B00/Sinowal.H auf 2.Festplatte

RemusSirion · 03.06.2011, 23:00

Hallo

Ich habe vor einigen Tagen bei einem Scandurchlauf mit Avira die Meldung bekommen, dass auf meiner 2. Festplatte D (auf der nicht das Betriebssystem installiert ist) der Virus B00/Sinowal.H gefunden wurde.
Im Report steht dazu folgendes:

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[FUND] Enthält Code des Bootsektorvirus BOO/Sinowal.H
[HINWEIS] Der Sektor wurde nicht neu geschrieben!

Ich verwende Windows XP und habe 2 Festplatten. In der Hofnung, ich könne den Virus damit vernichten, habe ich die 2., betroffene, Festplatte D formatiert, aber der Virus ist nochimmer vorhanden. Im Zuge meiner Internetrecherche bin ich auf den "Bootkit Remover" gekommen, der aber meine Festplatten gar nicht erkennt.

Die Daten auf meinem PC sind nicht wichtig (ich habe bloß dies und das wieder installiert, um ihn weiter zu benutzen) und es muss keine Rücksicht darauf genommen werden. Die Festplatte aber würde ich sehr gerne weiter benutzen können und aus diesem Grund von dem Virus befreien.

Ich habe versucht, die Schritte zum Erstellen des Threads, zu befolgen, der defogger (schritt 2) hat jedoch nach Beenden des Scans keinen Neustart verlangt. Ich habe probehalber eine Stunde gewartet und dann neugestartet.

Die Logfiles von defogger und OTL sind in einer zip-datei angehängt.

Ich habe die Schritte zur Ausführung von GMER befolgt, während des Scans hat sich mein Computer aber wider Erwarten plötzlich neugestartet.

Vielleicht sollte ich noch hinzufügen, dass ich mich in der Materie der Computer null auskenne

Grüße,
Remus

kira · 03.06.2011, 23:58

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

"Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
- da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
- also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
Charakteristische Merkmale/Profilinformationen:
- aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
Die Systemprüfung und Bereinigung:
- kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
Innerhalb der Betreuungszeit:
- ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
Die Reihenfolge:
- genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
Ansonsten unsere Forumsregeln:
- Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

Installieren und per Doppelklick starten.
Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
"Komplett Scan durchführen" wählen (überall Haken setzen)
wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
Alle Funde - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

2.
Lass bitte mal den Avira, nach die nachfolgende Prioritäten scannen: [Scanner] Konfigurationshinweise für AntiVir, Anleitung 'Vollständiger Systemscan' und empfohlene Reaktionen bei Schädlingsmeldungen - Tipps und Tricks - Avira Support Forum
- Punkt 1.: Einstellung
- Punkt 2 und 3.: Erster Scan (Lokale Laufwerke) + Zweiter Scan (Suche nach Rootkits)
- Logs speichern/posten
** Bemerkung:
"Klick auf das Bild, um es zu vergrößern!" - grau hinterlegt, also nicht mehr anklickbar

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
kira

RemusSirion · 04.06.2011, 02:56

Vielen Dank für die schnelle Reaktion!

1.) Der Log von Malewarebytes Anti-Malware

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6767

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

04.06.2011 02:43:35
mbam-log-2011-06-04 (02-43-35).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 174066
Laufzeit: 27 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Der Log des 1. Avira-Scans (Lokale Laufwerke)

Code:

ATTFilter


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 4. Juni 2011  03:03

Es wird nach 2714994 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 2)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : Administrator
Computername   : WINDOWSPC

Versionsinformationen:
BUILD.DAT      : 10.0.0.648     31823 Bytes  01.04.2011 18:23:00
AVSCAN.EXE     : 10.0.4.2      442024 Bytes  01.04.2011 15:07:08
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  01.04.2011 15:07:22
LUKE.DLL       : 10.0.3.2      104296 Bytes  01.04.2011 15:07:16
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 14:15:11
VBASE002.VDF   : 7.11.3.0     1950720 Bytes  09.02.2011 14:15:12
VBASE003.VDF   : 7.11.5.225   1980416 Bytes  07.04.2011 18:57:53
VBASE004.VDF   : 7.11.8.178   2354176 Bytes  31.05.2011 18:57:55
VBASE005.VDF   : 7.11.8.179      2048 Bytes  31.05.2011 18:57:55
VBASE006.VDF   : 7.11.8.180      2048 Bytes  31.05.2011 18:57:55
VBASE007.VDF   : 7.11.8.181      2048 Bytes  31.05.2011 18:57:55
VBASE008.VDF   : 7.11.8.182      2048 Bytes  31.05.2011 18:57:56
VBASE009.VDF   : 7.11.8.183      2048 Bytes  31.05.2011 18:57:56
VBASE010.VDF   : 7.11.8.184      2048 Bytes  31.05.2011 18:57:56
VBASE011.VDF   : 7.11.8.185      2048 Bytes  31.05.2011 18:57:56
VBASE012.VDF   : 7.11.8.186      2048 Bytes  31.05.2011 18:57:56
VBASE013.VDF   : 7.11.8.222    121856 Bytes  02.06.2011 19:11:36
VBASE014.VDF   : 7.11.8.223      2048 Bytes  02.06.2011 19:11:36
VBASE015.VDF   : 7.11.8.224      2048 Bytes  02.06.2011 19:11:36
VBASE016.VDF   : 7.11.8.225      2048 Bytes  02.06.2011 19:11:36
VBASE017.VDF   : 7.11.8.226      2048 Bytes  02.06.2011 19:11:36
VBASE018.VDF   : 7.11.8.227      2048 Bytes  02.06.2011 19:11:36
VBASE019.VDF   : 7.11.8.228      2048 Bytes  02.06.2011 19:11:36
VBASE020.VDF   : 7.11.8.229      2048 Bytes  02.06.2011 19:11:36
VBASE021.VDF   : 7.11.8.230      2048 Bytes  02.06.2011 19:11:36
VBASE022.VDF   : 7.11.8.231      2048 Bytes  02.06.2011 19:11:36
VBASE023.VDF   : 7.11.8.232      2048 Bytes  02.06.2011 19:11:36
VBASE024.VDF   : 7.11.8.233      2048 Bytes  02.06.2011 19:11:36
VBASE025.VDF   : 7.11.8.234      2048 Bytes  02.06.2011 19:11:36
VBASE026.VDF   : 7.11.8.235      2048 Bytes  02.06.2011 19:11:37
VBASE027.VDF   : 7.11.8.236      2048 Bytes  02.06.2011 19:11:37
VBASE028.VDF   : 7.11.8.237      2048 Bytes  02.06.2011 19:11:37
VBASE029.VDF   : 7.11.8.238      2048 Bytes  02.06.2011 19:11:37
VBASE030.VDF   : 7.11.8.239      2048 Bytes  02.06.2011 19:11:37
VBASE031.VDF   : 7.11.9.3      126464 Bytes  03.06.2011 00:52:31
Engineversion  : 8.2.5.12  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  28.03.2011 14:14:53
AESCRIPT.DLL   : 8.1.3.65     1606010 Bytes  01.06.2011 18:58:01
AESCN.DLL      : 8.1.7.2       127349 Bytes  28.03.2011 14:14:53
AESBX.DLL      : 8.2.1.34      323957 Bytes  02.06.2011 19:12:01
AERDL.DLL      : 8.1.9.9       639347 Bytes  25.03.2011 10:21:38
AEPACK.DLL     : 8.2.6.8       557430 Bytes  01.06.2011 18:58:00
AEOFFICE.DLL   : 8.1.1.25      205178 Bytes  02.06.2011 19:12:00
AEHEUR.DLL     : 8.1.2.123    3502456 Bytes  02.06.2011 19:11:59
AEHELP.DLL     : 8.1.17.2      246135 Bytes  01.06.2011 18:57:58
AEGEN.DLL      : 8.1.5.6       401780 Bytes  01.06.2011 18:57:58
AEEMU.DLL      : 8.1.3.0       393589 Bytes  28.03.2011 14:14:45
AECORE.DLL     : 8.1.21.1      196983 Bytes  01.06.2011 18:57:58
AEBB.DLL       : 8.1.1.0        53618 Bytes  28.03.2011 14:14:44
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  28.03.2011 14:14:57
AVPREF.DLL     : 10.0.0.0       44904 Bytes  01.04.2011 15:07:07
AVREP.DLL      : 10.0.0.10     174120 Bytes  01.06.2011 18:58:02
AVREG.DLL      : 10.0.3.2       53096 Bytes  01.04.2011 15:07:07
AVSCPLR.DLL    : 10.0.4.2       84840 Bytes  01.04.2011 15:07:08
AVARKT.DLL     : 10.0.22.6     231784 Bytes  01.04.2011 15:07:04
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  01.04.2011 15:07:06
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  17.06.2010 13:27:02
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  28.03.2011 14:14:57
NETNT.DLL      : 10.0.0.0       11624 Bytes  28.03.2011 14:15:04
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  01.04.2011 15:07:24
RCTEXT.DLL     : 10.0.58.0      98152 Bytes  28.03.2011 14:15:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: ignorieren
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO, 
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Samstag, 4. Juni 2011  03:03

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MCW.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SmWizard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WService.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RunDLL32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WtSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [FUND]      Enthält Code des Bootsektorvirus BOO/Sinowal.H
    [HINWEIS]   Der Sektor wurde nicht neu geschrieben!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [FUND]      Enthält Code des Bootsektorvirus BOO/Sinowal.H
    [HINWEIS]   Der Sektor wurde nicht neu geschrieben!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '324' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <The Secret Grimoire>
Beginne mit der Suche in 'D:\' <Discovery of Witchcraft>
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Samstag, 4. Juni 2011  03:31
Benötigte Zeit: 27:54 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   2655 Verzeichnisse wurden überprüft
 300562 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 300562 Dateien ohne Befall
   3255 Archive wurden durchsucht
      0 Warnungen
      2 Hinweise
  24623 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Der Log des 2. avira-Scans (Suche nach Rootkits):

Code:

ATTFilter


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 4. Juni 2011  03:32

Es wird nach 2714994 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 2)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : Administrator
Computername   : WINDOWSPC

