Trojaner-Board - Computer sehr langsam, Harddisk "klickt" ,Trojaner?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Computer sehr langsam, Harddisk "klickt" ,Trojaner? (https://www.trojaner-board.de/95483-computer-sehr-langsam-harddisk-klickt-trojaner.html)

Computer sehr langsam, Harddisk "klickt" ,Trojaner?

Hallo und Guten Tag/Abend zusammen,

Mein PC hat seit neuem ein "Problem" und zwar Startet er sehr langsam und von der Festplatte ertönt ein nicht unbedingt leises Klicken (Bsp. Mausklicken) dies ist allerdings nur in den ersten 10 Minuten wo ich mich Anmelde der Desktop geladen wird der Fall ,ansonsten funktioniert der ganze PC ziemlich normal...

Jetzt meine Frage ist: Gibt es einen Virus welcher so ein klicken bei der Harddisc auslöst? Und folglich 2. wenn es einen gibt wie kann ich diesen bereinigen?

Ich habe übrigens schon mal Malwarbytes rüber laufen lassen welche allerdings keine infiszierte Objekte Entdeckt hat.

Ich hoffe ich konnte das Problem einigermassen darstellen,bedankte mich schon mal im voraus für jegliche Hilfe!

Hersteller der Platte? Schonmal dran gedacht, dass deine Platte im Sterben liegen könnte?
Geh mal mit dem Diagnosetool des Herstellers auf die Platte und berichte.

Danke viel mal für die Antwort, dass meine Platte im Sterben liegt wie du so schön beschrieben hast war natürlich mein erster Gedanke.
Ich habe mir darum HD Tune herunter geladen und mein Platte mal gescannt durchschnittliche transfer Rate = 75.2MB/sec Beim Error Scan hat er nichts gefunden.
Entschuldige, hätte ich oben erwähnen sollen.

Hersteller ist übrigens Samsung.Wie meinst du Hersteller Diagnosetool??

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

MalwareBytes hat 2 infizierte Dateien gefunden und zwar bei TFC? Hier Das logefile:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5706

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

10.02.2011 18:05:44
mbam-log-2011-02-10 (18-05-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 357214
Laufzeit: 36 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\René\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\71H9UH6D\TFC[1].exe (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
c:\Users\René\Desktop\MFTools\TFC.exe (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.

OTL logefiles sind im Anhang...

Zitat:

Datenbank Version: 5706

Lesen hilft! Ich hab extra geschrieben, dass du vor jedem Durchgang MBAM updaten musst!!

Mist!, habe doch gedacht, dass ich etwas vergessen habe.

neues Log :
Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 5733

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

10.02.2011 19:53:54
mbam-log-2011-02-10 (19-53-54).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 356494
Laufzeit: 31 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009/08/06 13:50:50 | 000,218,376 | R--- | M] () - E:\AutoStarter.exe -- [ CDFS ]

O32 - AutoRun File - [2009/07/20 14:07:04 | 000,003,496 | R--- | M] () - E:\autorun.inf -- [ CDFS ]

O32 - AutoRun File - [2009/08/17 11:14:02 | 000,000,000 | ---D | M] - E:\autostarter -- [ CDFS ]

O33 - MountPoints2\{1b6a7f16-b687-11df-8ecf-005056c00008}\Shell - "" = AutoRun

O33 - MountPoints2\{1b6a7f16-b687-11df-8ecf-005056c00008}\Shell\AutoRun\command - "" = N:\LaunchU3.exe -a

O33 - MountPoints2\{923e2a69-f990-11de-afc2-806e6f6e6963}\Shell - "" = AutoRun

O33 - MountPoints2\{923e2a69-f990-11de-afc2-806e6f6e6963}\Shell\AutoRun\command - "" = E:\AutoStarter.exe -- [2009/08/06 13:50:50 | 000,218,376 | R--- | M] ()

