Guten Tag allerseits!

zunächst ein großes Dankeschön an alle hier mithelfenden für Ihre Zeit!

Zu meinem Problem:
Auf dem Rechner meines Vaters hat AntiVir etwas gefunden: 17 Funde, beinhaltend Trojanische Pferde TR/Dropper.gen, TR/Crypt.XPACK.Gen2, TR/Agent.fbv.3, TR/Crypt.XPACK.Gen3, sowie die Würmer WORM/Palevo.yrg und WORM/Palevo.104960. Die genaue Beschreibung im Anhang unter quarantaene.txt zu finden.


Daraufhin habe ich nach Forenanleitung Load.exe heruntergeladen und die Schritte 1-4 erfolgreich ausgeführt.
Die defogger_disable.log ist im Anhang.

Bei Schritt 5 ist nach mehrstündigem Scan mit GMER ein Fehler aufgetreten:

-------
"Datenverlust beim Schreiben" (Windows-Meldung)
Es konnten nicht alle Daten für die Datei \Device\HarddiskVolume1\$Mft gespeichert werden. Die Daten gingen verloren. Mögliche Ursachen könnten Computerhardware oder Netzwerkverbindungen sein. Versuchen Sie, die Datei woanders zu speichern."
-------

Gmer ist daraufhin abgestürzt, TaskMgr ließ sich nicht mehr öffnen. Ich konnte den PC allerdings noch normal herunterfahren.

Der PC schreib auf zwei Festplatten mit RAID1 (Mirror) zur Datensicherung.
Ist diese hier womöglich betroffen? Und ist es ratsam, eine Platte auszubauen um weiteren Schaden zu verhindern? Kann man später die Spiegelung aktualisieren? Sorry, falls das hier OT ist.
.

Den 6. Schritt habe ich wieder normal ausführen können. Die beiden Dateien Extras.txt und OTL.txt sind im Anhang.

---------------------------------

Der Computer wird leider z.Zt. gebraucht, daher die Frage: Inwieweit kann man ihn weiter benutzen, bevor die Probleme behoben sind? Ist z.b. die Nutzung ohne Internet okay? (Office, Drucken, etc.)

(Anhänge: defogger_disable.log ließ sich nicht hochladen, hab ich in defogger_disable.txt umbenannt.
Alle einzeln, oder zusammen als *.zip.)

Nochmal vielen Dank im Voraus für Eure Hilfe!
wurble





(bemerkung: in der anleitung aus "load.exe" steht in schritt 6: "Klicke nun in die Custom Scans/ Fixes Box. "
für unerfahrene benutzer ist womöglich der hinweis praktisch, dass DOPPELklick notwendig/gemeint ist. )

nachtrag:
ich habe bemerkt, dass ich versehentlich die gmer.exe nicht auf dem desktop hatte, sondern in desktop/gmer/gmer.exe
ich hab den scan gerade nochmal angeworfen und werde die fehlenden ergebnisse, falls es diesmal funktioniert, hier morgen früh posten.

merci & gute n8
wurble

Guten!
Nachdem der Rechner die ganze Nacht mit GMER gescannt hat, ist er gerade eben wieder an der gleichen Stunde hängen geblieben.

Bitte um Hilfe!
Grüße,
wurble

hallo und ein gutes neues jahr!

hier die fehlenden mbam-logs.
ich hatte mich schon gewundert, warum ich keine antwort bekomme...

hier sind fünf logs, die ich in den letzten tagen bekommen habe.

ist ansteckung im lan ohne weiteres möglich? oder müsste man dazu dateien ausgeführt haben?

für hilfe wäre ich sehr dankbar!
schöne grüße! wurble
-----------------

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5396

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.12.2010 15:22:27
mbam-log-2010-12-26 (15-22-27).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 188057
Laufzeit: 4 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Family\anwendungsdaten\wiaservg.log (Malware.Trace) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Family\anwendungsdaten\nsvb.exe (Worm.Palevo) -> Quarantined and deleted successfully.

