RKIT/Agent.biiu - Noch ein betroffener

mcsolaar · 23.09.2010, 20:00

Hi,
ich könnte vll. in ein Internetcafe und es dort brennen lassen. omann ist das kompliziert :-(.

meinst du wirklich, dass das dann eine endgültige lösung wäre?
vista cd hab ich keine, nur eine xp cd müßte ich noch haben.

gerade hat sich der AntiVir Guard wieder gemeldet, die Datei "$RZH49CO.sys enthält Erkennungsmuster des Rootkits RKIT/Agent.biuu"
also wieder was neues :-(. Das war so nicht geplant, oder?!

ich habe mittlerweile den eindruck, dass ein Neuaufsetzen des laptops mit der XP cd einfacher wäre als hier noch weiter zu machen.

was meinst du wäre sinnvoll, auch in anbetracht des neuen Virus?

cosinus · 23.09.2010, 20:18

Zitat:

des laptops mit der XP cd einfacher wäre als hier noch weiter zu machen.

Wär auch ne Option. Du hast aber jetzt ein Vista installiert? Bei manchen Notebooks gibt es leider keine XP-Treiber. Evtl. kannst Du aber recovern und so das Gerät mit Vista in den Auslieferungszustand wieder versetzen.

Oder wir machen mit der Bereinigung weiter. Bist Du sicher, dass das Notebook keinen Brenner hat? Wenn das Teil Vista hat wird es etwas moderner sein und modernere Notebooks/Laptops haben immer Brenner als internes optisches Laufwerk.

mcsolaar · 23.09.2010, 21:25

Zitat:

Wär auch ne Option. Du hast aber jetzt ein Vista installiert? Bei manchen Notebooks gibt es leider keine XP-Treiber. Evtl. kannst Du aber recovern und so das Gerät mit Vista in den Auslieferungszustand wieder versetzen.

Hm, XP-Treiber^^ klingt nach kompliziertem Suchen.
Wie kann ich denn "recovern" und Vista in den Auslieferungszustand versetzen? mit der "Systemwiederherstellung"?

Zitat:

Oder wir machen mit der Bereinigung weiter. Bist Du sicher, dass das Notebook keinen Brenner hat? Wenn das Teil Vista hat wird es etwas moderner sein und modernere Notebooks/Laptops haben immer Brenner als internes optisches Laufwerk.

Ich habe ein Samsung R710H Laptop, somit ohne Brenner (siehe hxxp://www.notebookinfo.de/notebook-hersteller/samsung/serien/samsung-r710/), ich seh nix zumindest keine entsprechende Info.

Ansonsten hab ich jetzt das Vista Notfall/Recovery-CD 32-Bit downgeloadet und auf den USB Stick gepackt. muss ich mit den downgeloadeten Dateien (".." und "boot" und "sources" "bootmgr") noch irgendwas machen (entpacken oder so) bevor ichs brennen lasse?

ist die existenz von der Datei $RZH49CO.sys im Plan?

cosinus · 23.09.2010, 21:42

Zitat:

Wie kann ich denn "recovern" und Vista in den Auslieferungszustand versetzen? mit der "Systemwiederherstellung"?

Müsstest mal ins Handbuch zu Deinem Gerät schauen. Üblicherweise packen die Hersteller eine Recovery-Partition auf die Festplatte, Du musst natürlich so schnell wie möglich Recocvery-Medien dann selbst brennen. Früher lagen echte Installations-CDs dabei, dann kamen die unsäglichen Recovery-Medien und nun eigentlich nur noch Recovery-Partitionen zum selbst brennen. Kann aber bei Deinem Gerät anders sein.

Zitat:

ich seh nix zumindest keine entsprechende Info.

Reine Leselaufwerke sind am aussterben, daher glaub ich das nicht ganz, dass Du keinen Brenner hast. Schau mal im Gerätemanager und/oder Arbeitsplatz. Windows müsste im Arbeitsplatz DVD-RAM-Laufwerk o.ä. anzeigen und im Gerätmanager findest Du in der entpsrechenden Rubrik für optische Laufwerke auch die genaue Bezeichnung des Laufwerks. Du kannst auch einfach mal CDBurnerXP installieren und schauen ob Du damit einfach brennen kannst.

Zitat:

muss ich mit den downgeloadeten Dateien (".." und "boot" und "sources" "bootmgr") noch irgendwas machen (entpacken oder so) bevor ichs brennen lasse?

Die ISO-Datei darfst Du nicht entpacken/extrahieren, Du musst die ISO-Datei (das CD-Abbild!) per Imagebrennfunktion auf eine Disc brennen!

mcsolaar · 24.09.2010, 20:50

Zitat:

Zitat von cosinus

Ach Du hast ja Vista. Da geh ich meist einen anderen Weg:

Schau mal hier => Vista Notfall/Recovery-CD 32-Bit - Dr. Windows

Lad das iso runter, brenn es per Imagebrennfunktion auf eine CD und starte damit den Rechner (von dieser CD booten). Klick auf Computerreparaturoptionen, weiter, Eingabeaufforderung - die Konsole öffnet sich. Da bitte bootrec.exe /fixboot eintippen (mit enter bestätigen), dann bootrec.exe /fixmbr eintippen (mit enter bestätigen) - Rechner neustarten, CD vorher rausnehmen.

Ok, ich hab mir die Datei vista_recover_x86.iso runtergeladen und auf den USB Stick gepackt und werde damit morgen ins Internetcafe zum brennen gehen. Ich hoffe die beherrschen dort diese "Imagebrennfunktion".

Wenn ich die CD dann habe lege ich Sie ein und boote von der CD - aber wie genau boote ich von der CD? CD einlegen, Notebook ausmachen, dann neu hochfahren und während dem hochfahren F2 drücken?

Danke für deine Antwort! LG

cosinus · 25.09.2010, 14:03

Hallo?! Prüf doch erstmal ob Dein Laufwerk am Notebook wirklich kein Brenner ist! Ich glaub das nämlich nicht denn wie gesagt sind reine Leselaufwerke am Aussterben!!

Zitat:

Ich hoffe die beherrschen dort diese "Imagebrennfunktion".

Hast Du noch nie eine CD gebrannt?? Das ist eine Standardfunktion die jedes Popelprogramm hinbekommt!!

Zitat:

aber wie genau boote ich von der CD? CD einlegen, Notebook ausmachen, dann neu hochfahren und während dem hochfahren F2 drücken?

Bootreihenfolge ändern

mcsolaar · 25.09.2010, 21:51

interessant, ich lerne durch den virus und die bereinigung teile des betriebssystems kennen von denen ich nichts ahnte lol.

ich war also im internetcafe, das war ein geringerer aufwand als mich mit einem (möglicherweise) vorhandenen cd brenner auseinanderzusetzen (rohlinge besorgen, brennprogramm downloaden). die letzte cd die ich selbst gebrannt habe, das war vor zwei PC´s und ca. 8-10 jahren hehe.

es hat alles geklappt wie du es beschrieben hast,

ich habe bootrec.exe /fixboot eingegeben, es kam "Dieser Vorgang wurde erfolgreich beendet", dann bootrec.exe /fixmbr auch dann wieder "Dieser Vorgang wurde erfolgreich beendet".

wie gehts weiter

?

