Trojaner-Board - rootkit Trojaner FakeAlert!grb auf Windows XP Notebook

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - rootkit Trojaner FakeAlert!grb auf Windows XP Notebook (https://www.trojaner-board.de/101131-rootkit-trojaner-fakealert-grb-windows-xp-notebook.html)

rootkit Trojaner FakeAlert!grb auf Windows XP Notebook

Hallo miteinander

Heute hat sich bei mir während der Internetnutzung auf dem Notebook die Fehlermeldung gezeigt dass die Festplatte beschädigt sei und ich das System neustarten soll. Zeitgleich meldete mein McAfee die Virusmeldung FakeAlert!grb Ich habe den Neustart nicht gemacht sondern habe gleich angefangen einen Festplattencheck zu laufen. Kurz darauf hat sich das System allerdings von selbst neu gestartet.

Nach dem Hochfahren hatte ich keinen Zugriff mehr auf das Systemlaufwerk und die installierten Programme. Nach etwas stöbern im Forum bin ich auf den Trick gestossen mit welchem die nicht sichtbaren Dateien auf dem Rechner wieder sichtbar gemacht werden können im Arbeitsplatz. Habe dies gemacht und kann nun meine Dateien alle wieder sehen. Da aber die Fehlermeldungen alle bleiben läuft nun mein McAfee auf hochtouren. Glaube aber nicht dass er den Trojaner komplett deinstallieren kann.

Hat jemand von euch Erfahrung? Kann ich mein Notebook von dem Trojaner befreien, oder nützt nur eine Neuinstallation?

NB: Ich schreibe von einem Zweitrechner. Habe den infizierten vom Netz getrennt.

Danke für eure Hilfe

West79

:hallo:

Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
Bitte füge alle Logfiles in sog. Codeboxen ein. Das Symbol dafür findest du über dem Textfeld, es sieht in etwa so aus: #.
Bitte arbeite solange mit mir mit, bis ich dir sage, dass wir hier fertig sind.
Solltest du mir nicht innerhalb von 5 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Schritt # 1: Fragen beantworten
Zuerst kommen wir zu deinen Fragen:

Zitat:

Zitat von West79 (Beitrag 681027)

Hat jemand von euch Erfahrung? Kann ich mein Notebook von dem Trojaner befreien, oder nützt nur eine Neuinstallation?

Ob eine Neuinstallation notwendig ist, kann ich dir erst sagen, wenn ich einen Blick auf dein System geworfen habe bzw. die Bereinigung nicht gelingt.

Bitte beantworte mir folgende Fragen:

Zitat:

Zitat von West79 (Beitrag 681027)

Nach etwas stöbern im Forum bin ich auf den Trick gestossen mit welchem die nicht sichtbaren Dateien auf dem Rechner wieder sichtbar gemacht werden können im Arbeitsplatz.

Sprichst du hier vom Tool unhide.exe?

Gibt es derzeit noch andere Probleme?

Schritt # 2: rKill verwenden
Downloade Dir bitte rKill ( by Grinler ) von einem dieser Downloadspiegel.

und speichere die Datei auf dem Desktop.

Deaktiviere deine Anti- Viren- Software.
Starte das Tool mit Doppelklick
Vista und Win7 User: Mit Rechtsklick "als Administrator starten".
Nun sollte ein schwarzes Fenster aufpoppen und dir zeigen, dass es läuft.
Wenn das nicht der Fall ist, lösche die vorhandene Version und benutz einen anderen Downloadlink.
Lass das Tool in Ruhe laufen

Sollte es bei keinem der aufgeführten Downloadlinks laufen, teile mir das bitte mit.

Schritt # 3: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)
Downloade Dir bitte Malwarebytes' Anti-Malware

Installiere das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 4: Stoppen von Treibern mit Defogger
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

Starte das Tool mit Doppelklick.
Vista und Windows 7 User: Bitte mit Rechtsklick "als Administrator starten".
Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).

Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.
Wenn wir die Bereinigung beendet haben, starte bitte defogger erneut und klicke den Re-enable Button.

Schritt # 5: GMER Rootkitscan
Bitte

alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
nichts am Rechner arbeiten,
nach jedem Scan den Rechner neu starten.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista und Win7 User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Entferne rechts den Haken bei:
- IAT/EAT
- Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
- Show all (sollte abgehackt sein)
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Schritt # 6: Benutzerdefinierter Scan mit OTL
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%PROGRAMFILES%\*.

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

/md5start

explorer.exe

regedit.exe 

winlogon.exe

wininit.exe

userinit.exe

svchost.exe

ctfmon.exe

/md5stop

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

CREATERESTOREPOINT

Schließe bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt # 7: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

die Beantwortung der gestellten Fragen,
das Logfile von MBAM,
das Logfile von Defogger,
das Logfile von GMER und
die beiden Logfiles von OTL (OTL.txt und Extras.txt).

Hallo M-K-D-B

Besten Dank für dein Angebot zu Hilfe. :dankeschoen:

Antwort auf Schritt #1:

Zitat:

Sprichst du hier vom Tool unhide.exe?

Nein. Ich habe den folgenden Eintrag im Trojaner-Board gefunden um unsichtbare Dateien sichtbar zu machen.
http://www.trojaner-board.de/59624-a...tml#post369557

Soll ich dennoch unhide.exe runterladen und ausführen?

Zitat:

Gibt es derzeit noch andere Probleme?

Ich kann keine vollständige Liste an Problemen liefern, aber hier ein Auszug davon:
- Desktop-Hintergrund ist komplett schwarz. Keine Desktop-Shortlinks sind mehr vorhanden.
- Alle installierten Programme bleiben in der Start-leiste unsichtbar.
- Mit dem obig genannten Link im Trojaner-Board kann ich alle Dateien sehen, es scheint so als ob keine Verluste aufgetreten sind. Doch wurden alle Ordner und Dateien für mich unsichtbar.
- Das "Windows" (so nehm ich an, bin aber nicht sicher ob hier der Trojaner noch immer FakeAlerts sendet) meldet partout dass es kritische Probleme mit den installierten Festplatten hat. Doch bin ich überzeugt dass die Festplatten physisch völlig intakt sind, da die Systemleistung unverändert erscheint und ich wie gesagt alle Dateien zum vorschein bringen konnte.
- Es läuft ständig ein komisches "Fix-program" welches nicht Windows-like aussieht und mich auffordert es zu starten um die Festplatte zu reparieren. Habe diesen Schritt aber noch nicht getan. Sollte ich?

Antwort zu Schritt #2 - #7 folgen sobald ich all die Tests durch habe. Werde vermutlich Montag Abends so weit sein.

Nochmals vielen Dank für deine Hilfe :singsing:

Gruss
West79

Hallo West79,

Zitat:

Zitat von West79 (Beitrag 681304)

Soll ich dennoch unhide.exe runterladen und ausführen?

Ja, führe aber zuerst rkill und Malwarebytes' Anti-Malware aus (wie in meiner letzten Antwort beschrieben). Anschließend mache bitte folgendes:

Downloade dir bitte unhide.exe (by Grinler) und speichere die Datei auf deinem Desktop.

Schließe alle laufenden Programme.
Starte die unhide.exe.
Das Tool kann eine Weile brauchen.
Wenn das Tool seine Arbeit getan hat, wird eine Nachricht aufpoppen "Your files should now be visible"
Starte den Rechner neu auf.

Anschließend kannst du mit Defogger, GMER und OTL weiter machen. :)

Zitat:

Zitat von West79 (Beitrag 681304)

Du beschreibst Symptome, die typische für diese Art von Malware sind.

Zitat:

Zitat von West79 (Beitrag 681304)

- Es läuft ständig ein komisches "Fix-program" welches nicht Windows-like aussieht und mich auffordert es zu starten um die Festplatte zu reparieren. Habe diesen Schritt aber noch nicht getan. Sollte ich?

Dieses "Fix-Programm", wie du es nennst, ist der Trojaner selbst. Auf keinen Fall starten. Mit rkill und MBAM solltest du es aber in die Schranken weisen können.

Zitat:

Zitat von West79 (Beitrag 681304)

Antwort zu Schritt #2 - #7 folgen sobald ich all die Tests durch habe. Werde vermutlich Montag Abends so weit sein.

Ich warte auf deine Rückmeldung. :)
Poste alle geforderten Logfiles, sobald es die Zeit zulässt. Erst dann können wir mit der Bereinigung fortfahren. :daumenhoc

Hallo M-K-D-B

Ich konnte praktisch mühelos alle geforderten Schritte durchgehen. Hier folgen Meine Bemerkungen und die Logfiles.

Schritt #1: Die Fragen haben wir bereits besprochen.

Schritt #2: rKill hat funktioniert. Hatte danach wieder Schreibrecht auf dem Desktop.

Schritt #3: MBAM ist durchgelaufen. Hier das logfile.

Code:

Malwarebytes' Anti-Malware 1.51.0.1200

www.malwarebytes.org
 

Datenbank Version: 7060
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

10.07.2011 11:53:02

mbam-log-2011-07-10 (11-53-02).txt
 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 179055

Laufzeit: 15 Minute(n), 10 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 2

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JUaDAjhRvP (Trojan.FakeAlert) -> Value: JUaDAjhRvP -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

c:\dokumente und einstellungen\all users\anwendungsdaten\juadajhrvp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

c:\dokumente und einstellungen\all users\anwendungsdaten\17424164.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Schritt #3.5: unhide.exe hat super Arbeit geleistet. Der volle Desktop war wieder hergestellt.:applaus:

Schritt #4: Defogger hab ich laufen lassen. Ist allerdings nicht viel passiert. Ist da was falsch gelaufen? Im Logfile steht nur das:

Code:

defogger_disable by jpshortstuff (23.02.10.1)

Log created at 12:16 on 10/07/2011 (Stephen)
 

Checking for autostart values...

HKCU\~\Run values retrieved.

HKLM\~\Run values retrieved.
 

Checking for services/drivers...
 
 

-=E.O.F=-

Schritt #5: Gmer ist gelaufen und hat den halben Sonntagnachmittag gebraucht. Das log passt hier nicht rein; ist drum geteilt in zwei txt-files im Anhang:

Schritt #6: Auch OTL lief blendend. Das OTL.txt ist ebenso riesig und ist im Anhang un zwei Files unterteilt. Das Extra.txt ebenso im Anhang.

Ich hoffe all dies hilft uns weiter. Was denkst du? Oder sollte ich besser :killpc:?

Schöner Gruss
West79

Hallo West79,

Schritt # 1: Beantwortung deiner Fragen

Zitat:

Zitat von West79 (Beitrag 681385)

Schritt #4: Defogger hab ich laufen lassen. Ist allerdings nicht viel passiert. Ist da was falsch gelaufen?

Nein, das mit Defogger lief so, wie es sollte. Alles in Ordnung. :)

Zitat:

Zitat von West79 (Beitrag 681385)

Ich hoffe all dies hilft uns weiter. Was denkst du?

Ja, es hilft uns weiter.

Zitat:

Zitat von West79 (Beitrag 681385)

Oder sollte ich besser :killpc:?

Nein. Sowas kommt nur in Frage, wenn alles andere scheitert.
Bislang läufts ja ganz gut. :)

Zu deiner eigenen Sicherheit bitte ich dich, bis auf weiteres, kein Online-Banking oder andere Online-Geschäfte an diesem Computer abzuwicklen, bis wir die Bereinigung abgeschlossen haben.

Schritt # 2: Systemdateien verstecken
Gehe bitte auf Start --> Systemsteuerung --> Extras --> Ordneroptionen.
Wechsle auf den Reiter Ansicht.

Setze den Hacken bei Geschützte Systemdateien ausblenden ( empfohlen )
Setze den Hacken bei Erweiterungen bei bekannten Dateitypen ausblenden
Aktiviere Versteckte Dateien und Ordner ausblenden

Drücke auf Übernehmen und OK

Lösche keinesfalls Ordner oder Dateien ohne Anweisung

Schritt # 3: Deinstallation von Programmen

Folge folgendem Pfad: Start -> Systemsteuerung -> Software
Suche in der Liste Software mit dem folgenden Namen
- Ask Toolbar
- Conduit Engine
- softonic-de3 Toolbar
- NCH Toolbar
und deinstalliere das Programm.
Solltest du am Ende der Deinstallation zu einem Neustart aufgefordert werden, so führe diesen durch.

Schritt # 4: TDSS Killer ausführen
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.

Schließe alle laufenden Programme.
Trenne dich von Internet.
Deaktiviere deine AntiViren Software.
Starte TDSSkiller.exe mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Drücke auf Start scan.
Mache während dem Scan nichts am Rechner
1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
  Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
Bitte poste mir den Inhalt hier in deinen Thread.

Schritt # 5: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

Schritt # 6: Fragen beantworten
Bitte beantworte mir folgende Fragen:

Ich sehe in deinen Logfiles noch Reste von Symantec und Check Point:

Zitat:

"LiveReg" = LiveReg (Symantec Corporation)
"LiveUpdate" = LiveUpdate 2.6 (Symantec Corporation)
DRV - [2005.01.26 08:22:20 | 000,280,344 | ---- | M] (Zone Labs LLC) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)

Gehe ich richtig in der Annahme, dass du die Produkte der beiden Hersteller zwischenzeitlich installiert hattest, aber sie inzwischen wieder deinstalliert worden sind? Eventuell hast du ja früher einemal ZoneAlarm oder Norton Antivirus oder ähnliches installiert gehabt?
Es gibt spezielle Bereinigungstools. Diese könnten wir dann einsetzen, um die Reste zu entfernen.

Ich sehe, dass du nicht mehr gerade viel Platz auf dem Systemlaufwerk hast:

Zitat:

Drive C: | 50.91 Gb Total Space | 5.02 Gb Free Space | 9.87% Space Free | Partition Type: NTFS

Besitzt du eine externe Festplatte?
Wie läuft dein Rechner derzeit?
Gibt es irgendwelche Auffälligkeiten?
Was ist das genau für ein Backup?

Zitat:

C:\RRbackups

Wozu dient es?
Hast du eine Windows XP CD zur Hand? Wenn ja, handelt es sich hierbei um eine normale Windows XP CD oder eine Recovery CD?
Hast du neben Windows XP noch ein anderes Betriebssystem, wie z. B. Linux oder ähnliches installiert?

Schritt # 7: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

eine Rückmeldung bezüglich der geforderten Deinstallationen,
das Logfile des TDSS Killers,
das Logfile von ComboFix und
die Beantwortung der gestellten Fragen.

Schritt #2 und #3 verliefen ohne Probleme. Bin nun bei Schritt #4 angelangt. Habe die Datei TDSS Killer.exe wie gewünscht runtergeladen und auf den Desktop kopiert.

Leider startet das Programm aber nicht. Nach dem Doppelklick blockt es zugleich ab, ohne Fehlermeldung und ohne sichtbare Reaktion des Computers... :confused:

Wie sollen wir weiterfahren?

Beantwortung deiner Fragen:

Zitat:

Ich sehe in deinen Logfiles noch Reste von Symantec und Check Point. Gehe ich richtig in der Annahme, dass du die Produkte der beiden Hersteller zwischenzeitlich installiert hattest, aber sie inzwischen wieder deinstalliert worden sind? Eventuell hast du ja früher einemal ZoneAlarm oder Norton Antivirus oder ähnliches installiert gehabt?
Es gibt spezielle Bereinigungstools. Diese könnten wir dann einsetzen, um die Reste zu entfernen.

Ich verwende McAfee als Virenscanner. Norton war vom Hersteller vorgeschlagen und vorinstalliert als Demoversion. Hätte eigentlich vollständig deinstalliert sein sollen, aber offenbar nicht...

Zitat:

Ich sehe, dass du nicht mehr gerade viel Platz auf dem Systemlaufwerk hast. Besitzt du eine externe Festplatte?

Ja, aber eigentlich nur zur Datenverwahrung. Alle aktiven Projekte und Programme laufen auf dem Notebook. Zugegeben, momentan ist die Platte ganz schön voll, aber es ist viel Mist drauf den ich baldmöglichst wieder entfernen werde.

Zitat:

Wie läuft dein Rechner derzeit?

Eigentlich ganz gut.

Zitat:

Gibt es irgendwelche Auffälligkeiten?

Nein, abgesehen vom älteren Baujahr läuft er ganz in Ordnung.

Zitat:

Was ist das genau für ein Backup?

War eine Backup-solution des Herstellers. Habe diese nie entfernt, aber auch nie verwendet. Für Backupzwecke habe ich die externe Harddisk manuel verwendet.

Zitat:

Hast du eine Windows XP CD zur Hand? Wenn ja, handelt es sich hierbei um eine normale Windows XP CD oder eine Recovery CD?

Ja, habe eine normale Windows XP installations CD.

Zitat:

Hast du neben Windows XP noch ein anderes Betriebssystem, wie z. B. Linux oder ähnliches installiert?

Nein, nichts dergleichen.

Hallo West79,

vielen Dank für die ausführliche Rückmeldung. :)

Zitat:

Zitat von West79 (Beitrag 681509)

Bin nun bei Schritt #4 angelangt. Habe die Datei TDSS Killer.exe wie gewünscht runtergeladen und auf den Desktop kopiert.

Leider startet das Programm aber nicht. Nach dem Doppelklick blockt es zugleich ab, ohne Fehlermeldung und ohne sichtbare Reaktion des Computers... :confused:

Wahrscheinlich blockiert ein Rootkit das Tool.

Zitat:

Zitat von West79 (Beitrag 681509)

Wie sollen wir weiterfahren?

Wir machen wie folgt weiter:

Schritt # 1: FixTDSS ausführen
Downloade dir bitte FixTDSS.exe und speichere die Datei am Desktop.

Beende alle laufenden Programme und schließe alle offenen Fenster.
Starte die FixTDSS.exe.
Windows Vista und 7 Nutzer mit Rechtsklick "Als Administrator ausführen"
Akzeptiere die Nutzungsbedingungen.
Klicke anschließend auf Proceed und bestätige mit Ok.
Das Tool wird deinen Rechner neu starten.
Gegebenenfalls musst du die Ausführung von FixTDSS.exe nochmals erlauben.
Anschließend wird das Tool automatisch den Suchlauf starten.
Nach Ende des Suchlaufs erscheint ein kleines Fenster von FixTDSS mit einer Nachricht.
Poste diese mit deiner nächsten Antwort.
Starte deinen Rechner zum Abschluss neu auf.

Schritt # 2: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

die Nachricht von FixTDSS und
das Logfile von ComboFix.

Besten dank für die Tipps. Hier die gewünschten Rückmeldungen.

Schritt 1: FixTDSS

Funktionierte ganz gut. Die Meldung nach beenden des Scans lautete:

Code:

***Infected MBR detected

Schritt 2: ComboFix

Ebenso keine Probleme beim durchlaufen. Ich glaube hier ist einiges gelaufen. Anbei das log:

Code:

ComboFix 11-07-11.02 - Stephen 11.07.2011  21:47:37.1.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.41.1031.18.1534.942 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\sephen\Desktop\ComboFix.exe

AV: McAfee VirusScan Enterprise *Enabled/Updated* {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\sephen\Anwendungsdaten\PriceGong

c:\dokumente und einstellungen\sephen\Anwendungsdaten\PriceGong\Data\mru.xml

c:\dokumente und einstellungen\sephen\Desktop\Windows XP Fix.lnk

c:\dokumente und einstellungen\sephen\WINDOWS

c:\windows\IsUn0407.exe

c:\windows\system32\zlibwapi.dll

.

c:\windows\system32\kernel32.dll . . . ist infiziert!!

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Legacy_BOONTY_GAMES

-------\Service_Boonty Games

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-06-11 bis 2011-07-11  ))))))))))))))))))))))))))))))

.

.

2011-07-11 18:57 . 2011-07-11 18:57        26872        ----a-w-        c:\windows\system32\drivers\FixTDSS.sys

2011-07-11 18:57 . 2011-07-11 18:57        --------        d-----w-        c:\dokumente und einstellungen\sephen\Anwendungsdaten\FixTDSS

2011-07-10 09:32 . 2011-07-10 09:32        --------        d-----w-        c:\dokumente und einstellungen\sephen\Anwendungsdaten\Malwarebytes

2011-07-10 09:31 . 2011-05-29 07:11        39984        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-07-10 09:31 . 2011-07-10 09:31        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2011-07-10 09:31 . 2011-05-29 07:11        22712        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-07-10 09:31 . 2011-07-10 09:31        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2011-06-20 17:17 . 2011-06-20 17:17        404640        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2011-06-15 19:58 . 2011-04-21 13:37        105472        ------w-        c:\windows\system32\dllcache\mup.sys

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-07-10 08:31 . 2006-09-15 00:01        5427        ----a-w-        c:\windows\system32\EGATHDRV.SYS

2011-06-06 19:42 . 2011-06-06 19:42        0        ----a-w-        c:\windows\system32\ConduitEngine.tmp

2011-05-02 15:31 . 2004-08-10 11:24        692736        ----a-w-        c:\windows\system32\inetcomm.dll

2011-04-29 16:19 . 1979-12-31 22:00        456320        ----a-w-        c:\windows\system32\drivers\mrxsmb.sys

2011-04-25 16:05 . 1979-12-31 22:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2011-04-25 16:05 . 1979-12-31 22:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll

2011-04-25 16:05 . 1979-12-31 22:00        1469440        ----a-w-        c:\windows\system32\inetcpl.cpl

2011-04-25 12:01 . 1979-12-31 22:00        385024        ----a-w-        c:\windows\system32\html.iec

2011-04-21 13:37 . 1979-12-31 22:00        105472        ----a-w-        c:\windows\system32\drivers\mup.sys

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-02 68856]

"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

"Skype"="c:\programme\Skype\Phone\Skype.exe" [2011-06-15 15141768]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2006-02-14 110592]

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-02-14 512000]

"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-10-28 864256]

"TpShocks"="TpShocks.exe" [2005-11-07 106496]

"TP4EX"="tp4ex.exe" [2005-10-16 65536]

"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2006-02-24 237568]

"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-03-09 94208]

"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]

"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]

"suScheduler"="c:\programme\ThinkVantage\SystemUpdate\UCLauncher.exe" [2005-08-01 40960]

"LPManager"="c:\progra~1\THINKV~2\PrdCtr\LPMGR.exe" [2006-03-22 106496]

"AMSG"="c:\progra~1\THINKV~2\AMSG\amsg.exe" [2005-11-14 487424]

"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-08-01 122940]

"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]

"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]

"AwaySch"="c:\programme\Lenovo\AwayTask\AwaySch.EXE" [2006-03-23 69632]

"cssauth"="c:\programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" [2005-12-21 1996336]

"PDService.exe"="c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe" [2005-11-15 49152]

"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2005-10-28 335872]

"DiskeeperSystray"="c:\programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2006-03-01 196710]

"ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2006-04-17 409600]

"ACWLIcon"="c:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2006-04-17 98304]

"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2006-03-22 151552]

"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2006-03-22 208896]

"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd.exe" [2003-06-25 49152]

"HPpromo psc 2400 series"="c:\programme\HP\Digital Imaging\Promotions\HPpromo.exe" [2003-10-09 126976]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

"Adobe Acrobat Speed Launcher"="c:\programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2011-01-30 38840]

"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2010-09-22 640440]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]

"BroadCam"="c:\programme\NCH Software\BroadCam\broadcam.exe" [2011-03-03 1175556]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\dokumente und einstellungen\sephen\Startmen\Programme\Autostart\

Persbackup.lnk - c:\programme\Personal Backup 5\Persbackup.exe [2010-9-4 3593728]

.

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Corel MEDIA FOLDERS INDEXER 8.LNK - c:\corel\Graphics8\Programs\MFIndexer.exe [2007-5-7 82944]

VPN Client.lnk - c:\windows\Installer\{176130BC-99A1-41FE-A78B-56045E33AD70}\Icon3E5562ED7.ico [2008-3-10 6144]

.

c:\dokumente und einstellungen\sephen\Startmen\Programme\Autostart\

Persbackup.lnk - c:\programme\Personal Backup 5\Persbackup.exe [2010-9-4 3593728]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AwayNotify]

2006-03-23 00:03        49152        ------w-        c:\programme\Lenovo\AwayTask\AwayNotify.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]

2006-02-14 10:16        39936        ----a-w-        c:\windows\system32\psqlpwd.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]

2005-07-05 21:45        28672        ----a-w-        c:\windows\system32\notifyf2.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]

2005-11-30 18:16        24576        ----a-w-        c:\windows\system32\tphklock.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\ThinkVantage\\SystemUpdate\\jre\\bin\\javaw.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\mmc.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"86:TCP"= 86:TCP:BroadCam Video Streaming Server Web Server

"1935:TCP"= 1935:TCP:BroadCam Video Streaming Server Flash Video Server

.

