Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich (https://www.trojaner-board.de/105157-gema-trojaner-eingefangen-kein-zugriff-rechner-moeglich.html)

tafkar 17.11.2011 10:07

GEMA-Trojaner eingefangen, kein Zugriff auf Rechner möglich
 
Hallo,

mir wurde ein Rechner vorgesetzt, der wohl mit dem GEMA-Trojaner infiziert ist. Selbst im abgesicherten Modus startet der Trojaner und lässt keinen Zugriff auf den Rechner zu. STRG-ALT-ENTF bringt zwar das Fenster "Windows-Sicherheit", aber der Taskmanager-Button ist ausgegraut und kann nicht angeklickt werden.

Wie bekomme ich wieder Zugriff auf den Rechner und wie entferne ich den Schädling? Bitte helft mir!

cosinus 17.11.2011 10:50

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick. Wichtig: Nicht in einen Ordner speichern.
  • Starte den infizierten Rechner neu auf.
  • Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
  • Logge dich nun in das infizierte Benutzerkonto ein.
  • Schließe den USB Stick an den infizierten Rechner an.
  • Nun ist etwas Handarbeit gefragt.
    • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
    • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
      Zitat:

      Das System kann das angegeben Laufwerk nicht finden
      versuche einen anderen Laufwerksbuchstaben. ( zB F: )
  • Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
    start srep.exe
  • Bestätige den Disclaimer mit OK.
  • Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.
Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

tafkar 17.11.2011 11:41

Im abgesicherten Modus ohne Netzwerktreiber mit Eingeabeaufforderung konnte ich mich leider nicht als der betroffene Benutzer anmelden, sondern nur als lokaler Administrator.
Habe srep.exe dann ausgeführt, der Rechner startete neu. Nach Anmeldung als ursprünglicher Benutzer war auch für ein paar Sekunden die Taskleiste zu sehen, aber dann startete der Trojaner wieder. Nachfolgend nun das Log von srep.exe:

Code:

WIN_XP X86 Service Pack 3
Running from E:\

Modified HKLM shell extension. Current Shell File = C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe
.
.
File C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe moved to E:\\infected or not found
HKCU\..\Winlogon; Shell not found
.


[System Process]
System
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
svchost.exe
svchost.exe
cmd.exe
srep.exe


HKLM\..\Run [RTHDCPL] = RTHDCPL.EXE
HKLM\..\Run [Alcmtr] = ALCMTR.EXE
HKLM\..\Run [IgfxTray] = C:\WINDOWS\system32\igfxtray.exe
HKLM\..\Run [HotKeysCmds] = C:\WINDOWS\system32\hkcmd.exe
HKLM\..\Run [Persistence] = C:\WINDOWS\system32\igfxpers.exe
HKLM\..\Run [eDoc] = C:\PROGRA~1\GEMEIN~1\MAYCOM~1\EDOCPR~1\eDoc.exe
HKLM\..\Run [FreePDF Assistant] = C:\Programme\FreePDF_XP\fpassist.exe
HKLM\..\Run [SfWinStartInfo] = "C:\Programme\SFirm32\sfWinStartupInfo.exe"
HKLM\..\Run [WireLessMouse ] = C:\Programme\TCM\TCM COMBO SET\MouseDrv.exe
HKLM\..\Run [WireLessKeyboard ] = C:\Programme\TCM\TCM COMBO SET\PS2USBKbdDrv.exe
HKLM\..\Run [Adobe Reader Speed Launcher] = "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM\..\Run [bgsmsnd.exe] = C:\WINDOWS\system32\bgsmsnd.exe
HKLM\..\Run [Immunet Protect] = "C:\Programme\Immunet\3.0.1\iptray.exe"
HKLM\..\Run [SunJavaUpdateSched] = "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
HKLM\..\Run [Ats81dFW1TA5VRA] = C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe

HKCU\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\ctfmon.exe

HKU\.DEFAULT\..\Winlogon; Shell = \54uhjseiu6rtjut.exe
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-20_Classes\..\Winlogon; Shell =
HKU\S-1-5-21-3651140217-2801312803-1851599612-500\..\Winlogon; Shell =
HKU\S-1-5-21-3651140217-2801312803-1851599612-500_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell = \54uhjseiu6rtjut.exe

HKU\.DEFAULT\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\.DEFAULT\..\Run [45huys55hy5rts] = \4aygerhye4.exe
HKU\.DEFAULT\..\Run [Ats81dFW1TA5VRA] = \54uhjseiu6rtjut.exe
HKU\S-1-5-20\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-21-3651140217-2801312803-1851599612-500\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\ctfmon.exe
HKU\S-1-5-18\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-18\..\Run [45huys55hy5rts] = \4aygerhye4.exe
HKU\S-1-5-18\..\Run [Ats81dFW1TA5VRA] = \54uhjseiu6rtjut.exe

==== FINISH 17.11-11.28 ====


cosinus 17.11.2011 11:49

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

tafkar 17.11.2011 13:00

OTL.Txt:
Code:

OTL logfile created on: 11/17/2011 12:57:47 PM - Run
OTLPE by OldTimer - Version 3.1.48.0    Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 84.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 95.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149.04 Gb Total Space | 98.26 Gb Free Space | 65.93% Space Free | Partition Type: NTFS
Drive D: | 3.82 Gb Total Space | 3.82 Gb Free Space | 99.95% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011/06/07 08:55:18 | 003,519,864 | ---- | M] (pcvisit Software ag) [On_Demand] -- C:\Dokumente und Einstellungen\n.Koch\Lokale Einstellungen\Temp\nsrBF.tmp\caloa_app.exe -- (Caloa Agent Service 1.0)
SRV - [2011/05/05 03:57:45 | 000,327,680 | ---- | M] (S.C. BitDefender S.R.L) [On_Demand] -- C:\Programme\Immunet\tetra\scan.dll -- (scan)
SRV - [2011/05/05 03:57:43 | 000,741,272 | ---- | M] (Sourcefire, Inc.) [Auto] -- C:\Programme\Immunet\3.0.1\agent.exe -- (ImmunetProtect)
SRV - [2009/08/19 07:27:37 | 000,054,784 | ---- | M] (Macrovision) [Auto] -- C:\WINDOWS\system32\drivers\CDAC11BA.EXE -- (C-DillaCdaC11BA)
SRV - [2003/07/28 06:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003/06/19 17:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2011/05/05 03:57:45 | 000,304,712 | ---- | M] (BitDefender S.R.L.) [File_System | On_Demand] -- C:\WINDOWS\system32\drivers\Trufos.sys -- (Trufos)
DRV - [2011/05/05 03:57:44 | 000,047,440 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [File_System | System] -- C:\WINDOWS\system32\drivers\ImmunetProtect.sys -- (ImmunetProtectDriver)
DRV - [2011/05/05 03:57:44 | 000,031,952 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [File_System | System] -- C:\WINDOWS\system32\drivers\ImmunetSelfProtect.sys -- (ImmunetSelfProtectDriver)
DRV - [2010/02/24 08:11:07 | 000,455,680 | ---- | M] () [File_System | System] -- C:\WINDOWS\system32\drivers\mrxsmb.sys -- (MRxSmb)
DRV - [2009/08/19 07:27:38 | 000,012,464 | ---- | M] (Macrovision Europe Ltd) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\CDAC15BA.SYS -- (CdaC15BA)
DRV - [2009/02/03 11:22:00 | 005,030,912 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008/08/05 14:10:12 | 001,684,736 | ---- | M] (Creative) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2008/02/27 06:49:00 | 000,003,840 | ---- | M] () [Kernel | System] -- C:\WINDOWS\System32\Drivers\BANTExt.sys -- (BANTExt)
DRV - [2008/01/03 16:10:16 | 000,105,856 | ---- | M] (Realtek Semiconductor Corporation                          ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2006/11/22 03:01:48 | 000,693,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock)
DRV - [2006/01/04 09:41:48 | 001,389,056 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2004/08/13 03:56:20 | 000,005,810 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\a.kuchnia_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://companyweb
IE - HKU\a.kuchnia_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://companyweb
IE - HKU\a.kuchnia_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\admin.MICHALSKI.000_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Admin.MICHALSKI_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://companyweb
IE - HKU\Admin.MICHALSKI_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://companyweb
IE - HKU\Admin.MICHALSKI_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Admin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\administrator.MICHALSKI.000_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\administrator.MICHALSKI_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\c.vorwald_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.surfmusic.de/
IE - HKU\c.vorwald_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\ehlert_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\ehlert_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\n.Koch_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://companyweb
IE - HKU\n.Koch_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.maler-michalski.de/
IE - HKU\n.Koch_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\rupprecht.MICHALSKI_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\rupprecht_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\t.krause_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: linkfilter@kaspersky.ru:9.0.0.736
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.22\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011/09/14 02:05:39 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.22\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011/09/14 02:05:39 | 000,000,000 | ---D | M]
 
