ukash/BKA - Virus
 

Hallo,

vielen Dank erst einmal, dass es so Menschen wie Euch gibt.

Ich habe mir heute wohl einen Virus eingefangen. Auf jeden Fall bin ich im Internet gewesen und habe mir dabei wohl (über Java ? - war leider aktiviert, browse normalerweise ohne Java) einen Virus (mahud.exe?) eingefangen.

Auf jeden Fall kam plötzlich eine Meldung mit BKA und irgendwelchen illegalen Internetinhalten, die ich angeblich angesurft habe und dass ich Geld zahlen soll (da ich im Augenblick im abgesicherten Modus mit Netzwerktreibern) arbeite, kann ich die Meldung nur so ungefähr aus dem Gedächtnis heraus zitieren. Da sich nicht einmal mehr der Taskmanager mit Ctrl+Alt+Del öffnen ließ habe ich den Computer erst einmal herunter gefahren und neu im abgesicherten Modus (ohne Netzwerktreiber) gestartet und AntiVir laufen lassen.

Von den 32 gefundenen infizierten Dateien (s. Dateianhang "avscan") habe ich 31 in Quarantäne geschoben (die Datei, die ich nicht in Quarantäne geschoben habe (idleback.exe) benutze ich schon Jahre lang ohne irgendwelche Probleme.). Ich hatte gehofft, dass das Problem nun behoben sei, und habe den Computer normal gestartet. Leider war dies aber nicht der Fall. Ich habe, da ich die Programme sowieso auf dem Computer hatte dann zur Sicherheit noch Spybot Search & Destroy (kein Fund) sowie Microworld eScan / Anti Virus & Spyware Utility (allerdings in einer älteren Version 11.0.48 - Log s. Dateianhang "MWAV") laufen lassen und bin dadurch darauf gekommen, dass das Problem wohl die Mahmud.exe ist, die ich allerdings mit diesem Programmversion nicht habe löschen können.

Auf Grund Eures Themas "ukash trojaner blockiert xp laptop" (http://www.trojaner-board.de/105914-...xp-laptop.html) habe ich noch srep.exe, dds.com und Gmer laufen lassen. Die Anbei findet Ihr die entsprechenden Dateien


Auf Grund Eures Themas "Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?" (http://www.trojaner-board.de/69886-a...-beachten.html) habe ich defogger laufen lassen, wurde von defogger aber nicht zu einem Neustart aufgefordert. Ich dachte ich habe irgendetwas falsch gemacht und deshalb den re-enable Knopf und dann wieder den Disabel Knopf noch einmal angeklickt. Aber auch weiterhin kam keine Aufforderung zum Neustart. Den Neustart habe ich dann zur Sicherheit selber eingeleitet.




Anbei findet Ihr das Log von OTL.TXT:

OTL logfile created on: 08.12.2011 23:27:05 - Run 1
OTL by OldTimer - Version 3.2.31.0 Folder = D:\AFComput\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,25 Gb Total Physical Memory | 2,99 Gb Available Physical Memory | 92,14% Memory free
7,07 Gb Paging File | 7,01 Gb Available in Paging File | 99,12% Paging File free
Paging file location(s): S:\pagefile.sys 4096 4096 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,30 Gb Total Space | 15,20 Gb Free Space | 51,86% Space Free | Partition Type: NTFS
Drive D: | 99,78 Gb Total Space | 18,89 Gb Free Space | 18,93% Space Free | Partition Type: NTFS
Drive E: | 425,53 Gb Total Space | 97,13 Gb Free Space | 22,83% Space Free | Partition Type: NTFS
Drive F: | 29,10 Gb Total Space | 2,63 Gb Free Space | 9,03% Space Free | Partition Type: NTFS
Drive G: | 14,68 Gb Total Space | 4,56 Gb Free Space | 31,05% Space Free | Partition Type: FAT32
Drive J: | 7,52 Gb Total Space | 4,09 Gb Free Space | 54,47% Space Free | Partition Type: FAT32
Drive S: | 4,03 Gb Total Space | 0,03 Gb Free Space | 0,77% Space Free | Partition Type: NTFS
Drive Y: | 97,55 Gb Total Space | 16,65 Gb Free Space | 17,07% Space Free | Partition Type: NTFS
Drive Z: | 29,32 Gb Total Space | 2,84 Gb Free Space | 9,70% Space Free | Partition Type: NTFS

Computer Name: E3300D | User Name: AHStern | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2011.12.08 23:25:43 | 000,584,192 | ---- | M] (OldTimer Tools) -- D:\AFComput\Downloads\OTL.exe
PRC - [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe


========== Modules (No Company Name) ==========


========== Win32 Services (SafeList) ==========

SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt)
SRV - [2011.11.08 11:54:25 | 000,554,160 | ---- | M] (Star Finanz - Software Entwicklung und Vertriebs GmbH) [Disabled | Stopped] -- C:\OwnPrg\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe -- (StarMoney 7.0 OnlineUpdate)
SRV - [2011.10.11 13:59:49 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\OwnPrg\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.10.11 13:59:37 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\OwnPrg\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.11.29 10:41:26 | 000,058,944 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper) getPlus(R)
SRV - [2010.11.16 17:47:56 | 002,435,592 | ---- | M] (Check Point Software Technologies LTD) [Auto | Stopped] -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon)
SRV - [2010.03.29 07:51:54 | 000,068,000 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper.dll -- (getPlusHelper) getPlus(R)
SRV - [2008.11.06 17:15:16 | 000,464,264 | ---- | M] () [Disabled | Stopped] -- C:\Programme\AskBarDis\bar\bin\AskService.exe -- (ASKService)
SRV - [2008.10.20 21:18:26 | 000,071,096 | ---- | M] () [Auto | Stopped] -- C:\OwnPrg\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU)


========== Driver Services (SafeList) ==========

DRV - [2011.12.08 20:37:58 | 000,134,856 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.10.11 14:00:01 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.10.11 14:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2010.06.17 14:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.05.13 10:02:32 | 000,532,224 | ---- | M] (Check Point Software Technologies LTD) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
DRV - [2009.11.12 13:48:56 | 000,005,504 | ---- | M] () [File_System | Auto | Stopped] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2009.04.03 18:45:59 | 000,130,816 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2009.03.29 21:11:26 | 000,010,368 | ---- | M] (gavotte) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\rramdisk.sys -- (RRamdisk)
DRV - [2009.03.24 18:35:00 | 005,056,000 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2009.02.25 23:58:57 | 003,565,568 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2009.02.20 17:12:00 | 003,729,280 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtKHDMI.sys -- (RTHDMIAzAudService)
DRV - [2008.09.10 12:06:42 | 000,183,824 | R--- | M] (AMD Technologies Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\ahcix86.sys -- (ahcix86)
DRV - [2008.08.05 19:10:12 | 001,684,736 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2007.10.12 09:40:12 | 000,009,096 | R--- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\amdide.sys -- (amdide)
DRV - [2006.01.04 14:41:48 | 001,389,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2000.01.08 08:22:36 | 000,010,240 | ---- | M] (VOB Computersysteme GmbH) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\asapi.sys -- (Asapi)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========


IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll File not found
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\OwnPrg\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@nosltd.com/getPlus+(R),version=1.6.2.97: C:\Programme\NOS\bin\np_gp.dll (NOS Microsystems Ltd.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Components: C:\OwnPrg\Mozilla Firefox\components [2011.11.08 18:29:38 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Plugins: C:\OwnPrg\Mozilla Firefox\plugins [2011.09.15 15:50:14 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Components: C:\OwnPrg\Mozilla Thunderbird\components [2011.09.29 19:52:35 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 7.0.1\extensions\\Plugins: C:\OwnPrg\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: C:\OwnPrg\Mozilla Firefox\components [2011.11.08 18:29:38 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: C:\OwnPrg\Mozilla Firefox\plugins [2011.09.15 15:50:14 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Components: C:\OwnPrg\Mozilla Thunderbird\components [2011.09.29 19:52:35 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Plugins: C:\OwnPrg\Mozilla Thunderbird\plugins

[2010.12.31 16:42:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Mozilla\Extensions
[2010.12.31 16:42:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}

O1 HOSTS File: ([2001.08.18 12:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\OwnPrg\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O3 - HKLM\..\Toolbar: (ZoneAlarm Spy Blocker Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [avgnt] C:\OwnPrg\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [ZoneAlarm Client] C:\OwnPrg\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
O4 - HKCU..\Run: [HDDHealth] C:\OwnPrg\HDD Health\hddhealth.exe (PANTERASoft)
O4 - HKCU..\Run: [Idlebackup] C:\OwnPrg\Idlebackup\IdleBackup.exe ()
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\OwnPrg\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\AHStern\Startmenü\Programme\Autostart\Idlebackup.lnk = C:\OwnPrg\Idlebackup\IdleBackup.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00 [binary data]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\OwnPrg\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1293807403656 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\OwnPrg\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.04.02 20:07:04 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2011.12.08 23:01:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Download Manager
[2011.12.08 11:15:05 | 000,208,896 | ---- | C] (Packard Bell BV) -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\mahmud.exe
[2011.12.05 21:55:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\FastStone
[2011.12.05 21:55:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\FastStone Image Viewer
[2011.12.05 21:41:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\IrfanView
[2011.12.05 14:23:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Anwendungsdaten\Paint.NET
[2011.11.17 16:39:34 | 000,000,000 | ---D | C] -- D:\AAEigDat\Eigene Scans
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2011.12.08 23:24:34 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.12.08 23:19:18 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\AHStern\defogger_reenable
[2011.12.08 23:01:12 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.12.08 20:37:58 | 000,134,856 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2011.12.08 20:28:05 | 000,151,824 | ---- | M] () -- C:\WINDOWS\System32\ativvaxx.cap
[2011.12.08 17:15:34 | 000,000,000 | ---- | M] () -- C:\23990098.$$$
[2011.12.08 16:05:48 | 000,000,054 | ---- | M] () -- C:\WINDOWS\Lic.xxx
[2011.12.08 11:15:05 | 000,208,896 | ---- | M] (Packard Bell BV) -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\mahmud.exe
[2011.12.05 21:55:02 | 000,000,730 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FastStone Image Viewer.lnk
[2011.11.27 22:10:51 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.11.10 23:06:10 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]

========== Files Created - No Company Name ==========

[2011.12.08 23:17:09 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\AHStern\defogger_reenable
[2011.12.05 21:55:02 | 000,000,730 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FastStone Image Viewer.lnk
[2011.12.05 14:24:08 | 000,000,824 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Paint.NET.lnk
[2011.01.14 22:30:15 | 000,000,019 | ---- | C] () -- C:\WINDOWS\QwTools.INI
[2011.01.14 22:13:35 | 000,060,767 | ---- | C] () -- C:\WINDOWS\hpwins03.dat
[2011.01.14 22:13:35 | 000,001,238 | ---- | C] () -- C:\WINDOWS\hpwmdl03.dat
[2011.01.03 18:44:04 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\hpzids01.dll
[2011.01.03 18:40:03 | 000,274,251 | ---- | C] () -- C:\WINDOWS\hpwins05.dat
[2011.01.03 18:40:03 | 000,003,111 | ---- | C] () -- C:\WINDOWS\hpwmdl05.dat
[2011.01.03 16:34:15 | 000,078,788 | ---- | C] () -- C:\WINDOWS\hpqins05.dat.temp
[2011.01.03 14:24:08 | 000,083,468 | ---- | C] () -- C:\WINDOWS\hpqins13.dat
[2011.01.01 08:15:49 | 000,078,787 | ---- | C] () -- C:\WINDOWS\hpqins05.dat
[2010.12.31 16:39:37 | 000,167,039 | ---- | C] () -- C:\WINDOWS\hpwins05.dat.temp
[2010.12.31 16:39:37 | 000,003,111 | ---- | C] () -- C:\WINDOWS\hpwmdl05.dat.temp
[2010.12.31 16:39:04 | 000,000,200 | ---- | C] () -- C:\WINDOWS\wsnk.ini
[2010.12.31 16:28:21 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini
[2010.07.16 09:33:19 | 000,018,432 | ---- | C] () -- C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.07.11 21:54:23 | 000,000,048 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2010.07.08 23:33:51 | 000,005,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2009.11.17 17:11:26 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\dnt27VC8.dll
[2009.11.17 17:09:36 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27VC8.dll
[2009.11.17 17:09:20 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\dntvm27VC8.dll
[2009.04.05 07:13:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2009.04.05 06:33:35 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.04.05 06:09:47 | 000,111,489 | ---- | C] () -- C:\WINDOWS\hpqins07.dat
[2009.04.05 05:57:18 | 000,016,050 | ---- | C] () -- C:\WINDOWS\hpwscr05.dat
[2009.04.04 09:49:57 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat
[2009.04.03 23:30:37 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ativpsrm.bin
[2009.04.03 23:29:11 | 000,593,920 | ---- | C] () -- C:\WINDOWS\System32\ati2sgag.exe
[2009.04.03 23:00:44 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2009.04.03 22:39:24 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2009.04.02 20:57:01 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009.04.02 20:55:47 | 000,151,584 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009.04.02 20:08:28 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2009.04.02 20:04:31 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2009.02.25 21:58:44 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativva5x.dat
[2009.02.25 21:58:44 | 000,887,724 | ---- | C] () -- C:\WINDOWS\System32\ativva6x.dat
[2009.01.26 18:55:37 | 000,182,995 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2008.10.21 18:40:00 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ATIODE.exe
[2008.10.21 18:40:00 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\ATIODCLI.exe
[2008.04.14 07:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2007.08.16 14:17:50 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\nsldap32v50.dll
[2006.12.31 06:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2005.12.21 15:57:04 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\nsldappr32v50.dll
[2005.12.21 15:54:34 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\nsldapssl32v50.dll
[2001.09.04 09:12:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001.09.04 09:10:20 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2001.08.18 12:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2001.08.18 12:00:00 | 000,448,898 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2001.08.18 12:00:00 | 000,432,784 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2001.08.18 12:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2001.08.18 12:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2001.08.18 12:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2001.08.18 12:00:00 | 000,080,532 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2001.08.18 12:00:00 | 000,067,740 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2001.08.18 12:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2001.08.18 12:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2001.08.18 12:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2001.08.18 12:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat

========== LOP Check ==========

[2009.04.22 13:56:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\ACD Systems
[2011.06.17 09:37:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Audacity
[2011.03.22 11:22:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Avery
[2010.07.08 23:34:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Canneverbe Limited
[2010.07.08 22:24:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\CheckPoint
[2011.01.01 19:01:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\DataDesign
[2011.03.22 14:43:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\EAC
[2011.12.05 14:22:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\foobar2000
[2011.01.01 18:53:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Lexware
[2009.04.05 11:34:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\OpenOffice.org
[2010.12.31 16:42:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Thunderbird
[2009.04.22 14:27:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems
[2011.03.22 11:07:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avery
[2010.07.08 23:34:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2009.04.05 06:23:38 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2011.03.24 15:32:26 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJEGV
[2011.03.22 10:39:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CdCoverCreator
[2011.01.01 18:47:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware
[2011.08.19 20:46:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
[2011.09.16 10:56:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlotSoft
[2009.04.22 15:14:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\StarMoney 7.0
[2011.01.01 18:42:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\World Money

========== Purity Check ==========



< End of report >





Das Log von Extras.Txt:

OTL Extras logfile created on: 08.12.2011 23:27:05 - Run 1
OTL by OldTimer - Version 3.2.31.0 Folder = D:\AFComput\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,25 Gb Total Physical Memory | 2,99 Gb Available Physical Memory | 92,14% Memory free
7,07 Gb Paging File | 7,01 Gb Available in Paging File | 99,12% Paging File free
Paging file location(s): S:\pagefile.sys 4096 4096 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,30 Gb Total Space | 15,20 Gb Free Space | 51,86% Space Free | Partition Type: NTFS
Drive D: | 99,78 Gb Total Space | 18,89 Gb Free Space | 18,93% Space Free | Partition Type: NTFS
Drive E: | 425,53 Gb Total Space | 97,13 Gb Free Space | 22,83% Space Free | Partition Type: NTFS
Drive F: | 29,10 Gb Total Space | 2,63 Gb Free Space | 9,03% Space Free | Partition Type: NTFS
Drive G: | 14,68 Gb Total Space | 4,56 Gb Free Space | 31,05% Space Free | Partition Type: FAT32
Drive J: | 7,52 Gb Total Space | 4,09 Gb Free Space | 54,47% Space Free | Partition Type: FAT32
Drive S: | 4,03 Gb Total Space | 0,03 Gb Free Space | 0,77% Space Free | Partition Type: NTFS
Drive Y: | 97,55 Gb Total Space | 16,65 Gb Free Space | 17,07% Space Free | Partition Type: NTFS
Drive Z: | 29,32 Gb Total Space | 2,84 Gb Free Space | 9,70% Space Free | Partition Type: NTFS

Computer Name: E3300D | User Name: AHStern | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\OwnPrg\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\OwnPrg\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\OwnPrg\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [ACDSee Pro 2.5.Browse] -- "C:\OwnPrg\ACDSee Pro\2.5\ACDSeeQVPro25.exe" "%1" (ACD Systems)
Directory [AddToPlaylistVLC] -- "C:\OwnPrg\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [Browse with FastStone] -- "C:\OwnPrg\FastStone Image Viewer\FSViewer.exe" "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\OwnPrg\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1

========== System Restore Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\OwnPrg\HP\Digital Imaging\bin\hpqusgm.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqusgm.exe:*:Enabled:hpqusgm.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqusgh.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqusgh.exe:*:Enabled:hpqusgh.exe
"C:\OwnPrg\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe" = C:\OwnPrg\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe:*:Enabled:smartwebprintexe.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqsudi.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqsudi.exe:*:Enabled:hpqsudi.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqpsapp.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqpsapp.exe:*:Enabled:hpqpsapp.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqpse.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqpse.exe:*:Enabled:hpqpse.exe
"C:\OwnPrg\HP\HP Software Update\hpwucli.exe" = C:\OwnPrg\HP\HP Software Update\hpwucli.exe:*:Enabled:hpwucli.exe -- (Hewlett-Packard)
"C:\OwnPrg\HP\Digital Imaging\bin\hpofxm08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hposfx08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hposid01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpfcCopy.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpfcCopy.exe:*:Enabled:hpfccopy.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpzwiz01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpoews01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpiscnapp.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpofxs08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpofxs08.exe:*:Enabled:hpofxs08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpqfxt08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqfxt08.exe:*:Enabled:hpqfxt08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpqgplgtupl.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe -- (Hewlett-Packard Co.)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\OwnPrg\HP\Digital Imaging\bin\hpqscnvw.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe
"C:\OwnPrg\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe" = C:\OwnPrg\StarMoney 7.0 S-Edition\ouservice\StarMoneyOnlineUpdate.exe:*:Enabled:StarMoney 7.0 OnlineUpdate -- (Star Finanz - Software Entwicklung und Vertriebs GmbH)
"C:\OwnPrg\StarMoney 7.0 S-Edition\app\StarMoney.exe" = C:\OwnPrg\StarMoney 7.0 S-Edition\app\StarMoney.exe:*:Enabled:StarMoney 7.0 -- (Star Finanz - Software Entwicklung und Vertriebs GmbH)
"C:\WINDOWS\system32\ZoneLabs\vsmon.exe" = C:\WINDOWS\system32\ZoneLabs\vsmon.exe:*:Enabled:vsmon -- (Check Point Software Technologies LTD)
"C:\OwnPrg\Skype\Plugin Manager\skypePM.exe" = C:\OwnPrg\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager
"C:\OwnPrg\HP\Digital Imaging\bin\hpqusgm.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqusgm.exe:*:Enabled:hpqusgm.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqusgh.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqusgh.exe:*:Enabled:hpqusgh.exe
"C:\OwnPrg\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe" = C:\OwnPrg\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe:*:Enabled:smartwebprintexe.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqsudi.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqsudi.exe:*:Enabled:hpqsudi.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqpsapp.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqpsapp.exe:*:Enabled:hpqpsapp.exe
"C:\OwnPrg\HP\Digital Imaging\bin\hpqpse.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqpse.exe:*:Enabled:hpqpse.exe
"C:\OwnPrg\HP\HP Software Update\hpwucli.exe" = C:\OwnPrg\HP\HP Software Update\hpwucli.exe:*:Enabled:hpwucli.exe -- (Hewlett-Packard)
"C:\OwnPrg\HP\Digital Imaging\bin\hpofxm08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hposfx08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hposid01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpfcCopy.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpfcCopy.exe:*:Enabled:hpfccopy.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpzwiz01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpoews01.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpiscnapp.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpofxs08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpofxs08.exe:*:Enabled:hpofxs08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpqfxt08.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqfxt08.exe:*:Enabled:hpqfxt08.exe -- (Hewlett-Packard Co.)
"C:\OwnPrg\HP\Digital Imaging\bin\hpqgplgtupl.exe" = C:\OwnPrg\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe -- (Hewlett-Packard Co.)
"C:\Programme\Wertpapieranalyse 2011\wm60.exe" = C:\Programme\Wertpapieranalyse 2011\wm60.exe:*:Enabled:WPA2011 -- (World Money)
"C:\OwnPrg\Mozilla Firefox\firefox.exe" = C:\OwnPrg\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{02E89EFC-7B07-4D5A-AA03-9EC0902914EE}" = VC 9.0 Runtime
"{048DDE77-66D5-4335-8497-903856759B58}" = BPDSoftware
"{04DB9640-A905-456C-96F5-F1EB80FEB5C9}" = ProductContext
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{05DC79C6-4213-45D3-BE8A-50B8B7C1F0E1}" = bpd_scan_Carrier
"{060C339D-DD36-4d93-BCC7-0D68827936D8}" = Misc
"{06A1D88C-E102-4527-AF70-29FFD7AF215A}" = Scan
"{08234a0d-cf39-4dca-99f0-0c5cb496da81}" = Bing Bar
"{097CDB1E-07C9-40F1-9972-F0F9F3A287E4}" = Network
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4600_series" = Canon iP4600 series Printer Driver
"{1458BB78-1DC5-4BC0-B9A3-2B644F5A8105}" = DeviceDiscovery
"{150B6201-E9E6-4DFB-960E-CCBD53FBDDED}" = HPProductAssistant
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 23
"{292F0F52-B62D-4E71-921B-89A682402201}" = Toolbox
"{2D95950E-6D76-43E7-94A5-D9DBA2FD29E4}" = ACDSee Pro 2.5
"{2EFA4E4C-7B5F-48F7-A1C0-1AA882B7A9C3}" = HP Update
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{450008C6-3722-4214-AB4F-9E45B57CB422}" = DDBAC
"{461A4763-28B5-425A-AE3D-B9B54EDF0F21}" = CIB pdf brewer
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{529125EF-E3AC-4B74-97E6-F688A7C0F1BF}" = Paint.NET v3.5.10
"{59624372-3B85-47f4-9B04-4911E551DF1E}" = Lexware Info Service
"{5B025634-7D5B-4B8D-BE2A-7943C1CF2D5D}" = Status
"{63B9224A-89C9-44E6-8252-5F2F73A71C54}" = StarMoney
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{879C52A2-FF9A-4CB5-BB74-B0DA994ABB2A}" = StarMoney
"{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}" = ATI AVIVO Codecs
"{8EE94FD8-5F52-4463-A340-185D16328158}" = WebReg
"{911B0407-6000-11D3-8CFE-0050048383C9}" = Microsoft Word 2002
"{9294F169-72EE-4D74-AE92-CA25F64B4FF8}" = Fax
"{9615E45B-7670-4D17-9ED5-28B9E936EEDD}" = 7500_7600_7700_Help1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9B362566-EC1B-4700-BB9C-EC661BDE2175}" = DocProc
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9D6C64CC-EA60-47A6-9C97-82C38231EDAE}" = HP OfficeJet L7300/L7500/7600/7700
"{9DC1A9BA-070A-455F-8AC3-62587524ADFB}" = Quicken 2011 - ServicePack 4
"{A13D9E3A-B31D-4E69-8681-EDB7AA02E365}" = Quicken Import Export Server 2011
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A80FA752-C491-4ED9-ABF0-4278563160B2}" = 32 Bit HP CIO Components Installer
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.1)
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Toolbars
"{BB3447F6-9553-4AA9-960E-0DB5310C5779}" = GPBaseService2
"{BC5DD87B-0143-4D14-AAE6-97109614DC6B}" = SolutionCenter
"{BD7204BA-DD64-499E-9B55-6A282CDF4FA4}" = Destinations
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C4CC491B-5E85-4E96-8911-DF425893DF4A}" = L7500
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CA5560BD-88F0-4fee-8DF3-25D95CFD8941}" = UGuide
"{CAE7D1D9-3794-4169-B4DD-964ADBC534EE}" = HP Product Detection
"{CD31E63D-47FD-491C-8117-CF201D0AFAB5}" = TrayApp
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CFCCB295-D487-468F-B595-6D97C515F53D}" = StarMoney 7.0 S-Edition
"{D1399216-81B2-457C-A0F7-73B9A2EF6902}" = PDFill PDF Editor with FREE Writer and FREE Tools
"{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}" = Skype™ 5.3
"{DB82F31B-D828-4aee-84F8-7F16CA7A1796}" = Toolbox
"{E259DE5F-4980-4882-85D0-312F82721ED5}" = Quicken 2011
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{EC2F8A30-787F-4DA5-9A8F-8E7DFE777CC2}" = Servicepack Datumsaktualisierung
"{ED23E382-E5E3-4E21-B616-01FC59A40916}" = OpenOffice.org 3.3
"{ED3D79A6-B3BB-4482-B226-0B620F97258A}" = BPDSoftware_Ini
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F625701A-E55C-47B4-8FC0-52B4FFE306BB}" = Wertpapieranalyse 2011
"{F6995FC4-2D91-4169-B3C4-7C51B7123902}" = Lexware online banking
"{F82C6574-AD88-4B40-A432-970BC77F1BD2}" = DesignPro 5
"{FA0FF682-CC70-4C57-93CD-E276F3E7537E}" = BufferChm
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ASAPI Update" = ASAPI Update
"Ask Toolbar_is1" = ZoneAlarm Spy Blocker Toolbar
"ATI Display Driver" = ATI Display Driver
"Audacity_is1" = Audacity 1.2.6
"Avira AntiVir Desktop" = Avira Free Antivirus
"CCleaner" = CCleaner
"CdCoverCreator" = CdCoverCreator 2.5.3
"Exact Audio Copy" = Exact Audio Copy 1.0beta3
"FastStone Image Viewer" = FastStone Image Viewer 4.6
"FLAC" = FLAC 1.2.1b (remove only)
"foobar2000" = foobar2000 v1.1.10
"GPL Ghostscript 9.04" = GPL Ghostscript
"HDD Health_is1" = HDD Health v3.3 Beta
"HP Imaging Device Functions" = HP Imaging Device Functions 14.0
"HP Officejet Pro K550 Series" = HP Officejet Pro K550 Series
"HP Solution Center & Imaging Support Tools" = HP Solution Center 14.0
"HPOCR" = OCR Software by I.R.I.S. 14.0
"Idlebackup_is1" = Idlebackup 1.18c
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie8" = Windows Internet Explorer 8
"InstallShield_{E259DE5F-4980-4882-85D0-312F82721ED5}" = Quicken 2011
"InstallShield_{F82C6574-AD88-4B40-A432-970BC77F1BD2}" = DesignPro 5
"IrfanView" = IrfanView (remove only)
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 7.0.1 (x86 en-US)" = Mozilla Firefox 7.0.1 (x86 en-US)
"Mozilla Thunderbird (7.0.1)" = Mozilla Thunderbird (7.0.1)
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Polipo" = Polipo 1.0.4.1
"Tor" = Tor 0.2.2.32
"Unlocker" = Unlocker 1.9.1
"Vidalia" = Vidalia 0.2.14
"VLC media player" = VLC media player 1.1.11
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinRAR archiver" = WinRAR 4.01 (32-bit)
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Works2003Setup" = Microsoft Works 2003-Setup-Start
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"ZoneAlarm" = ZoneAlarm

========== HKEY_CURRENT_USER Uninstall List ==========

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mozilla Firefox 8.0 (x86 en-US)" = Mozilla Firefox 8.0 (x86 en-US)
"Mozilla Thunderbird (8.0)" = Mozilla Thunderbird (8.0)

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 05.11.2011 12:05:06 | Computer Name = E3300D | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung soffice.bin, Version 3.3.9556.500, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 05.11.2011 12:52:47 | Computer Name = E3300D | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung soffice.bin, Version 3.3.9556.500, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 10.11.2011 09:26:49 | Computer Name = E3300D | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 15.11.2011 17:22:31 | Computer Name = E3300D | Source = .NET Runtime 2.0 Error Reporting | ID = 1000
Description = Faulting application starmoney.exe, version 2.0.8.23, stamp 4e7b2f86,
faulting module unknown, version 0.0.0.0, stamp 00000000, debug? 0, fault address
0x00000000.