R0 FixTDSS;TDSS Fixtool driver;c:\windows\system32\drivers\FixTDSS.sys [11.07.2011 20:57 26872]

R2 BroadCamService;BroadCam Video Streaming Server;c:\programme\NCH Software\BroadCam\broadcam.exe [03.03.2011 13:10 1175556]

R2 PrivateDisk;PrivateDisk;c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\privatediskm.sys [15.11.2005 13:11 46142]

R2 smi2;smi2;c:\programme\SMI2\smi2.sys [21.12.2005 16:45 3968]

R2 smihlp;SMI helper driver;c:\programme\ThinkVantage Fingerprint Software\smihlp.sys [14.02.2006 12:02 3328]

R2 SVKP;SVKP;c:\windows\system32\SVKP.sys [06.05.2008 11:22 2368]

S2 gupdate1c9eec6187682c8;Google Update Service (gupdate1c9eec6187682c8);c:\programme\Google\Update\GoogleUpdate.exe [16.06.2009 23:04 133104]

S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [16.06.2009 23:04 133104]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [10.07.2011 11:31 39984]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12        REG_MULTI_SZ           Pml Driver HPZ12 Net Driver HPZ12

.

Inhalt des "geplante Tasks" Ordners

.

2011-07-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-06-16 21:04]

.

2011-07-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-06-16 21:04]

.

2011-07-11 c:\windows\Tasks\Personal Backup Test1.job

- c:\programme\Personal Backup 5\Persbackup.exe [2010-09-04 12:18]

.

2011-07-11 c:\windows\Tasks\PMTask.job

- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2006-09-15 23:13]

.

2011-03-04 c:\windows\Tasks\prismShakeIcon.job

- c:\programme\NCH Software\Prism\prism.exe [2011-03-03 11:09]

.

2007-04-27 c:\windows\Tasks\Symantec NetDetect.job

- c:\programme\Symantec\LiveUpdate\NDETECT.EXE [2006-09-14 15:38]

.

2011-03-04 c:\windows\Tasks\videopadShakeIcon.job

- c:\programme\NCH Software\VideoPad\videopad.exe [2011-03-03 11:10]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.ask.com/?o=13166&l=dis

uInternet Connection Wizard,ShellNext = iexplore

IE: Append Link Target to Existing PDF - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Append to Existing PDF - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert Link Target to Adobe PDF - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Convert to Adobe PDF - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm

TCP: DhcpNameServer = 62.2.17.61 62.2.24.158 62.2.17.60 62.2.24.162

FF - ProfilePath - c:\dokumente und einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2117678&SearchSource=3&q={searchTerms}

FF - prefs.js: network.proxy.type - 4

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}

FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff

FF - Ext: NCH Community Toolbar: {c2db4fe6-8409-45ce-8010-189a7b5cce86} - %profile%\extensions\{c2db4fe6-8409-45ce-8010-189a7b5cce86}

FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com

FF - Ext: softonic-de3 Community Toolbar: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - %profile%\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

Notify-ACNotify - ACNotify.dll

Notify-NavLogon - (no file)

AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe

AddRemove-Presentation Director - c:\windows\IsUn0407.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-07-11 21:59

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]

"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,

   00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(1156)

c:\windows\system32\vrlogon.dll

c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll

c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll

c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll

c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\psqlpwd.dll

c:\programme\ThinkVantage Fingerprint Software\infra.dll

c:\programme\ThinkVantage Fingerprint Software\homefus2.dll

c:\windows\system32\biologon.dll

c:\programme\ThinkVantage Fingerprint Software\homepass.dll

c:\programme\ThinkVantage Fingerprint Software\bio.dll

c:\programme\ThinkVantage Fingerprint Software\remote.dll

c:\windows\system32\tphklock.dll

c:\programme\ThinkVantage Fingerprint Software\crypto.dll

c:\programme\Lenovo\AwayTask\AwayNotify.dll

.

- - - - - - - > 'explorer.exe'(5248)

c:\windows\system32\PROCHLP.DLL

c:\progra~1\WINDOW~2\wmpband.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\corel\Graphics8\programs\CMFFld80.dll

c:\windows\system32\btncopy.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\ibmpmsvc.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\IPSSVC.EXE

c:\programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe

c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe

c:\programme\Cisco Systems\VPN Client\cvpnd.exe

c:\programme\Diskeeper Corporation\Diskeeper\DkService.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\windows\System32\TPHDEXLG.EXE

c:\windows\system32\TpKmpSVC.exe

c:\programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe

c:\programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe

c:\programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe

c:\programme\ThinkVantage\SystemUpdate\UCLauncherService.exe

c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe

c:\programme\Windows Media Player\WMPNetwk.exe

c:\programme\IBM ThinkVantage\Common\Logger\logmon.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\acs.exe

c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\TpShocks.exe

c:\programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe

c:\programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe

c:\windows\system32\rundll32.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2011-07-11  22:06:25 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2011-07-11 20:06

.

Vor Suchlauf: 5'617'254'400 Bytes frei

Nach Suchlauf: 9'660'133'376 Bytes frei

.

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

.

- - End Of File - - 2104C77BC0F9F9314549F8071C205557

Schöner Gruss
West79

Hallo West79,

Zitat:

***Infected MBR detected

Zitat:

c:\windows\system32\kernel32.dll . . . ist infiziert!!

Du hast wahrscheinlich ein Rootkit im Master Boot Sektor. Halte bitte deine Windows XP CD bereit. Eventuell benötigen wir diese bald!

Schritt # 1: Fragen beantworten
Bitte beantworte mir folgende Fragen:

Gib über Google verschiedene Suchbegriffe ein und klicke auf die vorgegebenen Links. Wirst du dabei auf andere, nicht gewünschte Seiten umgeleitet? Teste bitte mit Firefox und dem Internet Explorer und berichte.

Schritt # 2: Kontrolle mit VirusTotal
Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

Klicke auf Durchsuchen
Kopiere nun folgendes in die Suchleiste.

Code:

c:\windows\system32\kernel32.dll
und klicke auf Öffnen.
Klicke auf Send File.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.

Zitat:

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Schritt # 3: Benutzerdefinierter Scan mit OTL

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

Code:

/md5start

kernel32.dll

/md5stop

Schließe bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Nichts und danach den Scan Button.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Schritt # 4: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Schritt # 5: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

die Beantwortung der gestellten Fragen,
den Link zum Ergebnis von VirusTotal,
das Logfile von OTL (OTL.txt) und
das Logfile von aswMBR.

rootkit Trojaner FakeAlert!grb auf Windows XP Notebook

Schritt 1: Beantwortung der gestellten Fragen

Zitat:

Gib über Google verschiedene Suchbegriffe ein und klicke auf die vorgegebenen Links. Wirst du dabei auf andere, nicht gewünschte Seiten umgeleitet? Teste bitte mit Firefox und dem Internet Explorer und berichte.

Han über Google im Firefox und im Internet Explorer verschiedene Begriffe gesucht. Hat jedesmal richtig funktioniert und der Link führte auf die völlig korrekte Homepages.

Schritt 2: VirusTotal

Hab die gefragte Datei kernel32.dll mit VirusTotal untersuchen lassen. In der Tat musste ich Reanalyze klicken als die von dir genannte Message aufpoppte. Hier folgt der Link. Scheint so als ob keiner der Virenscanner was gefunden hatte.

VirusTotal - Free Online Virus, Malware and URL Scanner

Schritt 3: OTL

Ist auch gut gelaufen. Hier der Inhalt von OTL.txt

OTL Logfile:

Code:

OTL logfile created on: 12.07.2011 09:44:08 - Run 2

OTL by OldTimer - Version 3.2.26.1     Folder = C:\Dokumente und Einstellungen\sephen\Desktop

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy

 

1.50 Gb Total Physical Memory | 1.00 Gb Available Physical Memory | 66.69% Memory free

2.35 Gb Paging File | 2.01 Gb Available in Paging File | 85.57% Paging File free

Paging file location(s): C:\pagefile.sys 1024 1536 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 50.91 Gb Total Space | 9.05 Gb Free Space | 17.77% Space Free | Partition Type: NTFS

Drive D: | 135.06 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

 

Computer Name: WEYENETH | User Name: Stephen | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - [2011.07.10 16:16:42 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\sephen\Desktop\OTL.exe

PRC - [2010.09.22 18:11:26 | 000,640,440 | ---- | M] (Adobe Systems Inc.) -- C:\Programme\Adobe\Acrobat 9.0\Acrobat\acrotray.exe

PRC - [2010.09.22 18:11:20 | 000,148,928 | ---- | M] (Adobe Systems Incorporated.) -- C:\Programme\Adobe\Acrobat 9.0\Acrobat\acrodist.exe

PRC - [2010.08.06 10:07:57 | 000,651,720 | ---- | M] (Macrovision Europe Ltd.) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe

PRC - [2006.11.10 11:46:26 | 001,504,304 | ---- | M] (Cisco Systems, Inc.) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

PRC - [2006.04.17 13:13:00 | 000,094,208 | ---- | M] (Lenovo) -- C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe

PRC - [2006.04.17 13:12:28 | 000,151,552 | ---- | M] (Lenovo) -- C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe

PRC - [2006.04.17 13:12:26 | 000,040,960 | ---- | M] () -- C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe

PRC - [2006.04.17 13:09:10 | 000,409,600 | ---- | M] (Lenovo) -- C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe

PRC - [2006.04.17 12:59:10 | 000,098,304 | ---- | M] (Lenovo) -- C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe

PRC - [2006.03.23 02:03:00 | 000,073,728 | ---- | M] (Lenovo Group Limited) -- C:\WINDOWS\system32\IPSSVC.EXE

PRC - [2006.03.23 02:03:00 | 000,069,632 | ---- | M] (Lenovo Group Limited) -- C:\Programme\Lenovo\AwayTask\AwaySch.EXE

PRC - [2006.03.01 11:50:06 | 000,626,810 | ---- | M] (Diskeeper Corporation) -- C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe

PRC - [2006.02.14 14:17:28 | 000,110,592 | ---- | M] (Synaptics, Inc.) -- C:\Programme\Synaptics\SynTP\SynTPLpr.exe

PRC - [2006.01.17 10:37:24 | 000,266,295 | ---- | M] (Broadcom Corporation.) -- C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe

PRC - [2006.01.02 17:41:22 | 000,045,056 | ---- | M] (ATI Technologies Inc.) -- C:\Programme\ATI Technologies\ATI.ACE\CLI.exe

PRC - [2005.12.21 18:34:58 | 000,077,824 | ---- | M] () -- C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe

PRC - [2005.12.21 18:27:00 | 000,032,768 | ---- | M] () -- C:\Programme\IBM ThinkVantage\Common\Logger\logmon.exe

PRC - [2005.12.21 18:20:56 | 001,384,448 | ---- | M] () -- C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe

PRC - [2005.12.21 18:08:02 | 001,996,336 | ---- | M] (Lenovo Group Limited) -- C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe

PRC - [2005.12.21 17:17:54 | 000,722,480 | ---- | M] (IBM) -- C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe

PRC - [2005.11.15 13:13:24 | 000,049,152 | R--- | M] (Utimaco Safeware AG) -- C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe

PRC - [2005.11.08 16:07:02 | 000,036,864 | ---- | M] () -- C:\WINDOWS\system32\acs.exe

PRC - [2005.10.26 00:44:30 | 000,086,016 | ---- | M] (Lenovo Group Limited) -- C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe

PRC - [2005.08.01 17:32:40 | 000,040,960 | ---- | M] () -- C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe

PRC - [2005.08.01 05:10:00 | 000,122,940 | ---- | M] (Sonic Solutions) -- C:\WINDOWS\system32\DLA\DLACTRLW.EXE

PRC - [2005.07.05 14:57:12 | 000,077,824 | ---- | M] () -- C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe

PRC - [2005.06.06 21:26:22 | 000,032,768 | ---- | M] () -- C:\WINDOWS\system32\TpKmpSvc.exe

PRC - [2004.07.27 16:50:18 | 000,081,920 | ---- | M] (InstallShield Software Corporation) -- C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

PRC - [2003.10.09 13:17:48 | 000,126,976 | ---- | M] (hp) -- C:\Programme\HP\Digital Imaging\Promotions\HPpromo.exe

PRC - [2003.06.25 12:24:48 | 000,049,152 | ---- | M] (Hewlett-Packard) -- C:\Programme\HP\HP Software Update\hpwuSchd.exe

 

 
 ========== Modules (SafeList) ==========

 

MOD - [2011.07.10 16:16:42 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\sephen\Desktop\OTL.exe

MOD - [2010.08.23 18:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll

MOD - [2006.03.23 02:03:00 | 000,086,016 | ---- | M] (Lenovo Group Limited) -- C:\WINDOWS\system32\PROCHLP.DLL

MOD - [2006.02.14 14:17:12 | 000,065,536 | ---- | M] (Synaptics, Inc.) -- C:\WINDOWS\system32\SynTPFcs.dll

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - File not found [On_Demand | Stopped] --  -- (PsaSrv)

SRV - [2011.03.03 13:10:56 | 001,175,556 | ---- | M] (NCH Software) [Auto | Stopped] -- C:\Programme\NCH Software\BroadCam\broadcam.exe -- (BroadCamService)

SRV - [2010.08.06 10:07:57 | 000,651,720 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)

SRV - [2006.11.10 11:46:26 | 001,504,304 | ---- | M] (Cisco Systems, Inc.) [Auto | Running] -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe -- (CVPND)

SRV - [2006.04.17 13:12:28 | 000,151,552 | ---- | M] (Lenovo) [Auto | Running] -- C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe -- (AcSvc)

SRV - [2006.04.17 13:12:26 | 000,040,960 | ---- | M] () [Auto | Running] -- C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe -- (AcPrfMgrSvc)

SRV - [2006.03.23 02:03:00 | 000,073,728 | ---- | M] (Lenovo Group Limited) [Auto | Running] -- C:\WINDOWS\system32\IPSSVC.EXE -- (IPSSVC)

SRV - [2006.03.01 11:50:06 | 000,626,810 | ---- | M] (Diskeeper Corporation) [Auto | Running] -- C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe -- (Diskeeper)

SRV - [2006.01.17 10:37:24 | 000,266,295 | ---- | M] (Broadcom Corporation.) [Auto | Running] -- C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe -- (btwdins)

SRV - [2005.12.21 18:34:58 | 000,077,824 | ---- | M] () [Auto | Running] -- C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe -- (TVT Scheduler)

SRV - [2005.12.21 18:20:56 | 001,384,448 | ---- | M] () [Auto | Running] -- C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe -- (TVT Backup Service)

SRV - [2005.12.21 17:17:54 | 000,722,480 | ---- | M] (IBM) [Auto | Running] -- C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe -- (TSSCoreService)

SRV - [2005.11.08 16:07:02 | 000,036,864 | ---- | M] () [On_Demand | Running] -- C:\WINDOWS\system32\acs.exe -- (ACS)

SRV - [2005.08.01 17:32:40 | 000,040,960 | ---- | M] () [Auto | Running] -- C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe -- (UCLauncherService)

SRV - [2005.06.06 21:26:22 | 000,032,768 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\TpKmpSvc.exe -- (TpKmpSVC)

SRV - [2004.10.22 03:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - [2011.07.11 20:57:20 | 000,026,872 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\FixTDSS.sys -- (FixTDSS)

DRV - [2011.05.29 09:11:30 | 000,039,984 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)

DRV - [2008.05.06 11:22:40 | 000,002,368 | ---- | M] (AntiCracking) [Kernel | Auto | Running] -- C:\WINDOWS\system32\SVKP.sys -- (SVKP)

DRV - [2007.11.11 19:14:02 | 000,043,488 | ---- | M] (Oak Technology Inc.) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\AFS2K.SYS -- (AFS2K)

DRV - [2006.11.10 11:44:52 | 000,305,788 | ---- | M] (Cisco Systems, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys -- (CVPNDRVA)

DRV - [2006.10.02 18:45:40 | 000,126,864 | ---- | M] (Deterministic Networks, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\dne2000.sys -- (DNE)

DRV - [2006.09.15 01:59:34 | 000,016,256 | ---- | M] (Lenovo) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\psadd.sys -- (psadd)

DRV - [2006.03.23 02:03:00 | 000,005,120 | ---- | M] (Lenovo Group Limited) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\PROCDD.SYS -- (PROCDD)

DRV - [2006.03.23 01:13:00 | 000,004,442 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\TPPWRIF.SYS -- (TPPWRIF)

DRV - [2006.02.27 02:52:00 | 000,007,168 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\TSMAPIP.SYS -- (TSMAPIP)

DRV - [2006.02.21 22:46:26 | 001,505,792 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)

DRV - [2006.02.14 12:02:40 | 000,003,328 | ---- | M] (UPEK Inc.) [Kernel | Auto | Running] -- C:\Programme\ThinkVantage Fingerprint Software\smihlp.sys -- (smihlp)

DRV - [2006.01.17 10:18:22 | 000,850,474 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL)

DRV - [2006.01.17 10:14:52 | 000,065,688 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB)

DRV - [2006.01.17 01:52:00 | 000,014,848 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SMAPINT.SYS -- (Smapint)

DRV - [2006.01.17 01:52:00 | 000,009,343 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\TDSMAPI.SYS -- (TDSMAPI)

DRV - [2006.01.13 00:33:22 | 000,006,016 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\IBMBLDID.sys -- (IBMTPCHK)

DRV - [2005.12.21 17:14:58 | 000,012,544 | ---- | M] (IBM) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\ibmfilter.sys -- (ibmfilter)

DRV - [2005.12.21 10:19:10 | 000,470,208 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ar5211.sys -- (AR5211)

DRV - [2005.11.15 13:11:28 | 000,046,142 | R--- | M] (Utimaco Safeware AG) [Kernel | Auto | Running] -- C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\privatediskm.sys -- (PrivateDisk)

DRV - [2005.11.08 09:27:20 | 000,011,520 | ---- | M] (IBM Corp.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ANC.sys -- (ANC)

DRV - [2005.10.26 10:01:02 | 000,142,720 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)

DRV - [2005.08.01 05:10:00 | 000,092,700 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAUDFAM.SYS -- (DLAUDFAM)

DRV - [2005.08.01 05:10:00 | 000,087,004 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAUDF_M.SYS -- (DLAUDF_M)

DRV - [2005.08.01 05:10:00 | 000,086,524 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAIFS_M.SYS -- (DLAIFS_M)

DRV - [2005.08.01 05:10:00 | 000,025,628 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLABOIOM.SYS -- (DLABOIOM)

DRV - [2005.08.01 05:10:00 | 000,014,684 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAOPIOM.SYS -- (DLAOPIOM)

DRV - [2005.08.01 05:10:00 | 000,006,364 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAPoolM.SYS -- (DLAPoolM)

DRV - [2005.08.01 05:10:00 | 000,002,496 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLADResN.SYS -- (DLADResN)

DRV - [2005.07.07 09:03:34 | 000,005,628 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLACDBHM.SYS -- (DLACDBHM)

DRV - [2005.07.07 09:02:56 | 000,022,684 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLARTL_N.SYS -- (DLARTL_N)

DRV - [2005.05.17 05:51:34 | 000,005,315 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\CVirtA.sys -- (CVirtA)

DRV - [2005.01.26 08:22:20 | 000,280,344 | ---- | M] (Zone Labs LLC) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ask.com/?o=13166&l=dis

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 
 ========== FireFox ==========

 

FF - prefs.js..browser.search.defaultthis.engineName: "NCH Customized Web Search"

FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2117678&SearchSource=3&q={searchTerms}"

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23

FF - prefs.js..extensions.enabledItems: {c2db4fe6-8409-45ce-8010-189a7b5cce86}:3.3.5.1

FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.5.1

FF - prefs.js..extensions.enabledItems: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065}:3.2.5.2

FF - prefs.js..network.proxy.type: 4

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()

FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)

 

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.18\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.06.22 21:22:03 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.18\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.06.22 21:22:03 | 000,000,000 | ---D | M]

 

[2010.02.14 13:04:29 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Extensions

[2011.07.11 21:13:40 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\extensions

[2011.06.23 22:42:10 | 000,000,000 | ---D | M] (NCH Community Toolbar) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\extensions\{c2db4fe6-8409-45ce-8010-189a7b5cce86}

[2011.07.08 19:28:36 | 000,000,000 | ---D | M] (softonic-de3 Community Toolbar) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}

[2011.06.23 22:42:08 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\extensions\engine@conduit.com

[2011.01.17 15:40:58 | 000,000,909 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\searchplugins\conduit.xml

[2011.07.11 21:13:40 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions

[2010.05.13 15:42:12 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

[2010.10.07 22:49:37 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}

[2010.12.10 19:13:19 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

[2010.12.21 10:00:06 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}

[2010.04.11 09:43:31 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF

[2010.11.12 19:53:06 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll

[2011.03.10 21:24:02 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml

[2011.03.10 21:24:02 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml

[2011.03.10 21:24:02 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml

[2011.03.10 21:24:03 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml

[2011.03.10 21:24:03 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2011.07.11 21:59:17 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Snapform Viewer PlugIn for IE) - {00AF1458-D967-4C0E-B736-D6D010521EF5} - C:\Programme\SnapFormViewer\Viewer\bin\lib\SFVPlugInIE_x86.dll (Ringler Informatik AG)

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\DLA\DLASHX_W.DLL (Sonic Solutions)

O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)

O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll (Google Inc.)

O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)

O4 - HKLM..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe (Lenovo)

O4 - HKLM..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe (Lenovo)

O4 - HKLM..\Run: [Adobe Acrobat Speed Launcher] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)

O4 - HKLM..\Run: [AwaySch] C:\Programme\Lenovo\AwayTask\AwaySch.EXE (Lenovo Group Limited)

O4 - HKLM..\Run: [BLOG] C:\Programme\ThinkPad\Utilities\BATLOGEX.DLL ()

O4 - HKLM..\Run: [BroadCam] C:\Programme\NCH Software\BroadCam\broadcam.exe (NCH Software)

O4 - HKLM..\Run: [cssauth] C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe (Lenovo Group Limited)

O4 - HKLM..\Run: [DiskeeperSystray] C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe (Diskeeper Corporation)

O4 - HKLM..\Run: [DLA] C:\WINDOWS\system32\DLA\DLACTRLW.EXE (Sonic Solutions)

O4 - HKLM..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd.exe (Hewlett-Packard)

O4 - HKLM..\Run: [HPpromo psc 2400 series] C:\Programme\HP\Digital Imaging\Promotions\HPpromo.exe (hp)

O4 - HKLM..\Run: [ISUSPM Startup] c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation)

O4 - HKLM..\Run: [ISUSScheduler] c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation)

O4 - HKLM..\Run: [PDService.exe] C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe (Utimaco Safeware AG)

O4 - HKLM..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe (Google Inc.)

O4 - HKLM..\Run: [PWRMGRTR] C:\Programme\ThinkPad\Utilities\PWRMGRTR.DLL (Lenovo Group Limited)

O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

O4 - HKLM..\Run: [suScheduler] C:\Programme\ThinkVantage\SystemUpdate\UCLauncher.exe ()

O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)

O4 - HKLM..\Run: [TP4EX] C:\WINDOWS\System32\TP4EX.exe (Lenovo Group Limited)

O4 - HKLM..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe (Lenovo)

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe (Corel Corporation)

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{176130BC-99A1-41FE-A78B-56045E33AD70}\Icon3E5562ED7.ico ()

O4 - Startup: C:\Dokumente und Einstellungen\sephen\Startmenü\Programme\Autostart\Persbackup.lnk = C:\Programme\Personal Backup 5\Persbackup.exe (J. Rathlev, IEAP, Uni-Kiel)

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O8 - Extra context menu item: Append Link Target to Existing PDF - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O8 - Extra context menu item: Append to Existing PDF - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O8 - Extra context menu item: Convert Link Target to Adobe PDF - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O8 - Extra context menu item: Convert to Adobe PDF - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm ()

O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)

O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)

O9 - Extra Button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe ()

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189769570031 (WUWebControl Class)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)

O16 - DPF: {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/1.4.2/jinstall-142-win.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: GinaDLL - (vrlogon.dll) - C:\WINDOWS\System32\vrlogon.dll (UPEK Inc.)

O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)

O20 - Winlogon\Notify\AwayNotify: DllName - C:\Programme\Lenovo\AwayTask\AwayNotify.dll - C:\Programme\Lenovo\AwayTask\AwayNotify.dll (Lenovo Group Limited)

O20 - Winlogon\Notify\psfus: DllName - psqlpwd.dll - C:\WINDOWS\System32\psqlpwd.dll (UPEK Inc.)