[2010/07/27 05:59:12 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\mozilla\Extensions
[2011/09/14 02:15:49 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\mozilla\Firefox\Profiles\pd5wlvuz.default\extensions
[2010/11/25 02:50:52 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\mozilla\Firefox\Profiles\pd5wlvuz.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011/09/14 02:15:49 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010/05/06 03:29:45 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010/11/25 02:38:14 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011/05/05 04:02:06 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2010/05/06 03:43:23 | 000,000,000 | ---D | M] (Kaspersky URL Advisor) -- C:\Programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
[2009/07/01 04:18:16 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011/02/02 14:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011/09/14 02:05:32 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011/09/14 02:05:32 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011/09/14 02:05:32 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011/09/14 02:05:32 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011/09/14 02:05:32 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
Hosts file not found
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (pdfMachine) - {56CF4856-ECB4-4e46-A897-A378821F97B9} - C:\WINDOWS\system32\bgstb.dll (Broadgun Software)
O3 - HKLM\..\Toolbar: (pdfMachine) - {56CF4856-ECB4-4e46-A897-A378821F97B9} - C:\WINDOWS\system32\bgstb.dll (Broadgun Software)
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (pdfMachine) - {56CF4856-ECB4-4E46-A897-A378821F97B9} - C:\WINDOWS\system32\bgstb.dll (Broadgun Software)
O3 - HKU\n.Koch_ON_C\..\Toolbar\WebBrowser: (pdfMachine) - {56CF4856-ECB4-4E46-A897-A378821F97B9} - C:\WINDOWS\system32\bgstb.dll (Broadgun Software)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [Ats81dFW1TA5VRA] C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe (                            )
O4 - HKLM..\Run: [bgsmsnd.exe] C:\WINDOWS\system32\bgsmsnd.exe (Broadgun Software)
O4 - HKLM..\Run: [eDoc] C:\Programme\Gemeinsame Dateien\MAYComputer\eDocPrintPro\eDoc.exe (May Software)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [Immunet Protect] C:\Programme\Immunet\3.0.1\iptray.exe (Immunet)
O4 - HKLM..\Run: [SfWinStartInfo] C:\Programme\SFirm32\sfWinStartupInfo.exe (SFirm Hannover)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [WireLessKeyboard ] C:\Programme\TCM\TCM COMBO SET\PS2USBKbdDrv.exe ()
O4 - HKLM..\Run: [WireLessMouse ] C:\Programme\TCM\TCM COMBO SET\MouseDrv.exe ()
O4 - HKU\.DEFAULT..\Run: [45huys55hy5rts]  File not found
O4 - HKU\.DEFAULT..\Run: [Ats81dFW1TA5VRA]  File not found
O4 - HKU\n.Koch_ON_C..\Run: [45huys55hy5rts] C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\4aygerhye4.exe (                            )
O4 - HKU\n.Koch_ON_C..\Run: [Ats81dFW1TA5VRA] C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe (                            )
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: RunStartupScriptSync = 1
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\a.kuchnia_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\a.kuchnia_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\a.kuchnia_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\admin.MICHALSKI.000_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\admin.MICHALSKI.000_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\admin.MICHALSKI.000_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Admin.MICHALSKI_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\Admin.MICHALSKI_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\Admin.MICHALSKI_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Admin_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\Admin_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\Admin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\administrator.MICHALSKI.000_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\administrator.MICHALSKI.000_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\administrator.MICHALSKI.000_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\administrator.MICHALSKI_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\administrator.MICHALSKI_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\administrator.MICHALSKI_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\Administrator_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\c.vorwald_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\c.vorwald_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\c.vorwald_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\ehlert_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\ehlert_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\ehlert_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\LocalService_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\n.Koch_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\n.Koch_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\n.Koch_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\n.Koch_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\n.Koch_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\n.Koch_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\NetworkService_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\NetworkService_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\rupprecht.MICHALSKI_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\rupprecht.MICHALSKI_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\rupprecht.MICHALSKI_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\rupprecht_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\rupprecht_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\rupprecht_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\systemprofile_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\systemprofile_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\t.krause_ON_C\Software\Policies\Microsoft\Internet Explorer\Main present
O7 - HKU\t.krause_ON_C\Software\Policies\Microsoft\Internet Explorer\PhishingFilter present
O7 - HKU\t.krause_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 -  File not found
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1267082229455 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = michalski.local
O18 - Protocol\Handler\belarc {6318E0AB-2E93-11D1-B8ED-00608CC9A71F} - C:\Programme\Belarc\Advisor\System\BAVoilaX.dll (Belarc, Inc.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe) - C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe (                            )
O20 - HKU\.DEFAULT Winlogon: Shell - (\54uhjseiu6rtjut.exe) -  File not found
O20 - HKU\n.Koch_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe) - C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe (                            )
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper:
O24 - Desktop BackupWallPaper:
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/02/26 05:47:30 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{0e9a970e-f569-11e0-aa1c-002354a54a48}\Shell - "" = AutoRun
O33 - MountPoints2\{0e9a970e-f569-11e0-aa1c-002354a54a48}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{0e9a970e-f569-11e0-aa1c-002354a54a48}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MENNEKEN.vbs
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/11/17 05:32:23 | 000,528,384 | ---- | C] (                            ) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe
[2011/11/17 03:13:12 | 000,528,384 | ---- | C] (                            ) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\54uhjseiu6rtjut.exe
[2011/11/17 03:13:12 | 000,095,744 | ---- | C] (Kassl GmbH) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dwlGina3.dll
[2011/11/17 03:12:44 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\IETldCache
[2011/11/15 11:11:55 | 000,528,384 | ---- | C] (                            ) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\4aygerhye4.exe
[2011/11/15 11:11:55 | 000,095,744 | ---- | C] (Kassl GmbH) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\dwlGina3.dll
[2011/11/15 11:07:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2011/11/15 11:06:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2011/11/15 11:05:22 | 000,528,384 | ---- | C] (                            ) -- C:\54uhjseiu6rtjut.exe
[2011/11/15 11:05:22 | 000,528,384 | ---- | C] (                            ) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\4aygerhye4.exe
[2011/11/15 11:05:22 | 000,095,744 | ---- | C] (Kassl GmbH) -- C:\dwlGina3.dll
[2011/11/15 11:04:27 | 000,528,384 | ---- | C] (                            ) -- C:\4aygerhye4.exe
[2010/04/21 00:55:53 | 003,567,616 | ---- | C] ( ) -- C:\WINDOWS\System32\itextsharp.dll
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011/11/17 05:32:52 | 000,487,476 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011/11/17 05:32:52 | 000,444,164 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011/11/17 05:32:52 | 000,095,348 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011/11/17 05:32:52 | 000,072,040 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011/11/17 05:31:36 | 000,001,170 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011/11/17 05:31:00 | 000,000,426 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{3010C1AF-4F8F-494F-9795-ACFE4FCA4220}.job
[2011/11/17 05:29:26 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011/11/17 05:23:17 | 000,000,420 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{F6B97B13-1082-4A7F-B7BA-D5290DD717B6}.job
[2011/11/17 03:13:12 | 000,095,744 | ---- | M] (Kassl GmbH) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dwlGina3.dll
[2011/11/17 03:12:45 | 000,528,384 | ---- | M] (                            ) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\54uhjseiu6rtjut.exe
[2011/11/17 03:12:45 | 000,528,384 | ---- | M] (                            ) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\4aygerhye4.exe
[2011/11/15 11:11:55 | 000,095,744 | ---- | M] (Kassl GmbH) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\dwlGina3.dll
[2011/11/15 11:11:32 | 000,528,384 | ---- | M] (                            ) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe
[2011/11/15 11:11:32 | 000,528,384 | ---- | M] (                            ) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\4aygerhye4.exe
[2011/11/15 11:05:22 | 000,095,744 | ---- | M] (Kassl GmbH) -- C:\dwlGina3.dll
[2011/11/15 11:04:53 | 000,528,384 | ---- | M] (                            ) -- C:\54uhjseiu6rtjut.exe
[2011/11/15 11:04:53 | 000,528,384 | ---- | M] (                            ) -- C:\4aygerhye4.exe
[2011/11/15 09:48:12 | 000,002,537 | ---- | M] () -- C:\Dokumente und Einstellungen\n.Koch\Desktop\Microsoft Office Excel 2003.lnk
[2011/11/15 03:00:01 | 000,271,360 | ---- | M] () -- C:\Dokumente und Einstellungen\n.Koch\Eigene Dateien\archive.pst
[2011/11/07 13:32:51 | 000,105,277 | ---- | M] () -- C:\Dokumente und Einstellungen\n.Koch\Desktop\103751 Kreis Unna Lippe BK WDVS.pdf
[2011/11/04 07:46:32 | 000,002,509 | ---- | M] () -- C:\Dokumente und Einstellungen\n.Koch\Desktop\Microsoft Office Word 2003.lnk
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011/11/07 13:27:30 | 000,105,277 | ---- | C] () -- C:\Dokumente und Einstellungen\n.Koch\Desktop\103751 Kreis Unna Lippe BK WDVS.pdf
[2011/04/01 04:03:49 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\administrator.MICHALSKI.000\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2011/03/22 04:57:29 | 000,216,208 | ---- | C] () -- C:\WINDOWS\System32\bgsserv.exe
[2011/03/22 04:57:29 | 000,122,000 | ---- | C] () -- C:\WINDOWS\System32\bgsreses.dll
[2011/03/22 04:57:29 | 000,115,856 | ---- | C] () -- C:\WINDOWS\System32\bgsresfr.dll
[2011/03/22 04:57:29 | 000,114,320 | ---- | C] () -- C:\WINDOWS\System32\bgsresde.dll
[2011/03/22 04:57:29 | 000,112,784 | ---- | C] () -- C:\WINDOWS\System32\bgsresen.dll
[2011/03/22 04:57:29 | 000,062,096 | ---- | C] () -- C:\WINDOWS\System32\bgspmnt.dll
[2011/03/16 02:59:25 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\n.Koch\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/01/11 01:22:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\0mandanten.ini
[2010/10/30 04:11:13 | 000,000,816 | RHS- | C] () -- C:\Dokumente und Einstellungen\a.kuchnia\ntuser.pol
[2010/10/30 04:10:39 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\a.kuchnia\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010/07/28 08:18:35 | 000,000,816 | RHS- | C] () -- C:\Dokumente und Einstellungen\n.Koch\ntuser.pol
[2010/07/27 06:42:54 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\admin.MICHALSKI.000\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010/07/27 05:06:29 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\n.Koch\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010/03/09 05:31:18 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\rupprecht.MICHALSKI\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010/02/25 03:02:53 | 000,000,008 | RHS- | C] () -- C:\Dokumente und Einstellungen\rupprecht\ntuser.pol
[2010/02/25 03:02:36 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\rupprecht\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/09/04 07:41:53 | 000,006,144 | ---- | C] () -- C:\Dokumente und Einstellungen\ehlert\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/08/19 03:08:23 | 000,001,024 | ---- | C] () -- C:\WINDOWS\System32\SYSPWL.DLL
[2009/08/19 03:05:32 | 000,000,057 | ---- | C] () -- C:\WINDOWS\TCOMM32.INI
[2009/08/19 03:01:29 | 000,010,716 | ---- | C] () -- C:\WINDOWS\ASS_150E.INI
[2009/07/30 02:09:26 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\ehlert\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/07/28 09:46:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2009/07/28 04:54:57 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\c.vorwald\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/07/28 01:53:42 | 000,001,179 | ---- | C] () -- C:\WINDOWS\wincmd.ini
[2009/07/21 09:23:41 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\hlduinst.exe
[2009/07/21 09:23:41 | 000,006,836 | ---- | C] () -- C:\WINDOWS\System32\UNWISE.INI
[2009/07/21 09:23:40 | 000,153,088 | ---- | C] () -- C:\WINDOWS\System32\UNWISE.EXE
[2009/07/21 08:51:20 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\administrator.MICHALSKI\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/04/15 04:50:00 | 000,349,696 | ---- | C] () -- C:\WINDOWS\System32\MBUtil.dll
[2009/04/15 04:49:50 | 000,233,472 | ---- | C] () -- C:\WINDOWS\System32\MBLibMySQL.dll
[2009/04/15 04:45:20 | 000,006,421 | ---- | C] () -- C:\WINDOWS\oe_response.ini
[2009/04/08 03:38:31 | 000,003,840 | ---- | C] () -- C:\WINDOWS\System32\drivers\BANTExt.sys
[2009/03/17 07:09:45 | 000,000,090 | ---- | C] () -- C:\WINDOWS\uno.ini
[2009/03/16 11:46:18 | 000,000,226 | ---- | C] () -- C:\WINDOWS\ktel.ini
[2009/03/16 08:23:22 | 000,000,029 | ---- | C] () -- C:\WINDOWS\System32\sfdaten.ini.lock
[2009/03/16 02:16:03 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\unredmon.exe
[2009/03/13 06:16:38 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\c.vorwald\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/03/12 09:36:53 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\t.krause\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/03/12 09:33:54 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009/03/12 09:20:30 | 000,000,816 | RHS- | C] () -- C:\Dokumente und Einstellungen\Admin.MICHALSKI\ntuser.pol
[2009/03/12 09:20:23 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin.MICHALSKI\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/03/12 09:16:42 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/02/26 06:35:20 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2009/02/26 06:22:02 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll
[2009/02/26 06:02:53 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/02/26 05:59:54 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2009/02/26 05:48:41 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2009/02/26 05:45:40 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2009/02/26 05:41:55 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009/02/26 05:41:23 | 000,347,400 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009/02/26 05:35:54 | 000,005,810 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2009/02/26 05:35:53 | 000,002,480 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2009/02/26 05:35:51 | 000,487,476 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2009/02/26 05:35:51 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2009/02/26 05:35:51 | 000,095,348 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2009/02/26 05:35:51 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2009/02/26 05:35:47 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2009/02/26 05:35:46 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2009/02/26 05:35:46 | 000,444,164 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2009/02/26 05:35:46 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2009/02/26 05:35:46 | 000,072,040 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2009/02/26 05:35:46 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2009/02/26 05:35:46 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2009/02/26 05:35:46 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2009/02/26 05:35:45 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2009/02/26 05:35:45 | 000,455,680 | ---- | C] () -- C:\WINDOWS\System32\drivers\mrxsmb.sys
[2009/02/26 05:35:45 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2009/02/26 05:35:44 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2009/02/26 05:35:43 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008/05/26 16:23:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini
[2008/05/26 16:23:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini
[2008/05/26 16:23:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini
[2008/05/26 15:59:42 | 000,018,904 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschematrivial.bin
[2008/05/26 15:59:40 | 000,106,605 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschema.bin
[2003/02/20 11:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
 
