[Windows XP-32 bit] Zugriff auf Internetsite 78.47.268.118:80 - Paules-PC-Forum.de

CL · 01.06.2011, 11:45

Hallo

Wenn ich die Maschine neu rauffahre und das erste Mal in den Internet Explorer oder in den Firefox gehe, dann erscheint das Startbild Google. Wenn ich dann auf eine weitere Site gehe, dann erscheint von NOD32 (ESET) die Meldung

- Zugriff verweigert
- IP wie aus dem Betreff
- und ein unlesbarer Text unter URL

Wenn ich dann weiter surfe, erscheint das nie mehr, bis ich die Maschine neu starte. Also, pro Sitzung genau einmal.

Ein Vollscan mit ESET bringt Null Fehler. Uebrigens, im Internet kann man viel lesen über diese IP, nur nichts für mich brauchbares.

Kann mir jemand helfen.

Danke zum voraus.

**Der Leo** · 01.06.2011, 13:25

Am besten wäre es doch wenn du die IP hier angibst. Vielleicht findet einer von uns etwas brauchbares

.

Außerdem wäre das Log der Firewall gut.

Öffne ESET
Ändere die Ansicht in Erweiterter Modus (unten links)
Klicke auf Tools
Klicke auf Log-Dateien
Wähle bei Log: ESET Personal Firewall-Log aus
Makiere alle Einträge (Strg + A) und kopiere sie in ein Textdokument (Strg + V)
Lade bitte das Logfile bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

CL · 01.06.2011, 13:56

Danke für die Antwort.

Ich habe nur den ESET Antivirus und nicht den SmartSecurity mit Firewall.

Habe nun in der Zwischzeit noch einen Fullscan mit Trend Micro HouseCall (letzer verfügbarer online Virenscanner) gemacht und keinen einzigen Fund gehabt.

**** Nachtrag:****

Nachdem Leo etwas von Firewall angesprochen hat, habe ich die Windows-Firewall aktiviert und das Problem ist verschwunden. Ich habe halt die Windows SW-Firewall immer deaktivert gehabt, da ich eine HW-Firewall habe.

Grüsse

CL

**Der Leo** · 01.06.2011, 14:27

Hm, ich glaub nicht das du einen Virus hast. Es kann vielmehr am Router liegen. Welchen Router benutzt du?

Ist das die IP Adresse? 78.47.268.118:80

CL · 01.06.2011, 14:40

Hallo Leo

Ich benutze den ZyXEL NBG-460N mit eingebauter SPI-Firewall.

Die IP-Adresse lautet 78.47.248.118:80

Ich kann es mir auch nicht vorstellen, dass das Einschalten der Windows-Firewall die Sache bereinigt, aber es ist so.

Damit können wir diese Diskussion schliessen.

Viele Grüsse und herzlichen Dank.

CL

**Der Leo** · 01.06.2011, 14:50

Kannst du bitte das Log des Angriffes hier reinstellen?

Es kann sein das du dir Malware eingefangen hast. Die IP wird mit TDSS in verbindung gebracht!
Von daher sollten wir deinen PC auf Malware untersuchen.

Schritt 1
Kaspersky TDSSKiller
Download : TDSSKiller.zip

Lade die TDSSKiller.zip herunter und entpacken es in einen einzelnen Ordner auf dem Desktop.
Starte die Datei TDSSKiller.exe
(User von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
Warte bis zum Ende der Untersuchung und der Desinfektion.
Poste das Ergebnis.

Schritt 2

MBRCheck
Downloade: MBRCheck

Speicher die MBRCheck.exe auf dem Desktop und führe sie aus.
User von Windows 7 und Vista: Rechtsklick als Administrator ausführen.
MBRCheck braucht nur wenige Sekunden.
Klicke im schwarzen Fenster ENTER um das Fenster zu schließen.
Poste das Textdokument MBRCheck_<Datum>_<Uhrzeit>.txt in dein Beitrag.

CL · 01.06.2011, 16:53

Hallo Leo

Danke vielmals für die Aufmerksamkeit

Uebrigens, im 1. Step habe ich für beide Meldungen angegeben, dass er das in die Quarantäne verschieben soll. War das richtig??

Ich habe dann die Windows Firewall wieder deaktiviert, die Maschine neu gestartet und mein ursprüngliches Problem mit dieser IP-Warnung ist nicht mehr aufgetreten.

Hier:

Aus 1. Step:

