neues vom BKA-virus
 

hallo leute,

bisher hab ich den BKA-virus mittels systemwiederherstellung erfolgreich bekämpfen können, wenn ich ihn denn mal hatte, aber die systemwiederherstellungspunkte sind nun gelöscht und nun hab ich den salat.

folgendes hatte zunächst funktioniert:

ich hab mir "Process Blocker" runtergeladen und dort jashla.exe, mahmud.exe, mahmut.exe und neu.exe eingetragen. außerdem habe ich alle diese dateien durch "placebos" ersetzt (leere word datei entsprechend benannt und dann zugriffsrechte für alle verweigert).

mittlerweile ist es allerdings so, dass sich der virus an die explorer.exe gehangen hat. sobald ich die öffne, bemächtigt sich das 'BKA' meines bildschirms.
in der registry ist der shell-eintrag ok. dort steht 'explorer.exe'.
ich habe 'explorer.exe' mittlerweile im Process Blocker mit aufgelistet und kann somit wieder halbwegs mit dem PC arbeiten, aber eine coole lösung ist das nicht.
hat jemand schon erfahrung mit dem sachverhalt? (BKA virus trotz korrektem shell-eintrag, alle entsprechenden exe-dateien geblockt und nur die explorer.exe (c/windows/explorer.exe) verursacht schaden)

die eigenschaften bei der explorer.exe teilen mir übrigens mit, dass die datei vor einem jahr erstellt wurde (seitdem hab ich den PC) und auch nicht geändert wurde.

danke schonmal für die hilfe.

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

ok. danke für die antwort. hier erstmal das logfile von malwarebytes. die eset-ergebnisse kommen im nächsten post.


Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8112

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

08.11.2011 11:36:29
mbam-log-2011-11-08 (11-36-29).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 161310
Laufzeit: 5 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 14
Infizierte Verzeichnisse: 2
Infizierte Dateien: 21

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Spyware.Passwords) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\linkrdr.AIEbho.1 (Spyware.Passwords) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\linkrdr.AIEbho (Spyware.Passwords) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Spyware.Passwords) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Gen) -> Bad: (C:\WINDOWS\system32\appconf32.exe) Good: () -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop (PUM.Hidden.Desktop) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\WINDOWS\system32\xmldm (Stolen.Data) -> Quarantined and deleted successfully.
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\WINDOWS\system32\appconf32.exe (Malware.Gen) -> Delete on reboot.
c:\WINDOWS\system32\acroiehelpe.dll (Spyware.Passwords) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\6dss92c31apgjk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\agvqvkfpnfmitwf.exe (Rogue.FakeAlert) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1935655697-1547161642-725345543-500\Dc58.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1935655697-1547161642-725345543-500\Dc59.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1935655697-1547161642-725345543-500\Dc60.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1935655697-1547161642-725345543-500\Dc61.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1935655697-1547161642-725345543-500\Dc68.dll (Spyware.Passwords) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1935655697-1547161642-725345543-500\Dc7.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1935655697-1547161642-725345543-500\Dc70.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1935655697-1547161642-725345543-500\Dc81.exe (Trojan.Inject.adb) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\User\lokale einstellungen\Temp\jar_cache3720017984294855593.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\User\lokale einstellungen\Temp\F4.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\WINDOWS\twexx32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\srvblck2.tmp (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\acroiehelpe.txt (Malware.Trace) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\mahmud.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\mahmud.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\User\anwendungsdaten\mahmud.exe (Backdoor.Agent) -> Quarantined and deleted successfully.

Sry aber ich wollte einen Vollscan sehen...bitte nachholen und Log posten!
Denk dran vorher die Signaturen von Malwarebytes zu aktualisieren, da gibt es sehr häufig neue Updates!

hoppla..sorry. bin der anleitung gefolgt und habs in deinem beitrag überlesen. kommt sofort.

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 8112

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

08.11.2011 12:22:34
mbam-log-2011-11-08 (12-22-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 241155
Laufzeit: 23 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 32

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\29\6910611d-6c3b36d5 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\32\44e6d4e0-1146bafe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\40\536fd8e8-49578ba8 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\49\4b9bc331-3175bf35 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\56\2eae48f8-4c189631 (Malware.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\9\48148949-364b268c (Malware.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\User\anwendungsdaten\Sun\Java\deployment\cache\6.0\32\44e6d4e0-57fb8f66 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\User\anwendungsdaten\Sun\Java\deployment\cache\6.0\53\f9b2235-78f97ce6 (Trojan.Inject.adb) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1935655697-1547161642-725345543-500\Dc89.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP84\A0024977.exe (Rogue.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP84\A0035011.exe (Rogue.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP85\A0035025.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP85\A0038026.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP85\A0043053.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP85\A0043084.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043234.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043273.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043274.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043275.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0050396.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043349.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043369.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043402.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043403.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0044390.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0046388.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0053415.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0053416.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0054449.exe (Malware.Gen) -> Quarantined and deleted successfully.

und hier das eset logfile:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=11656b7418bab349b1f5f03b660f9fd1
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-08 10:56:51
# local_time=2011-11-08 11:56:51 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 3729 3729 0 0
# scanned=8799
# found=19
# cleaned=0
# scan_time=362
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\29\6910611d-6c3b36d5 a variant of Win32/Kryptik.VCD trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\31\76125e9f-3276cb9a Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\44e6d4e0-1146bafe a variant of Win32/Kryptik.UZI trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\40\536fd8e8-49578ba8 a variant of Win32/Kryptik.VCD trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\4b9bc331-3175bf35 a variant of Win32/Kryptik.VAG trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\4b61fe36-6d1a10c6 Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\9\48148949-364b268c a variant of Win32/Kryptik.VAO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C7SJUJIL\224eaf740d2d9b52062844af08985446[1].htm HTML/Iframe.B.Gen virus (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KVS30HEF\224eaf740d2d9b52062844af08985446[1] HTML/Iframe.B.Gen virus (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KVS30HEF\2ddfp[1].pdf JS/Exploit.Pdfka.PFS.Gen trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PZ9ABH9A\0761e14dc5011a3cc3b9e19e377008e3[1] HTML/Iframe.B.Gen virus (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q962C4ET\0761e14dc5011a3cc3b9e19e377008e3[1].htm HTML/Iframe.B.Gen virus (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\21\346c2815-798606ed Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\31\19e8219f-2d779a87 multiple threats (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\44e6d4e0-57fb8f66 a variant of Win32/Kryptik.UZI trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37\75a9c4a5-1df802b0 a variant of Java/Agent.DW trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\53\f9b2235-78f97ce6 a variant of Win32/Kryptik.VAQ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\55\c3423b7-1a7e342c a variant of Java/Agent.DT trojan (unable to clean) 00000000000000000000000000000000 I
esets_scanner_update returned -1 esets_gle=0
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=11656b7418bab349b1f5f03b660f9fd1
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-08 11:34:24
# local_time=2011-11-08 12:34:24 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 6339 6339 0 0
# scanned=82
# found=0
# cleaned=0
# scan_time=6
esets_scanner_update returned -1 esets_gle=0
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=11656b7418bab349b1f5f03b660f9fd1
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-08 12:37:21
# local_time=2011-11-08 01:37:21 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 6376 6376 0 0
# scanned=174696
# found=25
# cleaned=0
# scan_time=3746
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\31\76125e9f-3276cb9a Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\4b61fe36-6d1a10c6 Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C7SJUJIL\224eaf740d2d9b52062844af08985446[1].htm HTML/Iframe.B.Gen virus (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KVS30HEF\224eaf740d2d9b52062844af08985446[1] HTML/Iframe.B.Gen virus (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KVS30HEF\2ddfp[1].pdf JS/Exploit.Pdfka.PFS.Gen trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PZ9ABH9A\0761e14dc5011a3cc3b9e19e377008e3[1] HTML/Iframe.B.Gen virus (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q962C4ET\0761e14dc5011a3cc3b9e19e377008e3[1].htm HTML/Iframe.B.Gen virus (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\21\346c2815-798606ed Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\31\19e8219f-2d779a87 multiple threats (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37\75a9c4a5-1df802b0 a variant of Java/Agent.DW trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\55\c3423b7-1a7e342c a variant of Java/Agent.DT trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\syllvjp8.default\Cache(2)\C\AA\87FA8d01 JS/Exploit.Pdfka.PDM.Gen trojan (unable to clean) 00000000000000000000000000000000 I
C:\RECYCLER\S-1-5-21-1935655697-1547161642-725345543-500\Dc5.exe Win32/LockScreen.AHO trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\explorer.exe a variant of Win32/Kryptik.VCD trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\dllcache\explorer.exe a variant of Win32/Kryptik.VCD trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\drivers\redbook.sys a variant of Win32/Rootkit.Kryptik.EX trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\Temp\0.6753338941194021.exe a variant of Win32/Kryptik.VCJ trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\Temp\7BCC.tmp a variant of Win32/Kryptik.VCJ trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\Temp\7BCD.tmp a variant of Win32/Kryptik.VCJ trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\Temp\7E16.tmp a variant of Win32/Kryptik.VCJ trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\Temp\7E17.tmp a variant of Win32/Kryptik.VCJ trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\Temp\7E43.tmp a variant of Win32/Kryptik.VCJ trojan (unable to clean) 00000000000000000000000000000000 I

Du hast beide Logs von Malwarebytes unvollständig gepostet. Beim ersten Log (Quickscan) zählte MBAM 21, im Vollscan-Log 32 infizierte Dateien. Im 1. Log seh ich aber 20 (eine fehlt) und im 2. Log nur 29 (3 fehlen)

Poste bitte alle beiden Logs vollständig!

