Hallo und zwar habe ich den verdacht das ich ein rootkit drauf habe denn mein account wurde 3x mal gehacked obwohl ich norton antivir drauf habe und 3x mal rechner platt gemacht habe.

Mein problem ist wenn ich rootkit revealer installieren möchte kommt eine fehlermeldung das es nicht installieren werden kann.

catchme schreibt im log das er keine festplatte c findet und auch keine anderen wobei es auch nur c gibt

gmr oder x? wenn ich das starte und scanne bleibt er nach 5 sec stehn und wenn ich stop mache und neu scannen will macht er blue screen

habe auch andere versucht aber keins funktioniert bzw lässt sich installieren.

malwarebytes findet auch nichts

Bitte um hilfe

ps: ich hab nicht viel ahnung in solchen gebieten

mfg niklas

Hi,

in dem Fall gleich CF, wenn es sich nicht um ein 64Bit-System handelt (was hast Du überhaupt, ein paar Infos mehr wären nicht schlecht):

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es unter anderem Namen (z. B. fixfox.exe auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt
werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

vielen dank im vorraus schonmal, also ich habe windows vista mit einer 32mbit version drauf und heute wie gesagt neu aufgesetzt... mal so ne frage zwischendurch wenn es um geschwindikeit geht, sollte man lieber ne xp version draufsetzen oder windows 7 ?

danke

Hier der Combofix eintrag

ComboFix 10-01-21.08 - *** 22.01.2010 22:24:04.1.2 - x86
Microsoft® Windows Vista™ Home Basic 6.0.6001.1.1252.49.1031.18.2046.1515 [GMT 1:00]
ausgeführt von:: c:\users\hansdieter\Desktop\fix.fox.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((( Dateien erstellt von 2009-12-22 bis 2010-01-22 ))))))))))))))))))))))))))))))
.

2010-01-22 20:43 . 2010-01-22 20:43 -------- d-----w- c:\users\***\AppData\Roaming\Malwarebytes
2010-01-22 20:43 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-22 20:43 . 2010-01-22 20:43 -------- d-----w- c:\programdata\Malwarebytes
2010-01-22 20:43 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-22 20:43 . 2010-01-22 20:43 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-22 20:39 . 2010-01-22 20:39 -------- d-----w- c:\program files\ICQ6Toolbar
2010-01-22 20:39 . 2010-01-22 20:39 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-22 20:39 . 2010-01-22 20:39 -------- d-----w- c:\programdata\ICQ
2010-01-22 20:39 . 2010-01-22 21:22 -------- d-----w- c:\users\**\AppData\Roaming\ICQ
2010-01-22 20:39 . 2010-01-22 20:39 -------- d-----w- c:\users\****\AppData\Local\AOL
2010-01-22 20:39 . 2010-01-22 20:40 -------- d-----w- c:\program files\ICQ7.0
2010-01-22 20:18 . 2010-01-22 20:18 -------- d-----w- c:\programdata\Blizzard
2010-01-22 20:05 . 2010-01-22 20:50 -------- d-----w- c:\program files\World of Warcraft
2010-01-22 20:05 . 2010-01-22 20:18 -------- d-----w- c:\program files\Common Files\Blizzard Entertainment
2010-01-22 19:52 . 2010-01-22 19:52 -------- d-----w- c:\program files\World of Warcraft.temp
2010-01-22 19:52 . 2010-01-22 19:52 -------- d-----w- c:\program files\Common Files\Blizzard Entertainment.temp
2010-01-22 19:47 . 2010-01-22 19:47 -------- d-----w- c:\users\hansdieter\AppData\Local\Google
2010-01-22 19:47 . 2010-01-22 19:47 -------- d-----w- c:\users\hansdieter\AppData\Local\Apps
2010-01-22 19:47 . 2010-01-22 19:47 -------- d-----w- c:\users\hansdieter\AppData\Local\Deployment
2010-01-22 19:41 . 2010-01-22 20:29 -------- d-----w- c:\programdata\NVIDIA
2010-01-22 19:40 . 2010-01-22 19:40 -------- d-----w- c:\program files\AGEIA Technologies
2010-01-22 19:40 . 2010-01-22 19:40 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2010-01-22 19:35 . 2010-01-22 19:35 -------- d-----w- c:\program files\SystemRequirementsLab
2010-01-22 19:28 . 2010-01-22 19:28 -------- d-----w- c:\programdata\PC Drivers HeadQuarters
2010-01-22 19:28 . 2010-01-22 19:28 -------- d-----w- c:\users\hansdieter\AppData\Local\PC_Drivers_Headquarters
2010-01-22 19:27 . 2010-01-22 19:27 -------- d-----w- c:\program files\PC Drivers HeadQuarters
2010-01-22 19:27 . 2010-01-22 19:41 -------- d-sh--w- c:\windows\Installer
2010-01-22 19:22 . 2010-01-22 19:22 -------- d-----w- c:\users\****\AppData\Local\MigWiz
2010-01-22 19:21 . 2010-01-22 19:21 48600 ----a-w- c:\users\**AppData\Local\GDIPFONTCACHEV1.DAT
2010-01-22 19:17 . 2009-08-07 02:24 44768 ----a-w- c:\windows\system32\wups2.dll
2010-01-22 19:17 . 2009-08-07 02:24 53472 ----a-w- c:\windows\system32\wuauclt.exe
2010-01-22 19:17 . 2009-08-07 02:23 1929952 ----a-w- c:\windows\system32\wuaueng.dll
2010-01-22 19:17 . 2009-08-07 01:45 2421760 ----a-w- c:\windows\system32\wucltux.dll
2010-01-22 19:17 . 2009-08-07 02:24 35552 ----a-w- c:\windows\system32\wups.dll
2010-01-22 19:17 . 2009-08-07 02:23 575704 ----a-w- c:\windows\system32\wuapi.dll
2010-01-22 19:17 . 2009-08-07 01:44 87552 ----a-w- c:\windows\system32\wudriver.dll
2010-01-22 19:16 . 2009-08-06 18:23 171608 ----a-w- c:\windows\system32\wuwebv.dll
2010-01-22 19:16 . 2009-08-06 17:44 33792 ----a-w- c:\windows\system32\wuapp.exe
2010-01-22 19:14 . 2010-01-22 19:43 -------- d-----w- c:\windows\Debug
2010-01-22 18:48 . 2010-01-22 19:01 -------- d-----w- c:\windows\Panther
2010-01-22 18:40 . 2010-01-22 18:40 -------- d-----w- C:\Windows.old
2010-01-11 21:18 . 2010-01-11 21:18 962664 ----a-w- c:\windows\system32\nvsvc.dll
2010-01-11 21:18 . 2010-01-11 21:18 66664 ----a-w- c:\windows\system32\nvshext.dll
2010-01-11 21:18 . 2010-01-11 21:18 1515112 ----a-w- c:\windows\system32\nvsvcr.dll
2010-01-11 21:18 . 2010-01-11 21:18 13679720 ----a-w- c:\windows\system32\nvcpl.dll
2010-01-11 21:18 . 2010-01-11 21:18 129640 ----a-w- c:\windows\system32\nvvsvc.exe
2010-01-11 21:18 . 2010-01-11 21:18 110696 ----a-w- c:\windows\system32\nvmctray.dll
2009-12-27 18:01 . 2009-12-27 18:30 -------- d-----w- C:\StudioLine3