---------------------

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5396

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.12.2010 21:23:39
mbam-log-2010-12-29 (21-23-39).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 895603
Laufzeit: 1 Stunde(n), 30 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
e:\f\users\Sara\stexamen\blöcke jörg\intenso usb (i)\System\Security\driveguard.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

--------------------------------

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5396

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.12.2010 23:50:22
mbam-log-2010-12-29 (23-50-22).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 188039
Laufzeit: 2 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

-------------------------------

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5419

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.12.2010 02:21:38
mbam-log-2010-12-30 (02-21-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 895914
Laufzeit: 1 Stunde(n), 28 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


---------------------

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5419

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

01.01.2011 02:42:41
mbam-log-2011-01-01 (02-42-41).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 896086
Laufzeit: 2 Stunde(n), 58 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Malware.Trace) -> Value: Shell -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Trojan.Agent) -> Value: Taskman -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\arne\csrss.exe (Trojan.Palevo.Gen.A) -> Quarantined and deleted successfully.
----------------------------

Hallo und


Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: []  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.09.26 02:10:50 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{024cbe56-409d-11df-bd20-000c6ea69411}\Shell\AutoRun\command - "" = H:\TWINS\\jutroivece.exe -- File not found
O33 - MountPoints2\{024cbe56-409d-11df-bd20-000c6ea69411}\Shell\open\command - "" = H:\TWINS\\jutroivece.exe -- File not found
@Alternate Data Stream - 119 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A1D3FEF0
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

hi arne,

vielen dank für deine antwort! ich war gerade dabei alles vorzubereiten für ne neuinstallation :-) wäre saustark wenn mir das erspart bliebe. mein vater hat tausend programme auf dem rechner.

hier der log. wenn gewünscht, auch im anhang. (*.log ist nicht erlaubt, daher als txt)
der rechner fuhr übrigens nicht normal herunter, blieb bei "w. wird heruntergefahren" hängen. ich hab ein bisschen rumprobiert und schließlich reset gedrückt. nach dem reboot hat antivir wieder gepiept.
schöne grüße!
arne



All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{024cbe56-409d-11df-bd20-000c6ea69411}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{024cbe56-409d-11df-bd20-000c6ea69411}\ not found.
File H:\TWINS\\jutroivece.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{024cbe56-409d-11df-bd20-000c6ea69411}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{024cbe56-409d-11df-bd20-000c6ea69411}\ not found.
File H:\TWINS\\jutroivece.exe not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A1D3FEF0 deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: admin
->Temp folder emptied: 4220707 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 27300602 bytes
->Flash cache emptied: 719 bytes

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: arne
->Temp folder emptied: 5242557 bytes
->Temporary Internet Files folder emptied: 402207 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 77900145 bytes
->Flash cache emptied: 1181 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Family
->Temp folder emptied: 141357 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 50815865 bytes
->Flash cache emptied: 933 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 43886 bytes
RecycleBin emptied: 797674 bytes

Total Files Cleaned = 159,00 mb


OTL by OldTimer - Version 3.2.18.0 log created on 01022011_131543

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

hoi!
cccleaner hab ich mehrmals durchlaufen lassen nach anleitung.
danach hab ich cofi.exe ausgeführt. die logdatei dazu:

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-01-01.02 - arne 02.01.2011  14:44:44.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.675 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\arne\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\arne\Anwendungsdaten\nsvb.exe
c:\dokumente und einstellungen\Family\csrss.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2010-12-02 bis 2011-01-02  ))))))))))))))))))))))))))))))
.

