|
TR/Kazy.mekml.1' [trojan] / daten weg Hallo an alle. Ich hab jetzt schon ein paar hier im forum angeschrieben weil ich nicht wusste wie/wo man ein neues thema schreibt.. jedenfalls habe ich mir heute diesen TR/Kazy.mekml.1' [trojan] eingefangen. Meine ganzen Daten waren verschwunden die habe ich jetzt durch systemsteuerung/ordneroptionen/ansicht wieder zurück jedoch sind die immer noch so verschleiert.. und immer wieder kommt diese meldung.. In der Datei 'C:\ProgramData\42983176.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.mekml.1' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern.. Was muss ich den tun um den wieder loszuwerden?? Ich hoffe jemand kennt ne lösung.. danke im vorraus .. LG. claudi hier der otl report.OTL Logfile: Code: OTL Extras logfile created on: 24.04.2011 22:13:57 - Run 1OTL Logfile: Code: OTL logfile created on: 24.04.2011 22:13:57 - Run 1und der bericht von malwarebytes. Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6435 Windows 6.0.6002 Service Pack 2 Internet Explorer 7.0.6002.18005 24.04.2011 22:31:16 mbam-log-2011-04-24 (22-31-16).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 150745 Laufzeit: 4 Minute(n), 51 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Hallo claudi25, bitte beachten: => http://www.trojaner-board.de/95393-c...-software.html Bitte die folgenden Punkte in der vorgegebenen Reihenfolge abarbeiten: ===== Punkt 1 ===== AntiVir - Funde rauskopieren Rechtsklick auf den AntiVir-Schirm in der Taskleiste => AntiVir starten => Übersicht => Ereignisse Typ anklicken, damit die Ereignisse nach Typart sortiert werden. Jeden Fund markieren (nicht alle Ereignisse, nur Funde) => Rechtsklick auf Funde => Ereignis(se) exportieren und als Ereignisse.txt auf dem Desktop speichern und den Inhalt hier posten. ===== Punkt 2 ===== Mir ist aufgefallen, dass Du mehr als ein Anti-Virus-Programm mit Hintergrundwächter laufen hast. Avira AntiVir Personal - Free Antivirus Norman Security Suite Norton Security Scan (Symantec Corporation) Das ist gefährlich, da sich die Programme in die Quere kommen können und dadurch Viren erst recht auf dem Rechner landen können. Entscheide Dich für eine Variante und deinstalliere die andere über Systemsteuerung => Software. Berichte, für welches Anti-Virus-Programm Du Dich entschieden hast, ich würde Antivir behalten und den Rest installieren, aber es ist natürlich Deine Entscheidung, welches Du nimmst :-) ===== Punkt 3 ===== Gibt es von Malwarebytes' Anti-Malware auch Logdateien, die Funde enthalten? Falls ja, poste mir diese bitte auch noch hier in den Thread. ===== Punkt 4 ===== Du hast jede Menge Toolbars installiert. Bitte deinstalliere die, die Du nicht unbedingt brauchst über Systemsteuerung => Programme: P2P_Max und Toolbar (auf P2P solltest Du eh verzichten. P2P ist eine unerschöpfliche Quelle für Schädlinge) Ask Toolbar bzw. Ask.com DVDVideoSoftTB (enthält die Adware Conduit) Google Toolbar for Internet Explorer Google Desktop (falls Du es nicht benutzt) Im Firefox => Extras => Addons => Erweiterungen deinstallieren: Yahoo Toolbar Free Lunch Design Toolbar P2P Max Toolbar DVDVideoSoftTB Toolbar DVDVideoSoft Toolbar ===== Punkt 5 ===== Java aktualisieren Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte den Rechner neu. Downloade nun die Offline-Version von Java Version 6 Update 24 von Oracle und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen. |
Hallo Petra Danke für deine antwort =) Hier sind die funde von antivir Exportierte Ereignisse: 24.04.2011 18:24 [Guard] Malware gefunden In der Datei 'C:\ProgramData\43245320.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.mekml.1' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern ich habe alle anderen virenprogramme gelöscht.. habe antivir behalten. funde von malwarebytes.. Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6435 Windows 6.0.6002 Service Pack 2 Internet Explorer 7.0.6002.18005 29.04.2011 15:08:26 mbam-log-2011-04-29 (15-08-26).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 149734 Laufzeit: 5 Minute(n), 42 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ich habe auch den rest wie von dir beschrieben gelöscht bis auf ask.com das konnte ich nicht finden.. und java(TM) 6 update 7 konnte ich nicht löschen.. LG.claudia |
Hallo claudi25, dann fahre bitte wie folgt fort: ===== Punkt 1 ===== Malware mit Combofix beseitigen Lade Combofix von einem der folgenden Download-Spiegel herunter: BleepingComputer.com - ForoSpyware.com und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig! Beachte die ausführliche Original-Anleitung. Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:
Vorbereitung und wichtige Hinweise
Kurzanleitung zur Installation der Wiederherstellungskonsole unter XP
http://i94.photobucket.com/albums/l8...eWHKonsole.jpg Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen: http://i94.photobucket.com/albums/l8...nstalliert.jpg Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren. Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment). Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint. Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread. Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop. Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen. Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen! |
Hallo Petra Ich habe combofix jetzt mehrere male versucht zu starten. Entweder wurde mein bildschirm schwarz oder es hat sich nichts getan. Die anzeige das nach infizierten objekten gesucht wird kam aber dann hat sich nichts mehr getan. Habe eigentlich alles so gemacht wie beschrieben.. Woran liegt das ? LG. Claudi |
Hallo claudi25, wenn die Anzeige kommt, dass nach infizierten Objekten gesucht wird, kann es eine ganze Weile dauern, bis die Suche beendet ist. Du musst das Programm einfach in Ruhe suchen lassen. Wie lange hast Du denn gewartet? |
Hallo Petra Als ich ihn heute morgen angeschalten habe kam auf schwarzem bildschirm eine ewig lange liste konnte aber nicht genau lesen was drauf stand weil das so schnell ging. Konnte nur sehen das es bis 100% geladen hatte und dann ging mein pc an. Kann dir nur leider nicht sagen was genau es war.Habe es jetzt nochmal versucht, habe es fast 1std laufen lassen dann ging mein pc aus und von selber wieder an und combofix war natürlich wieder unterbrochen. und nun ? =) LG Claudi |
Dann mache jetzt erstmal folgendes: ===== Punkt 1 ===== Automatischen Neustart abstellen, um Abstürze mit Blue Screen aufzuzeichnen (Vista und Windows 7) Systemsteuerung => System => Erweiterte Systemeinstellungen => Reiter Erweitert => Starten und Wiederherstellen => Einstellungen Dort den Haken bei "Automatisch Neustart durchführen" wegnehmen => unter "Debuginformationen speichern" => "kleines Speicherabbild" wählen => OK => OK. Wenn Windows jetzt abstürzt, erfolgt kein Neustart sondern Du bekommst den Bluescreen angezeigt. Dort gibt es eine Zeile, die mit "STOP" anfängt gefolgt von 4 langen hexadezimalen Codes. Je nach Typ des Fehlers kann es weiter unten eine weitere Zeile mit hexadezimalen Codes und eventuell einem Dateinamen geben. Diese beiden Zeilen abschreiben (sorry, Copy&Paste funktioniert dort nicht) und posten. Aus deren Inhalt kann man Hinweise gewinnen, woran es liegen kann. Suche nach einem BlueScreen nach dem Ordner Minidump (wird vermutlich in C:\Windows oder C:\Windows\system32 sein) und schaue, ob sich darin eine Datei mini<Datum>.dmp befindet. Falls ja, mache aus der Datei ein Zip-Archiv und füge dieses Archiv hier als Anhang in Deine nächste Antwort ein, indem Du unterhalb des Textfeldes hier im Thread auf Erweitert klickst und auf Anhänge verwalten gehst. Ich kann diesen Dump dann analysieren. ===== Punkt 2 ===== Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit) Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.
===== Punkt 3 ===== Rootkit-Suche mit Gmer Was sind Rootkits? Wichtig: Bei jedem Rootkit-Scans soll/en:
Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Nun das Logfile in Code-Tags posten. |
Hallo Petra Langsam verzweifle ich an meinem laptop oder besser gesagt an mir. Ich habe Versucht das zu tun was du geschrieben hast.. Also den automatischen neustart habe ich beheben können . Dann habe ich nach dieser minidump datei gesucht hab sie auch gefunden wollte daraus ein Zip-archiv machen da kam aber dann diese anzeige... Sie Verfügen nicht über die Berechtigung diese Datei zu öffnen wenden sie sich an den Besitzer dieser Datei um diese Berechtigung zu erhalten. Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit) Habe ich Versucht dann kam der bluescreen mit diesem code.. 0x000000D1 (0x00000014,0x0000000A,0x00000000,0x826FF13E) Rootkit-Suche mit Gmer Wieder das selbe. Es lief ewig lange dann wieder der bluescreen !!?? Mache ich irgendwas falsch ? |
Hallo claudi25, nein, ich denke nicht, dass Du etwas falsch machst. Du hast es vermutlich mit einem sehr hartnäckigen Rootkit zu tun, der zu verhindern sucht, dass wir ihn löschen. Wir können noch ein oder zwei Sachen probieren, aber vermutlich wäre es einfacher, wenn Du Vista ganz neu installierst, wofür ich hier eine Anleitung habe. Du könntest noch folgendes versuchen: TDSSKiller von Kaspersky
|
Hallo Petra Danke für deine Hilfe und Geduld =) Ich würde Vista schon neu installieren ich habe aber leider keine cd für den laptop (hatte ich noch nie) was ich schon immer komisch fand. Geht das den auch ohne ? Habe tdsskiller jetzt laufen lassen . Nach ungefähr 10sek war er durch und dann kam... infection not found .. !!? |
Hallo Petra Danke für deine Hilfe und Geduld =) Ich würde Vista schon neu installieren ich habe aber leider keine cd für den laptop (hatte ich noch nie) was ich schon immer komisch fand. Geht das den auch ohne ? Habe tdsskiller jetzt laufen lassen . Nach ungefähr 10sek war er durch und dann kam... infection not found .. !!? |
Poste mir bitte trotzdem das Logfile => C:\TDSSKiller<random>.txt Was für einen Laptop genau hast Du? |
Hallo Petra Ich habe einen Fujitsu Amilo xi 2528. 2011/05/03 21:04:21.0618 4952 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28 2011/05/03 21:04:25.0939 4952 ================================================================================ 2011/05/03 21:04:25.0939 4952 SystemInfo: 2011/05/03 21:04:25.0939 4952 2011/05/03 21:04:25.0939 4952 OS Version: 6.0.6002 ServicePack: 2.0 2011/05/03 21:04:25.0939 4952 Product type: Workstation 2011/05/03 21:04:25.0939 4952 ComputerName: CLAUDI-PC 2011/05/03 21:04:25.0939 4952 UserName: claudi 2011/05/03 21:04:25.0939 4952 Windows directory: C:\Windows 2011/05/03 21:04:25.0939 4952 System windows directory: C:\Windows 2011/05/03 21:04:25.0939 4952 Processor architecture: Intel x86 2011/05/03 21:04:25.0939 4952 Number of processors: 2 2011/05/03 21:04:25.0939 4952 Page size: 0x1000 2011/05/03 21:04:25.0939 4952 Boot type: Normal boot 2011/05/03 21:04:25.0939 4952 ================================================================================ 2011/05/03 21:04:26.0735 4952 Initialize success 2011/05/03 21:04:29.0340 5052 ================================================================================ 2011/05/03 21:04:29.0340 5052 Scan started 2011/05/03 21:04:29.0340 5052 Mode: Manual; 2011/05/03 21:04:29.0340 5052 ================================================================================ 2011/05/03 21:04:30.0541 5052 ACPI (82b296ae1892fe3dbee00c9cf92f8ac7) C:\Windows\system32\drivers\acpi.sys 2011/05/03 21:04:30.0697 5052 adp94xx (04f0fcac69c7c71a3ac4eb97fafc8303) C:\Windows\system32\drivers\adp94xx.sys 2011/05/03 21:04:30.0884 5052 adpahci (60505e0041f7751bdbb80f88bf45c2ce) C:\Windows\system32\drivers\adpahci.sys 2011/05/03 21:04:30.0978 5052 adpu160m (8a42779b02aec986eab64ecfc98f8bd7) C:\Windows\system32\drivers\adpu160m.sys 2011/05/03 21:04:31.0009 5052 adpu320 (241c9e37f8ce45ef51c3de27515ca4e5) C:\Windows\system32\drivers\adpu320.sys 2011/05/03 21:04:31.0134 5052 AFD (a201207363aa900abf1a388468688570) C:\Windows\system32\drivers\afd.sys 