cosinus · 26.09.2010, 10:38

1. Kontrolle des MBR mit MBRCheck

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

2. CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

mcsolaar · 26.09.2010, 19:32

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 1 (build 6001), 32-bit
Base Board Manufacturer: SAMSUNG ELECTRONICS CO., LTD.
BIOS Manufacturer: Phoenix Technologies Ltd.
System Manufacturer: SAMSUNG ELECTRONICS CO., LTD.
System Product Name: R710
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 137):
0x8203D000 \SystemRoot\system32\ntoskrnl.exe
0x8200A000 \SystemRoot\system32\hal.dll
0x89C0A000 \SystemRoot\system32\kdcom.dll
0x89C12000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x89C72000 \SystemRoot\system32\PSHED.dll
0x89C83000 \SystemRoot\system32\BOOTVID.dll
0x89C8B000 \SystemRoot\system32\CLFS.SYS
0x89CCC000 \SystemRoot\system32\CI.dll
0x89DAC000 \SystemRoot\system32\drivers\Wdf01000.sys
0x89E28000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x89E35000 \SystemRoot\system32\drivers\acpi.sys
0x89E7B000 \SystemRoot\system32\drivers\WMILIB.SYS
0x89E84000 \SystemRoot\system32\drivers\msisadrv.sys
0x89E8C000 \SystemRoot\system32\drivers\pci.sys
0x89EB3000 \SystemRoot\System32\drivers\partmgr.sys
0x89EC2000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x89EC5000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x89ECF000 \SystemRoot\system32\drivers\volmgr.sys
0x89EDE000 \SystemRoot\System32\drivers\volmgrx.sys
0x89F28000 \SystemRoot\System32\drivers\mountmgr.sys
0x8A00A000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x8A0DA000 \SystemRoot\system32\DRIVERS\iaNvStor.sys
0x8A122000 \SystemRoot\system32\drivers\atapi.sys
0x8A12A000 \SystemRoot\system32\drivers\ataport.SYS
0x8A148000 \SystemRoot\system32\drivers\fltmgr.sys
0x8A17A000 \SystemRoot\system32\drivers\fileinfo.sys
0x8A18A000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8A1FB000 \SystemRoot\system32\drivers\ndis.sys
0x8A306000 \SystemRoot\system32\drivers\msrpc.sys
0x8A331000 \SystemRoot\system32\drivers\NETIO.SYS
0x8A401000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8A510000 \SystemRoot\system32\drivers\volsnap.sys
0x8A549000 \SystemRoot\System32\Drivers\spldr.sys
0x8A551000 \SystemRoot\System32\Drivers\mup.sys
0x8A560000 \SystemRoot\System32\drivers\ecache.sys
0x8A587000 \SystemRoot\system32\drivers\disk.sys
0x8A598000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x8A5B9000 \SystemRoot\system32\drivers\crcdisk.sys
0x8A69F000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8A6AA000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x8E00B000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x8E73E000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x8E7DD000 \SystemRoot\System32\drivers\watchdog.sys
0x8E7EA000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x8A6B3000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8A6F1000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8A700000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8A712000 \SystemRoot\system32\DRIVERS\athr.sys
0x8A36B000 \SystemRoot\system32\DRIVERS\yk60x86.sys
0x8E7F5000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x8A7D1000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x8E000000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x8A3B7000 \SystemRoot\system32\DRIVERS\SynTP.sys
0x8E7F9000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x8A7E4000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x8A3E5000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8A7EF000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x89F38000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x8A000000 \SystemRoot\system32\DRIVERS\serscan.sys
0x89F47000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x89F75000 \SystemRoot\system32\DRIVERS\storport.sys
0x89FB6000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x89FC1000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x89FD8000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x8E805000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x8E828000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x8E837000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x8E84B000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x8E860000 \SystemRoot\system32\DRIVERS\termdd.sys
0x8E870000 \SystemRoot\system32\DRIVERS\swenum.sys
0x8E872000 \SystemRoot\system32\DRIVERS\ks.sys
0x8E89C000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x8E8A6000 \SystemRoot\system32\DRIVERS\umbus.sys
0x8E8B3000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x8E8E7000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x8E8F8000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x8EAF8000 \SystemRoot\system32\drivers\portcls.sys
0x8EB25000 \SystemRoot\system32\drivers\drmk.sys
0x8EB4A000 \SystemRoot\system32\drivers\nvhda32v.sys
0x8EB58000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x8EB61000 \SystemRoot\System32\Drivers\Null.SYS
0x8EB68000 \SystemRoot\System32\Drivers\Beep.SYS
0x8EB6F000 \SystemRoot\System32\drivers\vga.sys
0x8EB7B000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8EB9C000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x8EBB3000 \SystemRoot\System32\Drivers\VMC302.sys
0x8EBEF000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8EBF7000 \SystemRoot\system32\drivers\rdpencdd.sys
0x89FE3000 \SystemRoot\System32\Drivers\Msfs.SYS
0x89FEE000 \SystemRoot\System32\Drivers\Npfs.SYS
0x89C00000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x8EC03000 \SystemRoot\System32\drivers\tcpip.sys
0x8ECEC000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8ED07000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8ED1D000 \SystemRoot\system32\DRIVERS\smb.sys
0x8ED31000 \SystemRoot\system32\drivers\afd.sys
0x8ED79000 \SystemRoot\System32\DRIVERS\netbt.sys
0x8EDAB000 \SystemRoot\system32\DRIVERS\pacer.sys
0x8EDC1000 \SystemRoot\system32\DRIVERS\netbios.sys
0x8EDCF000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x8EDE2000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x8EDE8000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x8EE24000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8EE2E000 \SystemRoot\System32\Drivers\dfsc.sys
0x8EE45000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x8EE61000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
0x8EE63000 \SystemRoot\System32\Drivers\crashdmp.sys
0x8EE70000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0x97420000 \SystemRoot\System32\win32k.sys
0x8EF40000 \SystemRoot\System32\drivers\Dxapi.sys
0x8EF4A000 \SystemRoot\system32\DRIVERS\monitor.sys
0x97640000 \SystemRoot\System32\TSDDD.dll
0x97660000 \SystemRoot\System32\cdd.dll
0x8EF59000 \SystemRoot\system32\drivers\luafv.sys
0x8EF74000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x8EF88000 \SystemRoot\system32\DRIVERS\kmdfmemio.sys
0x8A5C2000 \SystemRoot\system32\drivers\spsys.sys
0x8EF90000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x8EFA0000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x8EFCA000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x8EFD4000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x9C40D000 \SystemRoot\system32\drivers\HTTP.sys
0x9C47A000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x9C497000 \SystemRoot\system32\DRIVERS\bowser.sys
0x9C4B0000 \SystemRoot\System32\drivers\mpsdrv.sys
0x9C4C5000 \SystemRoot\system32\drivers\mrxdav.sys
0x9C4E5000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x9C504000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x9C53D000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x9C555000 \SystemRoot\System32\DRIVERS\srv2.sys
0x9C57C000 \SystemRoot\System32\DRIVERS\srv.sys
0x9C5E2000 \SystemRoot\system32\drivers\peauth.sys
0x9C6C0000 \SystemRoot\System32\Drivers\secdrv.SYS
0x9C6CA000 \SystemRoot\System32\drivers\tcpipreg.sys
0x9C6D6000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x9C6EC000 \??\C:\Windows\system32\FsUsbExDisk.SYS
0x77150000 \Windows\System32\ntdll.dll

Processes (total 78):
0 System Idle Process
4 SYSTEM
436 C:\Windows\System32\smss.exe
504 csrss.exe
560 C:\Windows\System32\wininit.exe
572 csrss.exe
604 C:\Windows\System32\services.exe
616 C:\Windows\System32\lsass.exe
628 C:\Windows\System32\lsm.exe
764 C:\Windows\System32\svchost.exe
832 C:\Windows\System32\nvvsvc.exe
860 C:\Windows\System32\svchost.exe
900 C:\Windows\System32\svchost.exe
948 C:\Windows\System32\svchost.exe
984 C:\Windows\System32\svchost.exe
1004 C:\Windows\System32\svchost.exe
1084 C:\Windows\System32\audiodg.exe
1104 C:\Windows\System32\svchost.exe
1136 C:\Windows\System32\winlogon.exe
1144 C:\Windows\System32\SLsvc.exe
1200 C:\Windows\System32\svchost.exe
1404 C:\Windows\System32\rundll32.exe
1472 C:\Windows\System32\svchost.exe
1684 C:\Windows\System32\spoolsv.exe
1692 C:\Windows\System32\taskeng.exe
1724 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1740 C:\Windows\System32\svchost.exe
1988 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
2028 C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
2044 C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe
276 C:\Program Files\Bonjour\mDNSResponder.exe
284 C:\Windows\System32\svchost.exe
372 C:\Program Files\Intel\WiFi\bin\EvtEng.exe
968 C:\Windows\System32\FsUsbExService.Exe
1540 C:\Windows\System32\svchost.exe
1872 C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
484 C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
2064 C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
2084 C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
2196 C:\Windows\System32\svchost.exe
2228 C:\Windows\System32\svchost.exe
2260 C:\Windows\System32\SearchIndexer.exe
2696 C:\Windows\System32\dwm.exe
2748 C:\Windows\explorer.exe
2792 C:\Windows\System32\taskeng.exe
2932 C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
3016 C:\Program Files\Windows Defender\MSASCui.exe
3028 C:\Windows\RtHDVCpl.exe
3044 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
3052 C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
3120 C:\Program Files\Samsung\EasySpeedUpManager\EasySpeedUpManager.exe
3140 C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
3192 C:\Windows\System32\rundll32.exe
3272 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
3408 C:\Program Files\iTunes\iTunesHelper.exe
3428 C:\Program Files\FreePDF_XP\fpassist.exe
3440 C:\Program Files\Java\jre6\bin\jusched.exe
3448 C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
3456 C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
3464 C:\Program Files\Windows Sidebar\sidebar.exe
3504 C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
3516 C:\Windows\ehome\ehtray.exe
3532 C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
3632 C:\Program Files\Mozilla Firefox\firefox.exe
3688 C:\Program Files\OpenOffice.org 3\program\soffice.exe
3724 C:\Program Files\OpenOffice.org 3\program\soffice.bin
3804 C:\Windows\ehome\ehmsas.exe
2332 C:\Windows\servicing\TrustedInstaller.exe
3364 C:\Program Files\iPod\bin\iPodService.exe
3784 C:\Program Files\Windows Media Player\wmpnscfg.exe
1188 C:\Program Files\Windows Media Player\wmpnetwk.exe
2384 C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
1732 C:\Windows\explorer.exe
1276 C:\Windows\System32\SearchProtocolHost.exe
2176 C:\Windows\System32\SearchFilterHost.exe
1328 C:\Windows\System32\svchost.exe
4224 C:\Users\Schneider\Desktop\MBRCheck.exe
4240 C:\Windows\System32\conime.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`80100000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000026`85d00000 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHM320JI, Rev: 2SS00_01

