SRV - [2012/07/19 06:09:36 | 001,304,184 | ---- | M] (NCP Engineering GmbH) [Auto] -- C:\Programme\LANCOM\Advanced VPN Client\ncprwsnt.exe -- (ncprwsnt)
SRV - [2012/07/12 06:09:12 | 000,139,896 | ---- | M] (NCP engineering GmbH) [Auto] -- C:\Programme\LANCOM\Advanced VPN Client\ncpclcfg.exe -- (ncpclcfg)
SRV - [2012/04/05 07:49:52 | 000,071,024 | ---- | M] () [Auto] -- C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe -- (HRService)
SRV - [2011/04/21 03:11:36 | 000,119,808 | ---- | M] () [Auto] -- C:\Programme\LANCOM\Advanced VPN Client\NCPSEC.EXE -- (NcpSec)
SRV - [2006/10/26 14:49:34 | 000,441,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006/10/26 09:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2005/11/13 20:06:04 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe -- (IDriverT)
========== Driver Services (SafeList) ==========
DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - [2012/12/14 10:49:28 | 000,021,104 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2012/09/19 04:50:50 | 000,010,088 | ---- | M] (TuneUp Software) [Kernel | On_Demand] -- C:\Programme\TuneUp Utilities 2013\TuneUpUtilitiesDriver32.sys -- (TuneUpUtilitiesDrv)
DRV - [2012/07/30 14:50:58 | 000,033,696 | ---- | M] (Sophos Limited) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\sdcfilter.sys -- (sdcfilter)
DRV - [2012/07/30 14:50:35 | 000,024,832 | ---- | M] (Sophos Limited) [File_System | System] -- C:\WINDOWS\system32\drivers\savonaccessfilter.sys -- (SAVOnAccessFilter)
DRV - [2012/07/30 14:50:31 | 000,031,736 | ---- | M] (Sophos Plc) [Kernel | System] -- C:\WINDOWS\system32\drivers\skmscan.sys -- (SKMScan)
DRV - [2012/07/30 14:50:28 | 000,155,392 | ---- | M] (Sophos Limited) [File_System | System] -- C:\WINDOWS\system32\drivers\savonaccesscontrol.sys -- (SAVOnAccessControl)
DRV - [2012/04/12 09:27:32 | 000,086,768 | ---- | M] (NCP Engineering GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ncpvaxp.sys -- (ncpvaxp)
DRV - [2012/04/12 09:27:32 | 000,086,768 | ---- | M] (NCP Engineering GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ncpvaxp.sys -- (NcpFiltMP)
DRV - [2012/04/12 09:27:32 | 000,086,768 | ---- | M] (NCP Engineering GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ncpvaxp.sys -- (NcpFilt)
DRV - [2010/12/26 08:09:34 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)
DRV - [2009/08/05 12:38:22 | 005,874,176 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008/08/05 15:10:12 | 001,684,736 | ---- | M] (Creative) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2008/05/23 03:38:25 | 000,014,976 | ---- | M] (Sophos Plc) [Kernel | Disabled] -- C:\WINDOWS\system32\drivers\SophosBootDriver.sys -- (SophosBootDriver)
DRV - [2007/10/17 15:12:00 | 000,030,720 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\l251x86.sys -- (AtcL002)
DRV - [2006/01/04 10:41:48 | 001,389,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
========== Standard Registry (SafeList) ==========
========== Internet Explorer ==========
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchURL\g, = hxxp://www.google.com/search?q=%s
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = [Binary data over 100 bytes]
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.modell-hohenlohe.de/
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\SearchURL\g, = hxxp://www.google.com/search?q=%s
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\SearchURL\g, = hxxp://www.google.com/search?q=%s
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\SearchURL\g, = hxxp://www.google.com/search?q=%s
========== FireFox ==========
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_32: C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@mcafee.com/McAfeeMssPlugin: C:\Programme\McAfee Security Scan\3.0.318\npMcAfeeMSS.dll (McAfee, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
[2013/02/17 05:47:30 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Extensions
[2013/02/17 05:47:30 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Extensions\ideskbrowser@haufe.de
O1 HOSTS File: ([2004/08/04 10:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (MSS+ Identifier) - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Programme\McAfee Security Scan\3.0.318\McAfeeMSS_IE.dll (McAfee, Inc.)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [NcpBudgetGui] C:\Programme\LANCOM\Advanced VPN Client\NcpBudgetGui.exe (NCP engineering GmbH)
O4 - HKLM..\Run: [NcpMonitor] C:\Programme\LANCOM\Advanced VPN Client\ncpmon.exe (NCP engineering GmbH)
O4 - HKLM..\Run: [NcpPopup] C:\Programme\LANCOM\Advanced VPN Client\ncppopup.exe (NCP engineering GmbH)
O4 - HKLM..\Run: [Sophos AutoUpdate Monitor] C:\Programme\Sophos\AutoUpdate\ALMon.exe (Sophos Limited)
O4 - HKU\Administrator_ON_C..\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\cewqkbkocilfbsibn.exe (NVIDIA Corporation)
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] File not found
O4 - HKU\.DEFAULT..\RunOnce: [ShowDeskFix] File not found
O4 - HKU\LocalService_ON_C..\RunOnce: [nltide_2] File not found
O4 - HKU\LocalService_ON_C..\RunOnce: [ShowDeskFix] File not found
O4 - HKU\NetworkService_ON_C..\RunOnce: [nltide_2] File not found
O4 - HKU\NetworkService_ON_C..\RunOnce: [ShowDeskFix] File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\3.0.318\SSScheduler.exe (McAfee, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 177
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableStatusMessages = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: VerboseStatus = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableCAD = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 1
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Web Intelligence\swi_ifslsp.dll (Sophos Limited)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Web Intelligence\swi_ifslsp.dll (Sophos Limited)
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Web Intelligence\swi_ifslsp.dll (Sophos Limited)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1365183656687 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab (Java Plug-in 1.6.0_06)
O16 - DPF: {CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\haufereader - No CLSID value found
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (c:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL) - C:\Programme\Sophos\Sophos Anti-Virus\sophos_detoured.dll (Sophos Limited)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKU\Administrator_ON_C Winlogon: Shell - (cmd.exe) - C:\WINDOWS\System32\cmd.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/12/26 06:41:32 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
========== Files/Folders - Created Within 30 Days ==========
[2013/07/07 15:10:28 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent
[2013/06/30 05:10:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Media Player Classic
[2013/06/30 05:07:49 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2013/06/30 05:06:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AC3Filter
[2013/06/30 05:06:52 | 000,000,000 | ---D | C] -- C:\Programme\AC3Filter
[2013/06/30 05:06:22 | 004,411,392 | ---- | C] (Gabest) -- C:\Dokumente und Einstellungen\Administrator\Desktop\mplayerc.exe
[2013/06/12 11:41:29 | 009,089,416 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerInstaller.exe
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
========== Files - Modified Within 30 Days ==========
[2013/07/08 06:49:10 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013/07/08 06:46:27 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013/07/08 06:46:10 | 000,001,100 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2013/07/08 06:31:20 | 000,163,071 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\2433f433
[2013/07/08 06:31:20 | 000,163,044 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\2433f433
[2013/07/08 06:31:20 | 000,163,036 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2433f433
[2013/07/08 06:10:00 | 000,001,104 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2013/07/08 05:41:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013/07/07 15:09:00 | 000,002,607 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Microsoft Office Outlook 2007.lnk
[2013/07/01 16:14:26 | 000,037,376 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2013/06/30 05:06:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AC3Filter
[2013/06/29 13:15:59 | 000,001,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk
[2013/06/12 14:03:36 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2013/06/12 12:41:24 | 000,692,104 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2013/06/12 12:41:24 | 000,071,048 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2013/06/12 12:41:21 | 009,089,416 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerInstaller.exe
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
========== Files Created - No Company Name ==========
[2013/07/08 06:31:20 | 000,163,071 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\2433f433
[2013/07/08 06:31:20 | 000,163,044 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\2433f433
[2013/07/08 06:31:20 | 000,163,036 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2433f433
[2013/06/30 05:06:52 | 000,965,120 | ---- | C] () -- C:\WINDOWS\System32\ac3filter.acm
[2013/04/04 08:04:27 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012/02/16 16:51:37 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011/08/15 06:05:27 | 000,037,376 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/05/15 05:32:30 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\$_hpcst$.hpc
[2011/01/02 07:48:23 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll
[2010/12/30 09:53:42 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\CNMVS78.DLL
[2010/12/26 07:18:05 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v1587.dll
[2010/12/26 06:45:52 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010/12/26 06:38:58 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010/12/26 06:38:12 | 000,394,752 | ---- | C] () -- C:\WINDOWS\System32\cygwinb19.dll
[2010/12/26 06:34:22 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010/12/26 06:32:47 | 000,393,568 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2008/04/14 04:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2007/04/27 04:43:58 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2006/12/31 03:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/04 10:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004/08/04 10:00:00 | 000,693,792 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.dll
[2004/08/04 10:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/04 10:00:00 | 000,452,746 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/08/04 10:00:00 | 000,435,832 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/08/04 10:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/04 10:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/08/04 10:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/04 10:00:00 | 000,081,748 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/08/04 10:00:00 | 000,068,728 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/08/04 10:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/04 10:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/08/04 10:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/04 10:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004/08/04 10:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2004/08/04 10:00:00 | 000,000,088 | ---- | C] () -- C:\WINDOWS\System32\AIO-Auswahl.ini
========== LOP Check ==========
[2010/12/30 09:57:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CD-LabelPrint
[2010/12/26 08:17:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DAEMON Tools Lite
[2013/02/17 05:47:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Haufe Mediengruppe
[2011/04/24 07:37:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ImgBurn
[2011/10/16 03:43:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\MAGIX
[2010/12/26 07:12:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Opera
[2012/11/13 11:05:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TeamViewer
[2013/04/01 06:42:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
[2011/01/26 13:39:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Unigraphics Solutions
[2010/12/27 13:54:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\TuneUp Software
[2013/04/05 13:36:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\8021B826286A4FF500008021380D585D
[2010/12/30 09:53:38 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2013/04/01 06:41:37 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Files
[2010/12/26 08:09:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
[2013/02/17 05:41:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Haufe
[2011/10/16 03:34:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
[2012/07/30 14:54:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos
[2013/04/01 06:42:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2013/04/01 06:48:05 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}
[2013/04/01 06:48:05 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
========== Purity Check ==========
< End of report >
Für Hilfe zum weiteren Vorgehen bin ich unendlich dankbar! Viele Grüße, Stefan |
|
08.07.2013, 12:55
| #2 |
| /// Malware-holic   | GVU Trojaner, abgesicherter Modus nicht möglich Hi,
__________________auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein: Code:
ATTFilter :OTL
O4 - HKU\Administrator_ON_C..\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\cewqkbkocilfbsibn.exe
(NVIDIA Corporation)
:Files
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\cewqkbkocilfbsibn.exe
:Commands
[EMPTYFLASH]
[emptytemp]
dieses speicherst du auf nem usb stick als fix.txt nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist. • Klicke nun bitte auf den Fix Button. es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick. wenn dies nicht funktioniert, bitte den fix manuell eintragen. dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen, log posten bitte. Es kann evtl. bei neustart möglich sein, das der Desktop nicht geladen wird, drücke dann: strg+alt+entf das startet den Taskmanager, gehe dort auf Anwendung, neuer Task, tippe: explorer.exe enter dann solltest du den Desktop sehen, teile mir mit, falls dies nötig war. Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten! Drücke bitte die  + E Taste.
