Backdoor oder Trojaner noch immer auf meinem System?

bmw-m3 · 04.09.2010, 12:12

Hallo erstmal!

Ich wende mich heute hier an euch, weil ich vor ca. 14 Tagen bemerkte, dass ich allmählich die Kontrolle über meinen Firmenlaptop verlor und ausspioniert wurde. Leider konnte ich den Übeltäter bisher nichtmal identifizieren und kann nur die mir aufgefallen Symptome umschreiben: Es wurden Logfiles mit dubiosen Endungen erstellt denen man beim Wachsen zusehen konnte. Diese enthielten meine Dateiverzeichnisse, Textfragmente von mir Geschriebenem, Installierte Software und deren Key´s, Kamerabilder und was weiß ich noch alles mehr. Einstellungen die ich vornahm, wurden wieder geändert (z.B. versteckte Dateien einblenden wurde durch einen "Hide" Shell-Eintrag ausgehebelt). Rechte in der Registry wurden mir entzogen. Neue Dienste wurden erstellt und an bestehenden die Rechte übernommen. Genauso die Prozesse. Nicht-PnP Treiber wurden erstellt. Und das Übel scheint seine Handlungen immer vor deren Ausführung "unsichtbar" zu machen. Überall in der Registry, den Diensten und Prozessen tauchen dann immer mehr dubiose Root-Befehle und merkwürdige Strings die mit einer Verschlüsselung aufhören. Datei-Endungen wurden in Ihrer Funktion geändert, Virenkiller haben mitten im Scannen einfach aufgehört und sich ohne Meldungen einfach beendet. Bei G-Data kam sogar mitten in der Installation die Meldung der Dienst "Windows Installer" stünde nicht zur Verfügung.

Ich habe mein System mittlerweile bestimmt 10 mal neu aufgesetzt, zuletzt mit der Befehlsfolge: fixmbr, fixboot, format c: und hatte bis gestern Abend auch ein recht gutes Gefühl den Hund endlich losgeworden zu sein, aber nun habe ich doch wieder Bedenken. Der "Bootkit Remover" meldete mir den Fund eines "Unknown Boot code"...

Habe Anleitung A abgearbeitet, wobei es zu erwähnen gibt, dass mir beim Ausführen der gmer.exe ein svchost-Dienst eine 100%-CPU-Last beschert hat und ich daraufhin nicht mehr normal herunterfahren konnte. Hier die benötigten Logfiles:

PHP-Code:

  Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 
Datenbank Version: 4539

 
Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 
03.09.2010 22:55:10

mbam-log-2010-09-03 (22-55-10).txt

 
Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 134300

Laufzeit: 3 Minute(n), 58 Sekunde(n)

 
Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0

 
Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)

 
Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)

 
Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)

 
Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)

 
Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)

 
Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)

 
Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

PHP-Code:

  defogger_disable by jpshortstuff (23.02.10.1)

Log created at 23:01 on 03/09/2010 (XPS-1730)

 
Checking for autostart values...

HKCU\~\Run values retrieved.

HKLM\~\Run values retrieved.

 
Checking for services/drivers...

 
 
-=E.O.F=-

PHP-Code:

  .text           ntkrnlpa.exe!ZwCallbackReturn + 2CE0                                                        8050457C 4 Bytes  JMP C9A4F308 

?               SYMDS.SYS                                                                                   Das System kann die angegebene Datei nicht finden. !

?               SYMEFA.SYS                                                                                  Das System kann die angegebene Datei nicht finden. !

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                    section is writeable [0xB54473A0, 0x59FFE5, 0xE8000020]

init            C:\WINDOWS\system32\Drivers\OEM02Afx.sys                                                    entry point in "init" section [0xAE9B6310]

 
---- User code sections - GMER 1.0.15 ----

 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3080] USER32.dll!DialogBoxParamW                7E3747AB 5 Bytes  JMP 41195501 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3080] USER32.dll!CreateWindowExW                7E37D0A3 5 Bytes  JMP 4126DB24 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3080] USER32.dll!DialogBoxIndirectParamW        7E382072 5 Bytes  JMP 41364B6F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3080] USER32.dll!MessageBoxIndirectA            7E38A082 5 Bytes  JMP 41364AA1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3080] USER32.dll!DialogBoxParamA                7E38B144 5 Bytes  JMP 41364B0C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3080] USER32.dll!MessageBoxExW                  7E3A0838 5 Bytes  JMP 41364972 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3080] USER32.dll!MessageBoxExA                  7E3A085C 5 Bytes  JMP 413649D4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3080] USER32.dll!DialogBoxIndirectParamA        7E3A6D7D 5 Bytes  JMP 41364BD2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3080] USER32.dll!MessageBoxIndirectW            7E3B64D5 5 Bytes  JMP 41364A36 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] ntdll.dll!RtlValidateUnicodeString + 554  7C9263BE 10 Bytes  JMP 0249003A 

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!DialogBoxParamW                7E3747AB 5 Bytes  JMP 41195501 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!SetWindowsHookExW              7E37820F 5 Bytes  JMP 41269AD5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!CallNextHookEx                 7E37B3C6 5 Bytes  JMP 4125D135 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!CreateWindowExW                7E37D0A3 5 Bytes  JMP 4126DB24 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!UnhookWindowsHookEx            7E37D5F3 5 Bytes  JMP 411D4666 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!DialogBoxIndirectParamW        7E382072 5 Bytes  JMP 41364B6F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!MessageBoxIndirectA            7E38A082 5 Bytes  JMP 41364AA1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!DialogBoxParamA                7E38B144 5 Bytes  JMP 41364B0C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!MessageBoxExW                  7E3A0838 5 Bytes  JMP 41364972 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!MessageBoxExA                  7E3A085C 5 Bytes  JMP 413649D4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!DialogBoxIndirectParamA        7E3A6D7D 5 Bytes  JMP 41364BD2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!MessageBoxIndirectW            7E3B64D5 5 Bytes  JMP 41364A36 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] ole32.dll!OleInitialize + E37             774D0521 7 Bytes  JMP 024900F3 

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] ole32.dll!CoCreateInstance                774D057E 5 Bytes  JMP 4126DB80 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] ole32.dll!CoImpersonateClient + 51        774E56C0 7 Bytes  JMP 024901A9 

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] ole32.dll!OleLoadFromStream               774F9C85 5 Bytes  JMP 41364EF0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

 
---- Devices - GMER 1.0.15 ----

 
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                    SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                     SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                   SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                   SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                 SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

 
---- EOF - GMER 1.0.15 ----

Die OTL-File mußte ich wohl wegen Ihrer Größe anhängen.

Kann mir denn bitte bitte jemand helfen und mir sagen, ob mein XPS nun sauber ist oder nicht? Da ich nichtmal weiß was ich mir da eingefangen hatte und wie ich mich davor schützen kann, trau ich mich zur Zeit nicht an meine gesicherten Dateien (die sind ja viel. oder sogar bestimmt auch "verseuch") Ich verdiene mit diesem Laptop meinen Lebensunterhalt und bin mit meinem Latein sowie meinen Nerven echt am Ende. Darum wäre euch euch für eine schnelle Hilfe wirklich sehr dankbar.

cosinus · 05.09.2010, 16:44

Zitat:

Ich habe mein System mittlerweile bestimmt 10 mal neu aufgesetzt, zuletzt mit der Befehlsfolge: fixmbr, fixboot, format c: und hatte bis gestern Abend auch ein recht gutes Gefühl den Hund endlich losgeworden zu sein, aber nun habe ich doch wieder Bedenken. Der "Bootkit Remover" meldete mir den Fund eines "Unknown Boot code"...

Eine Formatierung überlebt kein Schädling. Hast Du danach Setups wieder ausgeführt, die auch vom infizierten System verarbeitet wurden?

Wurde vor dem ersten Gang ins Internet zumindest das SP3 offline eingespielt? Erst dann kannst Du rel. gefahrlos ins Internet und weitere Updates installieren lassen.

bmw-m3 · 05.09.2010, 18:17

Erster Gang ins Internet zwar nur mit SP2, aber dafür erst NIS 2011 und dann direkt über den Sicherheitscenter die Updates abgerufen (natürlich inkl. SP3).

Bisher hab ich bis auf 5 Excel-Dateien, die ich wirklich dringend zum Arbeiten benötigte, überhaupt keine Datei aufgespielt und auch kein Setup von irgendetwas das infiziert sein könnte. Alles Original-CD´s bzw. beim jeweiligen Hersteller direkt von dessen Homepage gedownloadet, außer etlichen Prüfprogrammen von eurer Seite. Die Excel-Dateien musste ich mir allerdings über einen USB-Stick von einer vielleicht infizierten Platte holen. Diese liefen allerdings zuerst durch Lavasoft Ad-Aware und AVG IS auf einem anderen Laptop (den habe ich heute nach mit DBAN platt gemacht und neu aufgesetzt), dann durch Malwarebytes und den NIS auf meinem Firmenlaptop. Keinerlei Meldung.

Auf der evtl. infizierten Platte liegen allerdings noch ca. 350 GB Daten (leider auch Setup´s) welche ich unbedingt brauche. Was kann ich mehr tun um mich weitestgehend zu schützen? Ich arbeite eigentlich sehr akribisch und kann mir absolut nicht vorstellen, wie ich mir das Teil wieder und wieder einfangen konnte. Ich hatte mein XP neu aufgesetzt und weder eine Internet-Verbindung noch eine Datei per USB-Stick aufgespielt und trotzdem wurden neue Nicht-PnP-Treiber installiert und immer mehr unbekannte Prozesse eingerichtet, ohne dass ich neue Programme oder Hardware installiert habe. Ich kann nur vermuten dass es an meiner Formatierungsweise lag und der Backdoor (vermute ich zumindest) sich in der MBR verborg. Leider konnte ich das Übel bisher ja leider nicht mal identifizieren und bin deshalb immer noch besorgt...

Ich hab hier noch eine hjt-logfile von meinem mittlerweile auch neu aufgesetztem zweitem Notebook (vielleicht hilft die ja):

PHP-Code:

   [CODE] 

                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 

                        º                                    º 

                                    hjtscanlist v2.0              

                        º                                    º 

                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 

 
Microsoft Windows [Version 6.1.7600]

 

 

C:

 
  29.08.2010 14:27     C:\Windows --------- 24576   

  29.08.2010 14:27     C:\ProgramData --------- 4096   

       C:\pagefile.sys ---------    

       C:\hiberfil.sys ---------    

  29.08.2010 13:55     C:\aaw7boot.log --------- 4479   

  29.08.2010 12:35     C:\System Volume Information --------- 8192   

  29.08.2010 11:21     C:\IO.SYS --------- 0   

  29.08.2010 11:21     C:\MSDOS.SYS --------- 0   

  29.08.2010 00:23     C:\Program Files --------- 8192   

  24.08.2010 04:58     C:\BOOTSECT.BAK --------- 8192   

  24.08.2010 04:58     C:\Boot --------- 4096   

  23.08.2010 19:28     C:\$Recycle.Bin --------- 0   

  23.08.2010 19:28     C:\Users --------- 4096   

  23.08.2010 19:28     C:\Recovery --------- 0   

  23.08.2010 19:28     C:\Programme --------- 0   

  23.08.2010 19:28     C:\Dokumente und Einstellungen --------- 0   

  14.07.2009 06:53     C:\Documents and Settings --------- 0   

  14.07.2009 04:37     C:\PerfLogs --------- 0   

  14.07.2009 03:38     C:\bootmgr --------- 383562   

----------------------------------------

 
 

C:\Windows

 
  29.08.2010 14:27     C:\Windows\ntbtlog.txt --------- 375574   

  29.08.2010 13:55     C:\Windows\bootstat.dat --------- 67584   

  29.08.2010 12:56     C:\Windows\WindowsUpdate.log --------- 734729   

  29.08.2010 12:20     C:\Windows\setupact.log --------- 224   

  28.08.2010 00:05     C:\Windows\setuperr.log --------- 0   

  31.10.2009 07:45     C:\Windows\explorer.exe --------- 2614272   

  14.07.2009 06:54     C:\Windows\win.ini --------- 403   

  14.07.2009 06:41     C:\Windows\WindowsShell.Manifest --------- 749   

  14.07.2009 03:16     C:\Windows\twain_32.dll --------- 51200   

  14.07.2009 03:14     C:\Windows\write.exe --------- 9216   

  14.07.2009 03:14     C:\Windows\winhlp32.exe --------- 9728   

  14.07.2009 03:14     C:\Windows\twunk_32.exe --------- 31232   

  14.07.2009 03:14     C:\Windows\regedit.exe --------- 398336   

  14.07.2009 03:14     C:\Windows\notepad.exe --------- 179712   

  14.07.2009 03:14     C:\Windows\hh.exe --------- 15360   

  14.07.2009 03:14     C:\Windows\HelpPane.exe --------- 497152   

  14.07.2009 03:14     C:\Windows\fveupdate.exe --------- 13824   

  14.07.2009 03:14     C:\Windows\bfsvc.exe --------- 65024   

  14.07.2009 00:58     C:\Windows\mib.bin --------- 43131   

  10.06.2009 23:46     C:\Windows\system.ini --------- 219   

  10.06.2009 23:42     C:\Windows\_default.pif --------- 707   

  10.06.2009 23:42     C:\Windows\winhelp.exe --------- 256192   

  10.06.2009 23:41     C:\Windows\twunk_16.exe --------- 49680   

  10.06.2009 23:41     C:\Windows\twain.dll --------- 94784   

  10.06.2009 23:34     C:\Windows\WMSysPr9.prx --------- 316640   

  10.06.2009 23:19     C:\Windows\msdfmap.ini --------- 1405   

  10.06.2009 23:14     C:\Windows\Starter.xml --------- 48201   

  10.06.2009 23:14     C:\Windows\HomePremium.xml --------- 48265   

----------------------------------------

 
 