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-22 20:34 . 2008-01-21 08:21 618192 ----a-w- c:\windows\system32\perfh007.dat
2010-01-22 20:34 . 2008-01-21 08:21 122636 ----a-w- c:\windows\system32\perfc007.dat
2010-01-22 20:29 . 2010-01-22 19:45 35370 ----a-w- c:\programdata\nvModes.dat
2010-01-22 19:42 . 2010-01-22 19:20 680 ----a-w- c:\users\****\AppData\Local\d3d9caps.dat
2010-01-22 19:41 . 2010-01-22 19:39 -------- d-----w- c:\program files\NVIDIA Corporation
2010-01-22 19:15 . 2010-01-22 19:15 -------- d-sh--we c:\programdata\Vorlagen
2010-01-22 19:15 . 2010-01-22 19:15 -------- d-sh--we c:\programdata\Startmenü
2010-01-22 19:15 . 2010-01-22 19:15 -------- d-sh--we c:\programdata\Favoriten
2010-01-22 19:15 . 2010-01-22 19:15 -------- d-sh--we c:\programdata\Dokumente
2010-01-22 19:15 . 2010-01-22 19:15 -------- d-sh--we c:\programdata\Anwendungsdaten
2010-01-22 19:15 . 2010-01-22 19:15 -------- d-sh--we c:\program files\Gemeinsame Dateien
2010-01-22 18:57 . 2010-01-22 18:57 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"Google Update"="c:\users\***\AppData\Local\Google\Update\GoogleUpdate.exe" [2010-01-22 135664]
"ICQ"="c:\program files\ICQ7.0\ICQ.exe" [2010-01-12 133368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [22.01.2010 21:39 246520]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [11.01.2010 21:00 240232]
S3 MAFLPGAOXN;MAFLPGAOXN;c:\users\HANSDI~1\AppData\Local\Temp\MAFLPGAOXN.exe --> c:\users\HANSDI~1\AppData\Local\Temp\MAFLPGAOXN.exe [?]
S3 NXO;NXO;c:\users\HANSDI~1\AppData\Local\Temp\NXO.exe --> c:\users\HANSDI~1\AppData\Local\Temp\NXO.exe [?]
S3 UORINEGQL;UORINEGQL;c:\users\HANSDI~1\AppData\Local\Temp\UORINEGQL.exe --> c:\users\HANSDI~1\AppData\Local\Temp\UORINEGQL.exe [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
.
Inhalt des "geplante Tasks" Ordners

2010-01-22 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2345105982-2281799353-899230355-1000Core.job
- c:\users\***\AppData\Local\Google\Update\GoogleUpdate.exe [2010-01-22 19:47]

2010-01-22 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2345105982-2281799353-899230355-1000UA.job
- c:\users\***\AppData\Local\Google\Update\GoogleUpdate.exe [2010-01-22 19:47]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: {{88EB38EF-4D2C-436D-ABD3-56B232674062} - c:\program files\ICQ7.0\ICQ.exe
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-22 22:27
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-01-22 22:28:59
ComboFix-quarantined-files.txt 2010-01-22 21:28

Vor Suchlauf: 8 Verzeichnis(se), 107.240.067.072 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 107.265.314.816 Bytes frei

- - End Of File - - DBDBC31C95AA6E2F77278EAB018794B8

Hi,

streiten sich die Geister, win7 ist auf jeden Fall schneller als vista...
Files kopieren geht in xp am schnellsten...
Für Gamer ist win7 besser, wg. 11-Version von directx...

du hast einige seltsame treiber auf dem rechner:
c:\users\HANSDI~1\AppData\Local\Temp\MAFLPGAOXN.exe
c:\users\HANSDI~1\AppData\Local\Temp\NXO.exe
c:\users\HANSDI~1\AppData\Local\Temp\NXO.exe
c:\users\HANSDI~1\AppData\Local\Temp\UORINEGQL.exe
c:\users\HANSDI~1\AppData\Local\Temp\UORINEGQL.exe

Oder sind das Deine GMER versuche?
Sonst ist nichts zu erkennen...

Kannst Mal OTL drüberjagen:
OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

* Doppelklick auf die OTL.exe
* Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
* Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
* Unter Extra Registry, wähle bitte Use SafeList
* Klicke nun auf Run Scan links oben
* Wenn der Scan beendet wurde werden 2 Logfiles erstellt
* Poste die Logfiles hier in den Thread.

GMER mal im abgesicherten Modus probieren, Defender ausschalten!

chris

hmm und was sagt der log? sieht eher danach aus als wäre kein rootkit drauf oder?

Hi,

nein, kein Rootkit zu erkennen. Nur die gestoppten Treiber die wahrscheinlich schon gelöscht sind...

chris

otl:

OTL logfile created on: 22.01.2010 23:09:31 - Run 1
OTL by OldTimer - Version 3.1.25.4 Folder = C:\Users\hansdieter\Desktop
Windows Vista Home Basic Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 68,00% Memory free
4,00 Gb Paging File | 4,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 186,31 Gb Total Space | 95,62 Gb Free Space | 51,32% Space Free | Partition Type: NTFS
Drive D: | 7,71 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: H
Current User Name: hans
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - C:\Users\hansdieter\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Users\hansdieter\AppData\Local\Google\Update\1.2.183.13\GoogleCrashHandler.exe (Google Inc.)
PRC - C:\Windows\System32\nvvsvc.exe (NVIDIA Corporation)
PRC - C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
PRC - C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
PRC - C:\Users\hansdieter\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.)
PRC - C:\Windows\System32\WUDFHost.exe (Microsoft Corporation)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Windows\System32\conime.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Sidebar\sidebar.exe (Microsoft Corporation)


========== Modules (SafeList) ==========

MOD - C:\Users\hansdieter\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6001.18000_none_5cdbaa5a083979cc\comctl32.dll (Microsoft Corporation)


========== Win32 Services (SafeList) ==========

SRV - (UORINEGQL) -- File not found
SRV - (NXO) -- File not found
SRV - (MAFLPGAOXN) -- File not found
SRV - (nvsvc) -- C:\Windows\System32\nvvsvc.exe (NVIDIA Corporation)
SRV - (Stereo Service) -- C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
SRV - (ICQ Service) -- C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)


