Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bundespolizei-Schaedling! (https://www.trojaner-board.de/104745-bundespolizei-schaedling.html)

Walker_K 03.11.2011 16:12
Bundespolizei-Schaedling!
 
Hallo liebe Forumsgemeinde!
Ich bin neu hier und habe mich schon belesen.
Folgendes: Ich habe hier einen Rechner eines guten Bekannten,
bei dem der "Bundespolizei - Schädling" auf dem Rechner ist!
Mit dem Computer kann man folglich nicht mehr arbeiten, da der komplette
Desktop durch die fingierte Warnmeldung gesperrt ist!
Ich hoffe Ihr koennt mir helfen:heulen

Bereits unternommene Maßnahmen:

2 komplette Durchläufe mit Kaspersky Rescue Disk 10 (upgedatet) - ohne Erfolg
1 Scan mit OTL - Live-CD...
Hier die Logfile:

OTL logfile created on: 11/3/2011 7:00:19 PM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 88.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149.05 Gb Total Space | 118.00 Gb Free Space | 79.17% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet003

========== Win32 Services (SafeList) ==========

SRV - [2011/06/17 09:30:26 | 000,072,464 | ---- | M] (SANDBOXIE L.T.D) [Auto] -- C:\Programme\Sandboxie\SbieSvc.exe -- (SbieSvc)
SRV - [2008/11/25 07:59:28 | 000,164,097 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Workstation\avmailc.exe -- (AntiVirMailService)
SRV - [2008/11/03 20:06:28 | 000,441,712 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2008/10/24 09:30:12 | 000,068,865 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Workstation\sched.exe -- (AntiVirScheduler)
SRV - [2008/10/24 09:30:08 | 000,151,297 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Workstation\avguard.exe -- (AntiVirService)
SRV - [2008/08/29 04:00:30 | 000,033,752 | ---- | M] (NOS Microsystems Ltd.) [On_Demand] -- C:\Programme\NOS\bin\getPlus_HelperSvc.exe -- (getPlus(R) Helper) getPlus(R)
SRV - [2008/06/12 08:59:46 | 000,258,305 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Workstation\AVWEBGRD.EXE -- (antivirwebservice)
SRV - [2008/05/09 07:22:40 | 000,041,217 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Workstation\avesvc.exe -- (AVEService)
SRV - [2007/08/23 11:40:48 | 000,079,136 | ---- | M] (Hewlett-Packard Company) [Auto] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2007/06/27 13:04:00 | 000,279,848 | ---- | M] (Nero AG) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2007/06/25 02:47:12 | 001,552,680 | ---- | M] (Nero AG) [Auto] -- C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe -- (InCDsrv)
SRV - [2006/10/26 08:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - [2011/06/17 09:30:20 | 000,128,272 | ---- | M] (SANDBOXIE L.T.D) [Kernel | On_Demand] -- C:\Programme\Sandboxie\SbieDrv.sys -- (SbieDrv)
DRV - [2011/01/14 09:06:40 | 000,277,352 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2009/05/28 00:44:45 | 000,075,096 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009/05/28 00:44:35 | 000,052,056 | ---- | M] (Avira GmbH) [File_System | On_Demand] -- C:\Programme\Avira\AntiVir Workstation\avgntflt.sys -- (avgntflt)
DRV - [2009/05/28 00:44:33 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Workstation\avgio.sys -- (avgio)
DRV - [2008/09/09 12:07:36 | 004,813,824 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007/11/08 13:03:26 | 000,021,248 | ---- | M] (AVIRA GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2007/06/25 02:47:12 | 000,038,440 | ---- | M] (Nero AG) [Kernel | System] -- C:\WINDOWS\system32\drivers\InCDRm.sys -- (incdrm)
DRV - [2007/06/25 02:47:12 | 000,036,776 | ---- | M] (Nero AG) [Kernel | System] -- C:\WINDOWS\system32\drivers\InCDPass.sys -- (InCDPass)
DRV - [2007/06/25 02:47:12 | 000,016,040 | ---- | M] (Nero AG) [Recognizer | System] -- C:\WINDOWS\System32\drivers\InCDrec.sys -- (InCDrec)
DRV - [2007/06/25 02:47:02 | 000,119,080 | ---- | M] (Nero AG) [File_System | Disabled] -- C:\WINDOWS\system32\drivers\InCDfs.sys -- (InCDfs)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========



IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0


IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\USER_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\USER_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0




========== FireFox ==========

FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p="
FF - prefs.js..browser.search.param.yahoo-fr: "moz2-ytff-"
FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "moz2-ytff-"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..keyword.URL: "hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p="


FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011/09/08 03:40:43 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011/06/19 11:05:26 | 000,000,000 | ---D | M]

[2008/10/22 09:25:33 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\USER\Anwendungsdaten\mozilla\Extensions
[2011/10/25 05:49:13 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\USER\Anwendungsdaten\mozilla\Firefox\Profiles\rd7trppe.default\extensions
[2009/09/03 01:03:27 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\USER\Anwendungsdaten\mozilla\Firefox\Profiles\rd7trppe.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011/10/25 05:49:13 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\USER\Anwendungsdaten\mozilla\Firefox\Profiles\rd7trppe.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2011/06/19 10:59:53 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010/06/18 01:22:50 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010/08/23 08:59:56 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010/11/09 13:02:07 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011/01/13 08:06:57 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
File not found (No name found) --
[2008/10/23 03:54:03 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011/09/08 03:40:42 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2010/11/12 13:53:06 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011/06/19 11:05:21 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011/06/19 11:05:21 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011/06/19 11:05:21 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011/06/19 11:05:21 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011/06/19 11:05:21 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011/06/19 11:05:21 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