__________________ |
|
08.07.2013, 13:19
| #3 |
| | GVU Trojaner, abgesicherter Modus nicht möglich Hallo,
__________________vielen Dank für die rasche Hilfe. Nachdem ich die fix.txt manuell eingetragen hatte lief es durch. Ich habe danach den Rechner neu gestartet, ich musste - wie von dir beschrieben - über den Taskmanager explorer.exe starten. Die gelang mit einer Verzögerung von ca. einer Minute. Der Rechner ist nun erstmal wieder so, wie ich es erhofft hatte MovedFiles ist hochgeladen, hier ist das Logfile: Code:
ATTFilter ========== OTL ==========
Registry value HKEY_USERS\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\qcgce2mrvjq91kk1e7pnbb19m52fx deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\cewqkbkocilfbsibn.exe moved successfully.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\cewqkbkocilfbsibn.exe not found.
========== COMMANDS ==========
[EMPTYFLASH]
User: Administrator
->Temp folder emptied: 1724089 bytes
->Temporary Internet Files folder emptied: 32188486 bytes
->Java cache emptied: 458144 bytes
->Google Chrome cache emptied: 6430985 bytes
->Opera cache emptied: 30753348 bytes
->Flash cache emptied: 25692 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: LocalService
->Temp folder emptied: 66268 bytes
->Temporary Internet Files folder emptied: 4979334 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 22994914 bytes
->Flash cache emptied: 3013 bytes
Total Flash Files Cleaned = 95.00 mb
[EMPTYTEMP]
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2352202 bytes
%systemroot%\System32 .tmp files removed: 55175 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 187463 bytes
Total Files Cleaned = 2.00 mb
OTLPE by OldTimer - Version 3.1.48.0 log created on 07082013_150502
Vielen Dank! |
|
08.07.2013, 13:42
| #4 |
| /// Malware-holic | GVU Trojaner, abgesicherter Modus nicht möglich Hi, danke für den Upload. Um das Problem mit dem Explorer kümmern wir uns jetzt. Scan mit Combofix
nach Neustart sollte der Desktop wieder normal laden.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
08.07.2013, 14:21
| #5 |
| | GVU Trojaner, abgesicherter Modus nicht möglich Hier das Logfile von Combofix: Code:
ATTFilter Combofix Logfile: Rechner bootet wieder normal! Vielen Dank! Grüße, Stefan |
|
08.07.2013, 14:25
| #6 |
| /// Malware-holic | GVU Trojaner, abgesicherter Modus nicht möglich So soll das sein. Downloade dir bitte  TDSSKiller.exe und speichere diese Datei auf dem Desktop
__________________ --> GVU Trojaner, abgesicherter Modus nicht möglich |
|
08.07.2013, 14:37
| #7 |
| | GVU Trojaner, abgesicherter Modus nicht möglich Hat geklappt, hier das Logfile vom TDSSKiller: Code:
ATTFilter 16:34:37.0500 1016 TDSS rootkit removing tool 2.8.16.0 Feb 11 2013 18:50:42
16:34:37.0781 1016 ============================================================
16:34:37.0781 1016 Current date / time: 2013/07/08 16:34:37.0781
16:34:37.0781 1016 SystemInfo:
16:34:37.0781 1016
16:34:37.0781 1016 OS Version: 5.1.2600 ServicePack: 3.0
16:34:37.0781 1016 Product type: Workstation
16:34:37.0781 1016 ComputerName: SHOCKWAVE
16:34:37.0781 1016 UserName: Administrator
16:34:37.0781 1016 Windows directory: C:\WINDOWS
16:34:37.0781 1016 System windows directory: C:\WINDOWS
16:34:37.0781 1016 Processor architecture: Intel x86
16:34:37.0781 1016 Number of processors: 2
16:34:37.0781 1016 Page size: 0x1000
16:34:37.0781 1016 Boot type: Normal boot
16:34:37.0781 1016 ============================================================
16:34:38.0562 1016 Drive \Device\Harddisk0\DR0 - Size: 0x53D67B6000 (335.35 Gb), SectorSize: 0x200, Cylinders: 0xAB01, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
16:34:38.0578 1016 ============================================================
16:34:38.0578 1016 \Device\Harddisk0\DR0:
16:34:38.0578 1016 MBR partitions:
16:34:38.0578 1016 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x2711637
16:34:38.0593 1016 \Device\Harddisk0\DR0\Partition2: MBR, Type 0x7, StartLBA 0x27116B5, BlocksNum 0x2779D44B
16:34:38.0593 1016 ============================================================
16:34:38.0609 1016 C: <-> \Device\Harddisk0\DR0\Partition1
16:34:38.0640 1016 D: <-> \Device\Harddisk0\DR0\Partition2
16:34:38.0640 1016 ============================================================
16:34:38.0640 1016 Initialize success
16:34:38.0640 1016 ============================================================
16:35:17.0718 3388 ============================================================
16:35:17.0718 3388 Scan started
16:35:17.0718 3388 Mode: Manual; SigCheck; TDLFS;
16:35:17.0718 3388 ============================================================
16:35:17.0890 3388 ================ Scan system memory ========================
16:35:18.0437 3388 System memory - ok
16:35:18.0437 3388 ================ Scan services =============================
16:35:18.0546 3388 Abiosdsk - ok
16:35:18.0546 3388 abp480n5 - ok
16:35:18.0578 3388 [ AC407F1A62C3A300B4F2B5A9F1D55B2C ] ACPI C:\WINDOWS\system32\DRIVERS\ACPI.sys
16:35:19.0218 3388 ACPI - ok
16:35:19.0234 3388 [ 9E1CA3160DAFB159CA14F83B1E317F75 ] ACPIEC C:\WINDOWS\system32\drivers\ACPIEC.sys
16:35:19.0343 3388 ACPIEC - ok
16:35:19.0375 3388 [ 9915504F602D277EE47FD843A677FD15 ] AdobeFlashPlayerUpdateSvc C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
16:35:19.0390 3388 AdobeFlashPlayerUpdateSvc - ok
16:35:19.0406 3388 adpu160m - ok
16:35:19.0421 3388 [ 8BED39E3C35D6A489438B8141717A557 ] aec C:\WINDOWS\system32\drivers\aec.sys
16:35:19.0515 3388 aec - ok
16:35:19.0531 3388 [ 1E44BC1E83D8FD2305F8D452DB109CF9 ] AFD C:\WINDOWS\System32\drivers\afd.sys
16:35:19.0562 3388 AFD - ok
16:35:19.0578 3388 Aha154x - ok
16:35:19.0578 3388 aic78u2 - ok
16:35:19.0578 3388 aic78xx - ok
16:35:19.0609 3388 [ 738D80CC01D7BC7584BE917B7F544394 ] Alerter C:\WINDOWS\system32\alrsvc.dll
16:35:19.0718 3388 Alerter - ok
16:35:19.0718 3388 [ 190CD73D4984F94D823F9444980513E5 ] ALG C:\WINDOWS\System32\alg.exe
16:35:19.0765 3388 ALG - ok
16:35:19.0765 3388 AliIde - ok
16:35:19.0828 3388 [ F6AF59D6EEE5E1C304F7F73706AD11D8 ] Ambfilt C:\WINDOWS\system32\drivers\Ambfilt.sys
16:35:19.0953 3388 Ambfilt - ok
16:35:19.0953 3388 amsint - ok
16:35:19.0968 3388 [ D45960BE52C3C610D361977057F98C54 ] AppMgmt C:\WINDOWS\System32\appmgmts.dll
16:35:20.0031 3388 AppMgmt - ok
16:35:20.0031 3388 asc - ok
16:35:20.0031 3388 asc3350p - ok
16:35:20.0046 3388 asc3550 - ok
16:35:20.0093 3388 [ 0E5E4957549056E2BF2C49F4F6B601AD ] aspnet_state C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
16:35:20.0109 3388 aspnet_state - ok
16:35:20.0125 3388 [ B153AFFAC761E7F5FCFA822B9C4E97BC ] AsyncMac C:\WINDOWS\system32\DRIVERS\asyncmac.sys
16:35:20.0218 3388 AsyncMac - ok
16:35:20.0250 3388 [ 9F3A2F5AA6875C72BF062C712CFA2674 ] atapi C:\WINDOWS\system32\DRIVERS\atapi.sys
16:35:20.0343 3388 atapi - ok
16:35:20.0375 3388 [ F6475D507AB08F15121BEBF84209FE72 ] AtcL002 C:\WINDOWS\system32\DRIVERS\l251x86.sys
16:35:20.0375 3388 AtcL002 ( UnsignedFile.Multi.Generic ) - warning
16:35:20.0375 3388 AtcL002 - detected UnsignedFile.Multi.Generic (1)
16:35:20.0375 3388 Atdisk - ok