========== Driver Services (SafeList) ==========

DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)
DRV - (adpu320) -- C:\Windows\system32\drivers\adpu320.sys (Adaptec, Inc.)
DRV - (megasas) -- C:\Windows\system32\drivers\megasas.sys (LSI Corporation)
DRV - (MegaSR) -- C:\Windows\system32\drivers\megasr.sys (LSI Corporation, Inc.)
DRV - (adpu160m) -- C:\Windows\system32\drivers\adpu160m.sys (Adaptec, Inc.)
DRV - (SiSRaid4) -- C:\Windows\system32\drivers\sisraid4.sys (Silicon Integrated Systems)
DRV - (HpCISSs) -- C:\Windows\system32\drivers\hpcisss.sys (Hewlett-Packard Company)
DRV - (adpahci) -- C:\Windows\system32\drivers\adpahci.sys (Adaptec, Inc.)
DRV - (LSI_SAS) -- C:\Windows\system32\drivers\lsi_sas.sys (LSI Logic)
DRV - (ql2300) -- C:\Windows\system32\drivers\ql2300.sys (QLogic Corporation)
DRV - (E1G60) Intel(R) -- C:\Windows\System32\drivers\E1G60I32.sys (Intel Corporation)
DRV - (arcsas) -- C:\Windows\system32\drivers\arcsas.sys (Adaptec, Inc.)
DRV - (iaStorV) -- C:\Windows\system32\drivers\iastorv.sys (Intel Corporation)
DRV - (vsmraid) -- C:\Windows\system32\drivers\vsmraid.sys (VIA Technologies Inc.,Ltd)
DRV - (ulsata2) -- C:\Windows\system32\drivers\ulsata2.sys (Promise Technology, Inc.)
DRV - (LSI_FC) -- C:\Windows\system32\drivers\lsi_fc.sys (LSI Logic)
DRV - (arc) -- C:\Windows\system32\drivers\arc.sys (Adaptec, Inc.)
DRV - (elxstor) -- C:\Windows\system32\drivers\elxstor.sys (Emulex)
DRV - (LSI_SCSI) -- C:\Windows\system32\drivers\lsi_scsi.sys (LSI Logic)
DRV - (nvraid) -- C:\Windows\system32\drivers\nvraid.sys (NVIDIA Corporation)
DRV - (nvstor) -- C:\Windows\system32\drivers\nvstor.sys (NVIDIA Corporation)
DRV - (adp94xx) -- C:\Windows\system32\drivers\adp94xx.sys (Adaptec, Inc.)
DRV - (uliahci) -- C:\Windows\system32\drivers\uliahci.sys (ULi Electronics Inc.)
DRV - (viaide) -- C:\Windows\system32\drivers\viaide.sys (VIA Technologies, Inc.)
DRV - (cmdide) -- C:\Windows\system32\drivers\cmdide.sys (CMD Technology, Inc.)
DRV - (aliide) -- C:\Windows\system32\drivers\aliide.sys (Acer Laboratories Inc.)
DRV - (ql40xx) -- C:\Windows\system32\drivers\ql40xx.sys (QLogic Corporation)
DRV - (UlSata) -- C:\Windows\system32\drivers\ulsata.sys (Promise Technology, Inc.)
DRV - (nfrd960) -- C:\Windows\system32\drivers\nfrd960.sys (IBM Corporation)
DRV - (iirsp) -- C:\Windows\system32\drivers\iirsp.sys (Intel Corp./ICP vortex GmbH)
DRV - (aic78xx) -- C:\Windows\system32\drivers\djsvs.sys (Adaptec, Inc.)
DRV - (iteraid) -- C:\Windows\system32\drivers\iteraid.sys (Integrated Technology Express, Inc.)
DRV - (iteatapi) -- C:\Windows\system32\drivers\iteatapi.sys (Integrated Technology Express, Inc.)
DRV - (Symc8xx) -- C:\Windows\system32\drivers\symc8xx.sys (LSI Logic)
DRV - (Sym_u3) -- C:\Windows\system32\drivers\sym_u3.sys (LSI Logic)
DRV - (Mraid35x) -- C:\Windows\system32\drivers\mraid35x.sys (LSI Logic Corporation)
DRV - (Sym_hi) -- C:\Windows\system32\drivers\sym_hi.sys (LSI Logic)
DRV - (Brserid) Brother MFC Serial Port Interface Driver (WDM) -- C:\Windows\system32\drivers\brserid.sys (Brother Industries Ltd.)
DRV - (BrUsbSer) -- C:\Windows\system32\drivers\brusbser.sys (Brother Industries Ltd.)
DRV - (BrFiltUp) -- C:\Windows\system32\drivers\brfiltup.sys (Brother Industries, Ltd.)
DRV - (BrFiltLo) -- C:\Windows\system32\drivers\brfiltlo.sys (Brother Industries, Ltd.)
DRV - (BrSerWdm) -- C:\Windows\system32\drivers\brserwdm.sys (Brother Industries Ltd.)
DRV - (BrUsbMdm) -- C:\Windows\system32\drivers\brusbmdm.sys (Brother Industries Ltd.)
DRV - (ntrigdigi) -- C:\Windows\system32\drivers\ntrigdigi.sys (N-trig Innovative Technologies)
DRV - (yukonwlh) -- C:\Windows\System32\drivers\yk60x86.sys (Marvell)
DRV - (secdrv) -- C:\Windows\System32\drivers\secdrv.sys (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