2011/05/03 21:04:31.0196 5052 agp440 (13f9e33747e6b41a3ff305c37db0d360) C:\Windows\system32\drivers\agp440.sys 2011/05/03 21:04:31.0243 5052 ahcix86s (fbe4016f9ef3ab3db547e40a936b6cd9) C:\Windows\system32\drivers\ahcix86s.sys 2011/05/03 21:04:31.0274 5052 aic78xx (ae1fdf7bf7bb6c6a70f67699d880592a) C:\Windows\system32\drivers\djsvs.sys 2011/05/03 21:04:31.0306 5052 aliide (9eaef5fc9b8e351afa7e78a6fae91f91) C:\Windows\system32\drivers\aliide.sys 2011/05/03 21:04:31.0368 5052 amdagp (c47344bc706e5f0b9dce369516661578) C:\Windows\system32\drivers\amdagp.sys 2011/05/03 21:04:31.0477 5052 amdide (9b78a39a4c173fdbc1321e0dd659b34c) C:\Windows\system32\drivers\amdide.sys 2011/05/03 21:04:31.0586 5052 AmdK7 (18f29b49ad23ecee3d2a826c725c8d48) C:\Windows\system32\drivers\amdk7.sys 2011/05/03 21:04:31.0649 5052 AmdK8 (93ae7f7dd54ab986a6f1a1b37be7442d) C:\Windows\system32\drivers\amdk8.sys 2011/05/03 21:04:31.0852 5052 arc (5d2888182fb46632511acee92fdad522) C:\Windows\system32\drivers\arc.sys 2011/05/03 21:04:31.0898 5052 arcsas (5e2a321bd7c8b3624e41fdec3e244945) C:\Windows\system32\drivers\arcsas.sys 2011/05/03 21:04:31.0961 5052 AsyncMac (53b202abee6455406254444303e87be1) C:\Windows\system32\DRIVERS\asyncmac.sys 2011/05/03 21:04:32.0039 5052 atapi (1f05b78ab91c9075565a9d8a4b880bc4) C:\Windows\system32\drivers\atapi.sys 2011/05/03 21:04:32.0148 5052 atksgt (72bc628af75c4c3250f2a3bac260265a) C:\Windows\system32\DRIVERS\atksgt.sys 2011/05/03 21:04:32.0304 5052 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Program Files\Avira\AntiVir Desktop\avgio.sys 2011/05/03 21:04:32.0444 5052 avgntflt (47b879406246ffdced59e18d331a0e7d) C:\Windows\system32\DRIVERS\avgntflt.sys 2011/05/03 21:04:32.0569 5052 avipbb (5fedef54757b34fb611b9ec8fb399364) C:\Windows\system32\DRIVERS\avipbb.sys 2011/05/03 21:04:32.0725 5052 Beep (67e506b75bd5326a3ec7b70bd014dfb6) C:\Windows\system32\drivers\Beep.sys 2011/05/03 21:04:32.0803 5052 blbdrive (d4df28447741fd3d953526e33a617397) C:\Windows\system32\drivers\blbdrive.sys 2011/05/03 21:04:32.0975 5052 bowser (35f376253f687bde63976ccb3f2108ca) C:\Windows\system32\DRIVERS\bowser.sys 2011/05/03 21:04:33.0006 5052 BrFiltLo (9f9acc7f7ccde8a15c282d3f88b43309) C:\Windows\system32\drivers\brfiltlo.sys 2011/05/03 21:04:33.0037 5052 BrFiltUp (56801ad62213a41f6497f96dee83755a) C:\Windows\system32\drivers\brfiltup.sys 2011/05/03 21:04:33.0068 5052 Brserid (b304e75cff293029eddf094246747113) C:\Windows\system32\drivers\brserid.sys 2011/05/03 21:04:33.0131 5052 BrSerWdm (203f0b1e73adadbbb7b7b1fabd901f6b) C:\Windows\system32\drivers\brserwdm.sys 2011/05/03 21:04:33.0178 5052 BrUsbMdm (bd456606156ba17e60a04e18016ae54b) C:\Windows\system32\drivers\brusbmdm.sys 2011/05/03 21:04:33.0224 5052 BrUsbSer (af72ed54503f717a43268b3cc5faec2e) C:\Windows\system32\drivers\brusbser.sys 2011/05/03 21:04:33.0271 5052 BthEnum (6d39c954799b63ba866910234cf7d726) C:\Windows\system32\DRIVERS\BthEnum.sys 2011/05/03 21:04:33.0334 5052 BTHMODEM (9a966a8e86d1771911ae34a20d11bff3) C:\Windows\system32\DRIVERS\bthmodem.sys 2011/05/03 21:04:33.0412 5052 BthPan (5904efa25f829bf84ea6fb045134a1d8) C:\Windows\system32\DRIVERS\bthpan.sys 2011/05/03 21:04:33.0474 5052 BTHPORT (5a3abaa2f8eece7aefb942773766e3db) C:\Windows\system32\Drivers\BTHport.sys 2011/05/03 21:04:33.0521 5052 BTHUSB (94e2941280e3756a5e0bcb467865c43a) C:\Windows\system32\Drivers\BTHUSB.sys 2011/05/03 21:04:33.0599 5052 BVRPMPR5 (51b327292408b5f3a42e295bce055859) C:\Windows\system32\drivers\BVRPMPR5.SYS 2011/05/03 21:04:33.0739 5052 Cam5603D (166eba385178229475b6aeb950e0a082) C:\Windows\system32\Drivers\BisonCam.sys 2011/05/03 21:04:33.0973 5052 cdfs (7add03e75beb9e6dd102c3081d29840a) C:\Windows\system32\DRIVERS\cdfs.sys 2011/05/03 21:04:34.0192 5052 cdrom (6b4bffb9becd728097024276430db314) C:\Windows\system32\DRIVERS\cdrom.sys 2011/05/03 21:04:34.0457 5052 CEBFilter (039f27ea2344c541cb6a0ef288bc8996) C:\Program Files\C&E\OSD\OsdService\cebuffer.sys 2011/05/03 21:04:34.0535 5052 CEIO (147019abeb922507f2fa107032c480ce) C:\Program Files\C&E\OSD\OsdService\ceio.sys 2011/05/03 21:04:34.0660 5052 circlass (e5d4133f37219dbcfe102bc61072589d) C:\Windows\system32\DRIVERS\circlass.sys 2011/05/03 21:04:34.0675 5052 cKBFilter (cb11e608025aa6e601ff0c097e6009bd) C:\Program Files\C&E\OSD\OsdService\kbfiltr.sys 2011/05/03 21:04:34.0784 5052 CLFS (d7659d3b5b92c31e84e53c1431f35132) C:\Windows\system32\CLFS.sys 2011/05/03 21:04:34.0847 5052 CmBatt (99afc3795b58cc478fbbbcdc658fcb56) C:\Windows\system32\DRIVERS\CmBatt.sys 2011/05/03 21:04:34.0956 5052 cmdide (0ca25e686a4928484e9fdabd168ab629) C:\Windows\system32\drivers\cmdide.sys 2011/05/03 21:04:34.0987 5052 Compbatt (6afef0b60fa25de07c0968983ee4f60a) C:\Windows\system32\DRIVERS\compbatt.sys 2011/05/03 21:04:35.0050 5052 crcdisk (741e9dff4f42d2d8477d0fc1dc0df871) C:\Windows\system32\drivers\crcdisk.sys 2011/05/03 21:04:35.0096 5052 Crusoe (1f07becdca750766a96cda811ba86410) C:\Windows\system32\drivers\crusoe.sys 2011/05/03 21:04:35.0206 5052 DfsC (218d8ae46c88e82014f5d73d0236d9b2) C:\Windows\system32\Drivers\dfsc.sys 2011/05/03 21:04:35.0315 5052 disk (5d4aefc3386920236a548271f8f1af6a) C:\Windows\system32\drivers\disk.sys 2011/05/03 21:04:35.0393 5052 drmkaud (97fef831ab90bee128c9af390e243f80) C:\Windows\system32\drivers\drmkaud.sys 2011/05/03 21:04:35.0533 5052 DXGKrnl (c68ac676b0ef30cfbb1080adce49eb1f) C:\Windows\System32\drivers\dxgkrnl.sys 2011/05/03 21:04:35.0611 5052 E1G60 (5425f74ac0c1dbd96a1e04f17d63f94c) C:\Windows\system32\DRIVERS\E1G60I32.sys 2011/05/03 21:04:35.0720 5052 Ecache (7f64ea048dcfac7acf8b4d7b4e6fe371) C:\Windows\system32\drivers\ecache.sys 2011/05/03 21:04:35.0798 5052 elxstor (23b62471681a124889978f6295b3f4c6) C:\Windows\system32\drivers\elxstor.sys 2011/05/03 21:04:35.0861 5052 ErrDev (3db974f3935483555d7148663f726c61) C:\Windows\system32\drivers\errdev.sys 2011/05/03 21:04:35.0954 5052 exfat (22b408651f9123527bcee54b4f6c5cae) C:\Windows\system32\drivers\exfat.sys 2011/05/03 21:04:36.0017 5052 fastfat (1e9b9a70d332103c52995e957dc09ef8) C:\Windows\system32\drivers\fastfat.sys 2011/05/03 21:04:36.0048 5052 fdc (afe1e8b9782a0dd7fb46bbd88e43f89a) C:\Windows\system32\DRIVERS\fdc.sys 2011/05/03 21:04:36.0095 5052 FileInfo (a8c0139a884861e3aae9cfe73b208a9f) C:\Windows\system32\drivers\fileinfo.sys 2011/05/03 21:04:36.0142 5052 Filetrace (0ae429a696aecbc5970e3cf2c62635ae) C:\Windows\system32\drivers\filetrace.sys 2011/05/03 21:04:36.0188 5052 flpydisk (85b7cf99d532820495d68d747fda9ebd) C:\Windows\system32\DRIVERS\flpydisk.sys 2011/05/03 21:04:36.0235 5052 FltMgr (01334f9ea68e6877c4ef05d3ea8abb05) C:\Windows\system32\drivers\fltmgr.sys 2011/05/03 21:04:36.0298 5052 Fs_Rec (65ea8b77b5851854f0c55c43fa51a198) C:\Windows\system32\drivers\Fs_Rec.sys 2011/05/03 21:04:36.0360 5052 gagp30kx (34582a6e6573d54a07ece5fe24a126b5) C:\Windows\system32\drivers\gagp30kx.sys 2011/05/03 21:04:36.0485 5052 HdAudAddService (cb04c744be0a61b1d648faed182c3b59) C:\Windows\system32\drivers\HdAudio.sys 2011/05/03 21:04:36.0563 5052 HDAudBus (062452b7ffd68c8c042a6261fe8dff4a) C:\Windows\system32\DRIVERS\HDAudBus.sys 2011/05/03 21:04:36.0625 5052 HidBth (1338520e78d90154ed6be8f84de5fceb) C:\Windows\system32\drivers\hidbth.sys 2011/05/03 21:04:36.0672 5052 HidIr (d8df3722d5e961baa1292aa2f12827e2) C:\Windows\system32\DRIVERS\hidir.sys 2011/05/03 21:04:36.0719 5052 HidUsb (cca4b519b17e23a00b826c55716809cc) C:\Windows\system32\DRIVERS\hidusb.sys 2011/05/03 21:04:36.0781 5052 HpCISSs (16ee7b23a009e00d835cdb79574a91a6) C:\Windows\system32\drivers\hpcisss.sys 2011/05/03 21:04:36.0844 5052 HTTP (f870aa3e254628ebeafe754108d664de) C:\Windows\system32\drivers\HTTP.sys 2011/05/03 21:04:36.0922 5052 i2omp (c6b032d69650985468160fc9937cf5b4) C:\Windows\system32\drivers\i2omp.sys 2011/05/03 21:04:36.0968 5052 i8042prt (22d56c8184586b7a1f6fa60be5f5a2bd) C:\Windows\system32\DRIVERS\i8042prt.sys 2011/05/03 21:04:37.0015 5052 iaStor (fd7f9d74c2b35dbda400804a3f5ed5d8) C:\Windows\system32\drivers\iastor.sys 2011/05/03 21:04:37.0062 5052 iaStorV (54155ea1b0df185878e0fc9ec3ac3a14) C:\Windows\system32\drivers\iastorv.sys 2011/05/03 21:04:37.0109 5052 iirsp (2d077bf86e843f901d8db709c95b49a5) C:\Windows\system32\drivers\iirsp.sys 2011/05/03 21:04:37.0280 5052 IntcAzAudAddService (5d854cbac8b7b4b964406f9808c95fae) C:\Windows\system32\drivers\RTKVHDA.sys 2011/05/03 21:04:37.0436 5052 intelide (83aa759f3189e6370c30de5dc5590718) C:\Windows\system32\drivers\intelide.sys 2011/05/03 21:04:37.0483 5052 intelppm (224191001e78c89dfa78924c3ea595ff) C:\Windows\system32\DRIVERS\intelppm.sys 2011/05/03 21:04:37.0577 5052 IpFilterDriver (62c265c38769b864cb25b4bcf62df6c3) C:\Windows\system32\DRIVERS\ipfltdrv.sys 2011/05/03 21:04:37.0639 5052 IPMIDRV (b25aaf203552b7b3491139d582b39ad1) C:\Windows\system32\drivers\ipmidrv.sys 2011/05/03 21:04:37.0670 5052 IPNAT (8793643a67b42cec66490b2a0cf92d68) C:\Windows\system32\DRIVERS\ipnat.sys 2011/05/03 21:04:37.0702 5052 IRENUM (109c0dfb82c3632fbd11949b73aeeac9) C:\Windows\system32\drivers\irenum.sys 2011/05/03 21:04:37.0733 5052 isapnp (6c70698a3e5c4376c6ab5c7c17fb0614) C:\Windows\system32\drivers\isapnp.sys 2011/05/03 21:04:37.0795 5052 iScsiPrt (232fa340531d940aac623b121a595034) C:\Windows\system32\DRIVERS\msiscsi.sys 2011/05/03 21:04:37.0858 5052 iteatapi (bced60d16156e428f8df8cf27b0df150) C:\Windows\system32\drivers\iteatapi.sys 2011/05/03 21:04:37.0904 5052 itecir (e4b04a0d8b237ecf026d849439f1bcce) C:\Windows\system32\DRIVERS\itecir.sys 2011/05/03 21:04:37.0951 5052 iteraid (06fa654504a498c30adca8bec4e87e7e) C:\Windows\system32\drivers\iteraid.sys 2011/05/03 21:04:38.0045 5052 JRAID (c1632fe31d1824a43dea29725312e3fa) C:\Windows\system32\drivers\jraid.sys 2011/05/03 21:04:38.0092 5052 kbdclass (37605e0a8cf00cbba538e753e4344c6e) C:\Windows\system32\DRIVERS\kbdclass.sys 2011/05/03 21:04:38.0201 5052 kbdhid (ede59ec70e25c24581add1fbec7325f7) C:\Windows\system32\DRIVERS\kbdhid.sys 2011/05/03 21:04:38.0357 5052 KSecDD (86165728af9bf72d6442a894fdfb4f8b) C:\Windows\system32\Drivers\ksecdd.sys 2011/05/03 21:04:38.0513 5052 lirsgt (4127e8b6ddb4090e815c1f8852c277d3) C:\Windows\system32\DRIVERS\lirsgt.sys 2011/05/03 21:04:38.0731 5052 lltdio (d1c5883087a0c3f1344d9d55a44901f6) C:\Windows\system32\DRIVERS\lltdio.sys 2011/05/03 21:04:38.0825 5052 LSI_FC (c7e15e82879bf3235b559563d4185365) C:\Windows\system32\drivers\lsi_fc.sys 2011/05/03 21:04:38.0887 5052 LSI_SAS (ee01ebae8c9bf0fa072e0ff68718920a) C:\Windows\system32\drivers\lsi_sas.sys 2011/05/03 21:04:38.0950 5052 LSI_SCSI (912a04696e9ca30146a62afa1463dd5c) C:\Windows\system32\drivers\lsi_scsi.sys 2011/05/03 21:04:39.0199 5052 luafv (8f5c7426567798e62a3b3614965d62cc) C:\Windows\system32\drivers\luafv.sys 2011/05/03 21:04:39.0340 5052 megasas (0001ce609d66632fa17b84705f658879) C:\Windows\system32\drivers\megasas.sys 2011/05/03 21:04:39.0449 5052 MegaSR (c252f32cd9a49dbfc25ecf26ebd51a99) C:\Windows\system32\drivers\megasr.sys 2011/05/03 21:04:39.0496 5052 Modem (e13b5ea0f51ba5b1512ec671393d09ba) C:\Windows\system32\drivers\modem.sys 2011/05/03 21:04:39.0527 5052 monitor (0a9bb33b56e294f686abb7c1e4e2d8a8) C:\Windows\system32\DRIVERS\monitor.sys 2011/05/03 21:04:39.0558 5052 mouclass (5bf6a1326a335c5298477754a506d263) C:\Windows\system32\DRIVERS\mouclass.sys 2011/05/03 21:04:39.0683 5052 mouhid (93b8d4869e12cfbe663915502900876f) C:\Windows\system32\DRIVERS\mouhid.sys 2011/05/03 21:04:39.0730 5052 MountMgr (bdafc88aa6b92f7842416ea6a48e1600) C:\Windows\system32\drivers\mountmgr.sys 2011/05/03 21:04:39.0854 5052 mpio (511d011289755dd9f9a7579fb0b064e6) C:\Windows\system32\drivers\mpio.sys 2011/05/03 21:04:39.0932 5052 mpsdrv (22241feba9b2defa669c8cb0a8dd7d2e) C:\Windows\system32\drivers\mpsdrv.sys 2011/05/03 21:04:40.0229 5052 Mraid35x (4fbbb70d30fd20ec51f80061703b001e) C:\Windows\system32\drivers\mraid35x.sys 2011/05/03 21:04:40.0322 5052 MRxDAV (82cea0395524aacfeb58ba1448e8325c) C:\Windows\system32\drivers\mrxdav.sys 2011/05/03 21:04:40.0432 5052 mrxsmb (5fe5cf325f5b02ebc60832d3440cb414) C:\Windows\system32\DRIVERS\mrxsmb.sys 2011/05/03 21:04:40.0494 5052 mrxsmb10 (30b9c769446af379a2afb72b0392604d) C:\Windows\system32\DRIVERS\mrxsmb10.sys 2011/05/03 21:04:40.0572 5052 mrxsmb20 (fea239b3ec4877e2b7e23204af589ddf) C:\Windows\system32\DRIVERS\mrxsmb20.sys 2011/05/03 21:04:40.0666 5052 msahci (28023e86f17001f7cd9b15a5bc9ae07d) C:\Windows\system32\drivers\msahci.sys 2011/05/03 21:04:40.0790 5052 msdsm (4468b0f385a86ecddaf8d3ca662ec0e7) C:\Windows\system32\drivers\msdsm.sys 2011/05/03 21:04:41.0009 5052 Msfs (a9927f4a46b816c92f461acb90cf8515) C:\Windows\system32\drivers\Msfs.sys 2011/05/03 21:04:41.0071 5052 msisadrv (0f400e306f385c56317357d6dea56f62) C:\Windows\system32\drivers\msisadrv.sys 2011/05/03 21:04:41.0165 5052 MSKSSRV (d8c63d34d9c9e56c059e24ec7185cc07) C:\Windows\system32\drivers\MSKSSRV.sys 2011/05/03 21:04:41.0243 5052 MSPCLOCK (1d373c90d62ddb641d50e55b9e78d65e) C:\Windows\system32\drivers\MSPCLOCK.sys 2011/05/03 21:04:41.0290 5052 MSPQM (b572da05bf4e098d4bba3a4734fb505b) C:\Windows\system32\drivers\MSPQM.sys 2011/05/03 21:04:41.0336 5052 MsRPC (b49456d70555de905c311bcda6ec6adb) C:\Windows\system32\drivers\MsRPC.sys 2011/05/03 21:04:41.0352 5052 mssmbios (e384487cb84be41d09711c30ca79646c) C:\Windows\system32\DRIVERS\mssmbios.sys 2011/05/03 21:04:41.0399 5052 MSTEE (7199c1eec1e4993caf96b8c0a26bd58a) C:\Windows\system32\drivers\MSTEE.sys 2011/05/03 21:04:41.0461 5052 Mup (6a57b5733d4cb702c8ea4542e836b96c) C:\Windows\system32\Drivers\mup.sys 2011/05/03 21:04:41.0555 5052 NativeWifiP (85c44fdff9cf7e72a40dcb7ec06a4416) C:\Windows\system32\DRIVERS\nwifi.sys 2011/05/03 21:04:41.0617 5052 NDIS (1357274d1883f68300aeadd15d7bbb42) C:\Windows\system32\drivers\ndis.sys 2011/05/03 21:04:41.0680 5052 NdisTapi (0e186e90404980569fb449ba7519ae61) C:\Windows\system32\DRIVERS\ndistapi.sys 2011/05/03 21:04:41.0711 5052 Ndisuio (d6973aa34c4d5d76c0430b181c3cd389) C:\Windows\system32\DRIVERS\ndisuio.sys 2011/05/03 21:04:41.0758 5052 NdisWan (818f648618ae34f729fdb47ec68345c3) C:\Windows\system32\DRIVERS\ndiswan.sys 2011/05/03 21:04:41.0773 5052 NDProxy (71dab552b41936358f3b541ae5997fb3) C:\Windows\system32\drivers\NDProxy.sys 2011/05/03 21:04:41.0836 5052 NetBIOS (bcd093a5a6777cf626434568dc7dba78) C:\Windows\system32\DRIVERS\netbios.sys 2011/05/03 21:04:41.0992 5052 netbt (ecd64230a59cbd93c85f1cd1cab9f3f6) C:\Windows\system32\DRIVERS\netbt.sys 2011/05/03 21:04:42.0101 5052 netr73 (847b64e9069946556bcfcdce638566d8) C:\Windows\system32\DRIVERS\netr73.sys 2011/05/03 21:04:42.0350 5052 NETw4v32 (1d73499a6664b4da05d750ff83fdb274) C:\Windows\system32\DRIVERS\NETw4v32.sys 2011/05/03 21:04:42.0616 5052 nfrd960 (2e7fb731d4790a1bc6270accefacb36e) C:\Windows\system32\drivers\nfrd960.sys 2011/05/03 21:04:42.0740 5052 Npfs (d36f239d7cce1931598e8fb90a0dbc26) C:\Windows\system32\drivers\Npfs.sys 2011/05/03 21:04:42.0803 5052 nsiproxy (609773e344a97410ce4ebf74a8914fcf) C:\Windows\system32\drivers\nsiproxy.sys 2011/05/03 21:04:42.0959 5052 Ntfs (6a4a98cee84cf9e99564510dda4baa47) C:\Windows\system32\drivers\Ntfs.sys 2011/05/03 21:04:43.0037 5052 ntrigdigi (e875c093aec0c978a90f30c9e0dfbb72) C:\Windows\system32\drivers\ntrigdigi.sys 2011/05/03 21:04:43.0130 5052 Null (c5dbbcda07d780bda9b685df333bb41e) C:\Windows\system32\drivers\Null.sys 2011/05/03 21:04:43.0739 5052 nvlddmkm (2713392707e515efb671751fa767ebd2) C:\Windows\system32\DRIVERS\nvlddmkm.sys 2011/05/03 21:04:44.0160 5052 nvraid (2edf9e7751554b42cbb60116de727101) C:\Windows\system32\drivers\nvraid.sys 2011/05/03 21:04:44.0191 5052 nvstor (abed0c09758d1d97db0042dbb2688177) C:\Windows\system32\drivers\nvstor.sys 2011/05/03 21:04:44.0285 5052 nv_agp (18bbdf913916b71bd54575bdb6eeac0b) C:\Windows\system32\drivers\nv_agp.sys 2011/05/03 21:04:44.0425 5052 ohci1394 (6f310e890d46e246e0e261a63d9b36b4) C:\Windows\system32\DRIVERS\ohci1394.sys 2011/05/03 21:04:44.0519 5052 Parport (0fa9b5055484649d63c303fe404e5f4d) C:\Windows\system32\drivers\parport.sys 2011/05/03 21:04:44.0612 5052 partmgr (57389fa59a36d96b3eb09d0cb91e9cdc) C:\Windows\system32\drivers\partmgr.sys 2011/05/03 21:04:44.0690 5052 Parvdm (4f9a6a8a31413180d0fcb279ad5d8112) C:\Windows\system32\drivers\parvdm.sys 2011/05/03 21:04:44.0831 5052 pci (941dc1d19e7e8620f40bbc206981efdb) C:\Windows\system32\drivers\pci.sys 2011/05/03 21:04:44.0893 5052 pciide (fc175f5ddab666d7f4d17449a547626f) C:\Windows\system32\drivers\pciide.sys 2011/05/03 21:04:45.0002 5052 pcmcia (e6f3fb1b86aa519e7698ad05e58b04e5) C:\Windows\system32\drivers\pcmcia.sys 2011/05/03 21:04:45.0205 5052 PEAUTH (6349f6ed9c623b44b52ea3c63c831a92) C:\Windows\system32\drivers\peauth.sys 2011/05/03 21:04:45.0377 5052 PptpMiniport (ecfffaec0c1ecd8dbc77f39070ea1db1) C:\Windows\system32\DRIVERS\raspptp.sys 2011/05/03 21:04:45.0408 5052 Processor (2027293619dd0f047c584cf2e7df4ffd) C:\Windows\system32\drivers\processr.sys 2011/05/03 21:04:45.0533 5052 PSched (99514faa8df93d34b5589187db3aa0ba) C:\Windows\system32\DRIVERS\pacer.sys 2011/05/03 21:04:45.0595 5052 PxHelp20 (49452bfcec22f36a7a9b9c2181bc3042) C:\Windows\system32\Drivers\PxHelp20.sys 2011/05/03 21:04:45.0845 5052 ql2300 (0a6db55afb7820c99aa1f3a1d270f4f6) C:\Windows\system32\drivers\ql2300.sys 2011/05/03 21:04:45.0892 5052 ql40xx (81a7e5c076e59995d54bc1ed3a16e60b) C:\Windows\system32\drivers\ql40xx.sys 2011/05/03 21:04:45.0923 5052 QWAVEdrv (9f5e0e1926014d17486901c88eca2db7) C:\Windows\system32\drivers\qwavedrv.sys 2011/05/03 21:04:45.0970 5052 RasAcd (147d7f9c556d259924351feb0de606c3) C:\Windows\system32\DRIVERS\rasacd.sys 2011/05/03 21:04:46.0063 5052 Rasl2tp (a214adbaf4cb47dd2728859ef31f26b0) C:\Windows\system32\DRIVERS\rasl2tp.sys 2011/05/03 21:04:46.0391 5052 RasPppoe (509a98dd18af4375e1fc40bc175f1def) C:\Windows\system32\DRIVERS\raspppoe.sys 2011/05/03 21:04:46.0750 5052 RasSstp (2005f4a1e05fa09389ac85840f0a9e4d) C:\Windows\system32\DRIVERS\rassstp.sys 2011/05/03 21:04:46.0890 5052 rdbss (b14c9d5b9add2f84f70570bbbfaa7935) C:\Windows\system32\DRIVERS\rdbss.sys 2011/05/03 21:04:46.0937 5052 RDPCDD (89e59be9a564262a3fb6c4f4f1cd9899) C:\Windows\system32\DRIVERS\RDPCDD.sys 2011/05/03 21:04:47.0030 5052 rdpdr (fbc0bacd9c3d7f6956853f64a66e252d) C:\Windows\system32\drivers\rdpdr.sys 2011/05/03 21:04:47.0171 5052 RDPENCDD (9d91fe5286f748862ecffa05f8a0710c) C:\Windows\system32\drivers\rdpencdd.sys 2011/05/03 21:04:47.0264 5052 RDPWD (30bfbdfb7f95559ede971f9ddb9a00ba) C:\Windows\system32\drivers\RDPWD.sys 2011/05/03 21:04:47.0405 5052 RFCOMM (6482707f9f4da0ecbab43b2e0398a101) C:\Windows\system32\DRIVERS\rfcomm.sys 2011/05/03 21:04:47.0514 5052 rspndr (9c508f4074a39e8b4b31d27198146fad) C:\Windows\system32\DRIVERS\rspndr.sys 2011/05/03 21:04:47.0576 5052 RTL8169 (b8b159fa669c6386a458fcd468ebb1e6) C:\Windows\system32\DRIVERS\Rtlh86.sys 2011/05/03 21:04:47.0608 5052 sbp2port (3ce8f073a557e172b330109436984e30) C:\Windows\system32\drivers\sbp2port.sys 2011/05/03 21:04:47.0701 5052 secdrv (90a3935d05b494a5a39d37e71f09a677) C:\Windows\system32\drivers\secdrv.sys 2011/05/03 21:04:47.0810 5052 Serenum (68e44e331d46f0fb38f0863a84cd1a31) C:\Windows\system32\drivers\serenum.sys 2011/05/03 21:04:47.0842 5052 Serial (c70d69a918b178d3c3b06339b40c2e1b) C:\Windows\system32\drivers\serial.sys 2011/05/03 21:04:47.0888 5052 sermouse (8af3d28a879bf75db53a0ee7a4289624) C:\Windows\system32\drivers\sermouse.sys 2011/05/03 21:04:47.0966 5052 sffdisk (3efa810bdca87f6ecc24f9832243fe86) C:\Windows\system32\drivers\sffdisk.sys 2011/05/03 21:04:47.0998 5052 sffp_mmc (e95d451f7ea3e583aec75f3b3ee42dc5) C:\Windows\system32\drivers\sffp_mmc.sys 2011/05/03 21:04:48.0044 5052 sffp_sd (3d0ea348784b7ac9ea9bd9f317980979) C:\Windows\system32\drivers\sffp_sd.sys 2011/05/03 21:04:48.0076 5052 sfloppy (46ed8e91793b2e6f848015445a0ac188) C:\Windows\system32\drivers\sfloppy.sys 2011/05/03 21:04:48.0200 5052 Si3531 (8613e8fe6c190f377240a3989fad5d5e) C:\Windows\system32\DRIVERS\Si3531.sys 2011/05/03 21:04:48.0247 5052 SiFilter (72cf151fb410e544904dbc7d7f29b796) C:\Windows\system32\DRIVERS\SiWinAcc.sys 2011/05/03 21:04:48.0325 5052 SiRemFil (41a59f484188be629087ba391ff60d74) C:\Windows\system32\DRIVERS\SiRemFil.sys 2011/05/03 21:04:48.0403 5052 sisagp (1d76624a09a054f682d746b924e2dbc3) C:\Windows\system32\drivers\sisagp.sys 2011/05/03 21:04:48.0450 5052 SiSRaid2 (43cb7aa756c7db280d01da9b676cfde2) C:\Windows\system32\drivers\sisraid2.sys 2011/05/03 21:04:48.0528 5052 SiSRaid4 (a99c6c8b0baa970d8aa59ddc50b57f94) C:\Windows\system32\drivers\sisraid4.sys 2011/05/03 21:04:48.0590 5052 Smb (7b75299a4d201d6a6533603d6914ab04) C:\Windows\system32\DRIVERS\smb.sys 2011/05/03 21:04:48.0824 5052 smserial (d9bfd2298f5cf116d8eaae3b02dcee2e) C:\Windows\system32\DRIVERS\smserial.sys 2011/05/03 21:04:49.0121 5052 spldr (7aebdeef071fe28b0eef2cdd69102bff) C:\Windows\system32\drivers\spldr.sys 2011/05/03 21:04:49.0292 5052 srv (41987f9fc0e61adf54f581e15029ad91) C:\Windows\system32\DRIVERS\srv.sys 2011/05/03 21:04:49.0370 5052 srv2 (a5940ca32ed206f90be9fabdf6e92de4) C:\Windows\system32\DRIVERS\srv2.sys 2011/05/03 21:04:49.0480 5052 srvnet (37aa1d560d5fa486c4b11c2f276ada61) C:\Windows\system32\DRIVERS\srvnet.sys 2011/05/03 21:04:49.0526 5052 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\Windows\system32\DRIVERS\ssmdrv.sys 2011/05/03 21:04:49.0682 5052 StillCam (ef70b3d22b4bffda6ea851ecb063efaa) C:\Windows\system32\DRIVERS\serscan.sys 2011/05/03 21:04:49.0760 5052 swenum (7ba58ecf0c0a9a69d44b3dca62becf56) C:\Windows\system32\DRIVERS\swenum.sys 2011/05/03 21:04:49.0823 5052 Symc8xx (192aa3ac01df071b541094f251deed10) C:\Windows\system32\drivers\symc8xx.sys 2011/05/03 21:04:49.0870 5052 Sym_hi (8c8eb8c76736ebaf3b13b633b2e64125) C:\Windows\system32\drivers\sym_hi.sys 2011/05/03 21:04:49.0901 5052 Sym_u3 (8072af52b5fd103bbba387a1e49f62cb) C:\Windows\system32\drivers\sym_u3.sys 2011/05/03 21:04:49.0994 5052 Tcpip (a474879afa4a596b3a531f3e69730dbf) C:\Windows\system32\drivers\tcpip.sys 2011/05/03 21:04:50.0088 5052 Tcpip6 (a474879afa4a596b3a531f3e69730dbf) C:\Windows\system32\DRIVERS\tcpip.sys 2011/05/03 21:04:50.0182 5052 tcpipreg (608c345a255d82a6289c2d468eb41fd7) C:\Windows\system32\drivers\tcpipreg.sys 2011/05/03 21:04:50.0228 5052 TDPIPE (5dcf5e267be67a1ae926f2df77fbcc56) C:\Windows\system32\drivers\tdpipe.sys 2011/05/03 21:04:50.0260 5052 TDTCP (389c63e32b3cefed425b61ed92d3f021) C:\Windows\system32\drivers\tdtcp.sys 2011/05/03 21:04:50.0322 5052 tdx (76b06eb8a01fc8624d699e7045303e54) C:\Windows\system32\DRIVERS\tdx.sys 2011/05/03 21:04:50.0384 5052 TermDD (3cad38910468eab9a6479e2f01db43c7) C:\Windows\system32\DRIVERS\termdd.sys 2011/05/03 21:04:50.0509 5052 tssecsrv (dcf0f056a2e4f52287264f5ab29cf206) C:\Windows\system32\DRIVERS\tssecsrv.sys 2011/05/03 21:04:50.0556 5052 tunmp (caecc0120ac49e3d2f758b9169872d38) C:\Windows\system32\DRIVERS\tunmp.sys 2011/05/03 21:04:50.0634 5052 tunnel (300db877ac094feab0be7688c3454a9c) C:\Windows\system32\DRIVERS\tunnel.sys 2011/05/03 21:04:50.0665 5052 uagp35 (7d33c4db2ce363c8518d2dfcf533941f) C:\Windows\system32\drivers\uagp35.sys 2011/05/03 21:04:50.0743 5052 udfs (d9728af68c4c7693cb100b8441cbdec6) C:\Windows\system32\DRIVERS\udfs.sys 2011/05/03 21:04:50.0806 5052 uliagpkx (b0acfdc9e4af279e9116c03e014b2b27) C:\Windows\system32\drivers\uliagpkx.sys 2011/05/03 21:04:50.0868 5052 uliahci (9224bb254f591de4ca8d572a5f0d635c) C:\Windows\system32\drivers\uliahci.sys 2011/05/03 21:04:50.0930 5052 UlSata (8514d0e5cd0534467c5fc61be94a569f) C:\Windows\system32\drivers\ulsata.sys 2011/05/03 21:04:50.0962 5052 ulsata2 (38c3c6e62b157a6bc46594fada45c62b) C:\Windows\system32\drivers\ulsata2.sys 2011/05/03 21:04:51.0024 5052 umbus (32cff9f809ae9aed85464492bf3e32d2) C:\Windows\system32\DRIVERS\umbus.sys 2011/05/03 21:04:51.0118 5052 usbaudio (32db9517628ff0d070682aab61e688f0) C:\Windows\system32\drivers\usbaudio.sys 2011/05/03 21:04:51.0180 5052 usbccgp (caf811ae4c147ffcd5b51750c7f09142) C:\Windows\system32\DRIVERS\usbccgp.sys 2011/05/03 21:04:51.0274 5052 usbcir (e9476e6c486e76bc4898074768fb7131) C:\Windows\system32\drivers\usbcir.sys 2011/05/03 21:04:51.0352 5052 usbehci (79e96c23a97ce7b8f14d310da2db0c9b) C:\Windows\system32\DRIVERS\usbehci.sys 2011/05/03 21:04:51.0430 5052 usbhub (4673bbcb006af60e7abddbe7a130ba42) C:\Windows\system32\DRIVERS\usbhub.sys 2011/05/03 21:04:51.0476 5052 usbohci (38dbc7dd6cc5a72011f187425384388b) C:\Windows\system32\drivers\usbohci.sys 2011/05/03 21:04:51.0508 5052 usbprint (b51e52acf758be00ef3a58ea452fe360) C:\Windows\system32\drivers\usbprint.sys 2011/05/03 21:04:51.0570 5052 USBSTOR (be3da31c191bc222d9ad503c5224f2ad) C:\Windows\system32\DRIVERS\USBSTOR.SYS 2011/05/03 21:04:51.0617 5052 usbuhci (814d653efc4d48be3b04a307eceff56f) C:\Windows\system32\DRIVERS\usbuhci.sys 2011/05/03 21:04:51.0664 5052 vga (87b06e1f30b749a114f74622d013f8d4) C:\Windows\system32\DRIVERS\vgapnp.sys 2011/05/03 21:04:51.0695 5052 VgaSave (2e93ac0a1d8c79d019db6c51f036636c) C:\Windows\System32\drivers\vga.sys 2011/05/03 21:04:51.0757 5052 viaagp (5d7159def58a800d5781ba3a879627bc) C:\Windows\system32\drivers\viaagp.sys 2011/05/03 21:04:51.0820 5052 ViaC7 (c4f3a691b5bad343e6249bd8c2d45dee) C:\Windows\system32\drivers\viac7.sys 2011/05/03 21:04:51.0835 5052 viaide (aadf5587a4063f52c2c3fed7887426fc) C:\Windows\system32\drivers\viaide.sys 2011/05/03 21:04:51.0913 5052 volmgr (69503668ac66c77c6cd7af86fbdf8c43) C:\Windows\system32\drivers\volmgr.sys 2011/05/03 21:04:51.0960 5052 volmgrx (23e41b834759917bfd6b9a0d625d0c28) C:\Windows\system32\drivers\volmgrx.sys 2011/05/03 21:04:52.0054 5052 volsnap (147281c01fcb1df9252de2a10d5e7093) C:\Windows\system32\drivers\volsnap.sys 2011/05/03 21:04:52.0116 5052 vsmraid (587253e09325e6bf226b299774b728a9) C:\Windows\system32\drivers\vsmraid.sys 2011/05/03 21:04:52.0163 5052 WacomPen (48dfee8f1af7c8235d4e626f0c4fe031) C:\Windows\system32\drivers\wacompen.sys 2011/05/03 21:04:52.0210 5052 Wanarp (55201897378cca7af8b5efd874374a26) C:\Windows\system32\DRIVERS\wanarp.sys 2011/05/03 21:04:52.0225 5052 Wanarpv6 (55201897378cca7af8b5efd874374a26) C:\Windows\system32\DRIVERS\wanarp.sys 2011/05/03 21:04:52.0272 5052 Wd (78fe9542363f297b18c027b2d7e7c07f) C:\Windows\system32\drivers\wd.sys 2011/05/03 21:04:52.0319 5052 Wdf01000 (b6f0a7ad6d4bd325fbcd8bac96cd8d96) C:\Windows\system32\drivers\Wdf01000.sys 2011/05/03 21:04:52.0506 5052 WmiAcpi (2e7255d172df0b8283cdfb7b433b864e) C:\Windows\system32\DRIVERS\wmiacpi.sys 2011/05/03 21:04:52.0584 5052 WpdUsb (de9d36f91a4df3d911626643debf11ea) C:\Windows\system32\DRIVERS\wpdusb.sys 2011/05/03 21:04:52.0631 5052 ws2ifsl (e3a3cb253c0ec2494d4a61f5e43a389c) C:\Windows\system32\drivers\ws2ifsl.sys 2011/05/03 21:04:52.0709 5052 WUDFRd (ac13cb789d93412106b0fb6c7eb2bcb6) C:\Windows\system32\DRIVERS\WUDFRd.sys 2011/05/03 21:04:52.0880 5052 ================================================================================ 2011/05/03 21:04:52.0880 5052 Scan finished 2011/05/03 21:04:52.0880 5052 ================================================================================ Ist es das richtige ? |
ja, das ist das richtige Logfile. Schonmal kein TDSS-Befall zu ersehen. Bitte Logfiles in Zukunft immer in Code-Tags posten. So wie Du es oben gemacht hast :-) ===== Punkt 1 ===== Zitat:
http://de.fujitsu.com/support/downloads.html => hier kannst Du Dich bis zu den Treibern für Deinen Fujitsu Amilo xi 2528 durchhangeln. http://de.fujitsu.com/support/manuals.html => hier findest Du auch das Handbuch. Alternativ ginge evtl. auch das hier: Recovery-Disc für Vista erstellen Wenn Dein Rechner mit vorinstalliertem Vista, aber ohne DVD ausgeliefert wurde, empfehle ich dringend, eine Recovery-Disc zu erstellen. Es gibt Notfälle, bei welchen der Einsatz der Vista-DVD erforderlich ist. In den allermeisten Fällen werden die Rechner mit einer Funktion ausgeliefert, die es ermöglicht, eine Recovery-Disc zu erstellen. Bitte prüfe in dem dem Rechner beiliegenden Handbuch, wie das bei Deinem Rechner funktioniert. Sollte diese Möglichkeit nicht bestehen, kannst Du auch wie folgt vorgehen. Berücksichtige, dass in dem Fall die evtl. nötigen speziellen Treiber für Deinen Rechner nicht dabei sind, aber für eine Reparatur-Installation sollte es reichen. Downloade das entsprechende Image (.iso) bei VistaBlog Freenet herunter und brenne Dir die Recovery-Disc. Zur Hand haben solltest Du eine beschreibbare DVD und ein Brennprogramm. Falls Du kein Brennprogramm auf dem Rechner hast, kannst Du eines der folgenden herunterladen und installieren: Brennprogramm 32Bit-Version oder 64Bit-Version. ===== Punkt 2 ===== Dann können wir jetzt nur noch eines probieren und schauen, ob wir damit ein Rootkit ausmachen können: Rootkit mit AVZ Antiviral-Toolkit entfernen Was sind Rootkits? Wichtig: Bei jedem Rootkit-Scans soll/en:
Bitte lade AVZ4 herunter und entpacke es auf den Desktop. Dort sollte sich nun der Ordner avz4 befinden.
|
Hallo Petra Dankeschön das du geschaut hast wegen der recovery-disc allerdings habe ich immer noch etwas hoffnung das es vielleicht gar nicht nötig ist. AVZ hat diesmal problemlos funktioniert :Boogie: Hier der logfile
LG Claudi |
Hallo Claudi, hat gut geklappt, aber Du hattest die Signaturen nicht aktualisiert. Zitat:
Im Menü => File => Database Update => Start-Button drücken => OK |
ohh ok sorry =) werde es gleich nochmal machen |
Hallo Petra Ich habe es jetzt nochmal gemacht aber es kommt wieder das hier raus
Obwohl ich database update gedrückt habe. Wenn ich auf AVZPM gehe kann ich allerdings auch nicht mehr auf install extended monitoring driver gehen !!? |
Hallo Petra Mir hat jemand geraten ich soll AVG Downloaden. Kennst du das ? oder besser gesagt soll ich es machen oder lieber nicht ? Danke schonmal im voraus =) LG claudi |
Hallo Claudi, nein, momentan bitte nicht. Ich habe mir AVZ selbst mal heruntergeladen. Die Signaturen vom 19.04.2011 sind die aktuellsten, insofern sorry für die Umstände. Allerdings ist der neue Bericht umfangreicher und offenbahrt uns doch einige Merkwürdigkeiten auf Deinem System, wenn ich mir die Pfade unter Punkt 3 anschaue :-) Mache bitte zunächst einmal folgendes: ===== Punkt 1 ===== Datei-Überprüfung Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Send file" nach VirusTotal hochladen und prüfen lassen. Sollte die Datei bereits einmal geprüft sein, bitte auf Reanalyze klicken. Solltest Du die Datei/en auf Deinem Computer nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind. Beim Firefox mit installiertem NoScript bitte VirusTotal erlauben. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Reanalyse" erneut prüfen. Wenn das Ergebnis vorliegt, markiere alles von File name: bis einschließlich SHA256: und kopiere das Ergebnis hier in den Thread. Auch wenn sich herausstellt, dass die Datei/en infiziert ist/sind, bitte nicht ohne Absprache löschen! Code: C:\Users\claudi\AppData\Local\Anwendungsdaten\Anwendungsdaten\Temp\~DF461A.tmp===== Punkt 2 ===== MBR mit aswMBR von Avast prüfen Lade aswMBR.exe von Avast herunter und speichere das Tool auf deinem Desktop (nicht woanders hin). XP Benutzer: Doppelklick auf die aswMBR.exe, um das Tool zu starten. Vista und Windows 7 Benutzer: Rechtsklick auf die aswMBR.exe und Als Administrator starten wählen. Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen. Klicke Scan, um den Suchlauf zu starten. Wenn der Scan beendet ist, was mit Scan finished sucessfull! gemeldet wird, klicke Save log, um das Logfile zu speichern. Poste mir den Inhalt von aswASW.log vom Desktop hier in den Thread. ===== Punkt 3 ===== Bereinigung mit Malwarebytes' Anti-Malware (Vollständiger Suchlauf) im abgesicherten Modus Lade Malwarebytes Anti-Malware (ca. 2 MB) von einem dieser Downloadspiegel herunter: Malwarebytes - MajorGeeks.com - BestTechie
|
Hallo Petra Also ich habe versucht die Datei überprüfung zu machen da kam dann folgende anzeige. Die folgende Datei kann nicht geöffnet werden Das Programm mit dem sie diese datei öffnen möchten muss bekant sein damit sie geöffnet werden kann. Diese suche kann automatisch oder online erfolgen.oder sie können manuell ein programm aus der liste der auf dem computer installierten programme auswählen. -webdienste für die suche nach dem richtigen programm verwenden -programm aus einer liste installierter programme auswählen. punkt 2 logfile
punkt 3 logfile
LG claudi |
Hallo Claudi, bitte Logfiles in Code-Tags posten und nicht in Table-Tags :-) ===== Punkt 1 ===== Fixen mit OTL Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
Code: :OTL
===== Punkt 2 ===== Java-Cache leeren Start => Systemsteuerung => Java => Allgemein => Temporäre Internet-Dateien "Einstellungen" => Dateien löschen => Haken bei "Anwendungen und Applets" sowie bei "Verfolgungs- und Protokolldateien" setzen => OK ===== Punkt 3 ===== Malware mit Combofix beseitigen Lade Combofix von einem der folgenden Download-Spiegel herunter: BleepingComputer.com - ForoSpyware.com und speichere das Programm auf den Desktop, benenne die Datei unbedingt vor dem Speichern um in claudipetra.exe nicht woanders hinspeichern, das ist wichtig! Beachte die ausführliche Original-Anleitung. Vorbereitung und wichtige Hinweise
Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment). Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint. Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread. Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop. Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen. Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen! |
===== Punkt 4 ===== Scan mit SystemLook Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop (falls noch nicht vorhanden). Download Mirror #1 - Download Mirror #2 User mit 64Bit-Windows-Versionen benutzen diese Version => http://jpshortstuff.247fixes.com/SystemLook_x64.exe
|
Hi Petra Otl Logfile PHP-Code: -Java-Cache habe ich gelöscht. -Combofix hat mal wieder nicht geklappt kam wieder der bluescreen. Systemlook Logfile PHP-Code: |
Dieses Mal hast Du PHP-Tags benutzt, bitte unbedingt in Code-Tags posten! ok, dann müssen wir jetzt erstmal versuchen, den MBR in Ordnung zu bringen. MBR mit aswMBR von Avast wiederherstellen Lade aswMBR.exe von Avast herunter und speichere das Tool auf deinem Desktop (nicht woanders hin). Vista und Windows 7 Benutzer: Rechtsklick auf die aswMBR.exe und Als Administrator starten wählen. Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen. Klicke Scan, um den Suchlauf zu starten. Wenn der Scan beendet ist, was mit Scan finished sucessfull! angezeigt, klicke auf Fix, um den MBR wiederherzustellen. Starte anschließend den Rechner neu und versuche erneut, Combofix laufen zu lassen. |
hi Petra. Ok Hier steht fixMBR. auf das kästchen mit fix kann ich nicht drauf das ist milchig =) |
Hallo Petra Ich habe es jetzt noch ein paar mal versucht, aber immer wieder das selbe mit dem bluescreen. Woran liegt das überhaupt? |
dann klicke bitte auf fixMBR. |
Ja das habe ich gemacht. Kommt trotzdem der Bluescreen |
Wir haben ja den automatischen Neustart abgestellt. Wenn also ein Bluescreen kommt, schreibe bitte genau auf, was da gemeldet wird. Ok, dann anders: Rogue-Programme mit RKill und MBAM entfernen 1. - Lade Dir Malwarebytes' Anti-Malware von malwarebytes.org oder von MajorGeeks.com herunter und installiere es. - Deutsch einstellen und gleich die Datenbanken online aktualisieren. - Noch nicht ausführen! - Erst nachdem Du Schritt 2. erledigt hast! 2. Wir werden zunächst ein kleines Tool einsetzen, das auf bekannte Rogue-Malware-Prozesse spezialisiert ist. - RKill sucht nach schädlichen laufenden Prozessen und und beendet diese. - Download von hier: http://download.bleepingcomputer.com/grinler/rkill.com - Speichere es auf Deinem Desktop und starte das Tool mit Doppelklick. - Browser und Programme schließen. - Nun darf nichts mehr am Rechner getan werden. - Nachdem die Suche abgeschlossen ist: Wichtig!: Das System auf keinen Fall neustarten, also nicht ausschalten! - Es wird Log-Datei unter C:\rkill.log erstellt. - Bitte das ausführliche Scanprotokoll hier posten. 3.