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979

Done!

cosinus · 26.09.2010, 19:57

Zitat:

298 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979

Der MBR ist schonmal ok.

mcsolaar · 26.09.2010, 20:03

Hi,

am Ende des Scans kam zwar nicht wie in deiner Beschreibung angekündigt ein "OK" Button den man drücken muss, ich hoffe du kannst mit dem Log trotzdem was anfangen:OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 26.09.2010 20:40:39 - Run 2
OTL by OldTimer - Version 3.2.12.1     Folder = C:\Users\Schneider\Desktop
Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18943)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 66,00% Memory free
6,00 Gb Paging File | 5,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 144,09 Gb Total Space | 112,82 Gb Free Space | 78,30% Space Free | Partition Type: NTFS
Drive D: | 144,00 Gb Total Space | 143,91 Gb Free Space | 99,94% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: SCHNEIDER-PC
Current User Name: Schneider
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Minimal
Quick Scan
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Schneider\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Java\jre6\bin\jucheck.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)
PRC - C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe (Samsung Electronics Co., Ltd.)
PRC - C:\Windows\System32\FsUsbExService.Exe (Teruten)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe (Microsoft Corporation)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Intel\WiFi\bin\EvtEng.exe (Intel(R) Corporation)
PRC - C:\Programme\Common Files\Intel\WirelessCommon\RegSrvc.exe (Intel(R) Corporation)
PRC - C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe (SAMSUNG Electronics)
PRC - C:\Programme\Samsung\EasySpeedUpManager\EasySpeedUpManager.exe (Samsung Electronics Co., Ltd.)
PRC - C:\Programme\Samsung\EBM\EasyBatteryMgr3.exe (SAMSUNG Electronics co., LTD.)
PRC - C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
PRC - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
PRC - C:\Windows\System32\conime.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Defender\MSASCui.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Sidebar\sidebar.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe (Microsoft Corporation)
PRC - C:\Programme\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe (Samsung Electronics Co., Ltd.)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\Schneider\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\System32\vbscript.dll (Microsoft Corporation)
MOD - C:\Windows\System32\wbem\fastprox.dll (Microsoft Corporation)
MOD - C:\Windows\System32\BtMmHook.dll (Broadcom Corporation.)
MOD - C:\Windows\System32\wbem\wbemdisp.dll (Microsoft Corporation)
MOD - C:\Windows\System32\rsaenh.dll (Microsoft Corporation)
MOD - C:\Windows\System32\msscript.ocx (Microsoft Corporation)
MOD - C:\Windows\System32\sxs.dll (Microsoft Corporation)
MOD - C:\Windows\System32\wbemcomn.dll (Microsoft Corporation)
MOD - C:\Windows\System32\wbem\wmiutils.dll (Microsoft Corporation)
MOD - C:\Windows\System32\wbem\wbemsvc.dll (Microsoft Corporation)
MOD - C:\Windows\System32\wbem\wbemprox.dll (Microsoft Corporation)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6001.18000_none_5cdbaa5a083979cc\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (MSSQL$MSSMLBIZ) SQL Server (MSSMLBIZ) -- C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (Microsoft Corporation)
SRV - (FsUsbExService) -- C:\Windows\System32\FsUsbExService.Exe (Teruten)
SRV - (SQLWriter) -- C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe (Microsoft Corporation)
SRV - (SQLBrowser) -- C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe (Microsoft Corporation)
SRV - (MSSQLServerADHelper) -- C:\Program Files\Microsoft SQL Server\90\Shared\sqladhlp90.exe (Microsoft Corporation)
SRV - (EvtEng) -- C:\Programme\Intel\WiFi\bin\EvtEng.exe (Intel(R) Corporation)
SRV - (RegSrvc) -- C:\Programme\Common Files\Intel\WirelessCommon\RegSrvc.exe (Intel(R) Corporation)
SRV - (Samsung Update Plus) -- C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe ()
SRV - (ServiceLayer) -- C:\Program Files\PC Connectivity Solution\ServiceLayer.exe (Nokia.)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (BcmSqlStartupSvc) -- C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found
DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found
DRV - (catchme) -- C:\cofi\catchme.sys File not found
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (FsUsbExDisk) -- C:\Windows\System32\FsUsbExDisk.Sys ()
DRV - (ss_bmdm) -- C:\Windows\System32\drivers\ss_bmdm.sys (MCCI Corporation)
DRV - (ss_bbus) SAMSUNG USB Mobile Device (WDM) -- C:\Windows\System32\drivers\ss_bbus.sys (MCCI)
DRV - (ss_bmdfl) SAMSUNG USB Mobile Modem (Filter) -- C:\Windows\System32\drivers\ss_bmdfl.sys (MCCI Corporation)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (KMDFMEMIO) -- C:\Windows\System32\drivers\KMDFMEMIO.sys (SAMSUNG ELECTRONICS CO., LTD.)
DRV - (NVHDA) -- C:\Windows\System32\drivers\nvhda32v.sys (NVIDIA Corporation)
DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)
DRV - (iaStor) -- C:\Windows\system32\DRIVERS\iaStor.sys (Intel Corporation)
DRV - (VMC302) -- C:\Windows\System32\drivers\vmc302.sys (Vimicro Corporation)
DRV - (iaNvStor) Intel(R) -- C:\Windows\system32\DRIVERS\iaNvStor.sys (Intel Corporation)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\Windows\System32\drivers\RTKVHDA.sys (Realtek Semiconductor Corp.)
DRV - (btwaudio) -- C:\Windows\System32\drivers\btwaudio.sys (Broadcom Corporation.)
DRV - (MegaSR) -- C:\Windows\system32\drivers\megasr.sys (LSI Corporation, Inc.)
DRV - (adpu320) -- C:\Windows\system32\drivers\adpu320.sys (Adaptec, Inc.)
DRV - (megasas) -- C:\Windows\system32\drivers\megasas.sys (LSI Corporation)
DRV - (adpu160m) -- C:\Windows\system32\drivers\adpu160m.sys (Adaptec, Inc.)
DRV - (SiSRaid4) -- C:\Windows\system32\drivers\sisraid4.sys (Silicon Integrated Systems)
DRV - (HpCISSs) -- C:\Windows\system32\drivers\hpcisss.sys (Hewlett-Packard Company)
DRV - (adpahci) -- C:\Windows\system32\drivers\adpahci.sys (Adaptec, Inc.)
DRV - (LSI_SAS) -- C:\Windows\system32\drivers\lsi_sas.sys (LSI Logic)
DRV - (ql2300) -- C:\Windows\system32\drivers\ql2300.sys (QLogic Corporation)
DRV - (E1G60) Intel(R) -- C:\Windows\System32\drivers\E1G60I32.sys (Intel Corporation)
DRV - (arcsas) -- C:\Windows\system32\drivers\arcsas.sys (Adaptec, Inc.)
DRV - (iaStorV) -- C:\Windows\system32\drivers\iastorv.sys (Intel Corporation)
DRV - (vsmraid) -- C:\Windows\system32\drivers\vsmraid.sys (VIA Technologies Inc.,Ltd)
DRV - (ulsata2) -- C:\Windows\system32\drivers\ulsata2.sys (Promise Technology, Inc.)
DRV - (LSI_SCSI) -- C:\Windows\system32\drivers\lsi_scsi.sys (LSI Logic)
DRV - (LSI_FC) -- C:\Windows\system32\drivers\lsi_fc.sys (LSI Logic)
DRV - (arc) -- C:\Windows\system32\drivers\arc.sys (Adaptec, Inc.)
DRV - (elxstor) -- C:\Windows\system32\drivers\elxstor.sys (Emulex)
DRV - (adp94xx) -- C:\Windows\system32\drivers\adp94xx.sys (Adaptec, Inc.)
DRV - (nvraid) -- C:\Windows\system32\drivers\nvraid.sys (NVIDIA Corporation)
DRV - (nvstor) -- C:\Windows\system32\drivers\nvstor.sys (NVIDIA Corporation)
DRV - (NETw3v32) Intel(R) -- C:\Windows\System32\drivers\NETw3v32.sys (Intel Corporation)
DRV - (uliahci) -- C:\Windows\system32\drivers\uliahci.sys (ULi Electronics Inc.)
DRV - (viaide) -- C:\Windows\system32\drivers\viaide.sys (VIA Technologies, Inc.)
DRV - (cmdide) -- C:\Windows\system32\drivers\cmdide.sys (CMD Technology, Inc.)
DRV - (aliide) -- C:\Windows\system32\drivers\aliide.sys (Acer Laboratories Inc.)
DRV - (yukonwlh) -- C:\Windows\System32\drivers\yk60x86.sys (Marvell)
DRV - (SynTP) -- C:\Windows\System32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (pccsmcfd) -- C:\Windows\System32\drivers\pccsmcfd.sys (Nokia)
DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.)
DRV - (btwrchid) -- C:\Windows\System32\drivers\btwrchid.sys (Broadcom Corporation.)
DRV - (btwavdt) -- C:\Windows\System32\drivers\btwavdt.sys (Broadcom Corporation.)
DRV - (AgereSoftModem) -- C:\Windows\System32\drivers\agrsm.sys (Agere Systems)
DRV - (ql40xx) -- C:\Windows\system32\drivers\ql40xx.sys (QLogic Corporation)
DRV - (UlSata) -- C:\Windows\system32\drivers\ulsata.sys (Promise Technology, Inc.)
DRV - (nfrd960) -- C:\Windows\system32\drivers\nfrd960.sys (IBM Corporation)
DRV - (iirsp) -- C:\Windows\system32\drivers\iirsp.sys (Intel Corp./ICP vortex GmbH)
DRV - (aic78xx) -- C:\Windows\system32\drivers\djsvs.sys (Adaptec, Inc.)
DRV - (iteraid) -- C:\Windows\system32\drivers\iteraid.sys (Integrated Technology Express, Inc.)
DRV - (iteatapi) -- C:\Windows\system32\drivers\iteatapi.sys (Integrated Technology Express, Inc.)
DRV - (Symc8xx) -- C:\Windows\system32\drivers\symc8xx.sys (LSI Logic)
DRV - (Sym_u3) -- C:\Windows\system32\drivers\sym_u3.sys (LSI Logic)
DRV - (Mraid35x) -- C:\Windows\system32\drivers\mraid35x.sys (LSI Logic Corporation)
DRV - (Sym_hi) -- C:\Windows\system32\drivers\sym_hi.sys (LSI Logic)
DRV - (Brserid) Brother MFC Serial Port Interface Driver (WDM) -- C:\Windows\system32\drivers\brserid.sys (Brother Industries Ltd.)
DRV - (BrUsbSer) -- C:\Windows\system32\drivers\brusbser.sys (Brother Industries Ltd.)
DRV - (BrFiltUp) -- C:\Windows\system32\drivers\brfiltup.sys (Brother Industries, Ltd.)
DRV - (BrFiltLo) -- C:\Windows\system32\drivers\brfiltlo.sys (Brother Industries, Ltd.)
DRV - (BrSerWdm) -- C:\Windows\system32\drivers\brserwdm.sys (Brother Industries Ltd.)
DRV - (BrUsbMdm) -- C:\Windows\system32\drivers\brusbmdm.sys (Brother Industries Ltd.)
DRV - (ntrigdigi) -- C:\Windows\system32\drivers\ntrigdigi.sys (N-trig Innovative Technologies)
DRV - (bcm4sbxp) -- C:\Windows\System32\drivers\bcm4sbxp.sys (Broadcom Corporation)
DRV - (ialm) -- C:\Windows\System32\drivers\igdkmd32.sys (Intel Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http:\\www.samsungcomputer.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "finance.yahoo.com"
FF - prefs.js..extensions.enabledItems: moveplayer@movenetworks.com:1.0.0.071303000004
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{688D31B5-03B3-40E2-8C10-53F5612F187B}: C:\Users\Schneider\AppData\Local\{688D31B5-03B3-40E2-8C10-53F5612F187B}
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.13\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.09.26 11:07:28 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.13\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.09.26 11:07:28 | 000,000,000 | ---D | M]
 