O20 - Winlogon\Notify\tpfnf2: DllName - notifyf2.dll - C:\WINDOWS\System32\notifyf2.dll ()

O20 - Winlogon\Notify\tphotkey: DllName - tphklock.dll - C:\WINDOWS\System32\tphklock.dll ()

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp

O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2007.04.27 02:32:27 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O32 - AutoRun File - [2009.01.16 03:00:00 | 000,000,027 | R--- | M] () - D:\Autorun.inf -- [ CDFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = ComFile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2011.07.11 21:45:04 | 000,000,000 | RHSD | C] -- C:\cmdcons

[2011.07.11 21:29:18 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe

[2011.07.11 21:29:18 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe

[2011.07.11 21:29:18 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe

[2011.07.11 21:29:18 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe

[2011.07.11 21:29:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT

[2011.07.11 21:14:29 | 000,000,000 | ---D | C] -- C:\Qoobox

[2011.07.11 20:57:20 | 000,026,872 | ---- | C] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\FixTDSS.sys

[2011.07.11 20:57:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\FixTDSS

[2011.07.11 20:54:25 | 004,148,094 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\sephen\Desktop\ComboFix.exe

[2011.07.11 20:54:25 | 001,932,256 | ---- | C] (Symantec Corporation) -- C:\Dokumente und Einstellungen\sephen\Desktop\FixTDSS.exe

[2011.07.11 10:35:02 | 001,458,992 | ---- | C] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\sephen\Desktop\tdsskiller.exe

[2011.07.10 17:08:51 | 000,579,584 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\sephen\Desktop\OTL.exe

[2011.07.10 11:32:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Malwarebytes

[2011.07.10 11:31:49 | 000,039,984 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2011.07.10 11:31:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware

[2011.07.10 11:31:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

[2011.07.10 11:31:41 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2011.07.10 11:31:40 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware

[2011.07.10 11:25:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Desktop\Trojaner-Krieg

[2011.07.10 10:52:46 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\sephen\Recent

[2011.07.08 18:07:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Startmenü\Programme\Windows XP Fix

[2011.07.08 08:53:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype

[2011.06.30 14:41:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Desktop\Spin Glass

[2011.06.20 19:17:18 | 000,404,640 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl

[2011.06.15 21:58:29 | 000,105,472 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mup.sys

[9 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[8 C:\Dokumente und Einstellungen\sephen\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\sephen\Desktop\*.tmp -> ]

[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2011.07.12 09:43:32 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\broadcamShakeIcon.job

[2011.07.12 09:24:13 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2011.07.12 09:23:50 | 000,002,423 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk

[2011.07.12 09:23:36 | 000,000,316 | ---- | M] () -- C:\WINDOWS\tasks\PMTask.job

[2011.07.12 09:23:26 | 000,008,880 | ---- | M] () -- C:\WINDOWS\System32\PROCDB.INI

[2011.07.12 09:23:12 | 000,002,278 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2011.07.12 09:23:08 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2011.07.12 09:22:20 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2011.07.12 09:22:18 | 1608,941,568 | -HS- | M] () -- C:\hiberfil.sys

[2011.07.11 21:59:17 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts

[2011.07.11 21:45:11 | 000,000,310 | RHS- | M] () -- C:\BOOT.INI

[2011.07.11 20:57:20 | 000,026,872 | ---- | M] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\FixTDSS.sys

[2011.07.11 20:53:06 | 004,148,094 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\sephen\Desktop\ComboFix.exe

[2011.07.11 20:51:12 | 001,932,256 | ---- | M] (Symantec Corporation) -- C:\Dokumente und Einstellungen\sephen\Desktop\FixTDSS.exe

[2011.07.11 12:18:10 | 000,000,410 | ---- | M] () -- C:\WINDOWS\tasks\Personal Backup Test1.job

[2011.07.11 10:34:14 | 001,458,992 | ---- | M] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\sephen\Desktop\tdsskiller.exe

[2011.07.10 16:16:42 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\sephen\Desktop\OTL.exe

[2011.07.10 12:16:46 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\defogger_reenable

[2011.07.10 12:14:18 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\hdyof2xc.exe

[2011.07.10 12:08:30 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Defogger.exe

[2011.07.10 12:01:18 | 000,684,297 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\unhide.exe

[2011.07.08 18:14:56 | 000,000,040 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~17424164

[2011.06.30 23:04:05 | 000,000,716 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Skype™ Extras Manager.lnk

[2011.06.26 08:45:56 | 000,256,000 | ---- | M] () -- C:\WINDOWS\PEV.exe

[2011.06.24 11:09:22 | 000,828,165 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\e144527.pdf

[2011.06.22 23:59:34 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK

[2011.06.20 19:17:18 | 000,404,640 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl

[2011.06.13 16:32:44 | 000,179,045 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Raiffeisen_Budgetrechner_DE.pdf

[9 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[8 C:\Dokumente und Einstellungen\sephen\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\sephen\Desktop\*.tmp -> ]

[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2011.07.12 09:43:32 | 000,000,276 | ---- | C] () -- C:\WINDOWS\tasks\broadcamShakeIcon.job

[2011.07.11 21:49:59 | 000,001,583 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\McAfee Security Scan Plus.lnk

[2011.07.11 21:45:11 | 000,000,194 | ---- | C] () -- C:\Boot.bak

[2011.07.11 21:45:06 | 000,262,448 | RHS- | C] () -- C:\cmldr

[2011.07.11 21:29:18 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe

[2011.07.11 21:29:18 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe

[2011.07.11 21:29:18 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe

[2011.07.11 21:29:18 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe

[2011.07.11 21:29:18 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe

[2011.07.10 12:28:35 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\hdyof2xc.exe

[2011.07.10 12:16:46 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\defogger_reenable

[2011.07.10 12:15:51 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Defogger.exe

[2011.07.10 12:07:30 | 000,001,720 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk

[2011.07.10 12:07:30 | 000,001,699 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GameSpy Comrade.lnk

[2011.07.10 12:07:30 | 000,001,577 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk

[2011.07.10 12:07:30 | 000,001,528 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ThinkVantage Productivity Center.lnk

[2011.07.10 12:07:30 | 000,000,937 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\HP Bildergalerie.lnk

[2011.07.10 12:07:30 | 000,000,771 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\HP Director.lnk

[2011.07.10 12:07:15 | 000,002,423 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk

[2011.07.10 12:07:15 | 000,001,686 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Corel MEDIA FOLDERS INDEXER 8.LNK

[2011.07.10 12:07:15 | 000,000,662 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Movie Maker.lnk

[2011.07.10 12:07:14 | 000,002,371 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Acrobat Distiller 9.lnk

[2011.07.10 12:07:14 | 000,002,359 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Acrobat 9 Pro.lnk

[2011.07.10 12:07:14 | 000,002,043 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\IBM Java Plug-in-Systemsteuerung 1.4.2.lnk

[2011.07.10 12:07:14 | 000,001,908 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\MSN.lnk

[2011.07.10 12:07:14 | 000,001,871 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe LiveCycle Designer ES 8.2.lnk

[2011.07.10 12:07:14 | 000,001,804 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader 9.lnk

[2011.07.10 12:07:14 | 000,001,744 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Money.LNK

[2011.07.10 12:07:14 | 000,000,830 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\VideoPad Videobearbeitungs-Software.lnk

[2011.07.10 12:07:14 | 000,000,816 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\BroadCam Video Streaming Server.lnk

[2011.07.10 12:07:14 | 000,000,770 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Prism Videodatei-Konverter.lnk

[2011.07.10 12:07:14 | 000,000,717 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\I.R.I.S. OCR-Registrierung.lnk

[2011.07.10 12:07:14 | 000,000,621 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Messenger.lnk

[2011.07.10 12:07:14 | 000,000,322 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Bluetooth-Umgebung.lnk

[2011.07.10 12:01:47 | 000,684,297 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\unhide.exe

[2011.07.08 18:07:35 | 000,000,040 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~17424164

[2011.06.29 13:30:02 | 000,000,722 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Startmenü\Programme\Skype™ Extras Manager.lnk

[2011.06.29 13:30:02 | 000,000,716 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Skype™ Extras Manager.lnk

[2011.06.24 11:09:22 | 000,828,165 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\e144527.pdf

[2010.12.19 13:33:55 | 000,000,038 | ---- | C] () -- C:\WINDOWS\TETRIS.INI

[2010.12.19 13:13:08 | 000,306,688 | ---- | C] () -- C:\WINDOWS\Uninstall Spielesammlung.exe

[2010.12.19 13:13:03 | 000,000,380 | ---- | C] () -- C:\WINDOWS\Uninstall Spielesammlung.ini

[2010.06.10 18:09:43 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat

[2010.02.14 13:04:16 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat

[2009.05.10 14:42:30 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll

[2009.02.08 15:43:20 | 000,002,478 | ---- | C] () -- C:\WINDOWS\wincmd.ini

[2008.09.17 18:27:18 | 000,000,056 | ---- | C] () -- C:\WINDOWS\System32\ezsidmv.dat

[2008.08.25 14:10:54 | 000,765,952 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll

[2008.08.25 14:10:53 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll

[2008.05.11 12:12:58 | 000,068,166 | ---- | C] () -- C:\Programme\Gamesload.RPT

[2008.05.05 23:01:15 | 000,004,096 | ---- | C] () -- C:\WINDOWS\d3dx.dat

[2008.02.21 10:03:01 | 000,000,145 | ---- | C] () -- C:\WINDOWS\AVI2MPEG.ini

[2008.02.21 09:54:32 | 000,059,904 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2007.11.11 19:03:57 | 000,034,480 | ---- | C] () -- C:\WINDOWS\hpomdl03.dat

[2007.11.11 19:03:57 | 000,028,982 | ---- | C] () -- C:\WINDOWS\hpoins03.dat

[2007.07.02 19:25:18 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PowerReg.dat

[2007.05.07 21:17:54 | 000,108,032 | ---- | C] () -- C:\WINDOWS\System32\sh33w32.dll

[2007.05.07 21:17:00 | 000,039,095 | ---- | C] () -- C:\WINDOWS\iccsigs.dat

[2007.05.07 21:14:19 | 000,000,465 | ---- | C] () -- C:\WINDOWS\barcode.ini

[2007.05.07 20:32:51 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\Msvcrt10.dll

[2007.05.06 17:49:51 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI

[2007.05.03 13:15:10 | 000,000,000 | ---- | C] () -- C:\WINDOWS\vpc32.INI

[2007.04.27 02:32:17 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat

[2007.03.16 17:00:00 | 000,003,403 | ---- | C] () -- C:\WINDOWS\System32\hptcpmon.ini

[2006.11.10 11:46:36 | 000,197,680 | ---- | C] () -- C:\WINDOWS\System32\vpnapi.dll

[2006.11.10 11:46:24 | 000,193,584 | ---- | C] () -- C:\WINDOWS\System32\CSGina.dll

[2006.09.15 02:04:14 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini

[2006.09.15 02:03:47 | 000,016,384 | ---- | C] () -- C:\WINDOWS\PWMBTHLP.EXE

[2006.09.15 02:03:47 | 000,004,442 | ---- | C] () -- C:\WINDOWS\System32\drivers\TPPWRIF.SYS

[2006.09.15 02:03:31 | 000,006,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\IBMBLDID.sys

[2006.09.15 01:59:55 | 000,032,256 | ---- | C] () -- C:\WINDOWS\System32\drivers\psasrv.exe

[2006.09.15 01:53:51 | 000,000,040 | ---- | C] () -- C:\WINDOWS\System32\profile.dat

[2006.09.15 01:49:48 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll

[2006.09.15 01:49:48 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll

[2006.09.15 01:49:48 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll

[2006.09.15 01:49:48 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll

[2006.09.15 01:49:48 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll

[2006.09.15 01:49:48 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll

[2006.09.15 01:49:14 | 000,028,848 | ---- | C] () -- C:\WINDOWS\System32\drivers\USBkey.sys

[2006.09.15 01:48:42 | 000,000,148 | ---- | C] () -- C:\WINDOWS\wininit.ini

[2006.09.15 01:32:45 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\FPCALL.dll

[2006.09.15 01:31:41 | 000,009,343 | ---- | C] () -- C:\WINDOWS\System32\drivers\TDSMAPI.SYS

[2006.09.15 01:30:29 | 000,147,520 | ---- | C] () -- C:\WINDOWS\_tpiu000.exe

[2006.09.15 01:30:03 | 000,651,264 | ---- | C] () -- C:\WINDOWS\System32\libeay32.dll

[2006.09.15 01:30:03 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\ssleay32.dll

[2006.09.15 01:30:03 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\acs.exe

[2006.09.15 01:29:33 | 000,315,392 | ---- | C] () -- C:\WINDOWS\System32\AegisI5.exe

[2006.09.15 01:29:20 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\TpKmpSvc.exe

[2006.01.27 09:59:50 | 000,002,963 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI

[2006.01.20 16:05:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini

[2006.01.17 10:31:30 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\btprn2k.dll

[2005.10.17 15:22:24 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\DEVMAN.DLL

[2005.07.08 01:06:00 | 000,114,688 | ---- | C] () -- C:\WINDOWS\desktopset.exe

[2005.05.23 08:22:24 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\OEMBIOS.BIN

[2005.05.23 08:22:24 | 000,004,547 | ---- | C] () -- C:\WINDOWS\System32\OEMBIOS.DAT

[2004.08.10 13:48:32 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini

[2004.08.10 13:33:43 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat

[2004.08.10 13:23:42 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat

[2004.08.10 13:18:03 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI

[2004.08.10 13:17:14 | 000,497,048 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2003.08.11 10:44:18 | 000,565,248 | ---- | C] () -- C:\WINDOWS\System32\hpotscl.dll

[2001.11.14 12:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll

[1999.01.22 20:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL

[1980.01.01 00:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat

[1980.01.01 00:00:00 | 000,391,568 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat

[1980.01.01 00:00:00 | 000,380,684 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat

[1980.01.01 00:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat

[1980.01.01 00:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat

[1980.01.01 00:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat

[1980.01.01 00:00:00 | 000,121,995 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat

[1980.01.01 00:00:00 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\SynTPCoI.dll

[1980.01.01 00:00:00 | 000,073,782 | ---- | C] () -- C:\WINDOWS\System32\ibmpmsvc.exe

[1980.01.01 00:00:00 | 000,063,982 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat

[1980.01.01 00:00:00 | 000,053,098 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat

[1980.01.01 00:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin

[1980.01.01 00:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat

[1980.01.01 00:00:00 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\notifyf2.dll

[1980.01.01 00:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat

[1980.01.01 00:00:00 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\tphklock.dll

[1980.01.01 00:00:00 | 000,008,880 | ---- | C] () -- C:\WINDOWS\System32\PROCDB.INI

[1980.01.01 00:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat

[1980.01.01 00:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin

[1980.01.01 00:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat

[1980.01.01 00:00:00 | 000,000,487 | ---- | C] () -- C:\WINDOWS\System32\IPSCTRL.INI

 
 ========== Custom Scans ==========

 

 

 
 < MD5 for: KERNEL32.DLL  >

[2009.03.21 15:59:24 | 001,065,472 | ---- | M] (Microsoft Corporation) MD5=3EB703BFC2ED26A3D8ACB8626AB2C006 -- C:\WINDOWS\$hf_mig$\KB959426\SP3QFE\kernel32.dll

[2008.04.14 04:22:13 | 001,063,424 | ---- | M] (Microsoft Corporation) MD5=4C897C69754D88F496339B1A666907C1 -- C:\WINDOWS\$NtUninstallKB959426$\kernel32.dll

[2008.04.14 04:22:13 | 001,063,424 | ---- | M] (Microsoft Corporation) MD5=4C897C69754D88F496339B1A666907C1 -- C:\WINDOWS\ServicePackFiles\i386\kernel32.dll

[2007.04.16 18:09:38 | 001,059,840 | ---- | M] (Microsoft Corporation) MD5=5D0974BD58808FACA5D2C437B6FC8D85 -- C:\WINDOWS\$hf_mig$\KB935839\SP2QFE\kernel32.dll

[2007.04.16 17:53:05 | 001,058,304 | ---- | M] (Microsoft Corporation) MD5=8EEA8280A1E0E794EDFCCAD3721C7CAB -- C:\WINDOWS\$NtServicePackUninstall$\kernel32.dll

[2009.03.21 16:06:58 | 001,063,424 | ---- | M] (Microsoft Corporation) MD5=B055C64AABC1A3E3DE57EC8025CAD283 -- C:\WINDOWS\ERDNT\cache\kernel32.dll

[2009.03.21 16:06:58 | 001,063,424 | ---- | M] (Microsoft Corporation) MD5=B055C64AABC1A3E3DE57EC8025CAD283 -- C:\WINDOWS\system32\kernel32.dll

[2004.08.04 05:00:00 | 001,057,280 | ---- | M] (Microsoft Corporation) MD5=E6CD85D0D37416CF138F01F4BB0FC872 -- C:\WINDOWS\$NtUninstallKB935839$\kernel32.dll

 

< End of report >

--- --- ---

Schritt 4: aswMBR

Funktionierte super. Hier das log.

Code:

aswMBR version 0.9.7.705 Copyright(c) 2011 AVAST Software

Run date: 2011-07-12 10:11:45

-----------------------------

10:11:45.671    OS Version: Windows 5.1.2600 Service Pack 3

10:11:45.671    Number of processors: 2 586 0xE08

10:11:45.671    ComputerName: WEYENETH  UserName: Stephen

10:11:46.390    Initialize success

10:13:59.875    AVAST engine defs: 11071101

10:14:14.812    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0

10:14:14.828    Disk 0 Vendor: HTS54106 MB3I Size: 57231MB BusType: 3

10:14:14.843    Disk 0 MBR read successfully

10:14:14.843    Disk 0 MBR scan

10:14:14.843    Disk 0 unknown MBR code

10:14:14.843    Disk 0 scanning sectors +117210240

10:14:14.984    Disk 0 scanning C:\WINDOWS\system32\drivers

10:14:33.718    Service scanning

10:14:34.890    Disk 0 trace - called modules:

10:14:34.921    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll iaStor.sys 

10:14:34.921    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a2df968]

10:14:34.921    3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\00000094[0x8a396f18]

10:14:34.921    5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x8a40b030]

10:14:35.515    AVAST engine scan C:\WINDOWS

10:46:46.859    AVAST engine scan C:\Dokumente und Einstellungen\sephen

11:05:28.968    AVAST engine scan C:\Dokumente und Einstellungen\All Users

11:08:00.843    Scan finished successfully

11:08:51.421    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\sephen\Desktop\MBR.dat"

11:08:51.421    The log file has been saved successfully to "C:\Dokumente und Einstellungen\sephen\Desktop\aswMBR.txt"

Gruss
West79

...komischerweise hat es mir den Link zu Schritt 2 im vorhergehenden post nicht akzeptiert. Hier ist nochmals der link zum Resultat von VirusTotal:

VirusTotal - Free Online Virus, Malware and URL Scanner

Code:

hxxp://www.virustotal.com/file-scan/report.html?id=4b9333743a73d4426019bbb66fd60a55802bcdfe2cdb1d71f92f83950f103e9c-1310455599

Gruss
West79

Again... Hoffentlich nicht wieder als hxxp...

VirusTotal - Free Online Virus, Malware and URL Scanner

Code:

hxxp://www.virustotal.com/file-scan/report.html?id=4b9333743a73d4426019bbb66fd60a55802bcdfe2cdb1d71f92f83950f103e9c-1310455599

Hallo West79,

Lösche die vorhandene tdsskiller.exe von deinem Desktop, bevor du Schritt # 3 durchführst!

Schritt # 1: Scan mit MBRCheck
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes.

Schritt # 2: Rootkitscan mit Rootkit Unhooker (RKU)
Downloade Dir bitte RKUnhookerLE
und speichere die Datei auf deinem Desktop.

Trenne dich vom Internet ( Wlan nicht vergessen ), deaktiviere alle Hintergrundwächter, besonders den deiner Anti-Viren Software.
Schließe alle offenen Programme.
Starte die RKUnhookerLE.exe
Windows Vista und Windows 7 mit Rechtsklick "Als Administrator ausführen"
Klicke rechts auf Report und anschließend auf den Scan Button.
Setze ein Häkchen vor
- Drivers
- Stealth Code
- Code Hooks
Entferne alle anderen Haken.
Bestätige mit Ok.
Wenn Du gefragt wirst, welcher Bereich gescannt werden soll, gehe sicher das dein Systemlaufwerk ( meistens C: ) angehakt ist. Deaktiviere alle anderen Laufwerke. Bestätige wieder mit Ok.
Das Tool scannt nun deinen Rechner. Hab Geduld.
Wenn der Scan beendet ist, klicke auf File -> Save Report
Speichere die Datei als RKU.txt auf deinem Desktop.
Klicke auf Close und bestätige mit Ja.
Poste das Logfile mit deiner nächsten Antwort.

Hinweis: Solltest Du folgende Warnung bekommen

Zitat:

"Rootkit Unhooker has detected a parasite inside itself!
It is recommended to remove parasite, okay?"

Klicke auf OK

Schritt # 3: TDSS Killer ausführen
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.

Schließe alle laufenden Programme.
Trenne dich von Internet.
Deaktiviere deine AntiViren Software.
Starte TDSSkiller.exe mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Drücke auf Start scan.
Mache während dem Scan nichts am Rechner
1. Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
2. Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
  Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
Bitte poste mir den Inhalt hier in deinen Thread.

Schritt # 4: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

das Logfile von MBRCheck,
das Logfile von RKU und
das Logfile des TDSS Killers.

Guten Morgen

Hat alles soweit funktioniert. Hier mein Rückmeldungen:

Schritt 1: Scan mit MBRCheck

Was wirklich ein schneller scan. Hier das log.

Code:

MBRCheck, version 1.2.3

(c) 2010, AD
 

Command-line:                        

Windows Version:                Windows XP Professional

Windows Information:                Service Pack 3 (build 2600)

Logical Drives Mask:                0x0000001c
 

Kernel Drivers (total 164):