O33 - MountPoints2\G\Shell - "" = AutoRun

O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a

@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:E0258CAE

@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:AB689DEA

@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:4CF61E54

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

hat funktioniert ,Logfile :
All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File move failed. E:\AutoStarter.exe scheduled to be moved on reboot.
File move failed. E:\autorun.inf scheduled to be moved on reboot.
File not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1b6a7f16-b687-11df-8ecf-005056c00008}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1b6a7f16-b687-11df-8ecf-005056c00008}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1b6a7f16-b687-11df-8ecf-005056c00008}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1b6a7f16-b687-11df-8ecf-005056c00008}\ not found.
File N:\LaunchU3.exe -a not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{923e2a69-f990-11de-afc2-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{923e2a69-f990-11de-afc2-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{923e2a69-f990-11de-afc2-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{923e2a69-f990-11de-afc2-806e6f6e6963}\ not found.
File move failed. E:\AutoStarter.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ not found.
File G:\LaunchU3.exe -a not found.
ADS C:\ProgramData\Temp:E0258CAE deleted successfully.
ADS C:\ProgramData\Temp:AB689DEA deleted successfully.
ADS C:\ProgramData\Temp:4CF61E54 deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 606589 bytes
->Temporary Internet Files folder emptied: 5931845 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 531 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Gast
->Temp folder emptied: 2997234 bytes
->Temporary Internet Files folder emptied: 47167798 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 12854499 bytes
->Flash cache emptied: 904 bytes

User: Public

User: René
->Temp folder emptied: 797656967 bytes
->Temporary Internet Files folder emptied: 108356740 bytes
->Java cache emptied: 7080086 bytes
->FireFox cache emptied: 111152643 bytes
->Google Chrome cache emptied: 370995040 bytes
->Flash cache emptied: 263221 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 200704 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 23821788 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67698 bytes
RecycleBin emptied: 6937991007 bytes

Total Files Cleaned = 8,037.00 mb

OTL by OldTimer - Version 3.2.20.6 log created on 02102011_202122

Files\Folders moved on Reboot...
File move failed. E:\AutoStarter.exe scheduled to be moved on reboot.
File move failed. E:\autorun.inf scheduled to be moved on reboot.
C:\Users\René\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Windows\temp\vmware-SYSTEM\vmware-usbarb-SYSTEM-2088.log moved successfully.

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Wie mir soeben aufgefallen ist, klickt die Harddisc nicht mehr :D

Combofix Logfile:

Code:

ComboFix 11-02-09.05 - René 10.02.2011  20:46:04.1.4 - x64

Microsoft Windows 7 Home Premium   6.1.7600.0.1252.41.1031.18.8191.6570 [GMT 1:00]

ausgeführt von:: c:\users\René\Desktop\cofi.exe

AV: Microsoft Security Essentials *Disabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}

SP: Microsoft Security Essentials *Disabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\system32\User
 

.

(((((((((((((((((((((((   Dateien erstellt von 2011-01-10 bis 2011-02-10  ))))))))))))))))))))))))))))))

.
 

2011-02-10 19:34 . 2011-02-10 19:34        --------        d-----w-        c:\program files\CCleaner

2011-02-10 19:21 . 2011-02-10 19:21        --------        d-----w-        C:\_OTL

2011-02-09 20:25 . 2011-01-13 10:20        7844688        ----a-w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{7D0A54C9-9DA9-4899-B820-F41430AF2989}\mpengine.dll

2011-02-07 19:51 . 2011-02-07 19:51        --------        d-----w-        c:\users\René\AppData\Roaming\Malwarebytes

2011-02-07 19:51 . 2011-02-07 19:51        --------        d-----w-        c:\programdata\Malwarebytes

2011-02-07 19:51 . 2010-12-20 17:09        38224        ----a-w-        c:\windows\SysWow64\drivers\mbamswissarmy.sys

2011-02-07 19:51 . 2011-02-07 19:51        --------        d-----w-        c:\program files (x86)\Malwarebytes' Anti-Malware

2011-02-07 19:51 . 2010-12-20 17:08        24152        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-02-06 10:17 . 2011-02-06 10:17        --------        d-----w-        c:\program files (x86)\HD Tune

2011-02-05 12:42 . 2011-02-05 12:42        --------        d-----w-        c:\users\René\AppData\Local\ElevatedDiagnostics

2011-02-03 19:58 . 2009-11-03 13:07        679936        ----a-w-        c:\windows\SysWow64\D3DX81ab.dll