Versionsinformationen:
BUILD.DAT      : 10.0.0.648     31823 Bytes  01.04.2011 18:23:00
AVSCAN.EXE     : 10.0.4.2      442024 Bytes  01.04.2011 15:07:08
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  01.04.2011 15:07:22
LUKE.DLL       : 10.0.3.2      104296 Bytes  01.04.2011 15:07:16
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 14:15:11
VBASE002.VDF   : 7.11.3.0     1950720 Bytes  09.02.2011 14:15:12
VBASE003.VDF   : 7.11.5.225   1980416 Bytes  07.04.2011 18:57:53
VBASE004.VDF   : 7.11.8.178   2354176 Bytes  31.05.2011 18:57:55
VBASE005.VDF   : 7.11.8.179      2048 Bytes  31.05.2011 18:57:55
VBASE006.VDF   : 7.11.8.180      2048 Bytes  31.05.2011 18:57:55
VBASE007.VDF   : 7.11.8.181      2048 Bytes  31.05.2011 18:57:55
VBASE008.VDF   : 7.11.8.182      2048 Bytes  31.05.2011 18:57:56
VBASE009.VDF   : 7.11.8.183      2048 Bytes  31.05.2011 18:57:56
VBASE010.VDF   : 7.11.8.184      2048 Bytes  31.05.2011 18:57:56
VBASE011.VDF   : 7.11.8.185      2048 Bytes  31.05.2011 18:57:56
VBASE012.VDF   : 7.11.8.186      2048 Bytes  31.05.2011 18:57:56
VBASE013.VDF   : 7.11.8.222    121856 Bytes  02.06.2011 19:11:36
VBASE014.VDF   : 7.11.8.223      2048 Bytes  02.06.2011 19:11:36
VBASE015.VDF   : 7.11.8.224      2048 Bytes  02.06.2011 19:11:36
VBASE016.VDF   : 7.11.8.225      2048 Bytes  02.06.2011 19:11:36
VBASE017.VDF   : 7.11.8.226      2048 Bytes  02.06.2011 19:11:36
VBASE018.VDF   : 7.11.8.227      2048 Bytes  02.06.2011 19:11:36
VBASE019.VDF   : 7.11.8.228      2048 Bytes  02.06.2011 19:11:36
VBASE020.VDF   : 7.11.8.229      2048 Bytes  02.06.2011 19:11:36
VBASE021.VDF   : 7.11.8.230      2048 Bytes  02.06.2011 19:11:36
VBASE022.VDF   : 7.11.8.231      2048 Bytes  02.06.2011 19:11:36
VBASE023.VDF   : 7.11.8.232      2048 Bytes  02.06.2011 19:11:36
VBASE024.VDF   : 7.11.8.233      2048 Bytes  02.06.2011 19:11:36
VBASE025.VDF   : 7.11.8.234      2048 Bytes  02.06.2011 19:11:36
VBASE026.VDF   : 7.11.8.235      2048 Bytes  02.06.2011 19:11:37
VBASE027.VDF   : 7.11.8.236      2048 Bytes  02.06.2011 19:11:37
VBASE028.VDF   : 7.11.8.237      2048 Bytes  02.06.2011 19:11:37
VBASE029.VDF   : 7.11.8.238      2048 Bytes  02.06.2011 19:11:37
VBASE030.VDF   : 7.11.8.239      2048 Bytes  02.06.2011 19:11:37
VBASE031.VDF   : 7.11.9.3      126464 Bytes  03.06.2011 00:52:31
Engineversion  : 8.2.5.12  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  28.03.2011 14:14:53
AESCRIPT.DLL   : 8.1.3.65     1606010 Bytes  01.06.2011 18:58:01
AESCN.DLL      : 8.1.7.2       127349 Bytes  28.03.2011 14:14:53
AESBX.DLL      : 8.2.1.34      323957 Bytes  02.06.2011 19:12:01
AERDL.DLL      : 8.1.9.9       639347 Bytes  25.03.2011 10:21:38
AEPACK.DLL     : 8.2.6.8       557430 Bytes  01.06.2011 18:58:00
AEOFFICE.DLL   : 8.1.1.25      205178 Bytes  02.06.2011 19:12:00
AEHEUR.DLL     : 8.1.2.123    3502456 Bytes  02.06.2011 19:11:59
AEHELP.DLL     : 8.1.17.2      246135 Bytes  01.06.2011 18:57:58
AEGEN.DLL      : 8.1.5.6       401780 Bytes  01.06.2011 18:57:58
AEEMU.DLL      : 8.1.3.0       393589 Bytes  28.03.2011 14:14:45
AECORE.DLL     : 8.1.21.1      196983 Bytes  01.06.2011 18:57:58
AEBB.DLL       : 8.1.1.0        53618 Bytes  28.03.2011 14:14:44
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  28.03.2011 14:14:57
AVPREF.DLL     : 10.0.0.0       44904 Bytes  01.04.2011 15:07:07
AVREP.DLL      : 10.0.0.10     174120 Bytes  01.06.2011 18:58:02
AVREG.DLL      : 10.0.3.2       53096 Bytes  01.04.2011 15:07:07
AVSCPLR.DLL    : 10.0.4.2       84840 Bytes  01.04.2011 15:07:08
AVARKT.DLL     : 10.0.22.6     231784 Bytes  01.04.2011 15:07:04
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  01.04.2011 15:07:06
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  17.06.2010 13:27:02
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  28.03.2011 14:14:57
NETNT.DLL      : 10.0.0.0       11624 Bytes  28.03.2011 14:15:04
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  01.04.2011 15:07:24
RCTEXT.DLL     : 10.0.58.0      98152 Bytes  28.03.2011 14:15:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO, 
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Samstag, 4. Juni 2011  03:32

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\parseautoexec
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'MCW.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'SmWizard.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'WService.EXE' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'RunDLL32.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'WtSrv.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '129' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht


Ende des Suchlaufs: Samstag, 4. Juni 2011  03:38
Benötigte Zeit: 05:29 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
   1817 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
   1817 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
 418151 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden

Der Log von HJTscanlist;

Code:

ATTFilter

 
                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 
                        º                                    º 
                                    hjtscanlist v2.0              
                        º                                    º 
                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 

Microsoft Windows XP [Version 5.1.2600]
 
 
C:

        C:\pagefile.sys ---------  
  04.06.2011 02:12      C:\Programme --------- 0 
  04.06.2011 00:38      C:\WINDOWS --------- 0 
  03.06.2011 11:37      C:\help --------- 0 
  03.06.2011 06:33      C:\Config.Msi --------- 0 
  01.06.2011 22:11      C:\Drivers --------- 0 
  01.06.2011 20:50      C:\RECYCLER --------- 0 
  01.06.2011 20:44      C:\Dokumente und Einstellungen --------- 0 
  01.06.2011 20:42      C:\NVIDIA --------- 0 
  01.06.2011 20:37      C:\System Volume Information --------- 0 
  01.06.2011 20:29      C:\MSDOS.SYS --------- 0 
  01.06.2011 20:29      C:\IO.SYS --------- 0 
  01.06.2011 20:29      C:\CONFIG.SYS --------- 0 
  01.06.2011 20:29      C:\AUTOEXEC.BAT --------- 0 
  01.06.2011 20:22      C:\boot.ini --------- 211 
  11.11.2004 14:00      C:\bootfont.bin --------- 4952 
  11.11.2004 14:00      C:\NTDETECT.COM --------- 47564 
  11.11.2004 14:00      C:\ntldr --------- 251184 
----------------------------------------