ESET hat 19 infizierte Dateien gefunden, aufgelistet werden nur 18! Was soll das?

Im 2. Lauf findet es 25 und gelistet werden nur 22!
Was machst du da mit den Logs?! :mad:

richtig. wie gesagt: ich habe 'new.exe', 'jashka.exe' und 'mahmud.exe' gort, wo ich sie gefunden habe, gelöscht und durch placebos ersetzt. diese placebos sind in den logfiles aufgetaucht (hab sie nochmal gecheckt - sie haben alle 0 bytes) und ich hab sie rausgelöscht, weil sie nicht relevant sind und um verwirrung zu vermeiden, bzw um files, die gar nicht infiziert sind, im log stehen zu haben.

beim ersten log von malwarebytes war noch eine umbenannte explorer.exe dabei. ich hatte sie aus dem windows verzeichnis woandershin kopiert und umbenannt. anscheinend war sie trotzdem infiziert und ich hab sie gelöscht und anschließend auch aus dem logfile entfernt, weil sie nun auch nicht mehr relevant ist.

Ich möchte aber keine derart manipulierten Logs sehen. Private Infos zensieren ist ok, mehr aber auch nicht.

ok,ok.. hier die komplette neue logdatei von malwarebytes:


Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8112

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

08.11.2011 20:17:04
mbam-log-2011-11-08 (20-17-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 248838
Laufzeit: 25 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 20

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\linkrdr.AIEbho.1 (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\linkrdr.AIEbho (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Gen) -> Bad: (C:\WINDOWS\system32\appconf32.exe) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\WINDOWS\system32\xmldm (Stolen.Data) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\WINDOWS\system32\appconf32.exe (Malware.Gen) -> Delete on reboot.
c:\WINDOWS\system32\acroiehelpe045.dll (Trojan.Banker) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\8D63.tmp (Exploit.Drop.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\privacy.exe (Exploit.Drop.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\mahmud.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\56\2eae48f8-2cfe5267 (Malware.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\57\77884ab9-1dd57a0c (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\lokale einstellungen\temporary internet files\Content.IE5\UH236DWV\readme[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0055479.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0055480.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\0.9358008878950674.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\0.25834792987525257.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\0.6753338941194021.exe (Exploit.Drop.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\7BCC.tmp (Exploit.Drop.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\7E16.tmp (Exploit.Drop.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\7E43.tmp (Exploit.Drop.Gen) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\srvblck2.tmp (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\acroiehelpe.txt (Malware.Trace) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\mahmud.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\User\anwendungsdaten\mahmud.exe (Backdoor.Agent) -> Quarantined and deleted successfully.

Ich wollte kein neues, sondern die bereits erstellen vollständig sehen...

die logs vom alten scan existieren nicht mehr. dann kannst du mit dem hier sicher auch nichts anfangen...(ESET) :

C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\31\76125e9f-3276cb9a Win32/LockScreen.AHO trojan
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\4b61fe36-6d1a10c6 Win32/LockScreen.AHO trojan
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C7SJUJIL\224eaf740d2d9b52062844af08985446[1].htm HTML/Iframe.B.Gen virus
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\POD93DL7\2ddfp[1].pdf JS/Exploit.Pdfka.PFS.Gen trojan
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q962C4ET\0761e14dc5011a3cc3b9e19e377008e3[1].htm HTML/Iframe.B.Gen virus
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\21\346c2815-798606ed Java/Agent.DU trojan
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\31\19e8219f-2d779a87 multiple threats
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37\75a9c4a5-1df802b0 a variant of Java/Agent.DW trojan
C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\55\c3423b7-1a7e342c a variant of Java/Agent.DT trojan
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\syllvjp8.default\Cache(2)\C\AA\87FA8d01 JS/Exploit.Pdfka.PDM.Gen trojan
C:\RECYCLER\S-1-5-21-1935655697-1547161642-725345543-500\Dc5.exe Win32/LockScreen.AHO trojan
C:\RECYCLER\S-1-5-21-1935655697-1547161642-725345543-500\Dc89.part a variant of WMA/TrojanDownloader.GetCodec.gen trojan
C:\WINDOWS\explorer.exe a variant of Win32/Kryptik.VCD trojan
C:\WINDOWS\system32\dllcache\explorer.exe a variant of Win32/Kryptik.VCD trojan
C:\WINDOWS\system32\drivers\redbook.sys a variant of Win32/Rootkit.Kryptik.EX trojan
Operating memory probably a variant of Win32/Sirefef.DA trojan

Malwarebytes speichert die alle im Reiter Logdateien...

ah, super.
hier ist sie:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8112

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

08.11.2011 12:22:34
mbam-log-2011-11-08 (12-22-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 241155
Laufzeit: 23 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 32

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\29\6910611d-6c3b36d5 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\32\44e6d4e0-1146bafe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\40\536fd8e8-49578ba8 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\49\4b9bc331-3175bf35 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\56\2eae48f8-4c189631 (Malware.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\9\48148949-364b268c (Malware.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\User\anwendungsdaten\Sun\Java\deployment\cache\6.0\32\44e6d4e0-57fb8f66 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\User\anwendungsdaten\Sun\Java\deployment\cache\6.0\53\f9b2235-78f97ce6 (Trojan.Inject.adb) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1935655697-1547161642-725345543-500\Dc89.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP84\A0024977.exe (Rogue.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP84\A0035011.exe (Rogue.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP85\A0035025.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP85\A0038026.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP85\A0043053.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP85\A0043084.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043234.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043273.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043274.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043275.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0050396.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043349.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043369.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043402.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0043403.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0044390.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0046388.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0053415.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0053416.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0054449.exe (Malware.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\mahmud.exe (Backdoor.Agent) -> Not selected for removal.
c:\dokumente und einstellungen\default user\anwendungsdaten\mahmud.exe (Backdoor.Agent) -> Not selected for removal.
c:\dokumente und einstellungen\User\anwendungsdaten\mahmud.exe (Backdoor.Agent) -> Not selected for removal.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

so.. hier das otl log:OTL Logfile:
--- --- ---

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

ok, gemacht. hier ist das logfile:

All processes killed
========== OTL ==========
Service AMService stopped successfully!
Service AMService deleted successfully!
C:\WINDOWS\Temp\qofrlv\setup.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\AgVQVkFpNfmITWf.exe deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ASRockIES deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ASRockOCTuner deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\RDReminder deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ywsie.exe deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\zASRockInstantBoot deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\appconf32.exe deleted successfully.
File \WINDOWS\system32\appconf32.exe) -C:\WINDOWS\system32\appconf32.exe not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\astyjys\ deleted successfully.
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\astyjys.dll moved successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0f8d8e5a-c7b2-11e0-9f99-00252277bd64}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0f8d8e5a-c7b2-11e0-9f99-00252277bd64}\ not found.
File SysAnti.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0f8d8e5a-c7b2-11e0-9f99-00252277bd64}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0f8d8e5a-c7b2-11e0-9f99-00252277bd64}\ not found.
File SysAnti.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0f8d8e5a-c7b2-11e0-9f99-00252277bd64}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0f8d8e5a-c7b2-11e0-9f99-00252277bd64}\ not found.
File SysAnti.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f67571a8-1de8-11e0-97e9-806d6172696f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f67571a8-1de8-11e0-97e9-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f67571a8-1de8-11e0-97e9-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f67571a8-1de8-11e0-97e9-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f67571a8-1de8-11e0-97e9-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f67571a8-1de8-11e0-97e9-806d6172696f}\ not found.
File D:\ASRSetup.exe not found.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\mahmud.exe moved successfully.
C:\WINDOWS\System32\xmldm folder moved successfully.
C:\WINDOWS\System32\kock folder moved successfully.
C:\Dokumente und Einstellungen\User\Startmenü\Programme\System Restore folder moved successfully.
C:\WINDOWS\system32\blckdom.res moved successfully.
========== FILES ==========
C:\WINDOWS\tasks\DLL-files.com Fixer_MONTHLY.job moved successfully.
C:\WINDOWS\tasks\DLL-files.com Fixer_UPDATES.job moved successfully.
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job moved successfully.
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job moved successfully.
C:\WINDOWS\tasks\prismShakeIcon.job moved successfully.
C:\WINDOWS\tasks\recordpadShakeIcon.job moved successfully.
C:\WINDOWS\tasks\switchDowngrade.job moved successfully.
C:\WINDOWS\tasks\switchShakeIcon.job moved successfully.
C:\WINDOWS\tasks\wavepadDowngrade.job moved successfully.
C:\WINDOWS\tasks\wavepadShakeIcon.job moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 147555325 bytes
->Java cache emptied: 1123209 bytes
->Flash cache emptied: 257 bytes

User: User
->Temp folder emptied: 3769095380 bytes
->Temporary Internet Files folder emptied: 249328 bytes
->Java cache emptied: 3722893 bytes
->FireFox cache emptied: 388917416 bytes
->Google Chrome cache emptied: 6779019 bytes
->Flash cache emptied: 117580 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 17932198 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 143656215 bytes
RecycleBin emptied: 180488549 bytes