2010-12-26 14:07 . 2010-12-26 14:07	--------	d-----w-	c:\programme\ERUNT
2010-12-26 13:22 . 2010-12-26 13:22	--------	d-----w-	c:\dokumente und einstellungen\arne\Anwendungsdaten\Malwarebytes
2010-12-26 13:20 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-26 13:20 . 2010-12-26 13:20	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-12-26 13:20 . 2010-12-26 13:20	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-12-26 13:20 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-26 12:47 . 2010-12-26 12:47	388096	----a-r-	c:\dokumente und einstellungen\arne\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-12-26 11:33 . 2010-12-26 11:33	--------	d-----w-	c:\dokumente und einstellungen\arne\Anwendungsdaten\Avira
2010-12-26 00:30 . 2010-12-26 00:30	--------	d-----w-	c:\windows\nvidia icons
2010-12-26 00:30 . 2010-12-26 00:30	--------	d-----w-	c:\windows\nview
2010-12-26 00:30 . 2008-05-03 04:46	442368	----a-w-	c:\windows\system32\nvudisp.exe
2010-12-26 00:30 . 2008-04-30 16:27	442368	----a-w-	c:\windows\system32\NVUNINST.EXE
2010-12-26 00:30 . 2003-11-10 17:13	69715	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll
2010-12-26 00:30 . 2003-11-10 17:12	266240	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iscript.dll
2010-12-26 00:30 . 2003-11-10 17:12	192512	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iuser.dll
2010-12-26 00:30 . 2003-11-10 17:14	729088	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iKernel.dll
2010-12-26 00:30 . 2003-11-10 17:11	5632	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\DotNetInstaller.exe
2010-12-26 00:30 . 2010-12-26 00:30	311428	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\setup.dll
2010-12-26 00:30 . 2010-12-26 00:30	188548	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iGdi.dll
2010-12-26 00:29 . 2010-12-26 00:29	--------	d-----w-	C:\NVIDIA
2010-12-26 00:02 . 2010-12-26 00:02	--------	d-----w-	c:\windows\Logs
2010-12-26 00:00 . 2010-12-26 11:45	--------	d-----w-	c:\programme\Landwirtschafts Simulator 2011
2010-12-24 19:42 . 2010-12-24 19:42	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Zylom
2010-12-07 17:19 . 2010-12-07 22:41	--------	d-----w-	c:\dokumente und einstellungen\arne\Anwendungsdaten\Winamp
2010-12-06 19:55 . 2010-12-06 19:55	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-12-06 19:55 . 2010-12-06 19:55	73728	----a-w-	c:\windows\system32\javacpl.cpl
2010-12-05 15:56 . 2010-12-29 21:49	--------	d-----w-	c:\windows\system32\NtmsData
2010-12-04 17:46 . 2010-12-04 17:46	--------	d-----w-	c:\dokumente und einstellungen\arne\Anwendungsdaten\DivX

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 15:06 . 2010-11-20 16:35	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-12-06 19:55 . 2010-05-18 16:02	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-11-23 23:44 . 2009-09-26 12:52	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-10-09 21:56 . 2009-11-22 16:03	2516	--sha-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2009-10-13 18:38 . 2009-10-13 18:38	8067224	----a-w-	c:\programme\Firefox Setup 3.5.3.exe
2009-10-06 23:00 . 2009-10-06 22:57	22609166	----a-w-	c:\programme\LyX-1.6.4-1-Installer.exe
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\programme\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\admin\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office Shortcut-Leiste.lnk - c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\misc.exe [2009-9-26 34304]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Corel\\DVD9\\WinDVD.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\TVAnts\\Tvants.exe"=
"c:\\Dokumente und Einstellungen\\Family\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\Azureus\\Azureus.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.11.2010 17:35 135336]
R2 regi;regi;c:\windows\system32\drivers\regi.sys [17.04.2007 20:09 11032]
R2 vpnagent;Cisco AnyConnect VPN Agent;c:\programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe [06.05.2010 02:59 583360]
S3 TridVid;Video Grabber;c:\windows\system32\drivers\tridvid.sys [16.12.2009 13:03 99200]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [09.08.2010 19:46 691696]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Append to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert link target to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\arne\Anwendungsdaten\Mozilla\Firefox\Profiles\5ql2fei2.default\
FF - prefs.js: browser.startup.homepage - http://www.trojaner-board.de/94149-a...e-wuermer.html
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: YouTube mp3: info@youtube-mp3.org - %profile%\extensions\info@youtube-mp3.org
FF - Ext: German Dictionary: de-DE@dictionaries.addons.mozilla.org - %profile%\extensions\de-DE@dictionaries.addons.mozilla.org
FF - Ext: UnPlug: unplug@compunach - %profile%\extensions\unplug@compunach
FF - Ext: Gmail Notifier: {44d0a1b4-9c90-4f86-ac92-8680b5d6549e} - %profile%\extensions\{44d0a1b4-9c90-4f86-ac92-8680b5d6549e}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