[2009.04.13 09:13:17 | 000,000,000 | ---D | M] -- C:\Users\Schneider\AppData\Roaming\mozilla\Extensions
[2010.09.26 14:12:29 | 000,000,000 | ---D | M] -- C:\Users\Schneider\AppData\Roaming\mozilla\Firefox\Profiles\ymbotm1u.default\extensions
[2010.09.26 14:12:26 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Schneider\AppData\Roaming\mozilla\Firefox\Profiles\ymbotm1u.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009.07.27 23:16:12 | 000,000,000 | ---D | M] -- C:\Users\Schneider\AppData\Roaming\mozilla\Firefox\Profiles\ymbotm1u.default\extensions\moveplayer@movenetworks.com
[2010.09.26 14:12:29 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.09.26 11:07:13 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.09.26 11:07:13 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.09.26 11:07:13 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.09.26 11:07:13 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.09.26 11:07:13 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.09.17 23:43:35 | 000,000,027 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: [AutoStartNPSAgent] C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe (Samsung Electronics Co., Ltd.)
O4 - HKCU..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - Startup: C:\Users\Schneider\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Common Files\microsoft shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Users\Schneider\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O24 - Desktop BackupWallPaper: C:\Users\Schneider\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 90 Days ==========
 
[2010.09.22 07:20:05 | 000,045,303 | ---- | C] () -- C:\Users\Schneider\bootkit_remover_debug_log.txt
[2010.09.20 20:57:06 | 000,000,000 | ---D | C] -- C:\Users\Schneider\AppData\Roaming\Online Solutions
[2010.09.19 00:27:58 | 000,083,968 | ---- | C] (eSage Lab) -- C:\Windows\System32\bootkit_remover.exe
[2010.09.19 00:27:58 | 000,000,000 | ---D | C] -- C:\Users\Schneider\Desktop\bootkit_remover
[2010.09.19 00:27:38 | 000,083,968 | ---- | C] (eSage Lab) -- C:\Users\Schneider\Desktop\bootkit_remover.exe
[2010.09.19 00:21:11 | 000,000,000 | ---D | C] -- C:\Windows\Minidump
[2010.09.18 21:54:29 | 000,000,000 | ---D | C] -- C:\Users\Schneider\AppData\Roaming\WinRAR
[2010.09.18 21:54:19 | 000,000,000 | ---D | C] -- C:\Programme\WinRAR
[2010.09.17 23:50:45 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2010.09.17 23:43:39 | 000,000,000 | ---D | C] -- C:\$RECYCLE.BIN
[2010.09.17 23:33:14 | 000,161,792 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2010.09.17 23:33:14 | 000,136,704 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2010.09.17 23:33:14 | 000,031,232 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2010.09.17 23:33:10 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT
[2010.09.17 23:32:45 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010.09.17 23:32:29 | 000,212,480 | ---- | C] (SteelWerX) -- C:\Windows\SWXCACLS.exe
[2010.09.17 07:14:41 | 000,000,000 | ---D | C] -- C:\_OTL
[2010.09.16 20:30:30 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Users\Schneider\Desktop\OTL.exe
[2010.09.16 07:29:41 | 000,000,000 | ---D | C] -- C:\Windows\System32\MpEngineStore
[2010.09.15 20:54:53 | 000,000,000 | ---D | C] -- C:\Users\Schneider\AppData\Roaming\Malwarebytes
[2010.09.15 20:54:40 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2010.09.15 20:54:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2010.09.15 20:54:38 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2010.09.15 20:54:38 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.07.30 21:23:50 | 000,000,000 | ---D | C] -- C:\Users\Schneider\AppData\Local\Microsoft Games
[2010.06.30 18:35:10 | 000,000,000 | ---D | C] -- C:\Windows\System32\EventProviders
[2009.09.02 14:17:27 | 000,000,306 | RHS- | C] () -- C:\ProgramData\ntuser.pol
[2009.06.16 14:03:56 | 000,126,976 | ---- | C] ( ) -- C:\Windows\System32\Interop.SHDocVw.dll
[2009.04.10 17:37:04 | 000,011,264 | ---- | C] () -- C:\Users\Schneider\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.03.29 16:04:47 | 003,586,133 | -H-- | C] () -- C:\Users\Schneider\AppData\Local\IconCache.db
[2009.03.29 16:04:29 | 000,104,040 | ---- | C] () -- C:\Users\Schneider\AppData\Local\GDIPFONTCACHEV1.DAT
[2009.03.20 11:54:05 | 000,090,967 | ---- | C] () -- C:\ProgramData\nvModes.001
[2009.03.20 11:53:58 | 000,090,967 | ---- | C] () -- C:\ProgramData\nvModes.dat
[2006.11.02 14:50:50 | 000,000,174 | -HS- | C] () -- C:\Programme\desktop.ini
 