C:\Windows\System

 
 13.07.2009 23:41      C:\Windows\System\OLESVR.DLL --------- 24064 

 13.07.2009 23:41      C:\Windows\System\WFWNET.DRV --------- 12704 

 13.07.2009 23:41      C:\Windows\System\COMMDLG.DLL --------- 32816 

 13.07.2009 23:41      C:\Windows\System\TIMER.DRV --------- 4048 

 13.07.2009 23:41      C:\Windows\System\MMSYSTEM.DLL --------- 68992 

 13.07.2009 23:41      C:\Windows\System\mmtask.tsk --------- 1152 

 13.07.2009 23:41      C:\Windows\System\mouse.drv --------- 2032 

 13.07.2009 23:41      C:\Windows\System\vga.drv --------- 2176 

 13.07.2009 23:41      C:\Windows\System\sound.drv --------- 1744 

 13.07.2009 23:41      C:\Windows\System\keyboard.drv --------- 2000 

 13.07.2009 23:41      C:\Windows\System\SHELL.DLL --------- 5120 

 13.07.2009 23:41      C:\Windows\System\system.drv --------- 3360 

 10.06.2009 23:42      C:\Windows\System\ver.dll --------- 9008 

 10.06.2009 23:42      C:\Windows\System\olecli.dll --------- 82944 

 10.06.2009 23:42      C:\Windows\System\lzexpand.dll --------- 9936 

 10.06.2009 23:25      C:\Windows\System\stdole.tlb --------- 5532 

 10.06.2009 23:21      C:\Windows\System\msvideo.dll --------- 126912 

 10.06.2009 23:21      C:\Windows\System\mciwave.drv --------- 28160 

 10.06.2009 23:21      C:\Windows\System\mciseq.drv --------- 25264 

 10.06.2009 23:21      C:\Windows\System\mciavi.drv --------- 73376 

 10.06.2009 23:21      C:\Windows\System\avifile.dll --------- 109456 

 10.06.2009 23:21      C:\Windows\System\avicap.dll --------- 69584 

----------------------------------------

 
 

C:\Windows\System32

 
 29.08.2010 14:27     C:\Windows\system32\drivers --------- 65536  

 29.08.2010 14:27     C:\Windows\system32\catroot2 --------- 16384  

 29.08.2010 14:25     C:\Windows\system32\catroot --------- 0  

 29.08.2010 14:25     C:\Windows\system32\DriverStore --------- 4096  

 29.08.2010 13:59     C:\Windows\system32\perfh009.dat --------- 615810  

 29.08.2010 13:59     C:\Windows\system32\perfc009.dat --------- 106190  

 29.08.2010 13:59     C:\Windows\system32\perfh007.dat --------- 653928  

 29.08.2010 13:59     C:\Windows\system32\perfc007.dat --------- 129800  

 29.08.2010 13:59     C:\Windows\system32\PerfStringBackup.INI --------- 1498506  

 29.08.2010 12:54     C:\Windows\system32\rpcnetp.exe --------- 17408  

 29.08.2010 12:36     C:\Windows\system32\config --------- 49152  

 29.08.2010 12:27     C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 --------- 14800  

 29.08.2010 12:27     C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 --------- 14800  

 29.08.2010 12:23     C:\Windows\system32\agremove.exe --------- 44544  

 29.08.2010 11:34     C:\Windows\system32\Tasks --------- 4096  

 29.08.2010 10:21     C:\Windows\system32\javaws.exe --------- 153376  

 29.08.2010 10:21     C:\Windows\system32\javaw.exe --------- 145184  

 29.08.2010 10:21     C:\Windows\system32\java.exe --------- 145184  

 29.08.2010 10:21     C:\Windows\system32\deployJava1.dll --------- 423656  

 29.08.2010 09:23     C:\Windows\system32\NDF --------- 4096  

 29.08.2010 00:23     C:\Windows\system32\wbem --------- 65536  

 29.08.2010 00:19     C:\Windows\system32\LogFiles --------- 4096  

 28.08.2010 00:56     C:\Windows\system32\migwiz --------- 8192  

 28.08.2010 00:56     C:\Windows\system32\oobe --------- 8192  

 28.08.2010 00:56     C:\Windows\system32\winrm --------- 4096  

 28.08.2010 00:56     C:\Windows\system32\sysprep --------- 4096  

 28.08.2010 00:56     C:\Windows\system32\Boot --------- 4096  

 28.08.2010 00:56     C:\Windows\system32\slmgr --------- 4096  

 28.08.2010 00:56     C:\Windows\system32\migration --------- 8192  

 28.08.2010 00:56     C:\Windows\system32\Setup --------- 4096  

 28.08.2010 00:56     C:\Windows\system32\XPSViewer --------- 4096  

 28.08.2010 00:56     C:\Windows\system32\en-US --------- 147456  

 28.08.2010 00:56     C:\Windows\system32\WCN --------- 4096  

 28.08.2010 00:56     C:\Windows\system32\Dism --------- 8192  

 28.08.2010 00:56     C:\Windows\system32\MUI --------- 4096  

 28.08.2010 00:56     C:\Windows\system32\Printing_Admin_Scripts --------- 4096  

 28.08.2010 00:56     C:\Windows\system32\hu-HU --------- 217088  

 28.08.2010 00:56     C:\Windows\system32\com --------- 4096  

 28.08.2010 00:54     C:\Windows\system32\tr-TR --------- 217088  

 28.08.2010 00:52     C:\Windows\system32\cs-CZ --------- 299008  

 28.08.2010 00:49     C:\Windows\system32\th-TH --------- 65536  

 28.08.2010 00:48     C:\Windows\system32\es-ES --------- 221184  

 28.08.2010 00:46     C:\Windows\system32\sl-SI --------- 65536  

 28.08.2010 00:44     C:\Windows\system32\sk-SK --------- 61440  

 28.08.2010 00:42     C:\Windows\system32\sv-SE --------- 217088  

 28.08.2010 00:40     C:\Windows\system32\ru-RU --------- 299008  

 28.08.2010 00:37     C:\Windows\system32\ro-RO --------- 65536  

 28.08.2010 00:35     C:\Windows\system32\pt-PT --------- 286720  

 26.08.2010 16:36     C:\Windows\system32\pt-BR --------- 299008  

 26.08.2010 16:35     C:\Windows\system32\pl-PL --------- 217088  

 26.08.2010 16:35     C:\Windows\system32\nb-NO --------- 327680  

 26.08.2010 16:34     C:\Windows\system32\nl-NL --------- 221184  

 26.08.2010 16:34     C:\Windows\system32\ko-KR --------- 299008  

 26.08.2010 16:33     C:\Windows\system32\ja-JP --------- 221184  

 26.08.2010 16:33     C:\Windows\system32\it-IT --------- 221184  

 26.08.2010 16:32     C:\Windows\system32\he-IL --------- 143360  

 26.08.2010 16:32     C:\Windows\system32\el-GR --------- 286720  

 26.08.2010 16:31     C:\Windows\system32\fr-FR --------- 221184  

 26.08.2010 16:31     C:\Windows\system32\fi-FI --------- 217088  

 26.08.2010 16:30     C:\Windows\system32\da-DK --------- 217088  

 26.08.2010 16:29     C:\Windows\system32\zh-TW --------- 299008  

 25.08.2010 18:48     C:\Windows\system32\DRVSTORE --------- 0  

 25.08.2010 18:44     C:\Windows\system32\de-DE --------- 327680  

 25.08.2010 17:01     C:\Windows\system32\wdi --------- 4096  

 25.08.2010 15:08     C:\Windows\system32\FNTCACHE.DAT --------- 265640  

 25.08.2010 14:56     C:\Windows\system32\WinBioPlugIns --------- 4096  

 25.08.2010 12:24     C:\Windows\system32\zh-HK --------- 12288  

 25.08.2010 12:23     C:\Windows\system32\zh-CN --------- 299008  

 25.08.2010 12:21     C:\Windows\system32\ar-SA --------- 147456  

 25.08.2010 12:17     C:\Windows\system32\restore --------- 0  

 23.08.2010 19:28     C:\Windows\system32\Recovery --------- 0  

 23.08.2010 19:20     C:\Windows\system32\license.rtf --------- 52953  

 12.08.2010 14:15     C:\Windows\system32\lsdelete.exe --------- 15880  

 03.08.2010 11:09     C:\Windows\system32\MRT.exe --------- 35962312  

 29.07.2010 08:30     C:\Windows\system32\ir32_32.dll --------- 197632  

 29.07.2010 08:30     C:\Windows\system32\iccvid.dll --------- 82944  

 27.07.2010 16:03     C:\Windows\system32\shell32.dll --------- 12867584  

 30.06.2010 08:25     C:\Windows\system32\wininet.dll --------- 978432  

 30.06.2010 08:25     C:\Windows\system32\urlmon.dll --------- 1226240  

 30.06.2010 08:22     C:\Windows\system32\mstime.dll --------- 606208  

 30.06.2010 08:22     C:\Windows\system32\mshtml.dll --------- 5971456  

 30.06.2010 08:22     C:\Windows\system32\msfeedsbs.dll --------- 64512  

 30.06.2010 08:21     C:\Windows\system32\jsproxy.dll --------- 48128  

 30.06.2010 08:21     C:\Windows\system32\ieui.dll --------- 176640  

 30.06.2010 08:21     C:\Windows\system32\iepeers.dll --------- 185856  

 30.06.2010 08:21     C:\Windows\system32\ieframe.dll --------- 10985472  

 30.06.2010 08:21     C:\Windows\system32\iedkcs32.dll --------- 381440  

 30.06.2010 08:19     C:\Windows\system32\msfeedssync.exe --------- 12800  

 30.06.2010 06:21     C:\Windows\system32\mshtml.tlb --------- 1638912  

 19.06.2010 08:33     C:\Windows\system32\ntoskrnl.exe --------- 3899784  

 19.06.2010 08:33     C:\Windows\system32\ntkrnlpa.exe --------- 3955080  

 19.06.2010 08:23     C:\Windows\system32\rtutils.dll --------- 37376  

 19.06.2010 06:07     C:\Windows\system32\win32k.sys --------- 2326016  

 16.06.2010 07:48     C:\Windows\system32\schannel.dll --------- 224256  

 08.06.2010 08:02     C:\Windows\system32\msxml3.dll --------- 1233920  

 27.05.2010 09:24     C:\Windows\system32\atmlib.dll --------- 34304  

 27.05.2010 05:49     C:\Windows\system32\atmfd.dll --------- 293888  

 09.05.2010 11:14     C:\Windows\system32\CPFilters.dll --------- 641536  

 09.05.2010 11:14     C:\Windows\system32\msdri.dll --------- 417792  

 09.05.2010 11:13     C:\Windows\system32\MSNP.ax --------- 204288  

----------------------------------------

 
 

C:\Windows\Prefetch

 
 29.08.2010 12:54     C:\Windows\Prefetch\ReadyBoot --------- 0  

 29.08.2010 12:36     C:\Windows\Prefetch\AgGlFgAppHistory.db --------- 812319  

 29.08.2010 12:36     C:\Windows\Prefetch\AgGlFaultHistory.db --------- 724903  

 29.08.2010 12:36     C:\Windows\Prefetch\AgGlGlobalHistory.db --------- 2670165  

 29.08.2010 12:36     C:\Windows\Prefetch\AgRobust.db --------- 542988  

 29.08.2010 12:36     C:\Windows\Prefetch\PfSvPerfStats.bin --------- 508  

 29.08.2010 12:35     C:\Windows\Prefetch\SEARCHFILTERHOST.EXE-AA7A1FDD.pf --------- 15600  

 29.08.2010 12:35     C:\Windows\Prefetch\SEARCHPROTOCOLHOST.EXE-AFAD3EF9.pf --------- 12740  