Error - 17.11.2011 08:06:05 | Computer Name = E3300D | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung vlc.exe, Version 1.1.11.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 18.11.2011 07:59:45 | Computer Name = E3300D | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung hpqkygrp.exe, Version 140.0.167.0, fehlgeschlagenes
Modul hpqtsshctui.dll, Version 140.0.167.0, Fehleradresse 0x00011099.

Error - 19.11.2011 16:08:24 | Computer Name = E3300D | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung vidalia.exe, Version 0.2.14.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 07.12.2011 18:12:31 | Computer Name = E3300D | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung 0.6283503009895707.exe, Version 0.0.0.0,
fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.

Error - 08.12.2011 15:33:47 | Computer Name = E3300D | Source = Ci | ID = 4124
Description = Der Inhaltsindex auf c:\system volume information\catalog.wci ist
beschädigt. Fahren Sie den Indexdienst (cisvc) herunter, und starten Sie ihn erneut.

Error - 08.12.2011 15:33:47 | Computer Name = E3300D | Source = Ci | ID = 4126
Description = Die Metadaten des Inhaltsindex auf c:\system volume information\catalog.wci
werden aufgeräumt. Wiederherstellen des Indexes erfolgt automatisch durch erneutes
Filtern aller Dokumente.

[ System Events ]
Error - 08.12.2011 18:26:11 | Computer Name = E3300D | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TrueVector Internet Monitor" ist vom Dienst "vsdatant"
abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1059

Error - 08.12.2011 18:26:11 | Computer Name = E3300D | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
avipbb avkmgr Fips Processor ssmdrv

Error - 08.12.2011 18:26:41 | Computer Name = E3300D | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.

Error - 08.12.2011 18:26:42 | Computer Name = E3300D | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.

Error - 08.12.2011 18:26:42 | Computer Name = E3300D | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.

Error - 08.12.2011 18:26:43 | Computer Name = E3300D | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.

Error - 08.12.2011 18:26:43 | Computer Name = E3300D | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.

Error - 08.12.2011 18:26:44 | Computer Name = E3300D | Source = atapi | ID = 262149
Description = Ein Paritätsfehler wurde auf \Device\Ide\IdePort0 gefunden.

Error - 08.12.2011 18:26:44 | Computer Name = E3300D | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.

Error - 08.12.2011 18:26:45 | Computer Name = E3300D | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.


< End of report >



Das Log von Gmer:

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-12-08 21:09:45
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-5 rev.
Running: uqk9qcbv.exe; Driver: C:\DOKUME~1\AHStern\LOKALE~1\Temp\fwldapog.sys


---- System - GMER 1.0.15 ----

SSDT F7A63D36 ZwCreateKey
SSDT F7A63D2C ZwCreateThread
SSDT F7A63D3B ZwDeleteKey
SSDT F7A63D45 ZwDeleteValueKey
SSDT F7A63D4A ZwLoadKey
SSDT F7A63D18 ZwOpenProcess
SSDT F7A63D1D ZwOpenThread
SSDT F7A63D54 ZwReplaceKey
SSDT F7A63D4F ZwRestoreKey
SSDT F7A63D40 ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

.text atapi.sys F7315852 1 Byte [CC] {INT 3 }
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF4C9A000, 0x1C5D58, 0xE8000020]
? C:\DOKUME~1\AHStern\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Threads - GMER 1.0.15 ----

Thread System [4:680] 89FFD161
Thread System [4:688] 8945AC30

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 00: rootkit-like behavior

---- EOF - GMER 1.0.15 ----



Shell.txt von von srep:

WIN_XP X86 Service Pack 3
Running from J:\

HKLM\..\Winlogon; Shell = Explorer.exe [ Microsoft Corporation ]
.
.
.
HKCU\..\Winlogon; Shell not found
.


[System Process]
System
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
svchost.exe
svchost.exe
cmd.exe
explorer.exe
srep.exe


HKLM\..\Run [ZoneAlarm Client] = "C:\OwnPrg\ZoneAlarm\zlclient.exe"
HKLM\..\Run [HP Software Update] = C:\OwnPrg\HP\HP Software Update\HPWuSchd2.exe
HKLM\..\Run [] =
HKLM\..\Run [avgnt] = "C:\OwnPrg\Avira\AntiVir Desktop\avgnt.exe" /min

HKCU\..\Run [SpybotSD TeaTimer] = C:\OwnPrg\Spybot - Search & Destroy\TeaTimer.exe
HKCU\..\Run [HDDHealth] = C:\OwnPrg\HDD Health\hddhealth.exe -wl
HKCU\..\Run [Idlebackup] = C:\OwnPrg\Idlebackup\IdleBackup.exe
HKCU\..\Run [ctfmon.exe] = C:\WINDOWS\system32\ctfmon.exe

HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-20_Classes\..\Winlogon; Shell =
HKU\S-1-5-21-1004336348-1292428093-682003330-1007\..\Winlogon; Shell =
HKU\S-1-5-21-1004336348-1292428093-682003330-1007_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\.DEFAULT\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-20\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-21-1004336348-1292428093-682003330-1007\..\Run [SpybotSD TeaTimer] = C:\OwnPrg\Spybot - Search & Destroy\TeaTimer.exe
HKU\S-1-5-21-1004336348-1292428093-682003330-1007\..\Run [HDDHealth] = C:\OwnPrg\HDD Health\hddhealth.exe -wl
HKU\S-1-5-21-1004336348-1292428093-682003330-1007\..\Run [Idlebackup] = C:\OwnPrg\Idlebackup\IdleBackup.exe
HKU\S-1-5-21-1004336348-1292428093-682003330-1007\..\Run [ctfmon.exe] = C:\WINDOWS\system32\ctfmon.exe
HKU\S-1-5-18\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE

==== FINISH 08.12-20.27 ====





dds.txt von dds.com:

.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_23
Run by AHStern at 20:41:13 on 2011-12-08
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.3326.2235 [GMT 1:00]
.
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *Disabled*
.
============== Running Processes ===============
.
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
C:\WINDOWS\System32\svchost.exe -k eapsvcs
svchost.exe
C:\WINDOWS\System32\svchost.exe -k dot3svc
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
svchost.exe
C:\OwnPrg\ZoneAlarm\zlclient.exe
C:\OwnPrg\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\cisvc.exe
C:\OwnPrg\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\svchost.exe -k hpdevmgmt
C:\WINDOWS\system32\svchost.exe -k HPService
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\OwnPrg\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\OwnPrg\HDD Health\hddhealth.exe
C:\OwnPrg\Idlebackup\IdleBackup.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\OwnPrg\Avira\AntiVir Desktop\sched.exe
C:\OwnPrg\Avira\AntiVir Desktop\avgnt.exe
C:\OwnPrg\Avira\AntiVir Desktop\avguard.exe
C:\OwnPrg\Avira\AntiVir Desktop\avshadow.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = about:blank
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: AskBar BHO: {201f27d4-3704-41d6-89c1-aa35e39143ed} - c:\programme\askbardis\bar\bin\askBar.dll
BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\ownprg\spybot~1\SDHelper.dll
BHO: Skype Browser Helper: {ae805869-2e5c-4ed4-8f7b-f1f7851a4497} - c:\ownprg\skype\toolbars\internet explorer\skypeieplugin.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\ownprg\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\ownprg\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: ZoneAlarm Spy Blocker Toolbar: {3041d03e-fd4b-44e0-b742-2d9b88305f98} - c:\programme\askbardis\bar\bin\askBar.dll
TB: {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No File
{555d4d79-4bd2-4094-a395-cfc534424a05}
uRun: [SpybotSD TeaTimer] c:\ownprg\spybot - search & destroy\TeaTimer.exe
uRun: [HDDHealth] c:\ownprg\hdd health\hddhealth.exe -wl
uRun: [Idlebackup] c:\ownprg\idlebackup\IdleBackup.exe
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
mRun: [ZoneAlarm Client] "c:\ownprg\zonealarm\zlclient.exe"
mRun: [HP Software Update] c:\ownprg\hp\hp software update\HPWuSchd2.exe
mRun: [<NO NAME>]
mRun: [avgnt] "c:\ownprg\avira\antivir desktop\avgnt.exe" /min
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\ahstern\startm~1\progra~1\autost~1\idleba~1.lnk - c:\ownprg\idlebackup\IdleBackup.exe
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\ownprg\skype\toolbars\internet explorer\skypeieplugin.dll
IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\ownprg\spybot~1\SDHelper.dll
DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab
DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1293807403656
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
TCP: DhcpNameServer = 192.168.178.1
TCP: Interfaces\{33556BA3-905D-45E9-BE08-78B5C7FBBDF2} : DhcpNameServer = 192.168.178.1
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - c:\ownprg\skype\toolbars\internet explorer\skypeieplugin.dll
Notify: AtiExtEvent - Ati2evxx.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
.
================= FIREFOX ===================
.
FF - ProfilePath -
.
============= SERVICES / DRIVERS ===============
.
R0 ahcix86;ahcix86;c:\windows\system32\drivers\ahcix86.sys [2009-3-22 183824]
R0 RRamdisk;Ramdisk Driver;c:\windows\system32\drivers\rramdisk.sys [2009-3-29 10368]
R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [2010-7-12 10240]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-10-18 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\ownprg\avira\antivir desktop\sched.exe [2011-10-18 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\ownprg\avira\antivir desktop\avguard.exe [2011-10-18 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-10-18 74640]
S2 vsdatant;vsdatant;c:\windows\system32\vsdatant.sys [2009-4-4 532224]
S2 vsmon;TrueVector Internet Monitor;c:\windows\system32\zonelabs\vsmon.exe -service --> c:\windows\system32\zonelabs\vsmon.exe -service [?]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2009-4-4 1684736]
S3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\system32\svchost.exe -k nosGetPlusHelper [2008-4-14 14336]
S4 ASKService;ASKService;c:\programme\askbardis\bar\bin\AskService.exe [2009-4-5 464264]
S4 StarMoney 7.0 OnlineUpdate;StarMoney 7.0 OnlineUpdate;c:\ownprg\starmoney 7.0 s-edition\ouservice\StarMoneyOnlineUpdate.exe [2011-11-15 554160]
.
=============== Created Last 30 ================
.
2011-12-08 10:15:05 208896 ----a-w- c:\dokumente und einstellungen\ahstern\anwendungsdaten\mahmud.exe
2011-12-05 20:55:17 -------- d-----w- c:\dokumente und einstellungen\ahstern\anwendungsdaten\FastStone
2011-12-05 13:23:48 -------- d-----w- c:\dokumente und einstellungen\ahstern\lokale einstellungen\anwendungsdaten\Paint.NET
.
==================== Find3M ====================
.
2011-11-19 20:36:01 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-10-11 13:00:01 74640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-10-11 13:00:01 36000 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2011-10-10 14:22:46 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-10-07 16:05:50 323624 ----a-w- c:\windows\system32\wiaaut.dll
2011-09-28 07:06:43 604160 ----a-w- c:\windows\system32\crypt32.dll
2011-09-26 15:47:40 227176 ----a-w- c:\windows\system32\ddBACCTM.cpl
2011-09-26 15:47:38 825192 ----a-w- c:\windows\system32\Ddbaccpl.cpl
2011-09-26 09:41:54 614912 ----a-w- c:\windows\system32\uiautomationcore.dll
2011-09-26 09:41:54 23040 ----a-w- c:\windows\system32\oleaccrc.dll
2011-09-26 09:41:20 220160 ----a-w- c:\windows\system32\oleacc.dll
.
=================== ROOTKIT ====================
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600
.
CreateFile("\\.\PHYSICALDRIVE0"): Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
device: opened successfully
user: error reading MBR
.
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys >>UNKNOWN [0x894A81D1]<<
_asm { PUSH 0x8a007694; PUSH 0x0; PUSH 0x894c9a50; PUSH EAX; PUSH 0x8a004990; RET ; ADD [EAX+EAX], AL; ADC ECX, [EDX]; INC ESI; }
1 ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Harddisk0\DR0[0x8A6B8AB8]
3 CLASSPNP[0xF74E7FD7] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\00000065[0x8A6F9678]
5 ACPI[0xF735D620] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Ide\IdeDeviceP1T0L0-5[0x8A734218]
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [BP+0x0], CH; JL 0x2e; JNZ 0x3a; }
user != kernel MBR !!!
.
============= FINISH: 20:41:25,26 ===============








attach.txt von dds.com:

.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft Windows XP Home Edition
Boot Device: \Device\HarddiskVolume1
Install Date: 02.04.2009 21:08:24
System Uptime: 08.12.2011 20:27:41 (0 hours ago)
.
Motherboard: MEDIONPC | | MS-7501
Processor: AMD Athlon(tm) 7750 Dual-Core Processor | CPU 1 | 2694/200mhz
.
==== Disk Partitions =========================
.
A: is Removable
C: is FIXED (NTFS) - 29 GiB total, 15,203 GiB free.
E: is FIXED (NTFS) - 426 GiB total, 97,127 GiB free.
F: is FIXED (NTFS) - 29 GiB total, 2,628 GiB free.
G: is FIXED (FAT32) - 15 GiB total, 4,558 GiB free.
H: is CDROM ()
J: is Removable
K: is Removable
M: is Removable
R: is FIXED (FAT32) - 0 GiB total, 0,499 GiB free.
Y: is FIXED (NTFS) - 98 GiB total, 16,647 GiB free.
.
==== Disabled Device Manager Items =============
.
==== System Restore Points ===================
.
RP156: 06.12.2011 08:14:25 - Systemprüfpunkt
RP157: 08.12.2011 09:47:27 - Systemprüfpunkt
.
==== Installed Programs ======================
.
32 Bit HP CIO Components Installer
7500_7600_7700_Help1
ACDSee Pro 2.5
Adobe Download Manager
Adobe Flash Player 10 ActiveX
Adobe Flash Player 11 Plugin
Adobe Reader X (10.1.1)
ASAPI Update
ATI - Dienstprogramm zur Deinstallation der Software
ATI AVIVO Codecs
ATI Display Driver
Audacity 1.2.6
Avira Free Antivirus
Bing Bar
bpd_scan_Carrier
BPDSoftware
BPDSoftware_Ini
BufferChm
Canon iP4600 series Printer Driver
CCleaner
CDBurnerXP
CdCoverCreator 2.5.3
CIB pdf brewer
DDBAC
DesignPro 5
Destinations
DeviceDiscovery
DocProc
Exact Audio Copy 1.0beta3
FastStone Image Viewer 4.6
Fax
FLAC 1.2.1b (remove only)
foobar2000 v1.1.10
GPBaseService2
GPL Ghostscript
HDD Health v3.3 Beta
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB2443685)
Hotfix für Windows XP (KB2570791)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Hotfix für Windows XP (KB981793)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB954550-v5)
Hotfix for Windows XP (KB976002-v5)
HP Imaging Device Functions 14.0
HP OfficeJet L7300/L7500/7600/7700
HP Officejet Pro K550 Series
HP Product Detection
HP Solution Center 14.0
HP Update
HPProductAssistant
Idlebackup 1.18c
IrfanView (remove only)
Java Auto Updater
Java(TM) 6 Update 23
L7500
Lexware Info Service
Lexware online banking
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
Microsoft Word 2002
Microsoft Works 2003-Setup-Start
Misc
Mozilla Firefox 7.0.1 (x86 en-US)
Mozilla Firefox 8.0 (x86 en-US)
Mozilla Thunderbird (7.0.1)
Mozilla Thunderbird (8.0)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
Network
OCR Software by I.R.I.S. 14.0
OpenOffice.org 3.3
Paint.NET v3.5.10
PDFill PDF Editor with FREE Writer and FREE Tools
Polipo 1.0.4.1
ProductContext
Quicken 2011
Quicken 2011 - ServicePack 4
Quicken Import Export Server 2011
REALTEK GbE & FE Ethernet PCI-E NIC Driver
Realtek High Definition Audio Driver
Scan
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2416473)
Servicepack Datumsaktualisierung
Sicherheitsupdate für Microsoft Windows (KB2564958)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2360131)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2416400)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2482017)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2497640)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2510531)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2530548)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2544521)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2559049)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2586448)
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)
Sicherheitsupdate für Windows Internet Explorer 8 (KB981332)
Sicherheitsupdate für Windows Internet Explorer 8 (KB982381)
Sicherheitsupdate für Windows Media Player (KB2378111)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB954155)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player (KB975558)
Sicherheitsupdate für Windows Media Player (KB978695)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB2079403)
Sicherheitsupdate für Windows XP (KB2115168)
Sicherheitsupdate für Windows XP (KB2121546)
Sicherheitsupdate für Windows XP (KB2229593)
Sicherheitsupdate für Windows XP (KB2259922)
Sicherheitsupdate für Windows XP (KB2286198)
Sicherheitsupdate für Windows XP (KB2296011)
Sicherheitsupdate für Windows XP (KB2296199)
Sicherheitsupdate für Windows XP (KB2347290)
Sicherheitsupdate für Windows XP (KB2360937)
Sicherheitsupdate für Windows XP (KB2387149)
Sicherheitsupdate für Windows XP (KB2393802)
Sicherheitsupdate für Windows XP (KB2412687)
Sicherheitsupdate für Windows XP (KB2419632)
Sicherheitsupdate für Windows XP (KB2423089)
Sicherheitsupdate für Windows XP (KB2436673)
Sicherheitsupdate für Windows XP (KB2440591)
Sicherheitsupdate für Windows XP (KB2443105)
Sicherheitsupdate für Windows XP (KB2476490)
Sicherheitsupdate für Windows XP (KB2476687)
Sicherheitsupdate für Windows XP (KB2478960)
Sicherheitsupdate für Windows XP (KB2478971)
Sicherheitsupdate für Windows XP (KB2479628)
Sicherheitsupdate für Windows XP (KB2479943)
Sicherheitsupdate für Windows XP (KB2481109)
Sicherheitsupdate für Windows XP (KB2483185)
Sicherheitsupdate für Windows XP (KB2485376)
Sicherheitsupdate für Windows XP (KB2485663)
Sicherheitsupdate für Windows XP (KB2503658)
Sicherheitsupdate für Windows XP (KB2503665)
Sicherheitsupdate für Windows XP (KB2506212)
Sicherheitsupdate für Windows XP (KB2506223)
Sicherheitsupdate für Windows XP (KB2507618)
Sicherheitsupdate für Windows XP (KB2507938)
Sicherheitsupdate für Windows XP (KB2508272)
Sicherheitsupdate für Windows XP (KB2508429)
Sicherheitsupdate für Windows XP (KB2509553)
Sicherheitsupdate für Windows XP (KB2511455)
Sicherheitsupdate für Windows XP (KB2524375)
Sicherheitsupdate für Windows XP (KB2535512)
Sicherheitsupdate für Windows XP (KB2536276-v2)
Sicherheitsupdate für Windows XP (KB2536276)
Sicherheitsupdate für Windows XP (KB2544893-v2)
Sicherheitsupdate für Windows XP (KB2544893)
Sicherheitsupdate für Windows XP (KB2555917)
Sicherheitsupdate für Windows XP (KB2562937)
Sicherheitsupdate für Windows XP (KB2566454)
Sicherheitsupdate für Windows XP (KB2567053)
Sicherheitsupdate für Windows XP (KB2567680)
Sicherheitsupdate für Windows XP (KB2570222)
Sicherheitsupdate für Windows XP (KB2570947)
Sicherheitsupdate für Windows XP (KB2592799)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953155)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956744)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB958869)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB969059)
Sicherheitsupdate für Windows XP (KB970238)
Sicherheitsupdate für Windows XP (KB970430)
Sicherheitsupdate für Windows XP (KB971468)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB972270)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973869)
Sicherheitsupdate für Windows XP (KB973904)
Sicherheitsupdate für Windows XP (KB974112)
Sicherheitsupdate für Windows XP (KB974318)
Sicherheitsupdate für Windows XP (KB974392)
Sicherheitsupdate für Windows XP (KB974571)
Sicherheitsupdate für Windows XP (KB975025)
Sicherheitsupdate für Windows XP (KB975467)
Sicherheitsupdate für Windows XP (KB975560)
Sicherheitsupdate für Windows XP (KB975561)
Sicherheitsupdate für Windows XP (KB975562)
Sicherheitsupdate für Windows XP (KB975713)
Sicherheitsupdate für Windows XP (KB977816)
Sicherheitsupdate für Windows XP (KB977914)
Sicherheitsupdate für Windows XP (KB978037)
Sicherheitsupdate für Windows XP (KB978338)
Sicherheitsupdate für Windows XP (KB978542)
Sicherheitsupdate für Windows XP (KB978601)
Sicherheitsupdate für Windows XP (KB978706)
Sicherheitsupdate für Windows XP (KB979309)
Sicherheitsupdate für Windows XP (KB979482)
Sicherheitsupdate für Windows XP (KB979559)
Sicherheitsupdate für Windows XP (KB979683)
Sicherheitsupdate für Windows XP (KB979687)
Sicherheitsupdate für Windows XP (KB980195)
Sicherheitsupdate für Windows XP (KB980218)
Sicherheitsupdate für Windows XP (KB980232)
Sicherheitsupdate für Windows XP (KB980436)
Sicherheitsupdate für Windows XP (KB981322)
Sicherheitsupdate für Windows XP (KB981852)
Sicherheitsupdate für Windows XP (KB981997)
Sicherheitsupdate für Windows XP (KB982132)
Sicherheitsupdate für Windows XP (KB982214)
Sicherheitsupdate für Windows XP (KB982665)
Skype Toolbars
Skype™ 5.3
SolutionCenter
Spybot - Search & Destroy
StarMoney
StarMoney 7.0 S-Edition
Status
Toolbox
Tor 0.2.2.32
TrayApp
UGuide
Unlocker 1.9.1
Update für Windows Internet Explorer 8 (KB968220)
Update für Windows Internet Explorer 8 (KB976662)
Update für Windows XP (KB2141007)
Update für Windows XP (KB2345886)
Update für Windows XP (KB2467659)
Update für Windows XP (KB2541763)
Update für Windows XP (KB2607712)
Update für Windows XP (KB2616676)
Update für Windows XP (KB2641690)
Update für Windows XP (KB898461)
Update für Windows XP (KB951978)
Update für Windows XP (KB955759)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Update für Windows XP (KB968389)
Update für Windows XP (KB971029)
Update für Windows XP (KB971737)
Update für Windows XP (KB973687)
Update für Windows XP (KB973815)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
VC 9.0 Runtime
Vidalia 0.2.14
VLC media player 1.1.11
WebFldrs XP
WebReg
Wertpapieranalyse 2011
Wichtiges Update für Windows Media Player 11 (KB959772)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Player 11
WinRAR 4.01 (32-bit)
XML Paper Specification Shared Components Language Pack 1.0
XML Paper Specification Shared Components Pack 1.0
ZoneAlarm
ZoneAlarm Spy Blocker Toolbar
.
==== End Of File ===========================




Vielen Dank für Eure Hilfe. Gruß aus dem Norden,

HJS

Ich glaube, ich habe bei OTL vergessen, den Code für benutzerdefinierte Scans in das entsprechende Fenster bei OTL zu kopieren, bevor ich es habe laufen lassen. Deshalb liefere ich dies hiermit nach:

OTL.TXT:OTL Logfile:
--- --- ---

Vielen Dank für die Unterstützung. Gruß
HJS

Oh ja, ich vergaß, die Extra.txt (oder Extras.txt?) hätte ich noch anhängen sollen. Aber da gab es keine neue Datei.

HJS

Was kann ich tun, damit mein Beitrag schneller beantwortet wird, habe ich irgendetwas Wichtiges vergessen?

Vielen Dank für Eure Unterstützung. Gruß
HJS

:hallo:

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden
• Sollte ich innerhalb der nächsten 3 Tage keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
• Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hallo Larusso / Daniel,

vielen Dank für deine Hilfe, ich heiße übrigens Holger.

Also ich habe die Datei heruntergeladen, im "Default-Ordner" installiert (allerdings auf English), aktualisiert und einen Quick-Scan durchgeführt. Interessanter Weise findet das Programm keinen Virus, ich vermute, dass dies auch dazu führt, dass ich mir keine Ergebnisse anzeigen lassen kann.



Anbei findest du das Log von mbam:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Database version: 8348

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

10.12.2011 19:35:56
mbam-log-2011-12-10 (19-35-56).txt

Scan type: Quick scan
Objects scanned: 190779
Time elapsed: 2 minute(s), 24 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)


Vielen Dank für deine tatkräftige Unterstützung. Gruß
Holger



(Im Übrigen: OS: WIN XP, SP3, alle Updates)

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Daniel,

in meinem ursprünglichen Thema hatte ich übrigens die Logfiles von Avira und von MicroWorld eScan angekündigt, die hatte ich allerdings vergessen. Wenn du die noch brauchst, melden.

Im Übrigen hatte ich ursprünglich auch geschrieben, dass ich auf Grund des Bildschirms der ständig im Vordergrund war, nichts Anderes mehr machen konnte und den Computer deshalb runtergefahren habe. Dies stimmt so natürlich nicht ganz, ich konnte den Computer nur noch über den Schalter abwürgen.

Deine Anleitung, was ich machen soll ist eigentlich klar, nur was du mit "Skriptblocking und ähnliches" meinst, ist mir nicht klar.

Vielen Dank für deine Hilfe
Holger

Wenn du nicht weißt was das ist, dann brauchst du auch nichts deaktivieren.

Hallo Daniel,

ich hatte in meinem ursprünglichen Post geschrieben, dass Java in Firefox angeschaltet war. Ich war deshalb darauf gekommen, weil der Virenscan mit MicroWorld eScan viele Java-bezogene Probleme aufzeigte. Auch jetzt, mit dem ESET Online Scanner werden gerade wieder haufenweise Probleme in Bezug auf Java angezeigt.

Ich habe jetzt aber noch einmal in Firefox nachgesehen, da ist Java aber gar nicht aktiviert. Hat dieser Virus sich jetzt über Java heruntergeladen oder nicht? Wie kann ich zukünftig verhindern, dass so etwas wieder passiert?

Der Überprüfung mit ESET wird wohl noch ca. 2,5 Stunden dauern, wenn sie durch ist, werde ich die Log-Datei beifügen.

Gruß
Holger

Hallo Daniel,

anbei die Daten aus log.txt von ESET:

ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=c950055e0f5b684da92985ccfd4dc158
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-10 10:51:25
# local_time=2011-12-10 11:51:25 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 4049 4049 0 0
# compatibility_mode=9217 16777214 75 62 28560725 33626499 0 0
# scanned=181011
# found=14
# cleaned=0
# scan_time=10228
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\DEVCON.EXE probably a variant of Win32/StartPage.NTQNQE trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\2ac27740-3b1d5103 a variant of Java/TrojanDownloader.OpenConnection.AQ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\AHStern\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\20\4c4d1254-7027af59 a variant of Java/TrojanDownloader.OpenConnection.AQ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Temp\DEVCON.EXE probably a variant of Win32/StartPage.NTQNQE trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Temp\AVCBack\DEVCON.EXE probably a variant of Win32/StartPage.NTQNQE trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1IAXTNTB\main[1] Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1IAXTNTB\main[2] Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AD0Z59H3\main[1] Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AD0Z59H3\main[2] Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\AHStern\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F10UR5T0\main[1] Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I
D:\AFComput\Software\Tools, Windows\Unlocker 1.9.0\unlocker1.9.0.exe Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
D:\AFComput\Software\Tools, Windows\Unlocker 1.9.1\Unlocker1.9.1.exe a variant of Win32/Toolbar.Babylon application (unable to clean) 00000000000000000000000000000000 I
D:\RECYCLER\S-1-5-21-1004336348-1292428093-682003330-1007\Dd61\eac-0.99pb5.exe Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
Y:\HD_D\RECYCLER\S-1-5-21-1004336348-1292428093-682003330-1007\Dd61\eac-0.99pb5.exe Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I

Daniel, ich sehe, du bist noch online, ich gehe jetzt ins Bett und wünsche dir auch eine gute Nacht. Ich schaue morgen früh rein, ob du mir in der Zwischenzeit wieder "Hausaufgaben" geschickt hast. Vielen Dank für deine Hilfe und dein Durchhaltevermögen,
Holger

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt )
  Kopiere nun den Inhalt hier in Deinen Thread

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
Poste die OTL.txt und die Extras.txt hier in deinen Thread.