2011/06/01 16:36:20.0312 0604 TDSS rootkit removing tool 2.5.3.0 May 25 2011 07:09:24
2011/06/01 16:36:20.0437 0604 ================================================================================
2011/06/01 16:36:20.0437 0604 SystemInfo:
2011/06/01 16:36:20.0437 0604
2011/06/01 16:36:20.0437 0604 OS Version: 5.1.2600 ServicePack: 3.0
2011/06/01 16:36:20.0437 0604 Product type: Workstation
2011/06/01 16:36:20.0437 0604 ComputerName: DELL2005
2011/06/01 16:36:20.0437 0604 UserName: Anneliese Leblé
2011/06/01 16:36:20.0437 0604 Windows directory: C:\WINDOWS
2011/06/01 16:36:20.0437 0604 System windows directory: C:\WINDOWS
2011/06/01 16:36:20.0437 0604 Processor architecture: Intel x86
2011/06/01 16:36:20.0437 0604 Number of processors: 2
2011/06/01 16:36:20.0437 0604 Page size: 0x1000
2011/06/01 16:36:20.0437 0604 Boot type: Normal boot
2011/06/01 16:36:20.0437 0604 ================================================================================
2011/06/01 16:36:21.0765 0604 Initialize success
2011/06/01 16:36:32.0078 3980 ================================================================================
2011/06/01 16:36:32.0078 3980 Scan started
2011/06/01 16:36:32.0078 3980 Mode: Manual;
2011/06/01 16:36:32.0078 3980 ================================================================================
2011/06/01 16:36:32.0718 3980 abp480n5 (6abb91494fe6c59089b9336452ab2ea3) C:\WINDOWS\system32\DRIVERS\ABP480N5.SYS
2011/06/01 16:36:32.0781 3980 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/06/01 16:36:32.0828 3980 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/06/01 16:36:32.0875 3980 adpu160m (9a11864873da202c996558b2106b0bbc) C:\WINDOWS\system32\DRIVERS\adpu160m.sys
2011/06/01 16:36:32.0921 3980 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/06/01 16:36:32.0968 3980 afcdp (f132d0bfde7c5ea1ab42325c5694a969) C:\WINDOWS\system32\DRIVERS\afcdp.sys
2011/06/01 16:36:33.0031 3980 AFD (7618d5218f2a614672ec61a80d854a37) C:\WINDOWS\System32\drivers\afd.sys
2011/06/01 16:36:33.0125 3980 agp440 (08fd04aa961bdc77fb983f328334e3d7) C:\WINDOWS\system32\DRIVERS\agp440.sys
2011/06/01 16:36:33.0156 3980 agpCPQ (03a7e0922acfe1b07d5db2eeb0773063) C:\WINDOWS\system32\DRIVERS\agpCPQ.sys
2011/06/01 16:36:33.0218 3980 Aha154x (c23ea9b5f46c7f7910db3eab648ff013) C:\WINDOWS\system32\DRIVERS\aha154x.sys
2011/06/01 16:36:33.0250 3980 aic78u2 (19dd0fb48b0c18892f70e2e7d61a1529) C:\WINDOWS\system32\DRIVERS\aic78u2.sys
2011/06/01 16:36:33.0281 3980 aic78xx (b7fe594a7468aa0132deb03fb8e34326) C:\WINDOWS\system32\DRIVERS\aic78xx.sys
2011/06/01 16:36:33.0328 3980 AliIde (1140ab9938809700b46bb88e46d72a96) C:\WINDOWS\system32\DRIVERS\aliide.sys
2011/06/01 16:36:33.0359 3980 alim1541 (cb08aed0de2dd889a8a820cd8082d83c) C:\WINDOWS\system32\DRIVERS\alim1541.sys
2011/06/01 16:36:33.0421 3980 amdagp (95b4fb835e28aa1336ceeb07fd5b9398) C:\WINDOWS\system32\DRIVERS\amdagp.sys
2011/06/01 16:36:33.0468 3980 amsint (79f5add8d24bd6893f2903a3e2f3fad6) C:\WINDOWS\system32\DRIVERS\amsint.sys
2011/06/01 16:36:33.0515 3980 asc (62d318e9a0c8fc9b780008e724283707) C:\WINDOWS\system32\DRIVERS\asc.sys
2011/06/01 16:36:33.0562 3980 asc3350p (69eb0cc7714b32896ccbfd5edcbea447) C:\WINDOWS\system32\DRIVERS\asc3350p.sys
2011/06/01 16:36:33.0609 3980 asc3550 (5d8de112aa0254b907861e9e9c31d597) C:\WINDOWS\system32\DRIVERS\asc3550.sys
2011/06/01 16:36:33.0703 3980 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/06/01 16:36:33.0734 3980 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/06/01 16:36:33.0890 3980 ati2mtag (8763ede3e0cd40f5c3450571ac57f205) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
2011/06/01 16:36:34.0375 3980 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/06/01 16:36:34.0437 3980 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/06/01 16:36:34.0500 3980 b57w2k (0bb5248a2a5c6fbb50584c75c32ac2d0) C:\WINDOWS\system32\DRIVERS\b57xp32.sys
2011/06/01 16:36:34.0578 3980 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/06/01 16:36:34.0625 3980 cbidf (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\DRIVERS\cbidf2k.sys
2011/06/01 16:36:34.0656 3980 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/06/01 16:36:34.0671 3980 cd20xrnt (f3ec03299634490e97bbce94cd2954c7) C:\WINDOWS\system32\DRIVERS\cd20xrnt.sys
2011/06/01 16:36:34.0718 3980 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/06/01 16:36:34.0796 3980 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/06/01 16:36:34.0828 3980 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/06/01 16:36:34.0875 3980 CmdIde (c687f81290303d90099b027a6474f99f) C:\WINDOWS\system32\DRIVERS\cmdide.sys
2011/06/01 16:36:34.0968 3980 CO_Mon (6be1d6403727bdd8a2b2568dbe6bfb8b) C:\WINDOWS\system32\Drivers\CO_Mon.sys
2011/06/01 16:36:35.0015 3980 Cpqarray (3ee529119eed34cd212a215e8c40d4b6) C:\WINDOWS\system32\DRIVERS\cpqarray.sys
2011/06/01 16:36:35.0078 3980 dac2w2k (e550e7418984b65a78299d248f0a7f36) C:\WINDOWS\system32\DRIVERS\dac2w2k.sys
2011/06/01 16:36:35.0140 3980 dac960nt (683789caa3864eb46125ae86ff677d34) C:\WINDOWS\system32\DRIVERS\dac960nt.sys
2011/06/01 16:36:35.0203 3980 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/06/01 16:36:35.0265 3980 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/06/01 16:36:35.0328 3980 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/06/01 16:36:35.0359 3980 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/06/01 16:36:35.0390 3980 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/06/01 16:36:35.0421 3980 dpti2o (40f3b93b4e5b0126f2f5c0a7a5e22660) C:\WINDOWS\system32\DRIVERS\dpti2o.sys
2011/06/01 16:36:35.0453 3980 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/06/01 16:36:35.0531 3980 drvmcdb (96bc8f872f0270c10edc3931f1c03776) C:\WINDOWS\system32\drivers\drvmcdb.sys
2011/06/01 16:36:35.0593 3980 E100B (a6de5342417fec3c0aa8efebb899c431) C:\WINDOWS\system32\DRIVERS\e100b325.sys
2011/06/01 16:36:35.0687 3980 eamon (d42dd9021acd47683b33adf21bca49aa) C:\WINDOWS\system32\DRIVERS\eamon.sys
2011/06/01 16:36:35.0812 3980 ehdrv (fe7824239d132ad9ebd8645fe1199b30) C:\WINDOWS\system32\DRIVERS\ehdrv.sys
2011/06/01 16:36:35.0906 3980 epfwtdir (aa0667eb9a92414abb784c101a6c7fec) C:\WINDOWS\system32\DRIVERS\epfwtdir.sys
2011/06/01 16:36:35.0984 3980 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/06/01 16:36:36.0015 3980 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/06/01 16:36:36.0062 3980 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/06/01 16:36:36.0093 3980 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/06/01 16:36:36.0156 3980 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/06/01 16:36:36.0218 3980 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/06/01 16:36:36.0250 3980 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/06/01 16:36:36.0312 3980 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/06/01 16:36:36.0390 3980 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/06/01 16:36:36.0421 3980 hpn (b028377dea0546a5fcfba928a8aefae0) C:\WINDOWS\system32\DRIVERS\hpn.sys
2011/06/01 16:36:36.0500 3980 hpusbfd (fea040582be5db58a8fafe3948736526) C:\WINDOWS\system32\DRIVERS\hpusbfd.sys
2011/06/01 16:36:36.0578 3980 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/06/01 16:36:36.0640 3980 i2omgmt (9368670bd426ebea5e8b18a62416ec28) C:\WINDOWS\system32\drivers\i2omgmt.sys
2011/06/01 16:36:36.0687 3980 i2omp (f10863bf1ccc290babd1a09188ae49e0) C:\WINDOWS\system32\DRIVERS\i2omp.sys
2011/06/01 16:36:36.0734 3980 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/06/01 16:36:36.0781 3980 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/06/01 16:36:36.0828 3980 ini910u (4a40e045faee58631fd8d91afc620719) C:\WINDOWS\system32\DRIVERS\ini910u.sys
2011/06/01 16:36:36.0875 3980 IntelIde (69c4e3c9e67a1f103b94e14fdd5f3213) C:\WINDOWS\system32\DRIVERS\intelide.sys
2011/06/01 16:36:36.0937 3980 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/06/01 16:36:37.0000 3980 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/06/01 16:36:37.0031 3980 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/06/01 16:36:37.0062 3980 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/06/01 16:36:37.0093 3980 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/06/01 16:36:37.0140 3980 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/06/01 16:36:37.0171 3980 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/06/01 16:36:37.0218 3980 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/06/01 16:36:37.0265 3980 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/06/01 16:36:37.0296 3980 kbdhid (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/06/01 16:36:37.0328 3980 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/06/01 16:36:37.0390 3980 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/06/01 16:36:37.0484 3980 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/06/01 16:36:37.0546 3980 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/06/01 16:36:37.0625 3980 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/06/01 16:36:37.0656 3980 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/06/01 16:36:37.0750 3980 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/06/01 16:36:37.0781 3980 mraid35x (3f4bb95e5a44f3be34824e8e7caf0737) C:\WINDOWS\system32\DRIVERS\mraid35x.sys
2011/06/01 16:36:37.0828 3980 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/06/01 16:36:37.0906 3980 MRxSmb (0ea4d8ed179b75f8afa7998ba22285ca) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/06/01 16:36:38.0062 3980 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/06/01 16:36:38.0093 3980 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/06/01 16:36:38.0140 3980 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/06/01 16:36:38.0171 3980 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/06/01 16:36:38.0218 3980 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/06/01 16:36:38.0265 3980 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/06/01 16:36:38.0296 3980 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/06/01 16:36:38.0328 3980 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/06/01 16:36:38.0406 3980 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/06/01 16:36:38.0453 3980 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/06/01 16:36:38.0515 3980 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/06/01 16:36:38.0562 3980 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/06/01 16:36:38.0609 3980 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/06/01 16:36:38.0656 3980 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/06/01 16:36:38.0718 3980 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/06/01 16:36:38.0781 3980 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/06/01 16:36:38.0875 3980 nv (2b298519edbfcf451d43e0f1e8f1006d) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2011/06/01 16:36:38.0937 3980 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/06/01 16:36:38.0968 3980 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/06/01 16:36:39.0046 3980 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/06/01 16:36:39.0078 3980 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/06/01 16:36:39.0109 3980 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/06/01 16:36:39.0156 3980 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/06/01 16:36:39.0234 3980 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/06/01 16:36:39.0343 3980 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/06/01 16:36:39.0468 3980 perc2 (6c14b9c19ba84f73d3a86dba11133101) C:\WINDOWS\system32\DRIVERS\perc2.sys
2011/06/01 16:36:39.0515 3980 perc2hib (f50f7c27f131afe7beba13e14a3b9416) C:\WINDOWS\system32\DRIVERS\perc2hib.sys
2011/06/01 16:36:39.0625 3980 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/06/01 16:36:39.0687 3980 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/06/01 16:36:39.0734 3980 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/06/01 16:36:39.0796 3980 PxHelp20 (7c81ae3c9b82ba2da437ed4d31bc56cf) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/06/01 16:36:39.0843 3980 ql1080 (0a63fb54039eb5662433caba3b26dba7) C:\WINDOWS\system32\DRIVERS\ql1080.sys
2011/06/01 16:36:39.0890 3980 Ql10wnt (6503449e1d43a0ff0201ad5cb1b8c706) C:\WINDOWS\system32\DRIVERS\ql10wnt.sys
2011/06/01 16:36:39.0937 3980 ql12160 (156ed0ef20c15114ca097a34a30d8a01) C:\WINDOWS\system32\DRIVERS\ql12160.sys
2011/06/01 16:36:39.0984 3980 ql1240 (70f016bebde6d29e864c1230a07cc5e6) C:\WINDOWS\system32\DRIVERS\ql1240.sys
2011/06/01 16:36:40.0031 3980 ql1280 (907f0aeea6bc451011611e732bd31fcf) C:\WINDOWS\system32\DRIVERS\ql1280.sys
2011/06/01 16:36:40.0078 3980 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/06/01 16:36:40.0140 3980 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/06/01 16:36:40.0218 3980 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/06/01 16:36:40.0234 3980 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/06/01 16:36:40.0281 3980 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/06/01 16:36:40.0312 3980 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/06/01 16:36:40.0375 3980 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/06/01 16:36:40.0421 3980 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/06/01 16:36:40.0484 3980 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/06/01 16:36:40.0578 3980 scsiscan (089870dab7aa277585c475ae09ee4c63) C:\WINDOWS\system32\DRIVERS\scsiscan.sys
2011/06/01 16:36:40.0656 3980 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/06/01 16:36:40.0734 3980 senfilt (b9c7617c1e8ab6fdff75d3c8dafcb4c8) C:\WINDOWS\system32\drivers\senfilt.sys
2011/06/01 16:36:40.0781 3980 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/06/01 16:36:40.0812 3980 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/06/01 16:36:40.0859 3980 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/06/01 16:36:40.0953 3980 sisagp (6b33d0ebd30db32e27d1d78fe946a754) C:\WINDOWS\system32\DRIVERS\sisagp.sys
2011/06/01 16:36:41.0046 3980 smwdm (c6d9959e493682f872a639b6ec1b4a08) C:\WINDOWS\system32\drivers\smwdm.sys
2011/06/01 16:36:41.0156 3980 snapman (ffd9b64db2cd7b74b766c3a8452a5816) C:\WINDOWS\system32\DRIVERS\snapman.sys
2011/06/01 16:36:41.0250 3980 Sparrow (83c0f71f86d3bdaf915685f3d568b20e) C:\WINDOWS\system32\DRIVERS\sparrow.sys
2011/06/01 16:36:41.0296 3980 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/06/01 16:36:41.0375 3980 sptd (71e276f6d189413266ea22171806597b) C:\WINDOWS\system32\Drivers\sptd.sys
2011/06/01 16:36:41.0375 3980 Suspicious file (NoAccess): C:\WINDOWS\system32\Drivers\sptd.sys. md5: 71e276f6d189413266ea22171806597b
2011/06/01 16:36:41.0375 3980 sptd - detected LockedFile.Multi.Generic (1)
2011/06/01 16:36:41.0421 3980 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/06/01 16:36:41.0500 3980 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/06/01 16:36:41.0625 3980 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/06/01 16:36:41.0671 3980 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/06/01 16:36:41.0718 3980 symc810 (1ff3217614018630d0a6758630fc698c) C:\WINDOWS\system32\DRIVERS\symc810.sys
2011/06/01 16:36:41.0765 3980 symc8xx (070e001d95cf725186ef8b20335f933c) C:\WINDOWS\system32\DRIVERS\symc8xx.sys
2011/06/01 16:36:41.0828 3980 SYMREDRV (7c73b65f1bdfab9052a5076c0ca622de) C:\WINDOWS\system32\Drivers\SYMREDRV.SYS
2011/06/01 16:36:41.0875 3980 SYMTDI (b4562798891dca27ed67ca07acbadbd9) C:\WINDOWS\system32\Drivers\SYMTDI.SYS
2011/06/01 16:36:41.0953 3980 sym_hi (80ac1c4abbe2df3b738bf15517a51f2c) C:\WINDOWS\system32\DRIVERS\sym_hi.sys
2011/06/01 16:36:41.0984 3980 sym_u3 (bf4fab949a382a8e105f46ebb4937058) C:\WINDOWS\system32\DRIVERS\sym_u3.sys
2011/06/01 16:36:42.0031 3980 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/06/01 16:36:42.0109 3980 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/06/01 16:36:42.0171 3980 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/06/01 16:36:42.0265 3980 tdrpman251 (3630f5b8181554deecfe2e4252bc4c4c) C:\WINDOWS\system32\DRIVERS\tdrpm251.sys
2011/06/01 16:36:42.0437 3980 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/06/01 16:36:42.0515 3980 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/06/01 16:36:42.0578 3980 tifsfilter (b0b3122bff3910e0ba97014045467778) C:\WINDOWS\system32\DRIVERS\tifsfilt.sys
2011/06/01 16:36:42.0656 3980 timounter (c820bfc70feb25ec877c49e81cd477c1) C:\WINDOWS\system32\DRIVERS\timntr.sys
2011/06/01 16:36:42.0781 3980 TosIde (d213a9247dc347f305a2d4cc9b951487) C:\WINDOWS\system32\DRIVERS\toside.sys
2011/06/01 16:36:42.0843 3980 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/06/01 16:36:42.0875 3980 ultra (1b698a51cd528d8da4ffaed66dfc51b9) C:\WINDOWS\system32\DRIVERS\ultra.sys
2011/06/01 16:36:42.0953 3980 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/06/01 16:36:43.0031 3980 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/06/01 16:36:43.0093 3980 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/06/01 16:36:43.0125 3980 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/06/01 16:36:43.0171 3980 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/06/01 16:36:43.0218 3980 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/06/01 16:36:43.0265 3980 usb_rndisx (b6cc50279d6cd28e090a5d33244adc9a) C:\WINDOWS\system32\DRIVERS\usb8023x.sys
2011/06/01 16:36:43.0312 3980 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/06/01 16:36:43.0375 3980 viaagp (754292ce5848b3738281b4f3607eaef4) C:\WINDOWS\system32\DRIVERS\viaagp.sys
2011/06/01 16:36:43.0453 3980 ViaIde (3b3efcda263b8ac14fdf9cbdd0791b2e) C:\WINDOWS\system32\DRIVERS\viaide.sys
2011/06/01 16:36:43.0500 3980 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/06/01 16:36:43.0578 3980 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/06/01 16:36:43.0640 3980 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/06/01 16:36:43.0765 3980 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/06/01 16:36:43.0812 3980 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/06/01 16:36:43.0843 3980 MBR (0x1B8) (2839639fa37b8353e792a2a30a12ced3) \Device\Harddisk0\DR0
2011/06/01 16:36:43.0843 3980 \Device\Harddisk0\DR0 - detected Rootkit.Win32.TDSS.tdl4 (0)
2011/06/01 16:36:43.0843 3980 ================================================================================
2011/06/01 16:36:43.0843 3980 Scan finished
2011/06/01 16:36:43.0843 3980 ================================================================================
2011/06/01 16:36:43.0859 2124 Detected object count: 2
2011/06/01 16:36:43.0859 2124 Actual detected object count: 2
2011/06/01 16:38:06.0093 2124 sptd (71e276f6d189413266ea22171806597b) C:\WINDOWS\system32\Drivers\sptd.sys
2011/06/01 16:38:06.0093 2124 Suspicious file (NoAccess): C:\WINDOWS\system32\Drivers\sptd.sys. md5: 71e276f6d189413266ea22171806597b
2011/06/01 16:38:06.0093 2124 C:\WINDOWS\system32\Drivers\sptd.sys - copied to quarantine
2011/06/01 16:38:06.0250 2124 LockedFile.Multi.Generic(sptd) - User select action: Quarantine
2011/06/01 16:38:06.0265 2124 MBR (0x1B8) (2839639fa37b8353e792a2a30a12ced3) \Device\Harddisk0\DR0
2011/06/01 16:38:06.0265 2124 \Device\Harddisk0\DR0 - copied to quarantine
2011/06/01 16:38:06.0281 2124 MBR (0x1B8) (2839639fa37b8353e792a2a30a12ced3) \Device\Harddisk0\DR0
2011/06/01 16:38:06.0296 2124 \Device\Harddisk0\DR0\TDLFS\cfg.ini - copied to quarantine
2011/06/01 16:38:06.0312 2124 \Device\Harddisk0\DR0\TDLFS\mbr - copied to quarantine
2011/06/01 16:38:06.0312 2124 \Device\Harddisk0\DR0\TDLFS\ldr16 - copied to quarantine
2011/06/01 16:38:06.0312 2124 \Device\Harddisk0\DR0\TDLFS\ldr32 - copied to quarantine
2011/06/01 16:38:17.0437 2124 \Device\Harddisk0\DR0\TDLFS\ldr64 - copied to quarantine
2011/06/01 16:38:20.0359 2124 \Device\Harddisk0\DR0\TDLFS\drv32 - copied to quarantine
2011/06/01 16:38:21.0203 2124 \Device\Harddisk0\DR0\TDLFS\drv64 - copied to quarantine
2011/06/01 16:38:22.0031 2124 \Device\Harddisk0\DR0\TDLFS\cmd.dll - copied to quarantine
2011/06/01 16:38:22.0843 2124 \Device\Harddisk0\DR0\TDLFS\cmd64.dll - copied to quarantine
2011/06/01 16:38:23.0687 2124 \Device\Harddisk0\DR0\TDLFS\bckfg.tmp - copied to quarantine
2011/06/01 16:38:23.0687 2124 \Device\Harddisk0\DR0\TDLFS\keywords - copied to quarantine
2011/06/01 16:38:23.0687 2124 Rootkit.Win32.TDSS.tdl4(\Device\Harddisk0\DR0) - User select action: Quarantine