========== LOP Check ==========
 
[2009/03/13 09:19:20 | 000,000,000 | ---D | M] -- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\eDocPrintPro
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Windows Desktop Search
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\a.kuchnia\Anwendungsdaten\Windows Desktop Search
[2010/10/30 04:11:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\a.kuchnia\Anwendungsdaten\Windows Small Business Server
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\admin.MICHALSKI.000\Anwendungsdaten\Windows Desktop Search
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin.MICHALSKI\Anwendungsdaten\Windows Desktop Search
[2009/04/15 04:44:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin.MICHALSKI\Anwendungsdaten\Windows Search
[2009/03/12 09:20:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin.MICHALSKI\Anwendungsdaten\Windows Small Business Server
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Windows Desktop Search
[2011/05/09 06:18:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.MICHALSKI.000\Anwendungsdaten\Immunet
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.MICHALSKI.000\Anwendungsdaten\Windows Desktop Search
[2011/04/01 04:03:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.MICHALSKI.000\Anwendungsdaten\Windows Small Business Server
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.MICHALSKI\Anwendungsdaten\Windows Desktop Search
[2009/07/21 09:26:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.MICHALSKI\Anwendungsdaten\Windows Search
[2009/07/21 08:51:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator.MICHALSKI\Anwendungsdaten\Windows Small Business Server
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Desktop Search
[2009/03/13 06:41:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\c.vorwald\Anwendungsdaten\eDocPrintPro
[2009/03/17 01:25:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\c.vorwald\Anwendungsdaten\klickTel
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\c.vorwald\Anwendungsdaten\Windows Desktop Search
[2009/03/16 03:00:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\c.vorwald\Anwendungsdaten\Windows Search
[2009/03/13 06:16:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\c.vorwald\Anwendungsdaten\Windows Small Business Server
[2009/08/19 07:23:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ehlert\Anwendungsdaten\Autodesk
[2010/07/20 07:41:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ehlert\Anwendungsdaten\DBAV
[2009/10/20 00:49:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ehlert\Anwendungsdaten\eDocPrintPro
[2009/08/25 09:12:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ehlert\Anwendungsdaten\klickTel
[2009/08/19 03:03:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ehlert\Anwendungsdaten\Siemens
[2009/08/31 08:36:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ehlert\Anwendungsdaten\TeamViewer
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ehlert\Anwendungsdaten\Windows Desktop Search
[2009/07/30 09:26:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ehlert\Anwendungsdaten\Windows Search
[2009/07/30 02:09:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ehlert\Anwendungsdaten\Windows Small Business Server
[2009/03/13 06:41:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\eDocPrintPro
[2011/03/29 05:38:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\CommunicationClients
[2010/09/15 07:43:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\eDocPrintPro
[2011/05/05 03:58:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\Immunet
[2011/03/08 08:03:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\TeamViewer
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\Windows Desktop Search
[2010/09/08 02:52:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\Windows Search
[2010/07/28 08:18:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\Windows Small Business Server
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\rupprecht.MICHALSKI\Anwendungsdaten\Windows Desktop Search
[2010/03/09 05:31:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\rupprecht.MICHALSKI\Anwendungsdaten\Windows Small Business Server
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\rupprecht\Anwendungsdaten\Windows Desktop Search
[2010/02/25 03:02:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\rupprecht\Anwendungsdaten\Windows Small Business Server
[2009/02/26 06:19:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\t.krause\Anwendungsdaten\Windows Desktop Search
[2009/03/12 09:36:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\t.krause\Anwendungsdaten\Windows Small Business Server
[2009/08/19 07:26:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
[2011/04/21 00:20:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BIVG Hannover
[2011/03/29 05:14:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CC-Logs
[2011/11/15 01:43:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CommunicationsClients
[2009/03/16 02:16:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreePDF_XP
[2011/04/19 23:50:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SFirm Hannover
[2011/11/17 05:31:00 | 000,000,426 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{3010C1AF-4F8F-494F-9795-ACFE4FCA4220}.job
[2011/11/17 05:23:17 | 000,000,420 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{F6B97B13-1082-4A7F-B7BA-D5290DD717B6}.job
 
========== Purity Check ==========
 
 
< End of report >

Extras.Txt:
Code:

OTL Extras logfile created on: 11/17/2011 12:57:47 PM - Run
OTLPE by OldTimer - Version 3.1.48.0    Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 84.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 95.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149.04 Gb Total Space | 98.26 Gb Free Space | 65.93% Space Free | Partition Type: NTFS
Drive D: | 3.82 Gb Total Space | 3.82 Gb Free Space | 99.95% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 1
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AuthorizedApplications]
"Enabled" = 1
"AllowUserPrefMerge" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\GloballyOpenPorts]
"Enabled" = 1
"AllowUserPrefMerge" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\GloballyOpenPorts\List]
"135:TCP:*:Enabled:Offer Remote Assistance - Port" = 135:TCP:*:Enabled:Offer Remote Assistance - Port
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\RemoteAdminSettings]
"Enabled" = 1
"RemoteAddresses" = localsubnet
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Services]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Services\FileAndPrint]
"Enabled" = 1
"RemoteAddresses" = localsubnet
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Services\RemoteDesktop]
"Enabled" = 1
"RemoteAddresses" = localsubnet
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\AuthorizedApplications]
"AllowUserPrefMerge" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\GloballyOpenPorts]
"AllowUserPrefMerge" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 7.0.1.321\German\setup.exe" = C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 7.0.1.321\German\setup.exe:*:Enabled:Installationsprogramm für Kaspersky Anti-Virus 7.0 -- (Kaspersky Lab)
"C:\Programme\MOSaik\Gilde.exe" = C:\Programme\MOSaik\Gilde.exe:*:Enabled:MOS'aik Projektverwaltung
"C:\Programme\MOSaik\Jade.exe" = C:\Programme\MOSaik\Jade.exe:*:Enabled:MOS'aik Datenbankverwaltung
"C:\Programme\MOSaik\Rubin.exe" = C:\Programme\MOSaik\Rubin.exe:*:Enabled:MOS'aik Dokumentverwaltung
"C:\Programme\MOSaik\Dracula.exe" = C:\Programme\MOSaik\Dracula.exe:*:Enabled:MOS'aik Finanzverwaltung
"C:\Programme\MOSaik\Topas.exe" = C:\Programme\MOSaik\Topas.exe:*:Enabled:MOS'aik Formularverwaltung
"C:\Programme\SFirm32\sfirm.exe" = C:\Programme\SFirm32\sfirm.exe:*:Enabled:SFirm -- (SFirm Hannover)
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE" = C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java(TM) 6 Update 24
"{292A9286-58C7-11D4-9882-005004EDBBBD}" = HiPath 3000 Manager C  62.50.40.0
"{33DC06E3-24D0-430A-B920-F60511F184F4}" = CommunicationsClients
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3D65631B-B94E-47C9-9AEA-E80AA431E841}" = OpenEdge 10.1B
"{492F8345-095D-467F-926C-278870D93ECF}" = Windows Small Business Server 2008 ClientAgent
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5581645F-E404-4A5B-8A16-CD6E796704CE}" = MOS'aik
"{5783F2D7-0201-0407-0002-0060B0CE6BBA}" = AutoCAD 2004
"{6206FD57-3E60-4A52-AD1B-7D9F7BA2777E}" = TCM Combo Set
"{67BA3CCF-0255-429F-AA2C-B00D22D2DF0C}" = Fa'MOS Farb- und Objektgestaltung
"{838257FC-952A-467B-86BF-21DB6B137A3F}" = Windows Small Business Server 2008 WMI Provider
"{888A6CDE-E161-492A-B94C-514E76C6A143}" = SFirm
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{91CA0407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Small Business Edition 2003
"{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU)
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A6EE99EA-420C-4FA6-8A7C-FDB60D278855}" = VS10RuntimeWin32
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1 - Deutsch
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D18FCB8E-A5A1-45D0-9E5E-DDB5826ECA70}" = klickTel Telefon- und Branchenbuch Frühjahr 2009
"{D88C3E7C-1DA6-4AD7-97FC-75BC8705B266}" = runtime
"{E407425C-B34B-465E-B00D-013B4BA3C3CF}" = HiPath TAPI 120 SP V2
"{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}" = Microsoft Office Suite Activation Assistant
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Autodesk Express Viewer" = Autodesk Express Viewer
"Belarc Advisor" = Belarc Advisor 7.2
"BroadGun pdfMachine" = BroadGun pdfMachine
"BZW 9.00 für Progress 10_is1" = BZW 9.00 für Progress 10
"CdaC13Ba" = SafeCast Shared Components
"Digitaler Berufsausbildungsvertrag 09_is1" = Digitaler Berufsausbildungsvertrag 09
"Digitaler Berufsausbildungsvertrag V.07_is1" = Digitaler Berufsausbildungsvertrag V.07
"eDocPrintPro" = eDocPrintPro
"Free PDF to Word Doc Converter_is1" = Free PDF to Word Doc Converter v1.1
"FreePDF_XP" = FreePDF XP (Remove only)
"GPL Ghostscript 8.62" = GPL Ghostscript 8.62
"GPL Ghostscript Fonts" = GPL Ghostscript Fonts
"Handicraft" = Handicraft für Windows
"Hardlock Gerätetreiber" = Hardlock Gerätetreiber
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"ie8" = Windows Internet Explorer 8
"Immunet Protect" = Immunet 3.0
"InstallShield_{5581645F-E404-4A5B-8A16-CD6E796704CE}" = MOS'aik - Die Software für den Mittelstand
"InstallShield_{6206FD57-3E60-4A52-AD1B-7D9F7BA2777E}" = TCM Combo Set
"InstallShield_{67BA3CCF-0255-429F-AA2C-B00D22D2DF0C}" = Fa'MOS Farb- und Objektgestaltung
"klickIdent 22_is1" = klickIdent 22
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.22)" = Mozilla Firefox (3.6.22)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"PERFIDIA Standalone" = PERFIDIA Standalone
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"Totalcmd" = Total Commander (Remove or Repair)
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\ehlert_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Yahoo! BrowserPlus" = Yahoo! BrowserPlus
 