  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe

  0x806E6000 \WINDOWS\system32\hal.dll

  0xBA5A8000 \WINDOWS\system32\KDCOM.DLL

  0xBA4B8000 \WINDOWS\system32\BOOTVID.dll

  0xBA328000 FixTDSS.sys

  0xB9F78000 ACPI.sys

  0xBA5AA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS

  0xB9F67000 pci.sys

  0xBA0A8000 isapnp.sys

  0xBA4BC000 compbatt.sys

  0xBA4C0000 \WINDOWS\system32\DRIVERS\BATTC.SYS

  0xBA670000 pciide.sys

  0xBA330000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

  0xB9F49000 pcmcia.sys

  0xBA0B8000 MountMgr.sys

  0xB9F2A000 ftdisk.sys

  0xBA5AC000 dmload.sys

  0xB9F04000 dmio.sys

  0xBA338000 PartMgr.sys

  0xBA4C4000 ACPIEC.sys

  0xBA671000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS

  0xB9EEF000 Shockprf.sys

  0xBA0C8000 VolSnap.sys

  0xB9ED7000 atapi.sys

  0xB9E01000 iaStor.sys

  0xBA0D8000 disk.sys

  0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

  0xB9DE1000 fltmgr.sys

  0xB9DCF000 sr.sys

  0xB9DB9000 DRVMCDB.SYS

  0xBA340000 PxHelp20.sys

  0xB9DA2000 KSecDD.sys

  0xB9D15000 Ntfs.sys

  0xB9CE8000 NDIS.sys

  0xBA0F8000 ohci1394.sys

  0xBA108000 \WINDOWS\system32\DRIVERS\1394BUS.SYS

  0xB9CCE000 Mup.sys

  0xBA138000 \SystemRoot\system32\DRIVERS\nic1394.sys

  0xBA148000 \SystemRoot\system32\DRIVERS\intelppm.sys

  0xB90BF000 \SystemRoot\system32\DRIVERS\ati2mtag.sys

  0xB90AB000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

  0xB9083000 \SystemRoot\system32\DRIVERS\HDAudBus.sys

  0xB9060000 \SystemRoot\system32\DRIVERS\b57xp32.sys

  0xB8FED000 \SystemRoot\system32\DRIVERS\ar5211.sys

  0xBA3F0000 \SystemRoot\system32\DRIVERS\usbuhci.sys

  0xB8FC9000 \SystemRoot\system32\DRIVERS\USBPORT.SYS

  0xBA3F8000 \SystemRoot\system32\DRIVERS\usbehci.sys

  0xBA158000 \SystemRoot\system32\DRIVERS\i8042prt.sys

  0xBA400000 \SystemRoot\system32\DRIVERS\kbdclass.sys

  0xB8F9D000 \SystemRoot\system32\DRIVERS\SynTP.sys

  0xBA602000 \SystemRoot\system32\DRIVERS\USBD.SYS

  0xBA408000 \SystemRoot\system32\DRIVERS\mouclass.sys

  0xBA410000 \SystemRoot\system32\DRIVERS\atmeltpm.sys

  0xB9C31000 \SystemRoot\system32\DRIVERS\CmBatt.sys

  0xB9C2D000 \SystemRoot\system32\DRIVERS\ibmpmdrv.sys

  0xBA168000 \SystemRoot\system32\DRIVERS\imapi.sys

  0xBA178000 \SystemRoot\System32\Drivers\AFS2K.SYS

  0xBA418000 \SystemRoot\system32\drivers\iviaspi.sys

  0xBA604000 \SystemRoot\System32\Drivers\DLACDBHM.SYS

  0xBA188000 \SystemRoot\system32\DRIVERS\cdrom.sys

  0xBA198000 \SystemRoot\system32\DRIVERS\redbook.sys

  0xB8F7A000 \SystemRoot\system32\DRIVERS\ks.sys

  0xB8EAE000 \SystemRoot\system32\DRIVERS\btkrnl.sys

  0xB8E90000 \SystemRoot\system32\DRIVERS\dne2000.sys

  0xBA7B3000 \SystemRoot\system32\DRIVERS\audstub.sys

  0xB92CD000 \SystemRoot\system32\DRIVERS\rasl2tp.sys

  0xB9C21000 \SystemRoot\system32\DRIVERS\ndistapi.sys

  0xB8E79000 \SystemRoot\system32\DRIVERS\ndiswan.sys

  0xB92BD000 \SystemRoot\system32\DRIVERS\raspppoe.sys

  0xB92AD000 \SystemRoot\system32\DRIVERS\raspptp.sys

  0xBA420000 \SystemRoot\system32\DRIVERS\TDI.SYS

  0xB8E68000 \SystemRoot\system32\DRIVERS\psched.sys

  0xB929D000 \SystemRoot\system32\DRIVERS\msgpc.sys

  0xBA428000 \SystemRoot\system32\DRIVERS\ptilink.sys

  0xBA430000 \SystemRoot\system32\DRIVERS\raspti.sys

  0xB8E38000 \SystemRoot\system32\DRIVERS\rdpdr.sys

  0xB928D000 \SystemRoot\system32\DRIVERS\termdd.sys

  0xBA608000 \SystemRoot\system32\DRIVERS\swenum.sys

  0xB8DDA000 \SystemRoot\system32\DRIVERS\update.sys

  0xB96E5000 \SystemRoot\system32\DRIVERS\mssmbios.sys

  0xB926D000 \SystemRoot\System32\Drivers\NDProxy.SYS

  0xB4D63000 \SystemRoot\system32\drivers\ADIHdAud.sys

  0xB4D3F000 \SystemRoot\system32\drivers\portcls.sys

  0xB923D000 \SystemRoot\system32\drivers\drmk.sys

  0xB4D19000 \SystemRoot\system32\drivers\AEAudio.sys

  0xB4CDF000 \SystemRoot\system32\DRIVERS\hsxhwazl.sys

  0xB4BE8000 \SystemRoot\system32\DRIVERS\hsx_dpv.sys

  0xB4B32000 \SystemRoot\system32\DRIVERS\hsx_cnxt.sys

  0xBA438000 \SystemRoot\System32\Drivers\Modem.SYS

  0xB33DA000 \SystemRoot\system32\DRIVERS\usbhub.sys

  0xB4156000 \SystemRoot\System32\Drivers\i2omgmt.SYS

  0xBA5B2000 \SystemRoot\System32\Drivers\Fs_Rec.SYS

  0xB2D6F000 \SystemRoot\System32\Drivers\Null.SYS

  0xBA5B4000 \SystemRoot\System32\Drivers\Beep.SYS

  0xB31FB000 \SystemRoot\System32\Drivers\DLARTL_N.SYS

  0xB31F3000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

  0xB31EB000 \SystemRoot\System32\drivers\vga.sys

  0xBA5B6000 \SystemRoot\System32\Drivers\mnmdd.SYS

  0xBA5B8000 \SystemRoot\System32\DRIVERS\RDPCDD.sys

  0xB31E3000 \SystemRoot\System32\Drivers\Msfs.SYS

  0xB31DB000 \SystemRoot\System32\Drivers\Npfs.SYS

  0xB414A000 \SystemRoot\system32\DRIVERS\rasacd.sys

  0xB1E44000 \SystemRoot\system32\DRIVERS\ipsec.sys

  0xB1DEB000 \SystemRoot\system32\DRIVERS\tcpip.sys

  0xB1D9B000 \SystemRoot\system32\DRIVERS\netbt.sys

  0xB1D75000 \SystemRoot\system32\DRIVERS\ipnat.sys

  0xB1D53000 \SystemRoot\System32\drivers\afd.sys

  0xB33CA000 \SystemRoot\system32\DRIVERS\netbios.sys

  0xB31D3000 \SystemRoot\System32\drivers\TSMAPIP.SYS

  0xB31CB000 \SystemRoot\System32\drivers\Tppwrif.sys

  0xB31C3000 \SystemRoot\System32\Drivers\TPHKDRV.SYS

  0xB31BB000 \SystemRoot\System32\drivers\TDSMAPI.SYS

  0xB2D64000 \SystemRoot\System32\drivers\Smapint.sys

  0xBA5BA000 \SystemRoot\System32\Drivers\ShockMgr.SYS

  0xB1D08000 \SystemRoot\system32\DRIVERS\rdbss.sys

  0xB1C98000 \SystemRoot\system32\DRIVERS\mrxsmb.sys

  0xBA5BC000 \??\C:\WINDOWS\system32\Drivers\IBMBLDID.sys

  0xB339A000 \SystemRoot\System32\Drivers\Fips.SYS

  0xB338A000 \SystemRoot\system32\DRIVERS\wanarp.sys

  0xB337A000 \SystemRoot\system32\DRIVERS\arp1394.sys

  0xB2D5C000 \SystemRoot\System32\Drivers\tcusb.sys

  0xB366A000 \SystemRoot\System32\drivers\ANC.SYS

  0xAA9C9000 \SystemRoot\System32\Drivers\Cdfs.SYS

  0xA9B98000 \SystemRoot\System32\Drivers\dump_iaStor.sys

  0xBF800000 \SystemRoot\System32\win32k.sys

  0xAA803000 \SystemRoot\System32\drivers\Dxapi.sys

  0xAA6AC000 \SystemRoot\System32\watchdog.sys

  0xBF000000 \SystemRoot\System32\drivers\dxg.sys

  0xAEADC000 \SystemRoot\System32\drivers\dxgthk.sys

  0xBF012000 \SystemRoot\System32\ati2dvag.dll

  0xBF054000 \SystemRoot\System32\ati2cqag.dll

  0xBF093000 \SystemRoot\System32\atikvmag.dll

  0xBF0C9000 \SystemRoot\System32\ati3duag.dll

  0xBF34D000 \SystemRoot\System32\ativvaxx.dll

  0xB2AB6000 \SystemRoot\System32\Drivers\DRVNDDM.SYS

  0xBA736000 \SystemRoot\System32\DLA\DLADResN.SYS

  0xA7B82000 \SystemRoot\System32\DLA\DLAIFS_M.SYS

  0xAF16D000 \SystemRoot\System32\DLA\DLAOPIOM.SYS

  0xAA067000 \SystemRoot\System32\DLA\DLAPoolM.SYS

  0xBA737000 \??\C:\Programme\ThinkVantage Fingerprint Software\smihlp.sys

  0xB1EA3000 \SystemRoot\System32\DLA\DLABOIOM.SYS

  0xA7B6B000 \SystemRoot\System32\DLA\DLAUDFAM.SYS

  0xA7B55000 \SystemRoot\System32\DLA\DLAUDF_M.SYS

  0xB3203000 \SystemRoot\system32\DRIVERS\AegisP.sys

  0xB294F000 \SystemRoot\system32\DRIVERS\ndisuio.sys

  0xA7B00000 \SystemRoot\system32\DRIVERS\mrxdav.sys

  0xB1BB5000 \SystemRoot\system32\DRIVERS\PROCDD.SYS

  0xA7A9B000 \SystemRoot\system32\drivers\wdmaud.sys

  0xB1C18000 \SystemRoot\system32\drivers\sysaudio.sys

  0xA7995000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys

  0xBA632000 \??\C:\WINDOWS\SYSTEM32\EGATHDRV.SYS

  0xA792C000 \SystemRoot\System32\Drivers\HTTP.sys

  0xA7ADC000 \??\C:\WINDOWS\system32\drivers\ibmfilter.sys

  0xA797D000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys

  0xA785C000 \SystemRoot\system32\DRIVERS\srv.sys

  0xBA656000 \??\C:\WINDOWS\System32\drivers\pmemnt.sys

  0xB4A16000 \??\C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\PrivateDiskM.sys

  0xB1F2B000 \SystemRoot\system32\DRIVERS\secdrv.sys

  0xBA740000 \??\C:\Programme\SMI2\smi2.sys

  0xBA758000 \??\C:\WINDOWS\system32\SVKP.sys

  0xA645B000 \SystemRoot\system32\drivers\kmixer.sys

  0xAAABB000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS

  0xA6437000 \SystemRoot\System32\Drivers\Fastfat.SYS

  0x7C910000 \WINDOWS\system32\ntdll.dll
 

Processes (total 78):

       0 System Idle Process

       4 System

    1084 C:\WINDOWS\system32\smss.exe

    1136 csrss.exe

    1168 C:\WINDOWS\system32\winlogon.exe

    1212 C:\WINDOWS\system32\services.exe

    1224 C:\WINDOWS\system32\lsass.exe

    1400 C:\WINDOWS\system32\ibmpmsvc.exe

    1428 C:\WINDOWS\system32\ati2evxx.exe

    1444 C:\WINDOWS\system32\svchost.exe

    1528 svchost.exe

    1568 C:\WINDOWS\system32\svchost.exe

    1728 svchost.exe

    1760 svchost.exe

     164 C:\WINDOWS\system32\spoolsv.exe

     348 svchost.exe

     376 C:\WINDOWS\system32\IPSSVC.EXE

     388 C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe

     456 C:\Programme\NCH Software\BroadCam\broadcam.exe

     592 C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe

     612 C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

     640 C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe

     764 C:\WINDOWS\system32\svchost.exe

     824 C:\Programme\Java\jre6\bin\jqs.exe

     924 C:\WINDOWS\system32\svchost.exe

     980 C:\WINDOWS\system32\svchost.exe

    1052 C:\WINDOWS\system32\svchost.exe

    1076 C:\WINDOWS\system32\TPHDEXLG.exe

    1480 C:\WINDOWS\system32\TpKmpSvc.exe

    1660 ibmtcsd.exe

    1688 C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe

    1612 C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe

    1796 C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe

    1912 C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe

    2136 wmpnetwk.exe

    2340 C:\Programme\IBM ThinkVantage\Common\Logger\logmon.exe

    2428 C:\WINDOWS\system32\wbem\wmiapsrv.exe

    2524 alg.exe

    3248 C:\WINDOWS\system32\acs.exe

    3876 C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe

    3440 C:\WINDOWS\system32\ati2evxx.exe

    3656 C:\WINDOWS\system32\wscntfy.exe

    3692 C:\WINDOWS\explorer.exe

     508 C:\Programme\Synaptics\SynTP\SynTPLpr.exe

    1068 C:\Programme\Synaptics\SynTP\SynTPEnh.exe

    1640 C:\WINDOWS\system32\TpShocks.exe

     664 C:\PROGRA~1\ThinkPad\UTILIT~1\EZEJMNAP.EXE

    2804 C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe

    2856 C:\Programme\Analog Devices\Core\smax4pnp.exe

    2876 C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe

    2472 C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe

    2900 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe

     292 C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.EXE

    3740 C:\PROGRA~1\THINKV~2\AMSG\AMSG.EXE

     300 C:\WINDOWS\system32\DLA\DLACTRLW.EXE

     884 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

    1440 C:\Programme\Lenovo\AwayTask\AwaySch.EXE

    3008 C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe

    2880 C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe

     500 C:\Programme\Picasa2\PicasaMediaDetector.exe

    3340 C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe

    3188 C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe

    1284 C:\WINDOWS\system32\rundll32.exe

    4024 C:\Programme\HP\HP Software Update\hpwuSchd.exe

    4080 C:\Programme\HP\Digital Imaging\Promotions\HPpromo.exe

    2976 C:\Programme\Adobe\Acrobat 9.0\Acrobat\acrotray.exe

    3032 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

    3388 C:\Programme\NCH Software\BroadCam\broadcam.exe

    3024 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

    3820 C:\Programme\Windows Media Player\wmpnscfg.exe

     528 C:\Programme\Skype\Phone\Skype.exe

    3420 C:\WINDOWS\system32\ctfmon.exe

    3376 C:\Corel\Graphics8\Programs\MFIndexer.exe

    3492 C:\Programme\Personal Backup 5\Persbackup.exe

    1616 C:\WINDOWS\system32\wuauclt.exe

    5584 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe

    2424 C:\WINDOWS\system32\wuauclt.exe

    1632 C:\Dokumente und Einstellungen\sephen\Desktop\MBRCheck.exe
 

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
 

PhysicalDrive0 Model Number: HTS541060G9SA00, Rev: MB3IC60H
 

      Size  Device Name          MBR Status

  --------------------------------------------

     55 GB  \\.\PhysicalDrive0   Unknown MBR code

            SHA1: 38BE7869FCCF026F920DA4A541B12E68993C36ED
 
 

Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit: 
 

Done!

Schritt 2: Rootkitscan mit Rootkit Unhooker (RKU).

Ging eigentlich auch ganz flott. Eine Warnung ist keine aufgepoppt. Hier das log:

Code:

RkU Version: 3.8.389.593, Type LE (SR2)

==============================================

OS Name: Windows XP

Version 5.1.2600 (Service Pack 3)

Number of processors #2

==============================================

>Drivers

==============================================

0xBF0C9000 C:\WINDOWS\System32\ati3duag.dll 2637824 bytes (ATI Technologies Inc. , ati3duag.dll)

0x804D7000 C:\WINDOWS\system32\ntkrnlpa.exe 2158592 bytes (Microsoft Corporation, NT-Kernel und -System)

0x804D7000 PnpManager 2158592 bytes

0x804D7000 RAW 2158592 bytes

0x804D7000 WMIxWDM 2158592 bytes

0xBF800000 Win32k 1859584 bytes

0xBF800000 C:\WINDOWS\System32\win32k.sys 1859584 bytes (Microsoft Corporation, Mehrbenutzer-Win32-Treiber)

0xB90BF000 C:\WINDOWS\system32\DRIVERS\ati2mtag.sys 1564672 bytes (ATI Technologies Inc., ATI Radeon WindowsNT Miniport Driver)

0xB4BE8000 C:\WINDOWS\system32\DRIVERS\hsx_dpv.sys 1011712 bytes (Conexant Systems, Inc., HSF_DP driver)

0xA9B98000 C:\WINDOWS\System32\Drivers\dump_iaStor.sys 876544 bytes

0xB9E01000 iaStor.sys 876544 bytes (Intel Corporation, Intel Matrix Storage Manager driver)

0xBF34D000 C:\WINDOWS\System32\ativvaxx.dll 864256 bytes (ATI Technologies Inc. , Radeon Video Acceleration Universal Driver)

0xB8EAE000 C:\WINDOWS\system32\DRIVERS\btkrnl.sys 835584 bytes (Broadcom Corporation., Bluetooth Bus Enumerator)

0xB4B32000 C:\WINDOWS\system32\DRIVERS\hsx_cnxt.sys 745472 bytes (Conexant Systems, Inc., HSF_CNXT driver)

0xA7995000 C:\WINDOWS\system32\Drivers\CVPNDRVA.sys 589824 bytes (Cisco Systems, Inc., Cisco Systems VPN Client IPSec Driver)

0xB9D15000 Ntfs.sys 577536 bytes (Microsoft Corporation, NT File System Driver)

0xB8FED000 C:\WINDOWS\system32\DRIVERS\ar5211.sys 471040 bytes (Atheros Communications, Inc., Driver for Atheros AR5001 Wireless Network Adapter)

0xB1C98000 C:\WINDOWS\system32\DRIVERS\mrxsmb.sys 458752 bytes (Microsoft Corporation, Windows NT SMB Minirdr)

0xB8DDA000 C:\WINDOWS\system32\DRIVERS\update.sys 385024 bytes (Microsoft Corporation, Update Driver)

0xB1DEB000 C:\WINDOWS\system32\DRIVERS\tcpip.sys 364544 bytes (Microsoft Corporation, TCP/IP Protocol Driver)

0xA785C000 C:\WINDOWS\system32\DRIVERS\srv.sys 360448 bytes (Microsoft Corporation, Server driver)

0xBF012000 C:\WINDOWS\System32\ati2dvag.dll 270336 bytes (ATI Technologies Inc., ATI Radeon WindowsNT Display Driver)

0xA792C000 C:\WINDOWS\System32\Drivers\HTTP.sys 266240 bytes (Microsoft Corporation, HTTP Protocol Stack)

0xBF054000 C:\WINDOWS\System32\ati2cqag.dll 258048 bytes (ATI Technologies Inc., Central Memory Manager / Queue Server Module)

0xB4CDF000 C:\WINDOWS\system32\DRIVERS\hsxhwazl.sys 237568 bytes (Conexant Systems, Inc., HSF_HWAZL WDM driver)

0xBF093000 C:\WINDOWS\System32\atikvmag.dll 221184 bytes (ATI Technologies Inc., Virtual Command And Memory Manager)

0xB8E38000 C:\WINDOWS\system32\DRIVERS\rdpdr.sys 196608 bytes (Microsoft Corporation, Microsoft RDP Device redirector)

0xB9F78000 ACPI.sys 192512 bytes (Microsoft Corporation, ACPI-Treiber für NT)

0xB4D63000 C:\WINDOWS\system32\drivers\ADIHdAud.sys 192512 bytes (Analog Devices, Inc., High Definition Audio Function Driver(Release Candidate 1))

0xA7B00000 C:\WINDOWS\system32\DRIVERS\mrxdav.sys 184320 bytes (Microsoft Corporation, Windows NT WebDav Minirdr)

0xB9CE8000 NDIS.sys 184320 bytes (Microsoft Corporation, NDIS 5.1 wrapper driver)

0xB8F9D000 C:\WINDOWS\system32\DRIVERS\SynTP.sys 180224 bytes (Synaptics, Inc., Synaptics Touchpad Driver)

0xA645B000 C:\WINDOWS\system32\drivers\kmixer.sys 176128 bytes (Microsoft Corporation, Kernel Mode Audio Mixer)

0xB1D08000 C:\WINDOWS\system32\DRIVERS\rdbss.sys 176128 bytes (Microsoft Corporation, Redirected Drive Buffering SubSystem Driver)

0xB9083000 C:\WINDOWS\system32\DRIVERS\HDAudBus.sys 163840 bytes (Windows (R) Server 2003 DDK provider, High Definition Audio Bus Driver v1.0a)

0xB1D9B000 C:\WINDOWS\system32\DRIVERS\netbt.sys 163840 bytes (Microsoft Corporation, MBT Transport driver)

0xB4D19000 C:\WINDOWS\system32\drivers\AEAudio.sys 155648 bytes (Andrea Electronics Corporation, Audio Noise Filtering Driver)

0xB9F04000 dmio.sys 155648 bytes (Microsoft Corp., Veritas Software, E/A-Treiber für NT Datenträgerverwaltung)

0xB1D75000 C:\WINDOWS\system32\DRIVERS\ipnat.sys 155648 bytes (Microsoft Corporation, IP Network Address Translator)

0xA6437000 C:\WINDOWS\System32\Drivers\Fastfat.SYS 147456 bytes (Microsoft Corporation, Fast FAT File System Driver)

0xB4D3F000 C:\WINDOWS\system32\drivers\portcls.sys 147456 bytes (Microsoft Corporation, Port Class (Class Driver for Port/Miniport Devices))

0xB8FC9000 C:\WINDOWS\system32\DRIVERS\USBPORT.SYS 147456 bytes (Microsoft Corporation, USB 1.1 & 2.0 Port Driver)

0xB9060000 C:\WINDOWS\system32\DRIVERS\b57xp32.sys 143360 bytes (Broadcom Corporation, Broadcom NetXtreme Gigabit Ethernet NDIS5.1 Driver.)

0xB8F7A000 C:\WINDOWS\system32\DRIVERS\ks.sys 143360 bytes (Microsoft Corporation, Kernel CSA Library)

0xB1D53000 C:\WINDOWS\System32\drivers\afd.sys 139264 bytes (Microsoft Corporation, Ancillary Function Driver for WinSock)

0x806E6000 ACPI_HAL 134400 bytes

0x806E6000 C:\WINDOWS\system32\hal.dll 134400 bytes (Microsoft Corporation, Hardware Abstraction Layer DLL)

0xB9DE1000 fltmgr.sys 131072 bytes (Microsoft Corporation, Microsoft Filesystem Filter Manager)

0xB9F2A000 ftdisk.sys 126976 bytes (Microsoft Corporation, FT-Datenträgertreiber)

0xB8E90000 C:\WINDOWS\system32\DRIVERS\dne2000.sys 122880 bytes (Deterministic Networks, Inc., Deterministic Network Enhancer)

0xB9F49000 pcmcia.sys 122880 bytes (Microsoft Corporation, PCMCIA-Treiber)

0xB9CCE000 Mup.sys 106496 bytes (Microsoft Corporation, Multiple UNC Provider driver)

0xB9ED7000 atapi.sys 98304 bytes (Microsoft Corporation, IDE/ATAPI Port Driver)

0xA7B6B000 C:\WINDOWS\System32\DLA\DLAUDFAM.SYS 94208 bytes (Sonic Solutions, Drive Letter Access Component)

0xB9DA2000 KSecDD.sys 94208 bytes (Microsoft Corporation, Kernel Security Support Provider Interface)

0xB8E79000 C:\WINDOWS\system32\DRIVERS\ndiswan.sys 94208 bytes (Microsoft Corporation, MS PPP Framing Driver (Strong Encryption))

0xA7B82000 C:\WINDOWS\System32\DLA\DLAIFS_M.SYS 90112 bytes (Sonic Solutions, Drive Letter Access Component)

0xA7B55000 C:\WINDOWS\System32\DLA\DLAUDF_M.SYS 90112 bytes (Sonic Solutions, Drive Letter Access Component)

0xB9DB9000 DRVMCDB.SYS 90112 bytes (Sonic Solutions, Device Driver)

0xB9EEF000 Shockprf.sys 86016 bytes (Lenovo, Shockproof Disk Driver)

0xA7A9B000 C:\WINDOWS\system32\drivers\wdmaud.sys 86016 bytes (Microsoft Corporation, MMSYSTEM Wave/Midi API mapper)

0xB90AB000 C:\WINDOWS\system32\DRIVERS\VIDEOPRT.SYS 81920 bytes (Microsoft Corporation, Video Port Driver)

0xB1E44000 C:\WINDOWS\system32\DRIVERS\ipsec.sys 77824 bytes (Microsoft Corporation, IPSec Driver)

0xBF000000 C:\WINDOWS\System32\drivers\dxg.sys 73728 bytes (Microsoft Corporation, DirectX Graphics Driver)

0xB9DCF000 sr.sys 73728 bytes (Microsoft Corporation, Dateisystemfilter-Treiber der Systemwiederherstellung)

0xB9F67000 pci.sys 69632 bytes (Microsoft Corporation, NT-Plug & Play PCI-Enumerator)

0xB8E68000 C:\WINDOWS\system32\DRIVERS\psched.sys 69632 bytes (Microsoft Corporation, MS QoS Packet Scheduler)

0xAA9C9000 C:\WINDOWS\System32\Drivers\Cdfs.SYS 65536 bytes (Microsoft Corporation, CD-ROM File System Driver)

0xBA188000 C:\WINDOWS\system32\DRIVERS\cdrom.sys 65536 bytes (Microsoft Corporation, SCSI CD-ROM Driver)

0xBA138000 C:\WINDOWS\system32\DRIVERS\nic1394.sys 65536 bytes (Microsoft Corporation, IEEE1394 Ndis Miniport and Call Manager)

0xBA0F8000 ohci1394.sys 65536 bytes (Microsoft Corporation, 1394 OpenHCI Port Driver)

0xB337A000 C:\WINDOWS\system32\DRIVERS\arp1394.sys 61440 bytes (Microsoft Corporation, IP/1394 Arp Client)

0xB923D000 C:\WINDOWS\system32\drivers\drmk.sys 61440 bytes (Microsoft Corporation, Microsoft Kernel DRM Descrambler Filter)

0xBA198000 C:\WINDOWS\system32\DRIVERS\redbook.sys 61440 bytes (Microsoft Corporation, Redbook-Audiofiltertreiber)

0xB1C18000 C:\WINDOWS\system32\drivers\sysaudio.sys 61440 bytes (Microsoft Corporation, System Audio WDM Filter)

0xB33DA000 C:\WINDOWS\system32\DRIVERS\usbhub.sys 61440 bytes (Microsoft Corporation, Default Hub Driver for USB)

0xBA108000 C:\WINDOWS\system32\DRIVERS\1394BUS.SYS 57344 bytes (Microsoft Corporation, 1394 Bus Device Driver)

0xBA0C8000 VolSnap.sys 57344 bytes (Microsoft Corporation, Volumeschattenkopie-Treiber)

0xBA0E8000 C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS 53248 bytes (Microsoft Corporation, SCSI Class System Dll)

0xBA158000 C:\WINDOWS\system32\DRIVERS\i8042prt.sys 53248 bytes (Microsoft Corporation, i8042-Anschlusstreiber)

0xB92CD000 C:\WINDOWS\system32\DRIVERS\rasl2tp.sys 53248 bytes (Microsoft Corporation, RAS L2TP mini-port/call-manager driver)