16:35:20.0406 3388 [ 9916C1225104BA14794209CFA8012159 ] Atmarpc C:\WINDOWS\system32\DRIVERS\atmarpc.sys
16:35:20.0500 3388 Atmarpc - ok
16:35:20.0500 3388 [ 58ED0D5452DF7BE732193E7999C6B9A4 ] AudioSrv C:\WINDOWS\System32\audiosrv.dll
16:35:20.0593 3388 AudioSrv - ok
16:35:20.0609 3388 [ D9F724AA26C010A217C97606B160ED68 ] audstub C:\WINDOWS\system32\DRIVERS\audstub.sys
16:35:20.0703 3388 audstub - ok
16:35:20.0718 3388 [ DA1F27D85E0D1525F6621372E7B685E9 ] Beep C:\WINDOWS\system32\drivers\Beep.sys
16:35:20.0812 3388 Beep - ok
16:35:20.0843 3388 [ D6F603772A789BB3228F310D650B8BD1 ] BITS C:\WINDOWS\system32\qmgr.dll
16:35:20.0937 3388 BITS - ok
16:35:20.0953 3388 [ B71549F23736ADF83A571061C47777FD ] Browser C:\WINDOWS\System32\browser.dll
16:35:21.0015 3388 Browser - ok
16:35:21.0015 3388 catchme - ok
16:35:21.0046 3388 [ 90A673FC8E12A79AFBED2576F6A7AAF9 ] cbidf2k C:\WINDOWS\system32\drivers\cbidf2k.sys
16:35:21.0140 3388 cbidf2k - ok
16:35:21.0140 3388 cd20xrnt - ok
16:35:21.0140 3388 [ C1B486A7658353D33A10CC15211A873B ] Cdaudio C:\WINDOWS\system32\drivers\Cdaudio.sys
16:35:21.0234 3388 Cdaudio - ok
16:35:21.0250 3388 [ C885B02847F5D2FD45A24E219ED93B32 ] Cdfs C:\WINDOWS\system32\drivers\Cdfs.sys
16:35:21.0343 3388 Cdfs - ok
16:35:21.0359 3388 [ 1F4260CC5B42272D71F79E570A27A4FE ] Cdrom C:\WINDOWS\system32\DRIVERS\cdrom.sys
16:35:21.0437 3388 Cdrom - ok
16:35:21.0437 3388 Changer - ok
16:35:21.0453 3388 [ 28E3040D1F1CA2008CD6B29DFEBC9A5E ] CiSvc C:\WINDOWS\system32\cisvc.exe
16:35:21.0546 3388 CiSvc - ok
16:35:21.0562 3388 [ 778A30ED3C134EB7E406AFC407E9997D ] ClipSrv C:\WINDOWS\system32\clipsrv.exe
16:35:21.0656 3388 ClipSrv - ok
16:35:21.0671 3388 [ D87ACAED61E417BBA546CED5E7E36D9C ] clr_optimization_v2.0.50727_32 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
16:35:21.0687 3388 clr_optimization_v2.0.50727_32 - ok
16:35:21.0687 3388 CmdIde - ok
16:35:21.0703 3388 COMSysApp - ok
16:35:21.0703 3388 Cpqarray - ok
16:35:21.0718 3388 [ 611F824E5C703A5A899F84C5F1699E4D ] CryptSvc C:\WINDOWS\System32\cryptsvc.dll
16:35:21.0812 3388 CryptSvc - ok
16:35:21.0812 3388 dac2w2k - ok
16:35:21.0812 3388 dac960nt - ok
16:35:21.0843 3388 [ 3127AFBF2C1ED0AB14A1BBB7AAECB85B ] DcomLaunch C:\WINDOWS\system32\rpcss.dll
16:35:21.0890 3388 DcomLaunch - ok
16:35:21.0906 3388 [ C29A1C9B75BA38FA37F8C44405DEC360 ] Dhcp C:\WINDOWS\System32\dhcpcsvc.dll
16:35:22.0000 3388 Dhcp - ok
16:35:22.0015 3388 [ 044452051F3E02E7963599FC8F4F3E25 ] Disk C:\WINDOWS\system32\DRIVERS\disk.sys
16:35:22.0093 3388 Disk - ok
16:35:22.0109 3388 dmadmin - ok
16:35:22.0125 3388 [ 0DCFC8395A99FECBB1EF771CEC7FE4EA ] dmboot C:\WINDOWS\system32\drivers\dmboot.sys
16:35:22.0265 3388 dmboot - ok
16:35:22.0281 3388 [ 53720AB12B48719D00E327DA470A619A ] dmio C:\WINDOWS\system32\drivers\dmio.sys
16:35:22.0375 3388 dmio - ok
16:35:22.0390 3388 [ E9317282A63CA4D188C0DF5E09C6AC5F ] dmload C:\WINDOWS\system32\drivers\dmload.sys
16:35:22.0484 3388 dmload - ok
16:35:22.0500 3388 [ 25C83FFBBA13B554EB6D59A9B2E2EE78 ] dmserver C:\WINDOWS\System32\dmserver.dll
16:35:22.0578 3388 dmserver - ok
16:35:22.0593 3388 [ 8A208DFCF89792A484E76C40E5F50B45 ] DMusic C:\WINDOWS\system32\drivers\DMusic.sys
16:35:22.0687 3388 DMusic - ok
16:35:22.0718 3388 [ 407F3227AC618FD1CA54B335B083DE07 ] Dnscache C:\WINDOWS\System32\dnsrslvr.dll
16:35:22.0750 3388 Dnscache - ok
16:35:22.0765 3388 [ 676E36C4FF5BCEA1900F44182B9723E6 ] Dot3svc C:\WINDOWS\System32\dot3svc.dll
16:35:22.0859 3388 Dot3svc - ok
16:35:22.0859 3388 dpti2o - ok
16:35:22.0875 3388 [ 8F5FCFF8E8848AFAC920905FBD9D33C8 ] drmkaud C:\WINDOWS\system32\drivers\drmkaud.sys
16:35:22.0968 3388 drmkaud - ok
16:35:22.0984 3388 [ 4E4F2FDDAB0A0736D7671134DCCE91FB ] EapHost C:\WINDOWS\System32\eapsvc.dll
16:35:23.0078 3388 EapHost - ok
16:35:23.0093 3388 [ 877C18558D70587AA7823A1A308AC96B ] ERSvc C:\WINDOWS\System32\ersvc.dll
16:35:23.0171 3388 ERSvc - ok
16:35:23.0203 3388 [ A3EDBE9053889FB24AB22492472B39DC ] Eventlog C:\WINDOWS\system32\services.exe
16:35:23.0218 3388 Eventlog - ok
16:35:23.0250 3388 [ AF4F6B5739D18CA7972AB53E091CBC74 ] EventSystem C:\WINDOWS\system32\es.dll
16:35:23.0281 3388 EventSystem - ok
16:35:23.0296 3388 [ 38D332A6D56AF32635675F132548343E ] Fastfat C:\WINDOWS\system32\drivers\Fastfat.sys
16:35:23.0390 3388 Fastfat - ok
16:35:23.0406 3388 [ 2DB7D303C36DDD055215052F118E8E75 ] FastUserSwitchingCompatibility C:\WINDOWS\System32\shsvcs.dll
16:35:23.0437 3388 FastUserSwitchingCompatibility - ok
16:35:23.0453 3388 [ 92CDD60B6730B9F50F6A1A0C1F8CDC81 ] Fdc C:\WINDOWS\system32\drivers\Fdc.sys
16:35:23.0531 3388 Fdc - ok
16:35:23.0546 3388 [ B0678A548587C5F1967B0D70BACAD6C1 ] Fips C:\WINDOWS\system32\drivers\Fips.sys
16:35:23.0625 3388 Fips - ok
16:35:23.0640 3388 [ 9D27E7B80BFCDF1CDD9B555862D5E7F0 ] Flpydisk C:\WINDOWS\system32\drivers\Flpydisk.sys
16:35:23.0734 3388 Flpydisk - ok
16:35:23.0765 3388 [ B2CF4B0786F8212CB92ED2B50C6DB6B0 ] FltMgr C:\WINDOWS\system32\DRIVERS\fltMgr.sys
16:35:23.0843 3388 FltMgr - ok
16:35:23.0875 3388 [ 8BA7C024070F2B7FDD98ED8A4BA41789 ] FontCache3.0.0.0 C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
16:35:23.0890 3388 FontCache3.0.0.0 - ok
16:35:23.0906 3388 [ 3E1E2BD4F39B0E2B7DC4F4D2BCC2779A ] Fs_Rec C:\WINDOWS\system32\drivers\Fs_Rec.sys
16:35:24.0000 3388 Fs_Rec - ok
16:35:24.0015 3388 [ 8F1955CE42E1484714B542F341647778 ] Ftdisk C:\WINDOWS\system32\DRIVERS\ftdisk.sys
16:35:24.0109 3388 Ftdisk - ok
16:35:24.0125 3388 [ 0A02C63C8B144BD8C86B103DEE7C86A2 ] Gpc C:\WINDOWS\system32\DRIVERS\msgpc.sys
16:35:24.0218 3388 Gpc - ok
16:35:24.0281 3388 [ 506708142BC63DABA64F2D3AD1DCD5BF ] gupdate C:\Programme\Google\Update\GoogleUpdate.exe
16:35:24.0328 3388 gupdate - ok
16:35:24.0343 3388 [ 506708142BC63DABA64F2D3AD1DCD5BF ] gupdatem C:\Programme\Google\Update\GoogleUpdate.exe
16:35:24.0359 3388 gupdatem - ok
16:35:24.0375 3388 [ 573C7D0A32852B48F3058CFD8026F511 ] HDAudBus C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
16:35:24.0468 3388 HDAudBus - ok
16:35:24.0515 3388 [ CB66BF85BF599BEFD6C6A57C2E20357F ] helpsvc C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll
16:35:24.0609 3388 helpsvc - ok
16:35:24.0609 3388 HidServ - ok
16:35:24.0625 3388 [ ED29F14101523A6E0E808107405D452C ] hkmsvc C:\WINDOWS\System32\kmsvc.dll
16:35:24.0718 3388 hkmsvc - ok
16:35:24.0718 3388 hpn - ok
16:35:24.0765 3388 [ F99342BAF988B928312AF2F0AA56171A ] HRService C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
16:35:24.0781 3388 HRService - ok
16:35:24.0812 3388 [ F80A415EF82CD06FFAF0D971528EAD38 ] HTTP C:\WINDOWS\system32\Drivers\HTTP.sys
16:35:24.0843 3388 HTTP - ok
16:35:24.0859 3388 [ 9E4ADB854CEBCFB81A4B36718FEECD16 ] HTTPFilter C:\WINDOWS\System32\w3ssl.dll
16:35:24.0953 3388 HTTPFilter - ok
16:35:24.0953 3388 i2omgmt - ok
16:35:24.0953 3388 i2omp - ok
16:35:24.0984 3388 [ E283B97CFBEB86C1D86BAED5F7846A92 ] i8042prt C:\WINDOWS\system32\DRIVERS\i8042prt.sys
16:35:25.0078 3388 i8042prt - ok
16:35:25.0218 3388 [ 48846B31BE5A4FA662CCFDE7A1BA86B9 ] ialm C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
16:35:25.0484 3388 ialm - ok
16:35:25.0531 3388 [ DAF66902F08796F9C694901660E5A64A ] IDriverT C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