*****************************

aus 2. Step:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x00003c1d

Kernel Drivers (total 128):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E6000 \WINDOWS\system32\hal.dll
0x89ECC000 \WINDOWS\system32\KDCOM.DLL
0xF789B000 \WINDOWS\system32\BOOTVID.dll
0xF7286000 spqf.sys
0xF7987000 \WINDOWS\System32\Drivers\WMILIB.SYS
0xF726E000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
0xF723F000 ACPI.sys
0xF722E000 pci.sys
0xF7487000 isapnp.sys
0xF7A4F000 pciide.sys
0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7497000 MountMgr.sys
0xF720F000 ftdisk.sys
0xF7989000 dmload.sys
0xF71E9000 dmio.sys
0xF770F000 PartMgr.sys
0xF74A7000 VolSnap.sys
0xF71D1000 atapi.sys
0xF74B7000 aic78xx.sys
0xF74C7000 disk.sys
0xF74D7000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF71B1000 fltmgr.sys
0xF719F000 sr.sys
0xF7189000 drvmcdb.sys
0xF7717000 PxHelp20.sys
0xF7172000 KSecDD.sys
0xF70E5000 Ntfs.sys
0xF70B8000 NDIS.sys
0xF702E000 timntr.sys
0xF6F53000 tdrpm251.sys
0xF6F2E000 snapman.sys
0xF6F14000 Mup.sys
0xF74F7000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF6A65000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF6A51000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF6A16000 \SystemRoot\system32\DRIVERS\b57xp32.sys
0xF787F000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF69F2000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7999000 \SystemRoot\System32\DRIVERS\hpusbfd.sys
0xF799D000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xF775F000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF69B2000 \SystemRoot\system32\drivers\smwdm.sys
0xF698E000 \SystemRoot\system32\drivers\portcls.sys
0xF75C7000 \SystemRoot\system32\drivers\drmk.sys
0xF696B000 \SystemRoot\system32\drivers\ks.sys
0xF68B8000 \SystemRoot\system32\drivers\senfilt.sys
0xF776F000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF68A4000 \SystemRoot\system32\DRIVERS\parport.sys
0xF75D7000 \SystemRoot\system32\DRIVERS\serial.sys
0xF6E3F000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF75E7000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF75F7000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7607000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF7B35000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7617000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF6E33000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF688D000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7627000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7637000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF77FF000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF687C000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7647000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7827000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7837000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF684C000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7657000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7887000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7727000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF79A5000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF67EE000 \SystemRoot\system32\DRIVERS\update.sys
0xF6EAB000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF7687000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF76A7000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF77DF000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF6E6F000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xF79AB000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7B97000 \SystemRoot\System32\Drivers\Null.SYS
0xF79AF000 \SystemRoot\System32\Drivers\Beep.SYS
0xAE6EF000 \SystemRoot\system32\DRIVERS\ehdrv.sys
0xF784F000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xF6E5F000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF76C7000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF7867000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF6E53000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF6E4B000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xF7767000 \SystemRoot\System32\drivers\vga.sys
0xF79C1000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79C5000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF777F000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF778F000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF6E3B000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xAE6BC000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAE663000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAE63B000 \SystemRoot\system32\DRIVERS\netbt.sys
0xAE615000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF7577000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xAE5D5000 \SystemRoot\system32\DRIVERS\epfwtdir.sys
0xAE5B3000 \SystemRoot\System32\drivers\afd.sys
0xF7587000 \SystemRoot\system32\DRIVERS\netbios.sys
0xAE588000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xAE518000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF7597000 \SystemRoot\System32\Drivers\Fips.SYS
0xAE7EE000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xAE70E000 \SystemRoot\System32\drivers\Dxapi.sys
0xF77A7000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7A8A000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF065000 \SystemRoot\System32\ati2cqag.dll
0xBF0FE000 \SystemRoot\System32\atikvmag.dll
0xBF182000 \SystemRoot\System32\atiok3x2.dll
0xBF1CD000 \SystemRoot\System32\ati3duag.dll
0xBF572000 \SystemRoot\System32\ativvaxx.dll
0xAC131000 \SystemRoot\system32\DRIVERS\eamon.sys
0xBF9C6000 \SystemRoot\System32\ATMFD.DLL
0xAE4D8000 \SystemRoot\system32\DRIVERS\tifsfilt.sys
0xABF11000 \??\C:\WINDOWS\system32\Drivers\SYMTDI.SYS
0xABDE4000 \SystemRoot\system32\drivers\wdmaud.sys
0xABE81000 \SystemRoot\system32\drivers\sysaudio.sys
0xABCC9000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xAB9CB000 \SystemRoot\system32\DRIVERS\afcdp.sys
0xAB9A7000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xAB747000 \SystemRoot\system32\DRIVERS\srv.sys
0xAB5DB000 \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys
0xAB064000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 43):
0 System Idle Process
4 System
764 C:\WINDOWS\system32\smss.exe
820 csrss.exe
856 C:\WINDOWS\system32\winlogon.exe
904 C:\WINDOWS\system32\services.exe
916 C:\WINDOWS\system32\lsass.exe
1104 C:\WINDOWS\system32\ati2evxx.exe
1144 C:\WINDOWS\system32\svchost.exe
1244 svchost.exe
1344 C:\WINDOWS\system32\svchost.exe
1420 C:\WINDOWS\system32\ati2evxx.exe
1460 svchost.exe
1616 svchost.exe
1656 C:\WINDOWS\system32\spoolsv.exe
588 svchost.exe
880 C:\WINDOWS\system32\netdde.exe
1176 C:\WINDOWS\explorer.exe
1388 C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
1436 C:\Programme\Analog Devices\Core\smax4pnp.exe
1468 D:\Anwendungen_Programme\Acronis_TrueImage\TrueImageMonitor.exe
1520 C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
1556 C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
1632 D:\Anwendungen_Programme\Anti_Virus\egui.exe
1696 D:\Anwendungen_Programme\activesync\wcescomm.exe
1704 C:\WINDOWS\system32\ctfmon.exe
1956 C:\WINDOWS\system32\clipsrv.exe
2000 D:\ANWEND~1\ACTIVE~1\rapimgr.exe
264 D:\Anwendungen_Programme\Anti_Virus\ekrn.exe
456 C:\WINDOWS\system32\inetsrv\inetinfo.exe
620 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
808 sqlservr.exe
2284 ReportingServicesService.exe
2504 sqlbrowser.exe
2632 C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
2756 C:\WINDOWS\system32\svchost.exe
2848 C:\Programme\UPHClean\uphclean.exe
3364 alg.exe
744 D:\Anwendungen_Programme\Mozilla\Firefox\firefox.exe
2276 D:\Anwendungen_Programme\Mozilla\Firefox\plugin-container.exe
1940 C:\WINDOWS\explorer.exe
3280 D:\Anwendungen_Programme\Adobe_Reader\Reader\AcroRd32Info.exe
3464 D:\Download\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`05e21800 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000005`05f77c00 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD160JJ/P, Rev: ZM100-34

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

Done!

Grüsse

CL

**Der Leo** · 01.06.2011, 19:20

Hallo,

Zitat:

Rootkit.Win32.TDSS.tdl4(\Device\Harddisk0\DR0) - User select action: Quarantine

Das war wohl der Auslöser für die Meldung von ESET.
Wir sind aber nicht durch! Bei dieser Bedrohung sollte man sich das System genauer anschauen.

Schritt 1

Zitat:

Uebrigens, im 1. Step habe ich für beide Meldungen angegeben, dass er das in die Quarantäne verschieben soll. War das richtig??

Wenn jetzt erneut ein Fund auftritt am besten gleich löschen. Ansonsten hast du dich richtig Verhalten

Wiederhol den TDSSKiller nochmal und Poste das Ergebnis.Halte dich an die Anweisung von oben.