O1 HOSTS File: ([2006.09.18 22:41:30 | 00,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: [Google Update] C:\Users\hansdieter\AppData\Local\Google\Update\GoogleUpdate.exe (Google Inc.)
O4 - HKCU..\Run: [ICQ] C:\Program Files\ICQ7.0\ICQ.exe (ICQ, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, Inc.)
O9 - Extra 'Tools' menuitem : ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, Inc.)
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} http://www.nvidia.com/content/Driver...reqlab_nvd.cab (System Requirements Lab Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img22.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img22.jpg
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 00,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2008.08.29 07:12:19 | 00,000,048 | -H-- | M] () - D:\autorun.inf -- [ UDF ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.01.22 23:01:56 | 00,547,840 | ---- | C] (OldTimer Tools) -- C:\Users\hansdieter\Desktop\OTL.exe
[2010.01.22 22:51:12 | 00,000,000 | ---D | C] -- C:\Users\hansdieter\AppData\Roaming\Macromedia
[2010.01.22 22:51:12 | 00,000,000 | ---D | C] -- C:\Users\hansdieter\AppData\Roaming\Adobe
[2010.01.22 22:51:04 | 00,000,000 | ---D | C] -- C:\Windows\System32\Macromed
[2010.01.22 22:29:01 | 00,000,000 | ---D | C] -- C:\Windows\temp
[2010.01.22 22:29:01 | 00,000,000 | ---D | C] -- C:\Users\hansdieter\AppData\Local\temp
[2010.01.22 22:28:40 | 00,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2010.01.22 22:23:28 | 00,161,792 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2010.01.22 22:23:28 | 00,136,704 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2010.01.22 22:23:28 | 00,031,232 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2010.01.22 22:23:26 | 00,000,000 | ---D | C] -- C:\Windows\ERDNT
[2010.01.22 22:23:25 | 00,000,000 | ---D | C] -- C:\fix.fox
[2010.01.22 22:23:16 | 00,000,000 | ---D | C] -- C:\Qoobox
[2010.01.22 22:23:04 | 00,212,480 | ---- | C] (SteelWerX) -- C:\Windows\SWXCACLS.exe
[2010.01.22 21:43:53 | 00,000,000 | ---D | C] -- C:\Users\hansdieter\AppData\Roaming\Malwarebytes
[2010.01.22 21:43:45 | 00,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2010.01.22 21:43:40 | 00,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2010.01.22 21:43:40 | 00,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2010.01.22 21:43:39 | 00,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.01.22 21:39:52 | 00,000,000 | ---D | C] -- C:\Programme\ICQ6Toolbar
[2010.01.22 21:39:51 | 00,000,000 | -H-D | C] -- C:\Programme\InstallShield Installation Information
[2010.01.22 21:39:51 | 00,000,000 | ---D | C] -- C:\Users\hansdieter\AppData\Roaming\Mozilla
[2010.01.22 21:39:50 | 00,000,000 | ---D | C] -- C:\ProgramData\ICQ
[2010.01.22 21:39:36 | 00,000,000 | ---D | C] -- C:\Users\hansdieter\AppData\Roaming\ICQ
[2010.01.22 21:39:35 | 00,000,000 | ---D | C] -- C:\Users\hansdieter\AppData\Local\AOL
[2010.01.22 21:39:19 | 00,000,000 | ---D | C] -- C:\Programme\ICQ7.0
[2010.01.22 21:18:59 | 00,000,000 | ---D | C] -- C:\ProgramData\Blizzard
[2010.01.22 21:18:30 | 00,000,000 | ---D | C] -- C:\Users\Public\Documents\Blizzard Entertainment
[2010.01.22 21:05:11 | 00,000,000 | ---D | C] -- C:\Programme\Common Files\Blizzard Entertainment
[2010.01.22 21:02:21 | 00,000,000 | ---D | C] -- C:\Windows\Minidump
[2010.01.22 20:52:15 | 00,000,000 | ---D | C] -- C:\Programme\World of Warcraft.temp
[2010.01.22 20:52:15 | 00,000,000 | ---D | C] -- C:\Programme\Common Files\Blizzard Entertainment.temp
[2010.01.22 20:49:34 | 00,000,000 | ---D | C] -- C:\Users\hansdieter\Documents\Downloads
[2010.01.22 20:47:29 | 00,000,000 | ---D | C] -- C:\Users\hansdieter\AppData\Local\Google
[2010.01.22 20:47:14 | 00,000,000 | ---D | C] -- C:\Users\hansdieter\AppData\Local\Apps
[2010.01.22 20:47:13 | 00,000,000 | ---D | C] -- C:\Users\hansdieter\AppData\Local\Deployment
[2010.01.22 20:41:43 | 00,000,000 | ---D | C] -- C:\ProgramData\NVIDIA
[2010.01.22 20:40:17 | 00,000,000 | ---D | C] -- C:\Programme\AGEIA Technologies
[2010.01.22 20:40:07 | 00,000,000 | ---D | C] -- C:\Programme\Common Files\Wise Installation Wizard
[2010.01.22 20:39:55 | 00,000,000 | ---D | C] -- C:\Programme\NVIDIA Corporation
[2010.01.22 20:39:17 | 11,586,280 | ---- | C] (NVIDIA Corporation) -- C:\Windows\System32\drivers\nvlddmkm.sys
[2010.01.22 20:39:17 | 00,795,104 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\dpinst.exe
[2010.01.22 20:39:17 | 00,068,200 | ---- | C] (Khronos Group) -- C:\Windows\System32\OpenCL.dll
[2010.01.22 20:39:17 | 00,010,920 | ---- | C] (NVIDIA Corporation) -- C:\Windows\System32\drivers\nvBridge.kmd
[2010.01.22 20:39:16 | 14,924,392 | ---- | C] (NVIDIA Corporation) -- C:\Windows\System32\nvoglv32.dll
[2010.01.22 20:39:16 | 09,388,648 | ---- | C] (NVIDIA Corporation) -- C:\Windows\System32\nvd3dum.dll
[2010.01.22 20:39:16 | 04,321,384 | ---- | C] (NVIDIA Corporation) -- C:\Windows\System32\nvwgf2um.dll
[2010.01.22 20:39:16 | 02,243,176 | ---- | C] (NVIDIA Corporation) -- C:\Windows\System32\nvcuvid.dll
[2010.01.22 20:39:14 | 11,639,400 | ---- | C] (NVIDIA Corporation) -- C:\Windows\System32\nvcompiler.dll
[2010.01.22 20:39:14 | 04,077,672 | ---- | C] (NVIDIA Corporation) -- C:\Windows\System32\nvcuvenc.dll
[2010.01.22 20:39:14 | 04,061,800 | ---- | C] (NVIDIA Corporation) -- C:\Windows\System32\nvcuda.dll
[2010.01.22 20:39:14 | 01,280,616 | ---- | C] (NVIDIA Corporation) -- C:\Windows\System32\nvapi.dll
[2010.01.22 20:39:14 | 00,182,888 | ---- | C] (NVIDIA Corporation) -- C:\Windows\System32\nvcod189.dll
[2010.01.22 20:39:14 | 00,182,888 | ---- | C] (NVIDIA Corporation) -- C:\Windows\System32\nvcod.dll
