Trojaner-Board - dirdr nervt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - dirdr nervt (https://www.trojaner-board.de/87247-dirdr-nervt.html)

Liebe Helfer,

ich habe mir am 4. Juni trotz aktuellem Virenscanner (damals noch die kostenlose Version von Antivir) Trojaner eingefangen. Antivir hat auch sofort Alarm geschlagen, ich bin offline gegangen und habe das System geprüft. Antivir fand auch Agent X und Dropper, kam damit aber nicht wirklich zurecht.

Mein Schwager (ITler)hat dann am 7. Juni SuperAntiSpyware darüber laufen lassen, der fand und killte auch diese Trojaner und diverse Tracking Cookies. Der anschließende Scan im abgesicherten Modus ergab, dass der Rechner nun sauber sei. SuperAntiSpyware wurde deinstalliert.

Daraufhin habe ich mir sicherheitshalber Avira Premium zugelegt, die Systemprüfung ergab keine Funde. Kann aber nicht gestimmt haben, denn zum einen öffnet sich jedesmal, wenn ich online bin, ganz kurz ein Browserfenster zu dirdr, das dann zu irgendeinem doofen Reklamefenster wechselt (Zylom und anderer Quatsch). Zum anderen schlägt Avira Premium dauernd Alarm. Es zeigt die Ziffernfolge einer IP-Adresse an - es handele sich dabei um Agent GX 361 bzw. Dropper, den Zugriff lasse ich immer verweigern.

Ich habe deshalb heute zuerst Malwarebytes Anti-Malware darüber laufen lassen, er meldete zwei Funde, die ich habe entfernen lassen.

Hier ist die Logfile:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4208

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17.06.2010 16:43:18
mbam-log-2010-06-17 (16-43-18).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 140432
Laufzeit: 6 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ruuunxslfibvujr (Adware.Adrotator) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\m5t8ql3yw3 (Trojan.FakeAlert) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ruuunxslfibvujr.exe (Adware.Adrotator) -> No action taken.

Ich hatte vor lauter Zorn das gesamte System scannen lassen. Bevor ich aber alles Gefundene löschen lassen konnte, fror der Rechner ein. Ich musste leider einen brutalen Kaltstart machen und habe anschließend nochmals einen Quickscan gemacht und die infizierten Dateien löschen lassen. Ein nochmaliger Quickscan nach einem Rechnerneustart ergab anschließend keine Funde mehr.

Anschließend habe ich heute OTL darüberlaufen lassen, hier ist die erste Logfile:

Die zweite Datei poste ich im nächsten Posting, damit dieses nicht so endlos lang wird.

Edit: Das würde ich zumindest gerne, aber ich bekomme jedesmal eine Fehlermeldung, wenn ich auf dieses Posting antworten will. "Diese Website kann nicht angezeigt werden". Grumpf. Was nun?

So, jetzt habe ich die Logfiles endlich drinnen, siehe Anhang.

Ich wüsste gern, was da noch faul ist auf meinem Rechner und wie ich diesen dirdr-Mist wieder loswerde. Was muss ich als nächstes tun?

Ach ja, was ich zu berichten vergaß: Renos war auch auf dem Rechner gewesen, wurde von Avira damals gleich erkannt und dann von SuperAntiSpyware gekillt.

In meiner Verzweiflung habe ich auch noch CCleaner drüberlaufen lassen, da war aber nix Auffälliges. Was mir Sorgen bereitet, dass das automatische Update von Windows nicht mehr zu funktionieren scheint. Will ich es selbst per Hand anstoßen, bekomme ich eine Fehlermeldung, "diese Seite kann nicht angezeigt werden". Irgendwas ist da mächtig faul.

Meines Wissens befinden sich übrigens keine Cracks auf diesem Rechner.

Sollte ich vielleicht die Fix It-Funktion von OTL benutzen? Das habe ich nämlich noch nicht gemacht.

Was immer hier noch auf meinem Rechner ist, versucht jedenfalls, sich dauernd selbst mit dem Internet zu verbinden. Das macht das Arbeiten sehr mühsam, denn Avira Premium schlägt dann dauernd an, außerdem muss ich muss ständig die Verbindung trennen.