 
C:\WINDOWS

  04.06.2011 03:33     C:\WINDOWS\setupapi.log --------- 299355 
  04.06.2011 02:54     C:\WINDOWS\WindowsUpdate.log --------- 27388 
  04.06.2011 02:48     C:\WINDOWS\0.log --------- 0 
  04.06.2011 02:47     C:\WINDOWS\bootstat.dat --------- 2048 
  04.06.2011 00:38     C:\WINDOWS\MEMORY.DMP --------- 0 
  04.06.2011 00:28     C:\WINDOWS\wiadebug.log --------- 159 
  04.06.2011 00:28     C:\WINDOWS\wiaservc.log --------- 50 
  02.06.2011 03:20     C:\WINDOWS\setupact.log --------- 207566 
  01.06.2011 23:50     C:\WINDOWS\wmsetup10.log --------- 378 
  01.06.2011 23:49     C:\WINDOWS\wmsetup.log --------- 1785 
  01.06.2011 21:51     C:\WINDOWS\INI2=No --------- 7 
  01.06.2011 21:51     C:\WINDOWS\INI1=No --------- 7 
  01.06.2011 21:21     C:\WINDOWS\Sti_Trace.log --------- 0 
  01.06.2011 21:17     C:\WINDOWS\regopt.log --------- 1334 
  01.06.2011 21:17     C:\WINDOWS\system.ini --------- 231 
  01.06.2011 20:44     C:\WINDOWS\MedCtrOC.log --------- 2245 
  01.06.2011 20:44     C:\WINDOWS\ehOCGen.log --------- 2228 
  01.06.2011 20:44     C:\WINDOWS\iis6.log --------- 59871 
  01.06.2011 20:44     C:\WINDOWS\ntdtcsetup.log --------- 9193 
  01.06.2011 20:44     C:\WINDOWS\imsins.log --------- 1355 
  01.06.2011 20:44     C:\WINDOWS\tabletoc.log --------- 2214 
  01.06.2011 20:44     C:\WINDOWS\comsetup.log --------- 17927 
  01.06.2011 20:44     C:\WINDOWS\tsoc.log --------- 15894 
  01.06.2011 20:44     C:\WINDOWS\ocmsn.log --------- 1183 
  01.06.2011 20:44     C:\WINDOWS\KB893803v2.log --------- 6025 
  01.06.2011 20:44     C:\WINDOWS\msgsocm.log --------- 1386 
  01.06.2011 20:44     C:\WINDOWS\netfxocm.log --------- 4643 
  01.06.2011 20:44     C:\WINDOWS\plusoc.log --------- 7312 
  01.06.2011 20:44     C:\WINDOWS\ocgen.log --------- 20428 
  01.06.2011 20:44     C:\WINDOWS\FaxSetup.log --------- 23959 
  01.06.2011 20:44     C:\WINDOWS\msmqinst.log --------- 14122 
  01.06.2011 20:39     C:\WINDOWS\SmartWizard.ini --------- 104 
  01.06.2011 20:38     C:\WINDOWS\OEWABLog.txt --------- 829 
  01.06.2011 20:37     C:\WINDOWS\setuplog.txt --------- 825963 
  01.06.2011 20:37     C:\WINDOWS\oobeact.log --------- 109 
  01.06.2011 20:37     C:\WINDOWS\REGLOCS.OLD --------- 8192 
  01.06.2011 20:35     C:\WINDOWS\imsins.BAK --------- 4454 
  01.06.2011 20:34     C:\WINDOWS\setuperr.log --------- 996 
  01.06.2011 20:30     C:\WINDOWS\KB885523.log --------- 9418 
  01.06.2011 20:29     C:\WINDOWS\KB885894.log --------- 8126 
  01.06.2011 20:29     C:\WINDOWS\KB885884.log --------- 4765 
  01.06.2011 20:29     C:\WINDOWS\KB884020.log --------- 5341 
  01.06.2011 20:29     C:\WINDOWS\KB834707.log --------- 7748 
  01.06.2011 20:29     C:\WINDOWS\control.ini --------- 0 
  01.06.2011 20:29     C:\WINDOWS\win.ini --------- 477 
  01.06.2011 20:29     C:\WINDOWS\WMSysPr9.prx --------- 316640 
  01.06.2011 20:29     C:\WINDOWS\ODBCINST.INI --------- 4161 
  01.06.2011 20:27     C:\WINDOWS\WindowsShell.Manifest --------- 749 
  01.06.2011 20:25     C:\WINDOWS\sessmgr.setup.log --------- 1023 
  01.06.2011 20:24     C:\WINDOWS\vb.ini --------- 36 
  01.06.2011 20:24     C:\WINDOWS\vbaddin.ini --------- 37 
  01.06.2011 20:24     C:\WINDOWS\DtcInstall.log --------- 133 
  01.06.2011 20:22     C:\WINDOWS\cmsetacl.log --------- 200 
  11.11.2004 14:00     C:\WINDOWS\SET2D.tmp --------- 13249 
  11.11.2004 14:00     C:\WINDOWS\SET2E.tmp --------- 9782 
  11.11.2004 14:00     C:\WINDOWS\SET2F.tmp --------- 10080 
  11.11.2004 14:00     C:\WINDOWS\SET3.tmp --------- 106147 
  11.11.2004 14:00     C:\WINDOWS\SET30.tmp --------- 11113 
  11.11.2004 14:00     C:\WINDOWS\SET4.tmp --------- 1086058 
  11.11.2004 14:00     C:\WINDOWS\regedit.exe --------- 153600 
  11.11.2004 14:00     C:\WINDOWS\hh.exe --------- 10752 
  11.11.2004 14:00     C:\WINDOWS\Granit.bmp --------- 26582 
  11.11.2004 14:00     C:\WINDOWS\Pr„riewind.bmp --------- 65954 
  11.11.2004 14:00     C:\WINDOWS\Seifenblase.bmp --------- 65978 
  11.11.2004 14:00     C:\WINDOWS\F„cher.bmp --------- 26680 
  11.11.2004 14:00     C:\WINDOWS\_default.pif --------- 707 
  11.11.2004 14:00     C:\WINDOWS\Feder.bmp --------- 16730 
  11.11.2004 14:00     C:\WINDOWS\explorer.scf --------- 80 
  11.11.2004 14:00     C:\WINDOWS\explorer.exe --------- 1035264 
  11.11.2004 14:00     C:\WINDOWS\Santa Fe-Stuck.bmp --------- 65832 
  11.11.2004 14:00     C:\WINDOWS\TASKMAN.EXE --------- 15872 
  11.11.2004 14:00     C:\WINDOWS\desktop.ini --------- 2 
  11.11.2004 14:00     C:\WINDOWS\twain.dll --------- 94800 
  11.11.2004 14:00     C:\WINDOWS\twain_32.dll --------- 50688 
  11.11.2004 14:00     C:\WINDOWS\twunk_16.exe --------- 49680 
  11.11.2004 14:00     C:\WINDOWS\twunk_32.exe --------- 25600 
  11.11.2004 14:00     C:\WINDOWS\Rhododendron.bmp --------- 17362 
  11.11.2004 14:00     C:\WINDOWS\Kaffeetasse.bmp --------- 17062 
  11.11.2004 14:00     C:\WINDOWS\vmmreg32.dll --------- 18944 
  11.11.2004 14:00     C:\WINDOWS\NOTEPAD.EXE --------- 70144 
  11.11.2004 14:00     C:\WINDOWS\Zapotek.bmp --------- 9522 
  11.11.2004 14:00     C:\WINDOWS\SET8.tmp --------- 14043 
  11.11.2004 14:00     C:\WINDOWS\msdfmap.ini --------- 1405 
  11.11.2004 14:00     C:\WINDOWS\clock.avi --------- 82944 
  11.11.2004 14:00     C:\WINDOWS\winhelp.exe --------- 257568 
  11.11.2004 14:00     C:\WINDOWS\winhlp32.exe --------- 288768 
  11.11.2004 14:00     C:\WINDOWS\winnt.bmp --------- 48680 
  11.11.2004 14:00     C:\WINDOWS\winnt256.bmp --------- 48680 
  11.11.2004 14:00     C:\WINDOWS\wmprfDEU.prx --------- 34818 
  11.11.2004 14:00     C:\WINDOWS\Blaue Spitzen 16.bmp --------- 1272 
  11.11.2004 14:00     C:\WINDOWS\Angler.bmp --------- 17336 
  09.10.2002 04:25     C:\WINDOWS\SETUPEXT.INF --------- 633 
  02.09.2002 03:35     C:\WINDOWS\SETUPX32.EXE --------- 311296 
  21.10.1998 18:43     C:\WINDOWS\IsUn0407.exe --------- 328704 
----------------------------------------

 
C:\WINDOWS\System

 01.06.2011 20:53    C:\WINDOWS\System\cmicnfg.ini --------- 16 
 11.11.2004 14:00    C:\WINDOWS\System\cmicnfg.cpl --------- 2301952 
 11.11.2004 14:00    C:\WINDOWS\System\AVIFILE.DLL --------- 109504 
 11.11.2004 14:00    C:\WINDOWS\System\AVICAP.DLL --------- 70368 
 11.11.2004 14:00    C:\WINDOWS\System\cmids3d.dll --------- 917504 
 11.11.2004 14:00    C:\WINDOWS\System\COMMDLG.DLL --------- 33744 
 11.11.2004 14:00    C:\WINDOWS\System\KEYBOARD.DRV --------- 2000 
 11.11.2004 14:00    C:\WINDOWS\System\LZEXPAND.DLL --------- 9936 
 11.11.2004 14:00    C:\WINDOWS\System\MCIAVI.DRV --------- 73760 
 11.11.2004 14:00    C:\WINDOWS\System\MCISEQ.DRV --------- 25296 
 11.11.2004 14:00    C:\WINDOWS\System\MCIWAVE.DRV --------- 28160 
 11.11.2004 14:00    C:\WINDOWS\System\MMSYSTEM.DLL --------- 69632 
 11.11.2004 14:00    C:\WINDOWS\System\MMTASK.TSK --------- 1152 
 11.11.2004 14:00    C:\WINDOWS\System\MOUSE.DRV --------- 2032 
 11.11.2004 14:00    C:\WINDOWS\System\MSVIDEO.DLL --------- 127104 
 11.11.2004 14:00    C:\WINDOWS\System\OLECLI.DLL --------- 82944 
 11.11.2004 14:00    C:\WINDOWS\System\OLESVR.DLL --------- 24064 
 11.11.2004 14:00    C:\WINDOWS\System\setup.inf --------- 59167 
 11.11.2004 14:00    C:\WINDOWS\System\SHELL.DLL --------- 5120 
 11.11.2004 14:00    C:\WINDOWS\System\SmWizard.exe --------- 1454080 
 11.11.2004 14:00    C:\WINDOWS\System\SOUND.DRV --------- 1744 
 11.11.2004 14:00    C:\WINDOWS\System\stdole.tlb --------- 5532 
 11.11.2004 14:00    C:\WINDOWS\System\SYSTEM.DRV --------- 3360 
 11.11.2004 14:00    C:\WINDOWS\System\TAPI.DLL --------- 19200 
 11.11.2004 14:00    C:\WINDOWS\System\TIMER.DRV --------- 4048 
 11.11.2004 14:00    C:\WINDOWS\System\VER.DLL --------- 9200 
 11.11.2004 14:00    C:\WINDOWS\System\VGA.DRV --------- 2176 
 11.11.2004 14:00    C:\WINDOWS\System\WFWNET.DRV --------- 13600 
 11.11.2004 14:00    C:\WINDOWS\System\WINSPOOL.DRV --------- 146944 
----------------------------------------