2011-02-03 19:58 . 2009-11-03 13:07        1970176        ----a-w-        c:\windows\SysWow64\d3dx9.dll

2011-02-03 19:58 . 2011-02-03 19:59        --------        d-----w-        c:\users\René\AppData\Local\OpenCandy

2011-02-03 19:58 . 2011-02-03 19:58        --------        d-----w-        c:\users\René\AppData\Roaming\OpenCandy

2011-02-03 19:58 . 2011-02-03 20:19        --------        d-----w-        c:\program files (x86)\Cheat Engine

2011-01-29 16:44 . 2011-01-29 16:43        601424        ------w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{933DDF1B-2C2B-41F6-A99D-B1149BBBFEBD}\gapaengine.dll

2011-01-28 19:10 . 2011-01-28 19:10        --------        d-----w-        c:\program files (x86)\Microsoft Security Client

2011-01-28 19:10 . 2011-01-13 10:20        7844688        ----a-w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Updates\mpengine.dll

2011-01-28 19:09 . 2011-01-28 19:10        --------        d-----w-        c:\program files\Microsoft Security Client

2011-01-28 19:09 . 2010-04-09 11:06        374664        ----a-w-        c:\windows\system32\drivers\netio.sys

2011-01-27 17:02 . 2011-01-27 17:02        --------        d-----w-        c:\users\René\AppData\Roaming\NVIDIA
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-01-13 10:20 . 2010-07-18 13:55        7844688        ----a-w-        c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll

2011-01-04 21:08 . 2011-01-04 21:08        521448        ----a-w-        c:\windows\system32\deployJava1.dll

2010-12-05 20:57 . 2010-12-05 20:57        255352        ----a-w-        c:\windows\SysWow64\awrdscdc.ax

2010-11-29 16:38 . 2010-11-29 16:38        94208        ----a-w-        c:\windows\SysWow64\QuickTimeVR.qtx

2010-11-29 16:38 . 2010-11-29 16:38        69632        ----a-w-        c:\windows\SysWow64\QuickTime.qts

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\program files (x86)\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]

"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]

"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2010-05-13 26192168]

"Google Update"="c:\users\René\AppData\Local\Google\Update\GoogleUpdate.exe" [2010-12-31 136176]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-28 35696]

"ArcadeDeluxeAgent"="c:\program files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe" [2009-09-29 128296]

"SSBkgdUpdate"="c:\program files (x86)\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]

"PaperPort PTD"="c:\program files (x86)\ScanSoft\PaperPort\pptd40nt.exe" [2008-07-09 29984]

"IndexSearch"="c:\program files (x86)\ScanSoft\PaperPort\IndexSearch.exe" [2008-07-09 46368]

"PPort11reminder"="c:\program files (x86)\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]

"BrMfcWnd"="c:\program files (x86)\Brother\Brmfcmon\BrMfcWnd.exe" [2009-05-26 1159168]

"ControlCenter3"="c:\program files (x86)\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688]

"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]

"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2010-12-13 421160]
 

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

SetPointII.lnk - c:\program files\Logitech\SetPoint II\SetPointII.exe [2009-7-21 815104]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]

@="Service"
 

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\progra~2\mcafee\SITEAD~1\mcsacore.exe [x]

R3 CEDRIVER55;CEDRIVER55;c:\program files (x86)\Cheat Engine\dbk64.sys [2010-08-05 39424]

R3 DBKDRVR54;DBKDRVR54;c:\program files (x86)\Cheat Engine\dbk32.sys [2010-08-31 61056]

R3 EagleX64;EagleX64;c:\windows\system32\drivers\EagleX64.sys [x]

R3 LcAgent;LC Remote Agent;c:\windows\Temp\lcagent.exe [x]

R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [2010-10-24 40832]

R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2010-10-24 72064]

R3 NisSrv;Microsoft-Netzwerkinspektion;c:\program files\Microsoft Security Client\Antimalware\NisSrv.exe [2010-11-11 282616]

R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [2009-06-26 83488]

R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]

R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2010-09-28 51712]

R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\DRIVERS\VBoxNetAdp.sys [2010-06-25 144656]

R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys [x]

R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [2010-07-17 1255736]