Total Files Cleaned = 4.444,00 mb

HOSTS file reset successfully

OTL by OldTimer - Version 3.2.31.0 log created on 11102011_175521

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

und hier kommts:

22:11:47.0234 1604 TDSS rootkit removing tool 2.6.17.0 Nov 9 2011 16:48:26
22:11:47.0687 1604 ============================================================
22:11:47.0687 1604 Current date / time: 2011/11/10 22:11:47.0687
22:11:47.0687 1604 SystemInfo:
22:11:47.0687 1604
22:11:47.0687 1604 OS Version: 5.1.2600 ServicePack: 3.0
22:11:47.0687 1604 Product type: Workstation
22:11:47.0687 1604 ComputerName: USER-PC
22:11:47.0687 1604 UserName: User
22:11:47.0687 1604 Windows directory: C:\WINDOWS
22:11:47.0687 1604 System windows directory: C:\WINDOWS
22:11:47.0687 1604 Processor architecture: Intel x86
22:11:47.0687 1604 Number of processors: 4
22:11:47.0687 1604 Page size: 0x1000
22:11:47.0687 1604 Boot type: Normal boot
22:11:47.0687 1604 ============================================================
22:11:48.0468 1604 Initialize success
22:14:32.0812 3036 ============================================================
22:14:32.0812 3036 Scan started
22:14:32.0812 3036 Mode: Manual; SigCheck; TDLFS;
22:14:32.0812 3036 ============================================================
22:14:33.0609 3036 Abiosdsk - ok
22:14:33.0625 3036 abp480n5 - ok
22:14:33.0671 3036 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
22:14:34.0015 3036 ACPI - ok
22:14:34.0109 3036 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
22:14:34.0203 3036 ACPIEC - ok
22:14:34.0218 3036 adpu160m - ok
22:14:34.0265 3036 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
22:14:34.0359 3036 aec - ok
22:14:34.0375 3036 AFD (322d0e36693d6e24a2398bee62a268cd) C:\WINDOWS\System32\drivers\afd.sys
22:14:34.0453 3036 AFD - ok
22:14:34.0468 3036 Aha154x - ok
22:14:34.0468 3036 aic78u2 - ok
22:14:34.0468 3036 aic78xx - ok
22:14:34.0484 3036 AliIde - ok
22:14:34.0515 3036 AmdPPM (033448d435e65c4bd72e70521fd05c76) C:\WINDOWS\system32\DRIVERS\AmdPPM.sys
22:14:34.0531 3036 AmdPPM - ok
22:14:34.0531 3036 amsint - ok
22:14:34.0578 3036 Asapi (7de1504dba7e72313bb4ca5587df86cf) C:\WINDOWS\system32\drivers\Asapi.sys
22:14:34.0593 3036 Asapi ( UnsignedFile.Multi.Generic ) - warning
22:14:34.0593 3036 Asapi - detected UnsignedFile.Multi.Generic (1)
22:14:34.0593 3036 asc - ok
22:14:34.0593 3036 asc3350p - ok
22:14:34.0609 3036 asc3550 - ok
22:14:34.0687 3036 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
22:14:34.0750 3036 AsyncMac - ok
22:14:34.0781 3036 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
22:14:34.0859 3036 atapi - ok
22:14:34.0875 3036 Atdisk - ok
22:14:34.0875 3036 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
22:14:34.0953 3036 Atmarpc - ok
22:14:35.0000 3036 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
22:14:35.0078 3036 audstub - ok
22:14:35.0109 3036 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
22:14:35.0203 3036 Beep - ok
22:14:35.0234 3036 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
22:14:35.0312 3036 cbidf2k - ok
22:14:35.0328 3036 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
22:14:35.0406 3036 CCDECODE - ok
22:14:35.0421 3036 cd20xrnt - ok
22:14:35.0437 3036 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
22:14:35.0515 3036 Cdaudio - ok
22:14:35.0515 3036 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
22:14:35.0593 3036 Cdfs - ok
22:14:35.0609 3036 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
22:14:35.0687 3036 Cdrom - ok
22:14:35.0703 3036 Changer - ok
22:14:35.0703 3036 CmdIde - ok
22:14:35.0750 3036 Cpqarray - ok
22:14:35.0765 3036 dac2w2k - ok
22:14:35.0765 3036 dac960nt - ok
22:14:35.0812 3036 DELTA (b34dafa517f838b82a4256b08346917f) C:\WINDOWS\system32\DRIVERS\delta.sys
22:14:35.0812 3036 DELTA ( UnsignedFile.Multi.Generic ) - warning
22:14:35.0812 3036 DELTA - detected UnsignedFile.Multi.Generic (1)
22:14:35.0828 3036 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
22:14:35.0906 3036 Disk - ok
22:14:35.0921 3036 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
22:14:36.0015 3036 dmboot - ok
22:14:36.0046 3036 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
22:14:36.0125 3036 dmio - ok
22:14:36.0156 3036 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
22:14:36.0218 3036 dmload - ok
22:14:36.0250 3036 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
22:14:36.0343 3036 DMusic - ok
22:14:36.0359 3036 dpti2o - ok
22:14:36.0375 3036 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
22:14:36.0437 3036 drmkaud - ok
22:14:36.0500 3036 ews88mt (c17d8817164cfd561dc2a5c1a79554fa) C:\WINDOWS\system32\drivers\ews88wdm.sys
22:14:36.0500 3036 ews88mt ( UnsignedFile.Multi.Generic ) - warning
22:14:36.0500 3036 ews88mt - detected UnsignedFile.Multi.Generic (1)
22:14:36.0515 3036 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
22:14:36.0593 3036 Fastfat - ok
22:14:36.0609 3036 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
22:14:36.0687 3036 Fdc - ok
22:14:36.0703 3036 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
22:14:36.0781 3036 Fips - ok
22:14:36.0796 3036 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
22:14:36.0890 3036 Flpydisk - ok
22:14:36.0921 3036 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
22:14:37.0000 3036 FltMgr - ok
22:14:37.0015 3036 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
22:14:37.0093 3036 Fs_Rec - ok
22:14:37.0093 3036 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
22:14:37.0171 3036 Ftdisk - ok
22:14:37.0187 3036 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
22:14:37.0281 3036 Gpc - ok
22:14:37.0312 3036 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
22:14:37.0406 3036 HDAudBus - ok
22:14:37.0421 3036 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
22:14:37.0500 3036 HidUsb - ok
22:14:37.0515 3036 hpn - ok
22:14:37.0531 3036 HTTP (f6aacf5bce2893e0c1754afeb672e5c9) C:\WINDOWS\system32\Drivers\HTTP.sys
22:14:37.0609 3036 HTTP - ok
22:14:37.0609 3036 i2omgmt - ok
22:14:37.0625 3036 i2omp - ok
22:14:37.0640 3036 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
22:14:37.0718 3036 i8042prt - ok
22:14:37.0750 3036 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
22:14:37.0828 3036 Imapi - ok
22:14:37.0828 3036 ini910u - ok
22:14:37.0843 3036 IntelIde - ok
22:14:37.0859 3036 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
22:14:37.0921 3036 Ip6Fw - ok
22:14:37.0953 3036 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
22:14:38.0031 3036 IpFilterDriver - ok
22:14:38.0031 3036 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
22:14:38.0109 3036 IpInIp - ok
22:14:38.0125 3036 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
22:14:38.0203 3036 IpNat - ok
22:14:38.0203 3036 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
22:14:38.0281 3036 IPSec - ok
22:14:38.0312 3036 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
22:14:38.0343 3036 IRENUM - ok
22:14:38.0359 3036 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
22:14:38.0421 3036 isapnp - ok
22:14:38.0437 3036 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
22:14:38.0515 3036 Kbdclass - ok
22:14:38.0546 3036 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
22:14:38.0625 3036 kmixer - ok
22:14:38.0625 3036 KSecDD (1705745d900dabf2d89f90ebaddc7517) C:\WINDOWS\system32\drivers\KSecDD.sys
22:14:38.0718 3036 KSecDD - ok
22:14:38.0734 3036 lbrtfdc - ok
22:14:38.0765 3036 MBAMProtector (69a6268d7f81e53d568ab4e7e991caf3) C:\WINDOWS\system32\drivers\mbam.sys
22:14:38.0937 3036 MBAMProtector - ok
22:14:38.0968 3036 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
22:14:39.0046 3036 mnmdd - ok
22:14:39.0078 3036 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
22:14:39.0140 3036 Modem - ok
22:14:39.0187 3036 monfilt (9fa7207d1b1adead88ae8eed9cdbbaa5) C:\WINDOWS\system32\drivers\monfilt.sys
22:14:39.0250 3036 monfilt - ok
22:14:39.0265 3036 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
22:14:39.0343 3036 Mouclass - ok
22:14:39.0359 3036 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
22:14:39.0437 3036 mouhid - ok
22:14:39.0453 3036 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
22:14:39.0531 3036 MountMgr - ok
22:14:39.0531 3036 mraid35x - ok
22:14:39.0546 3036 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
22:14:39.0625 3036 MRxDAV - ok
22:14:39.0640 3036 MRxSmb (68755f0ff16070178b54674fe5b847b0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
22:14:39.0718 3036 MRxSmb - ok
22:14:39.0734 3036 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
22:14:39.0812 3036 Msfs - ok
22:14:39.0875 3036 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
22:14:39.0937 3036 MSKSSRV - ok
22:14:39.0953 3036 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
22:14:40.0015 3036 MSPCLOCK - ok
22:14:40.0031 3036 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
22:14:40.0109 3036 MSPQM - ok
22:14:40.0125 3036 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
22:14:40.0203 3036 mssmbios - ok
22:14:40.0218 3036 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
22:14:40.0296 3036 MSTEE - ok
22:14:40.0312 3036 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
22:14:40.0390 3036 Mup - ok
22:14:40.0406 3036 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
22:14:40.0484 3036 NABTSFEC - ok
22:14:40.0500 3036 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
22:14:40.0578 3036 NDIS - ok
22:14:40.0593 3036 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
22:14:40.0671 3036 NdisIP - ok
22:14:40.0671 3036 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
22:14:40.0750 3036 NdisTapi - ok
22:14:40.0765 3036 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
22:14:40.0828 3036 Ndisuio - ok
22:14:40.0843 3036 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
22:14:40.0937 3036 NdisWan - ok
22:14:40.0953 3036 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