|
RKILL Code: This log file is located at C:\rkill.log. Code: Malwarebytes' Anti-Malware 1.50.1.1100 |
Versuche bitte erneut: MBR mit aswMBR von Avast wiederherstellen Lade aswMBR.exe von Avast herunter und speichere das Tool auf deinem Desktop (nicht woanders hin). Vista und Windows 7 Benutzer: Rechtsklick auf die aswMBR.exe und Als Administrator starten wählen. Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen. Klicke Scan, um den Suchlauf zu starten. Wenn der Scan beendet ist, was mit Scan finished sucessfull! angezeigt wird, klicke auf FixMBR, um den MBR wiederherzustellen. Sollte ein Bluescreen folgen, schreibe bitte den exakten Wortlaut der Fehlermeldung auf. Das ist wichtig! |
Also das kam dabei raus . aswMBR version 0.9.5.256 Copyright(c) 2011 AVAST Software Run date: 2011-05-12 22:53:01 ----------------------------- 22:53:01.544 OS Version: Windows 6.0.6002 Service Pack 2 22:53:01.544 Number of processors: 2 586 0x1706 22:53:01.544 ComputerName: CLAUDI-PC UserName: claudi 22:53:01.997 Initialize success 22:53:03.978 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Scsi\JRAID1Port3Path0Target0Lun0 22:53:03.978 Disk 0 Vendor: WDC_WD25 Size: 238475MB BusType: 1 22:53:03.993 Disk 1 \Device\Harddisk1\DR1 -> \Device\Scsi\JRAID1Port3Path0Target1Lun0 22:53:03.993 Disk 1 Vendor: WDC_WD25 Size: 238475MB BusType: 1 22:53:04.040 Disk 0 MBR read successfully 22:53:04.040 Disk 0 MBR scan 22:53:04.040 Disk 0 Windows VISTA default MBR code 22:53:04.040 Disk 0 scanning sectors +488395120 22:53:04.087 Disk 0 scanning C:\Windows\system32\drivers 22:53:08.939 Service scanning 22:53:10.093 Disk 0 trace - called modules: 22:53:10.140 ntkrnlpa.exe CLASSPNP.SYS disk.sys SCSIPORT.SYS hal.dll jraid.sys 22:53:10.140 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86808ac8] 22:53:10.140 3 CLASSPNP.SYS[8a7ab8b3] -> nt!IofCallDriver -> \Device\Scsi\JRAID1Port3Path0Target0Lun0[0x8590f030] 22:53:10.155 Scan finished successfully 22:53:19.329 Disk 0 Windows 600 MBR fixed successfully 22:54:39.015 Disk 0 MBR has been saved successfully to "C:\Users\claudi\Desktop\MBR.dat" 22:54:39.015 The log file has been saved successfully to "C:\Users\claudi\Desktop\aswMBR.txt" |
ah, es hat geklappt - jetzt haben wir den richtigen MBR => Windows VISTA default MBR code :-) Also, ein neuer Versuch mit Combofix. Malware mit Combofix beseitigen Lade Combofix von einem der folgenden Download-Spiegel herunter: BleepingComputer.com - ForoSpyware.com und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig! Beachte die ausführliche Original-Anleitung. Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:
Vorbereitung und wichtige Hinweise
Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen! |
Hallo Petra Es kam leider wieder der Bluescreen. Hier der komplette text der angezeigt wurde. A Problem has been detected and windows has been shut down to prevent damage to your computer. If this is the first time you´ve seen this stop error screen,restart your computer,if this screen appears again, follow this steps: Check to make sure any new hardware or software is proberly installed. If this is a new installation, ask your hardware or software manufacturer for any windows updates you might need. If Problems continue, disable or remove any newly installed hardware or software. Disable BIOS memory options such as caching or shadowing. If you need to use sage mode to remove or disable components restart you computer. Press F8 to select Advanced startup options, and then select safe mode. Technical information: *** Stop: 0x000000 9F(0x00000003,0x85916030,0x86E85968,0x85257730) Collecting data for crash dump... initializing disk for crash dump.. physical memory dump complete.. contact your system admin or technical support group for further assistance |
ok, dann brauche ich jetzt mal den Minidump zum Analysieren: ===== Punkt 1 ===== Suche nach dem Ordner Minidump (wird vermutlich in C:\Windows oder C:\Windows\system32 sein) und schaue, ob sich darin eine Datei mini<Datum>.dmp befindet. Falls ja, mache aus der Datei ein Zip-Archiv und füge dieses Archiv hier als Anhang in Deine nächste Antwort ein, indem Du unterhalb des Textfeldes hier im Thread auf Erweitert klickst und auf Anhänge verwalten gehst. Ich kann diesen Dump dann analysieren. |
Und dann brauche ich nochmal ein frisches OTL-Log - könnte mit einem noch verbliebenen Rest von Symantec zu tun haben, wie ich hier gelesen habe - da steht zwar was davon, dass das Problem unter Windows 2000 auftrat, aber man weiß ja nie, ich schaue lieber nochmal nach. ===== Punkt 2 ===== Systemscan mit OTL Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.
===== Punkt 3 ===== Start => Systemsteuerung => System und Wartung => Energieoptionen Was ist da bei Dir eingestellt? Ausbalanciert - Energiesparmodus oder Höchstleistung? Start => Systemsteuerung => System und Wartung => Energieoptionen => Auswählen, was beim Drücken des Netzschalters geschehen soll Was ist da bei Dir eingestellt? |
Punkt 1 . Weiss nicht ob ich es richtig gemacht habe .. Ich hoffe doch =) |
Punkt 2 Code: OTL Extras logfile created on: 13.05.2011 17:38:02 - Run 3Code: OTL logfile created on: 13.05.2011 17:38:02 - Run 3 |
Punkt 3 Da ist markiert. Fujitsu Siemens computers ECOSettings Und bei dem anderen. Kennwort ist erforderlich (empfohlen) |
Zitat:
|
Hmm oke.. Und wie funktioniert das :confused: |
Irgendwie funktioniert da gar nichts.. Ich kann diese minidump dateien weder öffnen noch als zip datei packen.. Jedes mal kommt etwas auf englisch sowas wie ich hätte dazu nicht die berrechtigung..So verstehe ich es zumindestens. |
Hallo claudi, die folgenden Punkte unbedingt in der vorgegebenen Reihenfolge abarbeiten. Berichte mir zu jedem Punkt, dass Du ihn erledigt hast. Stoppe und frage, wenn etwas nicht funktioniert. ===== Punkt 1 ===== Zitat:
Benutzerkontensteuerung deaktivieren: Start => msconfig (unten reinschreiben) => ENTER Es öffnet sich das Fenster Systemkonfiguration. Reiter "Tools" => suchen nach: Benutzerkontensteuerung deaktivieren => starten => ok Rechner neu starten. Nun sollte es Dir möglich sein, die Minidumps zu zippen. ===== Punkt 2 ===== Sind Limewire und Bearshare noch installiert? Falls ja, bitte über Systemsteuerung => Programme deinstallieren, denn es gehört in die Kategorie P2P-Filesharing. Durch Filesharing werden oft Schädlinge aufs System geholt. Außerdem deinstallieren: "DVDVideoSoft Toolbar" = DVDVideoSoft Toolbar Im Firefox unter den Addons entfernen Bearshare Ask.com-Toolbar Conduit-Toolbar ===== Punkt 3 ===== Datei-Überprüfung Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Send file" nach VirusTotal hochladen und prüfen lassen. Sollte die Datei bereits einmal geprüft sein, bitte auf Reanalyze klicken. Solltest Du die Datei/en auf Deinem Computer nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind. Beim Firefox mit installiertem NoScript bitte VirusTotal erlauben. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Reanalyse" erneut prüfen. Wenn das Ergebnis vorliegt, markiere alles von File name: bis einschließlich SHA256: und kopiere das Ergebnis hier in den Thread. Auch wenn sich herausstellt, dass die Datei/en infiziert ist/sind, bitte nicht ohne Absprache löschen! Code: C:\Windows\System32\iprip.dll===== Punkt 4 ===== Fixen mit OTL Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
Code: :OTL
===== Punkt 5 ===== Du hast offensichtlich Combofix nicht in claudipetra.exe umbenannt, sondern in claudipertra.exe.exe Schauen wir erstmal nach, was sich jetzt in diesen Ordnern befindet. Scan mit SystemLook Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop (falls noch nicht vorhanden). Download Mirror #1 - Download Mirror #2 User mit 64Bit-Windows-Versionen benutzen diese Version => http://jpshortstuff.247fixes.com/SystemLook_x64.exe
|
Punkt 1 habe ich erledigt. Punkt 2. Ist nichts mehr zu sehen von den sachen die ich deinstallieren sollte unter Addons. Punkt 3. Kam das raus. File name: iprip.dll Submission date: 2011-05-13 17:24:48 (UTC) Current status: finished Result: 0/ 43 (0.0%) VT Community not reviewed Safety score: - Compact Print results Antivirus Version Last Update Result AhnLab-V3 2011.05.13.00 2011.05.12 - AntiVir 7.11.8.21 2011.05.13 - Antiy-AVL 2.0.3.7 2011.05.13 - Avast 4.8.1351.0 2011.05.13 - Avast5 5.0.677.0 2011.05.13 - AVG 10.0.0.1190 2011.05.13 - BitDefender 7.2 2011.05.13 - CAT-QuickHeal 11.00 2011.05.13 - ClamAV 0.97.0.0 2011.05.13 - Commtouch 5.3.2.6 2011.05.13 - Comodo 8688 2011.05.13 - DrWeb 5.0.2.03300 2011.05.13 - Emsisoft 5.1.0.5 2011.05.13 - eSafe 7.0.17.0 2011.05.12 - eTrust-Vet 36.1.8325 2011.05.13 - F-Prot 4.6.2.117 2011.05.13 - F-Secure 9.0.16440.0 2011.05.13 - Fortinet 4.2.257.0 2011.05.13 - GData 22 2011.05.13 - Ikarus T3.1.1.103.0 2011.05.13 - Jiangmin 13.0.900 2011.05.13 - K7AntiVirus 9.103.4644 2011.05.13 - Kaspersky 9.0.0.837 2011.05.11 - McAfee 5.400.0.1158 2011.05.13 - McAfee-GW-Edition 2010.1D 2011.05.13 - Microsoft 1.6802 2011.05.13 - NOD32 6120 2011.05.13 - Norman 6.07.07 2011.05.13 - nProtect 2011-05-13.01 2011.05.13 - Panda 10.0.3.5 2011.05.13 - PCTools 7.0.3.5 2011.05.13 - Prevx 3.0 2011.05.13 - Rising 23.57.03.05 2011.05.12 - Sophos 4.65.0 2011.05.13 - SUPERAntiSpyware 4.40.0.1006 2011.05.13 - Symantec 20101.3.2.89 2011.05.13 - TheHacker 6.7.0.1.196 2011.05.13 - TrendMicro 9.200.0.1012 2011.05.13 - TrendMicro-HouseCall 9.200.0.1012 2011.05.13 - VBA32 3.12.16.0 2011.05.12 - VIPRE 9270 2011.05.13 - ViRobot 2011.5.13.4457 2011.05.13 - VirusBuster 13.6.353.0 2011.05.13 - Additional information MD5 : 03d54e7bcf9b77ceaf34dc0057420352 SHA1 : dfde153c5b216dddc2cb3d16de1c6cd906145419 SHA256: f297a1ae93613daabca9ccf330099059992f031ed1dfdb399ec12f86e9f8bd3b Berichte sofort sobald ich den rest habe =) |
Punkt 4 All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\ deleted successfully. C:\Programme\DVDVideoSoft\tbDVDV.dll moved successfully. HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully! Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\ not found. File C:\Programme\DVDVideoSoft\tbDVDV.dll not found. Prefs.js: "Ask.com" removed from browser.search.defaultengine Prefs.js: "Ask.com" removed from browser.search.defaultenginename Prefs.js: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl Prefs.js: "Ask.com" removed from browser.search.order.1 Prefs.js: "Ask.com" removed from browser.search.selectedEngine C:\Users\claudi\AppData\Roaming\Mozilla\Firefox\Profiles\r120y33r.default\searchplugins\ask.xml moved successfully. C:\Users\claudi\AppData\Roaming\Mozilla\Firefox\Profiles\r120y33r.default\searchplugins\askcom.xml moved successfully. C:\Users\claudi\AppData\Roaming\Mozilla\Firefox\Profiles\r120y33r.default\searchplugins\conduit.xml moved successfully. C:\Programme\Mozilla Firefox\extensions\{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A}\META-INF folder moved successfully. C:\Programme\Mozilla Firefox\extensions\{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A}\chrome folder moved successfully. C:\Programme\Mozilla Firefox\extensions\{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} folder moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\ not found. File C:\Programme\DVDVideoSoft\tbDVDV.dll not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}\ not found. File C:\Programme\DVDVideoSoft\tbDVDV.dll not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}\ not found. File C:\Programme\DVDVideoSoft\tbDVDV.dll not found. Starting removal of ActiveX control {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found. ========== REGISTRY ========== Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{44F9BED5-CE6E-49AB-AD19-3594A640CA11} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{44F9BED5-CE6E-49AB-AD19-3594A640CA11}\ not found. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{492B1CA9-F43C-400D-9998-380586E5D998} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{492B1CA9-F43C-400D-9998-380586E5D998}\ not found. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{879576D7-DAD7-48E4-B8E7-958C671E8BAF} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{879576D7-DAD7-48E4-B8E7-958C671E8BAF}\ not found. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{96FDF84E-69D6-4CEA-B2D1-657C6F904C84} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{96FDF84E-69D6-4CEA-B2D1-657C6F904C84}\ not found. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\TCP Query User{225C5713-6EF2-4974-897C-7E9D91F0E99A}C:\program files\bearshare applications\bearshare\bearshare.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\TCP Query User{E41548DC-B941-4D5E-BD4B-B9B328F2DBEA}C:\program files\bearshare applications\bearshare\bearshare.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\UDP Query User{8BA92DD3-0CAF-48AD-B704-8091A1938664}C:\program files\bearshare applications\bearshare\bearshare.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\UDP Query User{A2A1B29C-ED41-4F60-B6EC-A59007B6A386}C:\program files\bearshare applications\bearshare\bearshare.exe deleted successfully. ========== FILES ========== File\Folder C:\program files\bearshare applications not found. c:\program files\LimeWire\root(18)\magnet10 folder moved successfully. c:\program files\LimeWire\root(18) folder moved successfully. c:\program files\LimeWire\lib(13) folder moved successfully. c:\program files\LimeWire folder moved successfully. C:\Users\claudi\AppData\Roaming\LimeWire\xml\data folder moved successfully. C:\Users\claudi\AppData\Roaming\LimeWire\xml folder moved successfully. C:\Users\claudi\AppData\Roaming\LimeWire\themes\windows_theme folder moved successfully. C:\Users\claudi\AppData\Roaming\LimeWire\themes folder moved successfully. C:\Users\claudi\AppData\Roaming\LimeWire\promotion folder moved successfully. C:\Users\claudi\AppData\Roaming\LimeWire\certificate folder moved successfully. C:\Users\claudi\AppData\Roaming\LimeWire\.AppSpecialShare folder moved successfully. C:\Users\claudi\AppData\Roaming\LimeWire folder moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: claudi ->Temp folder emptied: 4735293 bytes ->Temporary Internet Files folder emptied: 48783037 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 559530748 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 6592 bytes User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 10547 bytes RecycleBin emptied: 1111580 bytes Total Files Cleaned = 586,00 mb OTL by OldTimer - Version 3.2.22.3 log created on 05132011_194044 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
Punkt 5 SystemLook 04.09.10 by jpshortstuff Log created at 19:50 on 13/05/2011 by claudi Administrator - Elevation successful ========== dir ========== C:\Qoobox - Parameters: "/s" ---Files--- None found. C:\Qoobox\BackEnv d------ [10:58 13/05/2011] AppData.folder.dat --a---- 124 bytes [10:59 13/05/2011] [10:59 13/05/2011] Cache.folder.dat --a---- 229 bytes [10:59 13/05/2011] [10:59 13/05/2011] Cookies.folder.dat --a---- 61 bytes [10:59 13/05/2011] [10:59 13/05/2011] Desktop.folder.dat --a---- 82 bytes [10:59 13/05/2011] [10:59 13/05/2011] Favorites.folder.dat --a---- 116 bytes [10:59 13/05/2011] [10:59 13/05/2011] History.folder.dat --a---- 59 bytes [10:59 13/05/2011] [10:59 13/05/2011] LocalAppData.folder.dat --a---- 100 bytes [10:59 13/05/2011] [10:59 13/05/2011] LocalSettings.folder.dat --a---- 100 bytes [10:59 13/05/2011] [10:59 13/05/2011] Music.folder.dat --a---- 50 bytes [10:59 13/05/2011] [10:59 13/05/2011] NetHood.folder.dat --a---- 71 bytes [10:59 13/05/2011] [10:59 13/05/2011] Personal.folder.dat --a---- 124 bytes [10:59 13/05/2011] [10:59 13/05/2011] Pictures.folder.dat --a---- 111 bytes [10:59 13/05/2011] [10:59 13/05/2011] PrintHood.folder.dat --a---- 71 bytes [10:59 13/05/2011] [10:59 13/05/2011] Profiles.Folder.dat --a---- 178 bytes [10:59 13/05/2011] [10:59 13/05/2011] Profiles.Folder.folder.dat --a---- 245 bytes [10:59 13/05/2011] [10:59 13/05/2011] Programs.folder.dat --a---- 346 bytes [10:59 13/05/2011] [10:59 13/05/2011] Recent.folder.dat --a---- 60 bytes [10:59 13/05/2011] [10:59 13/05/2011] SendTo.folder.dat --a---- 60 bytes [10:59 13/05/2011] [10:59 13/05/2011] SetPath.bat --a---- 4961 bytes [10:59 13/05/2011] [10:59 13/05/2011] StartMenu.folder.dat --a---- 240 bytes [10:59 13/05/2011] [10:59 13/05/2011] StartUp.folder.dat --a---- 386 bytes [10:59 13/05/2011] [10:59 13/05/2011] SysPath.dat --a---- 829 bytes [10:59 13/05/2011] [10:58 13/05/2011] Templates.folder.dat --a---- 236 bytes [10:59 13/05/2011] [10:59 13/05/2011] VikPev00 --a---- 2154 bytes [10:59 13/05/2011] [10:59 13/05/2011] C:\Qoobox\LastRun d------ [20:50 29/04/2011] C:\Qoobox\Quarantine d------ [20:50 29/04/2011] catchme.log --a---- 1122 bytes [20:50 29/04/2011] [10:58 13/05/2011] C:\Qoobox\Quarantine\C d------ [20:55 29/04/2011] C:\Qoobox\Quarantine\Registry_backups d------ [20:50 29/04/2011] C:\Qoobox\Test d------ [20:50 29/04/2011] C:\Qoobox\TestC d------ [20:50 29/04/2011] C:\claudipertra.exe - Parameters: "/s" ---Files--- 023.dat --a---- 54965 bytes [10:57 13/05/2011] [10:58 13/05/2011] 023v.dat --a---- 2181 bytes [10:57 13/05/2011] [01:07 27/11/2010] AppData.folder.dat --a---- 124 bytes [10:59 13/05/2011] [10:59 13/05/2011] appinit.bad --a---- 6760 bytes [10:57 13/05/2011] [06:00 31/08/2000] asp.str --a---- 602 bytes [10:57 13/05/2011] [21:09 13/07/2009] Assoc.cmd --a---- 4144 bytes [10:57 13/05/2011] [20:11 15/04/2010] attr.dat --a---- 36420 bytes [10:59 13/05/2011] [10:59 13/05/2011] ATTRIB.cfxxe -ra---- 16384 bytes [10:58 13/05/2011] [09:44 02/11/2006] autorun_inf.dat --a---- 16252 bytes [10:59 13/05/2011] [10:59 13/05/2011] autorun_infB.dat --a---- 3257 bytes [10:59 13/05/2011] [10:59 13/05/2011] av.cmd --a---- 3748 bytes [10:57 13/05/2011] [01:34 08/05/2011] av.vbs --a---- 2933 bytes [10:57 13/05/2011] [21:02 15/12/2010] AWF.cmd --a---- 639 bytes [10:57 13/05/2011] [09:22 07/03/2011] badclsid --a---- 2654989 bytes [10:58 13/05/2011] [10:58 13/05/2011] Boot-Rk.cmd --a---- 4807 bytes [10:57 13/05/2011] [00:03 28/01/2011] Boot.bat --a---- 8412 bytes [10:57 13/05/2011] [09:22 07/03/2011] BootDrv.vbs --a---- 875 bytes [10:57 13/05/2011] [14:55 27/07/2010] borlander_file.dat --a---- 752 bytes [10:59 13/05/2011] [10:59 13/05/2011] borlander_folder.dat --a---- 242 bytes [10:59 13/05/2011] [10:59 13/05/2011] c.bat --a---- 62874 bytes [10:57 13/05/2011] [17:05 07/05/2011] c.mrk --a---- 0 bytes [10:58 13/05/2011] [10:58 13/05/2011] Cache.folder.dat --a---- 229 bytes [10:59 13/05/2011] [10:59 13/05/2011] Catch-sub.cmd --a---- 1080 bytes [10:57 13/05/2011] [14:45 21/10/2010] catchme.cfxxe -ra---- 147456 bytes [10:57 13/05/2011] [15:37 17/04/2009] Catchme.tmp --a---- 147456 bytes [10:59 13/05/2011] [15:37 17/04/2009] CCS.bat --a---- 91 bytes [10:58 13/05/2011] [10:58 13/05/2011] CF-Script.cmd --a---- 30881 bytes [10:57 13/05/2011] [00:50 05/05/2011] CF15046.cfxxe -ra---- 318976 bytes [10:58 13/05/2011] [10:57 13/05/2011] cfdummy --a---- 8192 bytes [10:59 13/05/2011] [10:59 13/05/2011] Cfiles.dat --a---- 3379000 bytes [10:59 13/05/2011] [10:59 13/05/2011] Cfolders.dat --a---- 861049 bytes [10:59 13/05/2011] [10:59 13/05/2011] CFVersionOld --a---- 13 bytes [10:57 13/05/2011] [10:57 13/05/2011] CHCP.bat --a---- 16 bytes [10:57 13/05/2011] [10:57 13/05/2011] claudi.user.cf --a---- 0 bytes [10:58 13/05/2011] [10:58 13/05/2011] ClistB.dat --a---- 844068 bytes [10:59 13/05/2011] [10:59 13/05/2011] clsid.c --a---- 268393 bytes [10:57 13/05/2011] [10:26 13/05/2011] clsid.dat --a---- 714831 bytes [10:58 13/05/2011] [10:58 13/05/2011] clsid.hiv --a---- 6365184 bytes [10:58 13/05/2011] [10:58 13/05/2011] Combo-Fix.sys --a---- 1024 bytes [10:57 13/05/2011] [21:16 19/08/2010] Combobatch.bat --a---- 7697 bytes [10:57 13/05/2011] [11:51 15/03/2011] ComboFix-Download.cfxxe -ra---- 141312 bytes [10:57 13/05/2011] [06:00 31/08/2000] ConEnv.sed --a---- 2501 bytes [10:59 13/05/2011] [10:59 13/05/2011] Cookies.folder.dat --a---- 61 bytes [10:59 13/05/2011] [10:59 13/05/2011] Create.cmd --a---- 18432 bytes [10:57 13/05/2011] [11:33 14/04/2011] Creg.dat --a---- 549658 bytes [10:57 13/05/2011] [19:23 12/05/2011] CregC.cmd --a---- 3697 bytes [10:57 13/05/2011] [17:01 07/05/2011] CregC.dat --a---- 472 bytes [10:57 13/05/2011] [15:21 17/04/2010] CregC_.dat --a---- 1017 bytes [10:58 13/05/2011] [10:58 13/05/2011] CSCRIPT.cfxxe -ra---- 135168 bytes [10:58 13/05/2011] [06:27 11/04/2009] CSet.cmd --a---- 1686 bytes [10:57 13/05/2011] [19:49 23/12/2009] d-delA.dat --a---- 0 bytes [10:58 13/05/2011] [10:58 13/05/2011] d-del_A.dat --a---- 0 bytes [10:59 13/05/2011] [10:59 13/05/2011] dd.cfxxe -ra---- 101376 bytes [10:57 13/05/2011] [03:14 23/08/2010] ddsDo.sed --a---- 7983 bytes [10:57 13/05/2011] [07:59 25/05/2009] DelClsid.bat --a---- 1948 bytes [10:57 13/05/2011] [17:25 07/05/2011] DelClsid64.bat --a---- 1957 bytes [10:57 13/05/2011] [17:25 07/05/2011] Desktop.folder.dat --a---- 82 bytes [10:59 13/05/2011] [10:59 13/05/2011] desktop.ini --a---- 113 bytes [10:58 13/05/2011] [10:58 13/05/2011] DisclaimED.dat --a---- 10 bytes [10:58 13/05/2011] [10:58 13/05/2011] dll_whitelist.dat --a---- 3193 bytes [10:59 13/05/2011] [10:59 13/05/2011] dnd.dat --a---- 18324 bytes [10:59 13/05/2011] [10:59 13/05/2011] DPF.str --a---- 746 bytes [10:57 13/05/2011] [06:00 31/08/2000] Drive.folder.dat --a---- 12 bytes [10:59 13/05/2011] [10:59 13/05/2011] DriveFile.dat --a---- 54 bytes [10:59 13/05/2011] [10:59 13/05/2011] Drives.dat --a---- 9 bytes [10:59 13/05/2011] [10:59 13/05/2011] DrvRun.vbs --a---- 650 bytes [10:57 13/05/2011] [00:44 19/04/2010] dumphive.cfxxe -ra---- 51200 bytes [10:57 13/05/2011] [06:00 31/08/2000] embedded.sed --a---- 303 bytes [10:57 13/05/2011] [06:00 31/08/2000] Env.sed --a---- 541 bytes [10:59 13/05/2011] [10:59 13/05/2011] ERDNT.e_e --a---- 163328 bytes [10:57 13/05/2011] [18:02 20/10/2005] ERDNTDOS.LOC --a---- 2815 bytes [10:57 13/05/2011] [06:00 31/08/2000] ERDNTWIN.LOC --a---- 3275 bytes [10:57 13/05/2011] [06:00 31/08/2000] ERUNT.cfxxe -ra---- 157696 bytes [10:57 13/05/2011] [18:00 20/10/2005] erunt.dat --a---- 10 bytes [10:58 13/05/2011] [10:58 13/05/2011] ERUNT.LOC --a---- 4090 bytes [10:57 13/05/2011] [06:00 31/08/2000] Exe.reg --a---- 14799 bytes [10:57 13/05/2011] [03:01 07/05/2011] extract.cfxxe -ra---- 52736 bytes [10:57 13/05/2011] [06:00 31/08/2000] Favorites.folder.dat --a---- 116 bytes [10:59 13/05/2011] [10:59 13/05/2011] FD-SV.cmd --a---- 8881 bytes [10:57 13/05/2011] [19:02 04/05/2011] FdsvOK --a---- 34 bytes [10:59 13/05/2011] [10:59 13/05/2011] ffdefstr.dll --a---- 38901 bytes [10:57 13/05/2011] [02:45 30/08/2010] FileKill.cfxxe -ra---- 145920 bytes [10:57 13/05/2011] [06:00 31/08/2000] files.pif --a---- 3174 bytes [10:57 13/05/2011] [10:26 13/05/2011] Fin.dat --a---- 677 bytes [10:57 13/05/2011] [02:32 10/08/2010] FIND3M.bat --a---- 31608 bytes [10:57 13/05/2011] [17:14 07/05/2011] FIXLSP.bat --a---- 4777 bytes [10:57 13/05/2011] [14:41 23/10/2010] FKMGen.cmd --a---- 1079 bytes [10:57 13/05/2011] [09:21 07/03/2011] ForeignWht --a---- 895 bytes [10:58 13/05/2011] [10:58 13/05/2011] f_system --a---- 0 bytes [10:58 13/05/2011] [10:58 13/05/2011] Gateway --a---- 12 bytes [10:59 13/05/2011] [10:59 13/05/2011] GetHive.cmd --a---- 5979 bytes [10:57 13/05/2011] [20:43 23/02/2011] GOLDUN.DAT --a---- 16089 bytes [10:59 13/05/2011] [10:59 13/05/2011] grep.cfxxe -ra---- 80412 bytes [10:57 13/05/2011] [06:00 31/08/2000] gsar.cfxxe -ra---- 15360 bytes [10:57 13/05/2011] [06:00 31/08/2000] handle.cfxxe -ra---- 173936 bytes [10:57 13/05/2011] [11:15 18/11/2008] HDPEInfo.cfxxe -ra---- 15872 bytes [10:57 13/05/2011] [18:11 11/12/2008] hidec.exe --a---- 1536 bytes [10:57 13/05/2011] [23:54 15/08/2005] history.bat --a---- 954 bytes [10:57 13/05/2011] [15:25 20/10/2009] History.folder.dat --a---- 59 bytes [10:59 13/05/2011] [10:59 13/05/2011] iexplore.exe --a---- 31232 bytes [10:57 13/05/2011] [10:56 20/04/2009] image001.gif --a---- 1057 bytes [10:57 13/05/2011] [06:00 31/08/2000] Imefile.dat --a---- 224 bytes [10:57 13/05/2011] [05:07 05/09/2010] katch.cmd --a---- 1374 bytes [10:57 13/05/2011] [07:49 09/03/2011] katchNT-OS --a---- 0 bytes [10:59 13/05/2011] [10:59 13/05/2011] Kill-All.cmd --a---- 1695 bytes [10:57 13/05/2011] [16:37 03/10/2010] kmd.dat --a---- 15 bytes [10:58 13/05/2011] [10:58 13/05/2011] Lang.bat --a---- 215364 bytes [10:57 13/05/2011] [16:19 01/12/2010] LatestVer --a---- 14 bytes [10:58 13/05/2011] [10:58 13/05/2011] List-B.bat --a---- 20160 bytes [10:57 13/05/2011] [20:03 12/05/2011] List-C.bat --a---- 243440 bytes [10:57 13/05/2011] [10:24 13/05/2011] lnkread.vbs --a---- 3246 bytes [10:57 13/05/2011] [23:49 15/12/2010] LocalAppData.folder.dat --a---- 100 bytes [10:59 13/05/2011] [10:59 13/05/2011] LocalService.dat --a---- 225 bytes [10:57 13/05/2011] [06:00 31/08/2000] LocalServiceNetworkRestricted.dat --a---- 91 bytes [10:57 13/05/2011] [06:00 31/08/2000] LocalSettings.folder.dat --a---- 100 bytes [10:59 13/05/2011] [10:59 13/05/2011] LocalSystemNetworkRestricted.dat --a---- 198 bytes [10:57 13/05/2011] [06:00 31/08/2000] mbr.cfxxe -ra---- 77312 bytes [10:57 13/05/2011] [04:11 25/10/2009] mbr.chk --a---- 2141 bytes [10:57 13/05/2011] [09:30 29/08/2010] mbr.log --a---- 188 bytes [10:59 13/05/2011] [11:00 13/05/2011] md5sum.pif --a---- 6868 bytes [10:57 13/05/2011] [10:59 13/05/2011] Mirrors --a---- 75 bytes [10:58 13/05/2011] [10:58 13/05/2011] MoveIt.bat --a---- 2856 bytes [10:57 13/05/2011] [02:57 07/05/2011] mtee.cfxxe -ra---- 11264 bytes [10:57 13/05/2011] [06:00 31/08/2000] MtPt00 --a---- 164 bytes [10:57 13/05/2011] [10:57 13/05/2011] MUI --a---- 14 bytes [10:57 13/05/2011] [10:57 13/05/2011] Music.folder.dat --a---- 50 bytes [10:59 13/05/2011] [10:59 13/05/2011] MWindows.dat --a---- 868 bytes [10:58 13/05/2011] [10:58 13/05/2011] mynul.dat --a---- 0 bytes [10:57 13/05/2011] [06:00 31/08/2000] ncmd.com -ra---- 8523 bytes [10:57 13/05/2011] [10:59 13/05/2011] ndis_combofix.dat --a---- 283 bytes [10:57 13/05/2011] [14:12 24/12/2009] ND_.bat --a---- 64710 bytes [10:57 13/05/2011] [03:29 07/05/2011] ND_64.bat --a---- 17746 bytes [10:57 13/05/2011] [03:31 07/05/2011] NetHood.folder.dat --a---- 71 bytes [10:59 13/05/2011] [10:59 13/05/2011] netsvc.bad.dat --a---- 520 bytes [10:57 13/05/2011] [16:21 14/04/2010] netsvc.dat --a---- 481 bytes [10:57 13/05/2011] [06:00 31/08/2000] NetworkService.dat --a---- 88 bytes [10:57 13/05/2011] [06:00 31/08/2000] NirCmd.cfxxe -ra---- 31232 bytes [10:57 13/05/2011] [10:56 20/04/2009] NircmdB.exe --a---- 31232 bytes [10:57 13/05/2011] [10:56 20/04/2009] NirCmdC.cfxxe -ra---- 30720 bytes [10:57 13/05/2011] [10:56 20/04/2009] NIRKMD.cfxxe -ra---- 31232 bytes [10:57 13/05/2011] [10:56 20/04/2009] NlsLanguageDefault --a---- 6 bytes [10:57 13/05/2011] [10:57 13/05/2011] notifykeys.dat --a---- 176 bytes [10:59 13/05/2011] [10:59 13/05/2011] notifykeysB.dat --a---- 210 bytes [10:59 13/05/2011] [10:59 13/05/2011] NT-OS.cmd --a---- 38922 bytes [10:57 13/05/2011] [19:53 01/05/2011] NULL --a---- 0 bytes [10:58 13/05/2011] [10:58 13/05/2011] OsId.txt --a---- 90 bytes [10:58 13/05/2011] [10:58 13/05/2011] OSid.vbs --a---- 977 bytes [10:57 13/05/2011] [06:00 31/08/2000] OsVer --a---- 40 bytes [10:57 13/05/2011] [10:57 13/05/2011] pausep.cfxxe -ra---- 68096 bytes [10:57 13/05/2011] [11:01 29/09/2002] pend.txt --a---- 802 bytes [10:59 13/05/2011] [10:59 13/05/2011] Personal.folder.dat --a---- 124 bytes [10:59 13/05/2011] [10:59 13/05/2011] PEV.cfxxe -ra---- 256512 bytes [10:57 13/05/2011] [13:58 26/04/2010] pev.exe --a---- 256512 bytes [10:57 13/05/2011] [13:58 26/04/2010] pevb.cfxxe -ra---- 102400 bytes [10:57 13/05/2011] [07:28 28/01/2011] Pictures.folder.dat --a---- 111 bytes [10:59 13/05/2011] [10:59 13/05/2011] PING.cfxxe -ra---- 15360 bytes [10:58 13/05/2011] [02:24 21/01/2008] Policies.dat --a---- 2992 bytes [10:57 13/05/2011] [01:51 06/07/2009] powp.dat --a---- 64 bytes [10:57 13/05/2011] [14:57 13/05/2010] PreDIR --a---- 61 bytes [10:59 13/05/2011] [10:59 13/05/2011] Prep.inf --a---- 2898 bytes [10:57 13/05/2011] [00:39 09/12/2010] PrintHood.folder.dat --a---- 71 bytes [10:59 13/05/2011] [10:59 13/05/2011] Profiles.Folder.dat --a---- 178 bytes [10:59 13/05/2011] [10:59 13/05/2011] Profiles.Folder.folder.dat --a---- 245 bytes [10:59 13/05/2011] [10:59 13/05/2011] progfile.dat --a---- 142309 bytes [10:58 13/05/2011] [10:59 13/05/2011] Programs.folder.dat --a---- 346 bytes [10:59 13/05/2011] [10:59 13/05/2011] Purity.dat --a---- 404 bytes [10:57 13/05/2011] [06:00 31/08/2000] PV.cfxxe -ra---- 73728 bytes [21:42 02/03/2006] [21:42 02/03/2006] pv.com --a---- 73728 bytes [10:57 13/05/2011] [21:42 02/03/2006] RCLink.dat --a---- 7478 bytes [10:57 13/05/2011] [06:00 31/08/2000] RcVer00 --a---- 7 bytes [10:58 13/05/2011] [10:58 13/05/2011] Recent.folder.dat --a---- 60 bytes [10:59 13/05/2011] [10:59 13/05/2011] REGDACL.sed --a---- 3558 bytes [10:57 13/05/2011] [06:00 31/08/2000] RegDo.sed --a---- 9203 bytes [10:57 13/05/2011] [06:00 31/08/2000] region.dat --a---- 1153 bytes [10:57 13/05/2011] [02:03 17/09/2010] RegScan.cmd --a---- 53768 bytes [10:57 13/05/2011] [16:59 07/05/2011] RegScan64.cmd --a---- 20178 bytes [10:57 13/05/2011] [22:13 03/05/2011] REGT.cfxxe --a---- 134656 bytes [10:58 13/05/2011] [10:58 13/05/2011] Resident.txt --a---- 237 bytes [10:58 13/05/2011] [10:58 13/05/2011] restore_pt.dat --a---- 0 bytes [10:58 13/05/2011] [10:58 13/05/2011] restore_pt.vbs --a---- 587 bytes [10:57 13/05/2011] [20:26 01/05/2009] Rkey.cmd --a---- 442 bytes [10:57 13/05/2011] [03:35 15/11/2009] rmbr.cfxxe -ra---- 89088 bytes [10:57 13/05/2011] [23:20 07/11/2010] rogues.dat --a---- 820 bytes [10:57 13/05/2011] [06:00 31/08/2000] ROUTE.cfxxe -ra---- 17920 bytes [10:58 13/05/2011] [13:49 14/08/2009] run.sed --a---- 1875 bytes [10:59 13/05/2011] [10:59 13/05/2011] run2.sed --a---- 287 bytes [10:57 13/05/2011] [06:00 31/08/2000] Rust.str --a---- 30 bytes [10:57 13/05/2011] [09:38 10/06/2009] s0rt.cfxxe -ra---- 38400 bytes [10:57 13/05/2011] [22:00 10/11/1999] safeboot.dat --a---- 329 bytes [10:57 13/05/2011] [06:00 31/08/2000] safeboot.def.dat --a---- 1764 bytes [10:57 13/05/2011] [10:58 13/05/2011] sed.cfxxe -ra---- 98816 bytes [10:57 13/05/2011] [06:00 31/08/2000] SendTo.folder.dat --a---- 60 bytes [10:59 13/05/2011] [10:59 13/05/2011] SetEnvmt.bat --a---- 16854 bytes [10:57 13/05/2011] [09:18 07/03/2011] SetPath.bat --a---- 5007 bytes [10:58 13/05/2011] [10:59 13/05/2011] setpath.cfxxe -ra---- 31014 bytes [10:57 13/05/2011] [06:00 31/08/2000] SF.exe --a---- 49152 bytes [12:42 10/06/2006] [12:42 10/06/2006] sfx.cmd --a---- 14 bytes [10:58 13/05/2011] [10:58 13/05/2011] SnapShot.cmd --a---- 4615 bytes [10:57 13/05/2011] [09:18 07/03/2011] SRestore.cmd --a---- 2138 bytes [10:57 13/05/2011] [09:18 07/03/2011] srizbi.md5 --a---- 302770 bytes [10:57 13/05/2011] [10:10 13/05/2011] StartMenu.folder.dat --a---- 240 bytes [10:59 13/05/2011] [10:59 13/05/2011] StartUp.folder.dat --a---- 386 bytes [10:59 13/05/2011] [10:59 13/05/2011] Start_dat --a---- 2 bytes [10:58 13/05/2011] [10:58 13/05/2011] SuppScan.cmd --a---- 19936 bytes [10:57 13/05/2011] [09:17 07/03/2011] SvcDrv.vbs --a---- 2176 bytes [10:57 13/05/2011] [06:00 31/08/2000] svchost.dat --a---- 668 bytes [10:57 13/05/2011] [06:00 31/08/2000] svc_wht.dat --a---- 14168 bytes [10:57 13/05/2011] [10:58 13/05/2011] SWREG.cfxxe -ra---- 161792 bytes [10:57 13/05/2011] [06:00 31/08/2000] swreg.exe --a---- 161792 bytes [10:57 13/05/2011] [06:00 31/08/2000] swsc.cfxxe -ra---- 136704 bytes [10:57 13/05/2011] [06:00 31/08/2000] swxcacls.cfxxe -ra---- 212480 bytes [10:57 13/05/2011] [06:00 31/08/2000] SysPath.dat --a---- 829 bytes [10:58 13/05/2011] [10:58 13/05/2011] system_ini.dat --a---- 276 bytes [10:57 13/05/2011] [06:00 31/08/2000] tail.cfxxe -ra---- 35328 bytes [10:57 13/05/2011] [06:00 10/11/1999] Temp.dat --a---- 1485 bytes [10:59 13/05/2011] [10:59 13/05/2011] Templates.folder.dat --a---- 236 bytes [10:59 13/05/2011] [10:59 13/05/2011] toolbar.sed --a---- 633 bytes [10:57 13/05/2011] [11:26 30/10/2009] unhand.dat --a---- 606 bytes [10:59 13/05/2011] [10:59 13/05/2011] Update-CF.cmd --a---- 3934 bytes [10:57 13/05/2011] [22:29 21/12/2010] VerCF.bat --a---- 330 bytes [10:57 13/05/2011] [10:58 13/05/2011] version.txt --a---- 35 bytes [10:58 13/05/2011] [10:58 13/05/2011] VikPev00 --a---- 245889 bytes [10:58 13/05/2011] [10:59 13/05/2011] Vikpev01 --a---- 0 bytes [10:59 13/05/2011] [10:59 13/05/2011] VInfo -ra---- 4327 bytes [10:57 13/05/2011] [01:13 07/05/2011] VInfo2 --a---- 13717 bytes [10:57 13/05/2011] [19:44 12/05/2011] Vipev.dat --a---- 308 bytes [10:57 13/05/2011] [21:30 10/05/2010] ViPev00 --a---- 4965 bytes [10:59 13/05/2011] [10:59 13/05/2011] ViPev01 --a---- 4899 bytes [10:59 13/05/2011] [10:59 13/05/2011] Vista.krl --a---- 4 bytes [10:57 13/05/2011] [10:58 13/05/2011] Vista.mac --a---- 37 bytes [10:57 13/05/2011] [10:57 13/05/2011] vistaMcode.dat --a---- 440 bytes [10:57 13/05/2011] [01:17 27/07/2010] vistareg.dat --a---- 15604 bytes [10:57 13/05/2011] [20:10 22/04/2011] vRun_DLL --a---- 4073 bytes [10:59 13/05/2011] [10:59 13/05/2011] vun.dat --a---- 7584 bytes [10:57 13/05/2011] [02:05 21/06/2010] vundonames.dat --a---- 35 bytes [10:59 13/05/2011] [10:59 13/05/2011] VwinTemp.dacl --a---- 244 bytes [10:57 13/05/2011] [15:05 31/07/2010] v_wht.dat --a---- 49076 bytes [10:59 13/05/2011] [10:59 13/05/2011] w7Mcode.dat --a---- 440 bytes [10:57 13/05/2011] [02:20 24/07/2010] whiteAll.dat --a---- 82285 bytes [10:59 13/05/2011] [10:59 13/05/2011] whitedir.dat --a---- 18338 bytes [10:59 13/05/2011] [10:59 13/05/2011] whitedirCreated.dat --a---- 1099 bytes [10:59 13/05/2011] [10:59 13/05/2011] Wmi_rem.vbs --a---- 1127 bytes [10:57 13/05/2011] [01:38 12/12/2010] w_sock.dll --a---- 98948 bytes [10:57 13/05/2011] [12:45 21/06/2009] xpmcode.dat --a---- 440 bytes [10:57 13/05/2011] [20:14 22/07/2010] XPSBoot.reg --a---- 13090 bytes [10:57 13/05/2011] [16:41 02/02/2010] zDomain.dat --a---- 23773 bytes [10:57 13/05/2011] [06:00 31/08/2000] zhsvc.dat --a---- 49080 bytes [10:57 13/05/2011] [10:58 13/05/2011] zip.cfxxe -ra---- 68096 bytes [10:57 13/05/2011] [06:00 31/08/2000] Zlob01 --a---- 0 bytes [10:59 13/05/2011] [10:59 13/05/2011] C:\claudipertra.exe\de-DE d------ [10:58 13/05/2011] ATTRIB.cfxxe.mui --a---- 2560 bytes [10:58 13/05/2011] [07:09 21/01/2008] CF15046.cfxxe.mui --a---- 151552 bytes [10:58 13/05/2011] [07:10 21/01/2008] cmd.cfxxe.mui --a---- 151552 bytes [10:58 13/05/2011] [07:10 21/01/2008] CSCRIPT.cfxxe.mui --a---- 12800 bytes [10:58 13/05/2011] [07:10 21/01/2008] PING.cfxxe.mui --a---- 11264 bytes [10:58 13/05/2011] [07:12 21/01/2008] REGT.cfxxe.mui --a---- 61440 bytes [10:58 13/05/2011] [07:09 21/01/2008] ROUTE.cfxxe.mui --a---- 14336 bytes [10:58 13/05/2011] [16:16 14/08/2009] C:\claudipertra.exe\en-US d------ [10:58 13/05/2011] C:\claudipertra.exe\N_ d------ [10:58 13/05/2011] 10219 --a---- 30 bytes [10:59 13/05/2011] [10:59 13/05/2011] 11899 --a---- 0 bytes [10:59 13/05/2011] [10:59 13/05/2011] 11902 --a---- 33 bytes [10:59 13/05/2011] [10:59 13/05/2011] 12291 --a---- 0 bytes [10:59 13/05/2011] [10:59 13/05/2011] 13211 --a---- 0 bytes [10:59 13/05/2011] [10:59 13/05/2011] 13772 --a---- 0 bytes [10:59 13/05/2011] [10:59 13/05/2011] 14105 --a---- 44 bytes [10:59 13/05/2011] [10:59 13/05/2011] 1482 --a---- 8 bytes [10:59 13/05/2011] [10:59 13/05/2011] 15972 --a---- 0 bytes [10:59 13/05/2011] [10:59 13/05/2011] 1783 --a---- 0 bytes [10:59 13/05/2011] [10:59 13/05/2011] 17902 --a---- 0 bytes [10:59 13/05/2011] [10:59 13/05/2011] 19371 --a---- 318 bytes [10:59 13/05/2011] [10:59 13/05/2011] 20631 --a---- 52 bytes [10:59 13/05/2011] [10:59 13/05/2011] 22955 --a---- 33 bytes [10:59 13/05/2011] [10:59 13/05/2011] 23873 --a---- 0 bytes [10:59 13/05/2011] [10:59 13/05/2011] 24380 --a---- 0 bytes [10:59 13/05/2011] [10:59 13/05/2011] 25565 --a---- 0 bytes [10:59 13/05/2011] [10:59 13/05/2011] 2648 --a---- 0 bytes [10:59 13/05/2011] [10:59 13/05/2011] 27323 --a---- 62 bytes [10:59 13/05/2011] [10:59 13/05/2011] 2773 --a---- 134 bytes [10:59 13/05/2011] [10:59 13/05/2011] 3121 --a---- 34 bytes [10:59 13/05/2011] [10:59 13/05/2011] 31717 --a---- 33 bytes [10:59 13/05/2011] [10:59 13/05/2011] 32589 --a---- 263 bytes [10:59 13/05/2011] [10:59 13/05/2011] 6518 --a---- 24 bytes [10:59 13/05/2011] [10:59 13/05/2011] 7913 --a---- 0 bytes [10:59 13/05/2011] [10:59 13/05/2011] 8248 --a---- 52 bytes [10:59 13/05/2011] [10:59 13/05/2011] 8961 --a---- 127 bytes [10:59 13/05/2011] [10:59 13/05/2011] 913 --a---- 0 bytes [10:59 13/05/2011] [10:59 13/05/2011] 9524 --a---- 33 bytes [10:59 13/05/2011] [10:59 13/05/2011] cfdummy00 --a---- 0 bytes [10:59 13/05/2011] [10:59 13/05/2011] CmdLine00 --a---- 58 bytes [10:59 13/05/2011] [10:59 13/05/2011] -= EOF =- |