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://image.hijackthis.eu/upload/hjt1-021.jpg Textbox.

Code:

netsvcs

%SYSTEMDRIVE%\*.*

%systemroot%\*. /mp /s

CREATERESTOREPOINT

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\drivers\*.sys /90

%systemroot%\system32\user32.dll /md5

%systemroot%\system32\ws2_32.dll /md5

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList|helpassistant /rs

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 2

Bitte

alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Gmer ist geeignet für => NT/W2K/XP/VISTA.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Save" und speichere das Log als "Gmer.txt" auf dem Desktop, Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Bitte poste in Deiner nächsten Antwort
OTL.txt
Gmer.txt

Hallo Daniel,

vielen Dank schon einmal für Deine Hilfe. Das Ergebnis des OTL-Scans habe ich im Anhang beigefügt. Mit GMER habe ich ebenfalls gescannt, doch beim Versuch, die Logdatei zu speichern, fror der Rechner ein und stürzte dann ab. Der Scan lief sehr lange, daher vermute ich, dass er schon fertig war, als nix mehr passierte. Keine Ahnung, was da los war.

Ich muss es also nochmals machen, aber ich wollte wenigstens schon das OTL-Ergebnis posten. Bis später, ich gehe jetzt wieder offline und scanne.

GMER-Protokoll lässt sich nicht speichern - PC hängt sich auf

Es ist doch zum Mäusemelken! Obwohl ich mich wie zuvor auch brav an die Anleitung gehalten und vor dem GMER-Scan Avira Premium und die Internetverbindung deaktiviert sowie alle Programme geschlossen habe und den Rechner ganz in Ruhe scannen ließ, ist es doch schon wieder passiert. Nachdem er fertig war, hing er sich beim Versuch, das Protokoll zu speichern wieder auf. Woran kann das liegen? Hat jemand eine Idee? :confused:

Ich gehe jetzt ins Bett, bevor ich vor lauter Technikstress dem Rechner noch etwas antue. :snyper: (Ich habe ihn heute Nachmittag schon laut beschimpft.)

Morgen starte ich dann einen dritten Versuch. Für Tipps, wie ich es hinbekomme, dass es dann endlich gelingt, dieses Protokoll auch zu speichern, bin ich sehr dankbar.

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

Starte das Tool mit Doppelklick.
Vista User: Bitte mit Rechtsklick "als Administrator starten".
Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
Defogger fordert nun zum Neustart auf. Bestätige dies mit OK.
DeFogger erstellt nun ein Logfile auf dem Desktop (defogger_disable).

Poste bitte den Inhalt der Logfile in Deiner nächsten Antwort.

schritt 2

Wenn Gmer beendet wurde klicke auf Copy und füge das Log mit strg #v hier ein.

Wenn das nicht klappt gehen wir den "netten" Weg

Herzlichen Dank schon mal. Kurze Rückfrage: Soll ich für defogger auch Avira deaktivieren?

defogger disable

Guten Morgen,

hier nun das Ergebnis von defogger_disable:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 09:39 on 19/06/2010 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...

-=E.O.F=-

Ich mache jetzt gleich nochmals den Scan mit GMER, das wird wieder eine ganze Weile dauern. Wann muss ich denn die re-enable-Prozedur bei defogger machen?

Es ist wieder passiert. Als GMER endlich, endlich fertig war mit der Scannerei, klickte ich auf "Copy" und erhielt die Aufforderung, alles in meinen Lieblingseditor einzufügen. Beim Versuch, genau das zu tun, fror wieder der Rechner ein.

Ich versuche das jetzt noch ein letztes Mal. Ich gehe nachher eh gleich außer Haus, da kann der Rechner in Ruhe scannen.

Ne lass ma gut sein. Gmer ist halt ein starkes Tool, wenn es läuft

Erstelle einmal eine neue OTL Logfile

Starte bitte OTL.exe und klicke auf den Quick Scan Button.

Bitte nicht anhängen.