 
C:\WINDOWS\System32

 04.06.2011 03:34     C:\WINDOWS\system32\NtmsData --------- 0 
 04.06.2011 02:48     C:\WINDOWS\system32\CatRoot2 --------- 0 
 04.06.2011 02:12     C:\WINDOWS\system32\drivers --------- 0 
 03.06.2011 06:33     C:\WINDOWS\system32\wpa.dbl --------- 2278 
 03.06.2011 06:33     C:\WINDOWS\system32\FNTCACHE.DAT --------- 121336 
 02.06.2011 02:13     C:\WINDOWS\system32\FlashPlayerCPLApp.cpl --------- 404640 
 02.06.2011 00:14     C:\WINDOWS\system32\dllcache --------- 0 
 01.06.2011 22:43     C:\WINDOWS\system32\javaws.exe --------- 153376 
 01.06.2011 22:43     C:\WINDOWS\system32\javaw.exe --------- 145184 
 01.06.2011 22:43     C:\WINDOWS\system32\javacpl.cpl --------- 73728 
 01.06.2011 22:43     C:\WINDOWS\system32\java.exe --------- 145184 
 01.06.2011 22:43     C:\WINDOWS\system32\deployJava1.dll --------- 472808 
 01.06.2011 22:11     C:\WINDOWS\system32\Setup --------- 0 
 01.06.2011 22:10     C:\WINDOWS\system32\1031 --------- 0 
 01.06.2011 22:09     C:\WINDOWS\system32\npp --------- 0 
 01.06.2011 22:06     C:\WINDOWS\system32\ras --------- 0 
 01.06.2011 22:05     C:\WINDOWS\system32\icsxml --------- 0 
 01.06.2011 22:05     C:\WINDOWS\system32\ias --------- 0 
 01.06.2011 22:04     C:\WINDOWS\system32\1033 --------- 0 
 01.06.2011 22:03     C:\WINDOWS\system32\3com_dmi --------- 0 
 01.06.2011 22:03     C:\WINDOWS\system32\3076 --------- 0 
 01.06.2011 22:03     C:\WINDOWS\system32\2052 --------- 0 
 01.06.2011 22:03     C:\WINDOWS\system32\1037 --------- 0 
 01.06.2011 22:03     C:\WINDOWS\system32\inetsrv --------- 0 
 01.06.2011 22:03     C:\WINDOWS\system32\1041 --------- 0 
 01.06.2011 22:03     C:\WINDOWS\system32\1025 --------- 0 
 01.06.2011 22:03     C:\WINDOWS\system32\1028 --------- 0 
 01.06.2011 22:03     C:\WINDOWS\system32\1054 --------- 0 
 01.06.2011 22:03     C:\WINDOWS\system32\1042 --------- 0 
 01.06.2011 22:03     C:\WINDOWS\system32\IME --------- 0 
 01.06.2011 22:03     C:\WINDOWS\system32\mui --------- 0 
 01.06.2011 22:03     C:\WINDOWS\system32\ShellExt --------- 0 
 01.06.2011 22:03     C:\WINDOWS\system32\export --------- 0 
 01.06.2011 22:03     C:\WINDOWS\system32\dhcp --------- 0 
 01.06.2011 22:03     C:\WINDOWS\system32\wins --------- 0 
 01.06.2011 21:22     C:\WINDOWS\system32\h323log.txt --------- 0 
 01.06.2011 21:16     C:\WINDOWS\system32\usmt --------- 0 
 01.06.2011 21:14     C:\WINDOWS\system32\ezsidmv.dat --------- 56 
 01.06.2011 20:43     C:\WINDOWS\system32\nvdrssel.bin --------- 1 
 01.06.2011 20:43     C:\WINDOWS\system32\nvdrsdb0.bin --------- 259604 
 01.06.2011 20:43     C:\WINDOWS\system32\nvdrsdb1.bin --------- 259604 
 01.06.2011 20:43     C:\WINDOWS\system32\nvdrswr.lk --------- 0 
 01.06.2011 20:39     C:\WINDOWS\system32\perfh009.dat --------- 380486 
 01.06.2011 20:39     C:\WINDOWS\system32\perfc009.dat --------- 52900 
 01.06.2011 20:39     C:\WINDOWS\system32\perfh007.dat --------- 391330 
 01.06.2011 20:39     C:\WINDOWS\system32\perfc007.dat --------- 63778 
 01.06.2011 20:39     C:\WINDOWS\system32\PerfStringBackup.INI --------- 897954 
 01.06.2011 20:37     C:\WINDOWS\system32\Restore --------- 0 
 01.06.2011 20:37     C:\WINDOWS\system32\config --------- 0 
 01.06.2011 20:35     C:\WINDOWS\system32\$winnt$.inf --------- 3503 
 01.06.2011 20:32     C:\WINDOWS\system32\wbem --------- 0 
 01.06.2011 20:32     C:\WINDOWS\system32\xircom --------- 0 
 01.06.2011 20:31     C:\WINDOWS\system32\InstallUtil.InstallLog --------- 634 
 01.06.2011 20:30     C:\WINDOWS\system32\URTTemp --------- 0 
 01.06.2011 20:29     C:\WINDOWS\system32\CatRoot --------- 0 
 01.06.2011 20:29     C:\WINDOWS\system32\CONFIG.NT --------- 2951 
 01.06.2011 20:29     C:\WINDOWS\system32\amcompat.tlb --------- 16832 
 01.06.2011 20:29     C:\WINDOWS\system32\nscompat.tlb --------- 23392 
 01.06.2011 20:27     C:\WINDOWS\system32\WindowsLogon.manifest --------- 488 
 01.06.2011 20:27     C:\WINDOWS\system32\logonui.exe.manifest --------- 488 
 01.06.2011 20:27     C:\WINDOWS\system32\wuaucpl.cpl.manifest --------- 749 
 01.06.2011 20:27     C:\WINDOWS\system32\sapi.cpl.manifest --------- 749 
 01.06.2011 20:27     C:\WINDOWS\system32\cdplayer.exe.manifest --------- 749 
 01.06.2011 20:27     C:\WINDOWS\system32\nwc.cpl.manifest --------- 749 
 01.06.2011 20:27     C:\WINDOWS\system32\ncpa.cpl.manifest --------- 749 
 01.06.2011 20:27     C:\WINDOWS\system32\DirectX --------- 0 
 01.06.2011 20:27     C:\WINDOWS\system32\oobe --------- 0 
 01.06.2011 20:26     C:\WINDOWS\system32\Macromed --------- 0 
 01.06.2011 20:25     C:\WINDOWS\system32\Com --------- 0 
 01.06.2011 20:25     C:\WINDOWS\system32\emptyregdb.dat --------- 21740 
 01.06.2011 20:24     C:\WINDOWS\system32\MsDtc --------- 0 
 01.06.2011 20:22     C:\WINDOWS\system32\spool --------- 0 
 08.04.2011 07:14     C:\WINDOWS\system32\nvinfo.pb --------- 3629 
 08.04.2011 07:14     C:\WINDOWS\system32\nvdispco3220140.dll --------- 944232 
 08.04.2011 07:14     C:\WINDOWS\system32\nvdata.bin --------- 2116894 
 08.04.2011 07:14     C:\WINDOWS\system32\nvcuvid.dll --------- 2770536 
 08.04.2011 07:14     C:\WINDOWS\system32\nvoglnt.dll --------- 14856192 
 08.04.2011 07:14     C:\WINDOWS\system32\nvcuvenc.dll --------- 2074216 
 08.04.2011 07:14     C:\WINDOWS\system32\nvcuda.dll --------- 5210112 
 08.04.2011 07:14     C:\WINDOWS\system32\nv4_disp.dll --------- 4111232 
 08.04.2011 07:14     C:\WINDOWS\system32\nvgenco322060.dll --------- 855656 
 08.04.2011 07:14     C:\WINDOWS\system32\nvapi.dll --------- 2027008 
 08.04.2011 07:14     C:\WINDOWS\system32\OpenCL.dll --------- 61440 
 08.04.2011 07:14     C:\WINDOWS\system32\nvcompiler.dll --------- 13000704 
 07.04.2011 22:16     C:\WINDOWS\system32\nvwddi.dll --------- 81920 
 07.04.2011 22:16     C:\WINDOWS\system32\easyUpdatusAPIU.dll --------- 580200 
 07.04.2011 22:16     C:\WINDOWS\system32\nvrsth.dll --------- 253952 
 07.04.2011 22:16     C:\WINDOWS\system32\nvrsel.dll --------- 282624 
 07.04.2011 22:16     C:\WINDOWS\system32\nvrseng.dll --------- 249856 
 07.04.2011 22:16     C:\WINDOWS\system32\nvrszht.dll --------- 126976 
 07.04.2011 22:16     C:\WINDOWS\system32\nvrsesm.dll --------- 274432 
 07.04.2011 22:16     C:\WINDOWS\system32\nvrsfi.dll --------- 249856 
 07.04.2011 22:16     C:\WINDOWS\system32\nvrshu.dll --------- 262144 
 07.04.2011 22:16     C:\WINDOWS\system32\nvrsda.dll --------- 253952 
 07.04.2011 22:16     C:\WINDOWS\system32\nvrszhc.dll --------- 229376 
 07.04.2011 22:16     C:\WINDOWS\system32\nvrsnl.dll --------- 274432 
 07.04.2011 22:16     C:\WINDOWS\system32\nvrshe.dll --------- 331776 
 07.04.2011 22:16     C:\WINDOWS\system32\nvrsru.dll --------- 270336 
 07.04.2011 22:16     C:\WINDOWS\system32\nvrstr.dll --------- 258048 
 07.04.2011 22:16     C:\WINDOWS\system32\nvrssl.dll --------- 258048 
----------------------------------------

 
C:\WINDOWS\Prefetch

----------------------------------------

 
C:\WINDOWS\Tasks

 01.06.2011 21:00     C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-842925246-448539723-682003330-500Core.job --------- 1188 
 11.11.2004 14:00     C:\WINDOWS\Tasks\desktop.ini --------- 65 
----------------------------------------

 
C:\WINDOWS\Temp

 04.06.2011 02:47     C:\WINDOWS\Temp\Perflib_Perfdata_604.dat --------- 16384 
 04.06.2011 00:39     C:\WINDOWS\Temp\Perflib_Perfdata_68c.dat --------- 16384 
 03.06.2011 23:29     C:\WINDOWS\Temp\Perflib_Perfdata_54c.dat --------- 16384 
 03.06.2011 21:08     C:\WINDOWS\Temp\Perflib_Perfdata_6b0.dat --------- 16384 
 03.06.2011 06:33     C:\WINDOWS\Temp\Perflib_Perfdata_5dc.dat --------- 16384 
 03.06.2011 02:44     C:\WINDOWS\Temp\Cookies --------- 0 
 03.06.2011 02:34     C:\WINDOWS\Temp\Verlauf --------- 0 
 03.06.2011 02:34     C:\WINDOWS\Temp\Temporary Internet Files --------- 0 
 01.06.2011 20:58     C:\WINDOWS\Temp\AVSETUP_4de68aff --------- 0 
 01.06.2011 20:30     C:\WINDOWS\Temp\ASPNETSetup.log --------- 7320 
----------------------------------------