========== Files - Modified Within 90 Days ==========
 
[2010.09.26 20:35:26 | 002,097,152 | -HS- | M] () -- C:\Users\Schneider\NTUSER.DAT
[2010.09.26 20:28:51 | 000,080,384 | ---- | M] () -- C:\Users\Schneider\Desktop\MBRCheck.exe
[2010.09.26 20:27:23 | 000,090,967 | ---- | M] () -- C:\ProgramData\nvModes.001
[2010.09.26 20:27:08 | 000,004,784 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2010.09.26 20:27:08 | 000,004,784 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2010.09.26 20:26:52 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2010.09.26 20:26:47 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.09.26 20:26:38 | 3215,572,992 | -HS- | M] () -- C:\hiberfil.sys
[2010.09.26 16:50:28 | 000,524,288 | -HS- | M] () -- C:\Users\Schneider\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000002.regtrans-ms
[2010.09.26 16:50:28 | 000,065,536 | -HS- | M] () -- C:\Users\Schneider\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TM.blf
[2010.09.26 16:50:26 | 000,000,012 | ---- | M] () -- C:\Windows\bthservsdp.dat
[2010.09.26 16:38:46 | 000,090,967 | ---- | M] () -- C:\ProgramData\nvModes.dat
[2010.09.26 15:17:09 | 003,586,133 | -H-- | M] () -- C:\Users\Schneider\AppData\Local\IconCache.db
[2010.09.26 14:22:43 | 000,011,264 | ---- | M] () -- C:\Users\Schneider\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.09.25 22:34:18 | 000,000,426 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{993D2734-935D-43BF-BCD8-D24F9C1D79FD}.job
[2010.09.25 22:11:29 | 001,574,834 | ---- | M] () -- C:\Windows\System32\PerfStringBackup.INI
[2010.09.25 22:11:29 | 000,678,910 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2010.09.25 22:11:29 | 000,636,790 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2010.09.25 22:11:29 | 000,147,378 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2010.09.25 22:11:29 | 000,119,616 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2010.09.22 07:25:53 | 000,000,512 | ---- | M] () -- C:\mbr.dat
[2010.09.21 07:21:01 | 000,029,908 | ---- | M] () -- C:\Users\Schneider\Desktop\osam2.html
[2010.09.20 21:06:49 | 000,029,298 | ---- | M] () -- C:\Users\Schneider\Desktop\osam.html
[2010.09.19 15:40:26 | 000,024,840 | ---- | M] () -- C:\Users\Schneider\Desktop\gmer log.rtf
[2010.09.19 00:34:13 | 000,048,668 | ---- | M] () -- C:\Users\Schneider\Desktop\bootkitlog.JPG
[2010.09.19 00:27:07 | 000,040,375 | ---- | M] () -- C:\Users\Schneider\Desktop\bootkit_remover.rar
[2010.09.19 00:21:11 | 259,959,818 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2010.09.19 00:12:12 | 000,293,376 | ---- | M] () -- C:\Users\Schneider\Desktop\f0ru5eo5.exe
[2010.09.17 23:43:45 | 000,000,215 | ---- | M] () -- C:\Windows\system.ini
[2010.09.17 23:43:35 | 000,000,027 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts
[2010.09.17 23:32:23 | 003,846,509 | R--- | M] () -- C:\Users\Schneider\Desktop\cofi.exe
[2010.09.17 22:56:58 | 000,012,578 | ---- | M] () -- C:\Users\Schneider\Desktop\cc_20100917_225652.reg
[2010.09.17 22:50:07 | 000,103,078 | ---- | M] () -- C:\Users\Schneider\Desktop\cc_20100917_224938.reg
[2010.09.16 20:30:39 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Users\Schneider\Desktop\OTL.exe
[2010.09.16 07:29:41 | 000,000,184 | ---- | M] () -- C:\Windows\System32\MRT.INI
[2010.09.15 20:54:43 | 000,000,818 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.09.01 15:33:49 | 000,083,968 | ---- | M] (eSage Lab) -- C:\Windows\System32\bootkit_remover.exe
[2010.09.01 15:33:49 | 000,083,968 | ---- | M] (eSage Lab) -- C:\Users\Schneider\Desktop\bootkit_remover.exe
[2010.08.11 13:11:46 | 000,389,112 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2010.07.15 23:34:24 | 000,011,216 | ---- | M] () -- C:\Users\Schneider\gsview32.ini
[2010.07.10 15:32:56 | 000,001,887 | ---- | M] () -- C:\Users\Public\Desktop\Adobe Reader 9.lnk
 
========== Files Created - No Company Name ==========
 
[2010.09.26 20:28:42 | 000,080,384 | ---- | C] () -- C:\Users\Schneider\Desktop\MBRCheck.exe
[2010.09.22 07:25:53 | 000,000,512 | ---- | C] () -- C:\mbr.dat
[2010.09.21 07:21:01 | 000,029,908 | ---- | C] () -- C:\Users\Schneider\Desktop\osam2.html
[2010.09.20 21:06:49 | 000,029,298 | ---- | C] () -- C:\Users\Schneider\Desktop\osam.html
[2010.09.19 15:40:26 | 000,024,840 | ---- | C] () -- C:\Users\Schneider\Desktop\gmer log.rtf
[2010.09.19 00:34:12 | 000,048,668 | ---- | C] () -- C:\Users\Schneider\Desktop\bootkitlog.JPG
[2010.09.19 00:27:06 | 000,040,375 | ---- | C] () -- C:\Users\Schneider\Desktop\bootkit_remover.rar
[2010.09.19 00:20:30 | 259,959,818 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2010.09.19 00:12:11 | 000,293,376 | ---- | C] () -- C:\Users\Schneider\Desktop\f0ru5eo5.exe
[2010.09.17 23:33:14 | 000,256,512 | ---- | C] () -- C:\Windows\PEV.exe
[2010.09.17 23:33:14 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2010.09.17 23:33:14 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2010.09.17 23:33:14 | 000,077,312 | ---- | C] () -- C:\Windows\MBR.exe
[2010.09.17 23:33:14 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2010.09.17 23:31:58 | 003,846,509 | R--- | C] () -- C:\Users\Schneider\Desktop\cofi.exe
[2010.09.17 22:56:55 | 000,012,578 | ---- | C] () -- C:\Users\Schneider\Desktop\cc_20100917_225652.reg
[2010.09.17 22:49:46 | 000,103,078 | ---- | C] () -- C:\Users\Schneider\Desktop\cc_20100917_224938.reg
[2010.09.16 07:29:41 | 000,000,184 | ---- | C] () -- C:\Windows\System32\MRT.INI
[2010.09.15 20:54:43 | 000,000,818 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.03.23 15:15:47 | 000,000,043 | ---- | C] () -- C:\Windows\gswin32.ini
[2009.12.27 16:01:51 | 000,110,592 | ---- | C] () -- C:\Windows\System32\FsUsbExDevice.Dll
[2009.12.27 16:01:51 | 000,036,608 | ---- | C] () -- C:\Windows\System32\FsUsbExDisk.Sys
[2009.08.12 10:14:44 | 000,116,224 | ---- | C] () -- C:\Windows\System32\redmonnt.dll
[2009.06.16 14:03:58 | 000,053,248 | ---- | C] () -- C:\Windows\System32\dossec.dll
[2009.04.11 19:07:45 | 000,000,425 | ---- | C] () -- C:\Windows\BRWMARK.INI
[2009.04.11 19:07:45 | 000,000,027 | ---- | C] () -- C:\Windows\BRPP2KA.INI
[2009.04.11 18:54:31 | 000,000,027 | ---- | C] () -- C:\Windows\BRMFBIDI.INI
[2008.09.12 06:03:48 | 000,001,670 | ---- | C] () -- C:\Windows\HotFixList.ini
[2008.09.12 06:03:06 | 000,000,135 | R--- | C] () -- C:\Windows\System32\lngEng.ini
[2008.09.12 06:03:06 | 000,000,117 | ---- | C] () -- C:\Windows\System32\lngKor.ini
[2008.09.12 05:54:39 | 000,172,032 | ---- | C] () -- C:\Windows\System32\nvccoin.dll
[2008.09.11 17:02:18 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll
[2007.10.25 18:26:10 | 000,005,632 | ---- | C] () -- C:\Windows\System32\drivers\StarOpen.sys
[2006.11.02 14:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006.11.02 12:25:21 | 000,061,440 | ---- | C] () -- C:\Windows\System32\igfxTMM.dll
[2006.11.02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2001.11.14 05:56:00 | 001,802,240 | ---- | C] () -- C:\Windows\System32\lcppn21.dll
 