ShellIconOverlayIdentifiers-{FB314ED9-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDA-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDB-A251-47B7-93E1-CDD82E34AF8B} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-02 14:50
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2011-01-02  14:53:26
ComboFix-quarantined-files.txt  2011-01-02 13:53

Vor Suchlauf: 10 Verzeichnis(se), 124.468.944.896 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 124.665.315.328 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - E32B694CD9CF1EF7213275A025B73AA3
         

--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur einige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

hi
sorry dass ich noch nichts gepostet hab, der rechner ist seit vielen stunden mit GMER beschäftigt. allein für mein matheprogramm matlab braucht er jetzt schon 4 stunden..
naja, morgen früh werd ich dann noch osam laufen lassen und posten
gute n8
arne

so. gmer ist wieder abgestürzt, an der gleichen stelle wie bei den vorherigen scancs auch (s.o.)

dann hab ich OSAM laufen gelassen:
###################################

OSAM Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 04:32:09 on 03.01.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.13

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"BrnStiCp.cpl" - "Brother Industries,Ltd." - C:\WINDOWS\system32\BrnStiCp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
"plotman.cpl" - "Autodesk, Inc." - C:\WINDOWS\system32\plotman.cpl
"styleman.cpl" - "Autodesk, Inc." - C:\WINDOWS\system32\styleman.cpl
"wuaucpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\wuaucpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Adobe Gamma" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma.cpl
"Adobe Version Cue CS3" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.cpl
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl
"SMAX4CP" - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMax4.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"3Com 3C2000x EtherLink XL Adapter" (EL2000) - "3Com Corporation" - C:\WINDOWS\System32\DRIVERS\EL2K_XP.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\arne\LOKALE~1\Temp\catchme.sys  (File not found)
"CdaC15BA" (CdaC15BA) - "Macrovision Europe Ltd" - C:\WINDOWS\system32\drivers\CDAC15BA.SYS
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"InCD File System" (InCDfs) - "Nero AG" - C:\WINDOWS\System32\drivers\InCDFs.sys
"InCD Reader" (incdrm) - "Nero AG" - C:\WINDOWS\System32\drivers\InCDRm.sys
"InCDPass" (InCDPass) - "Nero AG" - C:\WINDOWS\System32\drivers\InCDPass.sys
"InCDrec" (InCDrec) - "Nero AG" - C:\WINDOWS\system32\drivers\InCDrec.sys
"IVI ASPI Shell" (Iviaspi) - "InterVideo, Inc." - C:\WINDOWS\System32\drivers\iviaspi.sys
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"regi" (regi) - "InterVideo" - C:\WINDOWS\System32\drivers\regi.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"StarOpen" (StarOpen) - ? - C:\WINDOWS\system32\drivers\StarOpen.sys  (File found, but it contains no detailed information)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{8A0BC933-7552-42E2-A228-3BE055777227} "AcColumnHandler" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcShellEx\AcShellExtension.dll
{7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{8A0BC933-7552-42E2-A228-3BE055777227} "AcColumnHandler" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcShellEx\AcShellExtension.dll
{ADC46291-D8A1-4486-A24C-86FFB392AEFA} "AcDgnImageExtractor" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcDgnCOM17.dll
{5800AD5B-72C1-477B-9A08-CA112DF06D97} "AcInfoTipHandler" - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\AcShellEx\AcShellExtension.dll
{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - C:\Programme\Adobe\Acrobat 8.0\Acrobat Elements\ContextMenu.dll
{36A21736-36C2-4C11-8ACB-D4136F2B57BD} "AcSignIcon" - "Autodesk" - C:\WINDOWS\system32\AcSignIcon.dll
{AC1DB655-4F9A-4c39-8AD2-A65324A4C446} "ACTHUMBNAIL" - "Autodesk, Inc." - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcThumbnail16.dll
{5F327514-6C5E-4d60-8F16-D07FA08A78ED} "Auto Update Property Sheet Extension" - "Microsoft Corporation" - C:\WINDOWS\system32\wuaucpl.cpl
{D66DC78C-4F61-447F-942B-3FB6980118CF} "CInfoTipShellExt Class" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Visio11\VISSHE.DLL
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)
{506F4668-F13E-4AA1-BB04-B43203AB3CC0} "ImageExtractorShellExt Class" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Visio11\VISSHE.DLL
{CAE3251E-9B15-4810-B268-852AD9792A59} "InCDShellExt Class" - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\InCDshx.dll
{B3D9AEDE-B2C3-406d-A254-6BE07767B08B} "InCDUdfPerm Class" - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\InCDUP.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{2F25CF20-C569-11D1-B94C-00608CB45480} "TextPad" - "Helios Software Solutions" - C:\Programme\TextPad 4\System\shellext.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll
InCDShellExt extension "{CAE3251E-9B15-4810-B268-852AD9792A59}" - ? -   (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10c.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
{517BDDE4-E3A7-4570-B21E-2B52B6139FC7} "Contribute Toolbar" - "Adobe Systems Incorporated." - C:\Programme\Adobe\Adobe Contribute CS3\contributeieplugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{AE7CD045-E861-484f-8273-0445EE161910} "Adobe PDF Conversion Toolbar Helper" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{074C1DC5-9320-4A9A-947D-C042949C6216} "ContributeBHO Class" - "Adobe Systems Incorporated." - C:\Programme\Adobe\Adobe Contribute CS3\contributeieplugin.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"Microsoft Office Shortcut-Leiste.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\arne\Startmenü\Programme\Autostart\desktop.ini