Hosts file not found
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Workstation\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe (Nero AG)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe (Nero AG)
O4 - HKU\.DEFAULT..\Run: [8DDYX0ZBPZ] File not found
O4 - HKU\USER_ON_C..\Run: [4E3E0230AEBB4E96] File not found
O4 - HKU\USER_ON_C..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKU\USER_ON_C..\Run: [SandboxieControl] C:\Programme\Sandboxie\SbieCtrl.exe (SANDBOXIE L.T.D)
O4 - HKU\Administrator.NAME-B060D05CFD_ON_C..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe (Nero AG)
O4 - HKU\Administrator_ON_C..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe (Nero AG)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator.NAME-B060D05CFD_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\USER_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} hxxp://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab (get_atlcom Class)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Foundstone Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008/09/22 10:19:34 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: ntkrdt32 - (C:\WINDOWS\system32\logmsmui.dll) - File not found
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2011/11/02 23:13:12 | 009,852,544 | ---- | C] (Malwarebytes Corporation ) -- C:\mbam-setup-1.51.2.1300.exe
[2011/11/02 23:09:36 | 000,000,000 | ---D | C] -- C:\_OTL
[1996/11/17 18:00:00 | 000,018,944 | ---- | C] ( ) -- C:\WINDOWS\System32\IMPLODE.DLL

========== Files - Modified Within 30 Days ==========

[2011/11/03 12:20:49 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011/11/03 12:20:00 | 000,000,252 | -H-- | M] () -- C:\WINDOWS\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
[2011/11/03 12:18:39 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011/11/03 12:18:24 | 000,000,252 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011/11/03 12:18:23 | 000,000,252 | -H-- | M] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2011/11/02 23:13:15 | 009,852,544 | ---- | M] (Malwarebytes Corporation ) -- C:\mbam-setup-1.51.2.1300.exe
[2011/10/30 05:16:18 | 000,487,584 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011/10/30 05:16:18 | 000,444,456 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011/10/30 05:16:18 | 000,095,570 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011/10/30 05:16:18 | 000,072,332 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011/10/28 03:30:08 | 000,000,732 | ---- | M] () -- C:\WINDOWS\ODBC.INI
[2011/10/14 02:54:09 | 000,266,208 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011/10/14 02:12:40 | 000,000,118 | ---- | M] () -- C:\WINDOWS\System32\MRT.INI
[2011/10/14 02:10:54 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK

========== Files Created - No Company Name ==========

[2011/10/20 06:57:48 | 001,018,775 | ---- | C] () -- C:\Dokumente und Einstellungen\USER\Eigene Dateien\CIMG2008.JPG
[2011/10/14 02:12:40 | 000,000,118 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2011/07/29 08:55:22 | 000,001,240 | ---- | C] () -- C:\WINDOWS\Sandboxie.ini
[2011/07/29 06:44:27 | 000,081,936 | ---- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2010/12/06 16:09:09 | 000,230,440 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2010/04/21 03:42:41 | 000,000,016 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\kcmdte.dat
[2010/04/21 03:42:39 | 000,000,004 | ---- | C] () -- C:\Dokumente und Einstellungen\USER\Anwendungsdaten\avdrn.dat
[2008/10/28 11:44:42 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008/10/28 11:44:39 | 000,032,256 | ---- | C] () -- C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008/10/22 09:31:31 | 000,000,732 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008/10/22 09:26:44 | 000,015,602 | ---- | C] () -- C:\WINDOWS\System32\SELF32.INI
[2008/10/22 09:26:43 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\cmll10sx.dll
[2008/10/22 09:26:38 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\LicenseDLL.dll
[2008/10/22 09:26:38 | 000,063,488 | ---- | C] () -- C:\WINDOWS\System32\EZTW32.DLL
[2008/10/22 09:26:38 | 000,061,952 | ---- | C] () -- C:\WINDOWS\System32\QFNDUW32.DLL
[2008/10/22 09:26:38 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\MouseHook.dll
[2008/10/22 09:26:38 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\QFW32HMB.dll
[2008/10/22 09:25:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2008/09/22 11:43:01 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2008/09/22 11:14:21 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008/09/22 11:13:45 | 000,266,208 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2008/09/22 11:08:27 | 000,002,480 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2008/09/22 11:08:19 | 000,487,584 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008/09/22 11:08:19 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008/09/22 11:08:19 | 000,095,570 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008/09/22 11:08:19 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008/09/22 11:08:09 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008/09/22 11:08:06 | 000,444,456 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008/09/22 11:08:06 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008/09/22 11:08:06 | 000,072,332 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008/09/22 11:08:06 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008/09/22 11:08:05 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2008/09/22 11:08:05 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2008/09/22 11:08:03 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2008/09/22 11:08:02 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008/09/22 11:08:01 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008/09/22 11:07:58 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008/09/22 11:07:55 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008/09/22 10:45:36 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4935.dll
[2008/09/22 10:29:34 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/09/22 10:26:46 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2008/09/22 10:20:51 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008/09/22 10:17:55 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008/05/26 16:23:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini
[2008/05/26 16:23:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini
[2008/05/26 16:23:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini
[2008/05/26 15:59:42 | 000,018,904 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschematrivial.bin
[2008/05/26 15:59:40 | 000,106,605 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschema.bin
[2001/11/28 04:08:40 | 000,029,378 | ---- | C] () -- C:\WINDOWS\System32\pkunzip.exe
[2000/04/25 07:58:08 | 000,046,592 | ---- | C] () -- C:\WINDOWS\System32\Wrkgadm.exe
[1996/11/17 18:00:00 | 000,748,160 | ---- | C] () -- C:\WINDOWS\System32\CO2C40EN.DLL
[1996/11/17 18:00:00 | 000,124,256 | ---- | C] () -- C:\WINDOWS\System32\U2DMAPI.DLL
[1996/11/17 18:00:00 | 000,109,568 | ---- | C] () -- C:\WINDOWS\System32\U2FHTML.DLL
[1996/11/17 18:00:00 | 000,097,489 | ---- | C] () -- C:\WINDOWS\System32\U2FCR.DLL
[1996/11/17 18:00:00 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\U2FWKS.DLL
[1996/11/17 18:00:00 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\U2FTEXT.DLL
[1996/11/17 18:00:00 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\U2FSEPV.DLL
[1996/11/17 18:00:00 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\U2FREC.DLL
[1996/11/17 18:00:00 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\U2FDIF.DLL
[1996/11/17 18:00:00 | 000,039,936 | ---- | C] () -- C:\WINDOWS\System32\CRXLAT32.DLL