========== LOP Check ==========
 
[2010.09.20 20:57:32 | 000,000,000 | ---D | M] -- C:\Users\Schneider\AppData\Roaming\Online Solutions
[2009.08.10 10:25:19 | 000,000,000 | ---D | M] -- C:\Users\Schneider\AppData\Roaming\OpenOffice.org
[2009.12.27 16:06:59 | 000,000,000 | ---D | M] -- C:\Users\Schneider\AppData\Roaming\PC Suite
[2009.12.27 16:01:42 | 000,000,000 | ---D | M] -- C:\Users\Schneider\AppData\Roaming\Samsung
[2010.09.26 16:50:26 | 000,032,632 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
[2010.09.25 22:34:18 | 000,000,426 | -H-- | M] () -- C:\Windows\Tasks\User_Feed_Synchronization-{993D2734-935D-43BF-BCD8-D24F9C1D79FD}.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2009.04.13 22:10:45 | 000,000,000 | ---D | M] -- C:\Users\Schneider\AppData\Roaming\Adobe
[2009.06.21 00:15:09 | 000,000,000 | ---D | M] -- C:\Users\Schneider\AppData\Roaming\Apple Computer
[2009.04.27 11:12:34 | 000,000,000 | R--D | M] -- C:\Users\Schneider\AppData\Roaming\Brother
[2010.01.17 10:49:45 | 000,000,000 | ---D | M] -- C:\Users\Schneider\AppData\Roaming\DivX
[2009.03.29 16:03:43 | 000,000,000 | ---D | M] -- C:\Users\Schneider\AppData\Roaming\Identities
[2009.04.05 18:27:27 | 000,000,000 | ---D | M] -- C:\Users\Schneider\AppData\Roaming\Macromedia
[2010.09.15 20:54:53 | 000,000,000 | ---D | M] -- C:\Users\Schneider\AppData\Roaming\Malwarebytes
[2006.11.02 14:37:34 | 000,000,000 | ---D | M] -- C:\Users\Schneider\AppData\Roaming\Media Center Programs
[2010.09.06 22:55:41 | 000,000,000 | --SD | M] -- C:\Users\Schneider\AppData\Roaming\Microsoft
[2009.04.13 09:13:17 | 000,000,000 | ---D | M] -- C:\Users\Schneider\AppData\Roaming\Mozilla
[2010.09.20 20:57:32 | 000,000,000 | ---D | M] -- C:\Users\Schneider\AppData\Roaming\Online Solutions
[2009.08.10 10:25:19 | 000,000,000 | ---D | M] -- C:\Users\Schneider\AppData\Roaming\OpenOffice.org
[2009.12.27 16:06:59 | 000,000,000 | ---D | M] -- C:\Users\Schneider\AppData\Roaming\PC Suite
[2009.12.27 16:01:42 | 000,000,000 | ---D | M] -- C:\Users\Schneider\AppData\Roaming\Samsung
[2010.02.23 18:25:25 | 000,000,000 | ---D | M] -- C:\Users\Schneider\AppData\Roaming\vlc
[2010.09.18 21:54:29 | 000,000,000 | ---D | M] -- C:\Users\Schneider\AppData\Roaming\WinRAR
 
< %APPDATA%\*.exe /s >
[2009.12.27 16:04:17 | 000,069,632 | ---- | M] () -- C:\Users\Schneider\AppData\Roaming\Samsung\New PC Studio\DriverChecker.exe
 
< %SYSTEMDRIVE%\*.exe >
 
 
< MD5 for: AGP440.SYS  >
[2008.01.21 04:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\ERDNT\cache\AGP440.sys
[2008.01.21 04:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\System32\drivers\AGP440.sys
[2008.01.21 04:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_f750e484\AGP440.sys
[2008.01.21 04:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.0.6001.18000_none_ba12ed3bbeb0d97a\AGP440.sys
[2008.01.21 04:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.0.6002.18005_none_bbfe6647bbd2a4c6\AGP440.sys
[2006.11.02 11:49:52 | 000,053,864 | ---- | M] (Microsoft Corporation) MD5=EF23439CDD587F64C2C1B8825CEAD7D8 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_920a2c1f\AGP440.sys
 
< MD5 for: ATAPI.SYS  >
[2009.04.11 08:32:26 | 000,019,944 | ---- | M] (Microsoft Corporation) MD5=1F05B78AB91C9075565A9D8A4B880BC4 -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys
[2008.01.21 04:23:00 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=2D9C903DC76A66813D350A562DE40ED9 -- C:\Windows\ERDNT\cache\atapi.sys
[2008.01.21 04:23:00 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=2D9C903DC76A66813D350A562DE40ED9 -- C:\Windows\System32\drivers\atapi.sys
[2008.01.21 04:23:00 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=2D9C903DC76A66813D350A562DE40ED9 -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys
[2008.01.21 04:23:00 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=2D9C903DC76A66813D350A562DE40ED9 -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys
[2006.11.02 11:49:36 | 000,019,048 | ---- | M] (Microsoft Corporation) MD5=4F4FCB8B6EA06784FB6D475B7EC7300F -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys
 
< MD5 for: CNGAUDIT.DLL  >
[2006.11.02 11:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\ERDNT\cache\cngaudit.dll
[2006.11.02 11:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\System32\cngaudit.dll
[2006.11.02 11:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\winsxs\x86_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.0.6000.16386_none_e62d292932a96ce6\cngaudit.dll
 
< MD5 for: IASTOR.SYS  >
[2008.07.22 08:33:26 | 000,396,312 | ---- | M] (Intel Corporation) MD5=5C62352AFF7F1FB36B2C19329F7C949D -- C:\Programme\Intel\Intel Matrix Storage Manager\driver64\IaStor.sys
[2008.07.22 08:33:02 | 000,319,000 | ---- | M] (Intel Corporation) MD5=ABFEBC5F846C71AFEBD7F8F6BA740C03 -- C:\Programme\Intel\Intel Matrix Storage Manager\driver\IaStor.sys
[2008.07.22 08:33:02 | 000,319,000 | ---- | M] (Intel Corporation) MD5=ABFEBC5F846C71AFEBD7F8F6BA740C03 -- C:\Windows\System32\drivers\iaStor.sys
[2008.07.22 08:33:02 | 000,319,000 | ---- | M] (Intel Corporation) MD5=ABFEBC5F846C71AFEBD7F8F6BA740C03 -- C:\Windows\System32\DriverStore\FileRepository\iaahci.inf_783fb8da\iaStor.sys
 
< MD5 for: IASTORV.SYS  >
[2008.01.21 04:23:23 | 000,235,064 | ---- | M] (Intel Corporation) MD5=54155EA1B0DF185878E0FC9EC3AC3A14 -- C:\Windows\System32\drivers\iaStorV.sys
[2008.01.21 04:23:23 | 000,235,064 | ---- | M] (Intel Corporation) MD5=54155EA1B0DF185878E0FC9EC3AC3A14 -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_c9df7691\iaStorV.sys
[2008.01.21 04:23:23 | 000,235,064 | ---- | M] (Intel Corporation) MD5=54155EA1B0DF185878E0FC9EC3AC3A14 -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.0.6001.18000_none_af11527887c7fa8f\iaStorV.sys
[2006.11.02 11:51:25 | 000,232,040 | ---- | M] (Intel Corporation) MD5=C957BF4B5D80B46C5017BF0101E6C906 -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_37cdafa4\iaStorV.sys
 