[2010.01.22 20:35:19 | 00,000,000 | ---D | C] -- C:\Programme\SystemRequirementsLab
[2010.01.22 20:28:32 | 00,000,000 | ---D | C] -- C:\ProgramData\PC Drivers HeadQuarters
[2010.01.22 20:28:29 | 00,000,000 | ---D | C] -- C:\Users\hansdieter\AppData\Local\PC_Drivers_Headquarters
[2010.01.22 20:27:41 | 00,000,000 | ---D | C] -- C:\Programme\PC Drivers HeadQuarters
[2010.01.22 20:27:12 | 00,000,000 | -HSD | C] -- C:\Windows\Installer
[2010.01.22 20:22:29 | 00,000,000 | ---D | C] -- C:\Users\hansdieter\AppData\Local\MigWiz
[2010.01.22 20:20:44 | 00,000,000 | R--D | C] -- C:\Users\hansdieter\Searches
[2010.01.22 20:20:29 | 00,000,000 | ---D | C] -- C:\Users\hansdieter\AppData\Roaming\Identities
[2010.01.22 20:20:26 | 00,000,000 | R--D | C] -- C:\Users\hansdieter\Contacts
[2010.01.22 20:20:24 | 00,000,000 | ---D | C] -- C:\Users\hansdieter\AppData\Local\VirtualStore
[2010.01.22 20:20:18 | 00,000,000 | -HSD | C] -- C:\Users\hansdieter\Vorlagen
[2010.01.22 20:20:18 | 00,000,000 | -HSD | C] -- C:\Users\hansdieter\AppData\Local\Verlauf
[2010.01.22 20:20:18 | 00,000,000 | -HSD | C] -- C:\Users\hansdieter\AppData\Local\Temporary Internet Files
[2010.01.22 20:20:18 | 00,000,000 | -HSD | C] -- C:\Users\hansdieter\Startmenü
[2010.01.22 20:20:18 | 00,000,000 | -HSD | C] -- C:\Users\hansdieter\SendTo
[2010.01.22 20:20:18 | 00,000,000 | -HSD | C] -- C:\Users\hansdieter\Recent
[2010.01.22 20:20:18 | 00,000,000 | -HSD | C] -- C:\Users\hansdieter\Netzwerkumgebung
[2010.01.22 20:20:18 | 00,000,000 | -HSD | C] -- C:\Users\hansdieter\Lokale Einstellungen
[2010.01.22 20:20:18 | 00,000,000 | -HSD | C] -- C:\Users\hansdieter\Documents\Eigene Videos
[2010.01.22 20:20:18 | 00,000,000 | -HSD | C] -- C:\Users\hansdieter\Documents\Eigene Musik
[2010.01.22 20:20:18 | 00,000,000 | -HSD | C] -- C:\Users\hansdieter\Eigene Dateien
[2010.01.22 20:20:18 | 00,000,000 | -HSD | C] -- C:\Users\hansdieter\Documents\Eigene Bilder
[2010.01.22 20:20:18 | 00,000,000 | -HSD | C] -- C:\Users\hansdieter\Druckumgebung
[2010.01.22 20:20:18 | 00,000,000 | -HSD | C] -- C:\Users\hansdieter\Cookies
[2010.01.22 20:20:18 | 00,000,000 | -HSD | C] -- C:\Users\hansdieter\AppData\Local\Anwendungsdaten
[2010.01.22 20:20:18 | 00,000,000 | -HSD | C] -- C:\Users\hansdieter\Anwendungsdaten
[2010.01.22 20:20:17 | 00,000,000 | --SD | C] -- C:\Users\hansdieter\AppData\Roaming\Microsoft
[2010.01.22 20:20:17 | 00,000,000 | R--D | C] -- C:\Users\hansdieter\Videos
[2010.01.22 20:20:17 | 00,000,000 | R--D | C] -- C:\Users\hansdieter\Saved Games
[2010.01.22 20:20:17 | 00,000,000 | R--D | C] -- C:\Users\hansdieter\Pictures
[2010.01.22 20:20:17 | 00,000,000 | R--D | C] -- C:\Users\hansdieter\Music
[2010.01.22 20:20:17 | 00,000,000 | R--D | C] -- C:\Users\hansdieter\Links
[2010.01.22 20:20:17 | 00,000,000 | R--D | C] -- C:\Users\hansdieter\Favorites
[2010.01.22 20:20:17 | 00,000,000 | R--D | C] -- C:\Users\hansdieter\Downloads
[2010.01.22 20:20:17 | 00,000,000 | R--D | C] -- C:\Users\hansdieter\Documents
[2010.01.22 20:20:17 | 00,000,000 | R--D | C] -- C:\Users\hansdieter\Desktop
[2010.01.22 20:20:17 | 00,000,000 | -H-D | C] -- C:\Users\hansdieter\AppData
[2010.01.22 20:20:17 | 00,000,000 | ---D | C] -- C:\Users\hansdieter\AppData\Local\Microsoft
[2010.01.22 20:17:31 | 02,421,760 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wucltux.dll
[2010.01.22 20:17:31 | 00,044,768 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wups2.dll
[2010.01.22 20:17:15 | 00,575,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wuapi.dll
[2010.01.22 20:17:15 | 00,087,552 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wudriver.dll
[2010.01.22 20:17:15 | 00,035,552 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wups.dll
[2010.01.22 20:16:59 | 00,171,608 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wuwebv.dll
[2010.01.22 20:16:59 | 00,033,792 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wuapp.exe
[2010.01.22 20:15:27 | 00,000,000 | -HSD | C] -- C:\ProgramData\Vorlagen
[2010.01.22 20:15:27 | 00,000,000 | -HSD | C] -- C:\ProgramData\Startmenü
[2010.01.22 20:15:27 | 00,000,000 | -HSD | C] -- C:\Programme\Gemeinsame Dateien
[2010.01.22 20:15:27 | 00,000,000 | -HSD | C] -- C:\ProgramData\Favoriten
[2010.01.22 20:15:27 | 00,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Videos
[2010.01.22 20:15:27 | 00,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Musik
[2010.01.22 20:15:27 | 00,000,000 | -HSD | C] -- C:\Users\Public\Documents\Eigene Bilder
[2010.01.22 20:15:27 | 00,000,000 | -HSD | C] -- C:\ProgramData\Dokumente
[2010.01.22 20:15:27 | 00,000,000 | -HSD | C] -- C:\ProgramData\Anwendungsdaten
[2010.01.22 20:14:42 | 00,000,000 | ---D | C] -- C:\Windows\Debug
[2010.01.22 19:56:00 | 00,000,000 | ---D | C] -- C:\Windows\SoftwareDistribution
[2010.01.22 19:49:44 | 00,000,000 | ---D | C] -- C:\Windows\Prefetch
[2010.01.22 19:48:23 | 00,000,000 | ---D | C] -- C:\Windows\Panther
[2010.01.22 19:40:06 | 00,000,000 | ---D | C] -- C:\Windows.old
[2010.01.11 22:18:00 | 13,679,720 | ---- | C] (NVIDIA Corporation) -- C:\Windows\System32\nvcpl.dll
[2010.01.11 22:18:00 | 01,515,112 | ---- | C] (NVIDIA Corporation) -- C:\Windows\System32\nvsvcr.dll
[2010.01.11 22:18:00 | 00,962,664 | ---- | C] (NVIDIA Corporation) -- C:\Windows\System32\nvsvc.dll
[2010.01.11 22:18:00 | 00,129,640 | ---- | C] (NVIDIA Corporation) -- C:\Windows\System32\nvvsvc.exe
[2010.01.11 22:18:00 | 00,110,696 | ---- | C] (NVIDIA Corporation) -- C:\Windows\System32\nvmctray.dll
[2010.01.11 22:18:00 | 00,066,664 | ---- | C] (NVIDIA Corporation) -- C:\Windows\System32\nvshext.dll
[2009.12.27 19:01:51 | 00,000,000 | ---D | C] -- C:\StudioLine3