16:35:25.0531 3388 IDriverT ( UnsignedFile.Multi.Generic ) - warning
16:35:25.0531 3388 IDriverT - detected UnsignedFile.Multi.Generic (1)
16:35:25.0578 3388 [ C01AC32DC5C03076CFB852CB5DA5229C ] idsvc C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
16:35:25.0625 3388 idsvc - ok
16:35:25.0703 3388 [ 36381DFBC8DFFF63B37B0FAA22A8E497 ] igfx C:\WINDOWS\system32\DRIVERS\igdkmd32.sys
16:35:25.0796 3388 igfx ( UnsignedFile.Multi.Generic ) - warning
16:35:25.0796 3388 igfx - detected UnsignedFile.Multi.Generic (1)
16:35:25.0843 3388 [ 083A052659F5310DD8B6A6CB05EDCF8E ] Imapi C:\WINDOWS\system32\DRIVERS\imapi.sys
16:35:25.0937 3388 Imapi - ok
16:35:25.0937 3388 ini910u - ok
16:35:26.0078 3388 [ 0CE2EAB2FFB33B8B0EF2B8E0D8B3F026 ] IntcAzAudAddService C:\WINDOWS\system32\drivers\RtkHDAud.sys
16:35:26.0312 3388 IntcAzAudAddService - ok
16:35:26.0312 3388 IntelIde - ok
16:35:26.0343 3388 [ 4C7D2750158ED6E7AD642D97BFFAE351 ] intelppm C:\WINDOWS\system32\DRIVERS\intelppm.sys
16:35:26.0437 3388 intelppm - ok
16:35:26.0453 3388 [ 3BB22519A194418D5FEC05D800A19AD0 ] Ip6Fw C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
16:35:26.0531 3388 Ip6Fw - ok
16:35:26.0546 3388 [ 731F22BA402EE4B62748ADAF6363C182 ] IpFilterDriver C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
16:35:26.0656 3388 IpFilterDriver - ok
16:35:26.0671 3388 [ B87AB476DCF76E72010632B5550955F5 ] IpInIp C:\WINDOWS\system32\DRIVERS\ipinip.sys
16:35:26.0750 3388 IpInIp - ok
16:35:26.0765 3388 [ CC748EA12C6EFFDE940EE98098BF96BB ] IpNat C:\WINDOWS\system32\DRIVERS\ipnat.sys
16:35:26.0859 3388 IpNat - ok
16:35:26.0875 3388 [ 23C74D75E36E7158768DD63D92789A91 ] IPSec C:\WINDOWS\system32\DRIVERS\ipsec.sys
16:35:26.0968 3388 IPSec - ok
16:35:26.0984 3388 [ C93C9FF7B04D772627A3646D89F7BF89 ] IRENUM C:\WINDOWS\system32\DRIVERS\irenum.sys
16:35:27.0031 3388 IRENUM - ok
16:35:27.0046 3388 [ 6DFB88F64135C525433E87648BDA30DE ] isapnp C:\WINDOWS\system32\DRIVERS\isapnp.sys
16:35:27.0156 3388 isapnp - ok
16:35:27.0218 3388 [ A38441ED570F190CC041A7BE49488FA7 ] JavaQuickStarterService C:\Programme\Java\jre6\bin\jqs.exe
16:35:27.0234 3388 JavaQuickStarterService - ok
16:35:27.0250 3388 [ 1704D8C4C8807B889E43C649B478A452 ] Kbdclass C:\WINDOWS\system32\DRIVERS\kbdclass.sys
16:35:27.0343 3388 Kbdclass - ok
16:35:27.0375 3388 [ 692BCF44383D056AED41B045A323D378 ] kmixer C:\WINDOWS\system32\drivers\kmixer.sys
16:35:27.0468 3388 kmixer - ok
16:35:27.0500 3388 [ B467646C54CC746128904E1654C750C1 ] KSecDD C:\WINDOWS\system32\drivers\KSecDD.sys
16:35:27.0515 3388 KSecDD - ok
16:35:27.0546 3388 [ 2BBDCB79900990F0716DFCB714E72DE7 ] LanmanServer C:\WINDOWS\System32\srvsvc.dll
16:35:27.0578 3388 LanmanServer - ok
16:35:27.0609 3388 [ 1869B14B06B44B44AF70548E1EA3303F ] lanmanworkstation C:\WINDOWS\System32\wkssvc.dll
16:35:27.0625 3388 lanmanworkstation - ok
16:35:27.0640 3388 lbrtfdc - ok
16:35:27.0656 3388 [ 636714B7D43C8D0C80449123FD266920 ] LmHosts C:\WINDOWS\System32\lmhsvc.dll
16:35:27.0750 3388 LmHosts - ok
16:35:27.0765 3388 [ 629CABB0421668C9D3D402A3C3D77E14 ] MBAMProtector C:\WINDOWS\system32\drivers\mbam.sys
16:35:28.0156 3388 MBAMProtector ( UnsignedFile.Multi.Generic ) - warning
16:35:28.0156 3388 MBAMProtector - detected UnsignedFile.Multi.Generic (1)
16:35:28.0203 3388 [ 1ACAA67676E9E7BDA5E0C41B6E0DECAF ] MBAMScheduler C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
16:35:28.0218 3388 MBAMScheduler ( UnsignedFile.Multi.Generic ) - warning
16:35:28.0218 3388 MBAMScheduler - detected UnsignedFile.Multi.Generic (1)
16:35:28.0250 3388 [ 916B8954AC3E06DC9E898AFFB41F3FB6 ] MBAMService C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
16:35:28.0328 3388 MBAMService ( UnsignedFile.Multi.Generic ) - warning
16:35:28.0328 3388 MBAMService - detected UnsignedFile.Multi.Generic (1)
16:35:28.0390 3388 [ DDCC236009C707761D60E5C76D639176 ] McComponentHostService C:\Programme\McAfee Security Scan\3.0.318\McCHSvc.exe
16:35:28.0406 3388 McComponentHostService - ok
16:35:28.0421 3388 [ B7550A7107281D170CE85524B1488C98 ] Messenger C:\WINDOWS\System32\msgsvc.dll
16:35:28.0500 3388 Messenger - ok
16:35:28.0546 3388 [ FAFE367D032ED82E9332B4C741A20216 ] Microsoft Office Groove Audit Service C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe
16:35:28.0562 3388 Microsoft Office Groove Audit Service - ok
16:35:28.0578 3388 [ 6FB74EBD4EC57A6F1781DE3852CC3362 ] Modem C:\WINDOWS\system32\drivers\Modem.sys
16:35:28.0671 3388 Modem - ok
16:35:28.0718 3388 [ 9FA7207D1B1ADEAD88AE8EED9CDBBAA5 ] Monfilt C:\WINDOWS\system32\drivers\Monfilt.sys
16:35:28.0812 3388 Monfilt - ok
16:35:28.0828 3388 [ B24CE8005DEAB254C0251E15CB71D802 ] Mouclass C:\WINDOWS\system32\DRIVERS\mouclass.sys
16:35:28.0906 3388 Mouclass - ok
16:35:28.0921 3388 [ A80B9A0BAD1B73637DBCBBA7DF72D3FD ] MountMgr C:\WINDOWS\system32\drivers\MountMgr.sys
16:35:29.0015 3388 MountMgr - ok
16:35:29.0015 3388 mraid35x - ok
16:35:29.0046 3388 [ 11D42BB6206F33FBB3BA0288D3EF81BD ] MRxDAV C:\WINDOWS\system32\DRIVERS\mrxdav.sys
16:35:29.0125 3388 MRxDAV - ok
16:35:29.0156 3388 [ 7D304A5EB4344EBEEAB53A2FE3FFB9F0 ] MRxSmb C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
16:35:29.0203 3388 MRxSmb - ok
16:35:29.0234 3388 [ 35A031AF38C55F92D28AA03EE9F12CC9 ] MSDTC C:\WINDOWS\system32\msdtc.exe
16:35:29.0328 3388 MSDTC - ok
16:35:29.0343 3388 [ C941EA2454BA8350021D774DAF0F1027 ] Msfs C:\WINDOWS\system32\drivers\Msfs.sys
16:35:29.0421 3388 Msfs - ok
16:35:29.0421 3388 MSIServer - ok
16:35:29.0437 3388 [ D1575E71568F4D9E14CA56B7B0453BF1 ] MSKSSRV C:\WINDOWS\system32\drivers\MSKSSRV.sys
16:35:29.0515 3388 MSKSSRV - ok
16:35:29.0531 3388 [ 325BB26842FC7CCC1FCCE2C457317F3E ] MSPCLOCK C:\WINDOWS\system32\drivers\MSPCLOCK.sys
16:35:29.0609 3388 MSPCLOCK - ok
16:35:29.0625 3388 [ BAD59648BA099DA4A17680B39730CB3D ] MSPQM C:\WINDOWS\system32\drivers\MSPQM.sys
16:35:29.0718 3388 MSPQM - ok
16:35:29.0750 3388 [ AF5F4F3F14A8EA2C26DE30F7A1E17136 ] mssmbios C:\WINDOWS\system32\DRIVERS\mssmbios.sys
16:35:29.0828 3388 mssmbios - ok
16:35:29.0843 3388 [ DE6A75F5C270E756C5508D94B6CF68F5 ] Mup C:\WINDOWS\system32\drivers\Mup.sys
16:35:29.0890 3388 Mup - ok
16:35:29.0906 3388 [ 46BB15AE2AC7D025D6D2567B876817BD ] napagent C:\WINDOWS\System32\qagentrt.dll
16:35:30.0000 3388 napagent - ok
16:35:30.0046 3388 [ 60EA4D9D965194179820BC8B8CEBBFA2 ] ncpclcfg C:\Programme\LANCOM\Advanced VPN Client\ncpclcfg.exe
16:35:30.0062 3388 ncpclcfg - ok
16:35:30.0078 3388 [ AEB9BC97FE8B7DB452291205AAA21BAC ] NcpFilt C:\WINDOWS\system32\DRIVERS\ncpvaxp.sys
16:35:30.0093 3388 NcpFilt - ok
16:35:30.0109 3388 [ AEB9BC97FE8B7DB452291205AAA21BAC ] NcpFiltMP C:\WINDOWS\system32\DRIVERS\ncpvaxp.sys
16:35:30.0125 3388 NcpFiltMP - ok
16:35:30.0156 3388 [ BF36BE6FEED2EFCFB91C9BECE3274CE6 ] ncprwsnt C:\Programme\LANCOM\Advanced VPN Client\ncprwsnt.exe
16:35:30.0218 3388 ncprwsnt - ok
16:35:30.0250 3388 [ 2297DFFA323B0EF542F0EC623276E94C ] NcpSec C:\Programme\LANCOM\Advanced VPN Client\NCPSEC.EXE
16:35:30.0265 3388 NcpSec ( UnsignedFile.Multi.Generic ) - warning
16:35:30.0265 3388 NcpSec - detected UnsignedFile.Multi.Generic (1)