========== LOP Check ==========

[2008/09/30 10:28:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.NAME-B060D05CFD\Anwendungsdaten\Windows Desktop Search
[2008/09/22 10:42:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Desktop Search
[2011/03/01 05:43:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\USER\Anwendungsdaten\TeamViewer
[2008/09/30 10:28:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\USER\Anwendungsdaten\Windows Desktop Search
[2008/10/28 11:43:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\USER\Anwendungsdaten\Windows Search
[2009/07/14 10:41:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe
[2011/11/03 12:18:24 | 000,000,252 | -H-- | M] () -- C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011/11/03 12:20:00 | 000,000,252 | -H-- | M] () -- C:\WINDOWS\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
[2011/11/03 12:18:23 | 000,000,252 | -H-- | M] () -- C:\WINDOWS\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job

========== Purity Check ==========


< End of report >

markusg 03.11.2011 16:24
hi.
hast du nen usb stick zur hand? da musst du mal das folgende tool drauf kopieren:
combofix:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

bitte starte den pc mal in den abgesicherten modus mit eingabeaufforderung, meist erreicht man den abgesicherten modus bei pc start wenn man ein paar mal f8 drückt.
dort wird dann eine box aufgehen in die du etwas eingeben kannst.
dort müssen wir raus finden, was dein usb stick ist.
gib folgendes ein:
d:\combofix.exe
enter
falls das nicht klappt
e:\combofix.exe
enter
usw.
bis es gefunden wurde.
lass das programm, falls nötig, den pc neu starten in den normalen modus, poste dann das log.

Walker_K 03.11.2011 16:57
So, ComboFix läuft, aber es hat festgestellt dass der Virenscanner/Antivirus
aktiv ist, (AviraAntiVir) diesen konnte ich nicht abstellen, wie auch im abgesicherten Modus mit Eingabeaufforderung???

Mfg Walker_K

markusg 03.11.2011 16:59
egal, überspring das einfach.

Walker_K 03.11.2011 17:38
Alles klar! Der PC läuft wieder, jedoch bin ich mir nicht sicher ob noch etwas
von dem Schädlich auf dem Rechner verblieben ist.

Laut ComboFix war die explorer.exe infiziert, jedoch wurde die explorer.exe
vom Schädling befreit bzw. neu aufgespielt.


Zunächst einmal hier die die LOG vom ComboFix im Anhang!!
Wie soll ich nun weiter verfahren um sicher zu gehen??
Neuinstallation ist absolut nicht zu machen, da sehr wichtige
Programme installiert wurden und der PC auch geschäftlich
benutzt wird und Spezialprogramme auch vorhanden sind,
diese neu zu installieren und vor allem neu einzurichten würde Wochen
dauern!!


MfG Walker_K

markusg 03.11.2011 17:42
wenn man doch so wichtige programme auf dem pc hatt, und man nutzt den pc geschäftlich, warum hat man dann kein backup?
was machst du zb wenn dir mal die festplatte kaputt geht?
öffne arbeitsplatz c: rechtsklick qoobox, dann mit winrar oder zip oder nem andern pack programm packen und nach link hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
machst du vom dem pc onlinebanking einkäufe oder werden zb sensible kundendaten verwaltet oder andere sensible daten?

Walker_K 03.11.2011 17:57
Hallo!
Es ist nicht mein Computer, der Anwender dem das System gehört
hat mir verboten den Rechner zu formatieren bzw. Neuinstallation.


Zum hochladen von Qoobox:

WinRAR kann nicht auf BackEnv zugreifen... Ist das normal???
Das rchiv ist dann ja unvollständig?!
AntiVir ist deaktiviert.

markusg 03.11.2011 18:01
ne ist ok.
ich kann dir nur sagen, es ist, sorry für die harten worte, unverantwortlich dieses system weiter laufen zu lassen.
da ist nen trojan zbot aktiv, und nen spyeye trojaner + dem bka trojaner.
zbot und spyeye stehelen daten, und das system wird nie wieder vertrauenswürdig sein.
muss mir außerdem noch ne datei ansehen, wo ich noch nicht weis ob und was für nen trojaner das ist.
ich denke nur, besonders geschäftlich genutzte pcs, besonders wenn sie mit kundendaten in berührung kommen oder mit anderen sensiblen daten, müssen sauber sein. bei kundendaten besonders, denn man hat ja noch ne verantwortung diesen gegen über.

markusg 03.11.2011 18:06
und jetzt muss ich noch mal nachfragn
"der anwender dem das system gehört" bist du aus der it abteilung oder warum hast du nen firmen pc zum bereinigen?

Walker_K 03.11.2011 18:13
Das System enthält keine Kundendaten oder Rechnungsprogramme
Lediglich für die Mitarbeiter zum arbeiten mit speziellen Programmen
für Messinstrumente.

E-Mails werden noch mit MS Outlook abgerufen! Ich weis
nicht was der/die Mitarbeiter sonst noch mit machen.