< End of report >


cosinus 17.11.2011 13:31

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL
O4 - HKLM..\Run: [Ats81dFW1TA5VRA] C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe
O4 - HKU\.DEFAULT..\Run: [45huys55hy5rts]  File not found
O4 - HKU\.DEFAULT..\Run: [Ats81dFW1TA5VRA]  File not found
O4 - HKU\n.Koch_ON_C..\Run: [45huys55hy5rts] C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\4aygerhye4.exe (                            )
O4 - HKU\n.Koch_ON_C..\Run: [Ats81dFW1TA5VRA] C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe) - C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe (                            )
O20 - HKU\.DEFAULT Winlogon: Shell - (\54uhjseiu6rtjut.exe) -  File not found
O20 - HKU\n.Koch_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe) - C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe (                            )
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/02/26 05:47:30 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{0e9a970e-f569-11e0-aa1c-002354a54a48}\Shell - "" = AutoRun
O33 - MountPoints2\{0e9a970e-f569-11e0-aa1c-002354a54a48}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{0e9a970e-f569-11e0-aa1c-002354a54a48}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MENNEKEN.vbs
[2011/11/17 05:32:23 | 000,528,384 | ---- | C] (                            ) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe
[2011/11/17 03:13:12 | 000,528,384 | ---- | C] (                            ) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\54uhjseiu6rtjut.exe
[2011/11/17 03:13:12 | 000,095,744 | ---- | C] (Kassl GmbH) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dwlGina3.dll
[2011/11/15 11:11:55 | 000,528,384 | ---- | C] (                            ) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\4aygerhye4.exe
[2011/11/15 11:11:55 | 000,095,744 | ---- | C] (Kassl GmbH) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\dwlGina3.dll
[2011/11/15 11:05:22 | 000,528,384 | ---- | C] (                            ) -- C:\54uhjseiu6rtjut.exe
[2011/11/15 11:05:22 | 000,528,384 | ---- | C] (                            ) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\4aygerhye4.exe
[2011/11/15 11:05:22 | 000,095,744 | ---- | C] (Kassl GmbH) -- C:\dwlGina3.dll
[2011/11/15 11:04:27 | 000,528,384 | ---- | C] (                            ) -- C:\4aygerhye4.exe
[2011/11/17 03:13:12 | 000,095,744 | ---- | M] (Kassl GmbH) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dwlGina3.dll
[2011/11/17 03:12:45 | 000,528,384 | ---- | M] (                            ) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\54uhjseiu6rtjut.exe
[2011/11/17 03:12:45 | 000,528,384 | ---- | M] (                            ) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\4aygerhye4.exe
[2011/11/15 11:11:55 | 000,095,744 | ---- | M] (Kassl GmbH) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\dwlGina3.dll
[2011/11/15 11:11:32 | 000,528,384 | ---- | M] (                            ) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe
[2011/11/15 11:11:32 | 000,528,384 | ---- | M] (                            ) -- C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\4aygerhye4.exe
[2011/11/15 11:05:22 | 000,095,744 | ---- | M] (Kassl GmbH) -- C:\dwlGina3.dll
[2011/11/15 11:04:53 | 000,528,384 | ---- | M] (                            ) -- C:\54uhjseiu6rtjut.exe
[2011/11/15 11:04:53 | 000,528,384 | ---- | M] (                            ) -- C:\4aygerhye4.exe
:Commands
[emptytemp]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

tafkar 17.11.2011 13:52

Habe den Fix angewendet, der Rechner hat neu gestartet, ich habe mich als der ursprüngliche User angemeldet. Der Trojaner ist augenscheinlich nicht wieder gestartet und folgende Log-Datei erschien:

Code:

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Ats81dFW1TA5VRA deleted successfully.
C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe moved successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\45huys55hy5rts deleted successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\Ats81dFW1TA5VRA deleted successfully.
Registry value HKEY_USERS\n.Koch_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\45huys55hy5rts deleted successfully.
C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\4aygerhye4.exe moved successfully.
Registry value HKEY_USERS\n.Koch_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Ats81dFW1TA5VRA deleted successfully.
File C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe deleted successfully.
File C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe not found.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:\54uhjseiu6rtjut.exe deleted successfully.
Registry value HKEY_USERS\n.Koch_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe deleted successfully.
File C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe not found.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
File move failed. X:\AUTORUN.INF scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0e9a970e-f569-11e0-aa1c-002354a54a48}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0e9a970e-f569-11e0-aa1c-002354a54a48}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0e9a970e-f569-11e0-aa1c-002354a54a48}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0e9a970e-f569-11e0-aa1c-002354a54a48}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0e9a970e-f569-11e0-aa1c-002354a54a48}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0e9a970e-f569-11e0-aa1c-002354a54a48}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MENNEKEN.vbs not found.
File C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe not found.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\54uhjseiu6rtjut.exe moved successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dwlGina3.dll moved successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\4aygerhye4.exe moved successfully.
C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\dwlGina3.dll moved successfully.
C:\54uhjseiu6rtjut.exe moved successfully.
File C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\4aygerhye4.exe not found.
C:\dwlGina3.dll moved successfully.
C:\4aygerhye4.exe moved successfully.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dwlGina3.dll not found.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\54uhjseiu6rtjut.exe not found.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\4aygerhye4.exe not found.
File C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\dwlGina3.dll not found.
File C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\54uhjseiu6rtjut.exe not found.
File C:\Dokumente und Einstellungen\n.Koch\Anwendungsdaten\4aygerhye4.exe not found.
File C:\dwlGina3.dll not found.
File C:\54uhjseiu6rtjut.exe not found.
File C:\4aygerhye4.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: a.kuchnia
->Temp folder emptied: 783416 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->FireFox cache emptied: 34941855 bytes
->Flash cache emptied: 434 bytes
 
User: Admin
->Temp folder emptied: 641721 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: Admin.MICHALSKI
->Temp folder emptied: 6003364 bytes
->Temporary Internet Files folder emptied: 1696987 bytes
 
User: admin.MICHALSKI.000
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: Administrator
->Temp folder emptied: 174 bytes
->Temporary Internet Files folder emptied: 69783 bytes
 
User: administrator.MICHALSKI
->Temp folder emptied: 1254215 bytes
->Temporary Internet Files folder emptied: 7198924 bytes
->Flash cache emptied: 405 bytes
 
User: administrator.MICHALSKI.000
->Temp folder emptied: 6812488 bytes
->Temporary Internet Files folder emptied: 1680476 bytes
->Java cache emptied: 57494 bytes
->Flash cache emptied: 405 bytes
 
User: All Users
 
User: c.vorwald
->Temp folder emptied: 205188789 bytes
->Temporary Internet Files folder emptied: 108786180 bytes
->Java cache emptied: 13444891 bytes
->FireFox cache emptied: 60139796 bytes
->Flash cache emptied: 2057 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: ehlert
->Temp folder emptied: 88218653 bytes
->Temporary Internet Files folder emptied: 131234795 bytes
->Java cache emptied: 40359909 bytes
->FireFox cache emptied: 36148613 bytes
->Flash cache emptied: 15644 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: n.Koch
->Temp folder emptied: 396126144 bytes
->Temporary Internet Files folder emptied: 101283959 bytes
->Java cache emptied: 2647649 bytes
->FireFox cache emptied: 95663420 bytes
->Flash cache emptied: 6388 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1199011 bytes
->Flash cache emptied: 405 bytes
 
User: rupprecht
->Temp folder emptied: 2692096 bytes
->Temporary Internet Files folder emptied: 34324 bytes
->Flash cache emptied: 405 bytes
 
User: rupprecht.MICHALSKI
->Temp folder emptied: 2730378 bytes
->Temporary Internet Files folder emptied: 12844394 bytes
->Java cache emptied: 12118713 bytes
->FireFox cache emptied: 52332932 bytes
->Flash cache emptied: 434 bytes
 
User: t.krause
->Temp folder emptied: 804045 bytes
->Temporary Internet Files folder emptied: 638991 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 10249725 bytes
 
Total Files Cleaned = 1,370.00 mb
 
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 11172011_133950

Files\Folders moved on Reboot...
File\Folder X:\AUTORUN.INF not found!
File\Folder C:\Dokumente und Einstellungen\n.Koch\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\HL3WLB0W\RG9Dn3CZQnfWnGbwdATdI2Z2Ofu1k5WGIT4RzC0ouQVHCABfKVegXiepxGvHU8eKsKvqRP9yB5Bes9GAFJUK9AyfMmgbpFRddnrjQdj8IsntvmL9RQDldCuYnNE8VtuKCY8lm2uSa61L6CU4cvYukWvteuqJFvmfvNhD4to[1].gif not found!
File\Folder C:\Dokumente und Einstellungen\n.Koch\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\CS6DTSUB\oleNy4ZU86-W2NiZUucgTNFgplm4,NCJHJP51TcPQYmHoGL0rdilGp6qh3mv3VgMmXC2GUa2uFD07FZufatyKpaaAXe3nZNFzC2Wp1zR8Zfhd9dji9qGANH4oV31iYslBz-yPBsTT3fq3&callback=google.LU[1].featureMap not found!
File\Folder C:\Dokumente und Einstellungen\n.Koch\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\0QUB7VJE\data=LtgX-e3f8ctI3U5dJtbt7EJ1ZfRneYme,NCJHJP51TcPQYmHoGL0rdilGp6qh3mv3VgMmXC2GUa2uFD07FZufatyKpaaAXe3nZNFzC2Wp1zR8Zfhd9dji9qGANH4oV31iYslBz-yPBsTT3fq3[1].gif not found!

Registry entries deleted on Reboot...

Der Desktop ist nun leer, lediglich das Hintergrundbild wird angezeigt. Kann man die Icons wiederherstellen?

cosinus 17.11.2011 15:58

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen!
2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

tafkar 17.11.2011 16:28

Habe den gezippten Ordner hochgeladen, Dateiname MovedFiles.zip

cosinus 17.11.2011 16:38

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

tafkar 17.11.2011 16:57

Hier das Log von TDSS-Killer:
Code:

16:52:23.0859 3588        TDSS rootkit removing tool 2.6.19.0 Nov 16 2011 12:18:50
16:52:25.0859 3588        ============================================================
16:52:25.0859 3588        Current date / time: 2011/11/17 16:52:25.0859
16:52:25.0859 3588        SystemInfo:
16:52:25.0859 3588       
16:52:25.0859 3588        OS Version: 5.1.2600 ServicePack: 3.0
16:52:25.0859 3588        Product type: Workstation
16:52:25.0859 3588        ComputerName: PC2
16:52:25.0859 3588        UserName: m.baumhoff
16:52:25.0859 3588        Windows directory: C:\WINDOWS
16:52:25.0859 3588        System windows directory: C:\WINDOWS
16:52:25.0859 3588        Processor architecture: Intel x86
16:52:25.0859 3588        Number of processors: 2
16:52:25.0859 3588        Page size: 0x1000
16:52:25.0859 3588        Boot type: Normal boot
16:52:25.0859 3588        ============================================================
16:52:27.0234 3588        Initialize success
16:52:38.0625 3880        ============================================================
16:52:38.0625 3880        Scan started
16:52:38.0625 3880        Mode: Manual; SigCheck; TDLFS;
16:52:38.0625 3880        ============================================================
16:52:38.0921 3880        Abiosdsk - ok
16:52:38.0937 3880        abp480n5 - ok
16:52:39.0000 3880        ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
16:52:39.0625 3880        ACPI - ok
16:52:39.0796 3880        ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
16:52:39.0968 3880        ACPIEC - ok
16:52:39.0984 3880        adpu160m - ok
16:52:40.0171 3880        aec            (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
16:52:40.0265 3880        aec - ok
16:52:40.0359 3880        AFD            (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
16:52:40.0453 3880        AFD - ok
16:52:40.0453 3880        Aha154x - ok
16:52:40.0500 3880        aic78u2 - ok
16:52:40.0546 3880        aic78xx - ok
16:52:40.0546 3880        AliIde - ok
16:52:40.0593 3880        Ambfilt        (f6af59d6eee5e1c304f7f73706ad11d8) C:\WINDOWS\system32\drivers\Ambfilt.sys
16:52:40.0734 3880        Ambfilt - ok
16:52:40.0734 3880        amsint - ok
16:52:40.0750 3880        asc - ok
16:52:40.0765 3880        asc3350p - ok
16:52:40.0781 3880        asc3550 - ok
16:52:40.0843 3880        AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
16:52:40.0968 3880        AsyncMac - ok
16:52:41.0000 3880        atapi          (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
16:52:41.0218 3880        atapi - ok
16:52:41.0296 3880        Atdisk - ok
16:52:41.0406 3880        Atmarpc        (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
16:52:41.0531 3880        Atmarpc - ok
16:52:41.0609 3880        audstub        (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
16:52:41.0734 3880        audstub - ok
16:52:41.0828 3880        BANTExt        (5d7be7b19e827125e016325334e58ff1) C:\WINDOWS\System32\Drivers\BANTExt.sys
16:52:41.0890 3880        BANTExt ( UnsignedFile.Multi.Generic ) - warning
16:52:41.0890 3880        BANTExt - detected UnsignedFile.Multi.Generic (1)
16:52:41.0984 3880        Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
16:52:42.0109 3880        Beep - ok
16:52:42.0234 3880        cbidf2k        (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
16:52:42.0343 3880        cbidf2k - ok
16:52:42.0406 3880        cd20xrnt - ok
16:52:42.0515 3880        CdaC15BA        (f76cb7259aa575cc53f3996bc6b68c18) C:\WINDOWS\system32\drivers\CDAC15BA.SYS
16:52:42.0515 3880        CdaC15BA ( UnsignedFile.Multi.Generic ) - warning
16:52:42.0515 3880        CdaC15BA - detected UnsignedFile.Multi.Generic (1)
16:52:42.0609 3880        Cdaudio        (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
16:52:42.0734 3880        Cdaudio - ok
16:52:42.0812 3880        Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
16:52:42.0937 3880        Cdfs - ok
16:52:43.0031 3880        Cdrom          (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
16:52:43.0171 3880        Cdrom - ok
16:52:43.0203 3880        Changer - ok
16:52:43.0265 3880        CmdIde - ok
16:52:43.0281 3880        Cpqarray - ok
16:52:43.0296 3880        dac2w2k - ok
16:52:43.0296 3880        dac960nt - ok
16:52:43.0328 3880        Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
16:52:43.0421 3880        Disk - ok
16:52:43.0562 3880        dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
16:52:43.0671 3880        dmboot - ok
16:52:43.0718 3880        dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
16:52:43.0828 3880        dmio - ok
16:52:43.0906 3880        dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
16:52:44.0015 3880        dmload - ok
16:52:44.0203 3880        DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
16:52:44.0343 3880        DMusic - ok
16:52:44.0437 3880        dpti2o - ok
16:52:44.0484 3880        drmkaud        (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
16:52:44.0546 3880        drmkaud - ok
16:52:44.0671 3880        Fastfat        (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
16:52:44.0750 3880        Fastfat - ok
16:52:44.0843 3880        Fdc            (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
16:52:44.0984 3880        Fdc - ok
16:52:45.0140 3880        Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
16:52:45.0234 3880        Fips - ok
16:52:45.0312 3880        Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
16:52:45.0468 3880        Flpydisk - ok
16:52:45.0546 3880        FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
16:52:45.0671 3880        FltMgr - ok
16:52:45.0781 3880        Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
16:52:45.0921 3880        Fs_Rec - ok
16:52:46.0000 3880        Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
16:52:46.0187 3880        Ftdisk - ok
16:52:46.0281 3880        Gpc            (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
16:52:46.0421 3880        Gpc - ok
16:52:46.0609 3880        Hardlock        (d95554949082fd29a04d351b58396718) C:\WINDOWS\system32\drivers\hardlock.sys
16:52:46.0703 3880        Hardlock - ok
16:52:46.0750 3880        HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
16:52:46.0890 3880        HDAudBus - ok
16:52:46.0984 3880        HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
16:52:47.0171 3880        HidUsb - ok
16:52:47.0250 3880        hpn - ok
16:52:47.0328 3880        HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
16:52:47.0390 3880        HTTP - ok
16:52:47.0437 3880        i2omgmt - ok
16:52:47.0500 3880        i2omp - ok
16:52:47.0546 3880        i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
16:52:47.0640 3880        i8042prt - ok
16:52:47.0906 3880        ialm            (48846b31be5a4fa662ccfde7a1ba86b9) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
16:52:48.0171 3880        ialm - ok
16:52:48.0218 3880        Imapi          (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
16:52:48.0312 3880        Imapi - ok
16:52:48.0421 3880        ImmunetProtectDriver (e690d5b9fba32bc1ccd47c2a907e981e) C:\WINDOWS\system32\DRIVERS\ImmunetProtect.sys
16:52:48.0437 3880        ImmunetProtectDriver - ok
16:52:48.0531 3880        ImmunetSelfProtectDriver (d7c401435eca9f5feaf82894a99bb85e) C:\WINDOWS\system32\DRIVERS\ImmunetSelfProtect.sys
16:52:48.0531 3880        ImmunetSelfProtectDriver - ok
16:52:48.0640 3880        ini910u - ok
16:52:48.0843 3880        IntcAzAudAddService (f9bb9063a6557098dbaf7396e026c922) C:\WINDOWS\system32\drivers\RtkHDAud.sys
16:52:49.0062 3880        IntcAzAudAddService - ok
16:52:49.0078 3880        IntelIde - ok
16:52:49.0109 3880        intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
16:52:49.0250 3880        intelppm - ok
16:52:49.0328 3880        Ip6Fw          (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
16:52:49.0546 3880        Ip6Fw - ok
16:52:49.0578 3880        IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
16:52:49.0734 3880        IpFilterDriver - ok
16:52:49.0781 3880        IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
16:52:49.0921 3880        IpInIp - ok
16:52:49.0984 3880        IpNat          (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
16:52:50.0218 3880        IpNat - ok
16:52:50.0312 3880        IPSec          (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
16:52:50.0500 3880        IPSec - ok
16:52:50.0546 3880        IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
16:52:50.0703 3880        IRENUM - ok
16:52:50.0781 3880        isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
16:52:50.0968 3880        isapnp - ok
16:52:51.0046 3880        Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
16:52:51.0359 3880        Kbdclass - ok
16:52:51.0390 3880        kbdhid          (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
16:52:51.0515 3880        kbdhid - ok
16:52:51.0593 3880        kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
16:52:51.0843 3880        kmixer - ok
16:52:51.0906 3880        KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
16:52:52.0000 3880        KSecDD - ok
16:52:52.0015 3880        lbrtfdc - ok
16:52:52.0140 3880        mnmdd          (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
16:52:52.0296 3880        mnmdd - ok
16:52:52.0359 3880        Modem          (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
16:52:52.0546 3880        Modem - ok
16:52:52.0609 3880        Monfilt        (9fa7207d1b1adead88ae8eed9cdbbaa5) C:\WINDOWS\system32\drivers\Monfilt.sys
16:52:52.0953 3880        Monfilt - ok
16:52:53.0031 3880        Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
16:52:53.0171 3880        Mouclass - ok
16:52:53.0218 3880        mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
16:52:53.0375 3880        mouhid - ok
16:52:53.0453 3880        MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
16:52:53.0640 3880        MountMgr - ok
16:52:53.0687 3880        mraid35x - ok
16:52:53.0718 3880        MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
16:52:53.0890 3880        MRxDAV - ok
16:52:54.0031 3880        MRxSmb          (489147ac139f28ecbf2aeeae9cde024d) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
16:52:54.0031 3880        Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\mrxsmb.sys. Real md5: 489147ac139f28ecbf2aeeae9cde024d, Fake md5: f3aefb11abc521122b67095044169e98
16:52:54.0031 3880        MRxSmb ( Rootkit.Win32.ZAccess.h ) - infected
16:52:54.0031 3880        MRxSmb - detected Rootkit.Win32.ZAccess.h (0)
16:52:54.0171 3880        Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
16:52:54.0312 3880        Msfs - ok
16:52:54.0421 3880        MSKSSRV        (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
16:52:54.0578 3880        MSKSSRV - ok
16:52:54.0656 3880        MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
16:52:54.0734 3880        MSPCLOCK - ok
16:52:54.0812 3880        MSPQM          (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
16:52:54.0937 3880        MSPQM - ok
16:52:55.0109 3880        mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
16:52:55.0187 3880        mssmbios - ok
16:52:55.0281 3880        MTsensor        (d48659bb24c48345d926ecb45c1ebdf5) C:\WINDOWS\system32\DRIVERS\ASACPI.sys
16:52:55.0359 3880        MTsensor - ok
16:52:55.0468 3880        Mup            (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
16:52:55.0546 3880        Mup - ok
16:52:55.0703 3880        NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
16:52:55.0796 3880        NDIS - ok
16:52:55.0921 3880        NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
16:52:56.0062 3880        NdisTapi - ok
16:52:56.0265 3880        Ndisuio        (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
16:52:56.0406 3880        Ndisuio - ok
16:52:56.0484 3880        NdisWan        (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
16:52:56.0671 3880        NdisWan - ok
16:52:56.0765 3880        NDProxy        (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
16:52:56.0843 3880        NDProxy - ok
16:52:56.0921 3880        NetBIOS        (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
16:52:57.0031 3880        NetBIOS - ok
16:52:57.0203 3880        NetBT          (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
16:52:57.0343 3880        NetBT - ok
16:52:57.0468 3880        Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
16:52:57.0546 3880        Npfs - ok
16:52:57.0640 3880        Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
16:52:57.0765 3880        Ntfs - ok
16:52:57.0812 3880        Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
16:52:57.0953 3880        Null - ok
16:52:58.0000 3880        NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
16:52:58.0203 3880        NwlnkFlt - ok
16:52:58.0265 3880        NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
16:52:58.0390 3880        NwlnkFwd - ok
16:52:58.0562 3880        Parport        (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
16:52:58.0640 3880        Parport - ok
16:52:58.0718 3880        PartMgr        (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
16:52:58.0828 3880        PartMgr - ok
16:52:58.0906 3880        ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
16:52:59.0046 3880        ParVdm - ok
16:52:59.0171 3880        PCI            (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
16:52:59.0281 3880        PCI - ok
16:52:59.0375 3880        PCIDump - ok
16:52:59.0437 3880        PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
16:52:59.0515 3880        PCIIde - ok
16:52:59.0625 3880        Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
16:52:59.0750 3880        Pcmcia - ok
16:52:59.0796 3880        PDCOMP - ok
16:52:59.0875 3880        PDFRAME - ok
16:52:59.0875 3880        PDRELI - ok
16:52:59.0890 3880        PDRFRAME - ok
16:52:59.0890 3880        perc2 - ok
16:52:59.0906 3880        perc2hib - ok
16:52:59.0937 3880        PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
16:53:00.0015 3880        PptpMiniport - ok
16:53:00.0140 3880        PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
16:53:00.0250 3880        PSched - ok
16:53:00.0359 3880        Ptilink        (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
16:53:00.0468 3880        Ptilink - ok
16:53:00.0500 3880        ql1080 - ok
16:53:00.0578 3880        Ql10wnt - ok
16:53:00.0578 3880        ql12160 - ok
16:53:00.0593 3880        ql1240 - ok
16:53:00.0593 3880        ql1280 - ok
16:53:00.0625 3880        RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
16:53:00.0703 3880        RasAcd - ok
16:53:00.0781 3880        Rasl2tp        (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
16:53:00.0906 3880        Rasl2tp - ok
16:53:01.0031 3880        RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
16:53:01.0187 3880        RasPppoe - ok
16:53:01.0281 3880        Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
16:53:01.0390 3880        Raspti - ok
16:53:01.0468 3880        Rdbss          (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
16:53:01.0609 3880        Rdbss - ok
16:53:01.0656 3880        RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
16:53:01.0765 3880        RDPCDD - ok
16:53:01.0843 3880        rdpdr          (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
16:53:01.0968 3880        rdpdr - ok
16:53:02.0078 3880        RDPWD          (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
16:53:02.0187 3880        RDPWD - ok
16:53:02.0281 3880        redbook        (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
16:53:02.0406 3880        redbook - ok
16:53:02.0515 3880        RTLE8023xp      (89619ef503f949fae09252a8b883ee11) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
16:53:02.0546 3880        RTLE8023xp - ok
16:53:02.0687 3880        Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
16:53:02.0734 3880        Secdrv - ok
16:53:02.0843 3880        serenum        (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
16:53:02.0921 3880        serenum - ok
16:53:03.0000 3880        Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
16:53:03.0187 3880        Serial - ok
16:53:03.0312 3880        Sfloppy        (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
16:53:03.0437 3880        Sfloppy - ok
16:53:03.0546 3880        Simbad - ok
16:53:03.0546 3880        Sparrow - ok
16:53:03.0609 3880        splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
16:53:03.0687 3880        splitter - ok
16:53:03.0781 3880        sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
16:53:03.0859 3880        sr - ok
16:53:03.0953 3880        Srv            (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys
16:53:04.0046 3880        Srv - ok
16:53:04.0156 3880        swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
16:53:04.0328 3880        swenum - ok
16:53:04.0406 3880        swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
16:53:04.0546 3880        swmidi - ok
16:53:04.0593 3880        symc810 - ok
16:53:04.0671 3880        symc8xx - ok
16:53:04.0671 3880        sym_hi - ok
16:53:04.0687 3880        sym_u3 - ok
16:53:04.0750 3880        sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
16:53:04.0812 3880        sysaudio - ok
16:53:04.0937 3880        Tcpip          (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
16:53:05.0250 3880        Tcpip - ok
16:53:05.0328 3880        TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
16:53:05.0468 3880        TDPIPE - ok
16:53:05.0546 3880        TDTCP          (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
16:53:05.0687 3880        TDTCP - ok
16:53:05.0781 3880        TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
16:53:05.0921 3880        TermDD - ok
16:53:06.0031 3880        TosIde - ok
16:53:06.0093 3880        Trufos          (d391f1171a2e3a7080df6faae7a20c0b) C:\WINDOWS\system32\DRIVERS\Trufos.sys
16:53:06.0109 3880        Trufos - ok
16:53:06.0187 3880        Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
16:53:06.0359 3880        Udfs - ok
16:53:06.0437 3880        ultra - ok
16:53:06.0531 3880        Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
16:53:06.0656 3880        Update - ok
16:53:06.0750 3880        usbccgp        (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
16:53:06.0875 3880        usbccgp - ok
16:53:07.0000 3880        usbehci        (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
16:53:07.0140 3880        usbehci - ok
16:53:07.0234 3880        usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
16:53:07.0375 3880        usbhub - ok
16:53:07.0453 3880        USBSTOR        (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
16:53:07.0578 3880        USBSTOR - ok
16:53:07.0656 3880        usbuhci        (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
16:53:07.0765 3880        usbuhci - ok
16:53:07.0843 3880        VgaSave        (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
16:53:07.0953 3880        VgaSave - ok
16:53:07.0984 3880        ViaIde - ok
16:53:08.0109 3880        VolSnap        (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
16:53:08.0187 3880        VolSnap - ok
16:53:08.0328 3880        Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
16:53:08.0406 3880        Wanarp - ok
16:53:08.0437 3880        WDICA - ok
16:53:08.0546 3880        wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
16:53:08.0625 3880        wdmaud - ok
16:53:08.0796 3880        WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
16:53:08.0859 3880        WudfPf - ok
16:53:08.0937 3880        WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
16:53:08.0984 3880        WudfRd - ok
16:53:09.0031 3880        MBR (0x1B8)    (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
16:53:09.0375 3880        \Device\Harddisk0\DR0 - ok
16:53:09.0375 3880        MBR (0x1B8)    (6cf526a43b9dad256aba69ffd99f3f8c) \Device\Harddisk1\DR2
16:53:17.0750 3880        \Device\Harddisk1\DR2 - ok
16:53:17.0765 3880        Boot (0x1200)  (6cabc594071c71af8975256e782e6121) \Device\Harddisk0\DR0\Partition0
16:53:17.0765 3880        \Device\Harddisk0\DR0\Partition0 - ok
16:53:17.0781 3880        Boot (0x1200)  (c031cd9e6cf1ffc508254727424d82e2) \Device\Harddisk1\DR2\Partition0
16:53:17.0781 3880        \Device\Harddisk1\DR2\Partition0 - ok
16:53:17.0781 3880        ============================================================
16:53:17.0781 3880        Scan finished
16:53:17.0781 3880        ============================================================
16:53:17.0890 3872        Detected object count: 3
16:53:17.0890 3872        Actual detected object count: 3
16:53:46.0078 3872        BANTExt ( UnsignedFile.Multi.Generic ) - skipped by user
16:53:46.0078 3872        BANTExt ( UnsignedFile.Multi.Generic ) - User select action: Skip
16:53:46.0078 3872        CdaC15BA ( UnsignedFile.Multi.Generic ) - skipped by user
16:53:46.0078 3872        CdaC15BA ( UnsignedFile.Multi.Generic ) - User select action: Skip
16:53:46.0078 3872        MRxSmb ( Rootkit.Win32.ZAccess.h ) - skipped by user
16:53:46.0078 3872        MRxSmb ( Rootkit.Win32.ZAccess.h ) - User select action: Skip