 
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

 04.06.2011 03:40      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\etilqs_DXEmkcaXEWQP1ZiioZc6 --------- 0 
 04.06.2011 02:58      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\etilqs_dQA2wU0dUPljQsBz8N9y --------- 0 
 04.06.2011 02:53      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\jusched.log --------- 19160 
 04.06.2011 02:53      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\au-descriptor-1.6.0_24-b73.xml --------- 7799 
 03.06.2011 21:23      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\{3C3003BE-CACB-4073-8D83-56624DAD7C51} --------- 0 
 03.06.2011 21:19      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\{2B592378-8E34-44BE-9CF3-1EC06EAECA90} --------- 0 
 03.06.2011 21:17      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\{4C897D01-DC2C-4FC2-B1CB-69EC37E5304C} --------- 0 
 03.06.2011 21:14      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\{AB2E7886-A108-4F25-9899-C0919F1024FD} --------- 0 
 03.06.2011 21:12      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MessengerCache --------- 0 
 03.06.2011 20:10      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Audition Online Setup Log.txt --------- 296453 
 03.06.2011 19:58      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\{9707543C-9FEC-4EA8-A4EC-BC3DF84D14B5} --------- 0 
 03.06.2011 08:54      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\hsperfdata_Administrator --------- 0 
 03.06.2011 08:54      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\AUCHECK_PARSER.txt --------- 299 
 03.06.2011 08:54      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\AUCHECK_CORE.txt --------- 302 
 03.06.2011 06:29      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistUI7992.txt --------- 17238 
 03.06.2011 06:29      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistMSI7992.txt --------- 184926 
 03.06.2011 06:23      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Audition Online Uninstall Log.txt --------- 60524 
 02.06.2011 18:34      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Adobelm_Cleanup.0001.dir.0000 --------- 0 
 02.06.2011 17:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Adobelm_Cleanup.0001 --------- 59964 
 02.06.2011 17:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\TWAIN.LOG --------- 695 
 02.06.2011 17:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Twain001.Mtx --------- 3 
 02.06.2011 17:59      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Twunk001.MTX --------- 156 
 02.06.2011 03:33      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\adb2A6.tmp --------- 34493 
 02.06.2011 03:24      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\CopyFileList --------- 0 
 01.06.2011 22:56      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\{236BB7C4-4419-42FD-0407-1E257A25E34D} --------- 0 
 01.06.2011 22:43      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\JAUReg.log --------- 297 
 01.06.2011 22:43      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\java_install_reg.log --------- 2372 
 01.06.2011 22:43      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\java_install.log --------- 28929 
 01.06.2011 22:42      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistUI46DA.txt --------- 13422 
 01.06.2011 22:42      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistMSI46DA.txt --------- 546584 
 01.06.2011 22:40      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Twunk002.MTX --------- 0 
 01.06.2011 21:00      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\chrome_installer.log --------- 0 
 01.06.2011 20:54      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistUI744B.txt --------- 11622 
 01.06.2011 20:54      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dd_vcredistMSI744B.txt --------- 522266 
 01.06.2011 20:49      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\SkypeToolbars.msi --------- 2840576 
 01.06.2011 20:49      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Skype.msi --------- 18486784 
 01.06.2011 20:38      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\netfxupdate.log --------- 4009 
 11.10.2005 20:02      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\qmgr.cab --------- 79377 
 11.10.2005 20:02      C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\qmgr.inf --------- 2072 
----------------------------------------

 
C:\Programme

 04.06.2011 02:12     C:\Programme\Malwarebytes' Anti-Malware --------- 0 
 04.06.2011 00:43     C:\Programme\Audition Online --------- 0 
 03.06.2011 20:30     C:\Programme\Monitor Calibration Wizard --------- 0 
 03.06.2011 19:58     C:\Programme\InstallShield Installation Information --------- 0 
 03.06.2011 11:34     C:\Programme\7-Zip --------- 0 
 01.06.2011 23:00     C:\Programme\Adobe --------- 0 
 01.06.2011 22:53     C:\Programme\Gemeinsame Dateien --------- 0 
 01.06.2011 22:44     C:\Programme\OpenOffice.org 3 --------- 0 
 01.06.2011 22:43     C:\Programme\Java --------- 0 
 01.06.2011 21:44     C:\Programme\Microsoft --------- 0 
 01.06.2011 21:44     C:\Programme\Windows Live --------- 0 
 01.06.2011 21:44     C:\Programme\Windows Live SkyDrive --------- 0 
 01.06.2011 20:55     C:\Programme\Avira --------- 0 
 01.06.2011 20:49     C:\Programme\Skype --------- 0 
 01.06.2011 20:44     C:\Programme\NVIDIA Corporation --------- 0 
 01.06.2011 20:37     C:\Programme\Uninstall Information --------- 0 
 01.06.2011 20:32     C:\Programme\xerox --------- 0 
 01.06.2011 20:32     C:\Programme\msn gaming zone --------- 0 
 01.06.2011 20:32     C:\Programme\microsoft frontpage --------- 0 
 01.06.2011 20:31     C:\Programme\Windows Journal Viewer --------- 0 
 01.06.2011 20:31     C:\Programme\HighMAT CD Writing Wizard --------- 0 
 01.06.2011 20:31     C:\Programme\Windows Media Connect --------- 0 
 01.06.2011 20:31     C:\Programme\Windows Media Player --------- 0 
 01.06.2011 20:30     C:\Programme\Internet Explorer --------- 0 
 01.06.2011 20:27     C:\Programme\WindowsUpdate --------- 0 
 01.06.2011 20:27     C:\Programme\Online-Dienste --------- 0 
 01.06.2011 20:26     C:\Programme\NetMeeting --------- 0 
 01.06.2011 20:26     C:\Programme\Outlook Express --------- 0 
 01.06.2011 20:26     C:\Programme\Movie Maker --------- 0 
 01.06.2011 20:24     C:\Programme\ComPlus Applications --------- 0 
 01.06.2011 20:24     C:\Programme\Windows NT --------- 0 
----------------------------------------

 
C:\Dokumente und Einstellungen\All Users\.. 

Administrator    
UpdatusUser    
LocalService    
NetworkService    
Default User    
All Users    
----------------------------------------

 
C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1       localhost
127.0.0.1	www.007guard.com
127.0.0.1	007guard.com
127.0.0.1	008i.com
127.0.0.1	www.008k.com
127.0.0.1	008k.com
127.0.0.1	www.00hq.com
127.0.0.1	00hq.com
127.0.0.1	010402.com
127.0.0.1	www.032439.com
127.0.0.1	032439.com
127.0.0.1	www.0scan.com
127.0.0.1	0scan.com
127.0.0.1	1000gratisproben.com
127.0.0.1	www.1000gratisproben.com
127.0.0.1	1001namen.com
127.0.0.1	www.1001namen.com
127.0.0.1	100888290cs.com
127.0.0.1	www.100888290cs.com
127.0.0.1	www.100sexlinks.com
127.0.0.1	100sexlinks.com
127.0.0.1	10sek.com
127.0.0.1	www.10sek.com
127.0.0.1	www.1-2005-search.com
127.0.0.1	1-2005-search.com
127.0.0.1	123fporn.info
127.0.0.1	www.123fporn.info
127.0.0.1	123haustiereundmehr.com
127.0.0.1	www.123haustiereundmehr.com
127.0.0.1	123moviedownload.com
127.0.0.1	www.123moviedownload.com
127.0.0.1	123simsen.com
127.0.0.1	www.123simsen.com
127.0.0.1	123topsearch.com
127.0.0.1	www.123topsearch.com
127.0.0.1	125sms.co.uk
127.0.0.1	www.125sms.co.uk
127.0.0.1	125sms.com
127.0.0.1	www.125sms.com
127.0.0.1	132.com
127.0.0.1	www.132.com
127.0.0.1	1337crew.info
127.0.0.1	www.1337crew.info
127.0.0.1	www.1337-crew.to
127.0.0.1	1337-crew.to
127.0.0.1	www.136136.net
127.0.0.1	136136.net
127.0.0.1	150freesms.de
127.0.0.1	www.150freesms.de
127.0.0.1	www.163ns.com
127.0.0.1	163ns.com
127.0.0.1	171203.com
127.0.0.1	17concepts.info
127.0.0.1	www.17concepts.info
127.0.0.1	17-plus.com
127.0.0.1	www.1800searchonline.com
127.0.0.1	1800searchonline.com
127.0.0.1	180searchassistant.com
127.0.0.1	www.180searchassistant.com
127.0.0.1	180solutions.com
127.0.0.1	www.180solutions.com
127.0.0.1	181.365soft.info
127.0.0.1	www.181.365soft.info
127.0.0.1	1987324.com
127.0.0.1	www.1987324.com
127.0.0.1	1-domains-registrations.com
127.0.0.1	www.1-domains-registrations.com
127.0.0.1	www.1ghporn.info
127.0.0.1	1ghporn.info
127.0.0.1	www.1importantiamreal.com
127.0.0.1	1importantiamreal.com
127.0.0.1	www.1mybigdreamnowreal.com
127.0.0.1	1mybigdreamnowreal.com
127.0.0.1	www.1sexparty.com
127.0.0.1	1sexparty.com
127.0.0.1	www.1sms.de
127.0.0.1	1sms.de
127.0.0.1	www.1spybot.com
127.0.0.1	1spybot.com

----------------------------------------

 