Das Zipen hat diesmal glaube ich funktioniert. Wenn ich es aber hier hochladen will kommt die anzeige das die datei zu groß sei !? |
dann nimm nur die letzte Minidump-Datei und zippe diese und lade sie dann hoch. |
ok ich hoffe das ist das richtige |
Die Analyse hat ergeben, dass das Raid-System die Ursache ist. jraid.sys DRV - (JRAID) -- C:\Windows\system32\drivers\jraid.sys (JMicron Technology Corp.) Error - 24.04.2011 11:08:51 | Computer Name = *****-PC | Source = JRAID | ID = 262261 Description = Der Treiber für Gerät "\Device\Scsi\JRAID1" hat eine Portzeitüberschreitung aufgrund längerer mangelnder Aktivität ermittelt. Alle assoziierten Busse werden zurückgesetzt, um den Fehler zu beheben. Du hast einen Fujitsu Amilo xi 2528 - warscheinlich wäre das Beste, diesen Treiber auf den neuesten Stand zu bringen. Treiber & Downloads => hier kannst Du Dich bis zu den Treibern für Deinen Fujitsu Amilo xi 2528 durchhangeln. Handbücher => hier findest Du auch das Handbuch. Ich finde bei Fujitsu leider keinen passenden Treiber. Könnte einer von diesen hier sein (aber bitte noch nichts installieren), müssen wir erst noch genauer prüfen. Mache bitte einen Rechtsklick auf die Datei C:\Windows\system32\drivers\jraid.sys => Eigenschaften => und schaue unter Details, ob Du dort eine Versions-Nr. findest. Ist Windows auf dem neuesten Stand? |
Ok. Das heisst ich mache jetzt erst mal gar nichts oder ? Nein ich habe keine Nr gefunden. Ich denke schon das windows auf dem neusten stand ist =) |
Systemdetails mit Speccy ermitteln Lade Dir die Freeware-Version von Speccy herunter. Speccy ist ein Programm zum Darstellen von Hardware-Details. Es bietet eine intuitive Oberfläche und ist leicht in der Handhabung. Neben System-Informationen liefert das Tool ausführliche Details zur Hardware, die uns helfen werden, Dein Problem einzugrenzen. Installiere Speccy in das vorgesehen Verzeichnis und starte Speccy per Doppelklick. Speccy wird Deine Systemdetails ermitteln und anzeigen. http://image.hijackthis.eu/upload/hjt1-008.jpg Wähle im Menü File => Save Snapshot und speichere die Datei auf Deinem Desktop. http://image.hijackthis.eu/upload/hjt1-009.jpg http://image.hijackthis.eu/upload/hjt1-010.jpg Da die Datei relativ groß sein, erstelle daraus ein Zip-Archiv. Füge das Zip-Archiv als Anhang in Deinenächsten Antwort ein. Anleitung zum Hochladen von Dateien siehe hier (gilt ebenso für zip-Dateien). |
Ok habe ich gemacht |
Ausgerechnet der besagte jraid.sys Treiber ist nirgendwo aufgeführt :-( Rechtsklick auf Computer => Eigenschaften => Hardware => Gerätemanager => schaue nach, ob da irgendwo ein Ausrufezeichen zu sehen ist. Wenn ja, teile mir mit, wo bzw. bei welchem Gerät. Schaue dann dort auch noch nach, welcher Treiber für das RAID-System installiert ist, indem Du einen Rechtsklick auf das Gerät machst => Eigenschaften => Treiber => Treibernamen und Version abschreiben. Mache bitte einen Rechtsklick auf die Datei C:\Windows\system32\drivers\jraid.sys => Eigenschaften => Reiter Details und mache mir davon einen Screenshot nach dieser Anleitung. |
Liste der Anhänge anzeigen (Anzahl: 1) Hallo Petra Ich habe bei Gerätemanager geschaut aber ich finde dort nichts zumindestens nichts unter RAID-System. Ein Ausrufezeichen ist auch nicht zu sehen. Hier der Screenshot |
Ja, der Screenshot hilft schonmal weiter, denn es ist zu sehen, dass Du in der Tat einen recht veralteten Treiber benutzt. Lade herunter => http://files.3dnews.org/pub/drivers/...17.57_WHQL.zip und speichere die Datei auf Deinem Desktop Entpacke die Datei auch auf den Desktop Starte die setup.exe durch Rechtsklick und als Administrator. Folge den Anweisungen. Berichte, ob die Installation geklappt hat. |
Hallo Petra Ok ich habe es installiert.. Installshield Wizard für Micron JMicron JMB36x Driver ist das richtige oder ? |
ja. Starte dann bitte den Computer einmal neu, alles im Lot? Oder gibt es Fehlermeldungen? |
Alles ok soweit =) |
ok, dann lösche jetzt die claudipetra.exe.exe von Deinem Desktop und leere den Papierkorb. Und dann starten wir einen neuen Versuch ohne Umbenennen. Bitte gut durchlesen und die Anweisungen genau befolgen. Evtl. vorher ausdrucken. Malware mit Combofix beseitigen Lade Combofix von einem der folgenden Download-Spiegel herunter: BleepingComputer.com - ForoSpyware.com und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig! Beachte die ausführliche Original-Anleitung. Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:
Vorbereitung und wichtige Hinweise
Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen! |
es hat endlich geklappt :Boogie: Hier die Logdatei Code: ComboFix 11-05-14.03 - claudi 15.05.2011 17:20:25.1.2 - x86Code: Update for Microsoft Office 2007 (KB2508958) |
yes :-) Bitte noch diese Datei nachreichen => C:\Qoobox\Add-Remove Programs.txt Combofix mit Skript laufen lassen
Anwendung
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! |
C:\Qoobox\Add-Remove Programs.txt Code: Update for Microsoft Office 2007 (KB2508958) |
Ok. Ich hoffe ich habe es richtig gemacht. Code: ComboFix 11-05-14.03 - claudi 15.05.2011 18:14:44.2.2 - x86 |
nein, nicht ganz. Du hast die Datei falsch abgespeichert: Benutzte Befehlsschalter :: c:\users\claudi\Desktop\CFScript.txt.wps Du musst die Datei als CFScript.txt speichern und beim Speichern darauf achten, dass unter Dateityp "Alle Datei-Typen" oder "All types" gewählt ist. Nimm bitte Notepad, um das zu machen. Start => ausführen => notepad (eingeben) und Enter drücken. Soweit ich sehe, hast Du sowas wie Works oder Word genommen. |
oh oke =) Aber ich glaube jetzt habe ich es hinbekommen Code: ComboFix 11-05-14.03 - claudi 15.05.2011 19:12:46.4.2 - x86 |
ja, nun hat es geklappt :-) Mache dann bitte noch folgendes und berichte mir, welche Probleme danach noch vorhanden sind. Bereinigung mit Malwarebytes' Anti-Malware (Vollständiger Suchlauf) Deinstalliere die alte Version von Malwarebytes' Anti-Malware über Systemsteuerung => Software/Programme. Starte den Computer neu. Lade Malwarebytes Anti-Malware (ca. 8 MB) von einem dieser Downloadspiegel herunter: Malwarebytes - MajorGeeks.com - BestTechie
|
Hier das Logfile Code: Malwarebytes' Anti-Malware 1.50.1.1100Zu dem Bericht den ich dir geben sollte wie der Rechner nun läuft kann ich nur sagen,das der Rechner eigentlich nie wirklich schlecht lief bis eben auf die Fehlermeldungen die am anfang kamen.Da ich mich eben überhaupt nicht auskenne mit den ganzen sachen die im Hintergrund eines Rechners passieren war ich mir unsicher ob alles im Lot ist. Was sagst du den jetzt dazu? ist alles Ok ? Ach ja und noch eine Frage was mache ich den mit den ganzen Downloads wie z.b OTL/Speccy usw, kann ich das löschen oder brauche ich das noch ? Und zum schluss möchte ich dir nochmal Danken für deine Hilfe :bussi: Lg. Claudi |
ok, ich denke, dann sind wir jetzt an einem guten Punkt. Mache bitte noch folgendes: ===== Punkt 1 ===== Speccy kannst Du über Systemsteuerung => Programme wieder deinstallieren. ===== Punkt 2 ===== Combofix deinstallieren Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking (Norton) und Anti-Malware Programme deaktivieren. Start => Ausführen Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen. Es öffnet sich die Eingabeaufforderung. => dort reinschreiben ComboFix /Uninstall => Enter drücken Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch daraus die Schädlinge verschwinden. Es wird ein neuer Systemwiederherstellungspunkt erstellt. Gleichzeitig setzt Combofix die Zeiteinstellungen wieder auf die Ursprungseinstellungen, und setzt die Systemeinstellungen wieder so zurück, dass Dateierweiterungen und Systemdateien versteckt sind, was Du bei Bedarf im Explorer unter Extras => Ordneroptionen aber wieder ändern bzw. Deinen persönlichen Vorlieben entsprechend anpassen kannst. ===== Punkt 3 ===== Tool-Bereinigung mit OTL Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
|
Hat alles geklappt bis auf Punkt 2 da kam das combofix falsch geschrieben sei oder nicht gefunden werden konnte. Soll ich das auch Manuell löschen ? |
Nein, nicht manuell löschen, bei der Deinstallation werden noch wichtige Dinge durchgeführt. Mache bitte mal: Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen. Es öffnet sich die Eingabeaufforderung. => dort reinschreiben c:\users\claudi\Desktop\ComboFix.exe /Uninstall |
Hab aber gerade gesehen das es doch weg ist =) |
na dann hat das Cleanup von OTL es "mitgenommen". Dann wünsche ich Dir noch viel Spaß und gebe Dir zum Abschluss noch ein paar Tipps zur Absicherung mit :-) Nachsorge XP und Vista Im Anschluss gebe ich Dir einige Tipps und Hinweise, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Malware zu halten. Wenn Dein System infiziert war, rate ich Dir, alle Deine Passwörter zu ändern. Bitte betrachte die folgenden Tipps als Vorschläge und nicht als Nonplusultra. Erstelle einen neuen Systemwiederherstellungspunkt Das ist ein guter Zeitpunkt, die Systemwiederherstellung zu leeren und einen neuen sauberen Wiederherstellungspunkt zu erstellen (Anleitung für Vista-User).
Diesen Punkt kannst Du weglassen, falls Du das System gerade neu aufgesetzt hast oder Combofix benutzt und ordentlich deinstalliert wurde. FileHippo Update Checker Lade den FileHippo Update Checker herunter und installiere ihn. Während der Installation den Haken bei "Run at Startup" entfernen. Lasse den Update Checker prüfen, welche Updates nötig sind und aktualisiere die gemeldeten Programme. Die meisten Programme können gleich von dort aus heruntergeladen werden. Mache das alle 14 Tage. Eine bebilderte und ausführliche Anleitung findest Du hier => http://www.hijackthis-forum.de/tipps...anleitung.html Externe Medien absichern und schützen Zum Absichern und zum Schutz externer Medien arbeite diese Anleitung ab. Absicherung Falls noch nicht installiert, solltest Du die folgenden Programme installieren. Spybot Search&Destroy ist ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten, dass der TeaTimer nicht aktiviert wird. Lasse das Tool in regelmäßige Abständen (z. B. einmal pro Woche) laufen und lasse vor der Überprüfung immer nach Updates suchen, Details siehe ausführliche Anleitung. Um Dein System frei von temporären Dateien zu halten, empfehle ich CCleaner, (Toolbar nicht mitinstallieren) eine Freeware-Software zur Optimierung und zum Aufräumen von Windows, Einzelheiten siehe unsere Anleitung. Von Java immer nur die aktuellste Version auf dem Rechner haben, alle anderen deinstallieren. Verwende einen alternativen Browser, ich empfehle Firefox. Es gibt eine große Anzahl von Erweiterungen, wie z. B. Adblock Plus und NoScript. Mit der Erweiterung IE Tab 2 ist sogar das Windows- und Office-Upate über Firefox möglich. Die Erweiterung QuickJava sorgt dafür, dass Du Java und Java-Skript nur bei Bedarf einschalten kannst. Eine alternatives E-Mail-Programm ist Thunderbird. Auch dafür gibt es viele sehr gute Erweiterungen. Als Alternative für die ganzen Messenger kommen Pidgin, Miranda-IM oder Trillian infrage, da sie mit den wichtigsten Protokollen wie AIM, ICQ, IRC, MSN oder Yahoo zurechtkommen. Mit einem dieser Instant-Messenger kannst mit Deinen Chatfreunden über ein einziges Programm Chat-Kontakt halten, ohne x verschiedene Messenger installieren und starten zu müssen. "Wie konnte die Malware auf meinen Rechner kommen?", ist die wohl am häufigsten gestellte Frage. Malware gelangt in erster Linie über sogenannte Browser Exploits auf einen Rechner, also über Sicherheitslücken im Browser selbst. Weitere Schleusen sind E-Mail-Anhänge, Lecks im Betriebssystem und Programmen oder über Dateidownloads aus unsicheren Quellen. Durch Einsatz Deines Köpfchens und folgende simple Maßnahmen kannst Du den Schutz optimieren:
Bitte antworte noch 1x damit ich dieses Thema als erledigt ansehen kann :) |
Vielen Vielen Dank nochmal Petra. Ich werde mich an deine Tipps halten. Wünsche dir auch noch viel Spaß=) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:42 Uhr. |
Copyright ©2000-2025, Trojaner-Board