Schritt 2
Combofix
Download: Combofix.exe

Speicher die Combofix.exe auf dem Desktop und führe sie aus.
User von Windows 7 und Vista: Rechtsklick als Administrator ausführen
Vor dem Ausführen unbedingt alle Antiviren – Antispyware- Programme deaktivieren. Dies geht meistens per rechtsklick im Systemtray.
Doppelklick auf die Combofix.exe und befolge die Anweisungen
Es ist möglich, dass der PC während der Bereinigung neustartet.
Nach dem Neustart erscheint eine Textdatei. Diesen Inhalt komplett in deinem Beitrag kopieren.
Nicht vergessen nach dem Scan alle Antiviren – Antispyware- Programme wieder zu Aktivieren.

CL · 02.06.2011, 10:32

Hallo Leo

Der erste Schritt ist ohne irgendwelche Fehlermeldungen idurchgelaufen.

Nun zum Log aus dem Combofix, welcher übrigens nach meiner Meinung schlank und ohne irgendwelche Besonderheiten durchgelaufen ist:

*********************************************************

ComboFix 11-06-01.07 - Anneliese Leblé 02.06.2011 10:17:53.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.41.1031.18.2046.1337 [GMT 2:00]
ausgeführt von:: d:\download\ComboFix.exe
AV: ESET NOD32 Antivirus 4.2 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Anneliese Leblé\WINDOWS
c:\programme\Internet Explorer\XYZ00351.TMP
c:\programme\Internet Explorer\XYZ00352.TMP
c:\programme\Internet Explorer\XYZ00353.TMP
c:\windows\1614915101.dll
c:\windows\1614915102.dll
c:\windows\1614915111.dll
c:\windows\1614915112.dll
c:\windows\1614915121.dll
c:\windows\1614915122.dll
c:\windows\161491561.dll
c:\windows\161491562.dll
c:\windows\161491571.dll
c:\windows\161491572.dll
c:\windows\161491581.dll
c:\windows\161491582.dll
c:\windows\161491591.dll
c:\windows\161491592.dll
c:\windows\1616925101.dll
c:\windows\1616925102.dll
c:\windows\1616925111.dll
c:\windows\1616925112.dll
c:\windows\1616925121.dll
c:\windows\1616925122.dll
c:\windows\161692561.dll
c:\windows\161692562.dll
c:\windows\161692571.dll
c:\windows\161692572.dll
c:\windows\161692581.dll
c:\windows\161692582.dll
c:\windows\161692591.dll
c:\windows\161692592.dll
c:\windows\ST6UNST.000
c:\windows\system32\Cache
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-05-02 bis 2011-06-02 ))))))))))))))))))))))))))))))
.
.
2011-06-01 14:38 . 2011-06-01 14:38 -------- d-----w- c:\dokumente und einstellungen\Anneliese Leblé\Lokale Einstellungen\Anwendungsdaten\ESET
2011-06-01 09:22 . 2011-06-01 09:22 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-14 06:53 . 2005-11-17 13:49 229928 ----a-w- c:\windows\system32\drivers\b57xp32.sys
2011-03-07 05:33 . 2004-08-13 12:53 692736 ------w- c:\windows\system32\inetcomm.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys
[-] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\system32\drivers\atapi.sys
[-] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys
[-] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\system32\ReinstallBackups\0010\DriverFiles\i386\atapi.sys
[-] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\system32\ReinstallBackups\0011\DriverFiles\i386\atapi.sys
.
[-] 2008-04-13 . B153AFFAC761E7F5FCFA822B9C4E97BC . 14336 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\asyncmac.sys
[-] 2008-04-13 . B153AFFAC761E7F5FCFA822B9C4E97BC . 14336 . . [5.1.2600.5512] . . c:\windows\system32\drivers\asyncmac.sys
[-] 2004-08-04 . 02000ABF34AF4C218C35D257024807D6 . 14336 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\asyncmac.sys
.
[-] 2004-08-04 . DA1F27D85E0D1525F6621372E7B685E9 . 4224 . . [5.1.2600.0] . . c:\windows\system32\dllcache\beep.sys
[-] 2004-08-04 . DA1F27D85E0D1525F6621372E7B685E9 . 4224 . . [5.1.2600.0] . . c:\windows\system32\drivers\beep.sys
.
[-] 2008-04-14 . 1704D8C4C8807B889E43C649B478A452 . 25216 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\kbdclass.sys
[-] 2008-04-14 . 1704D8C4C8807B889E43C649B478A452 . 25216 . . [5.1.2600.5512] . . c:\windows\system32\drivers\kbdclass.sys
[-] 2004-08-04 . B128FC0A5CD83F669D5DE4B58F77C7D6 . 25216 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\kbdclass.sys
.
[-] 2008-04-13 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ndis.sys
[-] 2008-04-13 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ndis.sys
[-] 2004-08-04 . 558635D3AF1C7546D26067D5D9B6959E . 182912 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ndis.sys
.
[-] 2008-04-13 . 78A08DD6A8D65E697C18E1DB01C5CDCA . 574976 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ntfs.sys
[-] 2008-04-13 . 78A08DD6A8D65E697C18E1DB01C5CDCA . 574976 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ntfs.sys
[-] 2007-02-09 . 05AB81909514BFD69CBB1F2C147CF6B9 . 574976 . . [5.1.2600.3081] . . c:\windows\$hf_mig$\KB930916\SP2QFE\ntfs.sys
[-] 2007-02-09 . 19A811EF5F1ED5C926A028CE107FF1AF . 574464 . . [5.1.2600.3081] . . c:\windows\$NtServicePackUninstall$\ntfs.sys
[-] 2004-08-04 . B78BE402C3F63DD55521F73876951CDD . 574592 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB930916$\ntfs.sys
.
[-] 2004-08-04 . 73C1E1F395918BC2C6DD67AF7591A3AD . 2944 . . [5.1.2600.0] . . c:\windows\system32\dllcache\null.sys
[-] 2004-08-04 . 73C1E1F395918BC2C6DD67AF7591A3AD . 2944 . . [5.1.2600.0] . . c:\windows\system32\drivers\null.sys
.
[-] 2008-04-14 . B42057F06BBB98B31876C0B3F2B54E33 . 77824 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\browser.dll
[-] 2008-04-14 . B42057F06BBB98B31876C0B3F2B54E33 . 77824 . . [5.1.2600.5512] . . c:\windows\system32\browser.dll
[-] 2004-12-20 . 9C55AF2205A4F0A50B5A90E1505CCD14 . 77824 . . [5.1.2600.2586] . . c:\windows\$NtServicePackUninstall$\browser.dll
[-] 2004-08-04 . D8653DCD80CF2EBB333FC4FCC43A7DEF . 77312 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB889320$\browser.dll
.
[-] 2008-04-14 . AFB8261B56CBA0D86AEB6DF682AF9785 . 13312 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\lsass.exe
[-] 2008-04-14 . AFB8261B56CBA0D86AEB6DF682AF9785 . 13312 . . [5.1.2600.5512] . . c:\windows\system32\lsass.exe
[-] 2004-08-04 . 183805EB05BCA5A1E4AAAED4D2BE3690 . 13312 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\lsass.exe
.
[-] 2008-04-14 . E6D88F1F6745BF00B57E7855A2AB696C . 198144 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\netman.dll
[-] 2008-04-14 . E6D88F1F6745BF00B57E7855A2AB696C . 198144 . . [5.1.2600.5512] . . c:\windows\system32\netman.dll
[-] 2005-08-22 . 1E5218FBE323C375B488318950E10FB4 . 197632 . . [5.1.2600.2743] . . c:\windows\$NtServicePackUninstall$\netman.dll
[-] 2005-08-22 . 19D9B6B139F09A72AE71758BDF28308E . 197632 . . [5.1.2600.2743] . . c:\windows\$hf_mig$\KB905414\SP2QFE\netman.dll
[-] 2004-08-04 . CDF4DA6B518105343FE9E8AFBBF8FBF4 . 198144 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB905414$\netman.dll
.
[-] 2008-04-14 02:22 . D0DE8A2EC95184E5193BB4B3112E29DF . 846848 . . [2001.12.4414.700] . . c:\windows\ServicePackFiles\i386\comres.dll
[-] 2008-04-14 02:22 . D0DE8A2EC95184E5193BB4B3112E29DF . 846848 . . [2001.12.4414.700] . . c:\windows\system32\comres.dll
[-] 2004-08-04 14:00 . 4B9D9E2708019763C5A72DA776DB1158 . 846848 . . [2001.12.4414.258] . . c:\windows\$NtServicePackUninstall$\comres.dll
.
[-] 2008-04-14 . D6F603772A789BB3228F310D650B8BD1 . 409088 . . [6.7.2600.5512] . . c:\windows\ServicePackFiles\i386\qmgr.dll
[-] 2008-04-14 . D6F603772A789BB3228F310D650B8BD1 . 409088 . . [6.7.2600.5512] . . c:\windows\system32\qmgr.dll
[-] 2008-04-14 . D6F603772A789BB3228F310D650B8BD1 . 409088 . . [6.7.2600.5512] . . c:\windows\system32\bits\qmgr.dll
[-] 2004-08-04 . 3A5E54A9AB96EF2D273B58136FB58EFE . 382464 . . [6.6.2600.2180] . . c:\windows\$NtServicePackUninstall$\qmgr.dll
.
[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2004-08-04 . 2B6A0BAF33A9918F09442D873848FF72 . 507392 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\winlogon.exe
.
[-] 2008-04-14 . 611F824E5C703A5A899F84C5F1699E4D . 62464 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\cryptsvc.dll
[-] 2008-04-14 . 611F824E5C703A5A899F84C5F1699E4D . 62464 . . [5.1.2600.5512] . . c:\windows\system32\cryptsvc.dll
[-] 2004-08-04 . 1A5F9DB98DF7955B4C7CBDBF2C638238 . 60416 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\cryptsvc.dll
.
[-] 2008-07-07 20:26 . AF4F6B5739D18CA7972AB53E091CBC74 . 253952 . . [2001.12.4414.706] . . c:\windows\system32\es.dll
[-] 2008-07-07 20:26 . AF4F6B5739D18CA7972AB53E091CBC74 . 253952 . . [2001.12.4414.706] . . c:\windows\system32\dllcache\es.dll
[-] 2008-07-07 20:23 . ADA7241C16F3F42C7F210539FAD5F3AA . 253952 . . [2001.12.4414.706] . . c:\windows\$hf_mig$\KB950974\SP3QFE\es.dll
[-] 2008-04-14 02:22 . 0F3EDAEE1EF97CF3DB2BE23A7289B78C . 246272 . . [2001.12.4414.701] . . c:\windows\$NtUninstallKB950974$\es.dll
[-] 2008-04-14 02:22 . 0F3EDAEE1EF97CF3DB2BE23A7289B78C . 246272 . . [2001.12.4414.701] . . c:\windows\ServicePackFiles\i386\es.dll
[-] 2005-07-26 04:39 . BEBC63622BDC30053A3145EBD90AF450 . 243200 . . [2001.12.4414.308] . . c:\windows\$NtServicePackUninstall$\es.dll
[-] 2005-07-26 04:29 . 0D0F85237E32538F58278D673032676A . 243200 . . [2001.12.4414.308] . . c:\windows\$hf_mig$\KB902400\SP2QFE\es.dll
[-] 2004-08-04 14:00 . 4E1A8645EE77CB9454FFE53C59620A25 . 243200 . . [2001.12.4414.258] . . c:\windows\$NtUninstallKB902400$\es.dll
.
[-] 2008-04-14 . F9954695D246B33A5BF105029A4C6AB6 . 110080 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\imm32.dll