Abbildname                  PID Sitzungsname      Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process           0 Console                   0            16 K
System                        4 Console                   0           228 K
smss.exe                    436 Console                   0           372 K
csrss.exe                   484 Console                   0         4.232 K
winlogon.exe                512 Console                   0         3.608 K
services.exe                556 Console                   0         5.220 K
lsass.exe                   568 Console                   0         1.248 K
nvsvc32.exe                 728 Console                   0         5.800 K
svchost.exe                 804 Console                   0         4.784 K
svchost.exe                 852 Console                   0         4.140 K
svchost.exe                 920 Console                   0        22.324 K
svchost.exe                 968 Console                   0         6.460 K
svchost.exe                1096 Console                   0         6.384 K
spoolsv.exe                1128 Console                   0         4.204 K
sched.exe                  1172 Console                   0           728 K
explorer.exe               1376 Console                   0        14.792 K
avguard.exe                1504 Console                   0        14.372 K
jqs.exe                    1540 Console                   0         1.384 K
mbamservice.exe            1584 Console                   0        85.656 K
avshadow.exe               1592 Console                   0         4.900 K
daemonu.exe                1644 Console                   0         3.928 K
WTSrv.exe                  1700 Console                   0         2.312 K
wmiapsrv.exe                368 Console                   0         4.088 K
alg.exe                     488 Console                   0         3.184 K
rundll32.exe               1372 Console                   0         6.992 K
avgnt.exe                  1804 Console                   0         1.488 K
WService.exe               1844 Console                   0         2.140 K
jusched.exe                1940 Console                   0         3.436 K
SmWizard.exe                620 Console                   0         4.024 K
mbamgui.exe                 360 Console                   0         5.720 K
svchost.exe                 936 Console                   0         3.044 K
ctfmon.exe                 1468 Console                   0         2.788 K
GoogleUpdate.exe           1768 Console                   0         1.252 K
MCW.exe                    1792 Console                   0         1.444 K
wuauclt.exe                2376 Console                   0         5.008 K
jucheck.exe                1088 Console                   0         4.404 K
chrome.exe                 1332 Console                   0        38.092 K
chrome.exe                  548 Console                   0        25.056 K
vssvc.exe                  1340 Console                   0         5.716 K
dllhost.exe                2624 Console                   0         5.056 K
dllhost.exe                1120 Console                   0         7.520 K
msdtc.exe                  3204 Console                   0         4.660 K
cmd.exe                    3788 Console                   0         2.016 K
tasklist.exe               2508 Console                   0         4.108 K
wmiprvse.exe               3712 Console                   0         5.332 K

 
***** Ende des Scans 04.06.2011 um  3:43:12,64 ***

Die installierten Programme, die CCleaner angibt:

Code:

ATTFilter

7-Zip 9.20		
Adobe Flash Player 10 ActiveX	Adobe Systems Incorporated	10.3.181.14
Audition Online	Burda:ic	1.2.6064
Avira AntiVir Personal - Free Antivirus	Avira GmbH	10.0.0.648
C-Media WDM Audio Driver		
CCleaner	Piriform	3.07
Google Chrome	Google Inc.	11.0.696.71
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs	Microsoft Corporation	1.1.1905.1
ICQ7.5	ICQ	7.5
Java(TM) 6 Update 22	Oracle	6.0.220
Malwarebytes' Anti-Malware Version 1.51.0.1200	Malwarebytes Corporation	1.51.0.1200
Microsoft .NET Framework 1.1		
Microsoft .NET Framework 1.1 German Language Pack	Microsoft	1.1.4322
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148	Microsoft Corporation	9.0.30729.4148
Microsoft Windows-Journal-Viewer	Microsoft	1.5.2315.3
Monitor Calibration Wizard 1.0		
NVIDIA Grafiktreiber 270.61	NVIDIA Corporation	270.61
NVIDIA nView 135.70	NVIDIA Corporation	135.70
NVIDIA Update 1.1.34	NVIDIA Corporation	1.1.34
OpenOffice.org 3.3	OpenOffice.org	3.3.9567
SiS 900 PCI Fast Ethernet Adapter Driver		
Skype Toolbars	Skype Technologies S.A.	5.3.7280
Skype™ 5.3	Skype Technologies S.A.	5.3.116
Windows Installer 3.1 (KB893803)	Microsoft Corporation	
Windows Live Essentials	Microsoft Corporation	14.0.8117.0416
Windows Live Sign-in Assistant	Microsoft Corporation	5.000.818.5
Windows Live Upload Tool	Microsoft Corporation	14.0.8014.1029
Windows Media Connect

Zu letzterem: Bei "Audition Online" handelt es sich um ein Computerspiel

Vielen Dank, dass Sie sich meines Problems annehmen

Ich bin die letzten Tage ein wenig am Verzweifeln gewesen (vor allem, nachdem das Formatieren nichts gebracht hat)

Gruß, Remus

kira · 04.06.2011, 11:47

1.

Code:

ATTFilter

Windows XP Professional Edition Service Pack 2 
Internet Explorer (Version = 6.0.2900.2180)

Um neu aufgetauchte Lücken dicht zu machen, jeden zweiten Dienstag im Monat ist Patch Day im Hause Microsoft. Kritische Schwachstellen, Sicherheitlücken werden mit dem Update behoben. Seit SP2 wurden gleich mehrere Lücken geschlossen. Der Internet Explorer muss auch aktuell sein, auch dann, wenn du ihn nicht verwendest! -> Microsoft Update hält Ihren Computer auf dem neuesten Stand
Software wie Betriebssysteme, Browser und E-Mail Clients werden laufend weiterentwickelt. Gleichzeitig arbeiten jedoch auch Hacker daran, ständig neue Sicherheitslücken zu finden und auszunutzen. Was heute noch keine Schlupflücke für Viren und Würmer ist, kann morgen bereits zur Gefahr werden, wenn der entsprechende Schädling programmiert wurde. Das führt dazu, dass es relativ häufig zu Meldungen über neue Sicherheitsanfälligkeiten kommt, auch wenn diese noch nicht durch Hacker entdeckt wurden. Denn selbstverständlich suchen auch Sicherheitsspezialisten nach potenziellen Angriffsmöglichkeiten. Updates der Softwareentwickler sorgen dafür, dass der User immer die aktuellste und sicherste Version des Betriebssystems und der installierten Software nutzen kann.
aber ACHTUNG! nur am Ende der Reinigung das aktuelle Service Pack installieren! - ich werde Dir Bescheid sagen wann ansonsten mehr schadet als nutzt!
Gleich nach Neuinstallation von Windows, solltest das Servicepack 3 schon in Hand haben!
Windows XP Installations-CD mit integriertem Service Pack 3 erstellen : http://www.wintotal.de/artikel/artikel-2008/185.html

Windows XP Service Pack 3 - ISO-9660-CD-Abbilddatei-> http://www.microsoft.com/downloads/d...displaylang=de
- ca. 550 MB > auf die Festplatte zu laden und dann zu brennen.
Anleitung:-> http://www.wintotal.de/artikel/artikel-2008/185.html

2.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

- also lade Dir Gmer herunter und entpacke es auf deinen Desktop
- starte gmer.exe
- [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
- bitte nichts am Pc machen während der Scan läuft!
- klicke auf "Scan", um das Tool zu starten
- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
- mit "Ok" wird GMER beendet.
- das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

3.
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.

Downloade die MBR.exe von Gmer und
kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
Start => ausführen => cmd (da reinschreiben) => OK
es öffnet sich eine Eingabeaufforderung.

Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
Nach dem Prompt (>_) folgenden

aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
Code:
ATTFilter
```
mbr.exe -t > C:\mbr.log & C:\mbr.log
         
```
(Enter drücken)
Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
Bitte kopiere den Inhalt hier in Deinen Thread.

RemusSirion · 04.06.2011, 17:40

Hallo

Gmer führt leider nach wenigen gescannten Dateien zu einem automatischen Neustart meines Computers

Log von mbr -t :

Code:

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: ExcelStor_Technology_J860 rev.PF2OA21B -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys siside.sys PCIIDEX.SYS 
C:\WINDOWS\system32\drivers\siside.sys Silicon Integrated Systems Corp. SiS PCI Mini IDE Driver
1 nt!IofCallDriver[0x804E3D45] -> \Device\Harddisk0\DR0[0x897C6AB8]
3 CLASSPNP[0xF763805B] -> nt!IofCallDriver[0x804E3D45] -> \Device\00000053[0x89802238]
5 ACPI[0xF75AD620] -> nt!IofCallDriver[0x804E3D45] -> \Device\Ide\IdeDeviceP0T0L0-4[0x897CE940]
kernel: MBR read successfully
user & kernel MBR OK 
copy of MBR has been found in sector 120085875

Gruß, Remus

kira · 04.06.2011, 21:23

sieht nur nach Spur aus, aber Avira behauptet etwas anderes, daher:

TDSSKiller von Kaspersky

Lade den TDSSKiller und entpacke das Archiv auf Deinen Desktop.
Vergewissere Dich, dass die TDSSKiller.exe direkt auf dem Desktop liegt (nicht in einem Ordner auf dem Desktop).
deaktiviere vorübergehend dein AntiVirus-Programm
Starte die TDSSKiller.exe durch Doppelklick.
Nach Beendigung der Arbeit schlägt das Tool vor, das System neu zu starten.
Bestätige das ggfs. mit Y(es).
Beim Hochfahren des Systems führt der Treiber alle geplanten Operationen aus löscht sich danach.
Poste mir den Inhalt von C:\TDSSKiller<random>.txt hier in den Thread.

Hier findest Du eine ausführlichere Anleitung.

RemusSirion · 04.06.2011, 22:00

Log von TDSSKiller:

Code:

ATTFilter

2011/06/04 22:43:45.0796 2196	TDSS rootkit removing tool 2.5.3.0 May 25 2011 07:09:24
2011/06/04 22:43:47.0796 2196	================================================================================
2011/06/04 22:43:47.0796 2196	SystemInfo:
2011/06/04 22:43:47.0796 2196	
2011/06/04 22:43:47.0796 2196	OS Version: 5.1.2600 ServicePack: 2.0
2011/06/04 22:43:47.0796 2196	Product type: Workstation
2011/06/04 22:43:47.0796 2196	ComputerName: WINDOWSPC
2011/06/04 22:43:47.0796 2196	UserName: Administrator
2011/06/04 22:43:47.0796 2196	Windows directory: C:\WINDOWS
2011/06/04 22:43:47.0796 2196	System windows directory: C:\WINDOWS
2011/06/04 22:43:47.0796 2196	Processor architecture: Intel x86
2011/06/04 22:43:47.0796 2196	Number of processors: 1
2011/06/04 22:43:47.0796 2196	Page size: 0x1000
2011/06/04 22:43:47.0796 2196	Boot type: Normal boot
2011/06/04 22:43:47.0796 2196	================================================================================
2011/06/04 22:43:48.0734 2196	Initialize success
2011/06/04 22:45:04.0937 3848	================================================================================
2011/06/04 22:45:04.0937 3848	Scan started
2011/06/04 22:45:04.0937 3848	Mode: Manual; 
2011/06/04 22:45:04.0937 3848	================================================================================
2011/06/04 22:45:07.0062 3848	ACPI            (94b4741d2cf9ed38140b831293d1601a) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/06/04 22:45:07.0765 3848	ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/06/04 22:45:09.0093 3848	aec             (841f385c6cfaf66b58fbd898722bb4f0) C:\WINDOWS\system32\drivers\aec.sys
2011/06/04 22:45:09.0796 3848	AFD             (5ac495f4cb807b2b98ad2ad591e6d92e) C:\WINDOWS\System32\drivers\afd.sys
2011/06/04 22:45:13.0140 3848	AmdK7           (fbf9ffb0b638df1448821bd0aceeb780) C:\WINDOWS\system32\DRIVERS\amdk7.sys
2011/06/04 22:45:16.0531 3848	AsyncMac        (02000abf34af4c218c35d257024807d6) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/06/04 22:45:17.0218 3848	atapi           (cdfe4411a69c224bd1d11b2da92dac51) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/06/04 22:45:18.0562 3848	Atmarpc         (ec88da854ab7d7752ec8be11a741bb7f) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/06/04 22:45:19.0250 3848	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/06/04 22:45:19.0437 3848	avgio           (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
2011/06/04 22:45:20.0140 3848	avgntflt        (47b879406246ffdced59e18d331a0e7d) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/06/04 22:45:20.0859 3848	avipbb          (5fedef54757b34fb611b9ec8fb399364) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/06/04 22:45:21.0546 3848	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/06/04 22:45:22.0265 3848	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/06/04 22:45:23.0593 3848	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/06/04 22:45:24.0265 3848	Cdfs            (cd7d5152df32b47f4e36f710b35aae02) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/06/04 22:45:24.0968 3848	Cdrom           (af9c19b3100fe010496b1a27181fbf72) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/06/04 22:45:27.0218 3848	cmuda           (091efae211ea4d1b9baf2200300005c6) C:\WINDOWS\system32\drivers\cmuda.sys
2011/06/04 22:45:30.0015 3848	Disk            (00ca44e4534865f8a3b64f7c0984bff0) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/06/04 22:45:30.0812 3848	dmboot          (5789b83ba87fc84c3568cf86cacef8ce) C:\WINDOWS\system32\drivers\dmboot.sys
2011/06/04 22:45:31.0531 3848	dmio            (084eb0a50a4f7b4705c8a57f234e5291) C:\WINDOWS\system32\drivers\dmio.sys
2011/06/04 22:45:32.0203 3848	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/06/04 22:45:32.0906 3848	DMusic          (a6f881284ac1150e37d9ae47ff601267) C:\WINDOWS\system32\drivers\DMusic.sys
2011/06/04 22:45:34.0218 3848	drmkaud         (1ed4dbbae9f5d558dbba4cc450e3eb2e) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/06/04 22:45:34.0968 3848	Fastfat         (3117f595e9615e04f05a54fc15a03b20) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/06/04 22:45:35.0718 3848	Fdc             (ced2e8396a8838e59d8fd529c680e02c) C:\WINDOWS\system32\drivers\Fdc.sys
2011/06/04 22:45:36.0406 3848	Fips            (9e9af89f9b14aa6249065c309ce73bd8) C:\WINDOWS\system32\drivers\Fips.sys
2011/06/04 22:45:37.0109 3848	Flpydisk        (0dd1de43115b93f4d85e889d7a86f548) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/06/04 22:45:37.0828 3848	FltMgr          (157754f0df355a9e0a6f54721914f9c6) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
2011/06/04 22:45:38.0531 3848	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/06/04 22:45:39.0218 3848	Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/06/04 22:45:39.0921 3848	Gpc             (c0f1d4a21de5a415df8170616703debf) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/06/04 22:45:40.0687 3848	hidusb          (1de6783b918f540149aa69943bdfeba8) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/06/04 22:45:42.0000 3848	HTTP            (c19b522a9ae0bbc3293397f3055e80a1) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/06/04 22:45:44.0031 3848	i8042prt        (7c575018d0413440d75432a78b88c899) C:\WINDOWS\system32\drivers\i8042prt.sys
2011/06/04 22:45:44.0750 3848	Imapi           (f8aa320c6a0409c0380e5d8a99d76ec6) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/06/04 22:45:46.0781 3848	Ip6Fw           (4448006b6bc60e6c027932cfc38d6855) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
2011/06/04 22:45:47.0468 3848	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/06/04 22:45:48.0281 3848	IpInIp          (e1ec7f5da720b640cd8fb8424f1b14bb) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/06/04 22:45:48.0984 3848	IpNat           (b5a8e215ac29d24d60b4d1250ef05ace) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/06/04 22:45:49.0687 3848	IPSec           (64537aa5c003a6afeee1df819062d0d1) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/06/04 22:45:50.0421 3848	IRENUM          (50708daa1b1cbb7d6ac1cf8f56a24410) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/06/04 22:45:51.0125 3848	isapnp          (ce9b7afdf0a3d7dd8d1487262316b959) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/06/04 22:45:51.0828 3848	Kbdclass        (b128fc0a5cd83f669d5de4b58f77c7d6) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/06/04 22:45:52.0500 3848	kbdhid          (7ec877aa899323b92874fe62c7ddcde7) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/06/04 22:45:53.0187 3848	kmixer          (d93cad07c5683db066b0b2d2d3790ead) C:\WINDOWS\system32\drivers\kmixer.sys
2011/06/04 22:45:53.0921 3848	KSecDD          (eb7ffe87fd367ea8fca0506f74a87fbb) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/06/04 22:45:55.0406 3848	MBAMProtector   (3d2c13377763eeac0ca6fb46f57217ed) C:\WINDOWS\system32\drivers\mbam.sys
2011/06/04 22:45:56.0109 3848	MBAMSwissArmy   (b309912717c29fc67e1ba4730a82b6dd) C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2011/06/04 22:45:56.0812 3848	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/06/04 22:45:57.0500 3848	Modem           (91a3da4b12f6f1d760463a7f7857f748) C:\WINDOWS\system32\drivers\Modem.sys
2011/06/04 22:45:58.0187 3848	Mouclass        (71e15ca47fd947552054afb28536268f) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/06/04 22:45:58.0890 3848	mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/06/04 22:45:59.0562 3848	MountMgr        (65653f3b4477f3c63e68a9659f85ee2e) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/06/04 22:46:00.0921 3848	MRxDAV          (46edcc8f2db2f322c24f48785cb46366) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/06/04 22:46:01.0656 3848	MRxSmb          (1fd607fc67f7f7c633c3da65bfc53d18) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/06/04 22:46:02.0359 3848	Msfs            (561b3a4333ca2dbdba28b5b956822519) C:\WINDOWS\system32\drivers\Msfs.sys
2011/06/04 22:46:03.0078 3848	MSKSSRV         (ae431a8dd3c1d0d0610cdbac16057ad0) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/06/04 22:46:03.0765 3848	MSPCLOCK        (13e75fef9dfeb08eeded9d0246e1f448) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/06/04 22:46:04.0437 3848	MSPQM           (1988a33ff19242576c3d0ef9ce785da7) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/06/04 22:46:05.0140 3848	mssmbios        (469541f8bfd2b32659d5d463a6714bce) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/06/04 22:46:05.0859 3848	Mup             (82035e0f41c2dd05ae41d27fe6cf7de1) C:\WINDOWS\system32\drivers\Mup.sys
2011/06/04 22:46:06.0546 3848	NDIS            (558635d3af1c7546d26067d5d9b6959e) C:\WINDOWS\system32\drivers\NDIS.sys
2011/06/04 22:46:07.0218 3848	NdisTapi        (08d43bbdacdf23f34d79e44ed35c1b4c) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/06/04 22:46:07.0890 3848	Ndisuio         (34d6cd56409da9a7ed573e1c90a308bf) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/06/04 22:46:08.0578 3848	NdisWan         (0b90e255a9490166ab368cd55a529893) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/06/04 22:46:09.0265 3848	NDProxy         (59fc3fb44d2669bc144fd87826bb571f) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/06/04 22:46:09.0968 3848	NetBIOS         (3a2aca8fc1d7786902ca434998d7ceb4) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/06/04 22:46:10.0921 3848	NetBT           (0c80e410cd2f47134407ee7dd19cc86b) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/06/04 22:46:11.0671 3848	Npfs            (4f601bcb8f64ea3ac0994f98fed03f8e) C:\WINDOWS\system32\drivers\Npfs.sys
2011/06/04 22:46:12.0359 3848	Ntfs            (b78be402c3f63dd55521f73876951cdd) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/06/04 22:46:13.0109 3848	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/06/04 22:46:14.0453 3848	nv              (f1de35c89d98a883d1b4030dc9896855) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2011/06/04 22:46:15.0250 3848	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/06/04 22:46:15.0984 3848	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/06/04 22:46:16.0687 3848	Parport         (b2f17a2edb5450e61973a037f63a595b) C:\WINDOWS\system32\drivers\Parport.sys
2011/06/04 22:46:17.0375 3848	PartMgr         (3334430c29dc338092f79c38ef7b4cd0) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/06/04 22:46:18.0078 3848	ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/06/04 22:46:18.0812 3848	PCI             (6fb463e5b243fbd6f3d3c83f914d94fb) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/06/04 22:46:20.0875 3848	Pcmcia          (e2363f4c1daff89abee5f593e13d8a05) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/06/04 22:46:25.0593 3848	PptpMiniport    (1c5cc65aac0783c344f16353e60b72ac) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/06/04 22:46:26.0281 3848	PSched          (48671f327553dcf1d27f6197f622a668) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/06/04 22:46:27.0109 3848	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/06/04 22:46:31.0187 3848	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/06/04 22:46:31.0890 3848	Rasl2tp         (98faeb4a4dcf812ba1c6fca4aa3e115c) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/06/04 22:46:32.0593 3848	RasPppoe        (7306eeed8895454cbed4669be9f79faa) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/06/04 22:46:33.0296 3848	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/06/04 22:46:34.0000 3848	Rdbss           (29d66245adba878fff574cd66abd2884) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/06/04 22:46:34.0687 3848	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/06/04 22:46:35.0375 3848	rdpdr           (a2cae2c60bc37e0751ef9dda7ceaf4ad) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/06/04 22:46:36.0156 3848	RDPWD           (d4f5643d7714ef499ae9527fdcd50894) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/06/04 22:46:36.0843 3848	redbook         (aa56702e230860565cb8d43680f57f33) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/06/04 22:46:37.0625 3848	Secdrv          (d26e26ea516450af9d072635c60387f4) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/06/04 22:46:38.0328 3848	serenum         (a2d868aeeff612e70e213c451a70cafb) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/06/04 22:46:39.0062 3848	Serial          (cd5b9995afcdb466c9efc048d167e3be) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/06/04 22:46:39.0750 3848	Sfloppy         (0d13b6df6e9e101013a7afb0ce629fe0) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/06/04 22:46:41.0156 3848	SISAGP          (61ca562def09a782d26b3e7edec5369a) C:\WINDOWS\system32\DRIVERS\SISAGPX.sys
2011/06/04 22:46:41.0843 3848	siside          (b4485881bd8aed9b157a2e6cf43c2d51) C:\WINDOWS\system32\DRIVERS\siside.sys
2011/06/04 22:46:42.0515 3848	SISNICXP        (9ffbf0d8881a985175bc86597a1b429f) C:\WINDOWS\system32\DRIVERS\sisnicxp.sys
2011/06/04 22:46:43.0843 3848	splitter        (8e186b8f23295d1e42c573b82b80d548) C:\WINDOWS\system32\drivers\splitter.sys
2011/06/04 22:46:44.0546 3848	sr              (e4200cb2f418d8fc4acdd7e38c419d6a) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/06/04 22:46:45.0234 3848	Srv             (20b7e396720353e4117d64d9dcb926ca) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/06/04 22:46:45.0968 3848	ssmdrv          (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/06/04 22:46:46.0703 3848	swenum          (03c1bae4766e2450219d20b993d6e046) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/06/04 22:46:47.0390 3848	swmidi          (94abc808fc4b6d7d2bbf42b85e25bb4d) C:\WINDOWS\system32\drivers\swmidi.sys
2011/06/04 22:46:50.0718 3848	sysaudio        (650ad082d46bac0e64c9c0e0928492fd) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/06/04 22:46:51.0453 3848	TClass2k        (535fb6fe9b756b4e3203de3e3842fa04) C:\WINDOWS\system32\DRIVERS\TClass2k.sys
2011/06/04 22:46:52.0171 3848	Tcpip           (4092c56967175f009dc8458dc434358e) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/06/04 22:46:53.0078 3848	TDPIPE          (38d437cf2d98965f239b0abcd66dcb0f) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/06/04 22:46:53.0750 3848	TDTCP           (ed0580af02502d00ad8c4c066b156be9) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/06/04 22:46:54.0437 3848	TermDD          (a540a99c281d933f3d69d55e48727f47) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/06/04 22:46:55.0843 3848	UCTblHid        (019d314a69789e377a92b8b279c8e12b) C:\WINDOWS\system32\DRIVERS\UCTblHid.sys
2011/06/04 22:46:56.0515 3848	Udfs            (12f70256f140cd7d52c58c7048fde657) C:\WINDOWS\system32\drivers\Udfs.sys
2011/06/04 22:46:57.0921 3848	Update          (aff2e5045961bbc0a602bb6f95eb1345) C:\WINDOWS\system32\DRIVERS\update.sys
2011/06/04 22:46:58.0640 3848	usbccgp         (bffd9f120cc63bcbaa3d840f3eef9f79) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/06/04 22:46:59.0328 3848	usbehci         (15e993ba2f6946b2bfbbfcd30398621e) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/06/04 22:47:00.0031 3848	usbhub          (c72f40947f92cea56a8fb532edf025f1) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/06/04 22:47:00.0703 3848	usbohci         (bdfe799a8531bad8a5a985821fe78760) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/06/04 22:47:01.0390 3848	USBSTOR         (6cd7b22193718f1d17a47a1cd6d37e75) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/06/04 22:47:02.0078 3848	VgaSave         (8a60edd72b4ea5aea8202daf0e427925) C:\WINDOWS\System32\drivers\vga.sys
2011/06/04 22:47:03.0406 3848	VolSnap         (d6888520ff56d72a50437e371ca25fc9) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/06/04 22:47:04.0140 3848	Wanarp          (984ef0b9788abf89974cfed4bfbaacbc) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/06/04 22:47:05.0515 3848	wdmaud          (2797f33ebf50466020c430ee4f037933) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/06/04 22:47:06.0390 3848	MBR (0x1B8)     (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
2011/06/04 22:47:06.0531 3848	MBR (0x1B8)     (c68a6f9fa3336765a95820e3a21c907c) \Device\Harddisk1\DR1
2011/06/04 22:47:06.0562 3848	\Device\Harddisk1\DR1 - detected Backdoor.Win32.Sinowal.knf (0)
2011/06/04 22:47:06.0578 3848	================================================================================
2011/06/04 22:47:06.0578 3848	Scan finished
2011/06/04 22:47:06.0578 3848	================================================================================
2011/06/04 22:47:06.0593 3516	Detected object count: 1
2011/06/04 22:47:06.0593 3516	Actual detected object count: 1
2011/06/04 22:47:27.0765 3516	\Device\Harddisk1\DR1 (Backdoor.Win32.Sinowal.knf) - will be cured after reboot
2011/06/04 22:47:27.0765 3516	\Device\Harddisk1\DR1 - ok
2011/06/04 22:47:27.0765 3516	Backdoor.Win32.Sinowal.knf(\Device\Harddisk1\DR1) - User select action: Cure 
2011/06/04 22:47:57.0750 1852	Deinitialize success