R3 WSDPrintDevice;WSD-Druckunterstützung durch UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 23040]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-11-10 834544]

S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-08-18 203264]

S2 Greg_Service;GRegService;c:\program files (x86)\Acer\Registration\GregHSRW.exe [2009-08-28 1150496]

S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe [2009-08-12 62208]

S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-10-16 369256]

S2 Updater Service;Updater Service;c:\program files\Acer\Acer Updater\UpdaterService.exe [2009-07-04 240160]

S2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [2010-05-20 80944]

S2 VMUSBArbService;VMware USB Arbitration Service;c:\program files (x86)\Common Files\VMware\USB\vmware-usbarbitrator.exe [2010-05-20 539184]

S3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\DRIVERS\e1y62x64.sys [2009-06-12 287960]

S3 LVRS64;Logitech RightSound Filter Driver;c:\windows\system32\DRIVERS\lvrs64.sys [2010-07-27 339040]

S3 LVUVC64;Logitech Webcam 905(UVC);c:\windows\system32\DRIVERS\lvuvc64.sys [2010-07-27 6465632]
 

.

Inhalt des "geplante Tasks" Ordners

.
 

--------- x86-64 -----------
 
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-05 186904]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-07-20 7981088]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 130576]

"Logitech Download Assistant"="c:\windows\system32\rundll32.exe" [2009-07-14 45568]

"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2010-11-30 1436224]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=0x0

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0807&m=aspire_m5800&r=17360710qn06974454ki51d4610l4r

uLocal Page = c:\windows\system32\blank.htm

mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0807&m=aspire_m5800&r=17360710qn06974454ki51d4610l4r

mLocal Page = c:\windows\SysWOW64\blank.htm

uInternet Settings,ProxyOverride = *.local

IE: An OneNote s&enden - c:\progra~2\MICROS~1\Office14\ONBttnIE.dll/105

IE: E&xport to Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000

IE: Free YouTube Download - c:\users\René\AppData\Roaming\DVDVideoSoftIEHelpers\youtubedownload.htm

IE: Free YouTube to Mp3 Converter - c:\users\René\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm

IE: Nach Microsoft E&xcel exportieren - c:\progra~2\MICROS~1\Office14\EXCEL.EXE/3000

LSP: c:\program files (x86)\VMware\VMware Player\vsocklib.dll

FF - ProfilePath - c:\users\René\AppData\Roaming\Mozilla\Firefox\Profiles\xwds9ui5.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}

FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2269050&SearchSource=13

FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

FF - Ext: Softonic-Eng7 Toolbar: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - %profile%\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}

FF - Ext: DVDVideoSoftTB Toolbar: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - %profile%\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

Toolbar-Locked - (no file)

SafeBoot-mcmscsvc

SafeBoot-MCODS

Toolbar-Locked - (no file)

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe
 
 

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"

"ThreadingModel"="Apartment"
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.10"
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"

"ThreadingModel"="Apartment"
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"
 

[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]

@Denied: (A) (Everyone)

"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"
 

[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Schema Library\ActionsPane3]

@Denied: (A) (Everyone)
 

[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]

"Key"="ActionsPane3"

"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd"
 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\program files (x86)\Bonjour\mDNSResponder.exe

c:\windows\SysWOW64\vmnat.exe

c:\windows\SysWOW64\vmnetdhcp.exe

c:\program files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe

c:\program files (x86)\VMware\VMware Player\vmware-authd.exe

c:\program files (x86)\Brother\ControlCenter3\brccMCtl.exe

c:\program files (x86)\Brother\Brmfcmon\BrMfimon.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2011-02-10  20:55:22 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2011-02-10 19:55
 

Vor Suchlauf: 16 Verzeichnis(se), 288'144'703'488 Bytes frei

Nach Suchlauf: 22 Verzeichnis(se), 287'521'419'264 Bytes frei
 

- - End Of File - - CAD0397B52CAB7D45531EFE5C17E0677

--- --- ---

Zitat:

R3 LcAgent;LC Remote Agent;c:\windows\Temp\lcagent.exe [x]

Hast du dir l0phtcrack installiert?? :eek:

Ehm... Ja ich habe mir eine Testversion heruntergeladen,wollte testen ob es wirklich so leicht ist die Hashes einer SAM zu entschlüsseln (sonst wollte ich nichts damit)