< MD5 for: NETLOGON.DLL  >
[2009.04.11 08:28:23 | 000,592,896 | ---- | M] (Microsoft Corporation) MD5=95DAECF0FB120A7B5DA679CC54E37DDE -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.18005_none_ffa3304f351bb3a3\netlogon.dll
[2008.01.21 04:24:05 | 000,592,384 | ---- | M] (Microsoft Corporation) MD5=A8EFC0B6E75B789F7FD3BA5025D4E37F -- C:\Windows\ERDNT\cache\netlogon.dll
[2008.01.21 04:24:05 | 000,592,384 | ---- | M] (Microsoft Corporation) MD5=A8EFC0B6E75B789F7FD3BA5025D4E37F -- C:\Windows\System32\netlogon.dll
[2008.01.21 04:24:05 | 000,592,384 | ---- | M] (Microsoft Corporation) MD5=A8EFC0B6E75B789F7FD3BA5025D4E37F -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6001.18000_none_fdb7b74337f9e857\netlogon.dll
 
< MD5 for: NVSTOR.SYS  >
[2006.11.02 11:50:13 | 000,040,040 | ---- | M] (NVIDIA Corporation) MD5=9E0BA19A28C498A6D323D065DB76DFFC -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_733654ff\nvstor.sys
[2008.01.21 04:23:21 | 000,045,112 | ---- | M] (NVIDIA Corporation) MD5=ABED0C09758D1D97DB0042DBB2688177 -- C:\Windows\System32\drivers\nvstor.sys
[2008.01.21 04:23:21 | 000,045,112 | ---- | M] (NVIDIA Corporation) MD5=ABED0C09758D1D97DB0042DBB2688177 -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_31c3d71d\nvstor.sys
[2008.01.21 04:23:21 | 000,045,112 | ---- | M] (NVIDIA Corporation) MD5=ABED0C09758D1D97DB0042DBB2688177 -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.0.6001.18000_none_39dac327befea467\nvstor.sys
 
< MD5 for: SCECLI.DLL  >
[2008.01.21 04:24:50 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=28B84EB538F7E8A0FE8B9299D591E0B9 -- C:\Windows\ERDNT\cache\scecli.dll
[2008.01.21 04:24:50 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=28B84EB538F7E8A0FE8B9299D591E0B9 -- C:\Windows\System32\scecli.dll
[2008.01.21 04:24:50 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=28B84EB538F7E8A0FE8B9299D591E0B9 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6001.18000_none_380de25bd91b6f12\scecli.dll
[2009.04.11 08:28:24 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=8FC182167381E9915651267044105EE1 -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6002.18005_none_39f95b67d63d3a5e\scecli.dll
 
< MD5 for: USER32.DLL  >
[2009.04.11 08:28:25 | 000,627,712 | ---- | M] (Microsoft Corporation) MD5=75510147B94598407666F4802797C75A -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6002.18005_none_cf23e54d6a7e4a7e\user32.dll
[2008.01.21 04:24:21 | 000,627,200 | ---- | M] (Microsoft Corporation) MD5=B974D9F06DC7D1908E825DC201681269 -- C:\Windows\ERDNT\cache\user32.dll
[2008.01.21 04:24:21 | 000,627,200 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\user32.dll
[2008.01.21 04:24:21 | 000,627,200 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6001.18000_none_cd386c416d5c7f32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.01.21 04:24:49 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\ERDNT\cache\userinit.exe
[2008.01.21 04:24:49 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\System32\userinit.exe
[2008.01.21 04:24:49 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_dc28ba15d1aff80b\userinit.exe
 
< MD5 for: WININIT.EXE  >
[2008.01.21 04:23:42 | 000,096,768 | ---- | M] (Microsoft Corporation) MD5=101BA3EA053480BB5D957EF37C06B5ED -- C:\Windows\ERDNT\cache\wininit.exe
[2008.01.21 04:23:42 | 000,096,768 | ---- | M] (Microsoft Corporation) MD5=101BA3EA053480BB5D957EF37C06B5ED -- C:\Windows\System32\wininit.exe
[2008.01.21 04:23:42 | 000,096,768 | ---- | M] (Microsoft Corporation) MD5=101BA3EA053480BB5D957EF37C06B5ED -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe
 
< MD5 for: WINLOGON.EXE  >
[2009.04.11 08:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264D55452 -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6002.18005_none_71ae7a22d2134741\winlogon.exe
[2008.01.21 04:24:49 | 000,314,880 | ---- | M] (Microsoft Corporation) MD5=C2610B6BDBEFC053BBDAB4F1B965CB24 -- C:\Windows\ERDNT\cache\winlogon.exe
[2008.01.21 04:24:49 | 000,314,880 | ---- | M] (Microsoft Corporation) MD5=C2610B6BDBEFC053BBDAB4F1B965CB24 -- C:\Windows\System32\winlogon.exe
[2008.01.21 04:24:49 | 000,314,880 | ---- | M] (Microsoft Corporation) MD5=C2610B6BDBEFC053BBDAB4F1B965CB24 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6001.18000_none_6fc30116d4f17bf5\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2008.01.21 04:24:47 | 000,015,872 | ---- | M] (Microsoft Corporation) MD5=E3A3CB253C0EC2494D4A61F5E43A389C -- C:\Windows\System32\drivers\ws2ifsl.sys
[2008.01.21 04:24:47 | 000,015,872 | ---- | M] (Microsoft Corporation) MD5=E3A3CB253C0EC2494D4A61F5E43A389C -- C:\Windows\winsxs\x86_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.0.6001.18000_none_4f86a0d4c7cda641\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2008.01.21 05:14:18 | 016,846,848 | ---- | M] () -- C:\Windows\System32\config\COMPONENTS.SAV
[2008.01.21 05:14:08 | 000,106,496 | ---- | M] () -- C:\Windows\System32\config\DEFAULT.SAV
[2008.01.21 05:14:18 | 000,020,480 | ---- | M] () -- C:\Windows\System32\config\SECURITY.SAV
[2006.11.02 12:34:08 | 010,133,504 | ---- | M] () -- C:\Windows\System32\config\SOFTWARE.SAV
[2006.11.02 12:34:08 | 001,826,816 | ---- | M] () -- C:\Windows\System32\config\SYSTEM.SAV
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[2008.01.21 04:24:42 | 000,242,744 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\rsaenh.dll
[2008.01.21 04:24:38 | 000,225,792 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\SLC.dll
< End of report >

--- --- ---

< MD5 for: [2006.11.02 11:46:03 | 000,011,776 | ---- | M] (MICROSOFT CORPORATION) >
[2006.11.02 11:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) -- C:\Windows\ERDNT\cache\cngaudit.dll
[2006.11.02 11:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\cngaudit.dll
[2006.11.02 11:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.0.6000.16386_none_e62d292932a96ce6\cngaudit.dll

< MD5 for: [2006.11.02 11:49:36 | 000,019,048 | ---- | M] (MICROSOFT CORPORATION) >
[2006.11.02 11:49:36 | 000,019,048 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys

< MD5 for: [2006.11.02 11:49:52 | 000,053,864 | ---- | M] (MICROSOFT CORPORATION) >
[2006.11.02 11:49:52 | 000,053,864 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_920a2c1f\AGP440.sys

< MD5 for: [2006.11.02 11:50:13 | 000,040,040 | ---- | M] (NVIDIA CORPORATION) >
[2006.11.02 11:50:13 | 000,040,040 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_733654ff\nvstor.sys

< MD5 for: [2006.11.02 11:51:25 | 000,232,040 | ---- | M] (INTEL CORPORATION) >
[2006.11.02 11:51:25 | 000,232,040 | ---- | M] (Intel Corporation) -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_37cdafa4\iaStorV.sys

< MD5 for: [2008.01.21 04:23:00 | 000,021,560 | ---- | M] (MICROSOFT CORPORATION) >
[2008.01.21 04:23:00 | 000,021,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\ERDNT\cache\atapi.sys
[2008.01.21 04:23:00 | 000,021,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\drivers\atapi.sys
[2008.01.21 04:23:00 | 000,021,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys
[2008.01.21 04:23:00 | 000,021,560 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys

< MD5 for: [2008.01.21 04:23:01 | 000,056,376 | ---- | M] (MICROSOFT CORPORATION) >
[2008.01.21 04:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) -- C:\Windows\ERDNT\cache\AGP440.sys
[2008.01.21 04:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\drivers\AGP440.sys
[2008.01.21 04:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_f750e484\AGP440.sys
[2008.01.21 04:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.0.6001.18000_none_ba12ed3bbeb0d97a\AGP440.sys
[2008.01.21 04:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.0.6002.18005_none_bbfe6647bbd2a4c6\AGP440.sys

< MD5 for: [2008.01.21 04:23:21 | 000,045,112 | ---- | M] (NVIDIA CORPORATION) >
[2008.01.21 04:23:21 | 000,045,112 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\drivers\nvstor.sys
[2008.01.21 04:23:21 | 000,045,112 | ---- | M] (NVIDIA Corporation) -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_31c3d71d\nvstor.sys
[2008.01.21 04:23:21 | 000,045,112 | ---- | M] (NVIDIA Corporation) -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.0.6001.18000_none_39dac327befea467\nvstor.sys