16:35:30.0281 3388 [ AEB9BC97FE8B7DB452291205AAA21BAC ] ncpvaxp C:\WINDOWS\system32\DRIVERS\ncpvaxp.sys
16:35:30.0296 3388 ncpvaxp - ok
16:35:30.0328 3388 [ 1DF7F42665C94B825322FAE71721130D ] NDIS C:\WINDOWS\system32\drivers\NDIS.sys
16:35:30.0406 3388 NDIS - ok
16:35:30.0421 3388 [ 0109C4F3850DFBAB279542515386AE22 ] NdisTapi C:\WINDOWS\system32\DRIVERS\ndistapi.sys
16:35:30.0468 3388 NdisTapi - ok
16:35:30.0484 3388 [ F927A4434C5028758A842943EF1A3849 ] Ndisuio C:\WINDOWS\system32\DRIVERS\ndisuio.sys
16:35:30.0562 3388 Ndisuio - ok
16:35:30.0578 3388 [ EDC1531A49C80614B2CFDA43CA8659AB ] NdisWan C:\WINDOWS\system32\DRIVERS\ndiswan.sys
16:35:30.0671 3388 NdisWan - ok
16:35:30.0687 3388 [ 9282BD12DFB069D3889EB3FCC1000A9B ] NDProxy C:\WINDOWS\system32\drivers\NDProxy.sys
16:35:30.0718 3388 NDProxy - ok
16:35:30.0734 3388 [ 5D81CF9A2F1A3A756B66CF684911CDF0 ] NetBIOS C:\WINDOWS\system32\DRIVERS\netbios.sys
16:35:30.0812 3388 NetBIOS - ok
16:35:30.0828 3388 [ 74B2B2F5BEA5E9A3DC021D685551BD3D ] NetBT C:\WINDOWS\system32\DRIVERS\netbt.sys
16:35:30.0921 3388 NetBT - ok
16:35:30.0937 3388 [ 8ACE4251BFFD09CE75679FE940E996CC ] NetDDE C:\WINDOWS\system32\netdde.exe
16:35:31.0046 3388 NetDDE - ok
16:35:31.0046 3388 [ 8ACE4251BFFD09CE75679FE940E996CC ] NetDDEdsdm C:\WINDOWS\system32\netdde.exe
16:35:31.0125 3388 NetDDEdsdm - ok
16:35:31.0156 3388 [ AFB8261B56CBA0D86AEB6DF682AF9785 ] Netlogon C:\WINDOWS\system32\lsass.exe
16:35:31.0234 3388 Netlogon - ok
16:35:31.0250 3388 [ E6D88F1F6745BF00B57E7855A2AB696C ] Netman C:\WINDOWS\System32\netman.dll
16:35:31.0343 3388 Netman - ok
16:35:31.0375 3388 [ D34612C5D02D026535B3095D620626AE ] NetTcpPortSharing C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
16:35:31.0390 3388 NetTcpPortSharing - ok
16:35:31.0406 3388 [ F1B67B6B0751AE0E6E964B02821206A3 ] Nla C:\WINDOWS\System32\mswsock.dll
16:35:31.0437 3388 Nla - ok
16:35:31.0453 3388 [ 3182D64AE053D6FB034F44B6DEF8034A ] Npfs C:\WINDOWS\system32\drivers\Npfs.sys
16:35:31.0531 3388 Npfs - ok
16:35:31.0546 3388 [ 78A08DD6A8D65E697C18E1DB01C5CDCA ] Ntfs C:\WINDOWS\system32\drivers\Ntfs.sys
16:35:31.0656 3388 Ntfs - ok
16:35:31.0671 3388 [ AFB8261B56CBA0D86AEB6DF682AF9785 ] NtLmSsp C:\WINDOWS\system32\lsass.exe
16:35:31.0750 3388 NtLmSsp - ok
16:35:31.0765 3388 [ 56AF4064996FA5BAC9C449B1514B4770 ] NtmsSvc C:\WINDOWS\system32\ntmssvc.dll
16:35:31.0875 3388 NtmsSvc - ok
16:35:31.0906 3388 [ 73C1E1F395918BC2C6DD67AF7591A3AD ] Null C:\WINDOWS\system32\drivers\Null.sys
16:35:31.0984 3388 Null - ok
16:35:32.0000 3388 [ B305F3FAD35083837EF46A0BBCE2FC57 ] NwlnkFlt C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
16:35:32.0093 3388 NwlnkFlt - ok
16:35:32.0093 3388 [ C99B3415198D1AAB7227F2C88FD664B9 ] NwlnkFwd C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
16:35:32.0187 3388 NwlnkFwd - ok
16:35:32.0265 3388 [ 84DE1DD996B48B05ACE31AD015FA108A ] odserv C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
16:35:32.0281 3388 odserv - ok
16:35:32.0296 3388 [ 5A432A042DAE460ABE7199B758E8606C ] ose C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
16:35:32.0312 3388 ose - ok
16:35:32.0343 3388 [ F84785660305B9B903FB3BCA8BA29837 ] Parport C:\WINDOWS\system32\DRIVERS\parport.sys
16:35:32.0421 3388 Parport - ok
16:35:32.0437 3388 [ BEB3BA25197665D82EC7065B724171C6 ] PartMgr C:\WINDOWS\system32\drivers\PartMgr.sys
16:35:32.0531 3388 PartMgr - ok
16:35:32.0546 3388 [ C2BF987829099A3EAA2CA6A0A90ECB4F ] ParVdm C:\WINDOWS\system32\drivers\ParVdm.sys
16:35:32.0640 3388 ParVdm - ok
16:35:32.0656 3388 [ 387E8DEDC343AA2D1EFBC30580273ACD ] PCI C:\WINDOWS\system32\DRIVERS\pci.sys
16:35:32.0734 3388 PCI - ok
16:35:32.0750 3388 PCIDump - ok
16:35:32.0750 3388 [ 59BA86D9A61CBCF4DF8E598C331F5B82 ] PCIIde C:\WINDOWS\system32\DRIVERS\pciide.sys
16:35:32.0843 3388 PCIIde - ok
16:35:32.0859 3388 [ A2A966B77D61847D61A3051DF87C8C97 ] Pcmcia C:\WINDOWS\system32\drivers\Pcmcia.sys
16:35:32.0937 3388 Pcmcia - ok
16:35:32.0953 3388 PDCOMP - ok
16:35:32.0953 3388 PDFRAME - ok
16:35:32.0953 3388 PDRELI - ok
16:35:32.0968 3388 PDRFRAME - ok
16:35:32.0968 3388 perc2 - ok
16:35:32.0968 3388 perc2hib - ok
16:35:33.0000 3388 [ A3EDBE9053889FB24AB22492472B39DC ] PlugPlay C:\WINDOWS\system32\services.exe
16:35:33.0015 3388 PlugPlay - ok
16:35:33.0031 3388 [ AFB8261B56CBA0D86AEB6DF682AF9785 ] PolicyAgent C:\WINDOWS\system32\lsass.exe
16:35:33.0109 3388 PolicyAgent - ok
16:35:33.0125 3388 [ EFEEC01B1D3CF84F16DDD24D9D9D8F99 ] PptpMiniport C:\WINDOWS\system32\DRIVERS\raspptp.sys
16:35:33.0218 3388 PptpMiniport - ok
16:35:33.0234 3388 [ AFB8261B56CBA0D86AEB6DF682AF9785 ] ProtectedStorage C:\WINDOWS\system32\lsass.exe
16:35:33.0312 3388 ProtectedStorage - ok
16:35:33.0328 3388 [ 09298EC810B07E5D582CB3A3F9255424 ] PSched C:\WINDOWS\system32\DRIVERS\psched.sys
16:35:33.0421 3388 PSched - ok
16:35:33.0437 3388 [ 80D317BD1C3DBC5D4FE7B1678C60CADD ] Ptilink C:\WINDOWS\system32\DRIVERS\ptilink.sys
16:35:33.0531 3388 Ptilink - ok
16:35:33.0531 3388 ql1080 - ok
16:35:33.0531 3388 Ql10wnt - ok
16:35:33.0546 3388 ql12160 - ok
16:35:33.0546 3388 ql1240 - ok
16:35:33.0546 3388 ql1280 - ok
16:35:33.0562 3388 [ FE0D99D6F31E4FAD8159F690D68DED9C ] RasAcd C:\WINDOWS\system32\DRIVERS\rasacd.sys
16:35:33.0640 3388 RasAcd - ok
16:35:33.0656 3388 [ F5BA6CACCDB66C8F048E867563203246 ] RasAuto C:\WINDOWS\System32\rasauto.dll
16:35:33.0750 3388 RasAuto - ok
16:35:33.0765 3388 [ 11B4A627BC9614B885C4969BFA5FF8A6 ] Rasl2tp C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
16:35:33.0859 3388 Rasl2tp - ok
16:35:33.0875 3388 [ F9A7B66EA345726EDB5862A46B1ECCD5 ] RasMan C:\WINDOWS\System32\rasmans.dll
16:35:33.0968 3388 RasMan - ok
16:35:33.0968 3388 [ 5BC962F2654137C9909C3D4603587DEE ] RasPppoe C:\WINDOWS\system32\DRIVERS\raspppoe.sys
16:35:34.0062 3388 RasPppoe - ok
16:35:34.0093 3388 [ FDBB1D60066FCFBB7452FD8F9829B242 ] Raspti C:\WINDOWS\system32\DRIVERS\raspti.sys
16:35:34.0187 3388 Raspti - ok
16:35:34.0203 3388 [ 7AD224AD1A1437FE28D89CF22B17780A ] Rdbss C:\WINDOWS\system32\DRIVERS\rdbss.sys
16:35:34.0296 3388 Rdbss - ok
16:35:34.0312 3388 [ 4912D5B403614CE99C28420F75353332 ] RDPCDD C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
16:35:34.0406 3388 RDPCDD - ok
16:35:34.0437 3388 [ 15CABD0F7C00C47C70124907916AF3F1 ] rdpdr C:\WINDOWS\system32\DRIVERS\rdpdr.sys
16:35:34.0531 3388 rdpdr - ok
16:35:34.0562 3388 [ 43AF5212BD8FB5BA6EED9754358BD8F7 ] RDPWD C:\WINDOWS\system32\drivers\RDPWD.sys
16:35:34.0593 3388 RDPWD - ok
16:35:34.0625 3388 [ 263AF18AF0F3DB99F574C95F284CCEC9 ] RDSessMgr C:\WINDOWS\system32\sessmgr.exe
16:35:34.0718 3388 RDSessMgr - ok
16:35:34.0750 3388 [ ED761D453856F795A7FE056E42C36365 ] redbook C:\WINDOWS\system32\DRIVERS\redbook.sys
16:35:34.0828 3388 redbook - ok
16:35:34.0859 3388 [ 0E97EC96D6942CEEC2D188CC2EB69A01 ] RemoteAccess C:\WINDOWS\System32\mprdim.dll
16:35:34.0953 3388 RemoteAccess - ok
16:35:34.0968 3388 [ E4CD1F3D84E1C2CA0B8CF7501E201593 ] RemoteRegistry C:\WINDOWS\system32\regsvc.dll
16:35:35.0062 3388 RemoteRegistry - ok
16:35:35.0078 3388 [ 2A02E21867497DF20B8FC95631395169 ] RpcLocator C:\WINDOWS\system32\locator.exe
16:35:35.0171 3388 RpcLocator - ok
16:35:35.0187 3388 [ 3127AFBF2C1ED0AB14A1BBB7AAECB85B ] RpcSs C:\WINDOWS\System32\rpcss.dll