Sry wollte es nur abklären ob du das warst oder im Zuge der Infektion passierte ;)

Bitte nun Logs mit GMER und mbrcheck erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg

Anleitung zu mbrcheck:
Downloade Dir MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Aha, bin dann relativ erschrocken als ich gemerkt hatte das es lediglich 7 sekunden dauerte, Wie auch immer hier die Logs:

GMER:
MER 1.0.15.15530 - GMER - Rootkit Detector and Remover
Rootkit scan 2011-02-11 22:28:25
Windows 6.1.7600
Running: mjoujmwb.exe

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x06 0xE4 0xFE 0x9C ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x9E 0x08 0x83 0x9A ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xBD 0x6D 0x6D 0xBB ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x06 0xE4 0xFE 0x9C ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x9E 0x08 0x83 0x9A ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xBD 0x6D 0x6D 0xBB ...

---- EOF - GMER 1.0.15 ----

MBR:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 7 Home Premium Edition
Windows Information: (build 7600), 64-bit
Base Board Manufacturer: Acer
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: Acer
System Product Name: Aspire M5800
Logical Drives Mask: 0x00001f7c

Kernel Drivers (total 201):
0x0340D000 \SystemRoot\system32\ntoskrnl.exe
0x039EA000 \SystemRoot\system32\hal.dll
0x00BD4000 \SystemRoot\system32\kdcom.dll
0x00C6B000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x00CAF000 \SystemRoot\system32\PSHED.dll
0x00CC3000 \SystemRoot\system32\CLFS.SYS
0x00D21000 \SystemRoot\system32\CI.dll
0x00EF8000 \SystemRoot\system32\drivers\Wdf01000.sys
0x00F9C000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x01080000 \SystemRoot\System32\Drivers\spnj.sys
0x011A6000 \SystemRoot\System32\Drivers\WMILIB.SYS
0x011AF000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
0x01000000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x01057000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x01061000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x00FAB000 \SystemRoot\system32\DRIVERS\pci.sys
0x011DE000 \SystemRoot\System32\drivers\partmgr.sys
0x00FDE000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x00E00000 \SystemRoot\System32\drivers\volmgrx.sys
0x00E5C000 \SystemRoot\System32\drivers\mountmgr.sys
0x0129D000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x013B9000 \SystemRoot\system32\DRIVERS\amdxata.sys
0x01200000 \SystemRoot\system32\drivers\fltmgr.sys
0x0124C000 \SystemRoot\system32\drivers\fileinfo.sys
0x01427000 \SystemRoot\System32\Drivers\Ntfs.sys
0x00E76000 \SystemRoot\System32\Drivers\msrpc.sys
0x015CA000 \SystemRoot\System32\Drivers\ksecdd.sys
0x016C7000 \SystemRoot\System32\Drivers\cng.sys
0x0173A000 \SystemRoot\System32\drivers\pcw.sys
0x0174B000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x0186E000 \SystemRoot\system32\drivers\ndis.sys
0x01960000 \SystemRoot\system32\drivers\NETIO.SYS
0x019C0000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x01800000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x0184C000 \SystemRoot\System32\Drivers\spldr.sys
0x01755000 \SystemRoot\System32\drivers\rdyboost.sys
0x01854000 \SystemRoot\System32\Drivers\mup.sys
0x019EB000 \SystemRoot\System32\drivers\hwpolicy.sys
0x0178F000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x017C9000 \SystemRoot\system32\DRIVERS\disk.sys
0x01600000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x03B56000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x03B80000 \SystemRoot\system32\DRIVERS\MpFilter.sys
0x03BB1000 \SystemRoot\System32\Drivers\Null.SYS
0x03BBA000 \SystemRoot\System32\Drivers\Beep.SYS
0x03BC1000 \SystemRoot\System32\drivers\vga.sys
0x03BCF000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x03A00000 \SystemRoot\System32\drivers\watchdog.sys
0x03A10000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x03A19000 \SystemRoot\system32\drivers\rdpencdd.sys