0xB4A16000 C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\PrivateDiskM.sys 49152 bytes (Utimaco Safeware AG, SafeGuard® PrivateDisk Driver)

0xB92AD000 C:\WINDOWS\system32\DRIVERS\raspptp.sys 49152 bytes (Microsoft Corporation, Peer-to-Peer Tunneling Protocol)

0xB339A000 C:\WINDOWS\System32\Drivers\Fips.SYS 45056 bytes (Microsoft Corporation, FIPS-Verschlüsselungstreiber)

0xBA168000 C:\WINDOWS\system32\DRIVERS\imapi.sys 45056 bytes (Microsoft Corporation, IMAPI Kernel Driver)

0xBA0B8000 MountMgr.sys 45056 bytes (Microsoft Corporation, Mount Manager)

0xB92BD000 C:\WINDOWS\system32\DRIVERS\raspppoe.sys 45056 bytes (Microsoft Corporation, RAS PPPoE mini-port/call-manager driver)

0xBA178000 C:\WINDOWS\System32\Drivers\AFS2K.SYS 40960 bytes (Oak Technology Inc., Audio File System)

0xB2AB6000 C:\WINDOWS\System32\Drivers\DRVNDDM.SYS 40960 bytes (Sonic Solutions, Device Driver Manager)

0xBA148000 C:\WINDOWS\system32\DRIVERS\intelppm.sys 40960 bytes (Microsoft Corporation, Prozessorgerätetreiber)

0xBA0A8000 isapnp.sys 40960 bytes (Microsoft Corporation, PNP-ISA-Bustreiber)

0xB926D000 C:\WINDOWS\System32\Drivers\NDProxy.SYS 40960 bytes (Microsoft Corporation, NDIS Proxy)

0xB1F2B000 C:\WINDOWS\system32\DRIVERS\secdrv.sys 40960 bytes (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K., Macrovision SECURITY Driver)

0xB928D000 C:\WINDOWS\system32\DRIVERS\termdd.sys 40960 bytes (Microsoft Corporation, Terminal Server Driver)

0xA6C51000 C:\WINDOWS\System32\Drivers\BlackBox.SYS 36864 bytes (RKU Driver)

0xBA0D8000 disk.sys 36864 bytes (Microsoft Corporation, PnP Disk Driver)

0xB929D000 C:\WINDOWS\system32\DRIVERS\msgpc.sys 36864 bytes (Microsoft Corporation, MS General Packet Classifier)

0xB33CA000 C:\WINDOWS\system32\DRIVERS\netbios.sys 36864 bytes (Microsoft Corporation, NetBIOS interface driver)

0xB338A000 C:\WINDOWS\system32\DRIVERS\wanarp.sys 36864 bytes (Microsoft Corporation, MS Remote Access and Routing ARP Driver)

0xBA410000 C:\WINDOWS\system32\DRIVERS\atmeltpm.sys 32768 bytes (Atmel, Inc., Atmel TPM Driver)

0xBA438000 C:\WINDOWS\System32\Drivers\Modem.SYS 32768 bytes (Microsoft Corporation, Modemgerätetreiber)

0xB31DB000 C:\WINDOWS\System32\Drivers\Npfs.SYS 32768 bytes (Microsoft Corporation, NPFS Driver)

0xB2D64000 C:\WINDOWS\System32\drivers\Smapint.sys 32768 bytes (Microsoft Corporation, SMAPI I/O)

0xB2D5C000 C:\WINDOWS\System32\Drivers\tcusb.sys 32768 bytes (UPEK Inc., TouchChip USB Kernel Driver)

0xBA3F8000 C:\WINDOWS\system32\DRIVERS\usbehci.sys 32768 bytes (Microsoft Corporation, EHCI eUSB Miniport Driver)

0xB1EA3000 C:\WINDOWS\System32\DLA\DLABOIOM.SYS 28672 bytes (Sonic Solutions, Drive Letter Access Component)

0xB31F3000 C:\WINDOWS\system32\DRIVERS\HIDPARSE.SYS 28672 bytes (Microsoft Corporation, Hid Parsing Library)

0xBA400000 C:\WINDOWS\system32\DRIVERS\kbdclass.sys 28672 bytes (Microsoft Corporation, Tastaturklassentreiber)

0xBA330000 C:\WINDOWS\system32\DRIVERS\PCIIDEX.SYS 28672 bytes (Microsoft Corporation, PCI IDE Bus Driver Extension)

0xB1BB5000 C:\WINDOWS\system32\DRIVERS\PROCDD.SYS 28672 bytes (Lenovo Group Limited, IPS Helper Driver)

0xAAABB000 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS 28672 bytes (Microsoft Corporation, USB Mass Storage Class Driver)

0xB31FB000 C:\WINDOWS\System32\Drivers\DLARTL_N.SYS 24576 bytes (Sonic Solutions, Shared Driver Component)

0xBA418000 C:\WINDOWS\system32\drivers\iviaspi.sys 24576 bytes (InterVideo, Inc., InterVideo ASPI Shell)

0xBA408000 C:\WINDOWS\system32\DRIVERS\mouclass.sys 24576 bytes (Microsoft Corporation, Mausklassentreiber)

0xB31BB000 C:\WINDOWS\System32\drivers\TDSMAPI.SYS 24576 bytes

0xB31D3000 C:\WINDOWS\System32\drivers\TSMAPIP.SYS 24576 bytes

0xBA3F0000 C:\WINDOWS\system32\DRIVERS\usbuhci.sys 24576 bytes (Microsoft Corporation, UHCI USB Miniport Driver)

0xB31EB000 C:\WINDOWS\System32\drivers\vga.sys 24576 bytes (Microsoft Corporation, VGA/Super VGA Video Driver)

0xB3203000 C:\WINDOWS\system32\DRIVERS\AegisP.sys 20480 bytes (Meetinghouse Data Communications, IEEE 802.1X Protocol Driver)

0xBA328000 FixTDSS.sys 20480 bytes (Symantec Corporation, TDSS Fix Tool)

0xB31E3000 C:\WINDOWS\System32\Drivers\Msfs.SYS 20480 bytes (Microsoft Corporation, Mailslot driver)

0xBA338000 PartMgr.sys 20480 bytes (Microsoft Corporation, Partition Manager)

0xBA428000 C:\WINDOWS\system32\DRIVERS\ptilink.sys 20480 bytes (Parallel Technologies, Inc., Parallel Technologies DirectParallel IO Library)

0xBA340000 PxHelp20.sys 20480 bytes (Sonic Solutions, Px Engine Device Driver for Windows 2000/XP)

0xBA430000 C:\WINDOWS\system32\DRIVERS\raspti.sys 20480 bytes (Microsoft Corporation, PTI DirectParallel(R) mini-port/call-manager driver)

0xBA420000 C:\WINDOWS\system32\DRIVERS\TDI.SYS 20480 bytes (Microsoft Corporation, TDI Wrapper)

0xB31C3000 C:\WINDOWS\System32\Drivers\TPHKDRV.SYS 20480 bytes (IBM Corporation, ThinkPad Hotkey Driver)

0xB31CB000 C:\WINDOWS\System32\drivers\Tppwrif.sys 20480 bytes

0xAA6AC000 C:\WINDOWS\System32\watchdog.sys 20480 bytes (Microsoft Corporation, Watchdog Driver)

0xBA4C0000 C:\WINDOWS\system32\DRIVERS\BATTC.SYS 16384 bytes (Microsoft Corporation, Battery Class Driver)

0xB9C31000 C:\WINDOWS\system32\DRIVERS\CmBatt.sys 16384 bytes (Microsoft Corporation, Control Method Battery Driver)

0xAF16D000 C:\WINDOWS\System32\DLA\DLAOPIOM.SYS 16384 bytes (Sonic Solutions, Drive Letter Access Component)

0xA7ADC000 C:\WINDOWS\system32\drivers\ibmfilter.sys 16384 bytes (IBM, IBM Rescue and Recovery filter driver)

0xA797D000 C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys 16384 bytes (Conexant, Diagnostic Interface DRIVER)

0xB96E5000 C:\WINDOWS\system32\DRIVERS\mssmbios.sys 16384 bytes (Microsoft Corporation, System Management BIOS Driver)

0xB294F000 C:\WINDOWS\system32\DRIVERS\ndisuio.sys 16384 bytes (Microsoft Corporation, NDIS User mode I/O Driver)

0xBA4C4000 ACPIEC.sys 12288 bytes (Microsoft Corporation, ACPI Embedded Controllertreiber)

0xB366A000 C:\WINDOWS\System32\drivers\ANC.SYS 12288 bytes (IBM Corp., IBM Access Connections - ANC)

0xBA4B8000 C:\WINDOWS\system32\BOOTVID.dll 12288 bytes (Microsoft Corporation, VGA Boot Driver)

0xBA4BC000 compbatt.sys 12288 bytes (Microsoft Corporation, Composite Battery Driver)

0xAA803000 C:\WINDOWS\System32\drivers\Dxapi.sys 12288 bytes (Microsoft Corporation, DirectX API Driver)

0xB4156000 C:\WINDOWS\System32\Drivers\i2omgmt.SYS 12288 bytes (Microsoft Corporation, I2O Utility Filter)

0xB9C2D000 C:\WINDOWS\system32\DRIVERS\ibmpmdrv.sys 12288 bytes (Lenovo., ThinkPad Power Management Driver)

0xB9C21000 C:\WINDOWS\system32\DRIVERS\ndistapi.sys 12288 bytes (Microsoft Corporation, NDIS 3.0 connection wrapper driver)

0xB414A000 C:\WINDOWS\system32\DRIVERS\rasacd.sys 12288 bytes (Microsoft Corporation, RAS Automatic Connection Driver)

0xBA5B4000 C:\WINDOWS\System32\Drivers\Beep.SYS 8192 bytes (Microsoft Corporation, BEEP Driver)

0xBA604000 C:\WINDOWS\System32\Drivers\DLACDBHM.SYS 8192 bytes (Sonic Solutions, Shared Driver Component)

0xAA067000 C:\WINDOWS\System32\DLA\DLAPoolM.SYS 8192 bytes (Sonic Solutions, Drive Letter Access Component)

0xBA5AC000 dmload.sys 8192 bytes (Microsoft Corp., Veritas Software., NT Disk Manager Startup Driver)

0xBA632000 C:\WINDOWS\SYSTEM32\EGATHDRV.SYS 8192 bytes (IBM Corporation, IBM eGatherer Kernel Module)

0xBA5B2000 C:\WINDOWS\System32\Drivers\Fs_Rec.SYS 8192 bytes (Microsoft Corporation, File System Recognizer Driver)

0xBA5BC000 C:\WINDOWS\system32\Drivers\IBMBLDID.sys 8192 bytes

0xBA5A8000 C:\WINDOWS\system32\KDCOM.DLL 8192 bytes (Microsoft Corporation, Kernel Debugger HW Extension DLL)

0xBA5B6000 C:\WINDOWS\System32\Drivers\mnmdd.SYS 8192 bytes (Microsoft Corporation, Frame buffer simulator)

0xBA656000 C:\WINDOWS\System32\drivers\pmemnt.sys 8192 bytes (Microsoft Corporation, Physical Memory Driver)

0xBA5B8000 C:\WINDOWS\System32\DRIVERS\RDPCDD.sys 8192 bytes (Microsoft Corporation, RDP Miniport)

0xBA5BA000 C:\WINDOWS\System32\Drivers\ShockMgr.SYS 8192 bytes (Lenovo., ShockMgr Device Driver)

0xBA608000 C:\WINDOWS\system32\DRIVERS\swenum.sys 8192 bytes (Microsoft Corporation, Plug and Play Software Device Enumerator)

0xBA602000 C:\WINDOWS\system32\DRIVERS\USBD.SYS 8192 bytes (Microsoft Corporation, Universal Serial Bus Driver)

0xBA5AA000 C:\WINDOWS\system32\DRIVERS\WMILIB.SYS 8192 bytes (Microsoft Corporation, WMILIB WMI support library Dll)

0xBA7B3000 C:\WINDOWS\system32\DRIVERS\audstub.sys 4096 bytes (Microsoft Corporation, AudStub Driver)

0xBA736000 C:\WINDOWS\System32\DLA\DLADResN.SYS 4096 bytes (Sonic Solutions, Drive Letter Access Component)

0xAEADC000 C:\WINDOWS\System32\drivers\dxgthk.sys 4096 bytes (Microsoft Corporation, DirectX Graphics Driver Thunk)

0xB2D6F000 C:\WINDOWS\System32\Drivers\Null.SYS 4096 bytes (Microsoft Corporation, NULL Driver)

0xBA671000 C:\WINDOWS\system32\DRIVERS\OPRGHDLR.SYS 4096 bytes (Microsoft Corporation, ACPI Operation Registration Driver)

0xBA670000 pciide.sys 4096 bytes (Microsoft Corporation, Allgemeiner PCI IDE Bustreiber)

0xBA740000 C:\Programme\SMI2\smi2.sys 4096 bytes (IBM Corp., SMI BIOS driver)

0xBA737000 C:\Programme\ThinkVantage Fingerprint Software\smihlp.sys 4096 bytes (UPEK Inc., SMI helper driver)

0xBA758000 C:\WINDOWS\system32\SVKP.sys 4096 bytes (AntiCracking, SVKP driver for NT)

==============================================

>Stealth

==============================================

==============================================

>Hooks

==============================================

ntkrnlpa.exe+0x0006ECEE, Type: Inline - RelativeJump 0x80545CEE-->80545CF5 [ntkrnlpa.exe]

[3692]explorer.exe-->advapi32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x77DA1218-->5CF07774 [shimeng.dll]

[3692]explorer.exe-->crypt32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x77A51188-->5CF07774 [shimeng.dll]

[3692]explorer.exe-->gdi32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x77EF10B4-->5CF07774 [shimeng.dll]

[3692]explorer.exe-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x01001268-->5CF07774 [shimeng.dll]

[3692]explorer.exe-->shell32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x7E6715A4-->5CF07774 [shimeng.dll]

[3692]explorer.exe-->user32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x7E36133C-->5CF07774 [shimeng.dll]

[3692]explorer.exe-->wininet.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x408B14B0-->5CF07774 [shimeng.dll]

[3692]explorer.exe-->ws2_32.dll-->kernel32.dll-->GetProcAddress, Type: IAT modification 0x71A1109C-->5CF07774 [shimeng.dll]

Schritt 3: TDSS Killer ausführen

Der Killer ist diesmal angelaufen und hat so wie ich das sehe ganze Arbeit geleistet. Anbei das log:

Code:

2011/07/13 10:55:53.0328 4840        TDSS rootkit removing tool 2.5.11.0 Jul 11 2011 16:56:56

2011/07/13 10:55:53.0343 4840        ================================================================================

2011/07/13 10:55:53.0343 4840        SystemInfo:

2011/07/13 10:55:53.0343 4840        

2011/07/13 10:55:53.0343 4840        OS Version: 5.1.2600 ServicePack: 3.0

2011/07/13 10:55:53.0343 4840        Product type: Workstation

2011/07/13 10:55:53.0343 4840        ComputerName: WEYENETH

2011/07/13 10:55:53.0343 4840        UserName: Stephen

2011/07/13 10:55:53.0343 4840        Windows directory: C:\WINDOWS

2011/07/13 10:55:53.0343 4840        System windows directory: C:\WINDOWS

2011/07/13 10:55:53.0359 4840        Processor architecture: Intel x86

2011/07/13 10:55:53.0359 4840        Number of processors: 2

2011/07/13 10:55:53.0359 4840        Page size: 0x1000

2011/07/13 10:55:53.0359 4840        Boot type: Normal boot

2011/07/13 10:55:53.0359 4840        ================================================================================

2011/07/13 10:55:53.0906 4840        Initialize success

2011/07/13 10:56:10.0390 3464        ================================================================================

2011/07/13 10:56:10.0390 3464        Scan started

2011/07/13 10:56:10.0390 3464        Mode: Manual; 

2011/07/13 10:56:10.0390 3464        ================================================================================

2011/07/13 10:56:10.0750 3464        61883           (914a9709fc3bf419ad2f85547f2a4832) C:\WINDOWS\system32\DRIVERS\61883.sys

2011/07/13 10:56:10.0828 3464        abp480n5        (6abb91494fe6c59089b9336452ab2ea3) C:\WINDOWS\system32\DRIVERS\ABP480N5.SYS

2011/07/13 10:56:10.0859 3464        ac97intc        (0f2d66d5f08ebe2f77bb904288dcf6f0) C:\WINDOWS\system32\drivers\ac97intc.sys

2011/07/13 10:56:10.0921 3464        ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys

2011/07/13 10:56:10.0953 3464        ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys

2011/07/13 10:56:11.0000 3464        ADIHdAudAddService (66614b9fdc7e74ab736a84d89f7b06b6) C:\WINDOWS\system32\drivers\ADIHdAud.sys

2011/07/13 10:56:11.0062 3464        adpu160m        (9a11864873da202c996558b2106b0bbc) C:\WINDOWS\system32\DRIVERS\adpu160m.sys

2011/07/13 10:56:11.0109 3464        AEAudioService  (c984de22ed71414abc42c1e03d412e33) C:\WINDOWS\system32\drivers\AEAudio.sys

2011/07/13 10:56:11.0140 3464        aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys

2011/07/13 10:56:11.0171 3464        AegisP          (91f3df93f40a74d222cd166fe95db633) C:\WINDOWS\system32\DRIVERS\AegisP.sys

2011/07/13 10:56:11.0250 3464        AFD             (355556d9e580915118cd7ef736653a89) C:\WINDOWS\System32\drivers\afd.sys

2011/07/13 10:56:11.0421 3464        AFS2K           (c719341a1cf6afd4fa0808ae3d23d6a3) C:\WINDOWS\system32\drivers\AFS2K.sys

2011/07/13 10:56:11.0531 3464        agp440          (08fd04aa961bdc77fb983f328334e3d7) C:\WINDOWS\system32\DRIVERS\agp440.sys

2011/07/13 10:56:11.0562 3464        agpCPQ          (03a7e0922acfe1b07d5db2eeb0773063) C:\WINDOWS\system32\DRIVERS\agpCPQ.sys

2011/07/13 10:56:11.0625 3464        Aha154x         (c23ea9b5f46c7f7910db3eab648ff013) C:\WINDOWS\system32\DRIVERS\aha154x.sys

2011/07/13 10:56:11.0656 3464        aic78u2         (19dd0fb48b0c18892f70e2e7d61a1529) C:\WINDOWS\system32\DRIVERS\aic78u2.sys

2011/07/13 10:56:11.0687 3464        aic78xx         (b7fe594a7468aa0132deb03fb8e34326) C:\WINDOWS\system32\DRIVERS\aic78xx.sys

2011/07/13 10:56:11.0750 3464        AliIde          (1140ab9938809700b46bb88e46d72a96) C:\WINDOWS\system32\DRIVERS\aliide.sys

2011/07/13 10:56:11.0781 3464        alim1541        (cb08aed0de2dd889a8a820cd8082d83c) C:\WINDOWS\system32\DRIVERS\alim1541.sys

2011/07/13 10:56:11.0812 3464        amdagp          (95b4fb835e28aa1336ceeb07fd5b9398) C:\WINDOWS\system32\DRIVERS\amdagp.sys

2011/07/13 10:56:11.0843 3464        amsint          (79f5add8d24bd6893f2903a3e2f3fad6) C:\WINDOWS\system32\DRIVERS\amsint.sys

2011/07/13 10:56:11.0875 3464        ANC             (11ab185a7af224800bbfb5b836974a17) C:\WINDOWS\system32\drivers\ANC.SYS

2011/07/13 10:56:11.0921 3464        AR5211          (1b778efe22771e827ee24b334084a1f5) C:\WINDOWS\system32\DRIVERS\ar5211.sys

2011/07/13 10:56:12.0109 3464        Arp1394         (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys

2011/07/13 10:56:12.0140 3464        asc             (62d318e9a0c8fc9b780008e724283707) C:\WINDOWS\system32\DRIVERS\asc.sys

2011/07/13 10:56:12.0171 3464        asc3350p        (69eb0cc7714b32896ccbfd5edcbea447) C:\WINDOWS\system32\DRIVERS\asc3350p.sys

2011/07/13 10:56:12.0187 3464        asc3550         (5d8de112aa0254b907861e9e9c31d597) C:\WINDOWS\system32\DRIVERS\asc3550.sys

2011/07/13 10:56:12.0250 3464        AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys

2011/07/13 10:56:12.0265 3464        atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys

2011/07/13 10:56:12.0453 3464        ati2mtag        (07ac9a98ea70b5a6655a5797174bd282) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys

2011/07/13 10:56:12.0531 3464        Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys

2011/07/13 10:56:12.0703 3464        atmeltpm        (dbf0d7e2df33b469eb55406fea759350) C:\WINDOWS\system32\DRIVERS\atmeltpm.sys

2011/07/13 10:56:12.0750 3464        audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys

2011/07/13 10:56:12.0796 3464        Avc             (f8e6956a614f15a0860474c5e2a7de6b) C:\WINDOWS\system32\DRIVERS\avc.sys

2011/07/13 10:56:12.0843 3464        b57w2k          (c0acd392ece55784884cc208aafa06ce) C:\WINDOWS\system32\DRIVERS\b57xp32.sys

2011/07/13 10:56:12.0875 3464        Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys

2011/07/13 10:56:12.0953 3464        BTKRNL          (4ebd4ebff01617fbda6ce7963f150918) C:\WINDOWS\system32\DRIVERS\btkrnl.sys

2011/07/13 10:56:13.0015 3464        BTWUSB          (589400f357f6cb156a6f804035514da0) C:\WINDOWS\system32\Drivers\btwusb.sys

2011/07/13 10:56:13.0046 3464        cbidf           (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\DRIVERS\cbidf2k.sys

2011/07/13 10:56:13.0062 3464        cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys

2011/07/13 10:56:13.0109 3464        CCDECODE        (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys

2011/07/13 10:56:13.0171 3464        cd20xrnt        (f3ec03299634490e97bbce94cd2954c7) C:\WINDOWS\system32\DRIVERS\cd20xrnt.sys

2011/07/13 10:56:13.0187 3464        Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys

2011/07/13 10:56:13.0265 3464        Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys

2011/07/13 10:56:13.0390 3464        Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys

2011/07/13 10:56:13.0453 3464        CmBatt          (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys

2011/07/13 10:56:13.0484 3464        CmdIde          (c687f81290303d90099b027a6474f99f) C:\WINDOWS\system32\DRIVERS\cmdide.sys

2011/07/13 10:56:13.0500 3464        Compbatt        (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys

2011/07/13 10:56:13.0546 3464        Cpqarray        (3ee529119eed34cd212a215e8c40d4b6) C:\WINDOWS\system32\DRIVERS\cpqarray.sys

2011/07/13 10:56:13.0609 3464        CVirtA          (5c706c06c1279952d2cc1a609ca948bf) C:\WINDOWS\system32\DRIVERS\CVirtA.sys

2011/07/13 10:56:13.0687 3464        CVPNDRVA        (03516f6d3b8c91c919de622196a84bce) C:\WINDOWS\system32\Drivers\CVPNDRVA.sys

2011/07/13 10:56:13.0718 3464        dac2w2k         (e550e7418984b65a78299d248f0a7f36) C:\WINDOWS\system32\DRIVERS\dac2w2k.sys

2011/07/13 10:56:13.0750 3464        dac960nt        (683789caa3864eb46125ae86ff677d34) C:\WINDOWS\system32\DRIVERS\dac960nt.sys

2011/07/13 10:56:13.0765 3464        Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys

2011/07/13 10:56:13.0843 3464        DLABOIOM        (efae981c8ba3dad4103a76bcb5955b07) C:\WINDOWS\system32\DLA\DLABOIOM.SYS

2011/07/13 10:56:13.0859 3464        DLACDBHM        (8d45ac148fd8c1a25204aeca1397fa7e) C:\WINDOWS\system32\Drivers\DLACDBHM.SYS

2011/07/13 10:56:13.0890 3464        DLADResN        (75f07b1ba9a358e401856cf51b6a65d0) C:\WINDOWS\system32\DLA\DLADResN.SYS

2011/07/13 10:56:13.0921 3464        DLAIFS_M        (2aef49904bde7398d0f09b6a603738ef) C:\WINDOWS\system32\DLA\DLAIFS_M.SYS

2011/07/13 10:56:13.0953 3464        DLAOPIOM        (46fa268a829384256179f4ccb6eb308f) C:\WINDOWS\system32\DLA\DLAOPIOM.SYS

2011/07/13 10:56:13.0968 3464        DLAPoolM        (26e89839af248625a4e7c4cf5873375d) C:\WINDOWS\system32\DLA\DLAPoolM.SYS

2011/07/13 10:56:14.0031 3464        DLARTL_N        (94accf8f7b87fbeaa27266927319e6ba) C:\WINDOWS\system32\Drivers\DLARTL_N.SYS