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Adobe PDF Port" - "Adobe Systems Incorporated." - C:\WINDOWS\system32\AdobePDF.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##" (Bonjour Service) - "Apple Computer, Inc." - C:\Programme\Bonjour\mDNSResponder.exe
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Adobe LM Service" (Adobe LM Service) - "Adobe Systems" - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
"Adobe Version Cue CS3" (Adobe Version Cue CS3) - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Autodesk Licensing Service" (Autodesk Licensing Service) - "Autodesk" - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"C-DillaCdaC11BA" (C-DillaCdaC11BA) - "Macrovision" - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
"Cisco AnyConnect VPN Agent" (vpnagent) - "Cisco Systems, Inc." - C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
"Cyberlink RichVideo Service(CRVS)" (RichVideo) - ? - C:\Programme\CyberLink\Shared Files\RichVideo.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Macrovision Europe Ltd." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"InCD Helper" (InCDsrv) - "Nero AG" - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
"IviRegMgr" (IviRegMgr) - "InterVideo" - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
"NMSAccessU" (NMSAccessU) - ? - C:\Programme\CDBurnerXP\NMSAccessU.exe  (File found, but it contains no detailed information)
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"Protexis Licensing V2" (PSI_SVC_2) - "Protexis Inc." - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
"SoundMAX Agent Service" (SoundMAX Agent Service (default)) - "Analog Devices, Inc." - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Computer, Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru






######################################
dann hab ich MBRCheck laufen gelassen:
######################################