[-] 2008-04-14 . F9954695D246B33A5BF105029A4C6AB6 . 110080 . . [5.1.2600.5512] . . c:\windows\system32\imm32.dll
[-] 2004-08-04 . 94101D13A1818A9D08337EEC12ED277A . 110080 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\imm32.dll
.
[-] 2008-04-14 . 5543A9D4A1D0F9F84092482A9373A024 . 19968 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\linkinfo.dll
[-] 2008-04-14 . 5543A9D4A1D0F9F84092482A9373A024 . 19968 . . [5.1.2600.5512] . . c:\windows\system32\linkinfo.dll
[-] 2005-09-01 . F2AFE60F01040B23207D8EB7DC26EC96 . 19968 . . [5.1.2600.2751] . . c:\windows\$hf_mig$\KB900725\SP2QFE\linkinfo.dll
[-] 2005-09-01 . 0E2B88912BF78549D5177A84A3375D52 . 19968 . . [5.1.2600.2751] . . c:\windows\$NtServicePackUninstall$\linkinfo.dll
[-] 2004-08-04 . 3898FFF548E2968CB3AC5A71D7F4E425 . 18944 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB900725$\linkinfo.dll
.
[-] 2008-04-14 . F38F3C47BBFFD748C1359AB171C3A630 . 22016 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\lpk.dll
[-] 2008-04-14 . F38F3C47BBFFD748C1359AB171C3A630 . 22016 . . [5.1.2600.5512] . . c:\windows\system32\lpk.dll
[-] 2004-08-04 . B4AD65C79F85C61D32C015B11E03CAAD . 22016 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\lpk.dll
.
[-] 2008-04-14 . C6A6E53A0C34EC87883137A6CB87AE5E . 343040 . . [7.0.2600.5512] . . c:\windows\ServicePackFiles\i386\msvcrt.dll
[-] 2008-04-14 . C6A6E53A0C34EC87883137A6CB87AE5E . 343040 . . [7.0.2600.5512] . . c:\windows\system32\msvcrt.dll
[-] 2008-04-14 . C536AAD8A71608FE33CD956214EDD366 . 343040 . . [7.0.2600.5512] . . c:\windows\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.26 00.5512_x-ww_3fd60d63\msvcrt.dll
[-] 2004-08-04 . B30BAA48E5063E71C76280E34E7E4802 . 343040 . . [7.0.2600.2180] . . c:\windows\$NtServicePackUninstall$\msvcrt.dll
[-] 2004-08-04 . 4200BE3808F6406DBE45A7B88DAE5035 . 322560 . . [7.0.2600.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.0. 0_x-ww_2726e76a\msvcrt.dll
[-] 2004-08-04 . 365B3C43810E1CF41B3BE1E7180F583B . 343040 . . [7.0.2600.2180] . . c:\windows\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.26 00.2180_x-ww_b2505ed9\msvcrt.dll
.
[-] 2008-04-14 . 0098D35F91DEAB9C127360A877F2CF84 . 407040 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\netlogon.dll
[-] 2008-04-14 . 0098D35F91DEAB9C127360A877F2CF84 . 407040 . . [5.1.2600.5512] . . c:\windows\system32\netlogon.dll
[-] 2004-08-04 . D27395EDCD3416AFD125A9370DCB585C . 407040 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\netlogon.dll
.
[-] 2008-04-14 . C8C0BDABC966B6C24D337DF0A0A399E1 . 17408 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\powrprof.dll
[-] 2008-04-14 . C8C0BDABC966B6C24D337DF0A0A399E1 . 17408 . . [6.00.2900.5512] . . c:\windows\system32\powrprof.dll
[-] 2004-08-04 . 5604574D490B798BD9A946B021A766AD . 17408 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\powrprof.dll
.
[-] 2008-04-14 . 5132443DF6FC3771A17AB4AE55DCBC28 . 187904 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\scecli.dll
[-] 2008-04-14 . 5132443DF6FC3771A17AB4AE55DCBC28 . 187904 . . [5.1.2600.5512] . . c:\windows\system32\scecli.dll
[-] 2004-08-04 . 64DC26B3CF7BCCAD431CE360A4C625D5 . 186880 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\scecli.dll
.
[-] 2008-04-14 . 44161A59DC33AC2EA9C95438ADFFFB7F . 5120 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\sfc.dll
[-] 2008-04-14 . 44161A59DC33AC2EA9C95438ADFFFB7F . 5120 . . [5.1.2600.5512] . . c:\windows\system32\sfc.dll
[-] 2004-08-04 . F62934BC94299083EBFC8810242D8640 . 5120 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\sfc.dll
.
[-] 2008-04-14 . 4FBC75B74479C7A6F829E0CA19DF3366 . 14336 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\svchost.exe
[-] 2008-04-14 . 4FBC75B74479C7A6F829E0CA19DF3366 . 14336 . . [5.1.2600.5512] . . c:\windows\system32\svchost.exe
[-] 2004-08-04 . 65A819B121EB6FDAB4400EA42BDFFE64 . 14336 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\svchost.exe
.
[-] 2008-04-14 . 05903CAC4B98908D55EA5774775B382E . 249856 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tapisrv.dll
[-] 2008-04-14 . 05903CAC4B98908D55EA5774775B382E . 249856 . . [5.1.2600.5512] . . c:\windows\system32\tapisrv.dll
[-] 2005-07-08 . F07061E18613F336A3120229097F7635 . 249344 . . [5.1.2600.2716] . . c:\windows\$hf_mig$\KB893756\SP2QFE\tapisrv.dll
[-] 2005-07-08 . 427D7EB3B453347082C8F4B370065D60 . 249344 . . [5.1.2600.2716] . . c:\windows\$NtServicePackUninstall$\tapisrv.dll
[-] 2004-08-04 . 4584E2A5FE662AB3E7C32936E1449043 . 246272 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB893756$\tapisrv.dll
.
[-] 2008-04-14 . B0050CC5340E3A0760DD8B417FF7AEBD . 580096 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\user32.dll
[-] 2008-04-14 . B0050CC5340E3A0760DD8B417FF7AEBD . 580096 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
[-] 2007-03-08 . 78785EFF8CB90CEC1862A4CCFD9A3C3A . 579584 . . [5.1.2600.3099] . . c:\windows\$hf_mig$\KB925902\SP2QFE\user32.dll
[-] 2007-03-08 . 492E166CFD26A50FB9160DB536FF7D2B . 579072 . . [5.1.2600.3099] . . c:\windows\$NtServicePackUninstall$\user32.dll
[-] 2005-03-02 . 4C90159A69A5FD3EB39C71411F28FCFF . 578560 . . [5.1.2600.2622] . . c:\windows\$hf_mig$\KB890859\SP2QFE\user32.dll
[-] 2005-03-02 . 3751D7CF0E0A113D84414992146BCE6A . 578560 . . [5.1.2600.2622] . . c:\windows\$NtUninstallKB925902$\user32.dll
[-] 2004-08-04 . 56785FD5236D7B22CF471A6DA9DB46D8 . 578560 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB890859$\user32.dll
.
[-] 2008-04-14 . 788F95312E26389D596C0FA55834E106 . 26624 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\userinit.exe
[-] 2008-04-14 . 788F95312E26389D596C0FA55834E106 . 26624 . . [5.1.2600.5512] . . c:\windows\system32\userinit.exe
[-] 2004-08-04 . D1E53DC57143F2584B1DD53B036C0633 . 25088 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\userinit.exe
.
[-] 2008-04-14 . 6A35E2D6F5F052C84EC2CEB296389439 . 82432 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ws2_32.dll
[-] 2008-04-14 . 6A35E2D6F5F052C84EC2CEB296389439 . 82432 . . [5.1.2600.5512] . . c:\windows\system32\ws2_32.dll
[-] 2004-08-04 . D569240A22421D5F670BB6FB6DD522B5 . 82944 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ws2_32.dll
.
[-] 2008-04-14 . C7D8A0517CBF16B84F657DE87EBE9D4B . 19968 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ws2help.dll
[-] 2008-04-14 . C7D8A0517CBF16B84F657DE87EBE9D4B . 19968 . . [5.1.2600.5512] . . c:\windows\system32\ws2help.dll
[-] 2004-08-04 . B3ADA72D1E3E10A8F6430669DFC38ED0 . 19968 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ws2help.dll
.
[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe
[-] 2007-06-13 . 64D320C0E301EEDC5A4ADBBDC5024F7F . 1036288 . . [6.00.2900.3156] . . c:\windows\$NtServicePackUninstall$\explorer.exe
[-] 2007-06-13 . 331ED93570BAF3CFE30340298762CD56 . 1036288 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[-] 2004-08-04 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe
.
[-] 2008-04-14 . AD9226BF3CED13636083BB9C76E9D2A2 . 153600 . . [5.1.2600.5512] . . c:\windows\regedit.exe
[-] 2008-04-14 . AD9226BF3CED13636083BB9C76E9D2A2 . 153600 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\regedit.exe
[-] 2004-08-04 . 8193CE5FB09E83F2699FD65BBCBE2FD2 . 153600 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\regedit.exe
.
[-] 2008-04-14 . FE77A85495065F3AD59C5C65B6C54182 . 171520 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\srsvc.dll
[-] 2008-04-14 . FE77A85495065F3AD59C5C65B6C54182 . 171520 . . [5.1.2600.5512] . . c:\windows\system32\srsvc.dll
[-] 2004-08-04 . 015F302C4CF961F20C3F98F3A7CA7917 . 171008 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\srsvc.dll
.
[-] 2008-04-14 . EDAFBE25FB6480CE68F688BA691890DC . 13824 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\wscntfy.exe
[-] 2008-04-14 . EDAFBE25FB6480CE68F688BA691890DC . 13824 . . [5.1.2600.5512] . . c:\windows\system32\wscntfy.exe
[-] 2004-08-04 . 7D3E0BEB62799112F5C9FF717D72BF29 . 13824 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\wscntfy.exe
.
[-] 2008-04-14 . 0ADA34871A2E1CD2CAAFED1237A47750 . 129024 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\xmlprov.dll
[-] 2008-04-14 . 0ADA34871A2E1CD2CAAFED1237A47750 . 129024 . . [5.1.2600.5512] . . c:\windows\system32\xmlprov.dll
[-] 2004-08-04 . 8302DE1C64618D72346DD0034DBC5D9B . 129536 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\xmlprov.dll
.
[-] 2008-04-14 . 04955AA695448C181B367D964AF158AA . 56320 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\eventlog.dll
[-] 2008-04-14 . 04955AA695448C181B367D964AF158AA . 56320 . . [5.1.2600.5512] . . c:\windows\system32\eventlog.dll
[-] 2004-08-04 . B932C077D5A65B71B4512544AC404CB4 . 55808 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\eventlog.dll
.
[-] 2008-04-14 . 5251425B86EA4A3532B8BB8D14044E61 . 1571840 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\sfcfiles.dll
[-] 2008-04-14 . 5251425B86EA4A3532B8BB8D14044E61 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
[-] 2004-08-04 . 80F7B7198B869C07C98627AF812D68B6 . 1548288 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\sfcfiles.dll
.
[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