2011/07/13 10:56:14.0109 3464        DLAUDFAM        (5e914bd7f68dde3fb4bffe005162c1e6) C:\WINDOWS\system32\DLA\DLAUDFAM.SYS

2011/07/13 10:56:14.0156 3464        DLAUDF_M        (8c3cfb22a7fb3be67e0c321fa10b8b50) C:\WINDOWS\system32\DLA\DLAUDF_M.SYS

2011/07/13 10:56:14.0250 3464        dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys

2011/07/13 10:56:14.0296 3464        dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys

2011/07/13 10:56:14.0312 3464        dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys

2011/07/13 10:56:14.0359 3464        DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys

2011/07/13 10:56:14.0421 3464        DNE             (8101650993b2f79118d2bf24402c390d) C:\WINDOWS\system32\DRIVERS\dne2000.sys

2011/07/13 10:56:14.0484 3464        dpti2o          (40f3b93b4e5b0126f2f5c0a7a5e22660) C:\WINDOWS\system32\DRIVERS\dpti2o.sys

2011/07/13 10:56:14.0515 3464        drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys

2011/07/13 10:56:14.0578 3464        DRVMCDB         (ab6c5c26fff9b3c456aeaf7e0093c2fe) C:\WINDOWS\system32\Drivers\DRVMCDB.SYS

2011/07/13 10:56:14.0718 3464        DRVNDDM         (4a307ade1638d9358b6eb90076481cc6) C:\WINDOWS\system32\Drivers\DRVNDDM.SYS

2011/07/13 10:56:14.0765 3464        E100B           (a6de5342417fec3c0aa8efebb899c431) C:\WINDOWS\system32\DRIVERS\e100b325.sys

2011/07/13 10:56:14.0828 3464        EGATHDRV        (2d0fc676d159525f6cd74c3302c7a61c) C:\WINDOWS\SYSTEM32\EGATHDRV.SYS

2011/07/13 10:56:14.0921 3464        Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys

2011/07/13 10:56:14.0968 3464        Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys

2011/07/13 10:56:15.0015 3464        Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys

2011/07/13 10:56:15.0062 3464        FixTDSS         (77d6ffaa3010b66fb4692532d75a585f) C:\WINDOWS\system32\drivers\FixTDSS.sys

2011/07/13 10:56:15.0093 3464        Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys

2011/07/13 10:56:15.0140 3464        FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys

2011/07/13 10:56:15.0171 3464        Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys

2011/07/13 10:56:15.0218 3464        Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys

2011/07/13 10:56:15.0265 3464        Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys

2011/07/13 10:56:15.0421 3464        HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys

2011/07/13 10:56:15.0484 3464        HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys

2011/07/13 10:56:15.0546 3464        hpn             (b028377dea0546a5fcfba928a8aefae0) C:\WINDOWS\system32\DRIVERS\hpn.sys

2011/07/13 10:56:15.0593 3464        HPZid412        (287a63bd8509bd78e7978823b38afa81) C:\WINDOWS\system32\DRIVERS\HPZid412.sys

2011/07/13 10:56:15.0625 3464        HPZipr12        (0b4fda2657c3e0315eaa57f9c6d4fd1f) C:\WINDOWS\system32\DRIVERS\HPZipr12.sys

2011/07/13 10:56:15.0640 3464        HPZius12        (29559db25258b60510a60c4e470fce32) C:\WINDOWS\system32\DRIVERS\HPZius12.sys

2011/07/13 10:56:15.0718 3464        HSF_DPV         (b1fc0b027df4374f9e5b796cfdf797b3) C:\WINDOWS\system32\DRIVERS\hsx_dpv.sys

2011/07/13 10:56:15.0812 3464        HSXHWAZL        (3af45f5b4157c88ffae24d89ba408302) C:\WINDOWS\system32\DRIVERS\hsxhwazl.sys

2011/07/13 10:56:15.0890 3464        HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys

2011/07/13 10:56:16.0062 3464        i2omgmt         (9368670bd426ebea5e8b18a62416ec28) C:\WINDOWS\system32\drivers\i2omgmt.sys

2011/07/13 10:56:16.0078 3464        i2omp           (f10863bf1ccc290babd1a09188ae49e0) C:\WINDOWS\system32\DRIVERS\i2omp.sys

2011/07/13 10:56:16.0125 3464        i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys

2011/07/13 10:56:16.0187 3464        iaStor          (309c4d86d989fb1fcf64bd30dc81c51b) C:\WINDOWS\system32\DRIVERS\iaStor.sys

2011/07/13 10:56:16.0234 3464        ibmfilter       (bd1ddf774e7fd633d701b1fb69b9f081) C:\WINDOWS\system32\drivers\ibmfilter.sys

2011/07/13 10:56:16.0250 3464        IBMPMDRV        (067a88764593b1f46a6cfb00c69c11eb) C:\WINDOWS\system32\DRIVERS\ibmpmdrv.sys

2011/07/13 10:56:16.0281 3464        IBMTPCHK        (bfc9f3adaad74e13f9ce16c8bd336f95) C:\WINDOWS\system32\Drivers\IBMBLDID.sys

2011/07/13 10:56:16.0312 3464        Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys

2011/07/13 10:56:16.0343 3464        ini910u         (4a40e045faee58631fd8d91afc620719) C:\WINDOWS\system32\DRIVERS\ini910u.sys

2011/07/13 10:56:16.0390 3464        IntelIde        (69c4e3c9e67a1f103b94e14fdd5f3213) C:\WINDOWS\system32\DRIVERS\intelide.sys

2011/07/13 10:56:16.0453 3464        intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys

2011/07/13 10:56:16.0484 3464        Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys

2011/07/13 10:56:16.0671 3464        IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys

2011/07/13 10:56:16.0734 3464        IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys

2011/07/13 10:56:16.0765 3464        IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys

2011/07/13 10:56:16.0812 3464        IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys

2011/07/13 10:56:16.0843 3464        IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys

2011/07/13 10:56:16.0890 3464        isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys

2011/07/13 10:56:16.0953 3464        Iviaspi         (f59c3569a2f2c464bb78cb1bdcdca55e) C:\WINDOWS\system32\drivers\iviaspi.sys

2011/07/13 10:56:16.0984 3464        Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys

2011/07/13 10:56:17.0015 3464        kbdhid          (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys

2011/07/13 10:56:17.0062 3464        kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys

2011/07/13 10:56:17.0093 3464        KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys

2011/07/13 10:56:17.0187 3464        MBAMSwissArmy   (b309912717c29fc67e1ba4730a82b6dd) C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2011/07/13 10:56:17.0343 3464        mdmxsdk         (e246a32c445056996074a397da56e815) C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys

2011/07/13 10:56:17.0453 3464        mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys

2011/07/13 10:56:17.0500 3464        Modem           (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys

2011/07/13 10:56:17.0546 3464        Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys

2011/07/13 10:56:17.0593 3464        mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys

2011/07/13 10:56:17.0609 3464        MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys

2011/07/13 10:56:17.0656 3464        mraid35x        (3f4bb95e5a44f3be34824e8e7caf0737) C:\WINDOWS\system32\DRIVERS\mraid35x.sys

2011/07/13 10:56:17.0687 3464        MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys

2011/07/13 10:56:17.0765 3464        MRxSmb          (0dc719e9b15e902346e87e9dcd5751fa) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys

2011/07/13 10:56:17.0859 3464        MSDV            (1477849772712bac69c144dcf2c9ce81) C:\WINDOWS\system32\DRIVERS\msdv.sys

2011/07/13 10:56:17.0875 3464        Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys

2011/07/13 10:56:17.0921 3464        MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys

2011/07/13 10:56:18.0078 3464        MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys

2011/07/13 10:56:18.0109 3464        MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys

2011/07/13 10:56:18.0171 3464        mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys

2011/07/13 10:56:18.0218 3464        MSTEE           (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys

2011/07/13 10:56:18.0265 3464        Mup             (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys

2011/07/13 10:56:18.0312 3464        NABTSFEC        (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys

2011/07/13 10:56:18.0359 3464        NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys

2011/07/13 10:56:18.0421 3464        NdisIP          (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys

2011/07/13 10:56:18.0484 3464        NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys

2011/07/13 10:56:18.0515 3464        Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys

2011/07/13 10:56:18.0546 3464        NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys

2011/07/13 10:56:18.0593 3464        NDProxy         (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys

2011/07/13 10:56:18.0765 3464        NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys

2011/07/13 10:56:18.0796 3464        NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys

2011/07/13 10:56:18.0859 3464        NIC1394         (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys

2011/07/13 10:56:18.0875 3464        Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys

2011/07/13 10:56:18.0921 3464        Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys

2011/07/13 10:56:19.0015 3464        Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys

2011/07/13 10:56:19.0156 3464        nv              (2b298519edbfcf451d43e0f1e8f1006d) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys

2011/07/13 10:56:19.0328 3464        NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys

2011/07/13 10:56:19.0375 3464        NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys

2011/07/13 10:56:19.0421 3464        ohci1394        (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys

2011/07/13 10:56:19.0468 3464        Parport         (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys

2011/07/13 10:56:19.0515 3464        PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys

2011/07/13 10:56:19.0546 3464        ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys

2011/07/13 10:56:19.0578 3464        PCI             (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys

2011/07/13 10:56:19.0625 3464        PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys

2011/07/13 10:56:19.0671 3464        Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\DRIVERS\pcmcia.sys

2011/07/13 10:56:19.0796 3464        perc2           (6c14b9c19ba84f73d3a86dba11133101) C:\WINDOWS\system32\DRIVERS\perc2.sys

2011/07/13 10:56:19.0828 3464        perc2hib        (f50f7c27f131afe7beba13e14a3b9416) C:\WINDOWS\system32\DRIVERS\perc2hib.sys

2011/07/13 10:56:19.0890 3464        pmem            (fa292805788528c083f416e151b60ab6) C:\WINDOWS\System32\drivers\pmemnt.sys

2011/07/13 10:56:19.0921 3464        PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys

2011/07/13 10:56:20.0109 3464        PrivateDisk     (e580dd7d54415905bb0bab306b659fdf) C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\PrivateDiskM.sys

2011/07/13 10:56:20.0234 3464        PROCDD          (6f9e6e874fd74ee6dd0bbecde9d3f795) C:\WINDOWS\system32\DRIVERS\PROCDD.SYS

2011/07/13 10:56:20.0281 3464        Processor       (2cb55427c58679f49ad600fccba76360) C:\WINDOWS\system32\DRIVERS\processr.sys

2011/07/13 10:56:20.0328 3464        psadd           (76df9412c1556fca3d6d94b2c9d94d6b) C:\WINDOWS\system32\Drivers\psadd.sys

2011/07/13 10:56:20.0375 3464        PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys

2011/07/13 10:56:20.0484 3464        Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys

2011/07/13 10:56:20.0546 3464        PxHelp20        (183ef96bcc2ec3d5294cb2c2c0ecbcd1) C:\WINDOWS\system32\Drivers\PxHelp20.sys

2011/07/13 10:56:20.0578 3464        ql1080          (0a63fb54039eb5662433caba3b26dba7) C:\WINDOWS\system32\DRIVERS\ql1080.sys

2011/07/13 10:56:20.0609 3464        Ql10wnt         (6503449e1d43a0ff0201ad5cb1b8c706) C:\WINDOWS\system32\DRIVERS\ql10wnt.sys

2011/07/13 10:56:20.0640 3464        ql12160         (156ed0ef20c15114ca097a34a30d8a01) C:\WINDOWS\system32\DRIVERS\ql12160.sys

2011/07/13 10:56:20.0671 3464        ql1240          (70f016bebde6d29e864c1230a07cc5e6) C:\WINDOWS\system32\DRIVERS\ql1240.sys

2011/07/13 10:56:20.0703 3464        ql1280          (907f0aeea6bc451011611e732bd31fcf) C:\WINDOWS\system32\DRIVERS\ql1280.sys

2011/07/13 10:56:20.0734 3464        RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys

2011/07/13 10:56:20.0765 3464        Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys

2011/07/13 10:56:20.0796 3464        RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys

2011/07/13 10:56:20.0812 3464        Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys

2011/07/13 10:56:20.0843 3464        Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys

2011/07/13 10:56:20.0984 3464        RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys

2011/07/13 10:56:21.0046 3464        rdpdr           (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys

2011/07/13 10:56:21.0109 3464        RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys

2011/07/13 10:56:21.0140 3464        redbook         (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys

2011/07/13 10:56:21.0234 3464        Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys

2011/07/13 10:56:21.0296 3464        serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys

2011/07/13 10:56:21.0328 3464        Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys

2011/07/13 10:56:21.0359 3464        Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\DRIVERS\sfloppy.sys

2011/07/13 10:56:21.0421 3464        ShockMgr        (1a9b76c8e0d77bcaca24fdf36781b59d) C:\WINDOWS\system32\drivers\ShockMgr.sys

2011/07/13 10:56:21.0484 3464        Shockprf        (70d82eb75e7e3b2980d6bf5b26051f4b) C:\WINDOWS\system32\drivers\Shockprf.sys

2011/07/13 10:56:21.0546 3464        sisagp          (6b33d0ebd30db32e27d1d78fe946a754) C:\WINDOWS\system32\DRIVERS\sisagp.sys

2011/07/13 10:56:21.0593 3464        SLIP            (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys

2011/07/13 10:56:21.0703 3464        Smapint         (26341d0dd225d19fd50e0ee3c3c77502) C:\WINDOWS\system32\drivers\Smapint.sys

2011/07/13 10:56:21.0765 3464        smi2            (3ba9d0c8a0fbd9fb4029b6cd87c8ce0b) C:\Programme\SMI2\smi2.sys

2011/07/13 10:56:21.0812 3464        smihlp          (519b79e94950b9a13eb95cb01d932e8d) C:\Programme\ThinkVantage Fingerprint Software\smihlp.sys

2011/07/13 10:56:21.0875 3464        Sparrow         (83c0f71f86d3bdaf915685f3d568b20e) C:\WINDOWS\system32\DRIVERS\sparrow.sys

2011/07/13 10:56:21.0953 3464        splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys

2011/07/13 10:56:21.0984 3464        sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys

2011/07/13 10:56:22.0062 3464        Srv             (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys

2011/07/13 10:56:22.0203 3464        streamip        (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys

2011/07/13 10:56:22.0250 3464        SVKP            (f05028b163b92c302a74409d683ac9b0) C:\WINDOWS\system32\SVKP.sys

2011/07/13 10:56:22.0375 3464        swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys

2011/07/13 10:56:22.0406 3464        swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys

2011/07/13 10:56:22.0453 3464        symc810         (1ff3217614018630d0a6758630fc698c) C:\WINDOWS\system32\DRIVERS\symc810.sys

2011/07/13 10:56:22.0515 3464        symc8xx         (070e001d95cf725186ef8b20335f933c) C:\WINDOWS\system32\DRIVERS\symc8xx.sys

2011/07/13 10:56:22.0546 3464        sym_hi          (80ac1c4abbe2df3b738bf15517a51f2c) C:\WINDOWS\system32\DRIVERS\sym_hi.sys

2011/07/13 10:56:22.0578 3464        sym_u3          (bf4fab949a382a8e105f46ebb4937058) C:\WINDOWS\system32\DRIVERS\sym_u3.sys

2011/07/13 10:56:22.0593 3464        SynTP           (7c02db7416d52c02b131d0e3a8d2337c) C:\WINDOWS\system32\DRIVERS\SynTP.sys

2011/07/13 10:56:22.0671 3464        sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys

2011/07/13 10:56:22.0750 3464        Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys

2011/07/13 10:56:22.0890 3464        TcUsb           (fc6fe02f400308606a911640e72326b5) C:\WINDOWS\system32\Drivers\tcusb.sys

2011/07/13 10:56:22.0921 3464        TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys

2011/07/13 10:56:22.0968 3464        TDSMAPI         (564b337034271b7bddcabfddc91c6b7a) C:\WINDOWS\system32\drivers\TDSMAPI.SYS

2011/07/13 10:56:23.0000 3464        TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys

2011/07/13 10:56:23.0062 3464        TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys

2011/07/13 10:56:23.0109 3464        TosIde          (d213a9247dc347f305a2d4cc9b951487) C:\WINDOWS\system32\DRIVERS\toside.sys

2011/07/13 10:56:23.0140 3464        TPHKDRV         (29f3601d4233a53f819010fee8c04a60) C:\WINDOWS\system32\drivers\TPHKDRV.sys

2011/07/13 10:56:23.0187 3464        TPPWRIF         (44672de6cea9569c21c4b7a8d2560750) C:\WINDOWS\system32\drivers\Tppwrif.sys

2011/07/13 10:56:23.0234 3464        TSMAPIP         (f2aba3066d7921d7fcdbd66dea88be11) C:\WINDOWS\system32\drivers\TSMAPIP.SYS

2011/07/13 10:56:23.0328 3464        Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys

2011/07/13 10:56:23.0343 3464        ultra           (1b698a51cd528d8da4ffaed66dfc51b9) C:\WINDOWS\system32\DRIVERS\ultra.sys

2011/07/13 10:56:23.0421 3464        Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys

2011/07/13 10:56:23.0500 3464        usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys

2011/07/13 10:56:23.0531 3464        usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys

2011/07/13 10:56:23.0640 3464        usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys

2011/07/13 10:56:23.0671 3464        usbprint        (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys

2011/07/13 10:56:23.0703 3464        usbscan         (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys

2011/07/13 10:56:23.0718 3464        USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

2011/07/13 10:56:23.0734 3464        usbuhci         (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys

2011/07/13 10:56:23.0765 3464        VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys

2011/07/13 10:56:23.0796 3464        viaagp          (754292ce5848b3738281b4f3607eaef4) C:\WINDOWS\system32\DRIVERS\viaagp.sys

2011/07/13 10:56:23.0843 3464        ViaIde          (3b3efcda263b8ac14fdf9cbdd0791b2e) C:\WINDOWS\system32\DRIVERS\viaide.sys

2011/07/13 10:56:23.0875 3464        VolSnap         (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys

2011/07/13 10:56:23.0953 3464        vsdatant        (27b3dd12a19eec50220df15b64913dda) C:\WINDOWS\system32\vsdatant.sys

2011/07/13 10:56:24.0031 3464        Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys

2011/07/13 10:56:24.0078 3464        wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys

2011/07/13 10:56:24.0171 3464        winachsf        (11ec1afceb5c917ce73d3c301ff4291e) C:\WINDOWS\system32\DRIVERS\hsx_cnxt.sys

2011/07/13 10:56:24.0421 3464        WSTCODEC        (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS

2011/07/13 10:56:24.0484 3464        WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys

2011/07/13 10:56:24.0515 3464        WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys

2011/07/13 10:56:24.0593 3464        MBR (0x1B8)     (6f9a1d528242bc09104b85e0becf5554) \Device\Harddisk0\DR0

2011/07/13 10:56:24.0609 3464        \Device\Harddisk0\DR0 - detected Rootkit.Boot.SST.a (0)

2011/07/13 10:56:24.0609 3464        Boot (0x1200)   (e21f79a86536e7c80ad7525604af25f8) \Device\Harddisk0\DR0\Partition0

2011/07/13 10:56:24.0625 3464        ================================================================================

2011/07/13 10:56:24.0625 3464        Scan finished

2011/07/13 10:56:24.0625 3464        ================================================================================

2011/07/13 10:56:24.0640 3052        Detected object count: 1

2011/07/13 10:56:24.0640 3052        Actual detected object count: 1

2011/07/13 10:57:15.0343 3052        \Device\Harddisk0\DR0 (Rootkit.Boot.SST.a) - will be cured after reboot

2011/07/13 10:57:15.0343 3052        \Device\Harddisk0\DR0 - ok

2011/07/13 10:57:15.0343 3052        Rootkit.Boot.SST.a(\Device\Harddisk0\DR0) - User select action: Cure 

2011/07/13 10:57:28.0203 4820        Deinitialize success

Gruss
West79 :kaffee:

Hallo West79,

Zitat:

2011/07/13 10:56:24.0609 3464 \Device\Harddisk0\DR0 - detected Rootkit.Boot.SST.a (0)

Ach sie an, da ist ja das Rootkit, das ich vermutet habe. :kloppen:

Schritt # 1: Norton Removal Tool

Downloade dir Norton_Removal-Tool.exe auf deinen Desktop.
Starte das Programm.
Benutzer von Windows Vista und 7: Rechtsklick -> Als Administrator ausführen
Folge den Anweisungen auf dem Bildschirm.
Starte deinen Computer nach der Bereinigung neu auf.

Schritt # 2: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Nein.
Klicke auf Scan
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Starte bitte OTL.exe.
Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

das Logfile von aswMBR und
die beiden neuen Logfiles von OTL.

Hallo

Schritt 1 - 3 liefen ohne weitere Probleme.

Hier das log von aswMBR

Code:

aswMBR version 0.9.7.707 Copyright(c) 2011 AVAST Software

Run date: 2011-07-13 21:37:04

-----------------------------

21:37:04.968    OS Version: Windows 5.1.2600 Service Pack 3

21:37:04.968    Number of processors: 2 586 0xE08

21:37:04.968    ComputerName: WEYENETH  UserName: Stephen

21:37:05.625    Initialize success

21:37:30.375    AVAST engine defs: 11071101

21:37:38.078    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0

21:37:38.078    Disk 0 Vendor: HTS54106 MB3I Size: 57231MB BusType: 3

21:37:38.093    Disk 0 MBR read successfully

21:37:38.093    Disk 0 MBR scan

21:37:38.109    Disk 0 unknown MBR code

21:37:38.109    Disk 0 scanning sectors +117210240

21:37:38.250    Disk 0 scanning C:\WINDOWS\system32\drivers

21:37:57.421    Service scanning

21:37:58.687    Disk 0 trace - called modules:

21:37:58.703    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll iaStor.sys 

21:37:58.703    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a395ab8]

21:37:58.718    3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\00000094[0x8a380a00]

21:37:58.718    5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x8a378030]

21:37:59.203    AVAST engine scan C:\WINDOWS

22:10:17.343    AVAST engine scan C:\Dokumente und Einstellungen\sephen

22:30:19.140    AVAST engine scan C:\Dokumente und Einstellungen\All Users

22:33:02.875    Scan finished successfully

22:38:51.390    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\sephen\Desktop\MBR.dat"

22:38:51.390    The log file has been saved successfully to "C:\Dokumente und Einstellungen\sephen\Desktop\aswMBR 110713.txt"

Hier das OTL.txt

Code:

OTL logfile created on: 13.07.2011 22:41:36 - Run 3

OTL by OldTimer - Version 3.2.26.1     Folder = C:\Dokumente und Einstellungen\sephen\Desktop

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy

 

1.50 Gb Total Physical Memory | 0.85 Gb Available Physical Memory | 56.50% Memory free

2.35 Gb Paging File | 1.87 Gb Available in Paging File | 79.67% Paging File free

Paging file location(s): C:\pagefile.sys 1024 1536 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 50.91 Gb Total Space | 8.97 Gb Free Space | 17.63% Space Free | Partition Type: NTFS

Drive D: | 135.06 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

 

Computer Name: WEYENETH | User Name: Stephen | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - [2011.07.10 16:16:42 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\sephen\Desktop\OTL.exe

PRC - [2011.03.03 13:10:56 | 001,175,556 | ---- | M] (NCH Software) -- C:\Programme\NCH Software\BroadCam\broadcam.exe

PRC - [2010.09.22 18:11:26 | 000,640,440 | ---- | M] (Adobe Systems Inc.) -- C:\Programme\Adobe\Acrobat 9.0\Acrobat\acrotray.exe

PRC - [2010.09.03 14:18:32 | 003,593,728 | ---- | M] (J. Rathlev, IEAP, Uni-Kiel) -- C:\Programme\Personal Backup 5\Persbackup.exe

PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe

PRC - [2006.11.10 11:46:26 | 001,504,304 | ---- | M] (Cisco Systems, Inc.) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

PRC - [2006.04.17 13:13:00 | 000,094,208 | ---- | M] (Lenovo) -- C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe

PRC - [2006.04.17 13:12:28 | 000,151,552 | ---- | M] (Lenovo) -- C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe

PRC - [2006.04.17 13:12:26 | 000,040,960 | ---- | M] () -- C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe

PRC - [2006.04.17 13:09:10 | 000,409,600 | ---- | M] (Lenovo) -- C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe

PRC - [2006.04.17 12:59:10 | 000,098,304 | ---- | M] (Lenovo) -- C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe

PRC - [2006.03.23 02:03:00 | 000,073,728 | ---- | M] (Lenovo Group Limited) -- C:\WINDOWS\system32\IPSSVC.EXE

PRC - [2006.03.23 02:03:00 | 000,069,632 | ---- | M] (Lenovo Group Limited) -- C:\Programme\Lenovo\AwayTask\AwaySch.EXE