unhide.exe wird als W32.ET.oenu von meinem Virenscanner erkannt. Ist das ein Fehlalarm?

cosinus 17.11.2011 17:05

Zitat:

16:53:46.0078 3872 MRxSmb ( Rootkit.Win32.ZAccess.h ) - skipped by user
16:53:46.0078 3872 MRxSmb ( Rootkit.Win32.ZAccess.h ) - User select action: Skip
Hm du hast auch den ZeroAccess :(
Ich weiß nicht ob hier eine Bereinigung unbedingt noch Sinn macht, versuchen können wir es.
Bitte Rootkit.Win32.ZAccess.h mit dem TDSS-Killer löschen, Windows neu starten dann ein neues Log mit dem TDSS-Killer machen.

tafkar 17.11.2011 17:13

Ich glaube, er ist weg. Hier das Log:
Code:

17:11:47.0453 0836        TDSS rootkit removing tool 2.6.19.0 Nov 16 2011 12:18:50
17:11:49.0453 0836        ============================================================
17:11:49.0453 0836        Current date / time: 2011/11/17 17:11:49.0453
17:11:49.0453 0836        SystemInfo:
17:11:49.0453 0836       
17:11:49.0453 0836        OS Version: 5.1.2600 ServicePack: 3.0
17:11:49.0453 0836        Product type: Workstation
17:11:49.0453 0836        ComputerName: PC2
17:11:49.0453 0836        UserName: m.baumhoff
17:11:49.0453 0836        Windows directory: C:\WINDOWS
17:11:49.0453 0836        System windows directory: C:\WINDOWS
17:11:49.0453 0836        Processor architecture: Intel x86
17:11:49.0453 0836        Number of processors: 2
17:11:49.0453 0836        Page size: 0x1000
17:11:49.0453 0836        Boot type: Normal boot
17:11:49.0453 0836        ============================================================
17:11:52.0421 0836        Initialize success
17:12:04.0906 0944        ============================================================
17:12:04.0906 0944        Scan started
17:12:04.0906 0944        Mode: Manual; SigCheck; TDLFS;
17:12:04.0906 0944        ============================================================
17:12:05.0328 0944        Abiosdsk - ok
17:12:05.0343 0944        abp480n5 - ok
17:12:05.0406 0944        ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
17:12:06.0593 0944        ACPI - ok
17:12:06.0765 0944        ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
17:12:06.0921 0944        ACPIEC - ok
17:12:06.0937 0944        adpu160m - ok
17:12:07.0062 0944        aec            (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
17:12:07.0218 0944        aec - ok
17:12:07.0281 0944        AFD            (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
17:12:07.0406 0944        AFD - ok
17:12:07.0437 0944        Aha154x - ok
17:12:07.0531 0944        aic78u2 - ok
17:12:07.0593 0944        aic78xx - ok
17:12:07.0593 0944        AliIde - ok
17:12:07.0656 0944        Ambfilt        (f6af59d6eee5e1c304f7f73706ad11d8) C:\WINDOWS\system32\drivers\Ambfilt.sys
17:12:07.0796 0944        Ambfilt - ok
17:12:07.0812 0944        amsint - ok
17:12:07.0812 0944        asc - ok
17:12:07.0828 0944        asc3350p - ok
17:12:07.0828 0944        asc3550 - ok
17:12:07.0890 0944        AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
17:12:08.0015 0944        AsyncMac - ok
17:12:08.0078 0944        atapi          (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
17:12:08.0312 0944        atapi - ok
17:12:08.0390 0944        Atdisk - ok
17:12:08.0593 0944        Atmarpc        (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
17:12:08.0687 0944        Atmarpc - ok
17:12:08.0781 0944        audstub        (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
17:12:08.0921 0944        audstub - ok
17:12:09.0015 0944        BANTExt        (5d7be7b19e827125e016325334e58ff1) C:\WINDOWS\System32\Drivers\BANTExt.sys
17:12:09.0062 0944        BANTExt ( UnsignedFile.Multi.Generic ) - warning
17:12:09.0062 0944        BANTExt - detected UnsignedFile.Multi.Generic (1)
17:12:09.0203 0944        Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
17:12:09.0296 0944        Beep - ok
17:12:09.0453 0944        cbidf2k        (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
17:12:09.0562 0944        cbidf2k - ok
17:12:09.0640 0944        cd20xrnt - ok
17:12:09.0750 0944        CdaC15BA        (f76cb7259aa575cc53f3996bc6b68c18) C:\WINDOWS\system32\drivers\CDAC15BA.SYS
17:12:09.0750 0944        CdaC15BA ( UnsignedFile.Multi.Generic ) - warning
17:12:09.0750 0944        CdaC15BA - detected UnsignedFile.Multi.Generic (1)
17:12:09.0859 0944        Cdaudio        (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
17:12:09.0984 0944        Cdaudio - ok
17:12:10.0062 0944        Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
17:12:10.0296 0944        Cdfs - ok
17:12:10.0406 0944        Cdrom          (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
17:12:10.0546 0944        Cdrom - ok
17:12:10.0578 0944        Changer - ok
17:12:10.0656 0944        CmdIde - ok
17:12:10.0671 0944        Cpqarray - ok
17:12:10.0671 0944        dac2w2k - ok
17:12:10.0687 0944        dac960nt - ok
17:12:10.0718 0944        Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
17:12:10.0796 0944        Disk - ok
17:12:10.0953 0944        dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
17:12:11.0078 0944        dmboot - ok
17:12:11.0109 0944        dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
17:12:11.0218 0944        dmio - ok
17:12:11.0296 0944        dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
17:12:11.0406 0944        dmload - ok
17:12:11.0515 0944        DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
17:12:11.0671 0944        DMusic - ok
17:12:11.0750 0944        dpti2o - ok
17:12:11.0812 0944        drmkaud        (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
17:12:11.0906 0944        drmkaud - ok
17:12:12.0031 0944        Fastfat        (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
17:12:12.0109 0944        Fastfat - ok
17:12:12.0187 0944        Fdc            (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
17:12:12.0328 0944        Fdc - ok
17:12:12.0546 0944        Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
17:12:12.0718 0944        Fips - ok
17:12:12.0843 0944        Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
17:12:13.0046 0944        Flpydisk - ok
17:12:13.0171 0944        FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
17:12:13.0343 0944        FltMgr - ok
17:12:13.0500 0944        Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
17:12:13.0640 0944        Fs_Rec - ok
17:12:13.0734 0944        Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
17:12:13.0875 0944        Ftdisk - ok
17:12:13.0968 0944        Gpc            (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
17:12:14.0109 0944        Gpc - ok
17:12:14.0250 0944        Hardlock        (d95554949082fd29a04d351b58396718) C:\WINDOWS\system32\drivers\hardlock.sys
17:12:14.0343 0944        Hardlock - ok
17:12:14.0390 0944        HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
17:12:14.0484 0944        HDAudBus - ok
17:12:14.0640 0944        HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
17:12:14.0796 0944        HidUsb - ok
17:12:14.0843 0944        hpn - ok
17:12:14.0968 0944        HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
17:12:15.0015 0944        HTTP - ok
17:12:15.0031 0944        i2omgmt - ok
17:12:15.0140 0944        i2omp - ok
17:12:15.0187 0944        i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
17:12:15.0281 0944        i8042prt - ok
17:12:15.0515 0944        ialm            (48846b31be5a4fa662ccfde7a1ba86b9) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
17:12:15.0796 0944        ialm - ok
17:12:15.0859 0944        Imapi          (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
17:12:15.0953 0944        Imapi - ok
17:12:16.0109 0944        ImmunetProtectDriver (e690d5b9fba32bc1ccd47c2a907e981e) C:\WINDOWS\system32\DRIVERS\ImmunetProtect.sys
17:12:16.0125 0944        ImmunetProtectDriver - ok
17:12:16.0187 0944        ImmunetSelfProtectDriver (d7c401435eca9f5feaf82894a99bb85e) C:\WINDOWS\system32\DRIVERS\ImmunetSelfProtect.sys
17:12:16.0203 0944        ImmunetSelfProtectDriver - ok
17:12:16.0281 0944        ini910u - ok
17:12:16.0515 0944        IntcAzAudAddService (f9bb9063a6557098dbaf7396e026c922) C:\WINDOWS\system32\drivers\RtkHDAud.sys
17:12:16.0687 0944        IntcAzAudAddService - ok
17:12:16.0703 0944        IntelIde - ok
17:12:16.0750 0944        intelppm        (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
17:12:16.0875 0944        intelppm - ok
17:12:16.0906 0944        Ip6Fw          (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
17:12:17.0046 0944        Ip6Fw - ok
17:12:17.0125 0944        IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
17:12:17.0265 0944        IpFilterDriver - ok
17:12:17.0281 0944        IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
17:12:17.0421 0944        IpInIp - ok
17:12:17.0578 0944        IpNat          (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
17:12:17.0796 0944        IpNat - ok
17:12:17.0843 0944        IPSec          (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
17:12:18.0031 0944        IPSec - ok
17:12:18.0062 0944        IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
17:12:18.0187 0944        IRENUM - ok
17:12:18.0281 0944        isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
17:12:18.0437 0944        isapnp - ok
17:12:18.0484 0944        Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
17:12:18.0687 0944        Kbdclass - ok
17:12:18.0734 0944        kbdhid          (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
17:12:18.0890 0944        kbdhid - ok
17:12:18.0921 0944        kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
17:12:19.0140 0944        kmixer - ok
17:12:19.0156 0944        KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
17:12:19.0312 0944        KSecDD - ok
17:12:19.0359 0944        lbrtfdc - ok
17:12:19.0437 0944        mnmdd          (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
17:12:19.0718 0944        mnmdd - ok
17:12:19.0750 0944        Modem          (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
17:12:19.0937 0944        Modem - ok
17:12:20.0015 0944        Monfilt        (9fa7207d1b1adead88ae8eed9cdbbaa5) C:\WINDOWS\system32\drivers\Monfilt.sys
17:12:20.0234 0944        Monfilt - ok
17:12:20.0250 0944        Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
17:12:20.0390 0944        Mouclass - ok
17:12:20.0453 0944        mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
17:12:20.0578 0944        mouhid - ok
17:12:20.0703 0944        MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
17:12:20.0890 0944        MountMgr - ok
17:12:20.0921 0944        mraid35x - ok
17:12:20.0937 0944        MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
17:12:21.0093 0944        MRxDAV - ok