[-] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
.
[-] 2008-04-14 . E4CD1F3D84E1C2CA0B8CF7501E201593 . 59904 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\regsvc.dll
[-] 2008-04-14 . E4CD1F3D84E1C2CA0B8CF7501E201593 . 59904 . . [5.1.2600.5512] . . c:\windows\system32\regsvc.dll
[-] 2004-08-04 . AE81CF7D7CFA79CD03E8FB99788A7E09 . 59904 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\regsvc.dll
.
[-] 2008-04-14 . A050194A44D7FA8D7186ED2F4E8367AE . 193536 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\schedsvc.dll
[-] 2008-04-14 . A050194A44D7FA8D7186ED2F4E8367AE . 193536 . . [5.1.2600.5512] . . c:\windows\system32\schedsvc.dll
[-] 2004-08-04 . D5E73842F38E24457C63FEF8CEFFBE19 . 192000 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\schedsvc.dll
.
[-] 2008-04-14 . 4DF5B05DFAEC29E13E1ED6F6EE12C500 . 71680 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ssdpsrv.dll
[-] 2008-04-14 . 4DF5B05DFAEC29E13E1ED6F6EE12C500 . 71680 . . [5.1.2600.5512] . . c:\windows\system32\ssdpsrv.dll
[-] 2004-08-04 . 6FA03B462B2FFFE2627171B7FE73EE29 . 71680 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ssdpsrv.dll
.
[-] 2008-04-14 . B7DE02C863D8F5A005A7BF375375A6A4 . 297472 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\termsrv.dll
[-] 2008-04-14 . B7DE02C863D8F5A005A7BF375375A6A4 . 297472 . . [5.1.2600.5512] . . c:\windows\system32\termsrv.dll
[-] 2004-08-04 . 1850BC10DE5DCCCEDE063FC2D0F2CEDA . 297472 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\termsrv.dll
.
[-] 2008-04-14 . 0DAF0705D7B39C94E287913226688804 . 348672 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\hnetcfg.dll
[-] 2008-04-14 . 0DAF0705D7B39C94E287913226688804 . 348672 . . [5.1.2600.5512] . . c:\windows\system32\hnetcfg.dll
[-] 2004-08-04 . AE93E415220A4C0112768A0DEE36D28D . 348672 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\hnetcfg.dll
.
[-] 2008-04-14 . D45960BE52C3C610D361977057F98C54 . 175616 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\appmgmts.dll
[-] 2008-04-14 . D45960BE52C3C610D361977057F98C54 . 175616 . . [5.1.2600.5512] . . c:\windows\system32\appmgmts.dll
[-] 2004-08-04 . BECD5328E7869807D6557BE4FE60C72F . 175616 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\appmgmts.dll
.
[-] 2004-08-04 . 9E1CA3160DAFB159CA14F83B1E317F75 . 12160 . . [5.1.2600.0] . . c:\windows\system32\dllcache\acpiec.sys
[-] 2004-08-04 . 9E1CA3160DAFB159CA14F83B1E317F75 . 12160 . . [5.1.2600.0] . . c:\windows\system32\drivers\acpiec.sys
.
[-] 2008-04-13 16:39 . 8BED39E3C35D6A489438B8141717A557 . 142592 . . [5.1.2601.3142] . . c:\windows\ServicePackFiles\i386\aec.sys
[-] 2008-04-13 16:39 . 8BED39E3C35D6A489438B8141717A557 . 142592 . . [5.1.2601.3142] . . c:\windows\system32\drivers\aec.sys
[-] 2006-02-15 00:30 . 1EE7B434BA961EF845DE136224C30FEC . 142464 . . [5.1.2601.2180] . . c:\windows\$hf_mig$\KB900485\SP2QFE\aec.sys
[-] 2006-02-15 00:22 . 1EE7B434BA961EF845DE136224C30FEC . 142464 . . [5.1.2601.2180] . . c:\windows\$NtServicePackUninstall$\aec.sys
[-] 2004-08-03 22:39 . 841F385C6CFAF66B58FBD898722BB4F0 . 142464 . . [5.1.2601.2078] . . c:\windows\$NtUninstallKB900485$\aec.sys
.
[-] 2008-04-13 . 08FD04AA961BDC77FB983F328334E3D7 . 42368 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\agp440.sys
[-] 2008-04-13 . 08FD04AA961BDC77FB983F328334E3D7 . 42368 . . [5.1.2600.5512] . . c:\windows\system32\drivers\agp440.sys
[-] 2004-08-03 . 2C428FA0C3E3A01ED93C9B2A27D8D4BB . 42368 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\agp440.sys
.
[-] 2008-04-13 . 3BB22519A194418D5FEC05D800A19AD0 . 36608 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ip6fw.sys
[-] 2008-04-13 . 3BB22519A194418D5FEC05D800A19AD0 . 36608 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ip6fw.sys
[-] 2004-08-04 . 4448006B6BC60E6C027932CFC38D6855 . 29056 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ip6fw.sys
.
[-] 2008-04-14 . B7550A7107281D170CE85524B1488C98 . 33792 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\msgsvc.dll
[-] 2008-04-14 . B7550A7107281D170CE85524B1488C98 . 33792 . . [5.1.2600.5512] . . c:\windows\system32\msgsvc.dll
[-] 2004-08-04 . E5215AB942C5AC5F7EB0E54871D7A27C . 33792 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\msgsvc.dll
.
[-] 2006-10-18 19:47 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\mspmsnsv.dll
[-] 2006-10-18 19:47 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\windows\system32\dllcache\mspmsnsv.dll
[-] 2005-01-28 12:44 . 140EF97B64F560FD78643CAE2CDAD838 . 25088 . . [10.0.3790.3802] . . c:\windows\$NtUninstallWMFDist11$\mspmsnsv.dll
[-] 2005-01-28 12:44 . 140EF97B64F560FD78643CAE2CDAD838 . 25088 . . [10.0.3790.3802] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}\MsPMSNSv.dll
[-] 2004-08-04 14:00 . D68CC4EBF7B03FD770D5962295AD814E . 52736 . . [9.0.1.56] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}$BACKUP$\System\MsPMSNSv.dll
.
[-] 2008-04-14 02:22 . 56AF4064996FA5BAC9C449B1514B4770 . 438272 . . [5.1.2400.5512] . . c:\windows\ServicePackFiles\i386\ntmssvc.dll
[-] 2008-04-14 02:22 . 56AF4064996FA5BAC9C449B1514B4770 . 438272 . . [5.1.2400.5512] . . c:\windows\system32\ntmssvc.dll
[-] 2004-08-04 14:00 . 428AA946A8D9F32DBB4260C8E6E13377 . 438272 . . [5.1.2400.2180] . . c:\windows\$NtServicePackUninstall$\ntmssvc.dll
.
[-] 2008-04-14 . 1DFD8975D8C89214B98D9387C1125B49 . 186880 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\upnphost.dll
[-] 2008-04-14 . 1DFD8975D8C89214B98D9387C1125B49 . 186880 . . [5.1.2600.5512] . . c:\windows\system32\upnphost.dll
[-] 2007-02-05 . 5C686B95470AC24E133AB4DAC4639A6C . 185856 . . [5.1.2600.3077] . . c:\windows\$hf_mig$\KB931261\SP2QFE\upnphost.dll
[-] 2007-02-05 . 855790C1BACED245A6B210AF430ED17B . 185856 . . [5.1.2600.3077] . . c:\windows\$NtServicePackUninstall$\upnphost.dll
[-] 2004-08-04 . 09D4A2D7C5A8ABEC227D118765FAADDF . 185856 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB931261$\upnphost.dll
.
[-] 2008-04-14 . 9236E736EDB57BE7D1EF6274410E3BAC . 367616 . . [5.3.2600.5512] . . c:\windows\ServicePackFiles\i386\dsound.dll
[-] 2008-04-14 . 9236E736EDB57BE7D1EF6274410E3BAC . 367616 . . [5.3.2600.5512] . . c:\windows\system32\dsound.dll
[-] 2004-08-04 . 7DB3393F98E4211F5CE8F003DE0615CF . 367616 . . [5.3.2600.2180] . . c:\windows\$NtServicePackUninstall$\dsound.dll
.
[-] 2008-04-14 . 36969CF86E51EC8ED202B40F2FA80AA6 . 1689088 . . [5.03.2600.5512] . . c:\windows\ServicePackFiles\i386\d3d9.dll
[-] 2008-04-14 . 36969CF86E51EC8ED202B40F2FA80AA6 . 1689088 . . [5.03.2600.5512] . . c:\windows\system32\d3d9.dll
[-] 2004-08-04 . 20AE7889467887B869F30308EEED9A2A . 1689088 . . [5.03.2600.2180] . . c:\windows\$NtServicePackUninstall$\d3d9.dll
.
[-] 2008-04-14 . 4A37188B83B00DD9CFBA049687AD0DAF . 279552 . . [5.03.2600.5512] . . c:\windows\ServicePackFiles\i386\ddraw.dll
[-] 2008-04-14 . 4A37188B83B00DD9CFBA049687AD0DAF . 279552 . . [5.03.2600.5512] . . c:\windows\system32\ddraw.dll
[-] 2004-08-04 . CAC545A56482DE01640E6B791DE19944 . 266240 . . [5.03.2600.2180] . . c:\windows\$NtServicePackUninstall$\ddraw.dll
.
[-] 2008-04-14 02:22 . 5D7F5A46975D2E59A6FECB6C231D200F . 84992 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\olepro32.dll
[-] 2008-04-14 02:22 . 5D7F5A46975D2E59A6FECB6C231D200F . 84992 . . [5.1.2600.5512] . . c:\windows\system32\olepro32.dll
[-] 2004-08-04 14:00 . 1404D3DD4ED4F5E2A938B43794049A81 . 83456 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\olepro32.dll
.
[-] 2008-04-14 . C47FD93010649AC0D79022D9B69ADBE4 . 41984 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\perfctrs.dll
[-] 2008-04-14 . C47FD93010649AC0D79022D9B69ADBE4 . 41984 . . [5.1.2600.5512] . . c:\windows\system32\perfctrs.dll
[-] 2004-08-04 . 007BFD01772B5202C5CE4F208A2F3F46 . 41984 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\perfctrs.dll
.
[-] 2008-04-14 . F86000634319F71535BCE6B06995EE99 . 18944 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\version.dll
[-] 2008-04-14 . F86000634319F71535BCE6B06995EE99 . 18944 . . [5.1.2600.5512] . . c:\windows\system32\version.dll
[-] 2004-08-04 . 4EF2FDC0A085C8339ED4D9C59CE8FC60 . 18944 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\version.dll
.
[-] 2008-04-14 . FE77A85495065F3AD59C5C65B6C54182 . 171520 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\srsvc.dll
[-] 2008-04-14 . FE77A85495065F3AD59C5C65B6C54182 . 171520 . . [5.1.2600.5512] . . c:\windows\system32\srsvc.dll
[-] 2004-08-04 . 015F302C4CF961F20C3F98F3A7CA7917 . 171008 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\srsvc.dll
.
[-] 2008-04-14 . 7B353059E665F8B7AD2BBEAEF597CF45 . 177152 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\w32time.dll
[-] 2008-04-14 . 7B353059E665F8B7AD2BBEAEF597CF45 . 177152 . . [5.1.2600.5512] . . c:\windows\system32\w32time.dll
[-] 2004-08-04 . C6D874CD2A5B83CD11CDEBD28A638584 . 176640 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\w32time.dll
.
[-] 2008-04-14 . BC2C5985611C5356B24AEB370953DED9 . 334336 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\wiaservc.dll
[-] 2008-04-14 . BC2C5985611C5356B24AEB370953DED9 . 334336 . . [5.1.2600.5512] . . c:\windows\system32\wiaservc.dll
[-] 2006-12-19 . 452AA1C0E7FEE4B2E78D32BCF36FCEBE . 334336 . . [5.1.2600.3051] . . c:\windows\$hf_mig$\KB927802\SP2QFE\wiaservc.dll