22:14:41.0046 3036 NDProxy - ok
22:14:41.0046 3036 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
22:14:41.0125 3036 NetBIOS - ok
22:14:41.0140 3036 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
22:14:41.0218 3036 NetBT - ok
22:14:41.0265 3036 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
22:14:41.0328 3036 Npfs - ok
22:14:41.0343 3036 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
22:14:41.0421 3036 Ntfs - ok
22:14:41.0468 3036 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
22:14:41.0546 3036 Null - ok
22:14:41.0656 3036 nv (02e3a5cf6de77dba144550fd1c4a4cd9) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
22:14:41.0843 3036 nv - ok
22:14:41.0859 3036 NVENETFD (70217a23470f4bb4c8fb4abe06813081) C:\WINDOWS\system32\DRIVERS\NVENETFD.sys
22:14:41.0890 3036 NVENETFD - ok
22:14:41.0906 3036 nvgts (ea98bfe4931bd13d747d647c1859796e) C:\WINDOWS\system32\DRIVERS\nvgts.sys
22:14:41.0906 3036 nvgts - ok
22:14:41.0921 3036 nvnetbus (be8513730653384939a4d2d977c81027) C:\WINDOWS\system32\DRIVERS\nvnetbus.sys
22:14:41.0953 3036 nvnetbus - ok
22:14:41.0984 3036 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
22:14:42.0046 3036 NwlnkFlt - ok
22:14:42.0062 3036 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
22:14:42.0125 3036 NwlnkFwd - ok
22:14:42.0156 3036 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
22:14:42.0218 3036 Parport - ok
22:14:42.0234 3036 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
22:14:42.0296 3036 PartMgr - ok
22:14:42.0328 3036 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
22:14:42.0406 3036 ParVdm - ok
22:14:42.0421 3036 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
22:14:42.0484 3036 PCI - ok
22:14:42.0484 3036 PCIDump - ok
22:14:42.0500 3036 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
22:14:42.0562 3036 PCIIde - ok
22:14:42.0578 3036 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
22:14:42.0656 3036 Pcmcia - ok
22:14:42.0656 3036 PDCOMP - ok
22:14:42.0656 3036 PDFRAME - ok
22:14:42.0687 3036 PDNMp50 (1bf91f352d746ad7469fa71783b5fae8) C:\WINDOWS\system32\Drivers\PDNMp50.sys
22:14:42.0687 3036 PDNMp50 - ok
22:14:42.0687 3036 PDNSp50 (1961590aa191b6b7dcf18a6a693af7b8) C:\WINDOWS\system32\Drivers\PDNSp50.sys
22:14:42.0703 3036 PDNSp50 - ok
22:14:42.0703 3036 PDRELI - ok
22:14:42.0703 3036 PDRFRAME - ok
22:14:42.0718 3036 perc2 - ok
22:14:42.0718 3036 perc2hib - ok
22:14:42.0781 3036 PfModNT (c8a2d6ff660ac601b7bb9a9b16a5c25e) C:\WINDOWS\system32\drivers\PfModNT.sys
22:14:42.0796 3036 PfModNT ( UnsignedFile.Multi.Generic ) - warning
22:14:42.0796 3036 PfModNT - detected UnsignedFile.Multi.Generic (1)
22:14:42.0796 3036 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
22:14:42.0875 3036 PptpMiniport - ok
22:14:42.0890 3036 Processor (2cb55427c58679f49ad600fccba76360) C:\WINDOWS\system32\DRIVERS\processr.sys
22:14:42.0953 3036 Processor - ok
22:14:42.0968 3036 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
22:14:43.0031 3036 PSched - ok
22:14:43.0046 3036 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
22:14:43.0125 3036 Ptilink - ok
22:14:43.0156 3036 PxHelp20 (e42e3433dbb4cffe8fdd91eab29aea8e) C:\WINDOWS\system32\Drivers\PxHelp20.sys
22:14:43.0156 3036 PxHelp20 - ok
22:14:43.0171 3036 ql1080 - ok
22:14:43.0171 3036 Ql10wnt - ok
22:14:43.0171 3036 ql12160 - ok
22:14:43.0187 3036 ql1240 - ok
22:14:43.0187 3036 ql1280 - ok
22:14:43.0203 3036 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
22:14:43.0265 3036 RasAcd - ok
22:14:43.0281 3036 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
22:14:43.0343 3036 Rasl2tp - ok
22:14:43.0359 3036 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
22:14:43.0421 3036 RasPppoe - ok
22:14:43.0437 3036 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
22:14:43.0500 3036 Raspti - ok
22:14:43.0515 3036 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
22:14:43.0578 3036 Rdbss - ok
22:14:43.0578 3036 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
22:14:43.0640 3036 RDPCDD - ok
22:14:43.0656 3036 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
22:14:43.0718 3036 rdpdr - ok
22:14:43.0765 3036 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
22:14:43.0828 3036 RDPWD - ok
22:14:43.0859 3036 redbook (d23154f0abcff7d677d80934958949cf) C:\WINDOWS\system32\DRIVERS\redbook.sys
22:14:43.0859 3036 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\redbook.sys. Real md5: d23154f0abcff7d677d80934958949cf, Fake md5: ed761d453856f795a7fe056e42c36365
22:14:43.0859 3036 redbook ( Rootkit.Win32.ZAccess.j ) - infected
22:14:43.0859 3036 redbook - detected Rootkit.Win32.ZAccess.j (0)
22:14:43.0906 3036 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
22:14:43.0937 3036 Secdrv - ok
22:14:43.0953 3036 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
22:14:44.0015 3036 serenum - ok
22:14:44.0031 3036 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
22:14:44.0093 3036 Serial - ok
22:14:44.0140 3036 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
22:14:44.0203 3036 Sfloppy - ok
22:14:44.0203 3036 Simbad - ok
22:14:44.0234 3036 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
22:14:44.0296 3036 SLIP - ok
22:14:44.0312 3036 Sparrow - ok
22:14:44.0343 3036 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
22:14:44.0406 3036 splitter - ok
22:14:44.0421 3036 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
22:14:44.0468 3036 sr - ok
22:14:44.0500 3036 Srv (5252605079810904e31c332e241cd59b) C:\WINDOWS\system32\DRIVERS\srv.sys
22:14:44.0578 3036 Srv - ok
22:14:44.0578 3036 StarOpen - ok
22:14:44.0593 3036 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
22:14:44.0656 3036 streamip - ok
22:14:44.0656 3036 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
22:14:44.0734 3036 swenum - ok
22:14:44.0781 3036 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
22:14:44.0843 3036 swmidi - ok
22:14:44.0859 3036 symc810 - ok
22:14:44.0875 3036 symc8xx - ok
22:14:44.0875 3036 sym_hi - ok
22:14:44.0875 3036 sym_u3 - ok
22:14:44.0890 3036 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
22:14:44.0953 3036 sysaudio - ok
22:14:45.0000 3036 Tcpip (93ea8d04ec73a85db02eb8805988f733) C:\WINDOWS\system32\DRIVERS\tcpip.sys
22:14:45.0062 3036 Tcpip - ok
22:14:45.0078 3036 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
22:14:45.0140 3036 TDPIPE - ok
22:14:45.0156 3036 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
22:14:45.0234 3036 TDTCP - ok
22:14:45.0250 3036 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
22:14:45.0312 3036 TermDD - ok
22:14:45.0312 3036 TosIde - ok
22:14:45.0359 3036 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
22:14:45.0421 3036 Udfs - ok
22:14:45.0421 3036 ultra - ok
22:14:45.0437 3036 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
22:14:45.0515 3036 Update - ok
22:14:45.0531 3036 usbaudio (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
22:14:45.0593 3036 usbaudio - ok
22:14:45.0609 3036 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
22:14:45.0671 3036 usbccgp - ok
22:14:45.0687 3036 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
22:14:45.0750 3036 usbehci - ok
22:14:45.0796 3036 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
22:14:45.0859 3036 usbhub - ok
22:14:45.0875 3036 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
22:14:45.0921 3036 usbohci - ok
22:14:45.0953 3036 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
22:14:46.0015 3036 USBSTOR - ok
22:14:46.0046 3036 usbvideo (63bbfca7f390f4c49ed4b96bfb1633e0) C:\WINDOWS\system32\Drivers\usbvideo.sys
22:14:46.0109 3036 usbvideo - ok
22:14:46.0125 3036 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
22:14:46.0187 3036 VgaSave - ok
22:14:46.0250 3036 VIAHdAudAddService (242a8309b952f7ca9e220d3439955b0e) C:\WINDOWS\system32\drivers\viahduaa.sys
22:14:46.0296 3036 VIAHdAudAddService - ok
22:14:46.0296 3036 ViaIde - ok
22:14:46.0328 3036 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
22:14:46.0390 3036 VolSnap - ok
22:14:46.0406 3036 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
22:14:46.0468 3036 Wanarp - ok
22:14:46.0484 3036 WDICA - ok
22:14:46.0515 3036 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
22:14:46.0578 3036 wdmaud - ok
22:14:46.0625 3036 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
22:14:46.0687 3036 WSTCODEC - ok
22:14:46.0734 3036 MBR (0x1B8) (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
22:14:46.0875 3036 \Device\Harddisk0\DR0 - ok
22:14:46.0890 3036 Boot (0x1200) (5bf13da0beca0167142f99b91cf6d338) \Device\Harddisk0\DR0\Partition0
22:14:46.0890 3036 \Device\Harddisk0\DR0\Partition0 - ok
22:14:46.0890 3036 Boot (0x1200) (ea35b077594e33bcc95c0eb9b3d4c80e) \Device\Harddisk0\DR0\Partition1
22:14:46.0890 3036 \Device\Harddisk0\DR0\Partition1 - ok
22:14:46.0906 3036 ============================================================
22:14:46.0906 3036 Scan finished
22:14:46.0906 3036 ============================================================
22:14:47.0000 3040 Detected object count: 5
22:14:47.0000 3040 Actual detected object count: 5
22:15:04.0562 3040 Asapi ( UnsignedFile.Multi.Generic ) - skipped by user
22:15:04.0562 3040 Asapi ( UnsignedFile.Multi.Generic ) - User select action: Skip
22:15:04.0562 3040 DELTA ( UnsignedFile.Multi.Generic ) - skipped by user
22:15:04.0562 3040 DELTA ( UnsignedFile.Multi.Generic ) - User select action: Skip
22:15:04.0578 3040 ews88mt ( UnsignedFile.Multi.Generic ) - skipped by user
22:15:04.0578 3040 ews88mt ( UnsignedFile.Multi.Generic ) - User select action: Skip
22:15:04.0578 3040 PfModNT ( UnsignedFile.Multi.Generic ) - skipped by user
22:15:04.0578 3040 PfModNT ( UnsignedFile.Multi.Generic ) - User select action: Skip
22:15:04.0734 3040 Backup copy found, using it..
22:15:04.0750 3040 C:\WINDOWS\system32\DRIVERS\redbook.sys - will be cured on reboot
22:15:04.0750 3040 redbook ( Rootkit.Win32.ZAccess.j ) - User select action: Cure

