Guten Abend,

Seit vorgestern hab, ich das Problem mit zufälligen Bluescreens.

Ich muss dazu sagen, dass ich Windows 7 Starter auf einem HP mini 210 Netbook laufen habe.

Darüberhinaus lässt sich mein avira antivir guard nicht mehr aktivieren und updates gehen auch nicht mehr.

Heute hab ich dann folgende Überraschung erlebt:

Es erschien die Fehlermeldung: "Möglicherweise sind Sie einer Softwarefälschung zum Opfer gefallen"

Was aber nicht sein kann Windows 7 Starter war ja schon vorinstalliert bezogen vom roten Elektrofachmarkt MM.


Es gab da schon mal einen Thread bei dem der Ersteller mit den selben Symptomen zu kämpfen hatte:

http://www.trojaner-board.de/89006-v...geht-mehr.html

Dort wurde vorgeschlagen WVCheck und MGADiag.exe zu laden und auszuführen.

Ich weiss ich sollte normalerweise erst auf Anweisungen von eurem Team warten, aber in dem Fall weils identisch ist und ja keine änderungen wie bei combo fix etc vorgenommen werden, dachte ich mir ich arbeite schon mal vor.

WVChceck konnte ich nicht ausführen und bei MGADiag kam das raus:

Diagnostic Report (1.9.0027.0):
-----------------------------------------
Windows Validation Data-->

Validation Code: 50
Cached Online Validation Code: N/A, hr = 0xc004f012
Windows Product Key: *****-*****-6DHR7-X99PJ-3FGDB
Windows Product Key Hash: QeXBTi1VsLHgVi2/T3o9Gqd7mLo=
Windows Product ID: 00342-OEM-8992752-30008
Windows Product ID Type: 2
Windows License Type: OEM SLP
Windows OS version: 6.1.7601.2.00010300.1.0.011
ID: {C01F2C8D-0A3B-4C1C-B0DD-1BBABB346D6F}(4)
Is Admin: No
TestCab: 0x0
LegitcheckControl ActiveX: N/A, hr = 0x80070002
Signed By: N/A, hr = 0x80070002
Product Name: Windows 7 Starter
Architecture: 0x00000000
Build lab: 7601.win7sp1_gdr.110622-1506
TTS Error: T:20111128013827109-
Validation Diagnostic:
Resolution Status: N/A

Vista WgaER Data-->
ThreatID(s): N/A, hr = 0x80070002
Version: N/A, hr = 0x80070002

Windows XP Notifications Data-->
Cached Result: N/A, hr = 0x80070002
File Exists: No
Version: N/A, hr = 0x80070002
WgaTray.exe Signed By: N/A, hr = 0x80070002
WgaLogon.dll Signed By: N/A, hr = 0x80070002

OGA Notifications Data-->
Cached Result: N/A, hr = 0x80070002
Version: N/A, hr = 0x80070002
OGAExec.exe Signed By: N/A, hr = 0x80070002
OGAAddin.dll Signed By: N/A, hr = 0x80070002

OGA Data-->
Office Status: 114 Blocked VLK 2
Microsoft Office Professional Edition 2003 - 114 Blocked VLK 2
OGA Version: N/A, 0x80070002
Signed By: N/A, hr = 0x80070002
Office Diagnostics: FCEE394C-458-800703e6_025D1FF3-344-800703e6_025D1FF3-229-800703e6_025D1FF3-230-1_025D1FF3-517-80040154_025D1FF3-237-80040154_025D1FF3-238-2_025D1FF3-244-80070002_025D1FF3-258-3

Browser Data-->
Proxy settings: N/A
User Agent: Mozilla/4.0 (compatible; MSIE 8.0; Win32)
Default Browser: C:\Program Files\Mozilla Firefox\firefox.exe
Download signed ActiveX controls: Prompt
Download unsigned ActiveX controls: Disabled
Run ActiveX controls and plug-ins: Allowed
Initialize and script ActiveX controls not marked as safe: Disabled
Allow scripting of Internet Explorer Webbrowser control: Disabled
Active scripting: Allowed
Script ActiveX controls marked as safe for scripting: Allowed