Was für "krasse" Trojaner sind da den aktiv? Bundestrojaner Spyeye und Trojan zbot???? Sind die im Moment alle immer noch aktiv????:teufel1: Außer dass ich mich jetzt hier in dieses Forum eingeloggt habe wurden sonst keine Passwörter eingegeben!

MfG Walker_K

markusg 03.11.2011 18:16
hi, ich benötige mal den upload bitte in den upload channel, wie gesagt muss ich mir da noch was ansehen.
naja, diese trojaner können theoretisch malware nachladen die wir dann evtl. nicht finden, außerdem kann eine neu infektion erleichtert werden.
ich sehe außerdem reste alter infektionen, der pc hat also schon was hinter sich.
mit diesen trojanern können dann zb auch straftaten begangen werden. dDos angriffe zb spam versand usw.

Walker_K 03.11.2011 19:06
Hallo markusg!

Ich war gerade verhindert, jetzt bin ich wieder online!
Ich habe die Qoobox.rar hochgeladen!

Außerdem habe ich noch mit Malwarebytes-Anti-Malware den PC gescannt!
Das Programm hat 3 Trojaner gefunden (inklusive der Qoobox explorer.exe die habe ich nicht entfernt wegen dem Upload)

MfG Walker_K

markusg 03.11.2011 19:09
ja und das log, wie soll ichs auswerten wenn ich es nicht sehe? danke für den upload

Walker_K 03.11.2011 19:16
Hier noch das LOG im Anhang!!

markusg 03.11.2011 19:43
nutze den tdss killer
http://www.trojaner-board.de/82358-t...entfernen.html
log posten

Walker_K 03.11.2011 20:20
Hier das LOG vom TDSSKiller:


20:17:37.0500 2244 TDSS rootkit removing tool 2.6.15.0 Nov 3 2011 17:15:49
20:17:37.0843 2244 ============================================================
20:17:37.0843 2244 Current date / time: 2011/11/03 20:17:37.0843
20:17:37.0843 2244 SystemInfo:
20:17:37.0843 2244
20:17:37.0843 2244 OS Version: 5.1.2600 ServicePack: 3.0
20:17:37.0843 2244 Product type: Workstation
20:17:37.0843 2244 ComputerName: ***
20:17:37.0843 2244 UserName: ***
20:17:37.0843 2244 Windows directory: C:\WINDOWS
20:17:37.0843 2244 System windows directory: C:\WINDOWS
20:17:37.0843 2244 Processor architecture: Intel x86
20:17:37.0843 2244 Number of processors: 2
20:17:37.0843 2244 Page size: 0x1000
20:17:37.0843 2244 Boot type: Normal boot
20:17:37.0843 2244 ============================================================
20:17:39.0218 2244 Initialize success
20:17:54.0359 0892 ============================================================
20:17:54.0359 0892 Scan started
20:17:54.0359 0892 Mode: Manual; SigCheck; TDLFS;
20:17:54.0359 0892 ============================================================
20:17:55.0453 0892 Abiosdsk - ok
20:17:55.0468 0892 abp480n5 - ok
20:17:55.0578 0892 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
20:17:56.0156 0892 ACPI - ok
20:17:56.0281 0892 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
20:17:56.0406 0892 ACPIEC - ok
20:17:56.0453 0892 adpu160m - ok
20:17:56.0531 0892 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
20:17:56.0625 0892 aec - ok
20:17:56.0734 0892 AFD (1e44bc1e83d8fd2305f8d452db109cf9) C:\WINDOWS\System32\drivers\afd.sys
20:17:56.0750 0892 AFD - ok
20:17:56.0765 0892 Aha154x - ok
20:17:56.0781 0892 aic78u2 - ok
20:17:56.0781 0892 aic78xx - ok
20:17:56.0796 0892 AliIde - ok
20:17:56.0843 0892 amsint - ok
20:17:56.0890 0892 asc - ok
20:17:56.0921 0892 asc3350p - ok
20:17:56.0921 0892 asc3550 - ok
20:17:57.0000 0892 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
20:17:57.0109 0892 AsyncMac - ok
20:17:57.0171 0892 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
20:17:57.0265 0892 atapi - ok
20:17:57.0265 0892 Atdisk - ok
20:17:57.0312 0892 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
20:17:57.0437 0892 Atmarpc - ok
20:17:57.0484 0892 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
20:17:57.0609 0892 audstub - ok
20:17:57.0750 0892 avgio (87828ecd657f81503465ac705e845076) C:\Programme\Avira\AntiVir Workstation\avgio.sys
20:17:57.0765 0892 avgio - ok
20:17:57.0812 0892 avgntflt (fcb30820bed1d3feb55e3dd55a3f947f) C:\Programme\Avira\AntiVir Workstation\avgntflt.sys
20:17:57.0828 0892 avgntflt - ok
20:17:57.0937 0892 avipbb (0b09df022250fb7ba91fb932eac6ea9b) C:\WINDOWS\system32\DRIVERS\avipbb.sys
20:17:57.0953 0892 avipbb - ok
20:17:58.0031 0892 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
20:17:58.0140 0892 Beep - ok
20:17:58.0218 0892 BrScnUsb (92a964547b96d697e5e9ed43b4297f5a) C:\WINDOWS\system32\DRIVERS\BrScnUsb.sys
20:17:58.0234 0892 BrScnUsb - ok
20:17:58.0296 0892 BrSerIf (1a5fc78e41840edf79d65ec16eff2787) C:\WINDOWS\system32\Drivers\BrSerIf.sys
20:17:58.0296 0892 BrSerIf - ok
20:17:58.0359 0892 BrUsbSer (a24c7b39602218f8dbdb2b6704325fc7) C:\WINDOWS\system32\Drivers\BrUsbSer.sys
20:17:58.0375 0892 BrUsbSer - ok
20:17:58.0375 0892 catchme - ok
20:17:58.0437 0892 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
20:17:58.0531 0892 cbidf2k - ok
20:17:58.0562 0892 cd20xrnt - ok
20:17:58.0625 0892 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
20:17:58.0734 0892 Cdaudio - ok
20:17:58.0812 0892 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
20:17:58.0906 0892 Cdfs - ok
20:17:59.0000 0892 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
20:17:59.0093 0892 Cdrom - ok
20:17:59.0125 0892 Changer - ok
20:17:59.0171 0892 CmdIde - ok
20:17:59.0218 0892 Cpqarray - ok
20:17:59.0250 0892 dac2w2k - ok
20:17:59.0281 0892 dac960nt - ok
20:17:59.0328 0892 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
20:17:59.0421 0892 Disk - ok
20:17:59.0546 0892 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
20:17:59.0671 0892 dmboot - ok
20:17:59.0781 0892 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
20:17:59.0875 0892 dmio - ok
20:17:59.0968 0892 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
20:18:00.0078 0892 dmload - ok
20:18:00.0171 0892 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
20:18:00.0281 0892 DMusic - ok
20:18:00.0312 0892 dpti2o - ok
20:18:00.0406 0892 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
20:18:00.0500 0892 drmkaud - ok
20:18:00.0593 0892 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
20:18:00.0703 0892 Fastfat - ok
20:18:00.0796 0892 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
20:18:00.0890 0892 Fdc - ok
20:18:00.0921 0892 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
20:18:01.0015 0892 Fips - ok
20:18:01.0109 0892 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
20:18:01.0203 0892 Flpydisk - ok
20:18:01.0265 0892 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
20:18:01.0375 0892 FltMgr - ok
20:18:01.0375 0892 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
20:18:01.0468 0892 Fs_Rec - ok
20:18:01.0609 0892 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
20:18:01.0703 0892 Ftdisk - ok
20:18:01.0781 0892 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
20:18:01.0890 0892 Gpc - ok
20:18:01.0968 0892 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
20:18:02.0078 0892 HDAudBus - ok
20:18:02.0171 0892 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
20:18:02.0265 0892 HidUsb - ok
20:18:02.0312 0892 hpn - ok
20:18:02.0375 0892 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
20:18:02.0390 0892 HTTP - ok
20:18:02.0437 0892 i2omgmt - ok
20:18:02.0437 0892 i2omp - ok
20:18:02.0515 0892 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
20:18:02.0609 0892 i8042prt - ok
20:18:02.0750 0892 iadgoous (e6d35f3aa51a65eb35c1f2340154a25e) C:\WINDOWS\system32\drivers\ffnii.sys
20:18:02.0750 0892 iadgoous ( UnsignedFile.Multi.Generic ) - warning
20:18:02.0750 0892 iadgoous - detected UnsignedFile.Multi.Generic (1)
20:18:03.0031 0892 ialm (cd32607f1cc8ac67224334ae123f7b98) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
20:18:03.0234 0892 ialm - ok
20:18:03.0281 0892 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