Ein rootkit wurde erkannt und entfernt. Windows neu starten und ein neues Log mit dem TDSS-Killer bitte machen

sieht gut aus..:

22:27:10.0437 0496 TDSS rootkit removing tool 2.6.17.0 Nov 9 2011 16:48:26
22:27:10.0437 0496 ============================================================
22:27:10.0437 0496 Current date / time: 2011/11/10 22:27:10.0437
22:27:10.0437 0496 SystemInfo:
22:27:10.0437 0496
22:27:10.0437 0496 OS Version: 5.1.2600 ServicePack: 3.0
22:27:10.0437 0496 Product type: Workstation
22:27:10.0437 0496 ComputerName: USER-PC
22:27:10.0437 0496 UserName: User
22:27:10.0437 0496 Windows directory: C:\WINDOWS
22:27:10.0437 0496 System windows directory: C:\WINDOWS
22:27:10.0437 0496 Processor architecture: Intel x86
22:27:10.0437 0496 Number of processors: 4
22:27:10.0437 0496 Page size: 0x1000
22:27:10.0437 0496 Boot type: Normal boot
22:27:10.0437 0496 ============================================================
22:27:10.0656 0496 Initialize success
22:27:16.0203 0988 ============================================================
22:27:16.0203 0988 Scan started
22:27:16.0203 0988 Mode: Manual; SigCheck; TDLFS;
22:27:16.0203 0988 ============================================================
22:27:16.0328 0988 Abiosdsk - ok
22:27:16.0328 0988 abp480n5 - ok
22:27:16.0359 0988 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
22:27:17.0046 0988 ACPI - ok
22:27:17.0109 0988 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
22:27:17.0203 0988 ACPIEC - ok
22:27:17.0218 0988 adpu160m - ok
22:27:17.0250 0988 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
22:27:17.0343 0988 aec - ok
22:27:17.0359 0988 AFD (322d0e36693d6e24a2398bee62a268cd) C:\WINDOWS\System32\drivers\afd.sys
22:27:17.0453 0988 AFD - ok
22:27:17.0453 0988 Aha154x - ok
22:27:17.0468 0988 aic78u2 - ok
22:27:17.0468 0988 aic78xx - ok
22:27:17.0484 0988 AliIde - ok
22:27:17.0500 0988 AmdPPM (033448d435e65c4bd72e70521fd05c76) C:\WINDOWS\system32\DRIVERS\AmdPPM.sys
22:27:17.0531 0988 AmdPPM - ok
22:27:17.0531 0988 amsint - ok
22:27:17.0562 0988 Asapi (7de1504dba7e72313bb4ca5587df86cf) C:\WINDOWS\system32\drivers\Asapi.sys
22:27:17.0562 0988 Asapi ( UnsignedFile.Multi.Generic ) - warning
22:27:17.0562 0988 Asapi - detected UnsignedFile.Multi.Generic (1)
22:27:17.0578 0988 asc - ok
22:27:17.0578 0988 asc3350p - ok
22:27:17.0578 0988 asc3550 - ok
22:27:17.0625 0988 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
22:27:17.0718 0988 AsyncMac - ok
22:27:17.0734 0988 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
22:27:17.0796 0988 atapi - ok
22:27:17.0812 0988 Atdisk - ok
22:27:17.0812 0988 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
22:27:17.0890 0988 Atmarpc - ok
22:27:17.0937 0988 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
22:27:18.0000 0988 audstub - ok
22:27:18.0046 0988 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
22:27:18.0125 0988 Beep - ok
22:27:18.0156 0988 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
22:27:18.0234 0988 cbidf2k - ok
22:27:18.0250 0988 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
22:27:18.0328 0988 CCDECODE - ok
22:27:18.0328 0988 cd20xrnt - ok
22:27:18.0359 0988 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
22:27:18.0421 0988 Cdaudio - ok
22:27:18.0468 0988 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
22:27:18.0546 0988 Cdfs - ok
22:27:18.0562 0988 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
22:27:18.0640 0988 Cdrom - ok
22:27:18.0640 0988 Changer - ok
22:27:18.0656 0988 CmdIde - ok
22:27:18.0671 0988 Cpqarray - ok
22:27:18.0671 0988 dac2w2k - ok
22:27:18.0687 0988 dac960nt - ok
22:27:18.0718 0988 DELTA (b34dafa517f838b82a4256b08346917f) C:\WINDOWS\system32\DRIVERS\delta.sys
22:27:18.0718 0988 DELTA ( UnsignedFile.Multi.Generic ) - warning
22:27:18.0718 0988 DELTA - detected UnsignedFile.Multi.Generic (1)
22:27:18.0734 0988 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
22:27:18.0828 0988 Disk - ok
22:27:18.0843 0988 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
22:27:18.0921 0988 dmboot - ok
22:27:18.0953 0988 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
22:27:19.0031 0988 dmio - ok
22:27:19.0046 0988 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
22:27:19.0125 0988 dmload - ok
22:27:19.0156 0988 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
22:27:19.0250 0988 DMusic - ok
22:27:19.0250 0988 dpti2o - ok
22:27:19.0265 0988 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
22:27:19.0343 0988 drmkaud - ok
22:27:19.0375 0988 ews88mt (c17d8817164cfd561dc2a5c1a79554fa) C:\WINDOWS\system32\drivers\ews88wdm.sys
22:27:19.0375 0988 ews88mt ( UnsignedFile.Multi.Generic ) - warning
22:27:19.0375 0988 ews88mt - detected UnsignedFile.Multi.Generic (1)
22:27:19.0421 0988 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
22:27:19.0500 0988 Fastfat - ok
22:27:19.0515 0988 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
22:27:19.0593 0988 Fdc - ok
22:27:19.0609 0988 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
22:27:19.0687 0988 Fips - ok
22:27:19.0687 0988 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
22:27:19.0781 0988 Flpydisk - ok
22:27:19.0812 0988 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
22:27:19.0890 0988 FltMgr - ok
22:27:19.0906 0988 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
22:27:19.0984 0988 Fs_Rec - ok
22:27:19.0984 0988 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
22:27:20.0062 0988 Ftdisk - ok
22:27:20.0078 0988 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
22:27:20.0156 0988 Gpc - ok
22:27:20.0187 0988 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
22:27:20.0265 0988 HDAudBus - ok
22:27:20.0281 0988 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
22:27:20.0359 0988 HidUsb - ok
22:27:20.0390 0988 hpn - ok
22:27:20.0406 0988 HTTP (f6aacf5bce2893e0c1754afeb672e5c9) C:\WINDOWS\system32\Drivers\HTTP.sys
22:27:20.0484 0988 HTTP - ok
22:27:20.0500 0988 i2omgmt - ok
22:27:20.0500 0988 i2omp - ok
22:27:20.0515 0988 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
22:27:20.0593 0988 i8042prt - ok
22:27:20.0625 0988 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
22:27:20.0703 0988 Imapi - ok
22:27:20.0703 0988 ini910u - ok
22:27:20.0718 0988 IntelIde - ok
22:27:20.0734 0988 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
22:27:20.0796 0988 Ip6Fw - ok
22:27:20.0828 0988 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
22:27:20.0890 0988 IpFilterDriver - ok
22:27:20.0906 0988 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
22:27:20.0968 0988 IpInIp - ok
22:27:20.0984 0988 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
22:27:21.0062 0988 IpNat - ok
22:27:21.0078 0988 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
22:27:21.0171 0988 IPSec - ok
22:27:21.0187 0988 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
22:27:21.0218 0988 IRENUM - ok
22:27:21.0250 0988 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
22:27:21.0312 0988 isapnp - ok
22:27:21.0328 0988 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
22:27:21.0390 0988 Kbdclass - ok
22:27:21.0421 0988 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
22:27:21.0515 0988 kmixer - ok
22:27:21.0531 0988 KSecDD (1705745d900dabf2d89f90ebaddc7517) C:\WINDOWS\system32\drivers\KSecDD.sys
22:27:21.0593 0988 KSecDD - ok
22:27:21.0609 0988 lbrtfdc - ok
22:27:21.0640 0988 MBAMProtector (69a6268d7f81e53d568ab4e7e991caf3) C:\WINDOWS\system32\drivers\mbam.sys
22:27:21.0671 0988 MBAMProtector - ok
22:27:21.0718 0988 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
22:27:21.0796 0988 mnmdd - ok
22:27:21.0828 0988 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
22:27:21.0906 0988 Modem - ok
22:27:21.0953 0988 monfilt (9fa7207d1b1adead88ae8eed9cdbbaa5) C:\WINDOWS\system32\drivers\monfilt.sys
22:27:21.0984 0988 monfilt - ok
22:27:22.0015 0988 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
22:27:22.0093 0988 Mouclass - ok
22:27:22.0093 0988 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
22:27:22.0171 0988 mouhid - ok
22:27:22.0203 0988 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
22:27:22.0281 0988 MountMgr - ok
22:27:22.0281 0988 mraid35x - ok
22:27:22.0296 0988 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
22:27:22.0375 0988 MRxDAV - ok
22:27:22.0390 0988 MRxSmb (68755f0ff16070178b54674fe5b847b0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
22:27:22.0468 0988 MRxSmb - ok
22:27:22.0484 0988 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
22:27:22.0562 0988 Msfs - ok
22:27:22.0609 0988 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
22:27:22.0671 0988 MSKSSRV - ok
22:27:22.0687 0988 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
22:27:22.0750 0988 MSPCLOCK - ok
22:27:22.0750 0988 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
22:27:22.0843 0988 MSPQM - ok
22:27:22.0859 0988 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
22:27:22.0921 0988 mssmbios - ok
22:27:22.0937 0988 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys
22:27:23.0015 0988 MSTEE - ok
22:27:23.0015 0988 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
22:27:23.0093 0988 Mup - ok
22:27:23.0109 0988 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
22:27:23.0187 0988 NABTSFEC - ok
22:27:23.0218 0988 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
22:27:23.0296 0988 NDIS - ok
22:27:23.0312 0988 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
22:27:23.0375 0988 NdisIP - ok
22:27:23.0421 0988 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
22:27:23.0484 0988 NdisTapi - ok
22:27:23.0515 0988 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