0x03BF4000 \SystemRoot\system32\drivers\rdprefmp.sys
0x019F4000 \SystemRoot\System32\Drivers\Msfs.SYS
0x0163E000 \SystemRoot\System32\Drivers\Npfs.SYS
0x04000000 \SystemRoot\System32\drivers\tcpip.sys
0x0164F000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x01699000 \SystemRoot\system32\DRIVERS\tdx.sys
0x016B7000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x04267000 \SystemRoot\system32\drivers\afd.sys
0x042F1000 \SystemRoot\System32\DRIVERS\netbt.sys
0x04336000 \SystemRoot\system32\drivers\ws2ifsl.sys
0x04341000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x0434A000 \SystemRoot\system32\DRIVERS\pacer.sys
0x04370000 \SystemRoot\system32\DRIVERS\netbios.sys
0x0437F000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x0439A000 \SystemRoot\system32\DRIVERS\termdd.sys
0x043AE000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x04200000 \SystemRoot\system32\drivers\nsiproxy.sys
0x0420C000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x04217000 \SystemRoot\System32\drivers\discache.sys
0x04226000 \SystemRoot\System32\Drivers\dfsc.sys
0x04244000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x01400000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x017DF000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x0480E000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x053E8000 \SystemRoot\system32\DRIVERS\nvBridge.kmd
0x04444000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x04538000 \SystemRoot\System32\drivers\dxgmms1.sys
0x0457E000 \SystemRoot\system32\DRIVERS\e1y62x64.sys
0x045C7000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x00C00000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x045D4000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x04400000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x05657000 \SystemRoot\system32\DRIVERS\1394ohci.sys
0x056B3000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x056C2000 \??\C:\Windows\system32\drivers\UBHelper.sys
0x056CA000 \??\C:\Windows\system32\drivers\NTIDrvr.sys
0x056D2000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x056DF000 \SystemRoot\System32\Drivers\acs2p1x2.SYS
0x05724000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x0572D000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x0573D000 \SystemRoot\system32\DRIVERS\serscan.sys
0x05745000 \SystemRoot\system32\drivers\ksthunk.sys
0x0574B000 \SystemRoot\system32\drivers\ks.sys
0x0578E000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x057A4000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x057C8000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x05600000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x0562F000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x057D4000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x04424000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x045E5000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x057F5000 \SystemRoot\system32\DRIVERS\swenum.sys
0x053EA000 \SystemRoot\system32\DRIVERS\umbus.sys
0x057F7000 \SystemRoot\system32\DRIVERS\vmnetadapter.sys
0x0564A000 \SystemRoot\system32\DRIVERS\VMNET.SYS
0x05A78000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x05AD2000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x06614000 \SystemRoot\system32\drivers\RTKVHD64.sys
0x05AE7000 \SystemRoot\system32\drivers\portcls.sys
0x067D2000 \SystemRoot\system32\drivers\drmk.sys
0x05B24000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x000B0000 \SystemRoot\System32\win32k.sys
0x067F4000 \SystemRoot\System32\drivers\Dxapi.sys
0x06600000 \SystemRoot\System32\Drivers\crashdmp.sys
0x03A22000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0x05B41000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x05B54000 \SystemRoot\system32\DRIVERS\monitor.sys
0x00510000 \SystemRoot\System32\TSDDD.dll
0x05B62000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x0660E000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x006C0000 \SystemRoot\System32\cdd.dll