< MD5 for: [2008.01.21 04:23:23 | 000,235,064 | ---- | M] (INTEL CORPORATION) >
[2008.01.21 04:23:23 | 000,235,064 | ---- | M] (Intel Corporation) -- C:\Windows\System32\drivers\iaStorV.sys
[2008.01.21 04:23:23 | 000,235,064 | ---- | M] (Intel Corporation) -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_c9df7691\iaStorV.sys
[2008.01.21 04:23:23 | 000,235,064 | ---- | M] (Intel Corporation) -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.0.6001.18000_none_af11527887c7fa8f\iaStorV.sys

< MD5 for: [2008.01.21 04:23:42 | 000,096,768 | ---- | M] (MICROSOFT CORPORATION) >
[2008.01.21 04:23:42 | 000,096,768 | ---- | M] (Microsoft Corporation) -- C:\Windows\ERDNT\cache\wininit.exe
[2008.01.21 04:23:42 | 000,096,768 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\wininit.exe
[2008.01.21 04:23:42 | 000,096,768 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe

< MD5 for: [2008.01.21 04:24:05 | 000,592,384 | ---- | M] (MICROSOFT CORPORATION) >
[2008.01.21 04:24:05 | 000,592,384 | ---- | M] (Microsoft Corporation) -- C:\Windows\ERDNT\cache\netlogon.dll
[2008.01.21 04:24:05 | 000,592,384 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\netlogon.dll
[2008.01.21 04:24:05 | 000,592,384 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6001.18000_none_fdb7b74337f9e857\netlogon.dll

< MD5 for: [2008.01.21 04:24:21 | 000,627,200 | ---- | M] (MICROSOFT CORPORATION) >
[2008.01.21 04:24:21 | 000,627,200 | ---- | M] (Microsoft Corporation) -- C:\Windows\ERDNT\cache\user32.dll
[2008.01.21 04:24:21 | 000,627,200 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\user32.dll
[2008.01.21 04:24:21 | 000,627,200 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6001.18000_none_cd386c416d5c7f32\user32.dll

< MD5 for: [2008.01.21 04:24:47 | 000,015,872 | ---- | M] (MICROSOFT CORPORATION) >
[2008.01.21 04:24:47 | 000,015,872 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\drivers\ws2ifsl.sys
[2008.01.21 04:24:47 | 000,015,872 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.0.6001.18000_none_4f86a0d4c7cda641\ws2ifsl.sys

< MD5 for: [2008.01.21 04:24:49 | 000,025,088 | ---- | M] (MICROSOFT CORPORATION) >
[2008.01.21 04:24:49 | 000,025,088 | ---- | M] (Microsoft Corporation) -- C:\Windows\ERDNT\cache\userinit.exe
[2008.01.21 04:24:49 | 000,025,088 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\userinit.exe
[2008.01.21 04:24:49 | 000,025,088 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_dc28ba15d1aff80b\userinit.exe

< MD5 for: [2008.01.21 04:24:49 | 000,314,880 | ---- | M] (MICROSOFT CORPORATION) >
[2008.01.21 04:24:49 | 000,314,880 | ---- | M] (Microsoft Corporation) -- C:\Windows\ERDNT\cache\winlogon.exe
[2008.01.21 04:24:49 | 000,314,880 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\winlogon.exe
[2008.01.21 04:24:49 | 000,314,880 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6001.18000_none_6fc30116d4f17bf5\winlogon.exe

< MD5 for: [2008.01.21 04:24:50 | 000,177,152 | ---- | M] (MICROSOFT CORPORATION) >
[2008.01.21 04:24:50 | 000,177,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\ERDNT\cache\scecli.dll
[2008.01.21 04:24:50 | 000,177,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\scecli.dll
[2008.01.21 04:24:50 | 000,177,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6001.18000_none_380de25bd91b6f12\scecli.dll

< MD5 for: [2008.07.22 08:33:02 | 000,319,000 | ---- | M] (INTEL CORPORATION) >
[2008.07.22 08:33:02 | 000,319,000 | ---- | M] (Intel Corporation) -- C:\Windows\System32\drivers\iaStor.sys
[2008.07.22 08:33:02 | 000,319,000 | ---- | M] (Intel Corporation) -- C:\Windows\System32\DriverStore\FileRepository\iaahci.inf_783fb8da\iaStor.sys

< MD5 for: [2009.04.11 08:28:13 | 000,314,368 | ---- | M] (MICROSOFT CORPORATION) >
[2009.04.11 08:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6002.18005_none_71ae7a22d2134741\winlogon.exe

< MD5 for: [2009.04.11 08:28:23 | 000,592,896 | ---- | M] (MICROSOFT CORPORATION) >
[2009.04.11 08:28:23 | 000,592,896 | ---- | M] (Microsoft Corporation) -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.18005_none_ffa3304f351bb3a3\netlogon.dll

< MD5 for: [2009.04.11 08:28:24 | 000,177,152 | ---- | M] (MICROSOFT CORPORATION) >
[2009.04.11 08:28:24 | 000,177,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6002.18005_none_39f95b67d63d3a5e\scecli.dll

< MD5 for: [2009.04.11 08:28:25 | 000,627,712 | ---- | M] (MICROSOFT CORPORATION) >
[2009.04.11 08:28:25 | 000,627,712 | ---- | M] (Microsoft Corporation) -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6002.18005_none_cf23e54d6a7e4a7e\user32.dll

< MD5 for: [2009.04.11 08:32:26 | 000,019,944 | ---- | M] (MICROSOFT CORPORATION) >
[2009.04.11 08:32:26 | 000,019,944 | ---- | M] (Microsoft Corporation) -- C:\Windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sy s

< %systemroot%\system32\drivers\*.sys /lockedfiles >

< %systemroot%\System32\config\*.sav >
[2008.01.21 05:14:18 | 016,846,848 | ---- | M] () -- C:\Windows\System32\config\COMPONENTS.SAV
[2008.01.21 05:14:08 | 000,106,496 | ---- | M] () -- C:\Windows\System32\config\DEFAULT.SAV
[2008.01.21 05:14:18 | 000,020,480 | ---- | M] () -- C:\Windows\System32\config\SECURITY.SAV
[2006.11.02 12:34:08 | 010,133,504 | ---- | M] () -- C:\Windows\System32\config\SOFTWARE.SAV
[2006.11.02 12:34:08 | 001,826,816 | ---- | M] () -- C:\Windows\System32\config\SYSTEM.SAV

< %systemroot%\*. /mp /s >

< %systemroot%\system32\*.dll /lockedfiles >
[2008.01.21 04:24:42 | 000,242,744 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\rsaenh.dll
[2008.01.21 04:24:38 | 000,225,792 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\SLC.dll

< End of report >

cosinus · 27.09.2010, 10:19

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

mcsolaar · 28.09.2010, 06:16

hatte schon fast nicht mehr daran geglaubt, herzlichen dank schon mal!!
hier wär schon mal der erste log.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4704

Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18943

27.09.2010 22:05:13
mbam-log-2010-09-27 (22-05-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 241081
Laufzeit: 1 Stunde(n), 13 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

mcsolaar · 29.09.2010, 06:17

Hier wäre noch der SUPERAntiSpyware log:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/28/2010 at 10:18 PM

Application Version : 4.43.1000

Core Rules Database Version : 5596
Trace Rules Database Version: 3408

Scan type : Complete Scan
Total Scan Time : 01:14:00

Memory items scanned : 725
Memory threats detected : 0
Registry items scanned : 8866
Registry threats detected : 0
File items scanned : 106165
File threats detected : 3

Adware.Tracking Cookie
cdn.eyewonder.com [ C:\Users\Schneider\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\G7EBRBM9 ]
s0.2mdn.net [ C:\Users\Schneider\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\G7EBRBM9 ]
www.adservercentral.info [ C:\Users\Schneider\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\G7EBRBM9 ]

LG mcsolaar

cosinus · 29.09.2010, 10:10

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

27.09.2010, 10:19	#42
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	RKIT/Agent.biiu - Noch ein betroffener Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

29.09.2010, 10:10	#45
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	RKIT/Agent.biiu - Noch ein betroffener Sieht ok aus, da wurden nur Cookies gefunden. Noch Probleme oder weitere Funde in der Zwischenzeit? __________________ Logfiles bitte immer in CODE-Tags posten

RKIT/Agent.biiu - Noch ein betroffener

Plagegeister aller Art und deren Bekämpfung: RKIT/Agent.biiu - Noch ein betroffener