[-] 2006-12-19 . 25E9B30AF1FA1B9AF1853577F39FF20B . 334336 . . [5.1.2600.3051] . . c:\windows\$NtServicePackUninstall$\wiaservc.dll
[-] 2004-08-04 . 7E751068ADA60FC77638622E86A7CD9E . 333824 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB927802$\wiaservc.dll
.
[-] 2008-04-14 . 2CF969B9BF1EF069075DCDCE309FAAE1 . 18944 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\midimap.dll
[-] 2008-04-14 . 2CF969B9BF1EF069075DCDCE309FAAE1 . 18944 . . [5.1.2600.5512] . . c:\windows\system32\midimap.dll
[-] 2004-08-04 . 32641AE4D340C1AC2D9B3A3BD71F5C47 . 18944 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\midimap.dll
.
[-] 2008-04-14 . 469FED8597896DB77B49384BE90E2E0A . 7680 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\rasadhlp.dll
[-] 2008-04-14 . 469FED8597896DB77B49384BE90E2E0A . 7680 . . [5.1.2600.5512] . . c:\windows\system32\rasadhlp.dll
[-] 2006-06-26 . 45F87F6E7AB4F79B5C719B78C289DB66 . 7680 . . [5.1.2600.2938] . . c:\windows\$hf_mig$\KB920683\SP2QFE\rasadhlp.dll
[-] 2006-06-26 . DC940E8932827D65180F6A71BD4BD878 . 8192 . . [5.1.2600.2938] . . c:\windows\$NtServicePackUninstall$\rasadhlp.dll
[-] 2004-08-04 . 84028E2EBE7A25494766673A5FF4B304 . 8192 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB920683$\rasadhlp.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2004-10-14 1404928]
"TrueImageMonitor.exe"="d:\anwendungen_programme\Acronis_TrueImage\TrueImageMoni tor.exe" [2009-09-12 5082488]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2009-09-12 357800]
"SunJavaUpdateSched"="d:\anwendungen_programme\java_sun\bin\jusched.exe" [2009-12-27 149280]
"Adobe Reader Speed Launcher"="d:\anwendungen_programme\Adobe_Reader\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"egui"="d:\anwendungen_programme\Anti_Virus\egui.exe" [2011-01-12 2219184]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *OODBS\0OODBS
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Photo Loader resident.lnk]
backup=c:\windows\pss\Photo Loader resident.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CheckRegDefragService
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
2009-09-12 17:09 357800 ----a-w- c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-01-31 08:44 35760 ----a-w- d:\anwendungen_programme\Adobe_Reader\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 02:22 15360 ------w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
2004-07-27 15:50 221184 ------w- c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-12-27 09:35 149280 ----a-w- d:\anwendungen_programme\java_sun\bin\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
2009-09-12 17:09 5082488 ----a-w- d:\anwendungen_programme\Acronis_TrueImage\TrueImageMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SNDSrvc"=3 (0x3)
"navapsvc"=3 (0x3)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\Authorize dApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\anwendungen_programme\activesync\rapimgr.exe"= d:\anwendungen_programme\activesync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"d:\anwendungen_programme\activesync\wcescomm.exe"= d:\anwendungen_programme\activesync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"d:\anwendungen_programme\activesync\WCESMgr.exe"= d:\anwendungen_programme\activesync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyO penPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
R0 tdrpman251;Acronis Try&Decide and Restore Points filter (build 251);c:\windows\system32\drivers\tdrpm251.sys [09.10.2009 15:13 902432]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [21.12.2010 16:04 115008]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [21.12.2010 14:47 94872]
R2 afcdpsrv;Acronis Nonstop Backup service;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [06.11.2009 14:23 2326920]
R2 ekrn;ESET Service;d:\anwendungen_programme\Anti_Virus\ekrn.exe [12.01.2011 17:41 810144]
R2 ReportServer$SQLEXPRESS;SQL Server Reporting Services (SQLEXPRESS);c:\programme\Microsoft SQL Server\MSSQL.2\Reporting Services\ReportServer\bin\ReportingServicesService.exe [27.05.2009 03:26 13672]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [06.11.2009 14:23 159168]
R3 hpusbfd;Hewlett-Packard USB Filter Class;c:\windows\system32\drivers\hpusbfd.sys [14.08.2008 08:48 7552]
S3 scsiscan;SCSI-Scannertreiber;c:\windows\system32\drivers\scsiscan.sys [05.12.2005 15:47 11520]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 09375783
*Deregistered* - 09375783
*Deregistered* - uphcleanhlp
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.ch/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1 62.2.17.61 62.2.24.158
DPF: Microsoft WFC Forms Designer - file://e:\vj98\wfcforms.cab
DPF: Microsoft XML Parser for Java
DPF: Visual Studio 6 Extensibility Libraries - file://e:\vj98\vstudio6.cab
DPF: {008BBE7E-C096-11D0-B4E3-00A0C901D681} - hxxp://www.teechart.net/files/activex/public/teechart.cab
FF - ProfilePath - c:\dokumente und einstellungen\Anneliese Leblé\Anwendungsdaten\Mozilla\Firefox\Profiles\1lamel49.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - d:\anwendungen_programme\Mozilla\Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)
SafeBoot-52074940.sys
MSConfigStartUp-AcronisTimounterMonitor - d:\anwendungen_programme\acronis_trueimage\TimounterMonitor.exe
MSConfigStartUp-HP Lamp - d:\anwendungen_programme\SCANJET\PrecisionScanPro\HPLamp.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-06-02 10:21
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3564836519-2275088564-1166391793-1007\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_USERS\S-1-5-21-3564836519-2275088564-1166391793-1007\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3D9D89DD-066B-6D77-6DB8-E8D94364B203}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"eagpegjpgg"=hex:66,61,61,6e,70,67,6a,6f,63,69,63,68,00,31
"dalpneei"=hex:64,62,6b,62,6b,6d,6d,62,66,69,61,69,6b,61,65,63,63,6e,62,6c,6 3,
62,6a,6c,64,6b,65,67,6f,62,64,6c,6f,69,61,6f,6c,6d,63,64,00,00
"iaobpncfkgdpebkkeo"=hex:6a,61,64,6a,6c,66,68,64,6c,66,70,6c,70,6a,6b,69,6b, 6c,
6b,66,00,00
"haibkpfginalnhpl"=hex:6a,61,64,6a,6c,66,68,64,6c,66,70,6c,70,6a,6b,69,6b,6c ,
6b,66,00,d0
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{3024A848-7C77-6F90-8B14B36A94BB61F2}\{6CDD5654-07A8-13D8-C2EB636328E10F29}\{AF593ADC-BF32-7E11-B704756686EE805B}*]
"WHRUBFTNUT3JMXQXKMKSXOBADA1"=hex:01,00,01,00,00,00,00,00,7d,86,67,30,10,5d, 1c,
b8,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{969D404C-EC53-A9AF-A02B8ED8C194B4B8}\{49CEC6C1-E90A-6C40-7DC9D5345834AD37}\{B3C560DA-C3C9-1298-A5CC78F93CD65657}*]
"WHRUBFTNUT3JMXQXKMKSXOBADA1"=hex:01,00,01,00,00,00,00,00,7d,86,67,30,10,5d, 1c,
b8,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\ LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="6298FE9CC33E7982B318433D8B1C2127EA9FCEB3D53754 AC8A9E6E484A1700BAC10EAA9CD485A0DEE2114E97E15951E05E7500A0291FE365DD79E530050398 64E2DF5E27DE93546D77DEC201AD54F43B735643C8769A2D19CED7C9ECF1C0F296017CEFD9AFA57F 0DF71408E052FCD9F199193200DDFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC 9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E6678EDD5E5BE2F6E6675D57 5E7D6A3B9808FEBC9E127BECC74C7B748C034A0539EBA580220900B530EDF3102D452012B70DC609 6CA3EDB92E8008FA302B69E923BA83312F82C41894327ECB28032F9479C12D715B56EB43A18A730D 4930B9E1DE77739BCD8B8E5E0342ED8BFCFD9B3A2E8E76ADDE1EAB096715EF2CEE6E466D0CDF5CA2 F1682BB60A1281B49D87988371C2564285F167FA48E8C5A0E9A66E8E40D4BCEF44C1BFD72C3C8A70 AC5030F650D0937A11AD2C1080F0D2F5BA7D634E045BA4EE9E27C3F8DD7E6EAB03EEBD1ED0518963 7611DA45BEBD857B937AAD37559B3BCE910904D70A3A2997ADDDF18567FCA6D060BDAA95A7826343 D80BA65A2462B886DF3C1FB38E7648A8EDFA53BF80B3EFD7A9BD25865418842428FDFD495622EACB 027A09533DDB6E1937893A637AF8FA52E6F9289ECF7A15BACE89361EC4EDB21BA2E089FD5D3AD1E4 33AFD1872872F35F5BC365679948D5E5CD44A673BC800435A2F13C80A781BCCE3D771CCCD16C19DF 824D62EF27C599C7DDACF7E7FDB4EA9E149111ABCAC78C5AE54FEDD131D4407B88AD784ADF5CCA48 69222B9F3F0D829E3F0B4C5367C83452F10AEE3F75BD4D9ACEE1D50E2016E3128C679344A82E7DC1 9E0A05D195DF3A435ADE1EBC42DF3F6D6C48FCD53624F4159C28D47ED66020D76320A702DE11397D 4BE54AF72E9522E4A9A443BF685924049E6E6C80DA1144F5EF4473C5BF81DD17A4209824C45D9937 839D516E6DAEA8D54EAB297C3BD05672DB4D7C81ABF9EC68FC6D82F5055ADE5E2CBFA60972BF4EC6 9834ABA96FD4D86B737BA99D886A3A8F9A96D426E153BB190A7914B916CAF55421BF6CC4E5F5DFC0 B5EE3807B0E3316CFAC3AF74413390E8359EBF2FECB614433DEA360E7EB01695D5ABB72EF09B50A5 CE858720FE094F947C66239C7F89311979B727470E26B7D13B1D0B080C6C2A247ACC26F0EA8700A5 DFEC8BB8C96FE7229287B2B8DD1B162382106A0CB753631416F0A730C6073D6B96B09C3DBA38EAEC 7B259EAF2CF897F87BB561B81FF237666EAA7D2A4B7F38F689154AE9B6D77C4DDBBC86F8A84DB308 27A3CF0DDE117452841AEBB0A012B19D55E2DE801766F5DA0DDCD86BF7477846BF536A0F8A17FCCE 0CC10B9BE881027B4C43784826A043EE1DFC595CB43D08F2AFA13747A693479AEE08C8C1B53395ED 75"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(840)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2011-06-02 10:23:45
ComboFix-quarantined-files.txt 2011-06-02 08:23
.
Vor Suchlauf: 6'560'866'304 Bytes frei
Nach Suchlauf: 6'550'806'528 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - CE0034856B36909A491F1BB82F775FCA