 29.08.2010 12:35     C:\Windows\Prefetch\WERMGR.EXE-2A1BCBC7.pf --------- 11168  

 29.08.2010 12:35     C:\Windows\Prefetch\DRVINST.EXE-5F8E77CD.pf --------- 69172  

 29.08.2010 12:34     C:\Windows\Prefetch\VDS.EXE-AD27F0DC.pf --------- 34726  

 29.08.2010 12:34     C:\Windows\Prefetch\SVCHOST.EXE-8FD92526.pf --------- 17268  

 29.08.2010 12:34     C:\Windows\Prefetch\VSSVC.EXE-04D079CC.pf --------- 28360  

 29.08.2010 12:34     C:\Windows\Prefetch\WBENGINE.EXE-FA409116.pf --------- 26140  

 29.08.2010 12:34     C:\Windows\Prefetch\RSTRUI.EXE-4841C8C8.pf --------- 38340  

 29.08.2010 12:34     C:\Windows\Prefetch\VDSLDR.EXE-85F9A1C6.pf --------- 16822  

 29.08.2010 12:34     C:\Windows\Prefetch\DLLHOST.EXE-893DDF55.pf --------- 16684  

 29.08.2010 12:34     C:\Windows\Prefetch\CONSENT.EXE-65F6206D.pf --------- 124336  

 29.08.2010 12:33     C:\Windows\Prefetch\AVGUI.EXE-DE2CE7F2.pf --------- 111544  

 29.08.2010 12:30     C:\Windows\Prefetch\EXPLORER.EXE-7A3328DA.pf --------- 95168  

 29.08.2010 12:30     C:\Windows\Prefetch\TASKMGR.EXE-72398DC0.pf --------- 37276  

 29.08.2010 12:30     C:\Windows\Prefetch\WMIADAP.EXE-369DF1CD.pf --------- 18508  

 29.08.2010 12:29     C:\Windows\Prefetch\LOGONUI.EXE-1BEE4A84.pf --------- 49868  

 29.08.2010 12:29     C:\Windows\Prefetch\RUNDLL32.EXE-AFD98684.pf --------- 13724  

 29.08.2010 12:29     C:\Windows\Prefetch\SVCHOST.EXE-B1D6DE75.pf --------- 16574  

 29.08.2010 12:29     C:\Windows\Prefetch\AUDIODG.EXE-D0D776AC.pf --------- 25890  

 29.08.2010 12:29     C:\Windows\Prefetch\WMPNSCFG.EXE-DF1DD51A.pf --------- 33482  

 29.08.2010 12:27     C:\Windows\Prefetch\JAVA.EXE-066C5985.pf --------- 12976  

 29.08.2010 12:23     C:\Windows\Prefetch\AgCx_SC4.db --------- 109137  

 29.08.2010 12:23     C:\Windows\Prefetch\AAWTRAY.EXE-3D459FD4.pf --------- 24208  

 29.08.2010 12:23     C:\Windows\Prefetch\AGREMOVE.EXE-B39BFF01.pf --------- 13546  

 29.08.2010 12:23     C:\Windows\Prefetch\SVCHOST.EXE-DB4C36D7.pf --------- 29260  

 29.08.2010 12:22     C:\Windows\Prefetch\INSTM32.EXE-E9D3DEC3.pf --------- 8076  

 29.08.2010 12:22     C:\Windows\Prefetch\AVGIDSMONITOR.EXE-40CD811D.pf --------- 17140  

 29.08.2010 12:22     C:\Windows\Prefetch\JUSCHED.EXE-07F32FAE.pf --------- 13278  

 29.08.2010 12:22     C:\Windows\Prefetch\SEARCHINDEXER.EXE-77D27BAC.pf --------- 34480  

 29.08.2010 12:22     C:\Windows\Prefetch\SVCHOST.EXE-135A30D8.pf --------- 223072  

 29.08.2010 12:22     C:\Windows\Prefetch\WMPNETWK.EXE-BD0344CA.pf --------- 79098  

 29.08.2010 12:22     C:\Windows\Prefetch\SPPSVC.EXE-CBE91656.pf --------- 31004  

 29.08.2010 12:22     C:\Windows\Prefetch\TASKHOST.EXE-437C05A8.pf --------- 48390  

 29.08.2010 12:22     C:\Windows\Prefetch\MSCORSVW.EXE-FAA88858.pf --------- 10354  

 29.08.2010 12:22     C:\Windows\Prefetch\WMIPRVSE.EXE-43972D0F.pf --------- 39822  

 29.08.2010 12:21     C:\Windows\Prefetch\IEXPLORE.EXE-1B894AFB.pf --------- 183722  

 29.08.2010 12:21     C:\Windows\Prefetch\SVCHOST.EXE-86A716FC.pf --------- 18774  

 29.08.2010 12:21     C:\Windows\Prefetch\AAWWSC.EXE-08B112D5.pf --------- 25692  

 29.08.2010 12:11     C:\Windows\Prefetch\AVGCMGR.EXE-ACAA8D81.pf --------- 20064  

 29.08.2010 12:11     C:\Windows\Prefetch\CONHOST.EXE-3218E401.pf --------- 14426  

 29.08.2010 12:10     C:\Windows\Prefetch\NET1.EXE-B8A8247B.pf --------- 10854  

 29.08.2010 12:10     C:\Windows\Prefetch\NET.EXE-1DF3A2F6.pf --------- 8708  

 29.08.2010 12:09     C:\Windows\Prefetch\AD-AWAREADMIN.EXE-0A79D12E.pf --------- 78456  

 29.08.2010 12:09     C:\Windows\Prefetch\THREATWORK.EXE-EC305F76.pf --------- 24072  

 29.08.2010 12:07     C:\Windows\Prefetch\SC.EXE-BC6DAF49.pf --------- 5310  

 29.08.2010 12:05     C:\Windows\Prefetch\RUNDLL32.EXE-C050E39E.pf --------- 86070  

 29.08.2010 12:05     C:\Windows\Prefetch\HELP.EXE-DC994220.pf --------- 4616  

 29.08.2010 12:04     C:\Windows\Prefetch\AgGlUAD_P_S-1-5-21-1875988965-3958140160-1139022571-1000.db --------- 975457  

 29.08.2010 12:04     C:\Windows\Prefetch\AgGlUAD_S-1-5-21-1875988965-3958140160-1139022571-1000.db --------- 587395  

 29.08.2010 12:02     C:\Windows\Prefetch\AVGSRMAX.EXE-CC1450B3.pf --------- 25078  

 29.08.2010 12:02     C:\Windows\Prefetch\FIXCFG.EXE-1CB406C1.pf --------- 31164  

 29.08.2010 12:02     C:\Windows\Prefetch\RUNDLL32.EXE-4D4D5EAA.pf --------- 30208  

 29.08.2010 12:02     C:\Windows\Prefetch\CONTROL.EXE-9459D5A0.pf --------- 25324  

 29.08.2010 12:01     C:\Windows\Prefetch\AVGUPD.EXE-E067FCA1.pf --------- 51976  

 29.08.2010 11:34     C:\Windows\Prefetch\AD-AWARE.EXE-45491D81.pf --------- 64624  

 29.08.2010 11:34     C:\Windows\Prefetch\AUTOLAUNCH.EXE-0690D12B.pf --------- 22094  

 29.08.2010 11:33     C:\Windows\Prefetch\REGEDIT.EXE-4748FE01.pf --------- 20916  

 29.08.2010 11:33     C:\Windows\Prefetch\REGEDT32.EXE-784B44B3.pf --------- 24568  

 29.08.2010 11:32     C:\Windows\Prefetch\TRUSTEDINSTALLER.EXE-031B6478.pf --------- 17344  

 29.08.2010 11:32     C:\Windows\Prefetch\MMC.EXE-9A24D321.pf --------- 121000  

 29.08.2010 11:29     C:\Windows\Prefetch\CMD.EXE-89305D47.pf --------- 11426  

 29.08.2010 11:29     C:\Windows\Prefetch\IPCONFIG.EXE-62724FE6.pf --------- 17926  

 29.08.2010 11:28     C:\Windows\Prefetch\MSRA.EXE-5A73ECCA.pf --------- 31906  

 29.08.2010 11:27     C:\Windows\Prefetch\USERACCOUNTCONTROLSETTINGS.EX-FE400219.pf --------- 16634  

 29.08.2010 11:27     C:\Windows\Prefetch\DLLHOST.EXE-8FBC6B66.pf --------- 15696  

 29.08.2010 11:27     C:\Windows\Prefetch\DLLHOST.EXE-22309572.pf --------- 24612  

 29.08.2010 11:25     C:\Windows\Prefetch\MMC.EXE-DE8E7730.pf --------- 79224  

 29.08.2010 11:25     C:\Windows\Prefetch\PERFMON.EXE-F629ACAE.pf --------- 16112  

 29.08.2010 11:24     C:\Windows\Prefetch\DLLHOST.EXE-E50931CB.pf --------- 47410  

 29.08.2010 11:21     C:\Windows\Prefetch\NTVDM.EXE-42770598.pf --------- 17364  

 29.08.2010 11:21     C:\Windows\Prefetch\BOOTCFG.EXE-A4A58317.pf --------- 11040  

 29.08.2010 11:12     C:\Windows\Prefetch\HELPPANE.EXE-D1016F9E.pf --------- 64442  

 29.08.2010 11:12     C:\Windows\Prefetch\MSCONFIG.EXE-0B9585D9.pf --------- 36532  

 29.08.2010 11:10     C:\Windows\Prefetch\FSUTIL.EXE-4137D2F6.pf --------- 9486  

 29.08.2010 11:08     C:\Windows\Prefetch\SYSTEMINFO.EXE-F360EB78.pf --------- 17090  

 29.08.2010 10:51     C:\Windows\Prefetch\RUNDLL32.EXE-E447C111.pf --------- 29560  

 29.08.2010 10:48     C:\Windows\Prefetch\JAVAW.EXE-C4EA16F0.pf --------- 144580  

 29.08.2010 10:48     C:\Windows\Prefetch\JAVAWS.EXE-25FD1E0F.pf --------- 17310  

 29.08.2010 10:45     C:\Windows\Prefetch\JAVACPL.EXE-79179558.pf --------- 12236  

 29.08.2010 10:41     C:\Windows\Prefetch\RUNDLL32.EXE-FA7BA004.pf --------- 15606  

 29.08.2010 10:40     C:\Windows\Prefetch\JAUREG.EXE-DF073ACE.pf --------- 12564  

 29.08.2010 10:40     C:\Windows\Prefetch\MSIEXEC.EXE-B5AFA339.pf --------- 63958  

 29.08.2010 10:25     C:\Windows\Prefetch\SVCHOST.EXE-93CEEE07.pf --------- 7044  

 29.08.2010 10:22     C:\Windows\Prefetch\WMIC.EXE-B77E8CD6.pf --------- 32534  

 29.08.2010 10:21     C:\Windows\Prefetch\UNPACK200.EXE-3B408797.pf --------- 59856  

 29.08.2010 10:21     C:\Windows\Prefetch\ZIPPER.EXE-7348E61C.pf --------- 6084  

 29.08.2010 10:20     C:\Windows\Prefetch\JRE-6U21-WINDOWS-I586.EXE-263E7DBE.pf --------- 66170  

 29.08.2010 10:20     C:\Windows\Prefetch\MSI6BC3.TMP-ACDDA0D0.pf --------- 10348  

 29.08.2010 10:18     C:\Windows\Prefetch\DLLHOST.EXE-53B78AD0.pf --------- 17314  

 29.08.2010 09:52     C:\Windows\Prefetch\RUNDLL32.EXE-1C86625A.pf --------- 94808  

 29.08.2010 09:51     C:\Windows\Prefetch\RUNDLL32.EXE-C7F65988.pf --------- 46944  

 29.08.2010 09:30     C:\Windows\Prefetch\UNSECAPP.EXE-CD982D99.pf --------- 19260  

 29.08.2010 09:30     C:\Windows\Prefetch\AAWSERVICE.EXE-37729B41.pf --------- 58752  

 29.08.2010 09:22     C:\Windows\Prefetch\MAKECAB.EXE-21F14B27.pf --------- 10854  

 29.08.2010 09:22     C:\Windows\Prefetch\ROUTE.EXE-AA5DBD7E.pf --------- 10484  

 29.08.2010 09:22     C:\Windows\Prefetch\SDIAGNHOST.EXE-67CD1457.pf --------- 121166  

 29.08.2010 09:22     C:\Windows\Prefetch\MSDT.EXE-3D8E9353.pf --------- 52544  

 29.08.2010 09:22     C:\Windows\Prefetch\CSC.EXE-4EF173D0.pf --------- 36218  

 29.08.2010 09:22     C:\Windows\Prefetch\CVTRES.EXE-419E4E46.pf --------- 10562  

 29.08.2010 09:20     C:\Windows\Prefetch\RUNDLL32.EXE-1013F9DC.pf --------- 32034  