PRC - [2006.03.01 11:50:06 | 000,626,810 | ---- | M] (Diskeeper Corporation) -- C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe

PRC - [2006.02.14 14:17:28 | 000,110,592 | ---- | M] (Synaptics, Inc.) -- C:\Programme\Synaptics\SynTP\SynTPLpr.exe

PRC - [2006.01.17 10:37:24 | 000,266,295 | ---- | M] (Broadcom Corporation.) -- C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe

PRC - [2006.01.02 17:41:22 | 000,045,056 | ---- | M] (ATI Technologies Inc.) -- C:\Programme\ATI Technologies\ATI.ACE\CLI.exe

PRC - [2005.12.21 18:34:58 | 000,077,824 | ---- | M] () -- C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe

PRC - [2005.12.21 18:27:00 | 000,032,768 | ---- | M] () -- C:\Programme\IBM ThinkVantage\Common\Logger\logmon.exe

PRC - [2005.12.21 18:20:56 | 001,384,448 | ---- | M] () -- C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe

PRC - [2005.12.21 18:08:02 | 001,996,336 | ---- | M] (Lenovo Group Limited) -- C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe

PRC - [2005.12.21 17:17:54 | 000,722,480 | ---- | M] (IBM) -- C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe

PRC - [2005.11.15 13:13:24 | 000,049,152 | R--- | M] (Utimaco Safeware AG) -- C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe

PRC - [2005.11.08 16:07:02 | 000,036,864 | ---- | M] () -- C:\WINDOWS\system32\acs.exe

PRC - [2005.10.28 20:08:32 | 000,335,872 | ---- | M] (Google Inc.) -- C:\Programme\Picasa2\PicasaMediaDetector.exe

PRC - [2005.10.26 00:44:30 | 000,086,016 | ---- | M] (Lenovo Group Limited) -- C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe

PRC - [2005.08.01 17:32:40 | 000,040,960 | ---- | M] () -- C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe

PRC - [2005.08.01 05:10:00 | 000,122,940 | ---- | M] (Sonic Solutions) -- C:\WINDOWS\system32\DLA\DLACTRLW.EXE

PRC - [2005.07.05 14:57:12 | 000,077,824 | ---- | M] () -- C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe

PRC - [2005.06.06 21:26:22 | 000,032,768 | ---- | M] () -- C:\WINDOWS\system32\TpKmpSvc.exe

PRC - [2004.07.27 16:50:18 | 000,081,920 | ---- | M] (InstallShield Software Corporation) -- C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

PRC - [2003.10.09 13:17:48 | 000,126,976 | ---- | M] (hp) -- C:\Programme\HP\Digital Imaging\Promotions\HPpromo.exe

PRC - [2003.06.25 12:24:48 | 000,049,152 | ---- | M] (Hewlett-Packard) -- C:\Programme\HP\HP Software Update\hpwuSchd.exe

PRC - [1998.04.15 16:14:46 | 000,082,944 | ---- | M] (Corel Corporation) -- C:\Corel\Graphics8\Programs\MFIndexer.exe

 

 
 ========== Modules (SafeList) ==========

 

MOD - [2011.07.10 16:16:42 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\sephen\Desktop\OTL.exe

MOD - [2010.08.23 18:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll

MOD - [2006.03.23 02:03:00 | 000,086,016 | ---- | M] (Lenovo Group Limited) -- C:\WINDOWS\system32\PROCHLP.DLL

MOD - [2006.02.14 14:17:12 | 000,065,536 | ---- | M] (Synaptics, Inc.) -- C:\WINDOWS\system32\SynTPFcs.dll

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - File not found [On_Demand | Stopped] --  -- (PsaSrv)

SRV - [2011.03.03 13:10:56 | 001,175,556 | ---- | M] (NCH Software) [Auto | Running] -- C:\Programme\NCH Software\BroadCam\broadcam.exe -- (BroadCamService)

SRV - [2010.08.06 10:07:57 | 000,651,720 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)

SRV - [2006.11.10 11:46:26 | 001,504,304 | ---- | M] (Cisco Systems, Inc.) [Auto | Running] -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe -- (CVPND)

SRV - [2006.04.17 13:12:28 | 000,151,552 | ---- | M] (Lenovo) [Auto | Running] -- C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe -- (AcSvc)

SRV - [2006.04.17 13:12:26 | 000,040,960 | ---- | M] () [Auto | Running] -- C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe -- (AcPrfMgrSvc)

SRV - [2006.03.23 02:03:00 | 000,073,728 | ---- | M] (Lenovo Group Limited) [Auto | Running] -- C:\WINDOWS\system32\IPSSVC.EXE -- (IPSSVC)

SRV - [2006.03.01 11:50:06 | 000,626,810 | ---- | M] (Diskeeper Corporation) [Auto | Running] -- C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe -- (Diskeeper)

SRV - [2006.01.17 10:37:24 | 000,266,295 | ---- | M] (Broadcom Corporation.) [Auto | Running] -- C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe -- (btwdins)

SRV - [2005.12.21 18:34:58 | 000,077,824 | ---- | M] () [Auto | Running] -- C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe -- (TVT Scheduler)

SRV - [2005.12.21 18:20:56 | 001,384,448 | ---- | M] () [Auto | Running] -- C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe -- (TVT Backup Service)

SRV - [2005.12.21 17:17:54 | 000,722,480 | ---- | M] (IBM) [Auto | Running] -- C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe -- (TSSCoreService)

SRV - [2005.11.08 16:07:02 | 000,036,864 | ---- | M] () [On_Demand | Running] -- C:\WINDOWS\system32\acs.exe -- (ACS)

SRV - [2005.08.01 17:32:40 | 000,040,960 | ---- | M] () [Auto | Running] -- C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe -- (UCLauncherService)

SRV - [2005.06.06 21:26:22 | 000,032,768 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\TpKmpSvc.exe -- (TpKmpSVC)

SRV - [2004.10.22 03:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - [2011.07.11 20:57:20 | 000,026,872 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\FixTDSS.sys -- (FixTDSS)

DRV - [2011.05.29 09:11:30 | 000,039,984 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)

DRV - [2008.05.06 11:22:40 | 000,002,368 | ---- | M] (AntiCracking) [Kernel | Auto | Running] -- C:\WINDOWS\system32\SVKP.sys -- (SVKP)

DRV - [2007.11.11 19:14:02 | 000,043,488 | ---- | M] (Oak Technology Inc.) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\AFS2K.SYS -- (AFS2K)

DRV - [2006.11.10 11:44:52 | 000,305,788 | ---- | M] (Cisco Systems, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys -- (CVPNDRVA)

DRV - [2006.10.02 18:45:40 | 000,126,864 | ---- | M] (Deterministic Networks, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\dne2000.sys -- (DNE)

DRV - [2006.09.15 01:59:34 | 000,016,256 | ---- | M] (Lenovo) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\psadd.sys -- (psadd)

DRV - [2006.03.23 02:03:00 | 000,005,120 | ---- | M] (Lenovo Group Limited) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\PROCDD.SYS -- (PROCDD)

DRV - [2006.03.23 01:13:00 | 000,004,442 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\TPPWRIF.SYS -- (TPPWRIF)

DRV - [2006.02.27 02:52:00 | 000,007,168 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\TSMAPIP.SYS -- (TSMAPIP)

DRV - [2006.02.21 22:46:26 | 001,505,792 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)

DRV - [2006.02.14 12:02:40 | 000,003,328 | ---- | M] (UPEK Inc.) [Kernel | Auto | Running] -- C:\Programme\ThinkVantage Fingerprint Software\smihlp.sys -- (smihlp)

DRV - [2006.01.17 10:18:22 | 000,850,474 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL)

DRV - [2006.01.17 10:14:52 | 000,065,688 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB)

DRV - [2006.01.17 01:52:00 | 000,014,848 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SMAPINT.SYS -- (Smapint)

DRV - [2006.01.17 01:52:00 | 000,009,343 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\TDSMAPI.SYS -- (TDSMAPI)

DRV - [2006.01.13 00:33:22 | 000,006,016 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\IBMBLDID.sys -- (IBMTPCHK)

DRV - [2005.12.21 17:14:58 | 000,012,544 | ---- | M] (IBM) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\ibmfilter.sys -- (ibmfilter)

DRV - [2005.12.21 10:19:10 | 000,470,208 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ar5211.sys -- (AR5211)

DRV - [2005.11.15 13:11:28 | 000,046,142 | R--- | M] (Utimaco Safeware AG) [Kernel | Auto | Running] -- C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\privatediskm.sys -- (PrivateDisk)

DRV - [2005.11.08 09:27:20 | 000,011,520 | ---- | M] (IBM Corp.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ANC.sys -- (ANC)

DRV - [2005.10.26 10:01:02 | 000,142,720 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)

DRV - [2005.08.01 05:10:00 | 000,092,700 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAUDFAM.SYS -- (DLAUDFAM)

DRV - [2005.08.01 05:10:00 | 000,087,004 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAUDF_M.SYS -- (DLAUDF_M)

DRV - [2005.08.01 05:10:00 | 000,086,524 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAIFS_M.SYS -- (DLAIFS_M)

DRV - [2005.08.01 05:10:00 | 000,025,628 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLABOIOM.SYS -- (DLABOIOM)

DRV - [2005.08.01 05:10:00 | 000,014,684 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAOPIOM.SYS -- (DLAOPIOM)

DRV - [2005.08.01 05:10:00 | 000,006,364 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAPoolM.SYS -- (DLAPoolM)

DRV - [2005.08.01 05:10:00 | 000,002,496 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLADResN.SYS -- (DLADResN)

DRV - [2005.07.07 09:03:34 | 000,005,628 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLACDBHM.SYS -- (DLACDBHM)

DRV - [2005.07.07 09:02:56 | 000,022,684 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLARTL_N.SYS -- (DLARTL_N)

DRV - [2005.05.17 05:51:34 | 000,005,315 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\CVirtA.sys -- (CVirtA)

DRV - [2005.01.26 08:22:20 | 000,280,344 | ---- | M] (Zone Labs LLC) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ask.com/?o=13166&l=dis

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 
 ========== FireFox ==========

 

FF - prefs.js..browser.search.defaultthis.engineName: "NCH Customized Web Search"

FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2117678&SearchSource=3&q={searchTerms}"

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23

FF - prefs.js..extensions.enabledItems: {c2db4fe6-8409-45ce-8010-189a7b5cce86}:3.3.5.1

FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.5.1

FF - prefs.js..extensions.enabledItems: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065}:3.2.5.2

FF - prefs.js..network.proxy.type: 4

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()

FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.57\npGoogleUpdate3.dll (Google Inc.)

 

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.18\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.06.22 21:22:03 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.18\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.06.22 21:22:03 | 000,000,000 | ---D | M]

 

[2010.02.14 13:04:29 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Extensions

[2011.07.11 21:13:40 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\extensions

[2011.06.23 22:42:10 | 000,000,000 | ---D | M] (NCH Community Toolbar) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\extensions\{c2db4fe6-8409-45ce-8010-189a7b5cce86}

[2011.07.08 19:28:36 | 000,000,000 | ---D | M] (softonic-de3 Community Toolbar) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}

[2011.06.23 22:42:08 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\extensions\engine@conduit.com

[2011.01.17 15:40:58 | 000,000,909 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Mozilla\Firefox\Profiles\oz3ilbot.default\searchplugins\conduit.xml

[2011.07.11 21:13:40 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions

[2010.05.13 15:42:12 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

[2010.10.07 22:49:37 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}

[2010.12.10 19:13:19 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

[2010.12.21 10:00:06 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}

[2010.04.11 09:43:31 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF

[2010.11.12 19:53:06 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll

[2011.03.10 21:24:02 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml

[2011.03.10 21:24:02 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml

[2011.03.10 21:24:02 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml

[2011.03.10 21:24:03 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml

[2011.03.10 21:24:03 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2011.07.11 21:59:17 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Snapform Viewer PlugIn for IE) - {00AF1458-D967-4C0E-B736-D6D010521EF5} - C:\Programme\SnapFormViewer\Viewer\bin\lib\SFVPlugInIE_x86.dll (Ringler Informatik AG)

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\DLA\DLASHX_W.DLL (Sonic Solutions)

O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)

O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll (Google Inc.)

O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)

O4 - HKLM..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe (Lenovo)

O4 - HKLM..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe (Lenovo)

O4 - HKLM..\Run: [Adobe Acrobat Speed Launcher] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)

O4 - HKLM..\Run: [AwaySch] C:\Programme\Lenovo\AwayTask\AwaySch.EXE (Lenovo Group Limited)

O4 - HKLM..\Run: [BLOG] C:\Programme\ThinkPad\Utilities\BATLOGEX.DLL ()

O4 - HKLM..\Run: [BroadCam] C:\Programme\NCH Software\BroadCam\broadcam.exe (NCH Software)

O4 - HKLM..\Run: [cssauth] C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe (Lenovo Group Limited)

O4 - HKLM..\Run: [DiskeeperSystray] C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe (Diskeeper Corporation)

O4 - HKLM..\Run: [DLA] C:\WINDOWS\system32\DLA\DLACTRLW.EXE (Sonic Solutions)

O4 - HKLM..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd.exe (Hewlett-Packard)

O4 - HKLM..\Run: [HPpromo psc 2400 series] C:\Programme\HP\Digital Imaging\Promotions\HPpromo.exe (hp)

O4 - HKLM..\Run: [ISUSPM Startup] c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation)

O4 - HKLM..\Run: [ISUSScheduler] c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation)

O4 - HKLM..\Run: [PDService.exe] C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe (Utimaco Safeware AG)

O4 - HKLM..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe (Google Inc.)

O4 - HKLM..\Run: [PWRMGRTR] C:\Programme\ThinkPad\Utilities\PWRMGRTR.DLL (Lenovo Group Limited)

O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

O4 - HKLM..\Run: [suScheduler] C:\Programme\ThinkVantage\SystemUpdate\UCLauncher.exe ()

O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)

O4 - HKLM..\Run: [TP4EX] C:\WINDOWS\System32\TP4EX.exe (Lenovo Group Limited)

O4 - HKLM..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe (Lenovo)

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe (Corel Corporation)

O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{176130BC-99A1-41FE-A78B-56045E33AD70}\Icon3E5562ED7.ico ()

O4 - Startup: C:\Dokumente und Einstellungen\sephen\Startmenü\Programme\Autostart\Persbackup.lnk = C:\Programme\Personal Backup 5\Persbackup.exe (J. Rathlev, IEAP, Uni-Kiel)

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O8 - Extra context menu item: Append Link Target to Existing PDF - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O8 - Extra context menu item: Append to Existing PDF - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O8 - Extra context menu item: Convert Link Target to Adobe PDF - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O8 - Extra context menu item: Convert to Adobe PDF - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)

O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm ()

O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)

O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)

O9 - Extra Button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe ()

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189769570031 (WUWebControl Class)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)

O16 - DPF: {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/1.4.2/jinstall-142-win.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: GinaDLL - (vrlogon.dll) - C:\WINDOWS\System32\vrlogon.dll (UPEK Inc.)

O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)

O20 - Winlogon\Notify\AwayNotify: DllName - C:\Programme\Lenovo\AwayTask\AwayNotify.dll - C:\Programme\Lenovo\AwayTask\AwayNotify.dll (Lenovo Group Limited)

O20 - Winlogon\Notify\psfus: DllName - psqlpwd.dll - C:\WINDOWS\System32\psqlpwd.dll (UPEK Inc.)

O20 - Winlogon\Notify\tpfnf2: DllName - notifyf2.dll - C:\WINDOWS\System32\notifyf2.dll ()

O20 - Winlogon\Notify\tphotkey: DllName - tphklock.dll - C:\WINDOWS\System32\tphklock.dll ()

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp

O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2007.04.27 02:32:27 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O32 - AutoRun File - [2009.01.16 03:00:00 | 000,000,027 | R--- | M] () - D:\Autorun.inf -- [ CDFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = ComFile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2011.07.13 21:36:26 | 001,905,664 | ---- | C] (AVAST Software) -- C:\Dokumente und Einstellungen\sephen\Desktop\aswMBR.exe

[2011.07.13 10:46:59 | 001,436,976 | ---- | C] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\sephen\Desktop\tdsskiller.exe

[2011.07.13 10:45:04 | 000,000,000 | -HSD | C] -- C:\RECYCLER

[2011.07.11 21:45:04 | 000,000,000 | RHSD | C] -- C:\cmdcons

[2011.07.11 21:29:18 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe

[2011.07.11 21:29:18 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe

[2011.07.11 21:29:18 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe

[2011.07.11 21:29:18 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe

[2011.07.11 21:29:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT

[2011.07.11 21:14:29 | 000,000,000 | ---D | C] -- C:\Qoobox

[2011.07.11 20:57:20 | 000,026,872 | ---- | C] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\FixTDSS.sys

[2011.07.11 20:57:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\FixTDSS

[2011.07.11 20:54:25 | 004,148,094 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\sephen\Desktop\ComboFix.exe

[2011.07.11 20:54:25 | 001,932,256 | ---- | C] (Symantec Corporation) -- C:\Dokumente und Einstellungen\sephen\Desktop\FixTDSS.exe

[2011.07.10 17:08:51 | 000,579,584 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\sephen\Desktop\OTL.exe

[2011.07.10 11:32:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Anwendungsdaten\Malwarebytes

[2011.07.10 11:31:49 | 000,039,984 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2011.07.10 11:31:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware

[2011.07.10 11:31:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

[2011.07.10 11:31:41 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2011.07.10 11:31:40 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware

[2011.07.10 11:25:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Desktop\Trojaner-Krieg

[2011.07.10 10:52:46 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\sephen\Recent

[2011.07.08 18:07:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Startmenü\Programme\Windows XP Fix

[2011.07.08 08:53:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype

[2011.06.30 14:41:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sephen\Desktop\Spin Glass

[2011.06.20 19:17:18 | 000,404,640 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl

[2011.06.15 21:58:29 | 000,105,472 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mup.sys

[9 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[8 C:\Dokumente und Einstellungen\sephen\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\sephen\Desktop\*.tmp -> ]

[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2011.07.13 22:38:51 | 000,000,512 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\MBR.dat

[2011.07.13 22:24:11 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2011.07.13 21:33:51 | 000,002,423 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk

[2011.07.13 21:33:36 | 000,000,316 | ---- | M] () -- C:\WINDOWS\tasks\PMTask.job

[2011.07.13 21:33:28 | 000,008,880 | ---- | M] () -- C:\WINDOWS\System32\PROCDB.INI

[2011.07.13 21:33:14 | 000,002,278 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2011.07.13 21:33:13 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2011.07.13 21:32:58 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2011.07.13 21:32:56 | 1608,962,048 | -HS- | M] () -- C:\hiberfil.sys

[2011.07.13 21:24:44 | 001,905,664 | ---- | M] (AVAST Software) -- C:\Dokumente und Einstellungen\sephen\Desktop\aswMBR.exe

[2011.07.13 21:23:42 | 000,920,384 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Norton_Removal_Tool.exe

[2011.07.13 12:18:08 | 000,000,410 | ---- | M] () -- C:\WINDOWS\tasks\Personal Backup Test1.job

[2011.07.13 10:45:58 | 001,436,976 | ---- | M] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\sephen\Desktop\tdsskiller.exe

[2011.07.13 10:45:34 | 000,139,264 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\RKUnhookerLE.EXE

[2011.07.13 10:45:26 | 000,080,384 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\MBRCheck.exe

[2011.07.11 21:59:17 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts

[2011.07.11 21:45:11 | 000,000,310 | RHS- | M] () -- C:\BOOT.INI

[2011.07.11 20:57:20 | 000,026,872 | ---- | M] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\FixTDSS.sys

[2011.07.11 20:53:06 | 004,148,094 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\sephen\Desktop\ComboFix.exe

[2011.07.11 20:51:12 | 001,932,256 | ---- | M] (Symantec Corporation) -- C:\Dokumente und Einstellungen\sephen\Desktop\FixTDSS.exe

[2011.07.10 16:16:42 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\sephen\Desktop\OTL.exe

[2011.07.10 12:16:46 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\defogger_reenable

[2011.07.10 12:14:18 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\hdyof2xc.exe

[2011.07.10 12:08:30 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Defogger.exe

[2011.07.10 12:01:18 | 000,684,297 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\unhide.exe

[2011.07.08 18:14:56 | 000,000,040 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~17424164

[2011.06.30 23:04:05 | 000,000,716 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Skype™ Extras Manager.lnk

[2011.06.26 08:45:56 | 000,256,000 | ---- | M] () -- C:\WINDOWS\PEV.exe

[2011.06.24 11:09:22 | 000,828,165 | ---- | M] () -- C:\Dokumente und Einstellungen\sephen\Desktop\e144527.pdf

[2011.06.22 23:59:34 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK

[2011.06.20 19:17:18 | 000,404,640 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl

[9 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[8 C:\Dokumente und Einstellungen\sephen\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\sephen\Desktop\*.tmp -> ]

[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2011.07.13 21:26:35 | 000,920,384 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Norton_Removal_Tool.exe

[2011.07.13 10:46:59 | 000,139,264 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\RKUnhookerLE.EXE

[2011.07.13 10:46:59 | 000,080,384 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\MBRCheck.exe

[2011.07.12 11:08:51 | 000,000,512 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\MBR.dat

[2011.07.11 21:49:59 | 000,001,583 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\McAfee Security Scan Plus.lnk

[2011.07.11 21:45:11 | 000,000,194 | ---- | C] () -- C:\Boot.bak

[2011.07.11 21:45:06 | 000,262,448 | RHS- | C] () -- C:\cmldr

[2011.07.11 21:29:18 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe

[2011.07.11 21:29:18 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe

[2011.07.11 21:29:18 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe

[2011.07.11 21:29:18 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe

[2011.07.11 21:29:18 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe

[2011.07.10 12:28:35 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\hdyof2xc.exe

[2011.07.10 12:16:46 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\defogger_reenable

[2011.07.10 12:15:51 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Defogger.exe

[2011.07.10 12:07:30 | 000,001,720 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk

[2011.07.10 12:07:30 | 000,001,699 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GameSpy Comrade.lnk

[2011.07.10 12:07:30 | 000,001,577 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk

[2011.07.10 12:07:30 | 000,001,528 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ThinkVantage Productivity Center.lnk

[2011.07.10 12:07:30 | 000,000,937 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\HP Bildergalerie.lnk

[2011.07.10 12:07:30 | 000,000,771 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\HP Director.lnk

[2011.07.10 12:07:15 | 000,002,423 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk

[2011.07.10 12:07:15 | 000,001,686 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Corel MEDIA FOLDERS INDEXER 8.LNK

[2011.07.10 12:07:15 | 000,000,662 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Movie Maker.lnk

[2011.07.10 12:07:14 | 000,002,371 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Acrobat Distiller 9.lnk

[2011.07.10 12:07:14 | 000,002,359 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Acrobat 9 Pro.lnk

[2011.07.10 12:07:14 | 000,002,043 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\IBM Java Plug-in-Systemsteuerung 1.4.2.lnk

[2011.07.10 12:07:14 | 000,001,908 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\MSN.lnk

[2011.07.10 12:07:14 | 000,001,871 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe LiveCycle Designer ES 8.2.lnk

[2011.07.10 12:07:14 | 000,001,804 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader 9.lnk

[2011.07.10 12:07:14 | 000,001,744 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Money.LNK

[2011.07.10 12:07:14 | 000,000,830 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\VideoPad Videobearbeitungs-Software.lnk

[2011.07.10 12:07:14 | 000,000,816 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\BroadCam Video Streaming Server.lnk

[2011.07.10 12:07:14 | 000,000,770 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Prism Videodatei-Konverter.lnk

[2011.07.10 12:07:14 | 000,000,717 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\I.R.I.S. OCR-Registrierung.lnk

[2011.07.10 12:07:14 | 000,000,621 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Messenger.lnk

[2011.07.10 12:07:14 | 000,000,322 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Bluetooth-Umgebung.lnk

[2011.07.10 12:01:47 | 000,684,297 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\unhide.exe

[2011.07.08 18:07:35 | 000,000,040 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~17424164

[2011.06.29 13:30:02 | 000,000,722 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Startmenü\Programme\Skype™ Extras Manager.lnk

[2011.06.29 13:30:02 | 000,000,716 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\Skype™ Extras Manager.lnk

[2011.06.24 11:09:22 | 000,828,165 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Desktop\e144527.pdf

[2010.12.19 13:33:55 | 000,000,038 | ---- | C] () -- C:\WINDOWS\TETRIS.INI

[2010.12.19 13:13:08 | 000,306,688 | ---- | C] () -- C:\WINDOWS\Uninstall Spielesammlung.exe

[2010.12.19 13:13:03 | 000,000,380 | ---- | C] () -- C:\WINDOWS\Uninstall Spielesammlung.ini

[2010.06.10 18:09:43 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat

[2010.02.14 13:04:16 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat

[2009.05.10 14:42:30 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll

[2009.02.08 15:43:20 | 000,002,478 | ---- | C] () -- C:\WINDOWS\wincmd.ini

[2008.09.17 18:27:18 | 000,000,056 | ---- | C] () -- C:\WINDOWS\System32\ezsidmv.dat