17:12:21.0218 0944        MRxSmb          (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
17:12:21.0375 0944        MRxSmb - ok
17:12:21.0406 0944        Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
17:12:21.0593 0944        Msfs - ok
17:12:21.0718 0944        MSKSSRV        (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
17:12:21.0843 0944        MSKSSRV - ok
17:12:22.0000 0944        MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
17:12:22.0078 0944        MSPCLOCK - ok
17:12:22.0156 0944        MSPQM          (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
17:12:22.0296 0944        MSPQM - ok
17:12:22.0390 0944        mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
17:12:22.0500 0944        mssmbios - ok
17:12:22.0593 0944        MTsensor        (d48659bb24c48345d926ecb45c1ebdf5) C:\WINDOWS\system32\DRIVERS\ASACPI.sys
17:12:22.0671 0944        MTsensor - ok
17:12:22.0734 0944        Mup            (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
17:12:22.0812 0944        Mup - ok
17:12:23.0015 0944        NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
17:12:23.0109 0944        NDIS - ok
17:12:23.0234 0944        NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
17:12:23.0359 0944        NdisTapi - ok
17:12:23.0437 0944        Ndisuio        (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
17:12:23.0656 0944        Ndisuio - ok
17:12:23.0750 0944        NdisWan        (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
17:12:23.0906 0944        NdisWan - ok
17:12:24.0015 0944        NDProxy        (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
17:12:24.0093 0944        NDProxy - ok
17:12:24.0171 0944        NetBIOS        (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
17:12:24.0281 0944        NetBIOS - ok
17:12:24.0375 0944        NetBT          (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
17:12:24.0515 0944        NetBT - ok
17:12:24.0625 0944        Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
17:12:24.0703 0944        Npfs - ok
17:12:24.0796 0944        Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
17:12:24.0953 0944        Ntfs - ok
17:12:24.0984 0944        Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
17:12:25.0109 0944        Null - ok
17:12:25.0171 0944        NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
17:12:25.0281 0944        NwlnkFlt - ok
17:12:25.0359 0944        NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
17:12:25.0500 0944        NwlnkFwd - ok
17:12:25.0687 0944        Parport        (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
17:12:25.0765 0944        Parport - ok
17:12:25.0828 0944        PartMgr        (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
17:12:25.0937 0944        PartMgr - ok
17:12:26.0031 0944        ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
17:12:26.0171 0944        ParVdm - ok
17:12:26.0250 0944        PCI            (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
17:12:26.0375 0944        PCI - ok
17:12:26.0500 0944        PCIDump - ok
17:12:26.0546 0944        PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
17:12:26.0640 0944        PCIIde - ok
17:12:26.0718 0944        Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
17:12:26.0843 0944        Pcmcia - ok
17:12:26.0890 0944        PDCOMP - ok
17:12:26.0953 0944        PDFRAME - ok
17:12:26.0968 0944        PDRELI - ok
17:12:26.0968 0944        PDRFRAME - ok
17:12:26.0984 0944        perc2 - ok
17:12:26.0984 0944        perc2hib - ok
17:12:27.0031 0944        PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
17:12:27.0093 0944        PptpMiniport - ok
17:12:27.0187 0944        PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
17:12:27.0312 0944        PSched - ok
17:12:27.0406 0944        Ptilink        (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
17:12:27.0531 0944        Ptilink - ok
17:12:27.0562 0944        ql1080 - ok
17:12:27.0625 0944        Ql10wnt - ok
17:12:27.0625 0944        ql12160 - ok
17:12:27.0640 0944        ql1240 - ok
17:12:27.0640 0944        ql1280 - ok
17:12:27.0656 0944        RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
17:12:27.0750 0944        RasAcd - ok
17:12:27.0843 0944        Rasl2tp        (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
17:12:27.0968 0944        Rasl2tp - ok
17:12:28.0078 0944        RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
17:12:28.0234 0944        RasPppoe - ok
17:12:28.0328 0944        Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
17:12:28.0437 0944        Raspti - ok
17:12:28.0562 0944        Rdbss          (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
17:12:28.0671 0944        Rdbss - ok
17:12:28.0734 0944        RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
17:12:28.0859 0944        RDPCDD - ok
17:12:29.0015 0944        rdpdr          (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
17:12:29.0093 0944        rdpdr - ok
17:12:29.0187 0944        RDPWD          (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
17:12:29.0312 0944        RDPWD - ok
17:12:29.0406 0944        redbook        (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
17:12:29.0531 0944        redbook - ok
17:12:29.0687 0944        RTLE8023xp      (89619ef503f949fae09252a8b883ee11) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
17:12:29.0718 0944        RTLE8023xp - ok
17:12:29.0859 0944        Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
17:12:29.0890 0944        Secdrv - ok
17:12:30.0000 0944        serenum        (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
17:12:30.0078 0944        serenum - ok
17:12:30.0156 0944        Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
17:12:30.0296 0944        Serial - ok
17:12:30.0453 0944        Sfloppy        (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
17:12:30.0531 0944        Sfloppy - ok
17:12:30.0593 0944        Simbad - ok
17:12:30.0656 0944        Sparrow - ok
17:12:30.0718 0944        splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
17:12:30.0781 0944        splitter - ok
17:12:30.0890 0944        sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
17:12:30.0968 0944        sr - ok
17:12:31.0140 0944        Srv            (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys
17:12:31.0203 0944        Srv - ok
17:12:31.0328 0944        swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
17:12:31.0468 0944        swenum - ok
17:12:31.0578 0944        swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
17:12:31.0703 0944        swmidi - ok
17:12:31.0750 0944        symc810 - ok
17:12:31.0859 0944        symc8xx - ok
17:12:31.0875 0944        sym_hi - ok
17:12:31.0875 0944        sym_u3 - ok
17:12:31.0921 0944        sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
17:12:31.0984 0944        sysaudio - ok
17:12:32.0093 0944        Tcpip          (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
17:12:32.0234 0944        Tcpip - ok
17:12:32.0312 0944        TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
17:12:32.0484 0944        TDPIPE - ok
17:12:32.0562 0944        TDTCP          (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
17:12:32.0703 0944        TDTCP - ok
17:12:32.0796 0944        TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
17:12:32.0937 0944        TermDD - ok
17:12:33.0015 0944        TosIde - ok
17:12:33.0109 0944        Trufos          (d391f1171a2e3a7080df6faae7a20c0b) C:\WINDOWS\system32\DRIVERS\Trufos.sys
17:12:33.0125 0944        Trufos - ok
17:12:33.0296 0944        Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
17:12:33.0375 0944        Udfs - ok
17:12:33.0484 0944        ultra - ok
17:12:33.0609 0944        Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
17:12:33.0734 0944        Update - ok
17:12:33.0859 0944        usbccgp        (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
17:12:33.0984 0944        usbccgp - ok
17:12:34.0125 0944        usbehci        (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
17:12:34.0265 0944        usbehci - ok
17:12:34.0359 0944        usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
17:12:34.0500 0944        usbhub - ok
17:12:34.0609 0944        USBSTOR        (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
17:12:34.0718 0944        USBSTOR - ok
17:12:34.0812 0944        usbuhci        (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
17:12:34.0937 0944        usbuhci - ok
17:12:35.0031 0944        VgaSave        (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
17:12:35.0156 0944        VgaSave - ok
17:12:35.0187 0944        ViaIde - ok
17:12:35.0296 0944        VolSnap        (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
17:12:35.0375 0944        VolSnap - ok
17:12:35.0578 0944        Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
17:12:35.0656 0944        Wanarp - ok
17:12:35.0671 0944        WDICA - ok
17:12:35.0796 0944        wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
17:12:35.0875 0944        wdmaud - ok
17:12:36.0062 0944        WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
17:12:36.0109 0944        WudfPf - ok
17:12:36.0187 0944        WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
17:12:36.0234 0944        WudfRd - ok
17:12:36.0296 0944        MBR (0x1B8)    (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
17:12:36.0609 0944        \Device\Harddisk0\DR0 - ok
17:12:36.0609 0944        MBR (0x1B8)    (6cf526a43b9dad256aba69ffd99f3f8c) \Device\Harddisk1\DR2
17:12:44.0968 0944        \Device\Harddisk1\DR2 - ok
17:12:44.0984 0944        Boot (0x1200)  (6cabc594071c71af8975256e782e6121) \Device\Harddisk0\DR0\Partition0
17:12:44.0984 0944        \Device\Harddisk0\DR0\Partition0 - ok
17:12:44.0984 0944        Boot (0x1200)  (820e02c8270294d251ff8cff2c23d69c) \Device\Harddisk1\DR2\Partition0
17:12:44.0984 0944        \Device\Harddisk1\DR2\Partition0 - ok
17:12:44.0984 0944        ============================================================
17:12:44.0984 0944        Scan finished
17:12:44.0984 0944        ============================================================
17:12:45.0093 2392        Detected object count: 2
17:12:45.0093 2392        Actual detected object count: 2
17:12:49.0171 2392        BANTExt ( UnsignedFile.Multi.Generic ) - skipped by user
17:12:49.0171 2392        BANTExt ( UnsignedFile.Multi.Generic ) - User select action: Skip
17:12:49.0171 2392        CdaC15BA ( UnsignedFile.Multi.Generic ) - skipped by user
17:12:49.0171 2392        CdaC15BA ( UnsignedFile.Multi.Generic ) - User select action: Skip


cosinus 17.11.2011 20:10

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

tafkar 18.11.2011 10:36

Hier das ComboFix-Log:
Code:

ComboFix 11-11-18.01 - m.baumhoff 18.11.2011  9:22.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2039.1485 [GMT 1:00]
ausgeführt von:: E:\ComboFix.exe
AV: Immunet 3.0 *Disabled/Updated* {F1220F1F-7E2E-48CD-846D-B98C6F85CD37}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\CSC\d6
c:\windows\IsUn0407.exe
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
c:\windows\system32\ReadMe.txt
c:\windows\system32\Thumbs.db
c:\windows\system32\UNWISE.EXE
c:\windows\$NtUninstallKB15771$\1292899255 . . . . Nicht in der Lage zu löschen
.
---- Vorheriger Suchlauf -------
.
c:\windows\$NtUninstallKB15771$\3018165886\@
c:\windows\$NtUninstallKB15771$\3018165886\bckfg.tmp
c:\windows\$NtUninstallKB15771$\3018165886\cfg.ini
c:\windows\$NtUninstallKB15771$\3018165886\Desktop.ini
c:\windows\$NtUninstallKB15771$\3018165886\kwrd.dll
c:\windows\$NtUninstallKB15771$\3018165886\L\leimsieu
c:\windows\$NtUninstallKB15771$\3018165886\U\00000001.$
c:\windows\$NtUninstallKB15771$\3018165886\U\00000001.@
c:\windows\$NtUninstallKB15771$\3018165886\U\00000002.@
c:\windows\$NtUninstallKB15771$\3018165886\U\00000004.@
c:\windows\$NtUninstallKB15771$\3018165886\U\80000000.@
c:\windows\$NtUninstallKB15771$\3018165886\U\80000004.@
c:\windows\$NtUninstallKB15771$\3018165886\U\80000032.@
.
-- Vorheriger Suchlauf --
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\hid.dll . . . ist infiziert!!
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\hid.dll . . . ist infiziert!!
.
c:\windows\system32\midimap.dll . . . ist infiziert!!
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\hid.dll . . . ist infiziert!!
.
c:\windows\system32\midimap.dll . . . ist infiziert!!
.
c:\windows\system32\dsound.dll . . . ist infiziert!!
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\hid.dll . . . ist infiziert!!
.
c:\windows\system32\midimap.dll . . . ist infiziert!!
.
c:\windows\system32\dsound.dll . . . ist infiziert!!
.
c:\windows\system32\rasauto.dll . . . ist infiziert!!
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\hid.dll . . . ist infiziert!!
.
c:\windows\system32\midimap.dll . . . ist infiziert!!
.
c:\windows\system32\dsound.dll . . . ist infiziert!!
.
c:\windows\system32\rasauto.dll . . . ist infiziert!!
.
c:\windows\system32\qmgr.dll . . . ist infiziert!!
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\hid.dll . . . ist infiziert!!
.
c:\windows\system32\midimap.dll . . . ist infiziert!!
.
c:\windows\system32\dsound.dll . . . ist infiziert!!
.
c:\windows\system32\rasauto.dll . . . ist infiziert!!
.
c:\windows\system32\qmgr.dll . . . ist infiziert!!
.
c:\windows\system32\netlogon.dll . . . ist infiziert!!
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\hid.dll . . . ist infiziert!!
.
c:\windows\system32\midimap.dll . . . ist infiziert!!
.
c:\windows\system32\dsound.dll . . . ist infiziert!!
.
c:\windows\system32\rasauto.dll . . . ist infiziert!!
.
c:\windows\system32\qmgr.dll . . . ist infiziert!!
.
c:\windows\system32\netlogon.dll . . . ist infiziert!!
.
c:\windows\system32\scecli.dll . . . ist infiziert!!
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\hid.dll . . . ist infiziert!!
.
c:\windows\system32\midimap.dll . . . ist infiziert!!
.
c:\windows\system32\dsound.dll . . . ist infiziert!!
.
c:\windows\system32\rasauto.dll . . . ist infiziert!!
.
c:\windows\system32\qmgr.dll . . . ist infiziert!!
.
c:\windows\system32\netlogon.dll . . . ist infiziert!!
.
c:\windows\system32\scecli.dll . . . ist infiziert!!
.
c:\windows\system32\srsvc.dll . . . ist infiziert!!
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\hid.dll . . . ist infiziert!!
.
c:\windows\system32\midimap.dll . . . ist infiziert!!
.
c:\windows\system32\dsound.dll . . . ist infiziert!!
.
c:\windows\system32\rasauto.dll . . . ist infiziert!!
.
c:\windows\system32\qmgr.dll . . . ist infiziert!!
.
c:\windows\system32\netlogon.dll . . . ist infiziert!!
.
c:\windows\system32\scecli.dll . . . ist infiziert!!
.
c:\windows\system32\srsvc.dll . . . ist infiziert!!
.
c:\windows\system32\comres.dll . . . ist infiziert!!
.
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
.
c:\windows\system32\hid.dll . . . ist infiziert!!
.
c:\windows\system32\midimap.dll . . . ist infiziert!!
.
c:\windows\system32\dsound.dll . . . ist infiziert!!
.
c:\windows\system32\rasauto.dll . . . ist infiziert!!
.
c:\windows\system32\qmgr.dll . . . ist infiziert!!
.
c:\windows\system32\netlogon.dll . . . ist infiziert!!
.
c:\windows\system32\scecli.dll . . . ist infiziert!!
.
c:\windows\system32\srsvc.dll . . . ist infiziert!!
.
c:\windows\system32\comres.dll . . . ist infiziert!!
.
c:\windows\system32\lpk.dll . . . ist infiziert!!
.
--------
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-10-18 bis 2011-11-18  ))))))))))))))))))))))))))))))
.
.
2011-11-17 18:39 . 2011-07-13 02:55        2237440        ----a-r-        C:\OTLPE.exe
2011-11-17 18:39 . 2011-11-17 21:24        --------        d-----w-        C:\_OTL
2011-11-17 08:12 . 2011-11-17 08:12        --------        d-sh--w-        c:\dokumente und einstellungen\Administrator\IETldCache
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-17 16:10 . 2009-02-26 10:35        455680        ----a-w-        c:\windows\system32\drivers\mrxsmb.sys
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-02-03 18085888]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"eDoc"="c:\progra~1\GEMEIN~1\MAYCOM~1\EDOCPR~1\eDoc.exe" [2007-10-25 417792]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-12-04 366592]
"SfWinStartInfo"="c:\programme\SFirm32\sfWinStartupInfo.exe" [2010-12-20 128392]
"WireLessMouse "="c:\programme\TCM\TCM COMBO SET\MouseDrv.exe" [2005-04-28 286720]
"WireLessKeyboard "="c:\programme\TCM\TCM COMBO SET\PS2USBKbdDrv.exe" [2005-06-22 614400]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"bgsmsnd.exe"="c:\windows\system32\bgsmsnd.exe" [2009-08-27 214160]
"Immunet Protect"="c:\programme\Immunet\3.0.1\iptray.exe" [2011-05-05 2581832]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
.
R1 ImmunetProtectDriver;ImmunetProtectDriver;c:\windows\system32\drivers\ImmunetProtect.sys [05.05.2011 09:57 47440]
R1 ImmunetSelfProtectDriver;ImmunetSelfProtectDriver;c:\windows\system32\drivers\ImmunetSelfProtect.sys [05.05.2011 09:57 31952]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [26.02.2009 12:17 1684736]
S3 Caloa Agent Service 1.0;Caloa Agent Service 1.0;c:\dokume~1\NBA4A~1.KOC\LOKALE~1\Temp\nsrBF.tmp\caloa_app.exe  --StartMode AsService  --> c:\dokume~1\NBA4A~1.KOC\LOKALE~1\Temp\nsrBF.tmp\caloa_app.exe  --StartMode AsService  [?]
S3 ImmunetProtect;Immunet 3.0;c:\programme\Immunet\3.0.1\agent.exe [05.05.2011 09:57 741272]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx        REG_MULTI_SZ          scan sysagent
.
Inhalt des "geplante Tasks" Ordners
.
2011-11-18 c:\windows\Tasks\User_Feed_Synchronization-{3010C1AF-4F8F-494F-9795-ACFE4FCA4220}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
2011-11-18 c:\windows\Tasks\User_Feed_Synchronization-{F6B97B13-1082-4A7F-B7BA-D5290DD717B6}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.maler-michalski.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: radio912.de\www
FF - ProfilePath - c:\dokumente und einstellungen\n.Koch\Anwendungsdaten\Mozilla\Firefox\Profiles\pd5wlvuz.default\
FF - Ext: Kaspersky URL Advisor: linkfilter@kaspersky.ru - c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
SafeBoot-34287378.sys
AddRemove-BZW 9.00 für Progress 10_is1 - z:\zeit\unins000.exe
AddRemove-Digitaler Berufsausbildungsvertrag 09_is1 - f:\verwaltung\Mitarbeiter\Aktuelle Mitarbeiter\DBAV09\unins000.exe
AddRemove-Hardlock Gerätetreiber - c:\windows\system32\UNWISE.EXE
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-11-18 09:30
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040AC1900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2636)
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\drivers\CDAC11BA.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\SearchIndexer.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-11-18  09:34:20 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-11-18 08:34
.
Vor Suchlauf: 27 Verzeichnis(se), 106.974.044.160 Bytes frei
Nach Suchlauf: 28 Verzeichnis(se), 107.122.995.200 Bytes frei
.
- - End Of File - - EF4656594C17D71676FD634E63939F14


cosinus 18.11.2011 11:41

Zitat:

c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
c:\windows\system32\hid.dll . . . ist infiziert!!
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
c:\windows\system32\hid.dll . . . ist infiziert!!
c:\windows\system32\midimap.dll . . . ist infiziert!!
c:\windows\system32\drivers\aec.sys . . . ist infiziert!!
Auweia, geh ich richtig in der Annahme, dass das ein Büro-Rechner ist?
Ich denke hier sollte man mit dem Herumdoktorn aufhören und das System sauber neu aufsetzen bzw. ein sauberes Images des System wiederherstellen.
Da sind soviele Systemdateien vom Schädling manipuliert worden, dass sich das ganze nicht mehr sicher überblicken und rückgängig machen lässt. Einen derart befallen Windows-PC für geschäftliche Zwecke weiterzunutzen ohne saubere Neuinstallation halte ich für grobfahrlässig bis verantwortungslos.

tafkar 18.11.2011 12:15

Ich hatte es mir schon gedacht, dass eine Neuinstallation ab jetzt besser ist. Ich werde versuchen mit einer Live-CD noch Daten zu kopieren und dann mache ich den Rechner neu.
Jedenfalls vielen Dank für Deine großartige Hilfe! :-)


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131