22:27:23.0578 0988 Ndisuio - ok
22:27:23.0593 0988 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
22:27:23.0687 0988 NdisWan - ok
22:27:23.0703 0988 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
22:27:23.0781 0988 NDProxy - ok
22:27:23.0796 0988 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
22:27:23.0875 0988 NetBIOS - ok
22:27:23.0890 0988 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
22:27:23.0968 0988 NetBT - ok
22:27:24.0015 0988 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
22:27:24.0078 0988 Npfs - ok
22:27:24.0109 0988 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
22:27:24.0187 0988 Ntfs - ok
22:27:24.0234 0988 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
22:27:24.0296 0988 Null - ok
22:27:24.0421 0988 nv (02e3a5cf6de77dba144550fd1c4a4cd9) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
22:27:24.0609 0988 nv - ok
22:27:24.0625 0988 NVENETFD (70217a23470f4bb4c8fb4abe06813081) C:\WINDOWS\system32\DRIVERS\NVENETFD.sys
22:27:24.0656 0988 NVENETFD - ok
22:27:24.0703 0988 nvgts (ea98bfe4931bd13d747d647c1859796e) C:\WINDOWS\system32\DRIVERS\nvgts.sys
22:27:24.0703 0988 nvgts - ok
22:27:24.0718 0988 nvnetbus (be8513730653384939a4d2d977c81027) C:\WINDOWS\system32\DRIVERS\nvnetbus.sys
22:27:24.0750 0988 nvnetbus - ok
22:27:24.0781 0988 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
22:27:24.0843 0988 NwlnkFlt - ok
22:27:24.0843 0988 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
22:27:24.0906 0988 NwlnkFwd - ok
22:27:24.0937 0988 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
22:27:25.0015 0988 Parport - ok
22:27:25.0015 0988 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
22:27:25.0078 0988 PartMgr - ok
22:27:25.0125 0988 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
22:27:25.0203 0988 ParVdm - ok
22:27:25.0218 0988 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
22:27:25.0281 0988 PCI - ok
22:27:25.0281 0988 PCIDump - ok
22:27:25.0296 0988 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
22:27:25.0359 0988 PCIIde - ok
22:27:25.0375 0988 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
22:27:25.0437 0988 Pcmcia - ok
22:27:25.0437 0988 PDCOMP - ok
22:27:25.0453 0988 PDFRAME - ok
22:27:25.0468 0988 PDNMp50 (1bf91f352d746ad7469fa71783b5fae8) C:\WINDOWS\system32\Drivers\PDNMp50.sys
22:27:25.0468 0988 PDNMp50 - ok
22:27:25.0468 0988 PDNSp50 (1961590aa191b6b7dcf18a6a693af7b8) C:\WINDOWS\system32\Drivers\PDNSp50.sys
22:27:25.0484 0988 PDNSp50 - ok
22:27:25.0484 0988 PDRELI - ok
22:27:25.0500 0988 PDRFRAME - ok
22:27:25.0500 0988 perc2 - ok
22:27:25.0515 0988 perc2hib - ok
22:27:25.0578 0988 PfModNT (c8a2d6ff660ac601b7bb9a9b16a5c25e) C:\WINDOWS\system32\drivers\PfModNT.sys
22:27:25.0578 0988 PfModNT ( UnsignedFile.Multi.Generic ) - warning
22:27:25.0578 0988 PfModNT - detected UnsignedFile.Multi.Generic (1)
22:27:25.0625 0988 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
22:27:25.0703 0988 PptpMiniport - ok
22:27:25.0718 0988 Processor (2cb55427c58679f49ad600fccba76360) C:\WINDOWS\system32\DRIVERS\processr.sys
22:27:25.0781 0988 Processor - ok
22:27:25.0796 0988 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
22:27:25.0859 0988 PSched - ok
22:27:25.0890 0988 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
22:27:25.0953 0988 Ptilink - ok
22:27:25.0984 0988 PxHelp20 (e42e3433dbb4cffe8fdd91eab29aea8e) C:\WINDOWS\system32\Drivers\PxHelp20.sys
22:27:26.0000 0988 PxHelp20 - ok
22:27:26.0000 0988 ql1080 - ok
22:27:26.0000 0988 Ql10wnt - ok
22:27:26.0015 0988 ql12160 - ok
22:27:26.0015 0988 ql1240 - ok
22:27:26.0015 0988 ql1280 - ok
22:27:26.0031 0988 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
22:27:26.0093 0988 RasAcd - ok
22:27:26.0109 0988 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
22:27:26.0171 0988 Rasl2tp - ok
22:27:26.0187 0988 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
22:27:26.0250 0988 RasPppoe - ok
22:27:26.0250 0988 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
22:27:26.0312 0988 Raspti - ok
22:27:26.0328 0988 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
22:27:26.0390 0988 Rdbss - ok
22:27:26.0406 0988 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
22:27:26.0468 0988 RDPCDD - ok
22:27:26.0500 0988 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
22:27:26.0578 0988 rdpdr - ok
22:27:26.0609 0988 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
22:27:26.0671 0988 RDPWD - ok
22:27:26.0687 0988 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
22:27:26.0750 0988 redbook - ok
22:27:26.0781 0988 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
22:27:26.0812 0988 Secdrv - ok
22:27:26.0843 0988 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
22:27:26.0906 0988 serenum - ok
22:27:26.0921 0988 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
22:27:26.0984 0988 Serial - ok
22:27:27.0015 0988 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
22:27:27.0078 0988 Sfloppy - ok
22:27:27.0093 0988 Simbad - ok
22:27:27.0125 0988 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys
22:27:27.0203 0988 SLIP - ok
22:27:27.0203 0988 Sparrow - ok
22:27:27.0234 0988 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
22:27:27.0296 0988 splitter - ok
22:27:27.0328 0988 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
22:27:27.0359 0988 sr - ok
22:27:27.0406 0988 Srv (5252605079810904e31c332e241cd59b) C:\WINDOWS\system32\DRIVERS\srv.sys
22:27:27.0468 0988 Srv - ok
22:27:27.0468 0988 StarOpen - ok
22:27:27.0500 0988 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
22:27:27.0578 0988 streamip - ok
22:27:27.0593 0988 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
22:27:27.0656 0988 swenum - ok
22:27:27.0671 0988 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
22:27:27.0734 0988 swmidi - ok
22:27:27.0750 0988 symc810 - ok
22:27:27.0750 0988 symc8xx - ok
22:27:27.0765 0988 sym_hi - ok
22:27:27.0765 0988 sym_u3 - ok
22:27:27.0781 0988 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
22:27:27.0843 0988 sysaudio - ok
22:27:27.0890 0988 Tcpip (93ea8d04ec73a85db02eb8805988f733) C:\WINDOWS\system32\DRIVERS\tcpip.sys
22:27:27.0953 0988 Tcpip - ok
22:27:28.0000 0988 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
22:27:28.0062 0988 TDPIPE - ok
22:27:28.0078 0988 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
22:27:28.0156 0988 TDTCP - ok
22:27:28.0171 0988 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
22:27:28.0250 0988 TermDD - ok
22:27:28.0250 0988 TosIde - ok
22:27:28.0281 0988 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
22:27:28.0343 0988 Udfs - ok
22:27:28.0343 0988 ultra - ok
22:27:28.0359 0988 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
22:27:28.0437 0988 Update - ok
22:27:28.0484 0988 usbaudio (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys
22:27:28.0546 0988 usbaudio - ok
22:27:28.0562 0988 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
22:27:28.0625 0988 usbccgp - ok
22:27:28.0640 0988 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
22:27:28.0718 0988 usbehci - ok
22:27:28.0734 0988 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
22:27:28.0781 0988 usbhub - ok
22:27:28.0796 0988 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
22:27:28.0859 0988 usbohci - ok
22:27:28.0890 0988 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
22:27:28.0953 0988 USBSTOR - ok
22:27:28.0968 0988 usbvideo (63bbfca7f390f4c49ed4b96bfb1633e0) C:\WINDOWS\system32\Drivers\usbvideo.sys
22:27:29.0031 0988 usbvideo - ok
22:27:29.0062 0988 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
22:27:29.0125 0988 VgaSave - ok
22:27:29.0156 0988 VIAHdAudAddService (242a8309b952f7ca9e220d3439955b0e) C:\WINDOWS\system32\drivers\viahduaa.sys
22:27:29.0203 0988 VIAHdAudAddService - ok
22:27:29.0203 0988 ViaIde - ok
22:27:29.0218 0988 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
22:27:29.0265 0988 VolSnap - ok
22:27:29.0296 0988 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
22:27:29.0359 0988 Wanarp - ok
22:27:29.0375 0988 WDICA - ok
22:27:29.0390 0988 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
22:27:29.0453 0988 wdmaud - ok
22:27:29.0531 0988 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
22:27:29.0593 0988 WSTCODEC - ok
22:27:29.0609 0988 MBR (0x1B8) (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
22:27:29.0734 0988 \Device\Harddisk0\DR0 - ok
22:27:29.0750 0988 Boot (0x1200) (5bf13da0beca0167142f99b91cf6d338) \Device\Harddisk0\DR0\Partition0
22:27:29.0750 0988 \Device\Harddisk0\DR0\Partition0 - ok
22:27:29.0750 0988 Boot (0x1200) (ea35b077594e33bcc95c0eb9b3d4c80e) \Device\Harddisk0\DR0\Partition1
22:27:29.0750 0988 \Device\Harddisk0\DR0\Partition1 - ok
22:27:29.0750 0988 ============================================================
22:27:29.0750 0988 Scan finished
22:27:29.0750 0988 ============================================================
22:27:29.0859 0784 Detected object count: 4
22:27:29.0859 0784 Actual detected object count: 4
22:27:41.0312 0784 Asapi ( UnsignedFile.Multi.Generic ) - skipped by user
22:27:41.0312 0784 Asapi ( UnsignedFile.Multi.Generic ) - User select action: Skip
22:27:41.0312 0784 DELTA ( UnsignedFile.Multi.Generic ) - skipped by user
22:27:41.0312 0784 DELTA ( UnsignedFile.Multi.Generic ) - User select action: Skip
22:27:41.0312 0784 ews88mt ( UnsignedFile.Multi.Generic ) - skipped by user
22:27:41.0312 0784 ews88mt ( UnsignedFile.Multi.Generic ) - User select action: Skip
22:27:41.0328 0784 PfModNT ( UnsignedFile.Multi.Generic ) - skipped by user
22:27:41.0328 0784 PfModNT ( UnsignedFile.Multi.Generic ) - User select action: Skip