16:35:35.0203 3388 RpcSs - ok
16:35:35.0250 3388 [ 4BDD71B4B521521499DFD14735C4F398 ] RSVP C:\WINDOWS\system32\rsvp.exe
16:35:35.0328 3388 RSVP - ok
16:35:35.0343 3388 [ AFB8261B56CBA0D86AEB6DF682AF9785 ] SamSs C:\WINDOWS\system32\lsass.exe
16:35:35.0437 3388 SamSs - ok
16:35:35.0484 3388 [ 26A05F8833938BD989199E8681B53B86 ] SAVAdminService c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
16:35:35.0500 3388 SAVAdminService - ok
16:35:35.0531 3388 [ 8BCF84AEC77AEB4567116502D105162F ] SAVOnAccessControl C:\WINDOWS\system32\DRIVERS\savonaccesscontrol.sys
16:35:35.0562 3388 SAVOnAccessControl - ok
16:35:35.0578 3388 [ 8DFE54F1965C3B49C599CBB186C1EE8F ] SAVOnAccessFilter C:\WINDOWS\system32\DRIVERS\savonaccessfilter.sys
16:35:35.0593 3388 SAVOnAccessFilter - ok
16:35:35.0609 3388 [ B8A272D4E91EFB366E16BEA0FA42D7EE ] SAVService c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
16:35:35.0625 3388 SAVService - ok
16:35:35.0656 3388 [ DCEC079FAD95D36C8DD5CB6D779DFE32 ] SCardSvr C:\WINDOWS\System32\SCardSvr.exe
16:35:35.0750 3388 SCardSvr - ok
16:35:35.0781 3388 [ A050194A44D7FA8D7186ED2F4E8367AE ] Schedule C:\WINDOWS\system32\schedsvc.dll
16:35:35.0875 3388 Schedule - ok
16:35:35.0890 3388 [ 4F21774E1259A546B992D9EAACDFD778 ] sdcfilter C:\WINDOWS\system32\DRIVERS\sdcfilter.sys
16:35:35.0906 3388 sdcfilter - ok
16:35:35.0937 3388 [ 90A3935D05B494A5A39D37E71F09A677 ] Secdrv C:\WINDOWS\system32\DRIVERS\secdrv.sys
16:35:35.0968 3388 Secdrv - ok
16:35:35.0984 3388 [ BEE4CFD1D48C23B44CF4B974B0B79B2B ] seclogon C:\WINDOWS\System32\seclogon.dll
16:35:36.0062 3388 seclogon - ok
16:35:36.0078 3388 [ 2AAC9B6ED9EDDFFB721D6452E34D67E3 ] SENS C:\WINDOWS\system32\sens.dll
16:35:36.0156 3388 SENS - ok
16:35:36.0171 3388 [ 0F29512CCD6BEAD730039FB4BD2C85CE ] serenum C:\WINDOWS\system32\DRIVERS\serenum.sys
16:35:36.0265 3388 serenum - ok
16:35:36.0265 3388 [ CF24EB4F0412C82BCD1F4F35A025E31D ] Serial C:\WINDOWS\system32\DRIVERS\serial.sys
16:35:36.0359 3388 Serial - ok
16:35:36.0375 3388 [ 8E6B8C671615D126FDC553D1E2DE5562 ] Sfloppy C:\WINDOWS\system32\drivers\Sfloppy.sys
16:35:36.0468 3388 Sfloppy - ok
16:35:36.0484 3388 [ CAD058D5F8B889A87CA3EB3CF624DCEF ] SharedAccess C:\WINDOWS\System32\ipnathlp.dll
16:35:36.0578 3388 SharedAccess - ok
16:35:36.0593 3388 [ 2DB7D303C36DDD055215052F118E8E75 ] ShellHWDetection C:\WINDOWS\System32\shsvcs.dll
16:35:36.0609 3388 ShellHWDetection - ok
16:35:36.0609 3388 Simbad - ok
16:35:36.0625 3388 [ E407A8EEA2FD4BF560C05C0EBF1793B3 ] SKMScan C:\WINDOWS\system32\DRIVERS\skmscan.sys
16:35:36.0640 3388 SKMScan - ok
16:35:36.0687 3388 [ 8A12AB5DE877B8F97D5EE70E16A5C9B2 ] Sophos AutoUpdate Service c:\Programme\Sophos\AutoUpdate\ALsvc.exe
16:35:36.0703 3388 Sophos AutoUpdate Service - ok
16:35:36.0750 3388 [ BD03374253F79CE7A716A870DC85BD84 ] Sophos Web Control Service c:\Programme\Sophos\Sophos Anti-Virus\Web Control\swc_service.exe
16:35:36.0765 3388 Sophos Web Control Service - ok
16:35:36.0781 3388 [ 3BDF94E0827D13E44249A646F6C0EB7C ] SophosBootDriver C:\WINDOWS\system32\DRIVERS\SophosBootDriver.sys
16:35:36.0812 3388 SophosBootDriver - ok
16:35:36.0812 3388 Sparrow - ok
16:35:36.0828 3388 [ AB8B92451ECB048A4D1DE7C3FFCB4A9F ] splitter C:\WINDOWS\system32\drivers\splitter.sys
16:35:36.0921 3388 splitter - ok
16:35:36.0953 3388 [ 60784F891563FB1B767F70117FC2428F ] Spooler C:\WINDOWS\system32\spoolsv.exe
16:35:36.0984 3388 Spooler - ok
16:35:37.0015 3388 [ CDDDEC541BC3C96F91ECB48759673505 ] sptd C:\WINDOWS\system32\Drivers\sptd.sys
16:35:37.0015 3388 Suspicious file (NoAccess): C:\WINDOWS\system32\Drivers\sptd.sys. md5: CDDDEC541BC3C96F91ECB48759673505
16:35:37.0015 3388 sptd ( LockedFile.Multi.Generic ) - warning
16:35:37.0015 3388 sptd - detected LockedFile.Multi.Generic (1)
16:35:37.0015 3388 [ 50FA898F8C032796D3B1B9951BB5A90F ] Sr C:\WINDOWS\system32\DRIVERS\sr.sys
16:35:37.0062 3388 Sr - ok
16:35:37.0093 3388 [ FE77A85495065F3AD59C5C65B6C54182 ] srservice C:\WINDOWS\system32\srsvc.dll
16:35:37.0140 3388 srservice - ok
16:35:37.0171 3388 [ 47DDFC2F003F7F9F0592C6874962A2E7 ] Srv C:\WINDOWS\system32\DRIVERS\srv.sys
16:35:37.0203 3388 Srv - ok
16:35:37.0234 3388 [ 4DF5B05DFAEC29E13E1ED6F6EE12C500 ] SSDPSRV C:\WINDOWS\System32\ssdpsrv.dll
16:35:37.0296 3388 SSDPSRV - ok
16:35:37.0312 3388 [ BC2C5985611C5356B24AEB370953DED9 ] stisvc C:\WINDOWS\system32\wiaservc.dll
16:35:37.0406 3388 stisvc - ok
16:35:37.0437 3388 [ 3941D127AEF12E93ADDF6FE6EE027E0F ] swenum C:\WINDOWS\system32\DRIVERS\swenum.sys
16:35:37.0515 3388 swenum - ok
16:35:37.0609 3388 [ B3379659D773BFDD3B631F5FEE2FF2B3 ] swi_service c:\Programme\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe
16:35:37.0781 3388 swi_service - ok
16:35:37.0890 3388 [ BD8684D96EB9436EB145A6E03D693A45 ] swi_update C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sophos\Web Intelligence\swi_update.exe
16:35:37.0953 3388 swi_update - ok
16:35:37.0968 3388 [ 8CE882BCC6CF8A62F2B2323D95CB3D01 ] swmidi C:\WINDOWS\system32\drivers\swmidi.sys
16:35:38.0062 3388 swmidi - ok
16:35:38.0078 3388 SwPrv - ok
16:35:38.0078 3388 symc810 - ok
16:35:38.0078 3388 symc8xx - ok
16:35:38.0093 3388 sym_hi - ok
16:35:38.0093 3388 sym_u3 - ok
16:35:38.0109 3388 [ 8B83F3ED0F1688B4958F77CD6D2BF290 ] sysaudio C:\WINDOWS\system32\drivers\sysaudio.sys
16:35:38.0187 3388 sysaudio - ok
16:35:38.0203 3388 [ 2903FFFA2523926D6219428040DCE6B9 ] SysmonLog C:\WINDOWS\system32\smlogsvc.exe
16:35:38.0296 3388 SysmonLog - ok
16:35:38.0328 3388 [ 05903CAC4B98908D55EA5774775B382E ] TapiSrv C:\WINDOWS\System32\tapisrv.dll
16:35:38.0437 3388 TapiSrv - ok
16:35:38.0468 3388 [ 9AEFA14BD6B182D61E3119FA5F436D3D ] Tcpip C:\WINDOWS\system32\DRIVERS\tcpip.sys
16:35:38.0484 3388 Tcpip - ok
16:35:38.0500 3388 [ 6471A66807F5E104E4885F5B67349397 ] TDPIPE C:\WINDOWS\system32\drivers\TDPIPE.sys
16:35:38.0593 3388 TDPIPE - ok
16:35:38.0593 3388 [ C56B6D0402371CF3700EB322EF3AAF61 ] TDTCP C:\WINDOWS\system32\drivers\TDTCP.sys
16:35:38.0687 3388 TDTCP - ok
16:35:38.0703 3388 [ 88155247177638048422893737429D9E ] TermDD C:\WINDOWS\system32\DRIVERS\termdd.sys
16:35:38.0796 3388 TermDD - ok
16:35:38.0828 3388 [ B7DE02C863D8F5A005A7BF375375A6A4 ] TermService C:\WINDOWS\System32\termsrv.dll
16:35:38.0937 3388 TermService - ok
16:35:38.0937 3388 [ 2DB7D303C36DDD055215052F118E8E75 ] Themes C:\WINDOWS\System32\shsvcs.dll
16:35:38.0953 3388 Themes - ok
16:35:38.0968 3388 [ 03681A1CE77F51586903869A5AB1DEAB ] TlntSvr C:\WINDOWS\system32\tlntsvr.exe
16:35:39.0015 3388 TlntSvr - ok
16:35:39.0015 3388 TosIde - ok
16:35:39.0031 3388 [ 626504572B175867F30F3215C04B3E2F ] TrkWks C:\WINDOWS\system32\trkwks.dll
16:35:39.0109 3388 TrkWks - ok
16:35:39.0171 3388 [ 7D133CB3A08BDFAE656A6580D4A6ED14 ] TuneUp.UtilitiesSvc C:\Programme\TuneUp Utilities 2013\TuneUpUtilitiesService32.exe
16:35:39.0250 3388 TuneUp.UtilitiesSvc - ok
16:35:39.0265 3388 [ 94C4CD2D19B8C4137A46261F229FEC24 ] TuneUpUtilitiesDrv C:\Programme\TuneUp Utilities 2013\TuneUpUtilitiesDriver32.sys
16:35:39.0281 3388 TuneUpUtilitiesDrv - ok
16:35:39.0296 3388 [ 5787B80C2E3C5E2F56C2A233D91FA2C9 ] Udfs C:\WINDOWS\system32\drivers\Udfs.sys