Bitte poste in deiner nächsten Antwort
OTL.txt
Extras.txt

Hallo Daniel,

vielen Dank für deine Antwort.

OTL hat nach dem Durchlauf nach Neustart gefragt. Ich habe den Computer dann wieder im abgesicherten Modus mit Netzwerktreibern gestartet. Falls ich ganz normal hätte starten sollen, bitte ansagen.

Allerdings habe ich auf dem Desktop die Datei <time_date>.txt nicht gefunden, auch nicht auf C:\_OTL\MovedFiles\<time_date>.txt. Ich habe OTL von Laufwerk D: aus gestartet und dort die Datei D:\_OTL\MovedFiles\12112011_152928.log gefunden.


Hier das Log von D:\_OTL\MovedFiles\12112011_152928.log:

All processes killed
========== COMMANDS ==========

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 2192008431 bytes
->Temporary Internet Files folder emptied: 2497066 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 2546 bytes

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 600 bytes

User: AHStern
->Temp folder emptied: 830551869 bytes
->Temporary Internet Files folder emptied: 72866434 bytes
->Java cache emptied: 10001686 bytes
->Flash cache emptied: 49426 bytes

User: All Users

User: Default User
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 600 bytes

User: LocalService
->Temp folder emptied: 2128936 bytes
->Temporary Internet Files folder emptied: 492602 bytes

User: NetworkService
->Temp folder emptied: 2132536 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 30720 bytes
%systemroot% .tmp files removed: 2352202 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 101548 bytes
RecycleBin emptied: 2097787930 bytes

Total Files Cleaned = 4.972,00 mb


[EMPTYFLASH]

User: Admin
->Flash cache emptied: 0 bytes

User: Administrator
->Flash cache emptied: 0 bytes

User: AHStern
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Flash cache emptied: 0 bytes

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 12112011_152928




Danach habe ich OTL.exe wie angefragt noch einmal gestartet, allerdings blitzte nur ganz kurz irgendein Fenster auf und war sofort weg, von OTL keine Spur (auch im Taskmanager nicht). Habe OTL noch einmal gestartet, nun scheint alles normal zu laufen.


Anbei von OTL die Extras.Txt:OTL Logfile:
--- --- ---




Von OTL die OTL.Txt:OTL Logfile:
--- --- ---


Ich sehe gerade in den Log-files, dass ich für die Erstellung von Extras.Txt und OTL.Txt ZoneAlarm noch angeschaltet hatte. Hätte ich für diesen Lauf von OTL auch alle anderen Programme (ZoneAlarm, Firefox) beenden müssen?

Vielen Dank für deine Hilfe, ich wünsche dir einen schönen 3. Advent, Gruß aus Hamburg
Holger

Deinstalliere ZoneAlarm !!!

Warum arbeitest du im Abgesicherten Modus ? Steht irgendwo was von abgesicherten Modus ?

D:\AFComput\Downloads\bo VIRUS
Warum liest du meine Anleitungen nicht, OTL soll am Desktop gespeichert werden, nicht in der Botanik -.-

Hallo Daniel,

ich arbeite im abgesicherten Modus, weil ich seit dem Virus im normalen Modus gar nichts machen konnte, nicht einmal der Task-Manager ließ sich in den Vordergrund bringen, es war immer dieser ukash/BKA Bildschirm im Vordergrund. Ausschalten über CTRL+Alt+Del ging auch nicht mehr, nur noch "Abwürgen" über den Ausschaltknopf am Computer.

Anscheinend soll ich jetzt schon wieder im normalen Modus arbeiten. Das wusste ich nicht. Ich hab es überprüft, ich kann auch im normalen Modus arbeiten. Dennoch funktioniert Firefox etwas komisch, so bin ich zum Beispiel um diese Nachricht zu posten beim Anmelden, nachdem ich Benutzernamen und Passwort eingegeben habe, über die Seite find-girlfriend-.... zu ebay geleitet worden (alles im gleichen Browserfenster) und war gar nicht mehr im Trojanerboard.

Soll ich irgendwelche Programme jetzt im normalen Modus noch einmal laufen lassen und die Logs hier reinstellen?

Ich hoffe du hast noch ein bisschen Geduld mit mir, Gruß
Holger

Genau das ist der Grund warum man im Normalmodus arbeiten muss, sonst bemerkst du Probleme erst, wenns zu spät ist.
Ich bin gerade unterwegs, melde mich am Abend wieder

Hallo Daniel,

naja, am Anfang konnte ich doch nur im abgesicherten Modus arbeiten (hatte ich aber auch schon in meiner ersten Nachricht geschrieben) und ab wann ich wieder im normalen Modus arbeiten kann weiß ich nicht und dass ich wieder in den normalen Modus wechseln sollte war mir nicht bekannt.

Wie dem auch sei: "Genau das ist der Grund warum man im Normalmodus arbeiten muss, sonst bemerkst du Probleme erst, wenns zu spät ist." Firefox hat dieses Verhalten in beiden, dem abgesicherten Modus mit Netzwerktreibern und dem normalen Modus.

Gruß
Holger

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Hallo Daniel,

anbei die Log Datei von Gmer:
GMER Logfile:
--- --- ---

Gruß
Holger

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
  Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Hallo Daniel,

anbei TDSSKiller.2.6.22.0_11.12.2011_23.20.42_log.txt:

23:20:42.0171 4060 TDSS rootkit removing tool 2.6.22.0 Dec 7 2011 13:21:06
23:20:42.0203 4060 ============================================================
23:20:42.0203 4060 Current date / time: 2011/12/11 23:20:42.0203
23:20:42.0203 4060 SystemInfo:
23:20:42.0203 4060
23:20:42.0203 4060 OS Version: 5.1.2600 ServicePack: 3.0
23:20:42.0203 4060 Product type: Workstation
23:20:42.0203 4060 ComputerName: E3300D
23:20:42.0203 4060 UserName: AHStern
23:20:42.0203 4060 Windows directory: C:\WINDOWS
23:20:42.0203 4060 System windows directory: C:\WINDOWS
23:20:42.0203 4060 Processor architecture: Intel x86
23:20:42.0203 4060 Number of processors: 2
23:20:42.0203 4060 Page size: 0x1000
23:20:42.0203 4060 Boot type: Normal boot
23:20:42.0203 4060 ============================================================
23:20:43.0515 4060 Initialize success
23:21:13.0687 0216 ============================================================
23:21:13.0687 0216 Scan started
23:21:13.0687 0216 Mode: Manual;
23:21:13.0687 0216 ============================================================
23:21:14.0281 0216 Abiosdsk - ok
23:21:14.0296 0216 abp480n5 - ok
23:21:14.0328 0216 ACPI (deac07203d92bf9385573fa5d790ff3c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
23:21:14.0328 0216 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\ACPI.sys. Real md5: deac07203d92bf9385573fa5d790ff3c, Fake md5: ac407f1a62c3a300b4f2b5a9f1d55b2c
23:21:14.0328 0216 ACPI ( Virus.Win32.Rloader.a ) - infected
23:21:14.0328 0216 ACPI - detected Virus.Win32.Rloader.a (0)
23:21:14.0359 0216 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
23:21:14.0359 0216 ACPIEC - ok
23:21:14.0359 0216 adpu160m - ok
23:21:14.0375 0216 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
23:21:14.0390 0216 aec - ok
23:21:14.0421 0216 AFD (1e44bc1e83d8fd2305f8d452db109cf9) C:\WINDOWS\System32\drivers\afd.sys
23:21:14.0421 0216 AFD - ok
23:21:14.0437 0216 Aha154x - ok
23:21:14.0453 0216 ahcix86 (bfed486888067b7935b3c9f5951c41be) C:\WINDOWS\system32\DRIVERS\ahcix86.sys
23:21:14.0453 0216 ahcix86 - ok
23:21:14.0468 0216 aic78u2 - ok
23:21:14.0468 0216 aic78xx - ok
23:21:14.0484 0216 AliIde - ok
23:21:14.0515 0216 Ambfilt (f6af59d6eee5e1c304f7f73706ad11d8) C:\WINDOWS\system32\drivers\Ambfilt.sys
23:21:14.0593 0216 Ambfilt - ok
23:21:14.0609 0216 amdide (6e58654cb25730b2579e45e1fd116a47) C:\WINDOWS\system32\DRIVERS\amdide.sys
23:21:14.0609 0216 amdide - ok
23:21:14.0609 0216 amsint - ok
23:21:14.0625 0216 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
23:21:14.0625 0216 Arp1394 - ok
23:21:14.0656 0216 Asapi (7de1504dba7e72313bb4ca5587df86cf) C:\WINDOWS\system32\drivers\Asapi.sys
23:21:14.0656 0216 Asapi - ok
23:21:14.0671 0216 asc - ok
23:21:14.0671 0216 asc3350p - ok
23:21:14.0671 0216 asc3550 - ok
23:21:14.0687 0216 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
23:21:14.0687 0216 AsyncMac - ok
23:21:14.0703 0216 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
23:21:14.0703 0216 atapi - ok
23:21:14.0703 0216 Atdisk - ok
23:21:14.0796 0216 ati2mtag (8763ede3e0cd40f5c3450571ac57f205) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
23:21:14.0828 0216 ati2mtag - ok
23:21:14.0843 0216 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
23:21:14.0843 0216 Atmarpc - ok
23:21:14.0843 0216 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
23:21:14.0859 0216 audstub - ok
23:21:14.0859 0216 avgntflt (7713e4eb0276702faa08e52a6e23f2a6) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
23:21:14.0859 0216 avgntflt - ok
23:21:14.0890 0216 avipbb (475fbb85956534720858ae72010c0a43) C:\WINDOWS\system32\DRIVERS\avipbb.sys
23:21:14.0890 0216 avipbb - ok
23:21:14.0906 0216 avkmgr (271cfd1a989209b1964e24d969552bf7) C:\WINDOWS\system32\DRIVERS\avkmgr.sys
23:21:14.0906 0216 avkmgr - ok
23:21:14.0921 0216 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
23:21:14.0921 0216 Beep - ok
23:21:14.0937 0216 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
23:21:14.0937 0216 cbidf2k - ok
23:21:14.0937 0216 cd20xrnt - ok
23:21:14.0953 0216 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
23:21:14.0953 0216 Cdaudio - ok
23:21:14.0953 0216 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
23:21:14.0968 0216 Cdfs - ok
23:21:14.0968 0216 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
23:21:14.0968 0216 Cdrom - ok
23:21:14.0984 0216 Changer - ok
23:21:14.0984 0216 CmdIde - ok
23:21:15.0000 0216 Cpqarray - ok
23:21:15.0000 0216 dac2w2k - ok
23:21:15.0015 0216 dac960nt - ok
23:21:15.0031 0216 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
23:21:15.0031 0216 Disk - ok
23:21:15.0062 0216 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
23:21:15.0093 0216 dmboot - ok
23:21:15.0093 0216 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
23:21:15.0109 0216 dmio - ok
23:21:15.0109 0216 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
23:21:15.0109 0216 dmload - ok
23:21:15.0140 0216 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
23:21:15.0140 0216 DMusic - ok
23:21:15.0140 0216 dpti2o - ok
23:21:15.0156 0216 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
23:21:15.0156 0216 drmkaud - ok
23:21:15.0171 0216 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
23:21:15.0187 0216 Fastfat - ok
23:21:15.0203 0216 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
23:21:15.0203 0216 Fdc - ok
23:21:15.0218 0216 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
23:21:15.0218 0216 Fips - ok
23:21:15.0218 0216 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
23:21:15.0218 0216 Flpydisk - ok
23:21:15.0234 0216 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
23:21:15.0250 0216 FltMgr - ok
23:21:15.0250 0216 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
23:21:15.0250 0216 Fs_Rec - ok
23:21:15.0265 0216 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
23:21:15.0265 0216 Ftdisk - ok
23:21:15.0281 0216 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
23:21:15.0281 0216 Gpc - ok
23:21:15.0296 0216 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
23:21:15.0296 0216 HDAudBus - ok
23:21:15.0328 0216 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
23:21:15.0328 0216 HidUsb - ok
23:21:15.0421 0216 hpn - ok
23:21:15.0546 0216 HPZid412 (d03d10f7ded688fecf50f8fbf1ea9b8a) C:\WINDOWS\system32\DRIVERS\HPZid412.sys
23:21:15.0546 0216 HPZid412 - ok
23:21:15.0562 0216 HPZipr12 (89f41658929393487b6b7d13c8528ce3) C:\WINDOWS\system32\DRIVERS\HPZipr12.sys
23:21:15.0562 0216 HPZipr12 - ok
23:21:15.0578 0216 HPZius12 (abcb05ccdbf03000354b9553820e39f8) C:\WINDOWS\system32\DRIVERS\HPZius12.sys
23:21:15.0578 0216 HPZius12 - ok
23:21:15.0609 0216 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
23:21:15.0625 0216 HTTP - ok
23:21:15.0625 0216 i2omgmt - ok
23:21:15.0625 0216 i2omp - ok
23:21:15.0640 0216 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
23:21:15.0656 0216 i8042prt - ok
23:21:15.0656 0216 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
23:21:15.0656 0216 Imapi - ok
23:21:15.0671 0216 ini910u - ok
23:21:15.0781 0216 IntcAzAudAddService (e304748137d6cd6e1cf98bddea20bfa2) C:\WINDOWS\system32\drivers\RtkHDAud.sys
23:21:15.0812 0216 IntcAzAudAddService - ok
23:21:15.0828 0216 IntelIde - ok
23:21:15.0828 0216 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
23:21:15.0828 0216 Ip6Fw - ok
23:21:15.0843 0216 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
23:21:15.0843 0216 IpFilterDriver - ok
23:21:15.0843 0216 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
23:21:15.0843 0216 IpInIp - ok
23:21:15.0875 0216 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
23:21:15.0875 0216 IpNat - ok
23:21:15.0890 0216 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
23:21:15.0890 0216 IPSec - ok
23:21:15.0890 0216 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
23:21:15.0906 0216 IRENUM - ok
23:21:15.0906 0216 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
23:21:15.0906 0216 isapnp - ok
23:21:15.0921 0216 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
23:21:15.0921 0216 Kbdclass - ok
23:21:15.0937 0216 kbdhid (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
23:21:15.0953 0216 kbdhid - ok
23:21:15.0968 0216 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
23:21:15.0984 0216 kmixer - ok
23:21:16.0000 0216 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
23:21:16.0015 0216 KSecDD - ok
23:21:16.0015 0216 lbrtfdc - ok
23:21:16.0031 0216 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
23:21:16.0031 0216 mnmdd - ok
23:21:16.0062 0216 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
23:21:16.0062 0216 Modem - ok
23:21:16.0093 0216 Monfilt (9fa7207d1b1adead88ae8eed9cdbbaa5) C:\WINDOWS\system32\drivers\Monfilt.sys
23:21:16.0140 0216 Monfilt - ok
23:21:16.0171 0216 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
23:21:16.0187 0216 Mouclass - ok
23:21:16.0203 0216 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
23:21:16.0218 0216 mouhid - ok
23:21:16.0218 0216 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
23:21:16.0218 0216 MountMgr - ok
23:21:16.0234 0216 mraid35x - ok
23:21:16.0234 0216 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
23:21:16.0250 0216 MRxDAV - ok
23:21:16.0265 0216 MRxSmb (7d304a5eb4344ebeeab53a2fe3ffb9f0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
23:21:16.0296 0216 MRxSmb - ok
23:21:16.0296 0216 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
23:21:16.0312 0216 Msfs - ok
23:21:16.0328 0216 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
23:21:16.0328 0216 MSKSSRV - ok
23:21:16.0328 0216 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
23:21:16.0328 0216 MSPCLOCK - ok
23:21:16.0343 0216 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
23:21:16.0359 0216 MSPQM - ok
23:21:16.0359 0216 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
23:21:16.0359 0216 mssmbios - ok
23:21:16.0375 0216 Mup (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
23:21:16.0390 0216 Mup - ok
23:21:16.0390 0216 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
23:21:16.0406 0216 NDIS - ok
23:21:16.0421 0216 NdisTapi (0109c4f3850dfbab279542515386ae22) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
23:21:16.0421 0216 NdisTapi - ok
23:21:16.0421 0216 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
23:21:16.0437 0216 Ndisuio - ok
23:21:16.0437 0216 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
23:21:16.0437 0216 NdisWan - ok
23:21:16.0468 0216 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
23:21:16.0468 0216 NDProxy - ok
23:21:16.0468 0216 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
23:21:16.0484 0216 NetBIOS - ok
23:21:16.0484 0216 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
23:21:16.0500 0216 NetBT - ok
23:21:16.0531 0216 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
23:21:16.0546 0216 NIC1394 - ok
23:21:16.0562 0216 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
23:21:16.0562 0216 Npfs - ok
23:21:16.0578 0216 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
23:21:16.0593 0216 Ntfs - ok
23:21:16.0640 0216 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
23:21:16.0640 0216 Null - ok
23:21:16.0656 0216 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
23:21:16.0656 0216 NwlnkFlt - ok
23:21:16.0656 0216 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
23:21:16.0671 0216 NwlnkFwd - ok
23:21:16.0671 0216 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
23:21:16.0687 0216 ohci1394 - ok
23:21:16.0703 0216 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\drivers\Parport.sys
23:21:16.0703 0216 Parport - ok
23:21:16.0718 0216 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
23:21:16.0718 0216 PartMgr - ok
23:21:16.0718 0216 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
23:21:16.0718 0216 ParVdm - ok
23:21:16.0734 0216 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
23:21:16.0734 0216 PCI - ok
23:21:16.0734 0216 PCIDump - ok
23:21:16.0750 0216 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
23:21:16.0750 0216 PCIIde - ok
23:21:16.0765 0216 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
23:21:16.0765 0216 Pcmcia - ok
23:21:16.0765 0216 PDCOMP - ok
23:21:16.0781 0216 PDFRAME - ok
23:21:16.0781 0216 PDRELI - ok
23:21:16.0796 0216 PDRFRAME - ok
23:21:16.0796 0216 perc2 - ok
23:21:16.0796 0216 perc2hib - ok
23:21:16.0828 0216 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
23:21:16.0843 0216 PptpMiniport - ok
23:21:16.0843 0216 Processor (2cb55427c58679f49ad600fccba76360) C:\WINDOWS\system32\DRIVERS\processr.sys
23:21:16.0843 0216 Processor - ok
23:21:16.0859 0216 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
23:21:16.0859 0216 PSched - ok
23:21:16.0875 0216 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
23:21:16.0875 0216 Ptilink - ok
23:21:16.0875 0216 ql1080 - ok
23:21:16.0875 0216 Ql10wnt - ok
23:21:16.0890 0216 ql12160 - ok
23:21:16.0890 0216 ql1240 - ok
23:21:16.0906 0216 ql1280 - ok
23:21:16.0906 0216 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
23:21:16.0906 0216 RasAcd - ok
23:21:16.0921 0216 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
23:21:16.0921 0216 Rasl2tp - ok
23:21:16.0921 0216 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
23:21:16.0937 0216 RasPppoe - ok
23:21:16.0937 0216 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
23:21:16.0937 0216 Raspti - ok
23:21:16.0953 0216 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
23:21:16.0953 0216 Rdbss - ok
23:21:16.0968 0216 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
23:21:16.0968 0216 RDPCDD - ok
23:21:17.0000 0216 RDPWD (fc105dd312ed64eb66bff111e8ec6eac) C:\WINDOWS\system32\drivers\RDPWD.sys
23:21:17.0000 0216 RDPWD - ok
23:21:17.0015 0216 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
23:21:17.0031 0216 redbook - ok
23:21:17.0046 0216 RRamdisk (3762a37c7ddd4afce6bd75aef790a920) C:\WINDOWS\system32\DRIVERS\rramdisk.sys
23:21:17.0046 0216 RRamdisk - ok
23:21:17.0140 0216 RTHDMIAzAudService (574916c897459dac8eea37bab503b48f) C:\WINDOWS\system32\drivers\RtKHDMI.sys
23:21:17.0265 0216 RTHDMIAzAudService - ok
23:21:17.0296 0216 RTLE8023xp (832f27e6962a14ebf3b09af0e65fd7b4) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
23:21:17.0296 0216 RTLE8023xp - ok
23:21:17.0312 0216 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
23:21:17.0328 0216 Secdrv - ok
23:21:17.0328 0216 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
23:21:17.0328 0216 serenum - ok
23:21:17.0343 0216 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
23:21:17.0343 0216 Serial - ok
23:21:17.0359 0216 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
23:21:17.0359 0216 Sfloppy - ok
23:21:17.0375 0216 Simbad - ok
23:21:17.0375 0216 Sparrow - ok
23:21:17.0390 0216 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
23:21:17.0390 0216 splitter - ok
23:21:17.0421 0216 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
23:21:17.0421 0216 sr - ok
23:21:17.0437 0216 srescan - ok
23:21:17.0453 0216 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
23:21:17.0468 0216 Srv - ok
23:21:17.0500 0216 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
23:21:17.0500 0216 ssmdrv - ok
23:21:17.0531 0216 StarOpen (e57b778208c783d8debab320c16a1b82) C:\WINDOWS\system32\drivers\StarOpen.sys
23:21:17.0531 0216 StarOpen - ok
23:21:17.0546 0216 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
23:21:17.0546 0216 swenum - ok
23:21:17.0562 0216 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
23:21:17.0562 0216 swmidi - ok
23:21:17.0562 0216 symc810 - ok
23:21:17.0578 0216 symc8xx - ok
23:21:17.0578 0216 sym_hi - ok
23:21:17.0578 0216 sym_u3 - ok
23:21:17.0593 0216 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
23:21:17.0593 0216 sysaudio - ok
23:21:17.0640 0216 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
23:21:17.0671 0216 Tcpip - ok
23:21:17.0687 0216 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
23:21:17.0687 0216 TDPIPE - ok
23:21:17.0703 0216 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
23:21:17.0703 0216 TDTCP - ok
23:21:17.0718 0216 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
23:21:17.0718 0216 TermDD - ok
23:21:17.0734 0216 TosIde - ok
23:21:17.0750 0216 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
23:21:17.0750 0216 Udfs - ok
23:21:17.0765 0216 ultra - ok
23:21:17.0828 0216 UnlockerDriver5 (bb879dcfd22926efbeb3298129898cbb) C:\OwnPrg\Unlocker\UnlockerDriver5.sys
23:21:17.0828 0216 UnlockerDriver5 - ok
23:21:17.0859 0216 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
23:21:17.0890 0216 Update - ok
23:21:17.0921 0216 usbaudio (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
23:21:17.0921 0216 usbaudio - ok
23:21:17.0937 0216 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
23:21:17.0953 0216 usbccgp - ok
23:21:17.0953 0216 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
23:21:17.0953 0216 usbehci - ok
23:21:17.0968 0216 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
23:21:17.0968 0216 usbhub - ok
23:21:17.0968 0216 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
23:21:17.0984 0216 usbohci - ok
23:21:17.0984 0216 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
23:21:18.0000 0216 usbprint - ok
23:21:18.0000 0216 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
23:21:18.0000 0216 usbscan - ok
23:21:18.0015 0216 usbstor (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
23:21:18.0015 0216 usbstor - ok
23:21:18.0015 0216 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
23:21:18.0015 0216 VgaSave - ok
23:21:18.0031 0216 ViaIde - ok
23:21:18.0031 0216 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
23:21:18.0031 0216 VolSnap - ok
23:21:18.0078 0216 vsdatant (050c38ebb22512122e54b47dc278bccd) C:\WINDOWS\system32\vsdatant.sys
23:21:18.0187 0216 vsdatant - ok
23:21:18.0203 0216 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
23:21:18.0203 0216 Wanarp - ok
23:21:18.0218 0216 WDICA - ok
23:21:18.0234 0216 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
23:21:18.0234 0216 wdmaud - ok
23:21:18.0265 0216 MBR (0x1B8) (5fb38429d5d77768867c76dcbdb35194) \Device\Harddisk0\DR0
23:21:18.0281 0216 \Device\Harddisk0\DR0 - ok
23:21:18.0281 0216 MBR (0x1B8) (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk1\DR1
23:21:18.0359 0216 \Device\Harddisk1\DR1 - ok
23:21:18.0375 0216 MBR (0x1B8) (b2e1785cee69d12e6a4edcd187f70e75) \Device\Harddisk5\DR14
23:21:19.0859 0216 \Device\Harddisk5\DR14 - ok
23:21:19.0890 0216 Boot (0x1200) (63eb740dee9fb313bca8da05b92aa36d) \Device\Harddisk0\DR0\Partition0
23:21:19.0890 0216 \Device\Harddisk0\DR0\Partition0 - ok
23:21:19.0921 0216 Boot (0x1200) (28e9ab67ae49351bcc9e512505ab5355) \Device\Harddisk0\DR0\Partition1
23:21:19.0921 0216 \Device\Harddisk0\DR0\Partition1 - ok
23:21:19.0937 0216 Boot (0x1200) (c51729a60b59b5bb5a9792675a756db1) \Device\Harddisk0\DR0\Partition2
23:21:19.0937 0216 \Device\Harddisk0\DR0\Partition2 - ok
23:21:19.0937 0216 Boot (0x1200) (54bbca96db5051c00cc490e26f71cc89) \Device\Harddisk1\DR1\Partition0
23:21:19.0937 0216 \Device\Harddisk1\DR1\Partition0 - ok
23:21:19.0953 0216 Boot (0x1200) (e04b26753e056180c2d06e2f81338643) \Device\Harddisk1\DR1\Partition1
23:21:19.0953 0216 \Device\Harddisk1\DR1\Partition1 - ok
23:21:19.0984 0216 Boot (0x1200) (8d50591d702f2e36281b1e4c5a79bad7) \Device\Harddisk1\DR1\Partition2
23:21:19.0984 0216 \Device\Harddisk1\DR1\Partition2 - ok
23:21:20.0000 0216 Boot (0x1200) (0a77cbdea2fca5b0cf52c12c7c3b1935) \Device\Harddisk1\DR1\Partition3
23:21:20.0000 0216 \Device\Harddisk1\DR1\Partition3 - ok
23:21:20.0031 0216 Boot (0x1200) (49901bf9fe9bc2af9cf0ac32b469070b) \Device\Harddisk1\DR1\Partition4
23:21:20.0031 0216 \Device\Harddisk1\DR1\Partition4 - ok
23:21:20.0031 0216 ============================================================
23:21:20.0031 0216 Scan finished
23:21:20.0031 0216 ============================================================
23:21:20.0031 0428 Detected object count: 1
23:21:20.0031 0428 Actual detected object count: 1
23:21:41.0984 0428 ACPI ( Virus.Win32.Rloader.a ) - skipped by user
23:21:41.0984 0428 ACPI ( Virus.Win32.Rloader.a ) - User select action: Skip
23:22:32.0625 4056 Deinitialize success




Vielen Dank für deine unermüdliche Hilfe, Gruß
Holger

Starte TDSSkiller.exe mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"

• Drücke auf Start Scan.
  Mache während dem Scan nichts am Rechner
• Gehe sicher das Cure ( default ) angehackt ist !
• Drücke Continue --> Reboot.

TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ )
Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hallo Daniel,

ich habe zuerst TDSSkiller laufen lassen (Log weiter unten) und habe dann versucht Combofix laufen zu lassen. Combofix meldete mir jedoch, dass bei mir noch Avira Antivirus läuft. Also habe ich Combofix abgebrochen (ganz sicher bin ich mir aber nicht, dass mir dies 100% gelungen ist, es kam noch ein kleines blaues Fenster, das ich dann auch noch gleich geschlossen habe – ob schon irgendwelche Dinge vom Programm oder Script abgearbeitet worden waren bis zu dem Zeitpunkt, als ich das kleine blaue Fenster geschlossen habe weiß ich nicht). Eigentlich hatte ich alle Antiviren- (Avira Antivir) und Spywareprogramme (Spybot S&D) sowie Firewalls (Zonelabs Zonealarm + Windows Firewall) deaktiviert. Die Taskleiste zeigte die entsprechenden Programme auch nicht mehr an wie sonst üblich.