soll ich die explorer.exe jetzt mal aus 'process blocker' rausnehmen? oder noch zu früh?

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

das hat leider nicht funktioniert.
ich habe alle programme beendet (auch im taskmanager alles deaktiviert, was nicht unbedingt nötig war, danach auch den taskmanager beendet). wiederherstellungskonsole wurde verlangt, auf installieren geklickt.
danach hatte ich diesen bildschirm http://www.bleepstatic.com/combofix/de/autoscan.jpg
(nur ohne 'bleeping computer'). ich habe 3 geschlagene stunden gewartet, aber nichts hat sich getan. abgebrochen, nochmal gestartet. nach einer knappen stunde immer noch keine veränderung. im taskmanager waren bei beiden versuchen 2 programme aktiv mit den dateierweiterungen .3xe . beim zweiten abbruch kam zudem eine warnmeldung, dass mein computer mit einem rootkit infiziert ist.

ein logfile wurde nicht erstellt, dafür befindet sich unter C: eine datei namens ComboFix (ohne dateierweiterung). rechtsklick ist nicht möglich (ich öffne alle programme über mozilla oder den texteditor) und wenn ich die maus draufhalte, erhalte ich als info "zeigt die an diesen computer angeschlossenen laufwerke und hardware an".

was nun?

beim dritten mal hats nun endlich geklappt.
zwischendurch erhielt ich die meldung, dass C:/WINDOWS/explorer.exe infiziert ist (wie erwartet) und danach, dass diese erfolgreich neu installiert wurde. einige dateien und ordner wurden gelöscht.
allerdings gibt es kein logfile. CF hat nach dem scan automatisch windows neu gestartet und weder auf dem desktop, noch unter C: und auch nicht in c:ComboFix (die seltsame datei, die ich vorhin erwähnte ist nun offensichtlich einem ordner gewichen) gibt es keine entsprechende datei. die einzigen textdateien in C/ComboFix sind: ComboFix.txt (das ist allerdings keine logdatei, sondern enthält lediglich infos über das programm..wo es sich befindet usw.); OdId; pend, Version und Resident. die einzige textdatei, in der irgendetwas verwertbares drinsteht ist die 'pend.exe' :
.:\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\config\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\csrss.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\Drivers\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\hal.dll\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\lsass.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\ntdll.dll\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\services.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\smss.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\svchost.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\userinit.exe\\\(0!\|0\\0\)
C:\\WINDOWS\\system32\\wbem\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\system32\\winlogon.exe\\\(0!\|0\\0\)
C:\\boot.ini\\\(0!\|0\\0\)
C:\\ntdetect.com\\\(0!\|0\\0\)
C:\\ntldr\\\(0!\|0\\0\)
C:\\WINDOWS\\\(\\\|0!\|0\\0\)
C:\\WINDOWS\\explorer.exe\\\(0!\|0\\0\)

so.. endlich.
es ist eine ganze zeit nichts passiert, dann habe ich 'explorer.exe' aus dem process blocker herausgenommen und gestartet. tut mir leid..ich hatte noch keine dementsprechende nachricht von dir, aber direkt nachdem ich explorer.exe aufgerufen hatte, hat sich CF wieder eingeschaltet und die log-datei erstellt. hier ist die:
Combofix Logfile:
--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

die dateien regedito.exe und tasksa.exe sind von mir erstellte dateien. es handelt sich um regedit.exe und den taskmanager. ich habe sie mir bloß kopiert, umbenannt und in c: gepackt, weil ich über die originalpfade/dateinamen zeitweise nicht mehr den regeditor bzw taskmanager öffnen konnte. aber die können ja jetzt trotzdem weg. ok..wird sofort erledigt.
ich bekomme übrigens im moment noch beim starten die meldung, dass C/WINDOWNS/system32/NvCpl.dll,NvStartup nicht geöffnet werden kann.