Was mir eben noch einfiel:
In etwa zeitgleich zum Auftauchen des Virusses hat auch eine Veränderung stattgefunden: Immer wieder - in unregelmäßigen Abständen - ploppt ein Symbol in der Startleiste auf. Ich kenne es nicht, womöglich ist es eine gewöhnliche Anwendung, aber ich möchte lieber einmal nachfragen, was es damit auf sich haben könnte.
Das Symbol taucht auf und verschwindet sofort wieder, dabei macht es ein charakteristisches Plopp-Geräusch. Manchmal wird eine Schaltfläche mit dem Namen "Smart Wizard" in der Startleiste angezeigt, wenn ich den Pc gerade erst hochgefahren habe. Diese verschwindet auch sofort wieder.
Ich habe eine Abbildung des Symbols angehängt (es ist das ganz links).
Jetzt nach dem Neustart habe ich das Symbol nicht gesehen, aber es hält sich nicht an Regelmäßigkeiten.

Vielen Dank für die schnelle Reaktion, ich fühle mich hier wirklich gut aufgehoben!

Gruß, Remus

kira · 04.06.2011, 22:38

1.

Zitat:

Nicht mehr benötigte Wiederherstellungspunkte wieder entfernen lassen:

1. Klicken Sie auf Start – Alle Programme – Zubehör – Systemprogramme – Datenträgerbereinigung.
2. Wählen Sie Ihr Systemlaufwerk (im Normalfall „C:“) aus und klicken Sie auf OK.
3. Klicken Sie auf das Register Weitere Optionen.
4. Im Abschnitt Systemwiederherstellung klicken Sie auf die Schaltfläche Bereinigen….
5. Bestätigen Sie das Löschen mit einem Klick auf Ja bzw. unter Vista auf Löschen.
6. Klicken Sie auf OK, um die Datenträgerbereinigung zu starten.

2.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Der Temp Ordner, ist für temporäre Dateien, also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar.
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!

`Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
`Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
für jedes Benutzerkonto bitte durchführen
anschließend den Papierkorb leeren

3.
reinige dein System mit Ccleaner:

"Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
"Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
Starte dein System neu auf

4.

lade Dir SUPERAntiSpyware FREE Edition herunter.
installiere das Programm und update online.
starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

5.
- "Link:-> ESET Online Scanner
>>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum

-> Führe dann einen Komplett-Systemcheck mit Eset/Nod32 durch

- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"

Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - ActiveX-Steuerelement installieren lassen

► wie sieht mit dein Rechner zwischenzeitlich aus, berichte...?

RemusSirion · 05.06.2011, 01:55

Der Log von SuperAntispyware:

Code:

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/05/2011 at 00:27 AM

Application Version : 4.53.1000

Core Rules Database Version : 7201
Trace Rules Database Version: 5013

Scan type       : Complete Scan
Total Scan Time : 00:23:44

Memory items scanned      : 407
Memory threats detected   : 0
Registry items scanned    : 4864
Registry threats detected : 0
File items scanned        : 9197
File threats detected     : 1

Adware.Tracking Cookie
	.doubleclick.net [ C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Cookies ]

und der Log von Eset (ich habe damit meine Festplatten und die Datenträger, auf die ich meine privaten Daten gesichert habe, überprüft):

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=a2fe0bd07cdc47439208daf558d2ff9a
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-06-05 12:48:41
# local_time=2011-06-05 02:48:41 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=1797 16775125 100 93 151401 43763823 0 0
# compatibility_mode=8192 67108863 100 0 251 251 0 0
# scanned=59131
# found=0
# cleaned=0
# scan_time=7920

Das sieht doch gut aus, oder?

Das Symbol, von dem ich im letzten Posting sprach, tritt nochimmer auf.
Es stört etwas (weniger das Symbol, sondern das Geräusch, mit dem es erscheint), aber wenn es nicht schädlich ist, ist es reine Gewöhnungssache (und dann fällt es mir vielleicht bald nicht mehr auf).

kira · 05.06.2011, 21:03

Um das Service Pack 3 für Windows XP aufspielen und den IE 8 installieren klicke hier und folge die Anweisungen:-> Microsoft Update hält Ihren Computer auf dem neuesten Stand

Alle auf dem System installierten Programme und Treiber, sollten regelmäßig upgedatet werden um Sicherheitslücken zu vermeiden und um das reibungslose Arbeitsabläufe zu erreichen!

RemusSirion · 05.06.2011, 22:09

ich mag Ende nächster Woche den Pc neu aufsetzen, daher mache ich die Updates erst dann (den PC nutze ich bis dato nicht). Ich habe das erst so spät vor, da ich ab morgen erstmal mit Abiturprüfungen beschäftigt bin

Avira findet nun nichts mehr und ich danke dir, Kira, du hast mir wirklich sehr geholfen! Und das auch noch super schnell! Endlich kann ich meine 2. Festplatte wieder unbedenklich nutzen

Um mich erkenntlich zu zeigen, habe ich dir ein kleines Bildchen angefertigt, das ich hier als Datei angehängt habe.

Gruß, Remus