========== Files - Modified Within 30 Days ==========

[2010.01.22 23:08:58 | 00,786,432 | -HS- | M] () -- C:\Users\hansdieter\NTUSER.DAT
[2010.01.22 23:07:56 | 00,000,815 | ---- | M] () -- C:\Users\Public\Desktop\World of Warcraft.lnk
[2010.01.22 23:01:56 | 00,547,840 | ---- | M] (OldTimer Tools) -- C:\Users\hansdieter\Desktop\OTL.exe
[2010.01.22 22:52:01 | 00,001,138 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2345105982-2281799353-899230355-1000UA.job
[2010.01.22 22:33:35 | 00,035,370 | ---- | M] () -- C:\ProgramData\nvModes.dat
[2010.01.22 22:33:34 | 00,035,370 | ---- | M] () -- C:\ProgramData\nvModes.001
[2010.01.22 22:27:52 | 00,000,215 | ---- | M] () -- C:\Windows\system.ini
[2010.01.22 22:18:03 | 03,833,308 | R--- | M] () -- C:\Users\hansdieter\Desktop\fix.fox.exe
[2010.01.22 22:14:22 | 00,003,712 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2010.01.22 22:14:22 | 00,003,712 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2010.01.22 21:43:47 | 00,000,818 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.01.22 21:40:08 | 00,001,609 | ---- | M] () -- C:\Users\Public\Desktop\ICQ7.lnk
[2010.01.22 21:34:43 | 01,418,794 | ---- | M] () -- C:\Windows\System32\PerfStringBackup.INI
[2010.01.22 21:34:43 | 00,618,192 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2010.01.22 21:34:43 | 00,586,980 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2010.01.22 21:34:43 | 00,122,636 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2010.01.22 21:34:43 | 00,101,052 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2010.01.22 21:29:09 | 00,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2010.01.22 21:29:01 | 00,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.01.22 21:28:52 | 21,438,21824 | -HS- | M] () -- C:\hiberfil.sys
[2010.01.22 21:28:51 | 17,359,9913 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2010.01.22 21:19:44 | 00,334,720 | ---- | M] (Sysinternals - www.sysinternals.com) -- C:\Users\hansdieter\Documents\RootkitRevealer.exe
[2010.01.22 21:19:44 | 00,102,160 | ---- | M] () -- C:\Users\hansdieter\Documents\RootkitRevealer.chm
[2010.01.22 21:18:59 | 00,000,869 | ---- | M] () -- C:\Users\hansdieter\Desktop\World of Warcraft-Installationsprogramm.lnk
[2010.01.22 20:52:00 | 00,001,086 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2345105982-2281799353-899230355-1000Core.job
[2010.01.22 20:48:41 | 00,002,067 | ---- | M] () -- C:\Users\hansdieter\Desktop\Google Chrome.lnk
[2010.01.22 20:42:11 | 00,524,288 | -HS- | M] () -- C:\Users\hansdieter\NTUSER.DAT{d8932e6d-6a6f-11db-b6ab-a038f15a5785}.TMContainer00000000000000000002.regtrans-ms
[2010.01.22 20:42:11 | 00,524,288 | -HS- | M] () -- C:\Users\hansdieter\NTUSER.DAT{d8932e6d-6a6f-11db-b6ab-a038f15a5785}.TMContainer00000000000000000001.regtrans-ms
[2010.01.22 20:42:11 | 00,065,536 | -HS- | M] () -- C:\Users\hansdieter\NTUSER.DAT{d8932e6d-6a6f-11db-b6ab-a038f15a5785}.TM.blf
[2010.01.22 20:42:08 | 00,369,866 | -H-- | M] () -- C:\Users\hansdieter\AppData\Local\IconCache.db
[2010.01.22 20:42:08 | 00,000,680 | ---- | M] () -- C:\Users\hansdieter\AppData\Local\d3d9caps.dat
[2010.01.22 20:27:43 | 00,002,360 | ---- | M] () -- C:\Users\Public\Desktop\Driver Detective.lnk
[2010.01.22 20:21:07 | 00,048,600 | ---- | M] () -- C:\Users\hansdieter\AppData\Local\GDIPFONTCACHEV1.DAT
[2010.01.22 20:20:18 | 00,000,020 | -HS- | M] () -- C:\Users\hansdieter\ntuser.ini
[2010.01.22 20:03:32 | 00,228,840 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2010.01.22 19:59:11 | 00,060,826 | ---- | M] () -- C:\Windows\System32\license.rtf
[2010.01.22 19:57:48 | 00,000,000 | -H-- | M] () -- C:\Windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf
[2010.01.22 19:48:08 | 00,008,192 | R-S- | M] () -- C:\BOOTSECT.BAK
[2010.01.12 05:03:33 | 14,924,392 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\nvoglv32.dll
[2010.01.12 05:03:33 | 11,639,400 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\nvcompiler.dll
[2010.01.12 05:03:33 | 11,586,280 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\drivers\nvlddmkm.sys
[2010.01.12 05:03:33 | 09,388,648 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\nvd3dum.dll
[2010.01.12 05:03:33 | 04,321,384 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\nvwgf2um.dll
[2010.01.12 05:03:33 | 04,077,672 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\nvcuvenc.dll
[2010.01.12 05:03:33 | 04,061,800 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\nvcuda.dll
[2010.01.12 05:03:33 | 02,243,176 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\nvcuvid.dll
[2010.01.12 05:03:33 | 01,280,616 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\nvapi.dll
[2010.01.12 05:03:33 | 00,795,104 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\dpinst.exe
[2010.01.12 05:03:33 | 00,182,888 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\nvcod189.dll
[2010.01.12 05:03:33 | 00,182,888 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\nvcod.dll
[2010.01.12 05:03:33 | 00,068,200 | ---- | M] (Khronos Group) -- C:\Windows\System32\OpenCL.dll
[2010.01.12 05:03:33 | 00,010,920 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\drivers\nvBridge.kmd
[2010.01.12 05:03:33 | 00,007,437 | ---- | M] () -- C:\Windows\System32\nvinfo.pb
[2010.01.11 22:18:44 | 00,271,481 | ---- | M] () -- C:\Windows\System32\NvApps.xml
[2010.01.11 22:18:44 | 00,065,332 | ---- | M] () -- C:\Windows\System32\NvwsApps.xml
[2010.01.11 22:18:00 | 13,679,720 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\nvcpl.dll
[2010.01.11 22:18:00 | 01,515,112 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\nvsvcr.dll
[2010.01.11 22:18:00 | 00,962,664 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\nvsvc.dll
[2010.01.11 22:18:00 | 00,129,640 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\nvvsvc.exe
[2010.01.11 22:18:00 | 00,110,696 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\nvmctray.dll
[2010.01.11 22:18:00 | 00,066,664 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\nvshext.dll
[2010.01.07 16:07:14 | 00,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2010.01.07 16:07:04 | 00,019,160 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys

========== Files Created - No Company Name ==========

[2010.01.22 22:23:28 | 00,261,632 | ---- | C] () -- C:\Windows\PEV.exe
[2010.01.22 22:23:28 | 00,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2010.01.22 22:23:28 | 00,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2010.01.22 22:23:28 | 00,077,312 | ---- | C] () -- C:\Windows\MBR.exe
[2010.01.22 22:23:28 | 00,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2010.01.22 22:18:02 | 03,833,308 | R--- | C] () -- C:\Users\hansdieter\Desktop\fix.fox.exe
[2010.01.22 21:43:47 | 00,000,818 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.01.22 21:40:08 | 00,001,609 | ---- | C] () -- C:\Users\Public\Desktop\ICQ7.lnk
[2010.01.22 21:18:59 | 00,000,869 | ---- | C] () -- C:\Users\hansdieter\Desktop\World of Warcraft-Installationsprogramm.lnk
[2010.01.22 21:05:11 | 00,000,815 | ---- | C] () -- C:\Users\Public\Desktop\World of Warcraft.lnk
[2010.01.22 21:01:57 | 17,359,9913 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2010.01.22 20:48:41 | 00,002,067 | ---- | C] () -- C:\Users\hansdieter\Desktop\Google Chrome.lnk
[2010.01.22 20:47:35 | 00,001,138 | ---- | C] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2345105982-2281799353-899230355-1000UA.job
[2010.01.22 20:47:29 | 00,001,086 | ---- | C] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2345105982-2281799353-899230355-1000Core.job
[2010.01.22 20:45:06 | 00,035,370 | ---- | C] () -- C:\ProgramData\nvModes.dat
[2010.01.22 20:45:06 | 00,035,370 | ---- | C] () -- C:\ProgramData\nvModes.001
[2010.01.22 20:39:17 | 00,007,437 | ---- | C] () -- C:\Windows\System32\nvinfo.pb
[2010.01.22 20:27:43 | 00,002,360 | ---- | C] () -- C:\Users\Public\Desktop\Driver Detective.lnk
[2010.01.22 20:20:22 | 00,000,680 | ---- | C] () -- C:\Users\hansdieter\AppData\Local\d3d9caps.dat
[2010.01.22 20:20:18 | 00,000,020 | -HS- | C] () -- C:\Users\hansdieter\ntuser.ini
[2010.01.22 20:20:17 | 00,524,288 | -HS- | C] () -- C:\Users\hansdieter\NTUSER.DAT{d8932e6d-6a6f-11db-b6ab-a038f15a5785}.TMContainer00000000000000000002.regtrans-ms
[2010.01.22 20:20:17 | 00,524,288 | -HS- | C] () -- C:\Users\hansdieter\NTUSER.DAT{d8932e6d-6a6f-11db-b6ab-a038f15a5785}.TMContainer00000000000000000001.regtrans-ms
[2010.01.22 20:20:17 | 00,065,536 | -HS- | C] () -- C:\Users\hansdieter\NTUSER.DAT{d8932e6d-6a6f-11db-b6ab-a038f15a5785}.TM.blf
[2010.01.22 20:20:16 | 00,786,432 | -HS- | C] () -- C:\Users\hansdieter\NTUSER.DAT
[2010.01.22 20:02:47 | 21,438,21824 | -HS- | C] () -- C:\hiberfil.sys
[2010.01.22 19:57:48 | 00,000,000 | -H-- | C] () -- C:\Windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf
[2010.01.11 22:18:44 | 00,271,481 | ---- | C] () -- C:\Windows\System32\NvApps.xml
[2010.01.11 22:18:44 | 00,065,332 | ---- | C] () -- C:\Windows\System32\NvwsApps.xml
[2006.11.02 08:40:29 | 00,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
< End of report >


extras:
OTL Extras logfile created on: 22.01.2010 23:09:31 - Run 1
OTL by OldTimer - Version 3.1.25.4 Folder = C:\Users\hansdieter\Desktop
Windows Vista Home Basic Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 68,00% Memory free
4,00 Gb Paging File | 4,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 186,31 Gb Total Space | 95,62 Gb Free Space | 51,32% Space Free | Partition Type: NTFS
Drive D: | 7,71 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: H
Current User Name: han
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
.html [@ = htmlfile] -- C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation)

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = ChromeHTML] -- C:\Users\hansdieter\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Program Files\Internet Explorer\IEXPLORE.EXE" %1 (Microsoft Corporation)
http [open] -- "C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome (Microsoft Corporation)
https [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Program Files\Internet Explorer\iexplore.exe" (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
"FirewallDisableNotify" = 0
"AntiVirusDisableNotify" = 0
"UpdatesDisableNotify" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"oobe_av" = 1
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]


========== Vista Active Open Ports Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

========== Vista Active Application Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{02F30675-EB5A-49B1-9ABD-D20AD38878CF}" = protocol=17 | dir=in | app=c:\program files\icq7.0\aolload.exe |
"{2A80CDC7-FA8F-4612-B510-BE7C4C6A58A3}" = protocol=17 | dir=in | app=c:\program files\icq7.0\icq.exe |
"{2BF1408F-FB9D-407F-B6C7-569650DD3C0E}" = protocol=6 | dir=in | app=c:\program files\icq7.0\aolload.exe |
"{3712857E-680B-4A6A-8EE2-D173BC2EE6B6}" = protocol=17 | dir=in | app=c:\users\public\games\world of warcraft\wow-3.2.0-dede-downloader.exe |
"{47E6334A-72B1-482F-A81C-FEEF6FC816CA}" = protocol=17 | dir=in | app=c:\program files\icq7.0\icq.exe |
"{74524C3F-3223-4BA2-8A46-5E30C6179235}" = protocol=6 | dir=in | app=c:\program files\icq7.0\icq.exe |
"{D168E14E-0B9B-401A-B38B-00C41CA3CE34}" = protocol=6 | dir=in | app=c:\program files\icq7.0\aolload.exe |
"{DDFBF236-9828-4029-A4BF-0EC50662F25C}" = protocol=17 | dir=in | app=c:\program files\icq7.0\aolload.exe |
"{E2595E03-3E98-4B7F-8097-090A4B8ED354}" = protocol=6 | dir=in | app=c:\program files\icq7.0\icq.exe |
"{FB745424-EF54-42B3-94A0-73554FB16E3E}" = protocol=6 | dir=in | app=c:\users\public\games\world of warcraft\wow-3.2.0-dede-downloader.exe |
"TCP Query User{61E2696E-7E32-4A7E-9D76-ED8614A3C108}C:\users\public\games\world of warcraft\launcher.exe" = protocol=6 | dir=in | app=c:\users\public\games\world of warcraft\launcher.exe |
"UDP Query User{1A6F2D8F-59EA-4801-BE9F-236657283197}C:\users\public\games\world of warcraft\launcher.exe" = protocol=17 | dir=in | app=c:\users\public\games\world of warcraft\launcher.exe |