 29.08.2010 09:19     C:\Windows\Prefetch\DLLHOST.EXE-71214090.pf --------- 35494  

 29.08.2010 08:53     C:\Windows\Prefetch\AVGCSRVX.EXE-0385AADA.pf --------- 18956  

 29.08.2010 08:53     C:\Windows\Prefetch\LPKSETUP.EXE-62381863.pf --------- 11822  

 28.08.2010 22:34     C:\Windows\Prefetch\AgCx_SC1.db --------- 446430  

 28.08.2010 22:34     C:\Windows\Prefetch\AgCx_SC1.db.trx --------- 18594  

 28.08.2010 22:34     C:\Windows\Prefetch\RUNDLL32.EXE-F452D79D.pf --------- 640  

 28.08.2010 19:38     C:\Windows\Prefetch\SVCHOST.EXE-8DA0BAAD.pf --------- 14714  

 28.08.2010 19:38     C:\Windows\Prefetch\DEFRAG.EXE-738093E8.pf --------- 14312  

 28.08.2010 19:38     C:\Windows\Prefetch\Layout.ini --------- 367362  

 28.08.2010 16:49     C:\Windows\Prefetch\XPSRCHVW.EXE-CFF6D18C.pf --------- 30814  

 28.08.2010 14:50     C:\Windows\Prefetch\AVGTRAY.EXE-9943C4FC.pf --------- 45154  

 28.08.2010 14:50     C:\Windows\Prefetch\DWM.EXE-AEABE78B.pf --------- 27454  

 28.08.2010 14:50     C:\Windows\Prefetch\USERINIT.EXE-F39AB672.pf --------- 13168  

 28.08.2010 14:35     C:\Windows\Prefetch\RELPOST.EXE-E4D0A138.pf --------- 18320  

 28.08.2010 13:13     C:\Windows\Prefetch\VERCLSID.EXE-4D95F5A7.pf --------- 9876  

 28.08.2010 13:10     C:\Windows\Prefetch\COMPMGMTLAUNCHER.EXE-0BF80059.pf --------- 28330  

 28.08.2010 12:55     C:\Windows\Prefetch\AgCx_SC3_491622DD.db --------- 118991  

 28.08.2010 12:54     C:\Windows\Prefetch\WINLOGON.EXE-8163EECC.pf --------- 31750  

 28.08.2010 12:54     C:\Windows\Prefetch\CSRSS.EXE-8C04D631.pf --------- 19272  

 28.08.2010 12:54     C:\Windows\Prefetch\AgCx_S1_S-1-5-21-1875988965-3958140160-1139022571-1000.snp.db --------- 1882841  

 28.08.2010 12:54     C:\Windows\Prefetch\SMSS.EXE-1DCD0EB1.pf --------- 1988  

 28.08.2010 12:51     C:\Windows\Prefetch\JAUCHECK.EXE-04AFF24E.pf --------- 29736  

 28.08.2010 12:47     C:\Windows\Prefetch\WUDFHOST.EXE-81420B07.pf --------- 21728  

 28.08.2010 12:47     C:\Windows\Prefetch\DINOTIFY.EXE-06EB7C61.pf --------- 16628  

 28.08.2010 12:47     C:\Windows\Prefetch\RUNDLL32.EXE-9D41CD22.pf --------- 29786  

 28.08.2010 12:46     C:\Windows\Prefetch\AVGDIAGEX.EXE-8523F3CE.pf --------- 46992  

 28.08.2010 11:45     C:\Windows\Prefetch\RUNDLL32.EXE-55DD75AB.pf --------- 59028  

 28.08.2010 11:34     C:\Windows\Prefetch\SDCLT.EXE-2D2C4DDD.pf --------- 2122  

 28.08.2010 11:28     C:\Windows\Prefetch\NTOSBOOT-B00DFAAD.pf --------- 1322572  

 28.08.2010 02:33     C:\Windows\Prefetch\MSIC6CF.TMP-F69E71BC.pf --------- 9274  

 28.08.2010 02:24     C:\Windows\Prefetch\AgAppLaunch.db --------- 332116  

 28.08.2010 02:22     C:\Windows\Prefetch\PROCEXP.EXE-E7CA5226.pf --------- 60090  

 28.08.2010 02:16     C:\Windows\Prefetch\RUNDLL32.EXE-A7D7CDC9.pf --------- 20824  

----------------------------------------

 
 

C:\Windows\Tasks

 
 29.08.2010 13:56     C:\Windows\Tasks\Ad-Aware Update (Weekly).job --------- 370  

 29.08.2010 12:20     C:\Windows\Tasks\SA.DAT --------- 6  

 14.07.2009 06:53     C:\Windows\Tasks\SCHEDLGU.TXT --------- 5160  

----------------------------------------

 
 

C:\Windows\Temp

 
----------------------------------------

 
 

C:\Users\BMW\AppData\Local\Temp

 
 29.08.2010 14:27     C:\Users\BMW\AppData\Local\Temp\Iavg9inst_2010-08-29_12-25.log --------- 4908  

 29.08.2010 14:27     C:\Users\BMW\AppData\Local\Temp\Davg9inst_2010-08-29_12-25.log --------- 13247532  

 29.08.2010 14:27     C:\Users\BMW\AppData\Local\Temp\avg9inst_2010-08-29_12-25.xml --------- 5955  

 29.08.2010 14:27     C:\Users\BMW\AppData\Local\Temp\~DFD3D40B8B8E3BA583.TMP --------- 1536  

 29.08.2010 14:27     C:\Users\BMW\AppData\Local\Temp\mm2.mht --------- 13667  

 29.08.2010 14:25     C:\Users\BMW\AppData\Local\Temp\mm1.mht --------- 14149  

 29.08.2010 14:25     C:\Users\BMW\AppData\Local\Temp\~DF8EC0C8B13A6DCDA7.TMP --------- 1536  

 29.08.2010 14:25     C:\Users\BMW\AppData\Local\Temp\avglng.log --------- 2854  

 29.08.2010 14:25     C:\Users\BMW\AppData\Local\Temp\avglng.log.lock --------- 0  

 29.08.2010 12:27     C:\Users\BMW\AppData\Local\Temp\jusched.log --------- 6380  

 29.08.2010 10:51     C:\Users\BMW\AppData\Local\Temp\java_install_reg.log --------- 8463  

 29.08.2010 10:40     C:\Users\BMW\AppData\Local\Temp\JAUReg.log --------- 415  

 29.08.2010 10:40     C:\Users\BMW\AppData\Local\Temp\AUCHECK_PARSER.txt --------- 440  

 29.08.2010 10:21     C:\Users\BMW\AppData\Local\Temp\java_install.log --------- 57852  

 29.08.2010 08:58     C:\Users\BMW\AppData\Local\Temp\be621707-3df9-4f4b-9d11-e87e9f013f47.mht --------- 3418  

 28.08.2010 15:18     C:\Users\BMW\AppData\Local\Temp\StructuredQuery.log --------- 2491  

 28.08.2010 13:03     C:\Users\BMW\AppData\Local\Temp\~DF08137E015E2507C8.TMP --------- 16384  

 28.08.2010 12:54     C:\Users\BMW\AppData\Local\Temp\BMW.bmp --------- 49208  

 28.08.2010 12:51     C:\Users\BMW\AppData\Local\Temp\AUCHECK_CORE.txt --------- 302  

 28.08.2010 02:55     C:\Users\BMW\AppData\Local\Temp\wmsetup.log --------- 3041  

 27.08.2010 23:54     C:\Users\BMW\AppData\Local\Temp\tmpE4AC.tmp --------- 18888  

 27.08.2010 23:43     C:\Users\BMW\AppData\Local\Temp\tmpE4AB.tmp --------- 0  

 27.08.2010 23:43     C:\Users\BMW\AppData\Local\Temp\tmpE4AB.xml --------- 0  

 25.08.2010 14:15     C:\Users\BMW\AppData\Local\Temp\setup.exe --------- 3586912  

 23.08.2010 19:32     C:\Users\BMW\AppData\Local\Temp\FXSAPIDebugLogFile.txt --------- 0  

----------------------------------------

 
 

C:\Program Files

 
 29.08.2010 14:27     C:\Program Files\AVG --------- 0  

 28.08.2010 02:34     C:\Program Files\Java --------- 0  

 28.08.2010 00:56     C:\Program Files\Windows Sidebar --------- 4096  

 28.08.2010 00:56     C:\Program Files\Windows Mail --------- 4096  

 28.08.2010 00:56     C:\Program Files\Internet Explorer --------- 8192  

 28.08.2010 00:56     C:\Program Files\Windows Media Player --------- 8192  

 28.08.2010 00:56     C:\Program Files\Windows Journal --------- 8192  

 28.08.2010 00:56     C:\Program Files\Windows Photo Viewer --------- 4096  

 28.08.2010 00:56     C:\Program Files\Windows Defender --------- 4096  

 26.08.2010 16:30     C:\Program Files\DVD Maker --------- 8192  

 26.08.2010 08:31     C:\Program Files\CCleaner --------- 0  

 25.08.2010 18:41     C:\Program Files\Microsoft.NET --------- 0  

 25.08.2010 18:15     C:\Program Files\Lavasoft --------- 0  

 25.08.2010 14:55     C:\Program Files\Protector Suite --------- 0  

 23.08.2010 19:28     C:\Program Files\Windows NT --------- 4096  

 23.08.2010 19:28     C:\Program Files\Gemeinsame Dateien --------- 0  

 14.07.2009 09:49     C:\Program Files\Microsoft Games --------- 4096  

 14.07.2009 06:53     C:\Program Files\Uninstall Information --------- 0  

 14.07.2009 06:52     C:\Program Files\Windows Portable Devices --------- 0  

 14.07.2009 06:52     C:\Program Files\Reference Assemblies --------- 0  

 14.07.2009 06:52     C:\Program Files\MSBuild --------- 0  

 14.07.2009 06:41     C:\Program Files\desktop.ini --------- 174  

 14.07.2009 04:37     C:\Program Files\Common Files --------- 4096  

----------------------------------------

 
 

C:\ProgramData\.. 

 
BMW    

Default    

Public    

Default User    

All Users    

desktop.ini    

----------------------------------------

 
 

C:\Windows\system32\drivers\etc\hosts

 
 
----------------------------------------

 
 

 
Abbildname                     PID Sitzungsname       Sitz.-Nr. Speichernutzung

========================= ======== ================ =========== ===============

System Idle Process              0 Services                   0            24 K

System                           4 Services                   0         8.152 K

smss.exe                       252 Services                   0         1.644 K

csrss.exe                      328 Services                   0         7.500 K

wininit.exe                    364 Services                   0         8.860 K

csrss.exe                      376 Console                    1         4.764 K

services.exe                   416 Services                   0        11.644 K

winlogon.exe                   448 Console                    1         9.360 K

lsass.exe                      460 Services                   0        17.540 K

lsm.exe                        468 Services                   0         6.160 K

svchost.exe                    588 Services                   0        19.140 K

svchost.exe                    664 Services                   0         4.552 K

svchost.exe                    756 Services                   0         7.008 K

svchost.exe                    788 Services                   0        13.920 K

svchost.exe                    824 Services                   0         3.548 K

AAWService.exe                 876 Services                   0        67.588 K

unsecapp.exe                  1048 Services                   0        12.588 K

WmiPrvSE.exe                  1144 Services                   0        16.004 K

explorer.exe                  1232 Console                    1       115.204 K

ctfmon.exe                    1404 Console                    1        10.416 K

AAWWSC.exe                    1644 Services                   0        27.024 K

AAWTray.exe                   1676 Console                    1           952 K

msconfig.exe                  1768 Console                    1         9.552 K

taskmgr.exe                   2044 Console                    1         7.468 K

svchost.exe                   1456 Services                   0        16.232 K

svchost.exe                   1784 Services                   0         6.848 K

cmd.exe                       1944 Console                    1         3.116 K

conhost.exe                    808 Console                    1         2.968 K

tasklist.exe                   200 Console                    1         4.164 K

WmiPrvSE.exe                  1796 Services                   0         4.784 K

 
 

***** Ende des Scans 29.08.2010 um 14:33:42,38 ***  

 

 
 [/CODE]

Wie sehen denn die bisher geposteten Files aus? System sauber?

Und vielen Dank dass Du Dich meinem Problem annimmst.

cosinus · 05.09.2010, 18:33

Zitat:

aber dafür erst NIS 2011 und dann direkt über den Sicherheitscenter die Updates abgerufen (natürlich inkl. SP3).

Security-Suites sind schonmal Murks, weil die Dinger kontraproduktiv sind. Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de
microsoft.public.de.security.heimanwender FAQ

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen...

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

Zitat:

leider auch Setup´s) welche ich unbedingt brauche.

Was für Setups? Liegen die nicht noch gesichert auf externen Medien wie LTO-Bänder oder DVDs?