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x00000f5d

Kernel Drivers (total 127):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x80700000 \WINDOWS\system32\hal.dll
0xF7D63000 \WINDOWS\system32\KDCOM.DLL
0xF7C73000 \WINDOWS\system32\BOOTVID.dll
0xF7813000 ACPI.sys
0xF7D65000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7802000 pci.sys
0xF7863000 isapnp.sys
0xF7E2B000 pciide.sys
0xF7AE3000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7D67000 intelide.sys
0xF7873000 MountMgr.sys
0xF77E3000 ftdisk.sys
0xF7D69000 dmload.sys
0xF77BD000 dmio.sys
0xF7AEB000 PartMgr.sys
0xF7883000 VolSnap.sys
0xF77A5000 atapi.sys
0xF7761000 iaStor.sys
0xF7893000 disk.sys
0xF78A3000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7741000 fltmgr.sys
0xF772F000 sr.sys
0xF78B3000 PxHelp20.sys
0xF7718000 KSecDD.sys
0xF768B000 Ntfs.sys
0xF765E000 NDIS.sys
0xF7644000 Mup.sys
0xF78C3000 agp440.sys
0xF7AB3000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF641E000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xF640A000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7B3B000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF63E6000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7B43000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF63C2000 \SystemRoot\system32\DRIVERS\EL2K_XP.sys
0xF7AC3000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7B4B000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7AD3000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7D5B000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF7B53000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF63AE000 \SystemRoot\system32\DRIVERS\parport.sys
0xF78F3000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7D5F000 \SystemRoot\system32\drivers\iviaspi.sys
0xF7903000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7913000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF638B000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7B5B000 \SystemRoot\system32\drivers\InCDPass.sys
0xF7923000 \SystemRoot\system32\drivers\InCDRm.sys
0xF5329000 \SystemRoot\system32\drivers\smwdm.sys
0xF5305000 \SystemRoot\system32\drivers\portcls.sys
0xF6A5F000 \SystemRoot\system32\drivers\drmk.sys
0xF52ED000 \SystemRoot\system32\drivers\aeaudio.sys
0xF7EF6000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7953000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7608000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF52D6000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7963000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7973000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7BD3000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF5225000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7983000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7BDB000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7BE3000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF51F5000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF7993000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7BEB000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7DB5000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF516F000 \SystemRoot\system32\DRIVERS\update.sys
0xF72D9000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF09E4000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xED759000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7E09000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF034F000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF7E21000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7E7C000 \SystemRoot\System32\Drivers\Null.SYS
0xF7E23000 \SystemRoot\System32\Drivers\Beep.SYS
0xF033F000 \SystemRoot\System32\drivers\vga.sys
0xF7E25000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7E27000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xEC0F0000 \SystemRoot\System32\Drivers\InCDrec.SYS
0xB877E000 \SystemRoot\system32\drivers\InCDFs.sys
0xF0337000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF032F000 \SystemRoot\System32\Drivers\Npfs.SYS
0xEC0EC000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB876B000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB8712000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB86EA000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB86C4000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB86A2000 \SystemRoot\System32\drivers\afd.sys
0xF6CDC000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xED15F000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF0327000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xB8677000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB8607000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF6CCC000 \SystemRoot\System32\Drivers\Fips.SYS
0xB85E1000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7D6B000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xB543D000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xB4898000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF1463000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF145B000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB4935000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF035F000 \SystemRoot\system32\DRIVERS\usbprint.sys
0xB4931000 \SystemRoot\system32\DRIVERS\BrScnUsb.sys
0xF0347000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xB4848000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB3375000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xB3DC6000 \SystemRoot\System32\drivers\Dxapi.sys
0xB4028000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7F53000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB2998000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xB5C29000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB2943000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF7DD9000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB2988000 \??\C:\WINDOWS\system32\drivers\CDAC15BA.SYS
0xB2851000 \SystemRoot\system32\DRIVERS\srv.sys
0xF7E15000 \SystemRoot\system32\drivers\regi.sys
0xB256C000 \SystemRoot\system32\drivers\wdmaud.sys
0xB25E9000 \SystemRoot\system32\drivers\sysaudio.sys
0xB2226000 \SystemRoot\System32\Drivers\HTTP.sys
0xB140A000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 37):
0 System Idle Process
4 System
616 C:\WINDOWS\system32\smss.exe
668 csrss.exe
692 C:\WINDOWS\system32\winlogon.exe
736 C:\WINDOWS\system32\services.exe
748 C:\WINDOWS\system32\lsass.exe
936 C:\WINDOWS\system32\svchost.exe
1004 svchost.exe
1044 C:\WINDOWS\system32\svchost.exe
1096 svchost.exe
1160 svchost.exe
1172 C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
1348 C:\WINDOWS\system32\spoolsv.exe
1396 C:\Programme\Avira\AntiVir Desktop\sched.exe
1432 svchost.exe
1496 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1512 C:\Programme\Bonjour\mDNSResponder.exe
1524 C:\WINDOWS\system32\drivers\CDAC11BA.EXE
1580 C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
1624 C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
1648 C:\Programme\Java\jre6\bin\jqs.exe
1684 C:\WINDOWS\system32\mgabg.exe
1708 C:\Programme\CDBurnerXP\NMSAccessU.exe
1728 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
1752 C:\WINDOWS\system32\nvsvc32.exe
1824 C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
1872 C:\Programme\CyberLink\Shared Files\RichVideo.exe
1900 C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
1980 C:\WINDOWS\system32\svchost.exe
2000 wdfmgr.exe
492 alg.exe
1780 C:\WINDOWS\system32\wscntfy.exe
2132 C:\WINDOWS\explorer.exe
2896 C:\Programme\Mozilla Firefox\firefox.exe
3424 C:\Programme\Mozilla Firefox\plugin-container.exe
2968 C:\Dokumente und Einstellungen\arne\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000024`9ed8e200 (NTFS)

PhysicalDrive0 Model Number: IntelRaid 1 Volume, Rev: 0.1.