16:35:39.0390 3388 Udfs - ok
16:35:39.0390 3388 ultra - ok
16:35:39.0421 3388 [ 402DDC88356B1BAC0EE3DD1580C76A31 ] Update C:\WINDOWS\system32\DRIVERS\update.sys
16:35:39.0515 3388 Update - ok
16:35:39.0531 3388 [ 1DFD8975D8C89214B98D9387C1125B49 ] upnphost C:\WINDOWS\System32\upnphost.dll
16:35:39.0593 3388 upnphost - ok
16:35:39.0609 3388 [ 9B11E6118958E63E1FEF129466E2BDA7 ] UPS C:\WINDOWS\System32\ups.exe
16:35:39.0703 3388 UPS - ok
16:35:39.0718 3388 [ 65DCF09D0E37D4C6B11B5B0B76D470A7 ] usbehci C:\WINDOWS\system32\DRIVERS\usbehci.sys
16:35:39.0812 3388 usbehci - ok
16:35:39.0828 3388 [ 1AB3CDDE553B6E064D2E754EFE20285C ] usbhub C:\WINDOWS\system32\DRIVERS\usbhub.sys
16:35:39.0906 3388 usbhub - ok
16:35:39.0921 3388 [ A717C8721046828520C9EDF31288FC00 ] usbprint C:\WINDOWS\system32\DRIVERS\usbprint.sys
16:35:40.0015 3388 usbprint - ok
16:35:40.0031 3388 [ A32426D9B14A089EAA1D922E0C5801A9 ] usbstor C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
16:35:40.0125 3388 usbstor - ok
16:35:40.0140 3388 [ 26496F9DEE2D787FC3E61AD54821FFE6 ] usbuhci C:\WINDOWS\system32\DRIVERS\usbuhci.sys
16:35:40.0234 3388 usbuhci - ok
16:35:40.0250 3388 [ 0D3A8FAFCEACD8B7625CD549757A7DF1 ] VgaSave C:\WINDOWS\System32\drivers\vga.sys
16:35:40.0328 3388 VgaSave - ok
16:35:40.0343 3388 ViaIde - ok
16:35:40.0343 3388 [ A5A712F4E880874A477AF790B5186E1D ] VolSnap C:\WINDOWS\system32\drivers\VolSnap.sys
16:35:40.0421 3388 VolSnap - ok
16:35:40.0453 3388 [ 68F106273BE29E7B7EF8266977268E78 ] VSS C:\WINDOWS\System32\vssvc.exe
16:35:40.0500 3388 VSS - ok
16:35:40.0500 3388 [ 7B353059E665F8B7AD2BBEAEF597CF45 ] W32Time C:\WINDOWS\system32\w32time.dll
16:35:40.0593 3388 W32Time - ok
16:35:40.0609 3388 [ E20B95BAEDB550F32DD489265C1DA1F6 ] Wanarp C:\WINDOWS\system32\DRIVERS\wanarp.sys
16:35:40.0703 3388 Wanarp - ok
16:35:40.0718 3388 [ 46A247F6617526AFE38B6F12F5512120 ] wceusbsh C:\WINDOWS\system32\DRIVERS\wceusbsh.sys
16:35:40.0750 3388 wceusbsh - ok
16:35:40.0750 3388 WDICA - ok
16:35:40.0765 3388 [ 6768ACF64B18196494413695F0C3A00F ] wdmaud C:\WINDOWS\system32\drivers\wdmaud.sys
16:35:40.0859 3388 wdmaud - ok
16:35:40.0890 3388 [ 81727C9873E3905A2FFC1EBD07265002 ] WebClient C:\WINDOWS\System32\webclnt.dll
16:35:40.0984 3388 WebClient - ok
16:35:41.0015 3388 [ 6F3F3973D97714CC5F906A19FE883729 ] winmgmt C:\WINDOWS\system32\wbem\WMIsvc.dll
16:35:41.0093 3388 winmgmt - ok
16:35:41.0125 3388 [ C51B4A5C05A5475708E3C81C7765B71D ] WmdmPmSN C:\WINDOWS\system32\mspmsnsv.dll
16:35:41.0171 3388 WmdmPmSN - ok
16:35:41.0187 3388 [ FFA4D901D46D07A5BAB2D8307FBB51A6 ] Wmi C:\WINDOWS\System32\advapi32.dll
16:35:41.0234 3388 Wmi - ok
16:35:41.0265 3388 [ 93908111BA57A6E60EC2FA2DE202105C ] WmiApSrv C:\WINDOWS\system32\wbem\wmiapsrv.exe
16:35:41.0343 3388 WmiApSrv - ok
16:35:41.0406 3388 [ BF05650BB7DF5E9EBDD25974E22403BB ] WMPNetworkSvc C:\Programme\Windows Media Player\WMPNetwk.exe
16:35:41.0437 3388 WMPNetworkSvc - ok
16:35:41.0468 3388 [ CF4DEF1BF66F06964DC0D91844239104 ] WpdUsb C:\WINDOWS\system32\DRIVERS\wpdusb.sys
16:35:41.0468 3388 WpdUsb - ok
16:35:41.0484 3388 [ 6ABE6E225ADB5A751622A9CC3BC19CE8 ] WS2IFSL C:\WINDOWS\System32\drivers\ws2ifsl.sys
16:35:41.0578 3388 WS2IFSL - ok
16:35:41.0593 3388 [ 300B3E84FAF1A5C1F791C159BA28035D ] wscsvc C:\WINDOWS\system32\wscsvc.dll
16:35:41.0687 3388 wscsvc - ok
16:35:41.0703 3388 [ D29AD7484B98279ED21877DE051A180F ] wuauserv C:\WINDOWS\system32\wuauserv.dll
16:35:41.0718 3388 wuauserv - ok
16:35:41.0734 3388 [ F15FEAFFFBB3644CCC80C5DA584E6311 ] WudfPf C:\WINDOWS\system32\DRIVERS\WudfPf.sys
16:35:41.0765 3388 WudfPf - ok
16:35:41.0765 3388 [ 28B524262BCE6DE1F7EF9F510BA3985B ] WudfRd C:\WINDOWS\system32\DRIVERS\wudfrd.sys
16:35:41.0781 3388 WudfRd - ok
16:35:41.0796 3388 [ 05231C04253C5BC30B26CBAAE680ED89 ] WudfSvc C:\WINDOWS\System32\WUDFSvc.dll
16:35:41.0796 3388 WudfSvc - ok
16:35:41.0828 3388 [ C4F109C005F6725162D2D12CA751E4A7 ] WZCSVC C:\WINDOWS\System32\wzcsvc.dll
16:35:41.0937 3388 WZCSVC - ok
16:35:41.0937 3388 [ 0ADA34871A2E1CD2CAAFED1237A47750 ] xmlprov C:\WINDOWS\System32\xmlprov.dll
16:35:42.0046 3388 xmlprov - ok
16:35:42.0046 3388 ================ Scan global ===============================
16:35:42.0062 3388 [ 2C60091CA5F67C3032EAB3B30390C27F ] C:\WINDOWS\system32\basesrv.dll
16:35:42.0093 3388 [ E62178BC21EAC63A3B9A2DBD46C1B505 ] C:\WINDOWS\system32\winsrv.dll
16:35:42.0109 3388 [ E62178BC21EAC63A3B9A2DBD46C1B505 ] C:\WINDOWS\system32\winsrv.dll
16:35:42.0109 3388 [ A3EDBE9053889FB24AB22492472B39DC ] C:\WINDOWS\system32\services.exe
16:35:42.0125 3388 [Global] - ok
16:35:42.0125 3388 ================ Scan MBR ==================================
16:35:42.0125 3388 [ 72B8CE41AF0DE751C946802B3ED844B4 ] \Device\Harddisk0\DR0
16:35:42.0343 3388 \Device\Harddisk0\DR0 - ok
16:35:42.0343 3388 ================ Scan VBR ==================================
16:35:42.0343 3388 [ CC6A9EB46E4FC421E5D75592E0BEF0A7 ] \Device\Harddisk0\DR0\Partition1
16:35:42.0343 3388 \Device\Harddisk0\DR0\Partition1 - ok
16:35:42.0375 3388 [ 46F91D5EB7C0B93F3C600EE34471028E ] \Device\Harddisk0\DR0\Partition2
16:35:42.0375 3388 \Device\Harddisk0\DR0\Partition2 - ok
16:35:42.0375 3388 ============================================================
16:35:42.0375 3388 Scan finished
16:35:42.0375 3388 ============================================================
16:35:42.0484 0860 Detected object count: 8
16:35:42.0484 0860 Actual detected object count: 8
16:36:30.0500 0860 AtcL002 ( UnsignedFile.Multi.Generic ) - skipped by user
16:36:30.0500 0860 AtcL002 ( UnsignedFile.Multi.Generic ) - User select action: Skip
16:36:30.0500 0860 IDriverT ( UnsignedFile.Multi.Generic ) - skipped by user
16:36:30.0500 0860 IDriverT ( UnsignedFile.Multi.Generic ) - User select action: Skip
16:36:30.0500 0860 igfx ( UnsignedFile.Multi.Generic ) - skipped by user
16:36:30.0500 0860 igfx ( UnsignedFile.Multi.Generic ) - User select action: Skip
16:36:30.0515 0860 MBAMProtector ( UnsignedFile.Multi.Generic ) - skipped by user
16:36:30.0515 0860 MBAMProtector ( UnsignedFile.Multi.Generic ) - User select action: Skip
16:36:30.0515 0860 MBAMScheduler ( UnsignedFile.Multi.Generic ) - skipped by user
16:36:30.0515 0860 MBAMScheduler ( UnsignedFile.Multi.Generic ) - User select action: Skip
16:36:30.0515 0860 MBAMService ( UnsignedFile.Multi.Generic ) - skipped by user
16:36:30.0515 0860 MBAMService ( UnsignedFile.Multi.Generic ) - User select action: Skip
16:36:30.0515 0860 NcpSec ( UnsignedFile.Multi.Generic ) - skipped by user
16:36:30.0515 0860 NcpSec ( UnsignedFile.Multi.Generic ) - User select action: Skip
16:36:30.0515 0860 sptd ( LockedFile.Multi.Generic ) - skipped by user
16:36:30.0515 0860 sptd ( LockedFile.Multi.Generic ) - User select action: Skip
|
|
08.07.2013, 14:40
| #8 |
| /// Malware-holic | GVU Trojaner, abgesicherter Modus nicht möglich Hi, Scan mit Combofix
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
08.07.2013, 15:07
| #9 |
| | GVU Trojaner, abgesicherter Modus nicht möglich Logfile von Combofix: Code:
ATTFilter Combofix Logfile: |
|
08.07.2013, 15:12
| #10 |
| /// Malware-holic | GVU Trojaner, abgesicherter Modus nicht möglich Hi, malwarebytes: Downloade Dir bitte Malwarebytes