Ähm, ich habe die Dateien bislang immer angehängt, weil es vorgestern massive Probleme mit der Forumssoftware gab und ich die OTL-Datei nur stückweise - wenn überhaupt - hier posten konnte. Da Guru hatte mich daraufhin aufgefordert, die Dateien anzuhängen und löschte anschließend meine anderen Postings.

Leider hatte ich Dein Posting heute nicht mehr vorher gesehen, aber es hat eh wieder nicht geklappt. Ich habe mir noch notieren können, dass GMER bei

C:\WINDOWS\system32\drivers\atapis.sys sowie bei

C:\WINDOWS\system32\drivers\ipsec.sys

verdächtige Veränderungen entdeckt hat. Dir sagt das sicherlich mehr als mir.

Ich lasse morgen Früh nochmals den OTL-Scan laufen und hoffe, dass sich die Datei dann hier posten lässt.

Also, heute Morgen meldete Avira Premium nach einem Update einen Fund von TR/spy.ZBot.aklo in C:\Dokumente\***\Anwendungsdaten\Liil\gehe.exe, den habe ich dann aus der Quarantäne gelöscht.

Außerdem habe ich noch einen OTL-Quickscan gemacht, hier ist das Ergebnis (Teil I):

OTL logfile created on: 20.06.2010 07:52:57 - Run 4
OTL by OldTimer - Version 3.2.6.0 Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.022,00 Mb Total Physical Memory | 461,00 Mb Available Physical Memory | 45,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 77,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 49,06 Gb Total Space | 22,87 Gb Free Space | 46,62% Space Free | Partition Type: NTFS
Drive D: | 53,71 Gb Total Space | 38,41 Gb Free Space | 71,51% Space Free | Partition Type: NTFS
Drive E: | 175,78 Gb Total Space | 143,50 Gb Free Space | 81,64% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
Drive H: | 19,52 Gb Total Space | 11,14 Gb Free Space | 57,05% Space Free | Partition Type: FAT32
I: Drive not present or media not loaded

Computer Name: ***
Current User Name: ***
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan

========== Processes (SafeList) ==========

PRC - [2010.06.18 14:12:27 | 000,572,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
PRC - [2010.06.09 20:29:56 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.06.09 20:29:31 | 000,405,672 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe
PRC - [2010.06.09 20:29:30 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2010.06.09 20:29:26 | 000,337,064 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe
PRC - [2010.06.09 20:29:24 | 000,282,792 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.06.09 20:29:24 | 000,267,432 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.04.16 08:33:40 | 000,144,672 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
PRC - [2008.10.24 15:35:44 | 000,128,296 | ---- | M] () -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.02.22 18:32:12 | 000,118,784 | ---- | M] (OLYMPUS IMAGING CORP.) -- C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
PRC - [2006.10.19 15:01:34 | 000,122,971 | ---- | M] () -- C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
PRC - [2006.10.19 15:01:32 | 000,282,709 | ---- | M] () -- C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
PRC - [2006.10.19 15:00:52 | 000,151,552 | ---- | M] (CyberLink Corp.) -- C:\Programme\Home Cinema\TV Enhance\TVEService.exe
PRC - [2006.10.18 16:29:44 | 001,962,896 | ---- | M] (Acronis) -- C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
PRC - [2006.10.18 16:23:48 | 001,189,920 | ---- | M] (Acronis) -- C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
PRC - [2006.10.17 12:47:22 | 000,087,584 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
PRC - [2006.10.17 12:47:16 | 000,230,944 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
PRC - [2006.04.24 14:25:44 | 000,073,728 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
PRC - [2006.03.21 14:19:40 | 000,069,632 | ---- | M] (ScanSoft, Inc.) -- C:\Programme\ScanSoft\OmniPageSE4.0\OpWareSE4.exe
PRC - [2004.04.28 14:02:22 | 000,042,496 | ---- | M] (Standard Microsystems Corp.) -- C:\Programme\SMSC\SetIcon.exe
PRC - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
PRC - [2001.11.12 14:31:48 | 000,020,480 | ---- | M] (X10) -- C:\Programme\Common Files\X10\Common\X10nets.exe