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!




##################################
am ende erhielt ich den hinweis "mbr code faked", wie man auch in der log sieht.
vielleicht hilfreich zu wissen: in der maschine laufen zwei platten in raid1 (mirror).

danke & schöne grüße!

Zitat:

vielleicht hilfreich zu wissen: in der maschine laufen zwei platten in raid1 (mirror).

Das OS erkennt den RAID1-Verbund als eine (physikalische Platte)

Zitat:

465 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F

Hast Du noch andere Betriebssystem außer WinXP drauf?

Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus mbrcheck nochmals aus und poste das neue Log.

hi!
sorry dass ich nicht schneller geantwortet habe, war unterwegs.


fixmbr: den befehl nimmt er an, ohne reaktion.

fixboot c: "fixboot konnte das systemlaufwerk nicht finden, oder das angegebene laufwerk ist ungültig"

das system kann aber noch starten. hm....

mbrcheck ausgeführt:

blabla
logical drives mask: 0x00000f5d
\\.\c:-->\\.\physicaldrive0 at offset: 0x00000000'00007e00 <ntfs>
\\.\e:-->\\.\physicaldrive0 at offset: 0x00000024'9ed8e200 <ntfs>

size: 465 gb
device name: physicaldrive0
mbr-status: mbr-code faked!

SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F

Found non-standard or infected MBR.

y for more options, n für exit.

options:
1) dump the mbr of a physical mbr to file
2) restore the mbr of a physical mbr with a standard boot code
3) exit

Zitat:

fixboot c: "fixboot konnte das systemlaufwerk nicht finden, oder das angegebene laufwerk ist ungültig"

Wieso fixbott c:?! Ich hab nur fixboot geschrieben!!

jau. ich (bzw. mein paps übers telefon) hat zunächst fixmbr gemacht, dann fixboot. das ging aber nicht. dann hab ich in der syntax nachgeschaut, da steht fixboot [laufwerksbuchstabe] -- wobei dieser ja dann optional ist.
ich hab ihn jetzt nochmal gefragt, er meint die fehlermeldung bei fixboot (ohne c) wäre aber die gleiche gewesen wie angegeben. ich werd heute abend mal mit ihm telefonieren und ihn nochmal testen lassen.

eine frage mal: ich hab die daten schon gesichert. ich hab auch die software da. ich bin nicht sicher ob es nicht weniger aufwand (bzw. zuverlässiger) ist, einfach neu zu installieren?
für dem fall weiß ich aber nicht: besteht das mbr-problem danach womöglich noch? und wie verhindere ich, dass der trojanerquark, der jetzt auf der externen platte in den daten ist, nicht nachher wieder reinkommt?

wenn du sagst ich sollte lieber noch ein-zwei sachen zum fixen probieren mach ich das natürlich lieber. ich weiß, die frage ist albern, aber kannst du ne avg-case zeitabschätzung geben?

Nach fixmbr sollte auf jeden Fall der MBR sauber geschrieben sein. Sicher, dass Vati die Abfragen nach Ausführung von fixmbr alle bestätigt hat?

also:
bin erst freitag wieder daheim. ich habs nochmal übers telefon versucht, was herauszukriegen:

ich hab ihn, weil das gestern anders aussah in der wiederherstellungskonsole als erwartet (kein admin-kennwort abgefragt, keine auswahl des OS usw.) die wiederherstellungskonsole installieren lassen.
wenn man diese dann statt dem os bootet, kommt n bluescreen.
stop: 0x0000007b (0xf7cae524,0xc0000034,0x00000000,0x00000000)