20:18:03.0390 0892 Imapi - ok
20:18:03.0437 0892 InCDfs (580a81790cd0a48d85da322267da7ac4) C:\WINDOWS\system32\drivers\InCDFs.sys
20:18:03.0453 0892 InCDfs - ok
20:18:03.0468 0892 InCDPass (aaa2789d2ce21b31be9406ba1ceb7285) C:\WINDOWS\system32\drivers\InCDPass.sys
20:18:03.0468 0892 InCDPass - ok
20:18:03.0484 0892 InCDrec (4d022577e9072b5d22e0a383a7806bbb) C:\WINDOWS\system32\drivers\InCDrec.sys
20:18:03.0500 0892 InCDrec - ok
20:18:03.0500 0892 incdrm (c258e57321a3c3737f4fa815fa69ee0b) C:\WINDOWS\system32\drivers\InCDRm.sys
20:18:03.0515 0892 incdrm - ok
20:18:03.0515 0892 ini910u - ok
20:18:03.0718 0892 IntcAzAudAddService (053517d1bcadf00bedb21fb7218c8f33) C:\WINDOWS\system32\drivers\RtkHDAud.sys
20:18:03.0921 0892 IntcAzAudAddService - ok
20:18:04.0015 0892 IntelIde - ok
20:18:04.0078 0892 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
20:18:04.0187 0892 intelppm - ok
20:18:04.0234 0892 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
20:18:04.0328 0892 Ip6Fw - ok
20:18:04.0437 0892 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
20:18:04.0546 0892 IpFilterDriver - ok
20:18:04.0562 0892 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
20:18:04.0703 0892 IpInIp - ok
20:18:04.0718 0892 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
20:18:04.0828 0892 IpNat - ok
20:18:04.0984 0892 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
20:18:05.0078 0892 IPSec - ok
20:18:05.0187 0892 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
20:18:05.0234 0892 IRENUM - ok
20:18:05.0375 0892 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
20:18:05.0468 0892 isapnp - ok
20:18:05.0531 0892 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
20:18:05.0625 0892 Kbdclass - ok
20:18:05.0671 0892 kbdhid (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
20:18:05.0765 0892 kbdhid - ok
20:18:05.0843 0892 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
20:18:05.0937 0892 kmixer - ok
20:18:06.0093 0892 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
20:18:06.0109 0892 KSecDD - ok
20:18:06.0156 0892 lbrtfdc - ok
20:18:06.0187 0892 MBAMProtector (69a6268d7f81e53d568ab4e7e991caf3) C:\WINDOWS\system32\drivers\mbam.sys
20:18:06.0312 0892 MBAMProtector - ok
20:18:06.0359 0892 MBAMSwissArmy - ok
20:18:06.0437 0892 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
20:18:06.0546 0892 mnmdd - ok
20:18:06.0609 0892 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
20:18:06.0734 0892 Modem - ok
20:18:06.0812 0892 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
20:18:06.0906 0892 Mouclass - ok
20:18:07.0000 0892 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
20:18:07.0093 0892 mouhid - ok
20:18:07.0140 0892 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
20:18:07.0234 0892 MountMgr - ok
20:18:07.0265 0892 mraid35x - ok
20:18:07.0312 0892 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
20:18:07.0421 0892 MRxDAV - ok
20:18:07.0484 0892 MRxSmb (7d304a5eb4344ebeeab53a2fe3ffb9f0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
20:18:07.0515 0892 MRxSmb - ok
20:18:07.0578 0892 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
20:18:07.0656 0892 Msfs - ok
20:18:07.0687 0892 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
20:18:07.0796 0892 MSKSSRV - ok
20:18:07.0796 0892 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
20:18:07.0890 0892 MSPCLOCK - ok
20:18:07.0968 0892 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
20:18:08.0078 0892 MSPQM - ok
20:18:08.0140 0892 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
20:18:08.0234 0892 mssmbios - ok
20:18:08.0281 0892 Mup (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
20:18:08.0296 0892 Mup - ok
20:18:08.0359 0892 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
20:18:08.0453 0892 NDIS - ok
20:18:08.0515 0892 NdisTapi (0109c4f3850dfbab279542515386ae22) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
20:18:08.0515 0892 NdisTapi - ok
20:18:08.0578 0892 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
20:18:08.0656 0892 Ndisuio - ok
20:18:08.0750 0892 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
20:18:08.0859 0892 NdisWan - ok
20:18:08.0906 0892 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
20:18:08.0921 0892 NDProxy - ok
20:18:08.0968 0892 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
20:18:09.0062 0892 NetBIOS - ok
20:18:09.0125 0892 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
20:18:09.0234 0892 NetBT - ok
20:18:09.0296 0892 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
20:18:09.0375 0892 Npfs - ok
20:18:09.0468 0892 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
20:18:09.0578 0892 Ntfs - ok
20:18:09.0640 0892 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
20:18:09.0718 0892 Null - ok
20:18:09.0781 0892 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
20:18:09.0906 0892 NwlnkFlt - ok
20:18:09.0906 0892 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
20:18:10.0015 0892 NwlnkFwd - ok
20:18:10.0046 0892 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
20:18:10.0125 0892 Parport - ok
20:18:10.0203 0892 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
20:18:10.0296 0892 PartMgr - ok
20:18:10.0328 0892 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
20:18:10.0437 0892 ParVdm - ok
20:18:10.0484 0892 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
20:18:10.0578 0892 PCI - ok
20:18:10.0593 0892 PCIDump - ok
20:18:10.0687 0892 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
20:18:10.0781 0892 PCIIde - ok
20:18:10.0875 0892 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
20:18:10.0953 0892 Pcmcia - ok
20:18:11.0046 0892 PDCOMP - ok
20:18:11.0078 0892 PDFRAME - ok
20:18:11.0109 0892 PDRELI - ok
20:18:11.0140 0892 PDRFRAME - ok
20:18:11.0187 0892 perc2 - ok
20:18:11.0218 0892 perc2hib - ok
20:18:11.0312 0892 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
20:18:11.0406 0892 PptpMiniport - ok
20:18:11.0437 0892 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
20:18:11.0546 0892 PSched - ok
20:18:11.0578 0892 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
20:18:11.0687 0892 Ptilink - ok
20:18:11.0718 0892 ql1080 - ok
20:18:11.0718 0892 Ql10wnt - ok
20:18:11.0734 0892 ql12160 - ok
20:18:11.0734 0892 ql1240 - ok
20:18:11.0750 0892 ql1280 - ok