hier das logfile:
Combofix Logfile:
--- --- ---

also eigentlich funktioniert wieder alles. sind wir fertig? bekomme bloß noch die warnmeldung am anfang und malwarebytes stoppt ständig irgendwelche potenziell gefährlichen websiten, die ich gar nicht aufrufe. auch wenn mein browser gerade gar nicht läuft. z.b. zu 121.10.137.49.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

ok. GMER braucht echt lange und ich muss jetzt dooferweise arbeiten.
anscheinend sind die files komplett durchgescannt. das programm hatte gerade mit der registry angefangen. ich musste wegen meiner arbeit jetzt abbrechen und poste mal das logfile. wenn ich heute nacht weiterscanne würde ich dann die dateien nicht mehr mitscannen.
wenn das blöd ist, sags mir und ich scanne nochmal alles in einem durch.
GMER Logfile:
--- --- ---

Ist schon ok. Poste bitte auch noch die anderen logs.

ok. hier ist gmer:
GMER Logfile:
--- --- ---

hier kommt OSAM:
OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

und hier aswMBR:

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-11-15 04:27:28
-----------------------------
04:27:28.781 OS Version: Windows 5.1.2600 Service Pack 3
04:27:28.781 Number of processors: 4 586 0x502
04:27:28.781 ComputerName: USER-PC UserName: User
04:27:29.296 Initialize success
04:29:37.250 AVAST engine defs: 11111401
04:29:53.843 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Scsi\nvgts1Port2Path0Target0Lun0
04:29:53.843 Disk 0 Vendor: ST350041 CC38 Size: 476940MB BusType: 3
04:29:53.843 Device \Driver\nvgts -> DriverStartIo SCSIPORT.SYS b7ed040e
04:29:53.859 Disk 0 MBR read successfully
04:29:53.859 Disk 0 MBR scan
04:29:53.875 Disk 0 Windows XP default MBR code
04:29:53.875 Disk 0 scanning sectors +976752000
04:29:53.937 Disk 0 scanning C:\WINDOWS\system32\drivers
04:29:59.890 Service scanning
04:30:00.625 Modules scanning
04:30:03.281 Disk 0 trace - called modules:
04:30:03.296 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll SCSIPORT.SYS nvgts.sys
04:30:03.296 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a621728]
04:30:03.296 3 CLASSPNP.SYS[b80e8fd7] -> nt!IofCallDriver -> \Device\0000005e[0x8a634920]
04:30:03.296 5 ACPI.sys[b7f7e620] -> nt!IofCallDriver -> \Device\Scsi\nvgts1Port2Path0Target0Lun0[0x8a5ce030]
04:30:03.765 AVAST engine scan C:\WINDOWS
04:30:09.906 AVAST engine scan C:\WINDOWS\system32
04:31:34.968 AVAST engine scan C:\WINDOWS\system32\drivers
04:31:52.343 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\User\Desktop\scan u fix programme\MBR.dat"
04:31:52.343 The log file has been saved successfully to "C:\Dokumente und Einstellungen\User\Desktop\scan u fix programme\aswMBR.txt"

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

gut. hier kommt erstmal malwarebytes. direkt wieder einiges an einträgen...

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 8163

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

16.11.2011 10:08:51
mbam-log-2011-11-16 (10-08-37).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 279583
Laufzeit: 44 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\20\14db7994-18090309 (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\networkservice\anwendungsdaten\Sun\Java\deployment\cache\6.0\53\448470b5-292bda39 (Malware.Gen) -> No action taken.
c:\Qoobox\quarantine\C\dokumente und einstellungen\networkservice\anwendungsdaten\mahmud.exe.vir (Trojan.Agent) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\explorer.exe.vir (Trojan.Agent) -> No action taken.
c:\Qoobox\quarantine\C\WINDOWS\system32\appconf32.exe.vir (Malware.Gen) -> No action taken.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0055496.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP86\A0055525.exe (Malware.Gen) -> No action taken.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP87\A0055576.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP87\A0055577.exe (Malware.Gen) -> No action taken.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP88\A0055621.exe (Malware.Gen) -> No action taken.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP88\A0055660.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP88\A0055673.exe (Malware.Gen) -> No action taken.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP89\A0055952.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP89\A0055953.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP89\A0055954.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{1fc120ab-bd44-4b02-a0c9-ef154fbe8732}\RP89\A0055956.exe (Malware.Gen) -> No action taken.

Müll im Java Cache, dann folgen isolierte Schädlinge im Qooboxordner von CF.

In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

gut. die java-geschichten kann ich also ignorieren?

bei super anti spyware war auch alles ok. ich hatte allerdings 679 tracking cookies, die ich aus dem log mal entfernt hab. die hätten die ganze seite ausgefüllt. wenn du das doof findest, berufe ich mich einfach auf dein privatsphären-argument. ha. ;-)

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 11/16/2011 at 11:13 AM

Application Version : 5.0.1136

Core Rules Database Version : 7947
Trace Rules Database Version: 5759

Scan type : Complete Scan
Total Scan Time : 00:49:45

Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned : 419
Memory threats detected : 0
Registry items scanned : 37035
Registry threats detected : 0
File items scanned : 185612
File threats detected : 691

Trojan.Agent/Gen-Nullo[Short]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1FC120AB-BD44-4B02-A0C9-EF154FBE8732}\RP86\A0054451.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1FC120AB-BD44-4B02-A0C9-EF154FBE8732}\RP86\A0054452.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1FC120AB-BD44-4B02-A0C9-EF154FBE8732}\RP86\A0054453.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1FC120AB-BD44-4B02-A0C9-EF154FBE8732}\RP86\A0054454.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1FC120AB-BD44-4B02-A0C9-EF154FBE8732}\RP86\A0054455.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1FC120AB-BD44-4B02-A0C9-EF154FBE8732}\RP86\A0054456.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1FC120AB-BD44-4B02-A0C9-EF154FBE8732}\RP86\A0054459.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1FC120AB-BD44-4B02-A0C9-EF154FBE8732}\RP86\A0054460.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1FC120AB-BD44-4B02-A0C9-EF154FBE8732}\RP86\A0054466.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1FC120AB-BD44-4B02-A0C9-EF154FBE8732}\RP86\A0055483.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1FC120AB-BD44-4B02-A0C9-EF154FBE8732}\RP86\A0055484.EXE

Trojan.Agent/Gen-Crypt
C:\SYSTEM VOLUME INFORMATION\_RESTORE{1FC120AB-BD44-4B02-A0C9-EF154FBE8732}\RP88\A0055642.EXE

Diesen Ordner mal löschen (leeren)
Die Funde im SASW Log sind ja wie bereits erwähnt im Ordner C:\SYSTEM VOLUME INFORMATION und das wurde erklärt.

und hier eset:

# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=11656b7418bab349b1f5f03b660f9fd1
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-11-16 11:17:48
# local_time=2011-11-16 12:17:48 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 693724 693724 0 0
# scanned=132262
# found=7
# cleaned=0
# scan_time=2824
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\20\14db7994-18090309 a variant of Win32/Kryptik.VIU trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\53\448063f5-4d5cb448 Java/Agent.DW trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\53\448470b5-292bda39 a variant of Win32/Kryptik.VKA trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\5df207f6-1e8d7801 Java/Agent.DW trojan (unable to clean) 00000000000000000000000000000000 I
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\mahmud.exe.vir a variant of Win32/Kryptik.VIU trojan (unable to clean) 00000000000000000000000000000000 I
C:\Qoobox\Quarantine\C\WINDOWS\explorer.exe.vir a variant of Win32/Kryptik.VCD trojan (unable to clean) 00000000000000000000000000000000 I
C:\Qoobox\Quarantine\C\WINDOWS\system32\appconf32.exe.vir a variant of Win32/Kryptik.VKA trojan (unable to clean) 00000000000000000000000000000000 I

java-ordner ließ sich problemlos löschen. vor dem eset-scan hatte ich die systemwiederherstellung kurz deaktiviert, daher die restore-points nun weg.

Ok. Rechner soweit wieder im Lot?

jau.
bis auf die zuvor erwähnte sache mit run.dll (dass es eine ausnahme beim ausführen von C/WINDOWNS/system32/NvCpl.dll,NvStartup gibt) beim systemstart läuft alles prima. aber wenn das kein ernstzunehmendes problem ist, störts auch nicht weiter.

1000 dank, dass du dich der sache angenommen und mir nicht nur zum neuaufsetzen des systems geraten hast.

da ich eigentlich gar nicht vorhatte, mit dem rechner online zu gehen, hab ich auch gar kein antivirenprogramm. recht fahrlässig, ich weiß. hast du vielleicht noch einen tip für ein gutes freeware-programm?

vielen dank nochmal für deine investierte zeit. toll. dass du dein wissen hier zur verfügung stellst.

gruß,
sascha

Die Frage - welcher Virenscanner oder ob der installierte reicht - taucht ständig auf.
Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Bleib bei dem Scanner oder nimm Microsoft Security Essentials.
Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht...
Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen.

Halte Dich am besten grob an diese Regeln:

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => http://winhelp2002.mvps.org/hosts.htm

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

ok. hab mir security essencials installiert. zudem läuft noch SUPER anti-spyware und malwarebytes. anscheinend stören die 3 sich gegenseitig nicht.
danke nochmal.
sascha

Wenn MSE im Hintergrund ist, würde ich SASW und MBAM nicht unbedingt laufen lassen sondern rausnehmen. Einen manuellen sog. on-demand-scan kann/sollte man mit Malwarebytes aber hin und wieder machen.