========== Modules (SafeList) ==========

MOD - [2010.06.18 14:12:27 | 000,572,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
MOD - [2008.04.14 04:21:06 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx
MOD - [2005.12.19 20:16:10 | 000,135,168 | ---- | M] (ScanSoft, Inc.) -- C:\Programme\ScanSoft\OmniPageSE4.0\OpHookSE4.dll

(Fortsetzung folgt)

========== Win32 Services (SafeList) ==========

SRV - [2010.06.09 20:29:56 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.06.09 20:29:31 | 000,405,672 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2010.06.09 20:29:26 | 000,337,064 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService)
SRV - [2010.06.09 20:29:24 | 000,267,432 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.04.16 08:33:40 | 000,144,672 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2008.10.24 15:35:44 | 000,128,296 | ---- | M] () [Auto | Running] -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe -- (AAV UpdateService)
SRV - [2006.10.19 15:01:34 | 000,122,971 | ---- | M] () [Auto | Running] -- C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe -- (TVESched) TVEnhance Task Scheduler (TTS))
SRV - [2006.10.19 15:01:32 | 000,282,709 | ---- | M] () [Auto | Running] -- C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe -- (TVECapSvc) TVEnhance Background Capture Service (TBCS)
SRV - [2006.10.17 12:47:16 | 000,230,944 | ---- | M] (Acronis) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2006.04.24 14:25:44 | 000,073,728 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2003.07.28 13:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)
SRV - [2001.11.12 14:31:48 | 000,020,480 | ---- | M] (X10) [Auto | Running] -- C:\Programme\Common Files\X10\Common\X10nets.exe -- (x10nets)

========== Driver Services (SafeList) ==========

DRV - [2010.06.09 20:30:18 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.06.09 20:30:17 | 000,124,784 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.06.09 20:30:16 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.06.09 20:29:23 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009.07.02 13:49:32 | 004,125,696 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2008.04.13 20:56:49 | 000,012,800 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usb8023.sys -- (USB_RNDIS)
DRV - [2008.04.13 20:46:22 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mpe.sys -- (MPE)
DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2008.01.08 09:17:08 | 001,302,368 | R--- | M] (NXP Semiconductors Germany GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\3xHybrid.sys -- (3xHybrid)
DRV - [2006.12.03 15:41:30 | 000,395,744 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\timntr.sys -- (timounter)
DRV - [2006.12.03 15:41:30 | 000,039,264 | ---- | M] (Acronis) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\tifsfilt.sys -- (tifsfilter)
DRV - [2006.12.03 15:41:26 | 000,114,048 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\snapman.sys -- (snapman)
DRV - [2006.10.09 11:50:22 | 004,381,696 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2006.10.06 16:38:00 | 003,992,608 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2006.09.07 12:17:28 | 000,011,264 | R--- | M] (VIA Technologies,Inc) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\xfilt.sys -- (xfilt)
DRV - [2006.09.07 12:17:28 | 000,009,728 | R--- | M] (VIA Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\videX32.sys -- (videX32)
DRV - [2006.06.08 10:49:00 | 000,344,064 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\rt73.sys -- (RT73)
DRV - [2006.04.07 17:06:38 | 000,038,496 | ---- | M] (OLYMPUS IMAGING CORP.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\VNUSB.sys -- (VNUSB)
DRV - [2005.11.28 11:45:16 | 000,007,040 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\x10hid.sys -- (X10Hid)
DRV - [2005.05.19 16:52:58 | 000,017,792 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\x10ufx2.sys -- (XUIF)
DRV - [2001.10.02 10:54:22 | 000,040,192 | ---- | M] (Oki Data Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\System32\DRIVERS\OKIPAR.SYS -- (OkiPar)
DRV - [2001.08.18 05:19:46 | 000,077,824 | ---- | M] (ATI Technologies, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ati.sys -- (ati)
DRV - [2001.08.10 08:00:00 | 000,003,252 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\PQNTDRV.SYS -- (PQNTDrv)
DRV - [2000.07.24 02:01:00 | 000,019,537 | ---- | M] (Brother Industries Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\BrPar.sys -- (BrPar)

========== Standard Registry (SafeList) ==========

(Fortsetzung folgt)