***********************************************************

Darf ich Dir zum Schluss noch bestens danken, Das war ein Wunderservice.

Viele Grüsse

CL

**AHT** · 02.06.2011, 10:48

Die Deamon Tools mussen neu installiert werden.
TDL4 hattest du drauf. Betreibst du Online-Banking?

CL · 02.06.2011, 11:12

Hallo AHT

Danke vielmals für Deine Antwort.

1. An die Daemon-Tools mag ich mich nicht erinnern, dass die jemals auf meiner Maschine drauf waren. Wie könnten die sonst drauf kommen, denn das ist ja eine kostenpflichtige Software? Ich will mich allerdings nicht drücken, etwas zu kaufen.

2. Ja ich bezahle meine Rechnungen zweimal monatlich im online-Banking. Ich werde gerade anschliessend mein Konto überprüfen. Ist der TDL4 ein grosses Risiko und ist das Ding jetzt definitiv raus?

Danke für die Antworten.

Grüsse

CL

PS: Ich habe gerade meine Konti im online Banking überprüft und alles ist so wie es sein sollte. Kann eigentlich auch nichts passieren, denn ich bekomme nach der Anmeldung jeweils ein SMS von der Bank mit dem nur für diese Transaktion gültigen Code.

**Der Leo** · 02.06.2011, 11:41

Ja TDL ist dafür ausgelegt Bank Konten zu plündern.

Da du sicherlich weiterhin Online Banking betreiben möchtest, würde ich dir raten dein System zu Formatieren. Bei dieser Bedrohung können wir keine 100% Entfernung garantieren!
Ändere bitte alle Passwörter von einem Vertraunswürdigen System!
Bitte stelle alle weiteren Online Aktionen an diesem PC ein!

Wir werden dir beim Formatieren gerne helfen.
Wenn du danach Intresse hast sichern wir dein System besser ab.

CL · 02.06.2011, 11:52

Hallo Leo

Ich werde vorläufig nicht neu installieren.

Aber, was ist nun mit den Daemon-Tools. Wenn ich die nun wirklich brauche, was ich nicht weiss, wo krieg ich die her?

Grüsse

CL

PS: Im schlimmsten Falle kann ich eine alte Sicherung (Image) drauf spielen, wo dieses Unding todsicher noch nicht drauf war.

**Der Leo** · 02.06.2011, 12:10

Unser rat bei einer solchen Infektion ist die Bank anzurufen und das Konto zu sperren!
Da das System nicht mehr vertraunswürdig ist musst du Formatieren.

Stell dir vor dein Konto wird geplündert. Das ganze ersparte Geld ist futsch. Und das nur aus "Bequemlichkeit"?
Denk darüber bitte nach!

**AHT** · 02.06.2011, 12:43

Ein gelöschter Treiber war dem Namen nach ein Treiber von Alcohol oder den Deamon Tools - die simmulieren virtuelle CD-Laufwerke. Hast du die Programme nicht, musst du auch nichts installieren.
Nimm auf jeden Fall Kontakt mit deiner Bank auf. Sage denen, dass du dir einen TDL4 (TDSS) Banking Trojaner eingehandelt hast und frage die, wie du weiter verfahren sollst.
Das du hundertprozentig nichts mehr auf dem Rechner hast, kann dir keiner garantieren.

01.06.2011, 11:45	#1 (Direktlink)
CL War schon mal da Registriert seit: 08.02.2006 Ort: Nähe Zürich Beiträge: 47	Zugriff auf Internetsite 78.47.268.118:80 Hallo Wenn ich die Maschine neu rauffahre und das erste Mal in den Internet Explorer oder in den Firefox gehe, dann erscheint das Startbild Google. Wenn ich dann auf eine weitere Site gehe, dann erscheint von NOD32 (ESET) die Meldung - Zugriff verweigert - IP wie aus dem Betreff - und ein unlesbarer Text unter URL Wenn ich dann weiter surfe, erscheint das nie mehr, bis ich die Maschine neu starte. Also, pro Sitzung genau einmal. Ein Vollscan mit ESET bringt Null Fehler. Uebrigens, im Internet kann man viel lesen über diese IP, nur nichts für mich brauchbares. Kann mir jemand helfen. Danke zum voraus. __________________ Charles

01.06.2011, 13:25	#2 (Direktlink)
Der Leo Super-Moderator Registriert seit: 08.02.2010 Beiträge: 1.728	Am besten wäre es doch wenn du die IP hier angibst. Vielleicht findet einer von uns etwas brauchbares. Außerdem wäre das Log der Firewall gut. Öffne ESET Ändere die Ansicht in Erweiterter Modus (unten links) Klicke auf Tools Klicke auf Log-Dateien Wähle bei Log: ESET Personal Firewall-Log aus Makiere alle Einträge (Strg + A) und kopiere sie in ein Textdokument (Strg + V) Lade bitte das Logfile bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum. __________________ Gruß Leo

01.06.2011, 13:56	#3 (Direktlink)
CL War schon mal da Registriert seit: 08.02.2006 Ort: Nähe Zürich Beiträge: 47	Danke für die Antwort. Ich habe nur den ESET Antivirus und nicht den SmartSecurity mit Firewall. Habe nun in der Zwischzeit noch einen Fullscan mit Trend Micro HouseCall (letzer verfügbarer online Virenscanner) gemacht und keinen einzigen Fund gehabt. ** Nachtrag:** Nachdem Leo etwas von Firewall angesprochen hat, habe ich die Windows-Firewall aktiviert und das Problem ist verschwunden. Ich habe halt die Windows SW-Firewall immer deaktivert gehabt, da ich eine HW-Firewall habe. Grüsse CL __________________ Charles Geändert von CL (01.06.2011 um 14:30 Uhr)

01.06.2011, 14:27	#4 (Direktlink)
Der Leo Super-Moderator Registriert seit: 08.02.2010 Beiträge: 1.728	Hm, ich glaub nicht das du einen Virus hast. Es kann vielmehr am Router liegen. Welchen Router benutzt du? Ist das die IP Adresse? 78.47.268.118:80 __________________ Gruß Leo Geändert von Der Leo (01.06.2011 um 14:51 Uhr)

01.06.2011, 14:40	#5 (Direktlink)
CL War schon mal da Registriert seit: 08.02.2006 Ort: Nähe Zürich Beiträge: 47	Hallo Leo Ich benutze den ZyXEL NBG-460N mit eingebauter SPI-Firewall. Die IP-Adresse lautet 78.47.248.118:80 Ich kann es mir auch nicht vorstellen, dass das Einschalten der Windows-Firewall die Sache bereinigt, aber es ist so. Damit können wir diese Diskussion schliessen. Viele Grüsse und herzlichen Dank. CL __________________ Charles

01.06.2011, 14:50	#6 (Direktlink)
Der Leo Super-Moderator Registriert seit: 08.02.2010 Beiträge: 1.728	Kannst du bitte das Log des Angriffes hier reinstellen? Es kann sein das du dir Malware eingefangen hast. Die IP wird mit TDSS in verbindung gebracht! Von daher sollten wir deinen PC auf Malware untersuchen. Schritt 1 Kaspersky TDSSKiller Download : *TDSSKiller.zip* Lade die TDSSKiller.zip herunter und entpacken es in einen einzelnen Ordner auf dem Desktop. Starte die Datei TDSSKiller.exe (User von Windows 7 und Vista: Rechtsklick als Administrator ausführen) Warte bis zum Ende der Untersuchung und der Desinfektion. Poste das Ergebnis. Schritt 2 MBRCheck Downloade: MBRCheck Speicher die MBRCheck.exe auf dem Desktop und führe sie aus. User von Windows 7 und Vista: Rechtsklick als Administrator ausführen. MBRCheck braucht nur wenige Sekunden. Klicke im schwarzen Fenster ENTER um das Fenster zu schließen. Poste das Textdokument MBRCheck_<Datum>_<Uhrzeit>.txt in dein Beitrag. __________________ Gruß Leo

02.06.2011, 10:48	#10 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Die Deamon Tools mussen neu installiert werden. TDL4 hattest du drauf. Betreibst du Online-Banking? __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

02.06.2011, 11:12	#11 (Direktlink)
CL War schon mal da Registriert seit: 08.02.2006 Ort: Nähe Zürich Beiträge: 47	Hallo AHT Danke vielmals für Deine Antwort. 1. An die Daemon-Tools mag ich mich nicht erinnern, dass die jemals auf meiner Maschine drauf waren. Wie könnten die sonst drauf kommen, denn das ist ja eine kostenpflichtige Software? Ich will mich allerdings nicht drücken, etwas zu kaufen. 2. Ja ich bezahle meine Rechnungen zweimal monatlich im online-Banking. Ich werde gerade anschliessend mein Konto überprüfen. Ist der TDL4 ein grosses Risiko und ist das Ding jetzt definitiv raus? Danke für die Antworten. Grüsse CL PS: Ich habe gerade meine Konti im online Banking überprüft und alles ist so wie es sein sollte. Kann eigentlich auch nichts passieren, denn ich bekomme nach der Anmeldung jeweils ein SMS von der Bank mit dem nur für diese Transaktion gültigen Code. __________________ Charles Geändert von CL (02.06.2011 um 11:20 Uhr)

02.06.2011, 11:41	#12 (Direktlink)
Der Leo Super-Moderator Registriert seit: 08.02.2010 Beiträge: 1.728	Ja TDL ist dafür ausgelegt Bank Konten zu plündern. Da du sicherlich weiterhin Online Banking betreiben möchtest, würde ich dir raten dein System zu Formatieren. Bei dieser Bedrohung können wir keine 100% Entfernung garantieren! Ändere bitte alle Passwörter von einem Vertraunswürdigen System! Bitte stelle alle weiteren Online Aktionen an diesem PC ein! Wir werden dir beim Formatieren gerne helfen. Wenn du danach Intresse hast sichern wir dein System besser ab. __________________ Gruß Leo

02.06.2011, 11:52	#13 (Direktlink)
CL War schon mal da Registriert seit: 08.02.2006 Ort: Nähe Zürich Beiträge: 47	Hallo Leo Ich werde vorläufig nicht neu installieren. Aber, was ist nun mit den Daemon-Tools. Wenn ich die nun wirklich brauche, was ich nicht weiss, wo krieg ich die her? Grüsse CL PS: Im schlimmsten Falle kann ich eine alte Sicherung (Image) drauf spielen, wo dieses Unding todsicher noch nicht drauf war. __________________ Charles

02.06.2011, 12:10	#14 (Direktlink)
Der Leo Super-Moderator Registriert seit: 08.02.2010 Beiträge: 1.728	Unser rat bei einer solchen Infektion ist die Bank anzurufen und das Konto zu sperren! Da das System nicht mehr vertraunswürdig ist musst du Formatieren. Stell dir vor dein Konto wird geplündert. Das ganze ersparte Geld ist futsch. Und das nur aus "Bequemlichkeit"? Denk darüber bitte nach! __________________ Gruß Leo

02.06.2011, 12:43	#15 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Ein gelöschter Treiber war dem Namen nach ein Treiber von Alcohol oder den Deamon Tools - die simmulieren virtuelle CD-Laufwerke. Hast du die Programme nicht, musst du auch nichts installieren. Nimm auf jeden Fall Kontakt mit deiner Bank auf. Sage denen, dass du dir einen TDL4 (TDSS) Banking Trojaner eingehandelt hast und frage die, wie du weiter verfahren sollst. Das du hundertprozentig nichts mehr auf dem Rechner hast, kann dir keiner garantieren. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Zugriff auf W-lan	OldHenry	Netzwerke	4	03.01.2011 18:33
Zugriff auf PC	Priester42	Windows XP	9	20.11.2008 13:26
Gegenseitiger Zugriff auf PCs	Birgit	Netzwerke	12	18.03.2008 14:47
Zugriff	space	Software - Allgemein	3	16.04.2006 19:20
Zugriff auf Diskettenlaufwerk	12luc	Hardware - Problemlösungen	2	12.03.2005 09:38