0x05B7F000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x05B8D000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x05BA6000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x05BAF000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x05BBD000 \??\C:\Windows\system32\drivers\VMkbd.sys
0x05BC8000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x05BD5000 \SystemRoot\system32\drivers\luafv.sys
0x05A00000 \SystemRoot\system32\drivers\WudfPf.sys
0x072AE000 \SystemRoot\system32\DRIVERS\lvuvc64.sys
0x078D7000 \SystemRoot\system32\drivers\usbaudio.sys
0x078F2000 \SystemRoot\system32\DRIVERS\lvrs64.sys
0x07944000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0x0795F000 \SystemRoot\system32\DRIVERS\vmnetbridge.sys
0x0796F000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x07984000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x0799C000 \SystemRoot\system32\DRIVERS\LHidFilt.Sys
0x079AF000 \SystemRoot\system32\DRIVERS\LMouFilt.Sys
0x07C65000 \SystemRoot\system32\drivers\HTTP.sys
0x07D2D000 \SystemRoot\system32\DRIVERS\bowser.sys
0x07D4B000 \SystemRoot\System32\drivers\mpsdrv.sys
0x07D63000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x07D90000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x07C00000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x07C23000 \??\C:\Windows\system32\drivers\hcmon.sys
0x07C2F000 \??\C:\Windows\system32\drivers\vmci.sys
0x082A7000 \??\C:\Windows\system32\drivers\vmx86.sys
0x0837D000 \SystemRoot\system32\DRIVERS\atksgt.sys
0x083CC000 \SystemRoot\system32\DRIVERS\lirsgt.sys
0x08200000 \SystemRoot\system32\drivers\peauth.sys
0x083D9000 \SystemRoot\System32\Drivers\secdrv.SYS
0x079C3000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x083E4000 \SystemRoot\System32\drivers\tcpipreg.sys
0x083F6000 \??\C:\Windows\system32\drivers\vmnetuserif.sys
0x07C47000 \??\C:\Program Files (x86)\VMware\VMware Player\vstor2-ws60.sys
0x07200000 \SystemRoot\System32\DRIVERS\srv2.sys
0x08897000 \SystemRoot\System32\DRIVERS\srv.sys
0x0892D000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
0x0895E000 \SystemRoot\system32\DRIVERS\MpNWMon.sys
0x0896E000 \SystemRoot\system32\DRIVERS\NisDrvWFP.sys
0x08983000 \SystemRoot\system32\drivers\spsys.sys
0x77C00000 \Windows\System32\ntdll.dll
0x477E0000 \Windows\System32\smss.exe
0xFFF20000 \Windows\System32\apisetschema.dll
0xFF520000 \Windows\System32\autochk.exe
0xFFE70000 \Windows\System32\msvcrt.dll
0x77B00000 \Windows\System32\user32.dll
0xFFD40000 \Windows\System32\rpcrt4.dll
0xFFD30000 \Windows\System32\nsi.dll
0xFFCB0000 \Windows\System32\shlwapi.dll
0xFFC30000 \Windows\System32\difxapi.dll
0xFFB90000 \Windows\System32\comdlg32.dll
0xFFB70000 \Windows\System32\sechost.dll
0xFF960000 \Windows\System32\ole32.dll
0xFF780000 \Windows\System32\setupapi.dll
0x77DD0000 \Windows\System32\psapi.dll
0xFF760000 \Windows\System32\imagehlp.dll
0xFE9D0000 \Windows\System32\shell32.dll
0xFE8C0000 \Windows\System32\msctf.dll
0xFE8B0000 \Windows\System32\lpk.dll
0xFE7D0000 \Windows\System32\oleaut32.dll
0xFE700000 \Windows\System32\usp10.dll
0x779E0000 \Windows\System32\kernel32.dll
0x77DC0000 \Windows\System32\normaliz.dll
0xFE6B0000 \Windows\System32\ws2_32.dll
0xFE450000 \Windows\System32\iertutil.dll
0xFE400000 \Windows\System32\Wldap32.dll
0xFE320000 \Windows\System32\advapi32.dll
0xFE280000 \Windows\System32\clbcatq.dll
0xFE100000 \Windows\System32\urlmon.dll
0xFE090000 \Windows\System32\gdi32.dll
0xFDF60000 \Windows\System32\wininet.dll
0xFDF30000 \Windows\System32\imm32.dll
0xFDE90000 \Windows\System32\comctl32.dll
0xFDE50000 \Windows\System32\cfgmgr32.dll
0xFDE10000 \Windows\System32\wintrust.dll
0xFDDA0000 \Windows\System32\KernelBase.dll
0xFDC30000 \Windows\System32\crypt32.dll
0xFDC10000 \Windows\System32\devobj.dll
0xFDC00000 \Windows\System32\msasn1.dll
0x75EA0000 \Windows\SysWOW64\normaliz.dll