Ich habe auf Grund der Meldung von Combofix noch einmal mit dem Taskmanager kontrolliert: und in der Tat, es liefen und laufen noch zwei Prozesse (avshadow.exe und avguard.exe). Also habe ich versucht, diese zuerst im Taskmanager und dann in der Dienstverwaltung zu beenden. Konnte ich aber nicht. Dies macht ggf. auch Sinn, da der Benutzer, unter dem ich das versucht habe normaler Weise eingeschränkte Rechte besitzt. Komischer Weise hat der Benutzer aber Administrationsrechte (vielleicht habe ich aber auch vergessen, dass ich das kurzfristig auf Administrationsrechte geändert und dann vergessen habe, dies wieder zurückzusetzen auf eingeschränkte Rechte). Dennoch, obwohl dieser Nutzer im Augenblick angeblich Administrationsrechte hat, kann ich die Dienste nicht beenden. Auch Avira lässt mich den Echtzeitscanner nicht ausschalten. Ebensowenig kann ich unter dem Benutzerkonto Admin die Dienste beenden.

Ebenso sehe ich, dass nun, wo ich wieder ins Internet gehen will und ZoneAlarm gestartet habe, mir dieses auch in der Taskleiste angezeigt wird, unter Dienste sehe ich aber, dass der Dienst „TrueVector Internet Monitor“, der meines Wissens nach grundlegend für ZoneAlarm ist, gar nicht läuft. Diesen Dienst kann ich ebenso wenig starten wie ich die zwei Avira-Dienste beenden kann.

Wahrscheinlich sind somit alle vorigen Programme durchgelaufen und haben ihre Logs geliefert, obwohl oder während diese zwei Prozesse (avshadow.exe und avguard.exe) noch im Hintergrund liefen. Wie soll ich nun vorgehen?

Das Log, das TDSSkiller generiert hat anbei (combobix habe ich ja nicht bis zum Ende laufen lassen):
08:36:20.0609 3504 TDSS rootkit removing tool 2.6.22.0 Dec 7 2011 13:21:06
08:36:20.0625 3504 ============================================================
08:36:20.0625 3504 Current date / time: 2011/12/12 08:36:20.0625
08:36:20.0625 3504 SystemInfo:
08:36:20.0625 3504
08:36:20.0625 3504 OS Version: 5.1.2600 ServicePack: 3.0
08:36:20.0625 3504 Product type: Workstation
08:36:20.0625 3504 ComputerName: E3300D
08:36:20.0625 3504 UserName: AHStern
08:36:20.0625 3504 Windows directory: C:\WINDOWS
08:36:20.0625 3504 System windows directory: C:\WINDOWS
08:36:20.0625 3504 Processor architecture: Intel x86
08:36:20.0625 3504 Number of processors: 2
08:36:20.0625 3504 Page size: 0x1000
08:36:20.0625 3504 Boot type: Normal boot
08:36:20.0625 3504 ============================================================
08:36:21.0906 3504 Initialize success
08:37:11.0640 3596 ============================================================
08:37:11.0640 3596 Scan started
08:37:11.0640 3596 Mode: Manual;
08:37:11.0640 3596 ============================================================
08:37:12.0109 3596 Abiosdsk - ok
08:37:12.0125 3596 abp480n5 - ok
08:37:12.0156 3596 ACPI (deac07203d92bf9385573fa5d790ff3c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
08:37:12.0156 3596 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\ACPI.sys. Real md5: deac07203d92bf9385573fa5d790ff3c, Fake md5: ac407f1a62c3a300b4f2b5a9f1d55b2c
08:37:12.0156 3596 ACPI ( Virus.Win32.Rloader.a ) - infected
08:37:12.0156 3596 ACPI - detected Virus.Win32.Rloader.a (0)
08:37:12.0171 3596 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
08:37:12.0171 3596 ACPIEC - ok
08:37:12.0187 3596 adpu160m - ok
08:37:12.0187 3596 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
08:37:12.0203 3596 aec - ok
08:37:12.0234 3596 AFD (1e44bc1e83d8fd2305f8d452db109cf9) C:\WINDOWS\System32\drivers\afd.sys
08:37:12.0234 3596 AFD - ok
08:37:12.0250 3596 Aha154x - ok
08:37:12.0265 3596 ahcix86 (bfed486888067b7935b3c9f5951c41be) C:\WINDOWS\system32\DRIVERS\ahcix86.sys
08:37:12.0265 3596 ahcix86 - ok
08:37:12.0265 3596 aic78u2 - ok
08:37:12.0281 3596 aic78xx - ok
08:37:12.0281 3596 AliIde - ok
08:37:12.0343 3596 Ambfilt (f6af59d6eee5e1c304f7f73706ad11d8) C:\WINDOWS\system32\drivers\Ambfilt.sys
08:37:12.0406 3596 Ambfilt - ok
08:37:12.0421 3596 amdide (6e58654cb25730b2579e45e1fd116a47) C:\WINDOWS\system32\DRIVERS\amdide.sys
08:37:12.0421 3596 amdide - ok
08:37:12.0421 3596 amsint - ok
08:37:12.0437 3596 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
08:37:12.0437 3596 Arp1394 - ok
08:37:12.0468 3596 Asapi (7de1504dba7e72313bb4ca5587df86cf) C:\WINDOWS\system32\drivers\Asapi.sys
08:37:12.0468 3596 Asapi - ok
08:37:12.0468 3596 asc - ok
08:37:12.0484 3596 asc3350p - ok
08:37:12.0484 3596 asc3550 - ok
08:37:12.0500 3596 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
08:37:12.0500 3596 AsyncMac - ok
08:37:12.0515 3596 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
08:37:12.0515 3596 atapi - ok
08:37:12.0515 3596 Atdisk - ok
08:37:12.0609 3596 ati2mtag (8763ede3e0cd40f5c3450571ac57f205) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
08:37:12.0625 3596 ati2mtag - ok
08:37:12.0640 3596 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
08:37:12.0656 3596 Atmarpc - ok
08:37:12.0656 3596 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
08:37:12.0656 3596 audstub - ok
08:37:12.0687 3596 avgntflt (7713e4eb0276702faa08e52a6e23f2a6) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
08:37:12.0687 3596 avgntflt - ok
08:37:12.0703 3596 avipbb (475fbb85956534720858ae72010c0a43) C:\WINDOWS\system32\DRIVERS\avipbb.sys
08:37:12.0703 3596 avipbb - ok
08:37:12.0718 3596 avkmgr (271cfd1a989209b1964e24d969552bf7) C:\WINDOWS\system32\DRIVERS\avkmgr.sys
08:37:12.0718 3596 avkmgr - ok
08:37:12.0734 3596 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
08:37:12.0734 3596 Beep - ok
08:37:12.0750 3596 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
08:37:12.0750 3596 cbidf2k - ok
08:37:12.0750 3596 cd20xrnt - ok
08:37:12.0765 3596 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
08:37:12.0765 3596 Cdaudio - ok
08:37:12.0765 3596 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
08:37:12.0781 3596 Cdfs - ok
08:37:12.0781 3596 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
08:37:12.0781 3596 Cdrom - ok
08:37:12.0796 3596 Changer - ok
08:37:12.0796 3596 CmdIde - ok
08:37:12.0812 3596 Cpqarray - ok
08:37:12.0828 3596 dac2w2k - ok
08:37:12.0828 3596 dac960nt - ok
08:37:12.0859 3596 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
08:37:12.0859 3596 Disk - ok
08:37:12.0890 3596 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
08:37:12.0921 3596 dmboot - ok
08:37:12.0921 3596 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
08:37:12.0937 3596 dmio - ok
08:37:12.0937 3596 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
08:37:12.0937 3596 dmload - ok
08:37:12.0953 3596 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
08:37:12.0968 3596 DMusic - ok
08:37:12.0968 3596 dpti2o - ok
08:37:12.0984 3596 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
08:37:12.0984 3596 drmkaud - ok
08:37:13.0015 3596 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
08:37:13.0015 3596 Fastfat - ok
08:37:13.0046 3596 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
08:37:13.0046 3596 Fdc - ok
08:37:13.0046 3596 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
08:37:13.0046 3596 Fips - ok
08:37:13.0062 3596 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
08:37:13.0062 3596 Flpydisk - ok
08:37:13.0078 3596 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
08:37:13.0078 3596 FltMgr - ok
08:37:13.0093 3596 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
08:37:13.0093 3596 Fs_Rec - ok
08:37:13.0093 3596 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
08:37:13.0109 3596 Ftdisk - ok
08:37:13.0125 3596 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
08:37:13.0125 3596 Gpc - ok
08:37:13.0125 3596 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
08:37:13.0125 3596 HDAudBus - ok
08:37:13.0171 3596 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
08:37:13.0171 3596 HidUsb - ok
08:37:13.0171 3596 hpn - ok
08:37:13.0218 3596 HPZid412 (d03d10f7ded688fecf50f8fbf1ea9b8a) C:\WINDOWS\system32\DRIVERS\HPZid412.sys
08:37:13.0218 3596 HPZid412 - ok
08:37:13.0234 3596 HPZipr12 (89f41658929393487b6b7d13c8528ce3) C:\WINDOWS\system32\DRIVERS\HPZipr12.sys
08:37:13.0234 3596 HPZipr12 - ok
08:37:13.0250 3596 HPZius12 (abcb05ccdbf03000354b9553820e39f8) C:\WINDOWS\system32\DRIVERS\HPZius12.sys
08:37:13.0250 3596 HPZius12 - ok
08:37:13.0281 3596 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
08:37:13.0296 3596 HTTP - ok
08:37:13.0296 3596 i2omgmt - ok
08:37:13.0296 3596 i2omp - ok
08:37:13.0312 3596 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
08:37:13.0328 3596 i8042prt - ok
08:37:13.0328 3596 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
08:37:13.0328 3596 Imapi - ok
08:37:13.0343 3596 ini910u - ok
08:37:13.0453 3596 IntcAzAudAddService (e304748137d6cd6e1cf98bddea20bfa2) C:\WINDOWS\system32\drivers\RtkHDAud.sys
08:37:13.0484 3596 IntcAzAudAddService - ok
08:37:13.0500 3596 IntelIde - ok
08:37:13.0500 3596 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
08:37:13.0500 3596 Ip6Fw - ok
08:37:13.0515 3596 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
08:37:13.0515 3596 IpFilterDriver - ok
08:37:13.0515 3596 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
08:37:13.0515 3596 IpInIp - ok
08:37:13.0546 3596 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
08:37:13.0546 3596 IpNat - ok
08:37:13.0546 3596 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
08:37:13.0562 3596 IPSec - ok
08:37:13.0562 3596 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
08:37:13.0562 3596 IRENUM - ok
08:37:13.0578 3596 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
08:37:13.0578 3596 isapnp - ok
08:37:13.0578 3596 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
08:37:13.0593 3596 Kbdclass - ok
08:37:13.0609 3596 kbdhid (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
08:37:13.0625 3596 kbdhid - ok
08:37:13.0640 3596 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
08:37:13.0656 3596 kmixer - ok
08:37:13.0671 3596 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
08:37:13.0687 3596 KSecDD - ok
08:37:13.0687 3596 lbrtfdc - ok
08:37:13.0703 3596 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
08:37:13.0703 3596 mnmdd - ok
08:37:13.0734 3596 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
08:37:13.0734 3596 Modem - ok
08:37:13.0765 3596 Monfilt (9fa7207d1b1adead88ae8eed9cdbbaa5) C:\WINDOWS\system32\drivers\Monfilt.sys
08:37:13.0812 3596 Monfilt - ok
08:37:13.0828 3596 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
08:37:13.0828 3596 Mouclass - ok
08:37:13.0859 3596 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
08:37:13.0859 3596 mouhid - ok
08:37:13.0859 3596 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
08:37:13.0875 3596 MountMgr - ok
08:37:13.0875 3596 mraid35x - ok
08:37:13.0906 3596 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
08:37:13.0906 3596 MRxDAV - ok
08:37:13.0937 3596 MRxSmb (7d304a5eb4344ebeeab53a2fe3ffb9f0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
08:37:13.0953 3596 MRxSmb - ok
08:37:13.0968 3596 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
08:37:13.0984 3596 Msfs - ok
08:37:14.0000 3596 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
08:37:14.0000 3596 MSKSSRV - ok
08:37:14.0000 3596 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
08:37:14.0000 3596 MSPCLOCK - ok
08:37:14.0015 3596 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
08:37:14.0015 3596 MSPQM - ok
08:37:14.0031 3596 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
08:37:14.0031 3596 mssmbios - ok
08:37:14.0046 3596 Mup (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
08:37:14.0046 3596 Mup - ok
08:37:14.0062 3596 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
08:37:14.0062 3596 NDIS - ok
08:37:14.0078 3596 NdisTapi (0109c4f3850dfbab279542515386ae22) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
08:37:14.0078 3596 NdisTapi - ok
08:37:14.0093 3596 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
08:37:14.0093 3596 Ndisuio - ok
08:37:14.0093 3596 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
08:37:14.0109 3596 NdisWan - ok
08:37:14.0125 3596 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
08:37:14.0125 3596 NDProxy - ok
08:37:14.0140 3596 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
08:37:14.0140 3596 NetBIOS - ok
08:37:14.0156 3596 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
08:37:14.0156 3596 NetBT - ok
08:37:14.0187 3596 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys
08:37:14.0187 3596 NIC1394 - ok
08:37:14.0203 3596 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
08:37:14.0203 3596 Npfs - ok
08:37:14.0218 3596 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
08:37:14.0234 3596 Ntfs - ok
08:37:14.0265 3596 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
08:37:14.0265 3596 Null - ok
08:37:14.0281 3596 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
08:37:14.0281 3596 NwlnkFlt - ok
08:37:14.0281 3596 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
08:37:14.0296 3596 NwlnkFwd - ok
08:37:14.0312 3596 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
08:37:14.0312 3596 ohci1394 - ok
08:37:14.0328 3596 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\drivers\Parport.sys
08:37:14.0328 3596 Parport - ok
08:37:14.0343 3596 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
08:37:14.0343 3596 PartMgr - ok
08:37:14.0343 3596 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
08:37:14.0343 3596 ParVdm - ok
08:37:14.0359 3596 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
08:37:14.0359 3596 PCI - ok
08:37:14.0359 3596 PCIDump - ok
08:37:14.0375 3596 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
08:37:14.0375 3596 PCIIde - ok
08:37:14.0390 3596 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
08:37:14.0390 3596 Pcmcia - ok
08:37:14.0406 3596 PDCOMP - ok
08:37:14.0406 3596 PDFRAME - ok
08:37:14.0406 3596 PDRELI - ok
08:37:14.0421 3596 PDRFRAME - ok
08:37:14.0421 3596 perc2 - ok
08:37:14.0421 3596 perc2hib - ok
08:37:14.0468 3596 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
08:37:14.0468 3596 PptpMiniport - ok
08:37:14.0468 3596 Processor (2cb55427c58679f49ad600fccba76360) C:\WINDOWS\system32\DRIVERS\processr.sys
08:37:14.0484 3596 Processor - ok
08:37:14.0484 3596 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
08:37:14.0484 3596 PSched - ok
08:37:14.0500 3596 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
08:37:14.0500 3596 Ptilink - ok
08:37:14.0500 3596 ql1080 - ok
08:37:14.0515 3596 Ql10wnt - ok
08:37:14.0515 3596 ql12160 - ok
08:37:14.0515 3596 ql1240 - ok
08:37:14.0531 3596 ql1280 - ok
08:37:14.0531 3596 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
08:37:14.0531 3596 RasAcd - ok
08:37:14.0546 3596 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
08:37:14.0546 3596 Rasl2tp - ok
08:37:14.0562 3596 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
08:37:14.0562 3596 RasPppoe - ok
08:37:14.0562 3596 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
08:37:14.0562 3596 Raspti - ok
08:37:14.0578 3596 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
08:37:14.0578 3596 Rdbss - ok
08:37:14.0593 3596 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
08:37:14.0593 3596 RDPCDD - ok
08:37:14.0625 3596 RDPWD (fc105dd312ed64eb66bff111e8ec6eac) C:\WINDOWS\system32\drivers\RDPWD.sys
08:37:14.0625 3596 RDPWD - ok
08:37:14.0640 3596 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
08:37:14.0656 3596 redbook - ok
08:37:14.0671 3596 RRamdisk (3762a37c7ddd4afce6bd75aef790a920) C:\WINDOWS\system32\DRIVERS\rramdisk.sys
08:37:14.0671 3596 RRamdisk - ok
08:37:14.0765 3596 RTHDMIAzAudService (574916c897459dac8eea37bab503b48f) C:\WINDOWS\system32\drivers\RtKHDMI.sys
08:37:14.0859 3596 RTHDMIAzAudService - ok
08:37:14.0890 3596 RTLE8023xp (832f27e6962a14ebf3b09af0e65fd7b4) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
08:37:14.0890 3596 RTLE8023xp - ok
08:37:14.0906 3596 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
08:37:14.0921 3596 Secdrv - ok
08:37:14.0921 3596 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
08:37:14.0921 3596 serenum - ok
08:37:14.0937 3596 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
08:37:14.0937 3596 Serial - ok
08:37:14.0953 3596 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
08:37:14.0953 3596 Sfloppy - ok
08:37:14.0968 3596 Simbad - ok
08:37:14.0968 3596 Sparrow - ok
08:37:14.0984 3596 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
08:37:14.0984 3596 splitter - ok
08:37:15.0015 3596 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
08:37:15.0031 3596 sr - ok
08:37:15.0062 3596 srescan - ok
08:37:15.0078 3596 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
08:37:15.0078 3596 Srv - ok
08:37:15.0109 3596 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
08:37:15.0109 3596 ssmdrv - ok
08:37:15.0140 3596 StarOpen (e57b778208c783d8debab320c16a1b82) C:\WINDOWS\system32\drivers\StarOpen.sys
08:37:15.0140 3596 StarOpen - ok
08:37:15.0156 3596 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
08:37:15.0171 3596 swenum - ok
08:37:15.0171 3596 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
08:37:15.0171 3596 swmidi - ok
08:37:15.0187 3596 symc810 - ok
08:37:15.0187 3596 symc8xx - ok
08:37:15.0187 3596 sym_hi - ok
08:37:15.0203 3596 sym_u3 - ok
08:37:15.0203 3596 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
08:37:15.0218 3596 sysaudio - ok
08:37:15.0250 3596 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
08:37:15.0281 3596 Tcpip - ok
08:37:15.0312 3596 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
08:37:15.0312 3596 TDPIPE - ok
08:37:15.0312 3596 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
08:37:15.0312 3596 TDTCP - ok
08:37:15.0328 3596 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
08:37:15.0343 3596 TermDD - ok
08:37:15.0343 3596 TosIde - ok
08:37:15.0359 3596 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
08:37:15.0375 3596 Udfs - ok
08:37:15.0375 3596 ultra - ok
08:37:15.0437 3596 UnlockerDriver5 (bb879dcfd22926efbeb3298129898cbb) C:\OwnPrg\Unlocker\UnlockerDriver5.sys
08:37:15.0437 3596 UnlockerDriver5 - ok
08:37:15.0484 3596 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
08:37:15.0500 3596 Update - ok
08:37:15.0531 3596 usbaudio (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
08:37:15.0531 3596 usbaudio - ok
08:37:15.0562 3596 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
08:37:15.0562 3596 usbccgp - ok
08:37:15.0562 3596 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
08:37:15.0578 3596 usbehci - ok
08:37:15.0578 3596 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
08:37:15.0578 3596 usbhub - ok
08:37:15.0593 3596 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
08:37:15.0593 3596 usbohci - ok
08:37:15.0609 3596 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
08:37:15.0609 3596 usbprint - ok
08:37:15.0625 3596 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
08:37:15.0625 3596 usbscan - ok
08:37:15.0625 3596 usbstor (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
08:37:15.0625 3596 usbstor - ok
08:37:15.0625 3596 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
08:37:15.0640 3596 VgaSave - ok
08:37:15.0640 3596 ViaIde - ok
08:37:15.0640 3596 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
08:37:15.0656 3596 VolSnap - ok
08:37:15.0687 3596 vsdatant (050c38ebb22512122e54b47dc278bccd) C:\WINDOWS\system32\vsdatant.sys
08:37:15.0796 3596 vsdatant - ok
08:37:15.0828 3596 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
08:37:15.0828 3596 Wanarp - ok
08:37:15.0828 3596 WDICA - ok
08:37:15.0843 3596 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
08:37:15.0859 3596 wdmaud - ok
08:37:15.0875 3596 MBR (0x1B8) (5fb38429d5d77768867c76dcbdb35194) \Device\Harddisk0\DR0
08:37:15.0890 3596 \Device\Harddisk0\DR0 - ok
08:37:15.0890 3596 MBR (0x1B8) (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk1\DR1
08:37:15.0968 3596 \Device\Harddisk1\DR1 - ok
08:37:15.0968 3596 MBR (0x1B8) (b2e1785cee69d12e6a4edcd187f70e75) \Device\Harddisk5\DR14
08:37:17.0484 3596 \Device\Harddisk5\DR14 - ok
08:37:17.0484 3596 Boot (0x1200) (63eb740dee9fb313bca8da05b92aa36d) \Device\Harddisk0\DR0\Partition0
08:37:17.0484 3596 \Device\Harddisk0\DR0\Partition0 - ok
08:37:17.0484 3596 Boot (0x1200) (28e9ab67ae49351bcc9e512505ab5355) \Device\Harddisk0\DR0\Partition1
08:37:17.0484 3596 \Device\Harddisk0\DR0\Partition1 - ok
08:37:17.0484 3596 Boot (0x1200) (c51729a60b59b5bb5a9792675a756db1) \Device\Harddisk0\DR0\Partition2
08:37:17.0484 3596 \Device\Harddisk0\DR0\Partition2 - ok
08:37:17.0484 3596 Boot (0x1200) (54bbca96db5051c00cc490e26f71cc89) \Device\Harddisk1\DR1\Partition0
08:37:17.0484 3596 \Device\Harddisk1\DR1\Partition0 - ok
08:37:17.0500 3596 Boot (0x1200) (e04b26753e056180c2d06e2f81338643) \Device\Harddisk1\DR1\Partition1
08:37:17.0500 3596 \Device\Harddisk1\DR1\Partition1 - ok
08:37:17.0531 3596 Boot (0x1200) (8d50591d702f2e36281b1e4c5a79bad7) \Device\Harddisk1\DR1\Partition2
08:37:17.0531 3596 \Device\Harddisk1\DR1\Partition2 - ok
08:37:17.0562 3596 Boot (0x1200) (0a77cbdea2fca5b0cf52c12c7c3b1935) \Device\Harddisk1\DR1\Partition3
08:37:17.0562 3596 \Device\Harddisk1\DR1\Partition3 - ok
08:37:17.0578 3596 Boot (0x1200) (49901bf9fe9bc2af9cf0ac32b469070b) \Device\Harddisk1\DR1\Partition4
08:37:17.0578 3596 \Device\Harddisk1\DR1\Partition4 - ok
08:37:17.0578 3596 ============================================================
08:37:17.0578 3596 Scan finished
08:37:17.0578 3596 ============================================================
08:37:17.0578 3588 Detected object count: 1
08:37:17.0578 3588 Actual detected object count: 1
08:37:58.0718 3588 Backup copy found, using it..
08:37:58.0750 3588 C:\WINDOWS\system32\DRIVERS\ACPI.sys - will be cured on reboot
08:37:58.0750 3588 ACPI ( Virus.Win32.Rloader.a ) - User select action: Cure
08:38:06.0140 3496 Deinitialize success