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{4640FDE1-B83A-4376-84ED-86F86BEE2D41}" = Driver Detective
"{88EB38EF-4D2C-436D-ABD3-56B232674062}" = ICQ7
"{E10DB5DA-E576-40EA-A7FC-1CB2A7B283A6}" = NVIDIA PhysX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"ICQToolbar" = ICQ Toolbar
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"NVIDIA Display Control Panel" = NVIDIA Display Control Panel
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
"SystemRequirementsLab" = System Requirements Lab
"World of Warcraft" = World of Warcraft

========== HKEY_CURRENT_USER Uninstall List ==========

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 22.01.2010 15:15:13 | Computer Name = h | Source = WinMgmt | ID = 10
Description =

Error - 22.01.2010 15:16:43 | Computer Name = + | Source = Windows Search Service Profile Notification | ID = 2
Description =

Error - 22.01.2010 15:41:43 | Computer Name = +| Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Program Files\NVIDIA
Corporation\3D Vision\Nv3DVisionIePlugin.dll". Die abhängige Assemblierung "Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8""
konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm
"sxstrace.exe".

Error - 22.01.2010 15:45:13 | Computer Name = hurensohn | Source = WinMgmt | ID = 10
Description =

Error - 22.01.2010 15:59:31 | Computer Name = + | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung r35chbm5.exe, Version 1.0.15.15281, Zeitstempel
0x4b2763f0, fehlerhaftes Modul r35chbm5.exe, Version 1.0.15.15281, Zeitstempel
0x4b2763f0, Ausnahmecode 0xc0000005, Fehleroffset 0x0000c4b1, Prozess-ID 0x3c4, Anwendungsstartzeit
01ca9b9d2c6bbf6b.

Error - 22.01.2010 16:03:30 | Computer Name = + | Source = WinMgmt | ID = 10
Description =

Error - 22.01.2010 16:30:37 | Computer Name = + | Source = WinMgmt | ID = 10
Description =

[ System Events ]
Error - 22.01.2010 16:20:20 | Computer Name = + | Source = Service Control Manager | ID = 7000
Description =

Error - 22.01.2010 16:20:20 | Computer Name = + | Source = Service Control Manager | ID = 7030
Description =

Error - 22.01.2010 16:20:50 | Computer Name = + | Source = Service Control Manager | ID = 7009
Description =

Error - 22.01.2010 16:20:50 | Computer Name = +| Source = Service Control Manager | ID = 7000
Description =

Error - 22.01.2010 16:29:02 | Computer Name = *** | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am 22.01.2010 um 21:24:42 unerwartet heruntergefahren.

Error - 22.01.2010 16:29:10 | Computer Name = *** | Source = HTTP | ID = 15016
Description =

Error - 22.01.2010 16:39:53 | Computer Name = +| Source = Service Control Manager | ID = 7030
Description =

Error - 22.01.2010 16:39:54 | Computer Name = *** | Source = Service Control Manager | ID = 7030
Description =

Error - 22.01.2010 17:23:47 | Computer Name = ***| Source = Service Control Manager | ID = 7030
Description =

Error - 22.01.2010 17:27:50 | Computer Name = **| Source = Service Control Manager | ID = 7030
Description =


< End of report >

gmer geht auch im abgesicherten modus nicht

bei Device\Harddiskvolumeshadowcopy hört er auf und schmeißt mir raus das das programm abgestürzt ist



super nett von dir und bin echt froh das der support hier so gut ist

Hi,

auch nichts zu erkennen...

Deinstalliere Combofix (combofix /uninstal und lass dann prevx los:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris

der log war riesieg aber das programm hat nichts gefunden also geh ich mal da von aus das da auch nichts ist...

und der GMER bei Device\Harddiskvolumeshadowcopy hat auhc nichts zubedeuten oder?

also kann man nun insgesamt ein rootkit ausschließen richtig ?

danke im vorraus für die ganze hilfe

Hi,

die Volumenschattenkopie gehört zum Betriebssystem...
Und sagen wir mal so: Ein Log von einem Rookitscanner hat ja bisher nicht geklappt...
Probieren wir also noch:Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

chris

ja super geht auch nicht

"Diese Anwendung konnte nicht gestartet werden, da die Side-by-Side-Konfiguration ungültig ist. Weitere Informationen finden Sie ihm Ereignisprotokol."

Hi,

hmm, prüfen wir mal mit mbr.exe und dann werden wir uns wohl eine Boot-CD bauen müssen...

MBR-Rootkit

Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;

Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Achtung! Vista und Win7-User müssen mbr.exe als "Administrator"
ausführen. Dazu muss die Console mit Adminrechten ausgestattet sein,
am Besten einen Link auf dem Desktop wie folgt erstellen:
Rechtsklick auf den Desktop, Neu-Verknüpfung erstellen, Ziel:
C:\Windows\System32\cmd.exe Name eingeben, Fertig.
Dann Rechtsklick auf die neu erstellte Verknüpfung und "Ausführen als
Administrator" auswählen, UAC und wie oben beschrieben in das
Verzeichnis wechseln und mbr.exe starten.

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log, poste es im Thread;

Dr. Web-Live-CD
Lade Dir das Abbild (http://freedrweb.com/livecd) runter (jeweils die neuste Version, z. Z. ftp://ftp.drweb.com/pub/drweb/livecd/20091231042002/) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen...
Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt...
Weiter Anweisungen: http://www.freedrweb.com/livecd/how_it_works/

chris

heute ging komischer weise catchme

Das ergebnis:

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-23 13:53:07
Windows 6.0.6001 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

mbr log:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


muss leider für paar stunden weg

aber 2 fragen, hat der catchme log bzw der mbr log was zu sagen und ist das noch nötig dr. web zu benutzen?
und muss ich das als boot cd brennen?

würd mich freuen wenn ich mich in irgendeiner art bei dir revanchieren könnte.

Hi,

die CD brauchst Du nur, wenn Du Dir sicher sein willst.
Es ist bisher nichts zu finden...
Der Vorteil einer solchen CD ist (wenn man eine hat), man kann von CD booten, dann liegen die ganzen schönen Sachen (Rootkits, Trojaner etc.) hilflos auf der Platte rum (den Rest kannst Du dir ja denken).
Wenn Du von der verseuchten Platte Windows startest, dann ist die Bereinigung
ungleich schwerer, da ja die liebe Malware dann auch gestartet wird... und die scanner blokieren kann, sich per rootkit unsichtbar machen etc. etc...

Die Empfehlung lautet daher eine solche CD in "der Hinterhand" zu haben...
Ausserdem kannst Du dann ab- und an den Rechner einfach mal so zur Sicherheit von CD aus prüfen lassen...

chris

so habe Dr. Web laufen lass , sprich gebrannt gebootet und scannen lassen.

Ergebnis ist das, das nichts gefunden wurde also gehe ich davon aus das auf meinem rechner keinerlei viren sind


seh ich das richtig ?