20:18:11.0828 0892 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
20:18:11.0921 0892 RasAcd - ok
20:18:12.0000 0892 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
20:18:12.0109 0892 Rasl2tp - ok
20:18:12.0156 0892 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
20:18:12.0265 0892 RasPppoe - ok
20:18:12.0312 0892 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
20:18:12.0406 0892 Raspti - ok
20:18:12.0468 0892 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
20:18:12.0562 0892 Rdbss - ok
20:18:12.0625 0892 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
20:18:12.0703 0892 RDPCDD - ok
20:18:12.0765 0892 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
20:18:12.0875 0892 rdpdr - ok
20:18:12.0953 0892 RDPWD (fc105dd312ed64eb66bff111e8ec6eac) C:\WINDOWS\system32\drivers\RDPWD.sys
20:18:12.0968 0892 RDPWD - ok
20:18:13.0015 0892 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
20:18:13.0109 0892 redbook - ok
20:18:13.0171 0892 RTLE8023xp (1323ba3ca4e8d863eb00cd81c0aaf356) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
20:18:13.0187 0892 RTLE8023xp - ok
20:18:13.0281 0892 SbieDrv (4dc71d072aa8cc54634469b22120bdb8) C:\Programme\Sandboxie\SbieDrv.sys
20:18:13.0312 0892 SbieDrv - ok
20:18:13.0343 0892 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
20:18:13.0390 0892 Secdrv - ok
20:18:13.0421 0892 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
20:18:13.0515 0892 serenum - ok
20:18:13.0562 0892 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
20:18:13.0656 0892 Serial - ok
20:18:13.0734 0892 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\DRIVERS\sfloppy.sys
20:18:13.0828 0892 Sfloppy - ok
20:18:13.0875 0892 Simbad - ok
20:18:13.0890 0892 Sparrow - ok
20:18:13.0984 0892 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
20:18:14.0078 0892 splitter - ok
20:18:14.0171 0892 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
20:18:14.0218 0892 sr - ok
20:18:14.0312 0892 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
20:18:14.0359 0892 Srv - ok
20:18:14.0437 0892 ssmdrv (71d609c5dff067906d930bde031c4cfe) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
20:18:14.0453 0892 ssmdrv ( UnsignedFile.Multi.Generic ) - warning
20:18:14.0453 0892 ssmdrv - detected UnsignedFile.Multi.Generic (1)
20:18:14.0531 0892 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
20:18:14.0625 0892 swenum - ok
20:18:14.0750 0892 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
20:18:14.0843 0892 swmidi - ok
20:18:14.0875 0892 symc810 - ok
20:18:14.0875 0892 symc8xx - ok
20:18:14.0937 0892 sym_hi - ok
20:18:14.0953 0892 sym_u3 - ok
20:18:14.0984 0892 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
20:18:15.0078 0892 sysaudio - ok
20:18:15.0156 0892 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
20:18:15.0171 0892 Tcpip - ok
20:18:15.0218 0892 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
20:18:15.0328 0892 TDPIPE - ok
20:18:15.0343 0892 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
20:18:15.0437 0892 TDTCP - ok
20:18:15.0500 0892 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
20:18:15.0593 0892 TermDD - ok
20:18:15.0609 0892 TosIde - ok
20:18:15.0656 0892 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
20:18:15.0750 0892 Udfs - ok
20:18:15.0765 0892 ultra - ok
20:18:15.0859 0892 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
20:18:15.0953 0892 Update - ok
20:18:16.0078 0892 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
20:18:16.0171 0892 usbccgp - ok
20:18:16.0234 0892 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
20:18:16.0312 0892 usbehci - ok
20:18:16.0390 0892 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
20:18:16.0484 0892 usbhub - ok
20:18:16.0531 0892 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
20:18:16.0640 0892 usbprint - ok
20:18:16.0671 0892 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
20:18:16.0781 0892 USBSTOR - ok
20:18:16.0828 0892 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
20:18:16.0921 0892 usbuhci - ok
20:18:17.0000 0892 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
20:18:17.0093 0892 VgaSave - ok
20:18:17.0093 0892 ViaIde - ok
20:18:17.0156 0892 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
20:18:17.0250 0892 VolSnap - ok
20:18:17.0343 0892 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
20:18:17.0437 0892 Wanarp - ok
20:18:17.0515 0892 WDICA - ok
20:18:17.0609 0892 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
20:18:17.0703 0892 wdmaud - ok
20:18:17.0765 0892 WS2IFSL (6abe6e225adb5a751622a9cc3bc19ce8) C:\WINDOWS\System32\drivers\ws2ifsl.sys
20:18:17.0859 0892 WS2IFSL - ok
20:18:17.0921 0892 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
20:18:17.0953 0892 WudfPf - ok
20:18:17.0953 0892 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
20:18:17.0984 0892 WudfRd - ok
20:18:18.0015 0892 MBR (0x1B8) (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
20:18:18.0140 0892 \Device\Harddisk0\DR0 ( TDSS File System ) - warning
20:18:18.0140 0892 \Device\Harddisk0\DR0 - detected TDSS File System (1)
20:18:18.0156 0892 MBR (0x1B8) (5fb38429d5d77768867c76dcbdb35194) \Device\Harddisk1\DR2
20:18:18.0250 0892 \Device\Harddisk1\DR2 - ok
20:18:18.0250 0892 Boot (0x1200) (e9367b85ef7bf41dd69a86afa0d51b37) \Device\Harddisk0\DR0\Partition0
20:18:18.0250 0892 \Device\Harddisk0\DR0\Partition0 - ok
20:18:18.0250 0892 Boot (0x1200) (33936eb0916f1ca20b0223a0939ed62e) \Device\Harddisk1\DR2\Partition0
20:18:18.0250 0892 \Device\Harddisk1\DR2\Partition0 - ok
20:18:18.0250 0892 ============================================================
20:18:18.0250 0892 Scan finished
20:18:18.0250 0892 ============================================================
20:18:18.0484 0172 Detected object count: 3
20:18:18.0484 0172 Actual detected object count: 3
20:18:38.0609 0172 iadgoous ( UnsignedFile.Multi.Generic ) - skipped by user
20:18:38.0609 0172 iadgoous ( UnsignedFile.Multi.Generic ) - User select action: Skip
20:18:38.0625 0172 ssmdrv ( UnsignedFile.Multi.Generic ) - skipped by user
20:18:38.0625 0172 ssmdrv ( UnsignedFile.Multi.Generic ) - User select action: Skip
20:18:38.0625 0172 \Device\Harddisk0\DR0 ( TDSS File System ) - skipped by user
20:18:38.0625 0172 \Device\Harddisk0\DR0 ( TDSS File System ) - User select action: Skip