[2008.08.25 14:10:54 | 000,765,952 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll

[2008.08.25 14:10:53 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll

[2008.05.11 12:12:58 | 000,068,166 | ---- | C] () -- C:\Programme\Gamesload.RPT

[2008.05.05 23:01:15 | 000,004,096 | ---- | C] () -- C:\WINDOWS\d3dx.dat

[2008.02.21 10:03:01 | 000,000,145 | ---- | C] () -- C:\WINDOWS\AVI2MPEG.ini

[2008.02.21 09:54:32 | 000,059,904 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2007.11.11 19:03:57 | 000,034,480 | ---- | C] () -- C:\WINDOWS\hpomdl03.dat

[2007.11.11 19:03:57 | 000,028,982 | ---- | C] () -- C:\WINDOWS\hpoins03.dat

[2007.07.02 19:25:18 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PowerReg.dat

[2007.05.07 21:17:54 | 000,108,032 | ---- | C] () -- C:\WINDOWS\System32\sh33w32.dll

[2007.05.07 21:17:00 | 000,039,095 | ---- | C] () -- C:\WINDOWS\iccsigs.dat

[2007.05.07 21:14:19 | 000,000,465 | ---- | C] () -- C:\WINDOWS\barcode.ini

[2007.05.07 20:32:51 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\Msvcrt10.dll

[2007.05.06 17:49:51 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI

[2007.05.03 13:15:10 | 000,000,000 | ---- | C] () -- C:\WINDOWS\vpc32.INI

[2007.04.27 02:32:17 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\sephen\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat

[2007.03.16 17:00:00 | 000,003,403 | ---- | C] () -- C:\WINDOWS\System32\hptcpmon.ini

[2006.11.10 11:46:36 | 000,197,680 | ---- | C] () -- C:\WINDOWS\System32\vpnapi.dll

[2006.11.10 11:46:24 | 000,193,584 | ---- | C] () -- C:\WINDOWS\System32\CSGina.dll

[2006.09.15 02:04:14 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini

[2006.09.15 02:03:47 | 000,016,384 | ---- | C] () -- C:\WINDOWS\PWMBTHLP.EXE

[2006.09.15 02:03:47 | 000,004,442 | ---- | C] () -- C:\WINDOWS\System32\drivers\TPPWRIF.SYS

[2006.09.15 02:03:31 | 000,006,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\IBMBLDID.sys

[2006.09.15 01:59:55 | 000,032,256 | ---- | C] () -- C:\WINDOWS\System32\drivers\psasrv.exe

[2006.09.15 01:53:51 | 000,000,040 | ---- | C] () -- C:\WINDOWS\System32\profile.dat

[2006.09.15 01:49:48 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll

[2006.09.15 01:49:48 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll

[2006.09.15 01:49:48 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll

[2006.09.15 01:49:48 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll

[2006.09.15 01:49:48 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll

[2006.09.15 01:49:48 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll

[2006.09.15 01:49:14 | 000,028,848 | ---- | C] () -- C:\WINDOWS\System32\drivers\USBkey.sys

[2006.09.15 01:48:42 | 000,000,148 | ---- | C] () -- C:\WINDOWS\wininit.ini

[2006.09.15 01:32:45 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\FPCALL.dll

[2006.09.15 01:31:41 | 000,009,343 | ---- | C] () -- C:\WINDOWS\System32\drivers\TDSMAPI.SYS

[2006.09.15 01:30:29 | 000,147,520 | ---- | C] () -- C:\WINDOWS\_tpiu000.exe

[2006.09.15 01:30:03 | 000,651,264 | ---- | C] () -- C:\WINDOWS\System32\libeay32.dll

[2006.09.15 01:30:03 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\ssleay32.dll

[2006.09.15 01:30:03 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\acs.exe

[2006.09.15 01:29:33 | 000,315,392 | ---- | C] () -- C:\WINDOWS\System32\AegisI5.exe

[2006.09.15 01:29:20 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\TpKmpSvc.exe

[2006.01.27 09:59:50 | 000,002,963 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI

[2006.01.20 16:05:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini

[2006.01.17 10:31:30 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\btprn2k.dll

[2005.10.17 15:22:24 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\DEVMAN.DLL

[2005.07.08 01:06:00 | 000,114,688 | ---- | C] () -- C:\WINDOWS\desktopset.exe

[2005.05.23 08:22:24 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\OEMBIOS.BIN

[2005.05.23 08:22:24 | 000,004,547 | ---- | C] () -- C:\WINDOWS\System32\OEMBIOS.DAT

[2004.08.10 13:48:32 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini

[2004.08.10 13:33:43 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat

[2004.08.10 13:23:42 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat

[2004.08.10 13:18:03 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI

[2004.08.10 13:17:14 | 000,497,048 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2003.08.11 10:44:18 | 000,565,248 | ---- | C] () -- C:\WINDOWS\System32\hpotscl.dll

[2001.11.14 12:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll

[1999.01.22 20:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL

[1980.01.01 00:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat

[1980.01.01 00:00:00 | 000,391,568 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat

[1980.01.01 00:00:00 | 000,380,684 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat

[1980.01.01 00:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat

[1980.01.01 00:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat

[1980.01.01 00:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat

[1980.01.01 00:00:00 | 000,121,995 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat

[1980.01.01 00:00:00 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\SynTPCoI.dll

[1980.01.01 00:00:00 | 000,073,782 | ---- | C] () -- C:\WINDOWS\System32\ibmpmsvc.exe

[1980.01.01 00:00:00 | 000,063,982 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat

[1980.01.01 00:00:00 | 000,053,098 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat

[1980.01.01 00:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin

[1980.01.01 00:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat

[1980.01.01 00:00:00 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\notifyf2.dll

[1980.01.01 00:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat

[1980.01.01 00:00:00 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\tphklock.dll

[1980.01.01 00:00:00 | 000,008,880 | ---- | C] () -- C:\WINDOWS\System32\PROCDB.INI

[1980.01.01 00:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat

[1980.01.01 00:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin

[1980.01.01 00:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat

[1980.01.01 00:00:00 | 000,000,487 | ---- | C] () -- C:\WINDOWS\System32\IPSCTRL.INI
 

< End of report >

Hier das Extras.txt

Code:

OTL Extras logfile created on: 13.07.2011 22:41:39 - Run 3

OTL by OldTimer - Version 3.2.26.1     Folder = C:\Dokumente und Einstellungen\sephen\Desktop

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy

 

1.50 Gb Total Physical Memory | 0.85 Gb Available Physical Memory | 56.50% Memory free

2.35 Gb Paging File | 1.87 Gb Available in Paging File | 79.67% Paging File free

Paging file location(s): C:\pagefile.sys 1024 1536 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 50.91 Gb Total Space | 8.97 Gb Free Space | 17.63% Space Free | Partition Type: NTFS

Drive D: | 135.06 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

 

Computer Name: WEYENETH | User Name: Stephen | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l

 

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]

.html [@ = htmlfile] -- Reg Error: Key error. File not found

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

exefile [open] -- "%1" %*

htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation)

InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [AddToPlaylistVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --playlist-enqueue "%1" ()

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Directory [PlayWithVLC] -- C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --no-playlist-enqueue "%1" ()

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 0

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

"DisableMonitoring" = 1

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 
 ========== System Restore Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

"DisableSR" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]

"Start" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]

"Start" = 2

 
 ========== Firewall Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]

"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007

"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008

"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst

"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst

"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst

"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst

"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst

"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 1

"DisableNotifications" = 0

"DoNotAllowExceptions" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007

"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008

"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst

"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst

"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst

"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst

"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst

"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst

"86:TCP" = 86:TCP:*:Enabled:BroadCam Video Streaming Server Web Server

"1935:TCP" = 1935:TCP:*:Enabled:BroadCam Video Streaming Server Flash Video Server

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"C:\Programme\ThinkVantage\SystemUpdate\jre\bin\javaw.exe" = C:\Programme\ThinkVantage\SystemUpdate\jre\bin\javaw.exe:*:Enabled:ThinkVantage System Update -- (IBM)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\Programme\ThinkVantage\SystemUpdate\jre\bin\javaw.exe" = C:\Programme\ThinkVantage\SystemUpdate\jre\bin\javaw.exe:*:Enabled:ThinkVantage System Update -- (IBM)

"C:\WINDOWS\system32\mmc.exe" = C:\WINDOWS\system32\mmc.exe:*:Enabled:Microsoft Management Console -- (Microsoft Corporation)

"C:\Dokumente und Einstellungen\sephen\Lokale Einstellungen\Temp\7zS13.tmp\SymNRT.exe" = C:\Dokumente und Einstellungen\sephen\Lokale Einstellungen\Temp\7zS13.tmp\SymNRT.exe:*:Enabled:Norton Removal Tool

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium

"{075473F5-846A-448B-BCB3-104AA1760205}" = RecordNow Data

"{0868BB9D-5EA0-40AF-A1CC-A38ED4E5BC67}" = 32 Bit HP CIO Components Installer

"{092eeeee-9fdd-4895-a568-0818c96beb6c}" = AiO_Scan

"{1007F41F-7D69-468E-8017-3849A5A973C2}" = ThinkVantage Technologies Welcome Message

"{1206EF92-2E83-4859-ACCB-2048C3CB7DA6}" = Sonic DLA

"{1297C681-92D7-40EF-93BF-03F66EC5105C}" = ThinkPad-Dienstprogramm 'EasyEject'

"{176130BC-99A1-41FE-A78B-56045E33AD70}" = Cisco Systems VPN Client 4.8.02.0010

"{176B3593-72F1-459C-829C-5E9671E2CB35}" = GameSpy Comrade

"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer

"{2111B23F-7FDA-4A41-8309-E5A1663CA296}" = Dienstprogramm 'ThinkPad-Tastaturanpassung'

"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer

"{261C86E1-7FAE-4F47-AE51-835F127AC0A1}" = HPpromotions

"{26A24AE4-039D-4CA4-87B4-2F83216019FF}" = Java(TM) 6 Update 23

"{2A43FF29-0D97-4445-B82D-9324F176AED5}" = ThinkVantage System Update

"{2E132061-C78A-48D4-A899-1D13B9D189FA}" = Memories Disc Creator 2.0

"{2F1FD032-67D1-4569-923F-47EAF132BF0F}" = DocProc

"{30465B6C-B53F-49A1-9EBA-A3F187AD502E}" = Sonic Update Manager

"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{36A1E3D6-288A-4EEE-A081-30D9808B2BE3}" = Joe

"{3B47A107-0473-4BD7-8BAB-A14FBC995C6B}" = ATI Catalyst Control Center

"{3CF78481-FB7B-4B51-99A2-D5E0CD0B3AAF}" = HPSystemDiagnostics

"{3EA9D975-BFDC-4E8E-B88B-0446FBC8CA66}" = ATI HYDRAVISION

"{3F4EC965-28EF-45C3-B063-04B25D4E9679}" = ThinkPad Bluetooth with Enhanced Data Rate Software

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{4FB6F304-A91D-4919-98E5-D96E074EA9E5}" = SkinsHP1

"{54e854d5-d5d4-452d-9c75-b39f5625b5fb}" = Readme

"{5ADF6293-D60F-4425-AFA7-CEB820DB872B}" = QuickProjects

"{642a22b1-7ab8-44b5-84b9-e58eecf8ece2}" = 2400_2500Help

"{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}" = Sonic Express Labeler

"{70F8B183-99EB-4304-BA35-080E2DFFD2A3}" = Age of Empires III

"{72806716-7088-41B2-8FA6-717A2A164DAB}" = ThinkVantage System für aktiven Festplattenschutz

"{745A92AF-53B4-41A7-91C3-9B026B1D5897}" = InstantShare

"{7EB114D8-207F-45AE-BABD-1669715F2630}" = ThinkVantage Access Connections

"{7FC3BBEC-5A91-41B0-9CB8-960EC4421411}" = InterVideo WinDVD Creator

"{82512BC9-BD5D-4C50-BE4D-B98E7DF78687}" = ThinkPad-UltraNav-Assistent

"{829698DE-9EAC-475E-9A05-B7BA807CA1EF}" = Director

"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable

"{8777AC6D-89F9-4793-8266-DE406F343E89}" = QFolder

"{8E726115-FCBE-43B1-9FB7-06E8E25F9ABE}" = Diskeeper Lite

"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system

"{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}" = InterVideo WinDVD

"{939227BD-19D8-4684-8A04-31AC9F6A564C}" = Scan

"{9441cb44-9729-4962-9ce1-c7752350fe52}" = 23_24_2500Tour

"{986F64DC-FF15-449D-998F-EE3BCEC6666A}" = Help Center

"{98e3d87f-6946-468d-b34e-9f89ac8da70a}" = 2400

"{9F4EEA0C-7174-4BD3-89AF-7AB2F9F6AEDD}" = hpmdtab

"{9FAC9E5C-0D20-4DBF-AFE5-2E09C52A95A2}" = ThinkPad Wireless LAN Adapters Software (11a/b, 11b/g, 11a/b/g)

"{A0E64EBA-8BF0-49FB-90C0-BB3D781A2016}" = ThinkPad Energie-Manager

"{A1314B1F-B426-4CEA-968D-B0DE02BF1676}" = KI6220

"{A363B66C-1547-47bf-90F0-3834E70A841A}" = CreativeProjects

"{A8AD990E-355A-4413-8647-A9B168978423}_is1" = UltraVNC v1.0.2

"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper

"{AB708C9B-97C8-4AC9-899B-DBF226AC9382}" = RecordNow Audio

"{AC76BA86-1033-0000-7760-000000000004}" = Adobe Acrobat 9 Pro

"{AC76BA86-1033-0000-7760-000000000004}_943" = Adobe Acrobat 9.4.3 - CPSID_83708

"{AC76BA86-1033-0000-7760-000000000004}{AC76BA86-1033-0000-7760-000000000004}" = Adobe Acrobat 9 Pro

"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.0 - Deutsch

"{B12665F4-4E93-4AB4-B7FC-37053B524629}" = RecordNow Copy

"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Toolbars

"{BF90215F-2D7B-4C84-8A24-A03BC41B95DD}" = Rescue and Recovery - Client Security Solution

"{c330461f-c4a9-4fc7-af5d-c158e0b56aa7}" = AiOSoftware

"{C38BC5B7-62D3-4880-82DD-A4803FD81921}" = PhotoGallery

"{C54ED2B6-1AF2-416F-BBA8-5E2B8CDCB5C4}" = XP Themes

"{C6FA39A7-26B1-480A-BC74-6D17531AC222}" = Access Help

"{C9A162C1-031F-4EBF-A3E6-C45F7FCCBB9E}_is1" = Genie Backup Assistant

"{CA89B56F-E71B-4E08-82A9-580533E1C048}" = System Migration Assistant

"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1

"{CC0A24CB-87C9-4F1C-A1F2-F87D8D4DDCAF}" = HP Software Update

"{CDBFC424-DD00-497F-9BDC-4E4178332336}" = ThinkVantage Fingerprint Software 5.4

"{CE4F8FFB-4063-4247-9F14-ECE61AFEFA25}" = TrayApp

"{CF5737AF-8550-4546-A69B-0EA9EF5A9B55}" = ThinkVantage Productivity Center

"{CFD1B282-555D-494d-8231-4175C2AF08C2}" = PrintScreen

"{D1D8C9C4-89BE-4f37-9EC4-B80E3C239C41}" = Copy

"{d40e4a88-ebc8-4d52-be3c-a4917a057ef0}" = Fax

"{D545BB81-DEB0-49f7-BE26-197BC31AAF57}" = SkinsHP2

"{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}" = Skype™ 5.3

"{D728E945-256D-4477-B377-6BBA693714AC}" = Ergänzung zu Productivity Center für ThinkPad

"{E4ABB302-9D82-4D18-83D5-AD1DFE786AA8}" = Unload

"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack

"{E7E836B8-4BDD-454F-82E6-5FEA17C83AD4}" = Message Center

"{E922961C-6DB6-41DE-9FEA-426DF3E9F81C}" = IBM 32-bit Runtime Environment for Java 2, v1.4.2

"{EA664480-3844-11D5-8C25-444553540000}" = Funktion "TrackPoint-Eingabehilfen"

"{ec7d7a6a-31cb-4810-826f-74171bef44f1}" = AIOMinimal

"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX

"{F386C340-DF4B-4BBA-9503-420FB7EDB395}" = Wallpapers

"{F38FA38A-7E5A-4209-88ED-4DE21CD20EEF}" = HP PSC & OfficeJet 3.0

"{f409f2fe-2567-446f-a220-e60cd7e016f4}" = 2400_2500trb

"{FBBF532A-47AC-457d-AC06-0D3163D8911E}" = WebReg

"{FC081D4D-DF1B-4CF1-B530-027E4118D846}" = ThinkPad-Konfiguration

"2841-5017-1617-4151" = Snapform Viewer 1.7.7

"6901-5136-2669-7101" = EasyTax 2010 AG 1.0

"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software

"ATI Display Driver" = ATI Display Driver

"AVI2MPEG" = AVI2MPEG

"AVS Update Manager_is1" = AVS Update Manager 1.0

"AVS4YOU Software Navigator_is1" = AVS4YOU Software Navigator 1.4

"AVS4YOU Video Converter 6_is1" = AVS Video Converter 6

"AVS4YOU Video Converter 7_is1" = AVS Video Converter 7

"AwayTask" = ThinkVantage Away Manager

"BroadCam" = BroadCam Video Streaming Server

"CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFA&SUBSYS_10140588" = ThinkPad Modem

"Corel Uninstaller" = Corel Uninstaller

"EasyTax 2007 AG 1.0" = EasyTax 2007 AG 1.0

"EasyTax 2008 AG 1.0" = EasyTax 2008 AG 1.0

"EasyTax 2009 AG 1.0" = EasyTax 2009 AG 1.0

"Free YouTube Download_is1" = Free YouTube Download 2.2

"GPStill" = PStill PostScript to PDF Converter (remove only)

"HP Color LaserJet CP4520 Series PCL6,HP Color LaserJet CP4020 Series PCL6" = HP Color LaserJet CP4520 Series PCL6,HP Color LaserJet CP4020 Series PCL6 [HP Color LaserJet CP4520 Series PCL6]

"HP Photo & Imaging" = HP Photo & Imaging 3.1

"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs

"ie7" = Windows Internet Explorer 7

"ie8" = Windows Internet Explorer 8

"InstallShield_{70F8B183-99EB-4304-BA35-080E2DFFD2A3}" = Age of Empires III

"InstallShield_{E922961C-6DB6-41DE-9FEA-426DF3E9F81C}" = IBM 32-bit Runtime Environment for Java 2, v1.4.2

"Jpeg2Ps-1.9-1_is1" = GnuWin32: Jpeg2Ps-1.9-1

"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.0.1200

"Mathematica 4.0.0.0 P" = Mathematica 4

"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1

"MiKTeX 2.7" = MiKTeX 2.7

"Mozilla Firefox (3.6.18)" = Mozilla Firefox (3.6.18)

"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP

"MSMONEYV80" = Microsoft Money 2000

"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs

"Origin 6.1" = Origin 6.1

"PC-Doctor 5 for Windows" = PC-Doctor 5 for Windows

"PCMCIAPW" = ThinkPad PC Card Power Policy

"Personal Backup 5_is1" = Personal Backup 5.0

"Picasa2" = Picasa 2

"POV-Ray for Windows v3.6" = POV-Ray for Windows v3.6.1c

"Power Management Driver" = ThinkPad Power Management Driver

"Prism" = Prism Videodatei-Konverter

"Remove Multimedia Center" = Remove Multimedia Center

"SynTPDeinstKey" = ThinkPad UltraNav Driver

"TeXnicCenter_is1" = TeXnicCenter Version 1 Beta 7.01 (Greengrass)

"ThinkPad FullScreen Magnifier" = ThinkPad FullScreen Magnifier

"ThinkPadSoftwareInstaller" = Software Installer

"Totalcmd" = Total Commander (Remove or Repair)

"Uninstall_is1" = Uninstall 1.0.0.1

"VideoPad" = VideoPad Videobearbeitungs-Software

"VLC media player" = VLC media player 0.9.8a

"Windows Media Format Runtime" = Windows Media Format 11 runtime

"Windows Media Player" = Windows Media Player 11

"Windows XP Service Pack" = Windows XP Service Pack 3

"WinRAR archiver" = WinRAR

"WMFDist11" = Windows Media Format 11 runtime

"wmp11" = Windows Media Player 11

"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0

"Xvid_is1" = Xvid 1.1.3 final uninstall

 
 ========== Last 10 Event Log Errors ==========

 

[ Application Events ]

Error - 07.07.2011 14:03:26 | Computer Name = WEYENETH | Source = crypt32 | ID = 131080

Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer

 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>

 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.

.

 

Error - 07.07.2011 14:03:26 | Computer Name = WEYENETH | Source = crypt32 | ID = 131080

Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer

 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>

 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.

.

 

Error - 08.07.2011 03:17:19 | Computer Name = WEYENETH | Source = Application Error | ID = 1000

Description = Fehlgeschlagene Anwendung skype.exe, Version 5.3.0.120, fehlgeschlagenes

 Modul , Version 0.0.0.0, Fehleradresse 0x00000000.

 

Error - 08.07.2011 05:16:19 | Computer Name = WEYENETH | Source = Application Error | ID = 1000

Description = Fehlgeschlagene Anwendung skype.exe, Version 5.3.0.120, fehlgeschlagenes

 Modul , Version 0.0.0.0, Fehleradresse 0x00000000.

 

Error - 08.07.2011 07:43:29 | Computer Name = WEYENETH | Source = Application Error | ID = 1000

Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes

 Modul unknown, Version 0.0.0.0, Fehleradresse 0x4ebb74b2.

 

Error - 08.07.2011 07:43:37 | Computer Name = WEYENETH | Source = Application Error | ID = 1000

Description = Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes

 Modul dbghelp.dll, Version 5.1.2600.5512, Fehleradresse 0x0001295d.

 

Error - 08.07.2011 16:59:12 | Computer Name = WEYENETH | Source = McLogEvent | ID = 259

Description = 

 

Error - 08.07.2011 17:20:25 | Computer Name = WEYENETH | Source = McLogEvent | ID = 259

Description = 

 

Error - 10.07.2011 12:41:27 | Computer Name = WEYENETH | Source = McLogEvent | ID = 259

Description = 

 

Error - 10.07.2011 16:13:14 | Computer Name = WEYENETH | Source = McLogEvent | ID = 259

Description = 

 

[ System Events ]

Error - 11.07.2011 15:24:31 | Computer Name = WEYENETH | Source = Service Control Manager | ID = 7034

Description = Dienst "McAfee McShield" wurde unerwartet beendet. Dies ist bereits

 1 Mal passiert.

 

Error - 11.07.2011 15:31:18 | Computer Name = WEYENETH | Source = Service Control Manager | ID = 7031

Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet

 beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden

 in 30000 Millisekunden durchgeführt: Starten Sie den Dienst neu..

 

Error - 11.07.2011 15:47:22 | Computer Name = WEYENETH | Source = Service Control Manager | ID = 7034

Description = Dienst "IBM KCU Service" wurde unerwartet beendet. Dies ist bereits

 1 Mal passiert.

 

Error - 11.07.2011 15:47:22 | Computer Name = WEYENETH | Source = Service Control Manager | ID = 7034

Description = Dienst "ThinkVantage System Update" wurde unerwartet beendet. Dies

 ist bereits 1 Mal passiert.

 

Error - 11.07.2011 15:47:22 | Computer Name = WEYENETH | Source = Service Control Manager | ID = 7034

Description = Dienst "Ac Profile Manager Service" wurde unerwartet beendet. Dies

 ist bereits 1 Mal passiert.

 

Error - 11.07.2011 15:47:22 | Computer Name = WEYENETH | Source = Service Control Manager | ID = 7034

Description = Dienst "ACU Configuration Service" wurde unerwartet beendet. Dies 

ist bereits 1 Mal passiert.

 

Error - 11.07.2011 15:47:26 | Computer Name = WEYENETH | Source = Service Control Manager | ID = 7031

Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet

 beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden

 in 30000 Millisekunden durchgeführt: Starten Sie den Dienst neu..

 

Error - 11.07.2011 15:49:43 | Computer Name = WEYENETH | Source = Service Control Manager | ID = 7031

Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet

 beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden

 in 30000 Millisekunden durchgeführt: Starten Sie den Dienst neu..

 

Error - 11.07.2011 15:50:29 | Computer Name = WEYENETH | Source = Service Control Manager | ID = 7031

Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet

 beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden

 in 30000 Millisekunden durchgeführt: Starten Sie den Dienst neu..

 

Error - 11.07.2011 15:58:38 | Computer Name = WEYENETH | Source = sr | ID = 1

Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im 

Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung

 wurde angehalten.

 

 

< End of report >

Gruss
West79