Lass Combofix einfach seine Arbeit machen und ignoriere die Meldung zu Avira

Hallo Daniel,

anbei findest du das Log von Combofix:

Combofix Logfile:
--- --- ---


Gruß
Holger

Du willst mich mit absicht ärgern oder ? Was ist das überhaupt für ein Ordner ?

Lösche die vorhandene Version von Combofix.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo Daniel,

entschuldige bitte meinen Fehler, es liegt mir fern, dich auch nur im Geringsten ärgern zu wollen, schließlich bin ich voll und ganz auf dich angewiesen.

Also nun noch einmal das Log von Combofix:

Combofix Logfile:
--- --- ---

Ist Firefox noch installiert ?

Umleitungen noch vorhanden ?

Hallo Daniel,

ja, Firefox ist noch installiert, schließlich sollte wohl derzeit bei mir nichts installiert oder deinstalliert werden, wenn ich nicht von dir dazu aufgefordert werde.

Die Umleitungen kamen nur sporadisch, insofern kann ich es nicht zu 100% sagen, aber bisher kam es nicht wieder vor seitdem ich es das letzte mal erwähnt habe, davor eben ab und an mal.

Gruß, vielen Dank für deine Hilfe,
Holger

Seltsam ist nämlich, das Combofix diesen nicht findet.

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Wenn der Scan beendet wurde, wird sich ein Textdokument öffnen.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo Daniel,

wenn ich mich richtig erinnere, dann funktioniert der Knopf "Alles Kopieren" so, dass er den gesamten Inhalt der Textbox in den Zwischenspeicher / die Ablage kopiert. Dies hat er beim letzten Mal aber nicht getan, im Augenblick funktioniert es wieder. So viel zur Funktion von Firefox.

Ich habe den Text dann mit der Hand markiert und entsprechend eingefügt.

Allerdings hat OTL nur die OTL.txt, nicht aber wie beim letzten Mal eine Extras.txt generiert (weder auf dem Desktop, von dem ich OTL aus gestartet habe, noch auf C:, dem Systemlaufwerk)

Hier das Log von OTL.txt.OTL Logfile:
--- --- ---



Gruß aus HH
Holger

Ich seh da nichts mehr. Sieh dir das mal so 2 Tage an, wenn die Umleitungen wieder auftauchen ( oder auch nicht ), sag mir bescheid

Hallo Daniel,

vielen Dank für Unterstützung.

Heißt das, dass wenn ich nächster Zeit kein merkwürdiges Verhalten mehr sehe der Rechner keinen Virus mehr hat?

Ich vermute, dass erst die Knöpfe "Alles kopieren" bzw. "Alles markieren" nicht funktioniert haben (s. heute 16:50 hing damit zusammen, dass ich da noch nicht im Trojaner-Board angemeldet war. Das funktioniert anscheinend nur, wenn man angemeldet ist.

Gruß und gute Nacht,
Holger

Hallo Daniel,

aus irgendeinem Grunde sind keine Drucker mehr installiert. Hast du eine Ahnung, woran das liegen kann?

Auf jeden Fall habe ich nun versucht wenigstens einen Drucker zu installieren, aber wenn ich dies versuche gibt er mir die Meldung zurück "Drucker: Der Vorgang konnte nicht abgeschlossen werden. Der Druckerwarteschlangendienst wird zur Zeit nicht ausgeführt."

Also bin ich in die Systemsteuerung - Verwaltung - Dienste und habe den entsprechenden Dienst gestartet. Dennoch lässt sich ein neuer Drucker nicht installieren, es kommt die gleiche Fehlermeldung.

Vielen Dank für deine Hilfe,
Holger

Hallo Daniel,

ich habe gerade versucht, im Internet (Mediathek von heute.de) ein Video zu sehen. Ich werde gefragt (wurde ich früher nicht) welche Art von Verbindung ich habe (DSL 1000 oder DSL 2000) und ob ich mit Windows Media Player oder mit Quicktime abspielen möchte. Wenn ich dann sage, er möchte das Video mit Windows Media Player abspielen, dann öffnet er VLC media player, das gleiche, wenn ich sage bitte mit Quicktime öffnen.

Wenn man dann nachsieht, welche Datei er bei der Option Windows Media Player nutzen möchte, dann gibt er .asx Dateien an. In Firefox - Options - Options - Applications ist für .asx Dateien unter "Actions" Windows Media Player Plugin angegeben. Ich verstehe nicht, warum er versucht, die Datei mit VLC abzuspielen.

Wie kann ich das ändern? (... und drucken würde ich auch gerne mal wieder).

Gruß
Holger

Hallo Daniel,

ich habe versucht in der MSConfig ein Programm für den Systemstart zu aktivieren und bekomme die Fehlermeldung: „ Systemkonfiguration: Es wurde ein Zugriffverweigerungsfehler, beim Versuch einen Dienst zu ändern, zurückgegeben. Sie können sich als Administrator anmelden, um diese Änderungen durchzuführen.“ Ich bin derzeit laut Auskunft von Windows aber als Administrator angemeldet.

Beim Start von Word bekomme ich ebenso eine Fehlermeldung: „CIB pdf AddIn: Das AddIn konnte nicht initialisiert werden.“

Die gleichen Meldung (Systemstart und Word) bekomme ich, wenn ich mich mit meinem eigenen Administratorkonto anmelde.

So langsam bekomme ich das Gefühl, dass es einfacher ist, Windows und alle Programme neu aufzuspielen.

Gruß
Holger

Dann mach das, erspart mir viel Zeit