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
08.07.2013, 16:06
| #11 |
| | GVU Trojaner, abgesicherter Modus nicht möglich Hi, ok, ist nun durchgelaufen. Hier das Logfile: Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.07.08.05 Windows XP Service Pack 3 x86 NTFS Internet Explorer 7.0.5730.13 Administrator :: SHOCKWAVE [Administrator] 08.07.2013 17:29:58 mbam-log-2013-07-08 (17-29-58).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 276041 Laufzeit: 25 Minute(n), 16 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 2 HKCR\CLSID\{28949824-6737-0594-0930-223283753445} (Trojan.Agent.RDN) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\*\shellex\ContextMenuHandlers\{28949824-6737-0594-0930-223283753445} (Trojan.Agent.RDN) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\2433f433 (Trojan.Agent.TPL) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Stefan |
|
08.07.2013, 16:54
| #12 |
| /// Malware-holic | GVU Trojaner, abgesicherter Modus nicht möglich Hi, lade den CCleaner standard: CCleaner - Download - Filepony falls der CCleaner bereits instaliert, überspringen. öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
08.07.2013, 17:23
| #13 |
| | GVU Trojaner, abgesicherter Modus nicht möglich Hi, ok ich hoffe das passt soweit was ich gemacht habe... Code:
ATTFilter 7-Zip 4.65 26.12.2010 notwendig AC3Filter 2.5b Alexander Vigovsky 30.06.2013 2.5b notwendig Adobe Flash Player Microsoft Corporation 26.12.2010 1 notwendig Adobe Flash Player 11 ActiveX Adobe Systems Incorporated 29.06.2013 11.7.700.224 unbekannt Adobe Flash Player 11 Plugin Adobe Systems Incorporated 29.06.2013 11.7.700.224 unbekannt Adobe Reader X (10.1.6) - Deutsch Adobe Systems Incorporated 05.04.2013 179,00MB 10.1.6 notwendig Allgemeine Runtime Dateien Microsoft Corporation 26.12.2010 1 unbekannt Atheros Communications Inc.(R) L2 Fast Ethernet Driver Atheros Communications Inc. 26.12.2010 2.5.7.7 unbekannt Canon Inkjet Printer Driver Add-On Module 30.12.2010 notwendig Canon iP4200 08.07.2013 notwendig Canon Utilities My Printer 30.12.2010 CCleaner Piriform 19.06.2013 4.03 unbekannt CD-LabelPrint 30.12.2010 notwendig DirectX 9.0c Zusatzdateien Microsoft Corporation 26.12.2010 1 Google Chrome Google Inc. 12.11.2012 27.0.1453.116 unnötig Haufe Formular-Manager Haufe-Lexware GmbH & Co. KG 17.02.2013 130,00MB 12.02.00.0002 notwendig Haufe iDesk-Browser Haufe-Lexware GmbH & Co. KG 17.02.2013 28,93MB 12.02.01.0005 notwendig Haufe iDesk-Service Haufe-Lexware GmbH & Co. KG 17.02.2013 137,00MB 12.03.15.8829 notwendig Haufe Unterweisungsfolien Arbeitsschutz Haufe-Lexware GmbH & Co. KG 17.02.2013 1.042,00MB 10.2.0.0 notwendig ImgBurn LIGHTNING UK! 24.04.2011 2.5.5.0 notwendig Intel(R) Graphics Media Accelerator Driver Intel Corporation 08.07.2013 unbekannt Internet Explorer 7 12.06.2013 unnötig Java(TM) 6 Update 32 Oracle 17.02.2013 97,84MB 6.0.320 unbekannt Java(TM) 6 Update 6 Sun Microsystems, Inc. 26.12.2010 137,00MB 1.6.0.60 unbekannt LANCOM Advanced VPN Client LANCOM Systems GmbH 15.11.2012 2.30 Build 186 unbekannt MAGIX Web Designer 7 Premium Download-Version MAGIX AG 16.10.2011 7.0.4.16490 unnötig Malwarebytes Anti-Malware Version 1.75.0.1300 Malwarebytes Corporation 08.07.2013 1.75.0.1300 notwendig McAfee Security Scan Plus McAfee, Inc. 27.04.2013 3.0.318.3 unbekannt MEDION-Navigator 15.05.2011 4.20.000 unnötig Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU Microsoft Corporation 26.12.2010 6,16MB 2.1.21022 unbekannt Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 14.05.2013 184,00MB 2.2.30729 unbekannt Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 10.01.2013 253,00MB 3.2.30729 unbekannt Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 10.01.2013 unbekannt Microsoft ActiveSync Microsoft Corporation 15.05.2011 18,42MB 4.5.5096.0 unbekannt Microsoft Office Enterprise 2007 Microsoft Corporation 26.12.2010 12.0.4518.1014 notwendig Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 29.08.2011 10,28MB 9.0.30729 unbekannt MOBackup - Datensicherung für Outlook (Vollversion) Heiko Schröder 26.12.2010 6.0 notwendig MSXML 4.0 SP3 Parser Microsoft Corporation 16.10.2011 2,87MB 4.30.2100.0 unbekannt MSXML 4.0 SP3 Parser (KB2721691) Microsoft Corporation 11.07.2012 2,99MB 4.30.2114.0 unbekannt MSXML 4.0 SP3 Parser (KB2758694) Microsoft Corporation 10.01.2013 3,01MB 4.30.2117.0 unbekannt MSXML 4.0 SP3 Parser (KB973685) Microsoft Corporation 17.10.2011 2,99MB 4.30.2107.0 unbekannt NAVIGON Fresh 3.3.2 NAVIGON 29.08.2011 3.3.2 unnötig Opera 12.16 Opera Software ASA 07.07.2013 12.16.1860 notwendig Realtek High Definition Audio Driver Realtek Semiconductor Corp. 02.01.2011 5.10.0.5911 notwendig Solid Edge V20 UGS 26.01.2011 1.330,00MB 20.00.0096 notwendig Sophos Anti-Virus Sophos Limited 12.06.2013 46,33MB 10.0.10 notwendig Sophos AutoUpdate Sophos Limited 09.08.2012 13,63MB 2.7.4.317 notwendig TuneUp Utilities 2013 TuneUp Software 01.04.2013 13.0.2020.4 notwendig UnderCoverXP 1.23 Wicked & Wild Inc. 04.11.2012 notwendig |
|
08.07.2013, 17:27
| #14 |
| /// Malware-holic | GVU Trojaner, abgesicherter Modus nicht möglich deinstaliere: Adobe Flash Player alle Adobe - Adobe Flash Player installieren neueste version laden, instalieren. adobe reader: Adobe - Adobe Reader herunterladen - Alle Versionen haken bei mcafee security scan raus nehmen bitte auch mal den adobe reader wie folgt konfigurieren: adobe reader öffnen, bearbeiten, voreinstellungen. allgemein: nur zertifizierte zusatz module verwenden, anhaken. Sicherheit (erweitert) Erweiterte Sicherheit anhaken und alle Dateien auswählen. internet: hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc. es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht. bei javascript den haken bei java script verwenden raus nehmen bei updater, automatisch instalieren wählen. übernehmen /ok deinstaliere: Java: alle downloade Java jre: Java-Downloads für alle Betriebssysteme klicke: Download der Java-Software für Windows Offline laden, und instalieren deinstaliere: MAGIX McAfee MEDION NAVIGON TuneUp : finger weg von solchem unsinn, einige Funktionen können dem PC schaden, der Rest bringt keine messbaren Ergebnisse. Öffne CCleaner, analysieren,s tarten, PC neustarten Downloade Dir bitte  AdwCleaner auf deinen Desktop.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
08.07.2013, 17:35
| #15 |
| | GVU Trojaner, abgesicherter Modus nicht möglich Hi, vielen Dank dafür. Ich werde das gleich morgen früh in Angriff nehmen und dann die Ergebnisse posten, heute komme ich leider nicht mehr dazu. An dieser Stelle mal ein riesen Dankeschön! Es ist wirklich eine klasse Arbeit die ihr hier leistet - das ist mir dann auch ne Spende wert!  Grüße, Stefan |
|
| Themen zu GVU Trojaner, abgesicherter Modus nicht möglich |
| .dll, administrator, adobe, adobe flash player, desktop, einstellungen, explorer, firefox, flash player, format, homepage, logfile, malwarebytes, nicht möglich, plug-in, problem, realtek, registry, security, software, temp, trojan.agent.rdn, trojan.agent.tpl, trojaner, windows |
WARNUNG an die MITLESER: 
Linear-Darstellung