Wenn keine Backups vorliegen frag ich mich, was das für eine Firma ist, die so große Risikobereitschaft hat, auf wichtige Backups zu verzichten

Zitat:

und kann mir absolut nicht vorstellen, wie ich mir das Teil wieder und wieder einfangen konnte.

Erstmal gibt es so keinen Hinweis auf Befall und direkt nach einer Formatierung sind die Schädlinge garantiert weg, weil das infizierte Windows ja gelöscht wurde. Die Logs sind unauffällig und Malwarebytes hat auch nichts gefunden.

Zitat:

wurden neue Nicht-PnP-Treiber installiert und immer mehr unbekannte Prozesse eingerichtet, ohne dass ich neue Programme oder Hardware installiert habe

Nur weil Du ein Prozess nicht sofort kennst, heißt das nicht, dass da was Böses hintersteckt.

Zitat:

Ich kann nur vermuten dass es an meiner Formatierungsweise lag und der Backdoor (vermute ich zumindest) sich in der MBR verborg. Leider konnte ich das Übel bisher ja leider nicht mal identifizieren und bin deshalb immer noch besorgt...

Das ist über DBAN ausgeschlossen, jedenfalls wenn man das gesamte Laufwerk löscht und nicht nur einzelne Partitionen. Was genau hast Du also gemacht?

Um den MBR zu prüfen:

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

bmw-m3 · 06.09.2010, 20:10

Also nachdem gestern Abend Ad-Aware auf meinem privaten mit DBAN gesäubertes Notebook auf einem meiner Sticks eine Trojanermeldung brachte und ich wusste dass diese Datei auch schon auf meinem Firmenrechner ist, installierte ich dort auch Ad-Aware. Und obwohl NIS und Malwarebytes vor bei keinem Scan was meldete:

PHP-Code:

  MSG [3964] 2010/09/05 20:46:09: Configure new scan with profile: full

MSG [3964] 2010/09/05 20:46:09:  -> scanning critical objects

MSG [3964] 2010/09/05 20:46:09:  -> scanning running processes

MSG [3964] 2010/09/05 20:46:09:  -> scanning registry

MSG [3964] 2010/09/05 20:46:09:  -> scanning lsp

MSG [3964] 2010/09/05 20:46:09:  -> scanning ads

MSG [3964] 2010/09/05 20:46:09:  -> scanning hosts file

MSG [3964] 2010/09/05 20:46:09:  -> scanning mru objects

MSG [3964] 2010/09/05 20:46:09:  -> scanning browser hijacks

MSG [3964] 2010/09/05 20:46:09:  -> scanning cookies

MSG [3964] 2010/09/05 20:46:09:  -> neutralizing rootkits

MSG [3964] 2010/09/05 20:46:09:  -> use mild rootkit detection

MSG [3964] 2010/09/05 20:46:09:  -> use spyware heuristics

MSG [3964] 2010/09/05 20:46:09:  -> use medium heuristics

MSG [3964] 2010/09/05 20:46:09:  -> scan archives

MSG [3964] 2010/09/05 20:46:09:  -> file size limit = 20480 kB (0 = unlimited)

MSG [3964] 2010/09/05 20:46:09:  -> scan file/path = C:\

ERR [3964] 2010/09/05 20:46:09: SDKController::GetInfectionList -> Not in found infections state

MSG [3760] 2010/09/05 21:22:28: Scan was completed in 2179 seconds

MSG [3760] 2010/09/05 21:22:28: Objects processed: 40558, infections detected: 13

MSG [3264] 2010/09/05 21:22:29: Remediating 13 infections

MSG [3264] 2010/09/05 21:22:29: Infections quarantined: 7, removed: 6, repaired: 0

MSG [3264] 2010/09/05 21:22:29: Infections ignored by remediation: 0 (0 whitelisted, 0 skipped).

MSG [3964] 2010/09/05 21:22:30: Dumping scan report:

>>> Logfile created: 05.09.2010 20:46:09

>>> Ad-Aware version: 8.3.2

>>> Extended engine: 3

>>> Extended engine version: 3.1.2770

>>> User performing scan: XPS-1730

>>> 

>>> *********************** Definitions database information ***********************

>>> Lavasoft definition file: 150.74

>>> Genotype definition file version: 2010/08/31 14:13:17

>>> Extended engine definition file: 6836.0

>>> 

>>> ******************************** Scan results: *********************************

>>> Scan profile name: Vollständiger Scan  (ID: full)

>>> Objects scanned: 40558

>>> Objects detected: 13

>>> 

>>> 

>>> Type              Detected

>>> ==========================

>>> Processes.......:        0

>>> Registry entries:        4

>>> Hostfile entries:        0

>>> Files...........:        3

>>> Folders.........:        0

>>> LSPs............:        0

>>> Cookies.........:        6

>>> Browser hijacks.:        0

>>> MRU objects.....:        0

>>> 

>>> 

>>> 

>>> Removed items:

>>> Description: *adfarm1.adition* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409171 Family ID: 0

>>> Description: *apmebf* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409163 Family ID: 0

>>> Description: *doubleclick* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408875 Family ID: 0

>>> Description: *ivwbox* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 409247 Family ID: 0

>>> Description: *mediaplex* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 408991 Family ID: 0

>>> Description: *wunderloop* Family Name: Cookies Engine: 1 Clean status: Success Item ID: 599639 Family ID: 0

>>> 

>>> Quarantined items:

>>> Description: c:\dokumente und einstellungen\xps-1730\eigene dateien\downloads\osam_autorun_manager_5_0_portable\osam.exe Family Name: Trojan.Win32.Generic!BT Engine: 3 Clean status: Success Item ID: 1 Family ID: 0 MD5: 678bd4a8c36d1b54db97a9737b7ed485

>>> Description: c:\dokumente und einstellungen\xps-1730\eigene dateien\downloads\osam_autorun_manager_5_0_portable.rar::osam.exe Family Name: Trojan.Win32.Generic!BT Engine: 3 Clean status: Success Item ID: 1 Family ID: 0 MD5: 

>>> Description: c:\system volume information\_restore{d68a54fe-4f11-4d63-b7ca-8bc31e6d16ea}\rp5\a0002690.sys Family Name: Win32.FraudTool.SpywareCease Engine: 1 Clean status: Success Item ID: 0 Family ID: 524429 MD5: cbd3a6fd0cc383fc506371ebe1a1f266

>>> Description: HKLM:SYSTEM\ControlSet001\Enum\Root\LEGACY_RKHIT: Family Name: Win32.FraudTool.SpywareCease Engine: 1 Clean status: Success Item ID: 524438 Family ID: 524429

>>> Description: HKLM:SYSTEM\ControlSet001\Services\RkHit: Family Name: Win32.FraudTool.SpywareCease Engine: 1 Clean status: Success Item ID: 524439 Family ID: 524429

>>> Description: HKLM:SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RKHIT: Family Name: Win32.FraudTool.SpywareCease Engine: 1 Clean status: Success Item ID: 524440 Family ID: 524429

>>> Description: HKLM:SYSTEM\CurrentControlSet\Services\RkHit: Family Name: Win32.FraudTool.SpywareCease Engine: 1 Clean status: Success Item ID: 524441 Family ID: 524429

>>> 

>>> Scan and cleaning complete: Finished correctly after 2179 seconds

>>> 

>>> *********************************** Settings ***********************************

>>> 

>>> Scan profile:

>>> ID: full, enabled:1, value: Vollständiger Scan

>>>   ID: folderstoscan, enabled:1, value: C:\

>>>   ID: useantivirus, enabled:1, value: true

>>>   ID: sections, enabled:1

>>>     ID: scancriticalareas, enabled:1, value: true

>>>     ID: scanrunningapps, enabled:1, value: true

>>>     ID: scanregistry, enabled:1, value: true

>>>     ID: scanlsp, enabled:1, value: true

>>>     ID: scanads, enabled:1, value: true

>>>     ID: scanhostsfile, enabled:1, value: true

>>>     ID: scanmru, enabled:1, value: true

>>>     ID: scanbrowserhijacks, enabled:1, value: true

>>>     ID: scantrackingcookies, enabled:1, value: true

>>>       ID: closebrowsers, enabled:1, value: false

>>>   ID: filescanningoptions, enabled:1

>>>     ID: archives, enabled:1, value: true

>>>     ID: onlyexecutables, enabled:1, value: false

>>>     ID: skiplargerthan, enabled:1, value: 20480

>>>     ID: scanrootkits, enabled:1, value: true

>>>       ID: rootkitlevel, enabled:1, value: mild, domain: medium,mild,strict

>>>     ID: usespywareheuristics, enabled:1, value: true

>>> 

>>> Scan global:

>>> ID: global, enabled:1

>>>   ID: addtocontextmenu, enabled:1, value: true

>>>   ID: playsoundoninfection, enabled:1, value: false

>>>     ID: soundfile, enabled:0, value: N/A

>>> 

>>> Scheduled scan settings:

>>> <Empty>

>>> 

>>> Update settings:

>>> ID: updates, enabled:1

>>>   ID: launchthreatworksafterscan, enabled:1, value: off, domain: normal,off,silently

>>>   ID: deffiles, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall

>>>   ID: licenseandinfo, enabled:1, value: downloadandinstall, domain: dontcheck,downloadandinstall

>>>   ID: schedules, enabled:1, value: true

>>>     ID: updatedaily1, enabled:1, value: Daily 1

>>>       ID: time, enabled:1, value: Sun Sep 05 20:37:00 2010

>>>       ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly

>>>       ID: weekdays, enabled:1

>>>         ID: monday, enabled:1, value: false

>>>         ID: tuesday, enabled:1, value: false

>>>         ID: wednesday, enabled:1, value: false

>>>         ID: thursday, enabled:1, value: false

>>>         ID: friday, enabled:1, value: false

>>>         ID: saturday, enabled:1, value: false

>>>         ID: sunday, enabled:1, value: false

>>>       ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31

>>>       ID: scanprofile, enabled:1, value: 

>>>       ID: auto_deal_with_infections, enabled:1, value: false

>>>     ID: updatedaily2, enabled:1, value: Daily 2

>>>       ID: time, enabled:1, value: Sun Sep 05 02:37:00 2010

>>>       ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly

>>>       ID: weekdays, enabled:1

>>>         ID: monday, enabled:1, value: false

>>>         ID: tuesday, enabled:1, value: false

>>>         ID: wednesday, enabled:1, value: false

>>>         ID: thursday, enabled:1, value: false

>>>         ID: friday, enabled:1, value: false

>>>         ID: saturday, enabled:1, value: false

>>>         ID: sunday, enabled:1, value: false

>>>       ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31

>>>       ID: scanprofile, enabled:1, value: 

>>>       ID: auto_deal_with_infections, enabled:1, value: false

>>>     ID: updatedaily3, enabled:1, value: Daily 3

>>>       ID: time, enabled:1, value: Sun Sep 05 08:37:00 2010

>>>       ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly

>>>       ID: weekdays, enabled:1

>>>         ID: monday, enabled:1, value: false

>>>         ID: tuesday, enabled:1, value: false

>>>         ID: wednesday, enabled:1, value: false

>>>         ID: thursday, enabled:1, value: false

>>>         ID: friday, enabled:1, value: false

>>>         ID: saturday, enabled:1, value: false

>>>         ID: sunday, enabled:1, value: false

>>>       ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31

>>>       ID: scanprofile, enabled:1, value: 

>>>       ID: auto_deal_with_infections, enabled:1, value: false

>>>     ID: updatedaily4, enabled:1, value: Daily 4

>>>       ID: time, enabled:1, value: Sun Sep 05 14:37:00 2010

>>>       ID: frequency, enabled:1, value: daily, domain: daily,monthly,once,systemstart,weekly

>>>       ID: weekdays, enabled:1

>>>         ID: monday, enabled:1, value: false

>>>         ID: tuesday, enabled:1, value: false

>>>         ID: wednesday, enabled:1, value: false

>>>         ID: thursday, enabled:1, value: false

>>>         ID: friday, enabled:1, value: false

>>>         ID: saturday, enabled:1, value: false

>>>         ID: sunday, enabled:1, value: false

>>>       ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31

>>>       ID: scanprofile, enabled:1, value: 

>>>       ID: auto_deal_with_infections, enabled:1, value: false

>>>     ID: updateweekly1, enabled:1, value: Weekly

>>>       ID: time, enabled:1, value: Sun Sep 05 20:37:00 2010

>>>       ID: frequency, enabled:1, value: weekly, domain: daily,monthly,once,systemstart,weekly

>>>       ID: weekdays, enabled:1

>>>         ID: monday, enabled:1, value: false

>>>         ID: tuesday, enabled:1, value: false

>>>         ID: wednesday, enabled:1, value: true

>>>         ID: thursday, enabled:1, value: false

>>>         ID: friday, enabled:1, value: false

>>>         ID: saturday, enabled:1, value: false

>>>         ID: sunday, enabled:1, value: true

>>>       ID: monthly, enabled:1, value: 1, minvalue: 1, maxvalue: 31

>>>       ID: scanprofile, enabled:1, value: 