markusg 03.11.2011 20:35
für den dr0 musst du cure wählen.
und da haben wir den nächsten schädling. das tdss rootkit.
- banker
- spyeye
- rootkit.tdss
- ransom ware
die ersten 3 allein währen schon jedes für sich ein grund zu formatieren.

Walker_K 03.11.2011 20:48
Was meinst Du mit cure wählen?? "Delete" bei KasperskyTDSSKiller???????

Kannst Du mir erklären was diese 4 Schadprogramme machen?
Denn dann kann ich es dem User erklären!


MfG Walker_K

markusg 03.11.2011 20:52
genau.
infos
Viruslist.com - TDL4 &ndash; der Super-Bot
oder einfach mal nach tdss googlen.
spyeye:
Trojaner SpyEye plündert das Konto binnen 20 Sekunden
kann man auch googlen :-) ebenso wie zbot.
also es ist durchaus möglich, dass die passwörter des besitzers schon fröhlich um die welt gehen.

Walker_K 03.11.2011 21:09
Danke!

Hast Du noch Tipps / Programme mit denen man auch noch die letzten
Schädlinge auf dem System finden kan???


MfG Walker_K

markusg 03.11.2011 21:12
wie gesagt, wir können hier noch 20 programme laufen lassen, aber ich werde dir keine garantie geben, dass das system schädlingsfrei wird.
tdss ist zb im mbr, das heißt, es hat während des starts schon zugriff aufs system, der angreifer kann wer weis was mit dem ding gemacht haben.
spyeye und zbot können ebenfalls malware nachladen und system verenderungen vor nehmen.
du siehst doch selbst das bisher jeder scan fündig geworden ist.
aber von mir aus:

1. noch mal tdss killer log, will sehen ob das entfernen geklappt hatt, neustart vor dem erstellen.
dann:
http://www.trojaner-board.de/80603-e...ner-nod32.html
ebenfalls log.

Walker_K 03.11.2011 23:09
Ok! Hier das TDSSKiller LOG im Anhang!!!

Ach ja, was ist eigentlich mit meinem USB-Stick (SanDisk Cruzer-Micro 8GB U3)
kann ich den wieder an mein System anschliessen, oder könnten
verseuchte Dateien oder Schädlinge auf den Stick über gesprungen sein???
z.B. in den Master-Boot-Record vom Stick??


MfG Walker_K

markusg 04.11.2011 08:20
es könnten da dateien drauf sein, schauen wir, später.
jetzt erst mal den eset scan

Walker_K 04.11.2011 12:18
Hier der LOG von ESET im Anhang!

markusg 04.11.2011 12:24
autorun deaktivieren:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
diese funktion sollte sowieso immer aus sein, man weis ja nie, welche überraschungen externe datenträger mit bringen.
schließe deinen stick an, update avira, scanne, log posten.
lizenz infos raus editierena

Walker_K 04.11.2011 13:47
Habe es auf 9d gestellt = nur CD-Rom!

Noch ne andere Frage, wenn man das System doch einmal formatieren sollte, wie ist sichergestellt dass
der Master-Boot-Record auch sicher gelöscht wird???

markusg 04.11.2011 15:15
also, ich würd nen vernünftiges backup mit zb paragon machen, damit könnt ihr auch den mbr sichern
oder über reparieren über die windows cd, dann
fixmbr
eingeben
avira schon durchgelaufen?

Walker_K 04.11.2011 16:39
Also Avira habe ich schon gestern Nacht durchlaufen lassen...
Hier die LOG im Anhang!

markusg 04.11.2011 16:57
ihr habt ja noch avira 8.. aktuell ist avira 10
Avira AntiVir Professional - Download
ihr müsst unbedingt nen upgrade machen, euch fehlen wichtige schutz funktionen.
nach upgrade erneut scannen

Walker_K 04.11.2011 16:59
Das ist korrekt, nur ist dies ein kommerziell genutzer PC, desshalb fällt das wohl flach... Er weis dass seine Lizens ausläuft dann geht er sicher auf 10!!

markusg 04.11.2011 17:05
das upgrade ist doch kostenlos wenn ich das richtig gelesen hab.
eig macht das mit dem pc sowieso nicht viel sinn, der ist vrseucht, diese avira version hier erkennt die hälfte der malware nicht, spyware schutz fehlt zb. einige schutz module sind ebenfalls nicht auf dem aktuellen stand usw.
ich kann zwar keine malware finden, aber ich werde nicht abschließend sagen as der pc sauber ist ich würd auf dem pc nicht mal mehr ne mail schreiben.
wenn der besitzer dieses pcs passwörter für mail accounts an dem pc eingibt, müsste er sie prinzipiell danach immer von einem andern pc aus endern, da wie gesagt nicht auszuschließen ist, dass noch versteckte malware auf dem pc schlummert oder der weg für neue malware bereitet wurde, und somit jedes eingegebene passwort als gestohlen anzusehen ist.
öffne otl, klicke bereinigen.
sollte alle von uns genutzten tools löschen.

Walker_K 04.11.2011 17:21
Wei soll denn noch was drauf sein, der PC sollte doch jetzt sauber sein?
Ich habe mit Malwarebytes und den aktuellsten Definitionen durchsucht, dann
noch mit GMER und aswMBR, nun wenn das AVIRA kostelos zur 10er Version upgedated werden kann dann, werde ich das noch machen und scannen!

Was ist jetzt eigentlich mit meinem USB Stick... einfach einstecken und mit Version 10 scannen?

markusg 04.11.2011 17:26
och mensch, ich habs doch schon ein paar mal gesagt.
diese malware hat möglichkeiten weitere malware nachzuladen.
wenn malwarebytes ne 100 %ige erkennungsrate hätte, meinst du denn nicht, dass es dann jeder benutzen würde.
nur weil die von uns genutzten programme nichts mehr finden, heißt es nicht, dass doch noch was drauf ist.
dieser pc ist mit so viel malware versäucht gewesen, das du diese instalation in die tonne kloppen kannst. davon rede ich aber schon die ganze zeit.
auf dieses system hatten warscheinlich verschiedenste personen zugriff die wer weis was für enderungen gemacht haben können. es ist nicht mehr zu gewehrleisten, dass dieses system sicher ist.

Walker_K 05.11.2011 12:38
Ok, so weit - so gut!

Welches Programm hat derzeit die höchste Erkennungsrate?
Und was ist "ransom ware"?

markusg 05.11.2011 15:47
dies ist ransom ware:
Ransomware
ich nutze als antimalware programm emsisoft:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
für mich das beste was es momentan gibt.
aber auf ein antimalware programm allein sollte man sich sowieso nicht verlassen, es gibt einige sicherungsmaßnamen die man durchführen sollte und die ich dir erkläre falls gewünscht


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19