Processes (total 75):
0 System Idle Process
4 System
340 C:\Windows\System32\smss.exe
492 csrss.exe
552 C:\Windows\System32\wininit.exe
572 csrss.exe
608 C:\Windows\System32\services.exe
632 C:\Windows\System32\lsass.exe
640 C:\Windows\System32\lsm.exe
744 C:\Windows\System32\svchost.exe
768 C:\Windows\System32\winlogon.exe
844 C:\Windows\System32\nvvsvc.exe
884 C:\Windows\System32\svchost.exe
948 C:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe
1004 C:\Windows\System32\atiesrxx.exe
124 C:\Windows\System32\svchost.exe
372 C:\Windows\System32\svchost.exe
376 C:\Windows\System32\svchost.exe
1112 C:\Windows\System32\audiodg.exe
1184 C:\Windows\System32\svchost.exe
1248 C:\Windows\System32\atieclxx.exe
1368 C:\Program Files\NVIDIA Corporation\Display\NvXDSync.exe
1396 C:\Windows\System32\nvvsvc.exe
1500 C:\Windows\System32\svchost.exe
1656 C:\Windows\System32\taskeng.exe
1664 C:\Windows\System32\spoolsv.exe
1700 C:\Windows\System32\svchost.exe
1876 C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1540 C:\Program Files (x86)\Bonjour\mDNSResponder.exe
1560 C:\Windows\System32\svchost.exe
1804 C:\Program Files (x86)\Acer\Registration\GregHSRW.exe
1944 C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe
1224 C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
1616 C:\Windows\System32\svchost.exe
2124 C:\Program Files\Acer\Acer Updater\UpdaterService.exe
2148 C:\Program Files (x86)\Common Files\VMware\USB\vmware-usbarbitrator.exe
2172 C:\Windows\SysWOW64\vmnat.exe
2232 C:\Windows\SysWOW64\vmnetdhcp.exe
2252 C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTmon.exe
2284 C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe
2836 WUDFHost.exe
3032 C:\Windows\servicing\TrustedInstaller.exe
2052 C:\Windows\System32\dwm.exe
1860 C:\Windows\explorer.exe
2956 C:\Windows\System32\taskhost.exe
3156 C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe
3168 C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
3208 C:\Program Files\Microsoft Security Client\msseces.exe
3244 C:\Users\René\AppData\Local\Google\Update\GoogleUpdate.exe
3304 C:\Program Files\Logitech\SetPoint II\SetPointII.exe
3388 C:\Program Files\Common Files\logishrd\KHAL2\KHALMNPR.exe
3464 C:\Program Files (x86)\Adobe\Reader 9.0\Reader\reader_sl.exe
3572 C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe
3680 C:\Program Files (x86)\ScanSoft\PaperPort\pptd40nt.exe
3824 C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe
3860 C:\Program Files (x86)\Brother\ControlCenter3\BrccMCtl.exe
3936 C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
3952 C:\Program Files (x86)\iTunes\iTunesHelper.exe
3996 C:\Program Files (x86)\Brother\Brmfcmon\BrMfimon.exe
3328 C:\Program Files\iPod\bin\iPodService.exe
1436 C:\Windows\System32\SearchIndexer.exe
2996 C:\Program Files\Windows Media Player\wmpnetwk.exe
4104 C:\Windows\System32\SearchProtocolHost.exe
4228 WmiPrvSE.exe
4296 C:\Windows\System32\svchost.exe
5076 C:\Program Files\Microsoft Security Client\Antimalware\NisSrv.exe
4548 C:\Windows\System32\sppsvc.exe
4900 C:\Program Files (x86)\Mozilla Firefox\firefox.exe
4920 WmiPrvSE.exe
728 C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
904 dllhost.exe
3088 dllhost.exe
2756 C:\Users\René\Desktop\MBRCheck.exe
2244 C:\Windows\System32\conhost.exe
4948 C:\Windows\System32\SearchFilterHost.exe

\\.\C: --> \\.\PhysicalDrive1 at offset 0x00000003`06500000 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000075`e3300000 (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS)

PhysicalDrive1 Model Number: ST31000528AS, Rev: CC44
PhysicalDrive0 Model Number: SAMSUNGHD502IJ, Rev: 1AA01113

Size Device Name MBR Status
--------------------------------------------
931 GB \\.\PhysicalDrive1 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79
465 GB \\.\PhysicalDrive0 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79

Done!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!