>>>       ID: auto_deal_with_infections, enabled:1, value: false

>>> 

>>> Appearance settings:

>>> ID: appearance, enabled:1

>>>   ID: skin, enabled:1, value: default.egl, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Resource

>>>   ID: showtrayicon, enabled:1, value: true

>>>   ID: autoentertainmentmode, enabled:1, value: true

>>>   ID: guimode, enabled:1, value: mode_simple, domain: mode_advanced,mode_simple

>>>   ID: language, enabled:1, value: de, reglocation: HKEY_LOCAL_MACHINE\SOFTWARE\Lavasoft\Ad-Aware\Language

>>> 

>>> Realtime protection settings:

>>> ID: realtime, enabled:1

>>>   ID: layers, enabled:1

>>>     ID: useantivirus, enabled:1, value: true

>>>     ID: usespywareheuristics, enabled:1, value: true

>>>   ID: infomessages, enabled:1, value: onlyimportant, domain: display,dontnotify,onlyimportant

>>>   ID: modules, enabled:1

>>>     ID: processprotection, enabled:1, value: true

>>>     ID: onaccessprotection, enabled:1, value: true

>>>     ID: registryprotection, enabled:1, value: true

>>>     ID: networkprotection, enabled:1, value: true

>>> 

>>> 

>>> ****************************** System information ******************************

>>> Computer name: BMW

>>> Processor name: Intel(R) Core(TM)2 Extreme CPU X7900  @ 2.80GHz

>>> Processor identifier: x86 Family 6 Model 15 Stepping 11

>>> Processor speed: ~2792MHZ

>>> Raw info: processorarchitecture 0, processortype 586, processorlevel 6, processor revision 3851, number of processors 2, processor features: [MMX,SSE,SSE2]

>>> Physical memory available: 2377256960 bytes

>>> Physical memory total: 3219103744 bytes

>>> Virtual memory available: 1880440832 bytes

>>> Virtual memory total: 2147352576 bytes

>>> Memory load: 26%

>>> Microsoft Windows XP Professional Service Pack 3 (build 2600)

>>> Windows startup mode:

>>> 

>>> Running processes:

>>> PID: 776 name: \SystemRoot\System32\smss.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 824 name: \??\C:\WINDOWS\system32\csrss.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 856 name: \??\C:\WINDOWS\system32\winlogon.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 900 name: C:\WINDOWS\system32\services.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 912 name: C:\WINDOWS\system32\lsass.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 1064 name: C:\WINDOWS\system32\nvsvc32.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 1100 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 1176 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT

>>> PID: 1220 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 1248 name: C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 1332 name: C:\Programme\Intel\Wireless\Bin\S24EvMon.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 1352 name: C:\WINDOWS\system32\svchost.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT

>>> PID: 1428 name: C:\WINDOWS\system32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT

>>> PID: 1664 name: C:\Programme\Lavasoft\Ad-Aware\AAWService.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 1748 name: C:\WINDOWS\system32\spoolsv.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 2044 name: C:\WINDOWS\system32\svchost.exe owner: LOKALER DIENST domain: NT-AUTORITÄT

>>> PID: 296 name: C:\Programme\Intel\Wireless\Bin\EvtEng.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 360 name: C:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe owner: <UNKNOWN> domain: <UNKNOWN>

>>> PID: 472 name: C:\WINDOWS\system32\HPZipm12.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 684 name: C:\Programme\Intel\Wireless\Bin\RegSrvc.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 1296 name: C:\WINDOWS\system32\tcpsvcs.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 1304 name: C:\WINDOWS\Explorer.EXE owner: XPS-1730 domain: BMW

>>> PID: 1504 name: C:\WINDOWS\System32\snmp.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 1652 name: C:\Programme\SigmaTel\C-Major Audio\DellXPM_5515v133\WDM\STacSV.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 1024 name: C:\WINDOWS\system32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 1984 name: C:\Programme\Intel\Wireless\Bin\WLKeeper.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 2012 name: C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe owner: XPS-1730 domain: BMW

>>> PID: 396 name: C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe owner: XPS-1730 domain: BMW

>>> PID: 448 name: C:\Programme\Synaptics\SynTP\SynTPEnh.exe owner: XPS-1730 domain: BMW

>>> PID: 452 name: C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe owner: XPS-1730 domain: BMW

>>> PID: 576 name: C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe owner: XPS-1730 domain: BMW

>>> PID: 564 name: C:\WINDOWS\OEM02Mon.exe owner: XPS-1730 domain: BMW

>>> PID: 600 name: C:\WINDOWS\system32\RUNDLL32.EXE owner: XPS-1730 domain: BMW

>>> PID: 644 name: C:\WINDOWS\system32\rundll32.exe owner: XPS-1730 domain: BMW

>>> PID: 652 name: C:\WINDOWS\system32\ctfmon.exe owner: XPS-1730 domain: BMW

>>> PID: 960 name: C:\Dokumente und Einstellungen\XPS-1730\Eigene Dateien\Downloads\MouseExtender.1.9.7.0\MouseExtender.exe owner: XPS-1730 domain: BMW

>>> PID: 1604 name: C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe owner: XPS-1730 domain: BMW

>>> PID: 1808 name: C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe owner: XPS-1730 domain: BMW

>>> PID: 1848 name: C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDPOP3.exe owner: XPS-1730 domain: BMW

>>> PID: 2060 name: C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe owner: XPS-1730 domain: BMW

>>> PID: 2128 name: C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe owner: XPS-1730 domain: BMW

>>> PID: 2136 name: C:\Programme\Lavasoft\Ad-Aware\Ad-Aware.exe owner: XPS-1730 domain: BMW

>>> PID: 2220 name: C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE owner: XPS-1730 domain: BMW

>>> PID: 3144 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: NETZWERKDIENST domain: NT-AUTORITÄT

>>> PID: 3636 name: C:\WINDOWS\system32\wbem\wmiprvse.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 3768 name: C:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe owner: <UNKNOWN> domain: <UNKNOWN>

>>> PID: 3948 name: C:\WINDOWS\system32\wbem\unsecapp.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 3260 name: C:\WINDOWS\System32\alg.exe owner: LOKALER DIENST domain: NT-AUTORITÄT

>>> PID: 3940 name: C:\WINDOWS\System32\svchost.exe owner: SYSTEM domain: NT-AUTORITÄT

>>> PID: 1404 name: C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe owner: XPS-1730 domain: BMW

>>> 

>>> Startup items:

>>> Name: {438755C2-A8BA-11D1-B96B-00A0C90312E1}

>>>           imagepath: Browseui preloader

>>> Name: {8C7461EF-2B13-11d2-BE35-3078302C2030}

>>>           imagepath: Component Categories cache daemon

>>> Name: CTFMON.EXE

>>>           imagepath: C:\WINDOWS\system32\CTFMON.EXE

>>> Name: PostBootReminder

>>>           imagepath: {7849596a-48ea-486e-8937-a2a3009f31a9}

>>> Name: CDBurn

>>>           imagepath: {fbeb8a05-beee-4442-804e-409d6c4515e9}

>>> Name: WebCheck

>>>           imagepath: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}

>>> Name: SysTray

>>>           imagepath: {35CEC8A3-2BE6-11D2-8773-92E220524153}

>>> Name: UPnPMonitor

>>>           imagepath: {e57ce738-33e8-4c51-8354-bb4de9d215d1}

>>> Name: WPDShServiceObj

>>>           imagepath: {AAA288BA-9A4C-45B0-95D7-94D524869DB5}

>>> Name: IntelZeroConfig

>>>           imagepath: "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"

>>> Name: IntelWireless

>>>           imagepath: "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

>>> Name: SynTPEnh

>>>           imagepath: C:\Programme\Synaptics\SynTP\SynTPEnh.exe

>>> Name: SigmatelSysTrayApp

>>>           imagepath: %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe

>>> Name: Launch LCDMon

>>>           imagepath: "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"

>>> Name: OEM02Mon.exe

>>>           imagepath: C:\WINDOWS\OEM02Mon.exe

>>> Name: nwiz

>>>           imagepath: C:\Programme\NVIDIA Corporation\nView\nwiz.exe /installquiet

>>> Name: NvMediaCenter

>>>           imagepath: RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

>>> Name: NvCplDaemon

>>>           imagepath: RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

>>> Name: NVHotkey

>>>           imagepath: rundll32.exe nvHotkey.dll,Start

>>> Name: 

>>>           location: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk

>>>           imagepath: C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe

>>> Name: 

>>>           imagepath: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

>>> 

>>> Bootexecute items:

>>> Name: 

>>>           imagepath: autocheck autochk *

>>> 

>>> Running services:

>>> Name: ALG

>>>           displayname: Gatewaydienst auf Anwendungsebene

>>> Name: AudioSrv

>>>           displayname: Windows Audio

>>> Name: Browser

>>>           displayname: Computerbrowser

>>> Name: btwdins

>>>           displayname: Bluetooth Service

>>> Name: CryptSvc

>>>           displayname: Kryptografiedienste

>>> Name: DcomLaunch

>>>           displayname: DCOM-Server-Prozessstart

>>> Name: Dhcp

>>>           displayname: DHCP-Client

>>> Name: dmserver

>>>           displayname: Verwaltung logischer Datenträger

>>> Name: Dnscache

>>>           displayname: DNS-Client

>>> Name: ERSvc

>>>           displayname: Fehlerberichterstattungsdienst

>>> Name: Eventlog

>>>           displayname: Ereignisprotokoll

>>> Name: EventSystem

>>>           displayname: COM+-Ereignissystem

>>> Name: EvtEng

>>>           displayname: Intel(R) PROSet/Wireless Event Log

>>> Name: FastUserSwitchingCompatibility

>>>           displayname: Kompatibilität für schnelle Benutzerumschaltung

>>> Name: helpsvc

>>>           displayname: Hilfe und Support

>>> Name: HidServ

>>>           displayname: HID Input Service

>>> Name: HTTPFilter

>>>           displayname: HTTP-SSL

>>> Name: Iprip

>>>           displayname: RIP-Überwachung

>>> Name: lanmanserver

>>>           displayname: Server

>>> Name: lanmanworkstation

>>>           displayname: Arbeitsstationsdienst

>>> Name: Lavasoft Ad-Aware Service

>>>           displayname: Lavasoft Ad-Aware Service

>>> Name: LmHosts

>>>           displayname: TCP/IP-NetBIOS-Hilfsprogramm

>>> Name: Netman

>>>           displayname: Netzwerkverbindungen

>>> Name: NIS

>>>           displayname: Norton Internet Security

>>> Name: Nla

>>>           displayname: NLA (Network Location Awareness)

>>> Name: nvsvc

>>>           displayname: NVIDIA Display Driver Service

>>> Name: PlugPlay

>>>           displayname: Plug & Play

>>> Name: Pml Driver HPZ12

>>>           displayname: Pml Driver HPZ12

>>> Name: PolicyAgent

>>>           displayname: IPSEC-Dienste

>>> Name: ProtectedStorage

>>>           displayname: Geschützter Speicher

>>> Name: RasMan

>>>           displayname: RAS-Verbindungsverwaltung

>>> Name: RegSrvc

>>>           displayname: Intel(R) PROSet/Wireless Registry Service

>>> Name: RemoteRegistry

>>>           displayname: Remote-Registrierung

>>> Name: RpcSs

>>>           displayname: Remoteprozeduraufruf (RPC)

>>> Name: S24EventMonitor

>>>           displayname: Intel(R) PROSet/Wireless Service

>>> Name: SamSs

>>>           displayname: Sicherheitskontenverwaltung

>>> Name: Schedule

>>>           displayname: Taskplaner

>>> Name: seclogon

>>>           displayname: Sekundäre Anmeldung

>>> Name: SENS

>>>           displayname: Systemereignisbenachrichtigung

>>> Name: SharedAccess

>>>           displayname: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung

>>> Name: ShellHWDetection

>>>           displayname: Shellhardwareerkennung

>>> Name: SimpTcp

>>>           displayname: Einfache TCP/IP-Dienste

>>> Name: SNMP

>>>           displayname: SNMP-Dienst

>>> Name: Spooler

>>>           displayname: Druckwarteschlange

>>> Name: srservice

>>>           displayname: Systemwiederherstellungsdienst

>>> Name: SSDPSRV

>>>           displayname: SSDP-Suchdienst

>>> Name: STacSV

>>>           displayname: SigmaTel Audio Service

>>> Name: stisvc

>>>           displayname: Windows-Bilderfassung (WIA)

>>> Name: TapiSrv

>>>           displayname: Telefonie

>>> Name: TermService

>>>           displayname: Terminaldienste

>>> Name: Themes

>>>           displayname: Designs

>>> Name: TrkWks

>>>           displayname: Überwachung verteilter Verknüpfungen (Client)

>>> Name: W32Time

>>>           displayname: Windows-Zeitgeber

>>> Name: WebClient

>>>           displayname: WebClient

>>> Name: winmgmt

>>>           displayname: Windows-Verwaltungsinstrumentation

>>> Name: WLANKEEPER

>>>           displayname: Intel(R) PROSet/Wireless SSO Service

>>> Name: wscsvc

>>>           displayname: Sicherheitscenter

>>> Name: wuauserv

>>>           displayname: Automatische Updates

>>> Name: WZCSVC

>>>           displayname: Konfigurationsfreie drahtlose Verbindung

>>> 

>>>

Ad-Aware und NIS fanden dann übrigens heute morgen nichts mehr, dafür nun aber Malwarebytes:

PHP-Code:

  Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 
Datenbank Version: 4542

 
Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 
06.09.2010 13:04:08

mbam-log-2010-09-06 (13-04-08).txt

 
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)

Durchsuchte Objekte: 167683

Laufzeit: 27 Minute(n), 26 Sekunde(n)

 
Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 5

 
Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)

 
Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)

 
Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)

 
Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)

 
Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)

 
Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)

 
Infizierte Dateien:

C:\Dokumente und Einstellungen\XPS-1730\Eigene Dateien\Downloads\Scanner & Logs\BestSpywareScanner_Setup.exe (Rogue.BestSpywareScanner) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{D68A54FE-4F11-4D63-B7CA-8BC31E6D16EA}\RP5\A0002680.exe (Rogue.BestSpywareScanner) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{D68A54FE-4F11-4D63-B7CA-8BC31E6D16EA}\RP5\A0002688.dll (Rogue.SpywareCease) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{D68A54FE-4F11-4D63-B7CA-8BC31E6D16EA}\RP5\A0002693.exe (Rogue.BestSpywareScanner) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{D68A54FE-4F11-4D63-B7CA-8BC31E6D16EA}\RP5\A0002694.exe (Rogue.BestSpywareScanner) -> Quarantined and deleted successfully.

Ich habe bisher zwar noch keinerlei Merkwürdigkeiten an meinem System feststellen können, möchte aber keinerlei Risiko mehr eingehen und werde die Platten meines XPS nun auch mit DBAN formatieren und ihn zum xten Mal neu aufsetzen. Aber um das Übel endlich zu identifizieren (glaube auch nicht, dass die 2 gefundenen wohl relativ harmlosen Kandidaten mein einziges Problem sind bzw. waren) und mich zukünftig zu schützen, macht es vielleicht Sinn hier noch mal die wichtigsten logfiles zu posten:

Malwarebytes:

PHP-Code:

  Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 
Datenbank Version: 4542

 
Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 
06.09.2010 20:09:17

mbam-log-2010-09-06 (20-09-17).txt

 
Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 140124

Laufzeit: 5 Minute(n), 45 Sekunde(n)

 
Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0

 
Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)

 
Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)

 
Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)

 
Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)

 
Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)

 
Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)

 
Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Defogger:

PHP-Code:

  defogger_disable by jpshortstuff (23.02.10.1)

Log created at 20:12 on 06/09/2010 (XPS-1730)

 
Checking for autostart values...

HKCU\~\Run values retrieved.

HKLM\~\Run values retrieved.

 
Checking for services/drivers...

 
 
-=E.O.F=-

Gmer:

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-06 20:27:25
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\XPS-1730\LOKALE~1\Temp\pxtdqpow.sys


---- System - GMER 1.0.15 ----

SSDT            897EB2D8                                                                                    ZwAlertResumeThread
SSDT            8995E258                                                                                    ZwAlertThread
SSDT            898D9208                                                                                    ZwAllocateVirtualMemory
SSDT            89937270                                                                                    ZwAssignProcessToJobObject
SSDT            89ACC778                                                                                    ZwConnectPort
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)  ZwCreateKey [0xA1838720]
SSDT            897F02C8                                                                                    ZwCreateMutant
SSDT            89937830                                                                                    ZwCreateSymbolicLinkObject
SSDT            897AC2E8                                                                                    ZwCreateThread
SSDT            898B61F8                                                                                    ZwDebugActiveProcess
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)  ZwDeleteKey [0xA18389A0]
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)  ZwDeleteValueKey [0xA1838F00]
SSDT            898139C8                                                                                    ZwDuplicateObject
SSDT            897B72C8                                                                                    ZwFreeVirtualMemory
SSDT            898C1270                                                                                    ZwImpersonateAnonymousToken
SSDT            897EB1F8                                                                                    ZwImpersonateThread
SSDT            897B7630                                                                                    ZwLoadDriver
SSDT            896C42F8                                                                                    ZwMapViewOfSection
SSDT            89861318                                                                                    ZwOpenEvent
SSDT            896C4538                                                                                    ZwOpenProcess
SSDT            898D92D8                                                                                    ZwOpenProcessToken
SSDT            8980C2D8                                                                                    ZwOpenSection
SSDT            896C4448                                                                                    ZwOpenThread
SSDT            89937920                                                                                    ZwProtectVirtualMemory
SSDT            8995E318                                                                                    ZwResumeThread
SSDT            8980D318                                                                                    ZwSetContextThread
SSDT            898632A8                                                                                    ZwSetInformationProcess
SSDT            898B62D8                                                                                    ZwSetSystemInformation
SSDT            \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)  ZwSetValueKey [0xA1839150]
SSDT            89861258                                                                                    ZwSuspendProcess
SSDT            898CA2B8                                                                                    ZwSuspendThread
SSDT            89968710                                                                                    ZwTerminateProcess
SSDT            8980D238                                                                                    ZwTerminateThread
SSDT            896C4238                                                                                    ZwUnmapViewOfSection
SSDT            897CB260                                                                                    ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

?               SYMDS.SYS                                                                                   Das System kann die angegebene Datei nicht finden. !
?               SYMEFA.SYS                                                                                  Das System kann die angegebene Datei nicht finden. !
.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                    section is writeable [0xA4F483A0, 0x59FFE5, 0xE8000020]
init            C:\WINDOWS\system32\Drivers\OEM02Afx.sys                                                    entry point in "init" section [0xA2909310]

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3848] USER32.dll!DialogBoxParamW                7E3747AB 5 Bytes  JMP 41195501 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3848] USER32.dll!CreateWindowExW                7E37D0A3 5 Bytes  JMP 4126DB24 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3848] USER32.dll!DialogBoxIndirectParamW        7E382072 5 Bytes  JMP 41364B6F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3848] USER32.dll!MessageBoxIndirectA            7E38A082 5 Bytes  JMP 41364AA1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3848] USER32.dll!DialogBoxParamA                7E38B144 5 Bytes  JMP 41364B0C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3848] USER32.dll!MessageBoxExW                  7E3A0838 5 Bytes  JMP 41364972 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3848] USER32.dll!MessageBoxExA                  7E3A085C 5 Bytes  JMP 413649D4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3848] USER32.dll!DialogBoxIndirectParamA        7E3A6D7D 5 Bytes  JMP 41364BD2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3848] USER32.dll!MessageBoxIndirectW            7E3B64D5 5 Bytes  JMP 41364A36 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] ntdll.dll!RtlValidateUnicodeString + 554  7C9263BE 10 Bytes  JMP 0248003A 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!DialogBoxParamW                7E3747AB 5 Bytes  JMP 41195501 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!SetWindowsHookExW              7E37820F 5 Bytes  JMP 41269AD5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!CallNextHookEx                 7E37B3C6 5 Bytes  JMP 4125D135 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!CreateWindowExW                7E37D0A3 5 Bytes  JMP 4126DB24 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!UnhookWindowsHookEx            7E37D5F3 5 Bytes  JMP 411D4666 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!DialogBoxIndirectParamW        7E382072 5 Bytes  JMP 41364B6F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!MessageBoxIndirectA            7E38A082 5 Bytes  JMP 41364AA1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!DialogBoxParamA                7E38B144 5 Bytes  JMP 41364B0C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!MessageBoxExW                  7E3A0838 5 Bytes  JMP 41364972 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!MessageBoxExA                  7E3A085C 5 Bytes  JMP 413649D4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!DialogBoxIndirectParamA        7E3A6D7D 5 Bytes  JMP 41364BD2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] USER32.dll!MessageBoxIndirectW            7E3B64D5 5 Bytes  JMP 41364A36 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] ole32.dll!OleInitialize + E37             774D0521 7 Bytes  JMP 024800F3 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] ole32.dll!CoCreateInstance                774D057E 5 Bytes  JMP 4126DB80 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] ole32.dll!CoImpersonateClient + 51        774E56C0 7 Bytes  JMP 024801A9 
.text           C:\Programme\Internet Explorer\IEXPLORE.EXE[3944] ole32.dll!OleLoadFromStream               774F9C85 5 Bytes  JMP 41364EF0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                    SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                    Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                     SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                   SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                   Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                   SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                   Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                 SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                 Lbd.sys (Boot Driver/Lavasoft AB)

---- EOF - GMER 1.0.15 ----

--- --- ---

OTL:

Musste ich aufgrund seiner Größe wieder anhängen.

Und hier noch der MBR-Check:

PHP-Code:

  MBRCheck, version 1.2.3

(c) 2010, AD

 
Command-line:            

Windows Version:        Windows XP Professional

Windows Information:        Service Pack 3 (build 2600)

Logical Drives Mask:        0x0000000c

 
Kernel Drivers (total 141):

  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe

  0x806E5000 \WINDOWS\system32\hal.dll

  0xB85A8000 \WINDOWS\system32\KDCOM.DLL

  0xB84B8000 \WINDOWS\system32\BOOTVID.dll

  0xB7F78000 ACPI.sys

  0xB85AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS

  0xB7F67000 pci.sys

  0xB80A8000 isapnp.sys

  0xB80B8000 ohci1394.sys

  0xB80C8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS

  0xB84BC000 compbatt.sys

  0xB84C0000 \WINDOWS\system32\DRIVERS\BATTC.SYS

  0xB8670000 pciide.sys

  0xB8328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

  0xB80D8000 MountMgr.sys

  0xB7F48000 ftdisk.sys

  0xB85AC000 dmload.sys

  0xB7F22000 dmio.sys

  0xB8330000 PartMgr.sys

  0xB80E8000 VolSnap.sys

  0xB7F0A000 atapi.sys

  0xB7E4C000 iaStor.sys

  0xB80F8000 disk.sys

  0xB8108000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

  0xB7E2C000 fltmgr.sys

  0xB7DD5000 SYMDS.SYS

  0xB7DC3000 sr.sys

  0xB8118000 Lbd.sys

  0xB7D1A000 SYMEFA.SYS

  0xB7D03000 KSecDD.sys

  0xB7C76000 Ntfs.sys

  0xB7C49000 NDIS.sys

  0xB7C2F000 Mup.sys

  0xB8188000 \SystemRoot\system32\DRIVERS\nic1394.sys

  0xA6D1A000 \SystemRoot\system32\DRIVERS\intelppm.sys

  0xA5389000 \SystemRoot\system32\DRIVERS\nv4_mini.sys

  0xA5375000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

  0xA67C6000 \SystemRoot\system32\DRIVERS\usbuhci.sys

  0xA5351000 \SystemRoot\system32\DRIVERS\USBPORT.SYS

  0xA67BE000 \SystemRoot\system32\DRIVERS\usbehci.sys

  0xA5329000 \SystemRoot\system32\DRIVERS\HDAudBus.sys

  0xA5107000 \SystemRoot\system32\DRIVERS\NETw4x32.sys

  0xA50EA000 \SystemRoot\system32\DRIVERS\physX32.sys

  0xA50D6000 \SystemRoot\system32\DRIVERS\sdbus.sys

  0xA6D0A000 \SystemRoot\system32\DRIVERS\rimmptsk.sys

  0xA50C2000 \SystemRoot\system32\DRIVERS\rimsptsk.sys

  0xA5071000 \SystemRoot\system32\DRIVERS\rixdptsk.sys

  0xA6CFA000 \SystemRoot\system32\DRIVERS\i8042prt.sys

  0xA503C000 \SystemRoot\system32\DRIVERS\SynTP.sys

  0xA8A1C000 \SystemRoot\system32\DRIVERS\USBD.SYS

  0xA67B6000 \SystemRoot\system32\DRIVERS\mouclass.sys

  0xA67AE000 \SystemRoot\system32\DRIVERS\kbdclass.sys

  0xA69AA000 \SystemRoot\system32\DRIVERS\imapi.sys

  0xA699A000 \SystemRoot\system32\DRIVERS\cdrom.sys

  0xA698A000 \SystemRoot\system32\DRIVERS\redbook.sys

  0xA5019000 \SystemRoot\system32\DRIVERS\ks.sys

  0xA6AF2000 \SystemRoot\system32\DRIVERS\CmBatt.sys

  0xA6AEE000 \SystemRoot\system32\DRIVERS\wmiacpi.sys

  0xA4F48000 \SystemRoot\system32\DRIVERS\btkrnl.sys

  0xA8A1A000 \SystemRoot\system32\DRIVERS\serscan.sys

  0xA6C9B000 \SystemRoot\system32\DRIVERS\audstub.sys

  0xA697A000 \SystemRoot\system32\DRIVERS\rasl2tp.sys

  0xA6AEA000 \SystemRoot\system32\DRIVERS\ndistapi.sys

  0xA4F31000 \SystemRoot\system32\DRIVERS\ndiswan.sys

  0xA696A000 \SystemRoot\system32\DRIVERS\raspppoe.sys

  0xA695A000 \SystemRoot\system32\DRIVERS\raspptp.sys

  0xA67A6000 \SystemRoot\system32\DRIVERS\TDI.SYS

  0xA4F20000 \SystemRoot\system32\DRIVERS\psched.sys

  0xA694A000 \SystemRoot\system32\DRIVERS\msgpc.sys

  0xA679E000 \SystemRoot\system32\DRIVERS\ptilink.sys

  0xA6796000 \SystemRoot\system32\DRIVERS\raspti.sys

  0xA4EF0000 \SystemRoot\system32\DRIVERS\rdpdr.sys

  0xA693A000 \SystemRoot\system32\DRIVERS\termdd.sys

  0xA692A000 \SystemRoot\system32\DRIVERS\SymIM.sys

  0xA848B000 \SystemRoot\system32\DRIVERS\swenum.sys

  0xA4E92000 \SystemRoot\system32\DRIVERS\update.sys

  0xA6753000 \SystemRoot\system32\DRIVERS\mssmbios.sys

  0xA691A000 \SystemRoot\System32\Drivers\NDProxy.SYS

  0xA5FD8000 \SystemRoot\system32\DRIVERS\usbhub.sys

  0xA2D74000 \SystemRoot\system32\drivers\sthda.sys

  0xA2D50000 \SystemRoot\system32\drivers\portcls.sys

  0xA5FC8000 \SystemRoot\system32\drivers\drmk.sys

  0xA2D2D000 \??\C:\WINDOWS\system32\Drivers\OEM02Afx.sys

  0xA7667000 \SystemRoot\System32\Drivers\Fs_Rec.SYS

  0xACAFB000 \SystemRoot\System32\Drivers\Null.SYS

  0xA7665000 \SystemRoot\System32\Drivers\Beep.SYS

  0xA60DA000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

  0xA60D2000 \SystemRoot\System32\drivers\vga.sys

  0xA7663000 \SystemRoot\System32\Drivers\mnmdd.SYS

  0xA7661000 \SystemRoot\System32\DRIVERS\RDPCDD.sys

  0xA60CA000 \SystemRoot\System32\Drivers\Msfs.SYS

  0xA60C2000 \SystemRoot\System32\Drivers\Npfs.SYS

  0xADBC2000 \SystemRoot\system32\DRIVERS\rasacd.sys

  0xA1CFA000 \SystemRoot\system32\DRIVERS\ipsec.sys

  0xA1CA1000 \SystemRoot\system32\DRIVERS\tcpip.sys

  0xA1C48000 \SystemRoot\system32\drivers\NIS\1201000.025\SYMTDI.SYS

  0xA1C22000 \SystemRoot\system32\DRIVERS\ipnat.sys

  0xA5F98000 \SystemRoot\system32\DRIVERS\wanarp.sys

  0xA1BFC000 \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS

  0xA5F88000 \SystemRoot\system32\DRIVERS\arp1394.sys

  0xA1BA7000 \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20100903.003\IDSxpx86.sys

  0xA1B7F000 \SystemRoot\system32\DRIVERS\netbt.sys

  0xA1B5D000 \SystemRoot\System32\drivers\afd.sys

  0xA5F78000 \SystemRoot\system32\DRIVERS\netbios.sys

  0xA1B3A000 \SystemRoot\system32\drivers\NIS\1201000.025\Ironx86.SYS

  0xADBAA000 \SystemRoot\system32\DRIVERS\hidusb.sys

  0xA5F68000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

  0xA5F58000 \SystemRoot\system32\drivers\NIS\1201000.025\SRTSPX.SYS

  0xA1B0F000 \SystemRoot\system32\DRIVERS\rdbss.sys

  0xA1A9F000 \SystemRoot\system32\DRIVERS\mrxsmb.sys

  0xADC0A000 \SystemRoot\System32\Drivers\Fips.SYS

  0xA1A41000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys

  0xA1A24000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys

  0xA1978000 \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20100810.004\BHDrvx86.sys

  0xADBDA000 \SystemRoot\System32\Drivers\Cdfs.SYS

  0xAD4FF000 \SystemRoot\System32\Drivers\btwusb.sys

  0xB7C0B000 \SystemRoot\system32\DRIVERS\kbdhid.sys

  0xB7C07000 \SystemRoot\system32\DRIVERS\mouhid.sys

  0xB8438000 \SystemRoot\system32\DRIVERS\usbccgp.sys

  0xA193E000 \SystemRoot\system32\DRIVERS\OEM02Dev.sys

  0xA6619000 \SystemRoot\system32\DRIVERS\OEM02Vfx.sys

  0xA1880000 \SystemRoot\System32\Drivers\dump_iaStor.sys

  0xBF800000 \SystemRoot\System32\win32k.sys

  0xB7BD2000 \SystemRoot\System32\drivers\Dxapi.sys

  0xB8398000 \SystemRoot\System32\watchdog.sys

  0xBD000000 \SystemRoot\System32\drivers\dxg.sys

  0xB87AB000 \SystemRoot\System32\drivers\dxgthk.sys

  0xBD012000 \SystemRoot\System32\nv4_disp.dll

  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL

  0xB8450000 \SystemRoot\system32\DRIVERS\AegisP.sys

  0xADBA2000 \SystemRoot\system32\DRIVERS\ndisuio.sys

  0xB7BE7000 \SystemRoot\system32\DRIVERS\s24trans.sys

  0x9F363000 \SystemRoot\system32\DRIVERS\mrxdav.sys

  0x9F0F6000 \SystemRoot\system32\drivers\wdmaud.sys

  0x9F26B000 \SystemRoot\system32\drivers\sysaudio.sys

  0x9F09F000 \SystemRoot\system32\DRIVERS\srv.sys

  0x9EC28000 \SystemRoot\System32\Drivers\HTTP.sys

  0x9EBA7000 \SystemRoot\System32\Drivers\NIS\1201000.025\SRTSP.SYS

  0x9EA33000 \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\VirusDefs\20100905.003\NAVEX15.SYS

  0x9E97F000 \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\VirusDefs\20100905.003\NAVENG.SYS

  0x7C910000 \WINDOWS\system32\ntdll.dll

 
Processes (total 59):

       0 System Idle Process

       4 System

     760 C:\WINDOWS\system32\smss.exe

     816 csrss.exe

     848 C:\WINDOWS\system32\winlogon.exe

     892 C:\WINDOWS\system32\services.exe

     904 C:\WINDOWS\system32\lsass.exe

    1064 C:\WINDOWS\system32\nvsvc32.exe

    1096 C:\WINDOWS\system32\svchost.exe

    1164 svchost.exe

    1208 C:\WINDOWS\system32\svchost.exe

    1248 C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

    1360 C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

    1420 svchost.exe

    1460 svchost.exe

    1656 C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

    1732 C:\WINDOWS\system32\spoolsv.exe

    2040 svchost.exe

     260 C:\Programme\Intel\Wireless\Bin\EvtEng.exe

     328 C:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe

     400 C:\WINDOWS\system32\HPZipm12.exe

     464 C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

     540 C:\WINDOWS\system32\tcpsvcs.exe

     568 C:\WINDOWS\system32\snmp.exe

     592 C:\Programme\SigmaTel\C-Major Audio\DellXPM_5515v133\WDM\stacsv.exe

    1124 C:\WINDOWS\system32\svchost.exe

    1316 C:\Programme\Intel\Wireless\Bin\WLKEEPER.exe

    2124 wmiprvse.exe

    2244 unsecapp.exe

    2276 wmiprvse.exe

    2392 alg.exe

    2812 C:\Programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe

    2856 C:\WINDOWS\explorer.exe

    3688 C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe

    3708 C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe

    3776 C:\Programme\Synaptics\SynTP\SynTPEnh.exe

    3792 C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe

    3800 C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\LCDMon.exe

    3808 C:\WINDOWS\OEM02Mon.exe

    3828 C:\WINDOWS\system32\rundll32.exe

    3844 C:\WINDOWS\system32\rundll32.exe

    3884 C:\WINDOWS\system32\ctfmon.exe

    3908 C:\Dokumente und Einstellungen\XPS-1730\Eigene Dateien\Downloads\MouseExtender.1.9.7.0\MouseExtender.exe

    2976 C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe

    3000 C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe

    3028 C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDPOP3.exe

    3452 C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe

    3476 C:\WINDOWS\system32\svchost.exe

    3996 C:\Programme\WIDCOMM\Bluetooth Software\BTStackServer.exe

    2804 C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe

    3712 C:\Programme\Internet Explorer\iexplore.exe

    2872 C:\Programme\Internet Explorer\iexplore.exe

    4076 C:\Programme\Internet Explorer\iexplore.exe

    3072 C:\WINDOWS\system32\notepad.exe

    1960 C:\WINDOWS\system32\notepad.exe

    2060 C:\WINDOWS\system32\notepad.exe

    2752 C:\WINDOWS\system32\notepad.exe

    2740 C:\WINDOWS\system32\notepad.exe

    1848 C:\Dokumente und Einstellungen\XPS-1730\Eigene Dateien\Downloads\MBRCheck.exe

 
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

 
PhysicalDrive0 Model Number: 

 
      Size  Device Name          MBR Status

  --------------------------------------------

    223 GB  \\.\PhysicalDrive0   Windows XP MBR code detected

            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

 
 
Done!

So ich hoffe Du kannst mir nun vielleicht doch noch weiterhelfen. Übrigens, wir sind ein mittelständiges Unternehmen mit knapp 70 Mitarbeitern und können uns leider keine eigenen IT´lers leisten und ich vermute auch nicht hinter jedem Prozess etwas komisches, doch ich kenne meine letztendlich immer mit viel Mühe, Hingabe und Zeit aufgesetzte Kiste. Da werden normalerweise nicht ständig lauter mir unbekannte Nicht-PnP Treiber installiert oder zig Prozesse gestartet die meinen Rechner am Ende sogar in die Knie zwingen. Mag sein, dass ich zur Zeit etwas überreagiere, aber ein gebranntes Kind scheut eben das Feuer...

cosinus · 06.09.2010, 20:34

Zitat:

Also nachdem gestern Abend Ad-Aware auf meinem privaten mit DBAN gesäubertes Notebook auf einem meiner Sticks eine Trojanermeldung brachte und ich wusste dass diese Datei auch schon auf meinem Firmenrechner ist, installierte ich dort auch Ad-Aware. Und obwohl NIS und Malwarebytes vor bei keinem Scan was meldete:

Also so langsam hab ich den Eindruck, Du redest Dir eine Infektion herbei

Ad-Aware ist noch nie wirklich ein tolles Tool gewesen, und nur weil es irgendwas gefunden gefunden hat (was genau verschweigst Du leider

) gehst Du von einer Infektion aus, obwohl (a) die Platte komplett überschrieben wurde, (b) Malwarebytes nicht gefunden hat, (c) die OTL-Logs unauffällig sind und (d) Dein System sich unauffällig verhält.

Was willst Du mehr?

Du hast auch schon davon gehört, dass derartige Software, allgemein Software niemals perfekt sein kann und wird? Software wird von Menschen geschrieben, denen Programmierfehler passieren können. Viren-/Adwarescanner können Schädlinge melden, die garnicht da sind!!

Zitat:

Übrigens, wir sind ein mittelständiges Unternehmen mit knapp 70 Mitarbeitern und können uns leider keine eigenen IT´lers leisten

na dann wünsch ich Euch viel Spaß ohne IT.

Wenn manche meinen, man kann einfach künstlich einfach eine bei dieser Firmengrößenordnung essentielle Abteilung weglassen, wird irgendwann ein böses Erwachen haben, wo leider auch alle anderen Mitarbeiter von betroffen sind. Spätestens bei einem Totalcrash des Servers und das Backupkonzept war mangelhaft

Kein Firmenchef würde auf die Idee kommen, die Verwaltung wegzulassen, aber bei der IT kann man ja immer sparen, ist ja nur ein Kostenfaktor ohne Mehrwert!

Backdoor oder Trojaner noch immer auf meinem System?

Plagegeister aller Art und deren Bekämpfung: Backdoor oder Trojaner noch immer auf meinem System?