File Scan Data-->
File Mismatch: C:\Windows\system32\wat\watadminsvc.exe[Hr = 0x80070003]
File Mismatch: C:\Windows\system32\wat\npwatweb.dll[Hr = 0x80070003]
File Mismatch: C:\Windows\system32\wat\watux.exe[Hr = 0x80070003]
File Mismatch: C:\Windows\system32\wat\watweb.dll[Hr = 0x80070003]
File Mismatch: C:\Windows\system32\sppcext.dll[6.1.7600.16385], Hr = 0x800b0100
File Mismatch: C:\Windows\system32\slcext.dll[6.1.7600.16385], Hr = 0x800b0100
File Mismatch: C:\Windows\system32\drivers\spsys.sys[6.1.7127.0], Hr = 0x800b0100

Other data-->
Office Details: <GenuineResults><MachineData><UGUID>{C01F2C8D-0A3B-4C1C-B0DD-1BBABB346D6F}</UGUID><Version>1.9.0027.0</Version><OS>6.1.7601.2.00010300.1.0.011</OS><Architecture>x32</Architecture><PKey>*****-*****-*****-*****-3FGDB</PKey><PID>00342-OEM-8992752-30008</PID><PIDType>2</PIDType><SID>S-1-5-21-4102476539-3461679999-2792589953</SID><SYSTEM/><BIOS/><HWID>B3E00D00018400F4</HWID><UserLCID>0407</UserLCID><SystemLCID>0407</SystemLCID><TimeZone>Mitteleuropäische Zeit(GMT+01:00)</TimeZone><iJoin>0</iJoin><SBID><stat>3</stat><msppid></msppid><name></name><model></model></SBID><OEM><OEMID>HPQOEM</OEMID><OEMTableID>SLIC-MPC</OEMTableID></OEM><GANotification/></MachineData><Software><Office><Result>114</Result><Products><Product GUID="{90110407-6000-11D3-8CFE-0150048383C9}"><LegitResult>114</LegitResult><Name>Microsoft Office Professional Edition 2003</Name><Ver>11</Ver><Val>59D1605114E3500</Val><Hash>vfZmaSmFPIYrLWTcZSZErUQg+Fo=</Hash><Pid>73932-640-0000106-57682</Pid><PidType>14</PidType></Product></Products><Applications><App Id="15" Version="11" Result="114"/><App Id="16" Version="11" Result="114"/><App Id="18" Version="11" Result="114"/><App Id="19" Version="11" Result="114"/><App Id="1A" Version="11" Result="114"/><App Id="1B" Version="11" Result="114"/><App Id="44" Version="11" Result="114"/></Applications></Office></Software></GenuineResults>

Spsys.log Content: U1BMRwEAAAAAAQAABAAAAMQpAAAAAAAAYWECAEgtpY19aRcLZq3MAWbXGpOihAOpMHzDmWxsjuoLkCYgVlA+trYbSPc/P0F+CIFrhjWlWq84L0ozF6lpXDOQ1ifb1stzrqx+w3WNaAwzkNYn29bLc66sfsN1jWgMM5DWJ9vWy3OurH7DdY1oDDOQ1ifb1stzrqx+w3WNaAwzkNYn29bLc66sfsN1jWgMM5DWJ9vWy3OurH7DdY 1oDDOQ1ifb1stzrqx+w3WNaAwzkNYn29bLc66sfsN1jWgMM5DWJ9vWy3OurH7DdY1oDDOQ1ifb1stzrqx+w3WNaAwzkNYn29bLc66sfsN1jWgMM5DWJ9vWy3OurH7DdY1oDDOQ1ifb1stzrqx+w3WN aAx4dZsxs/sxaQSZh6DCEuBHjsLx04oPts2st7Nx9OY7IZEB5+o7kbqvo8YXlqqR+U0zkNYn29bLc66sfsN1jWgMM5DWJ9vWy3OurH7DdY1oDDOQ1ifb1stzrqx+w3WNaAwzkNYn29bLc66sfsN1jWgMM5DWJ9vW y3OurH7DdY1oDDOQ1ifb1stzrqx+w3WNaAwzkNYn29bLc66sfsN1jWgMM5DWJ9vWy3OurH7DdY1oDDOQ1ifb1stzrqx+w3WNaAwzkNYn29bLc66sfsN1jWgMM5DWJ9vWy3OurH7DdY1oDDOQ1ifb1s tzrqx+w3WNaAwzkNYn29bLc66sfsN1jWgM

Licensing Data-->
Führen Sie auf einem Computer unter Microsoft Windows (keine Core Edition) "slui.exe 0x2a 0x1A8" aus, um den Fehlertext anzuzeigen.
Fehler: 0x1A8

Windows Activation Technologies-->
HrOffline: 0x00000000
HrOnline: N/A
HealthStatus: 0x0000000000000000
Event Time Stamp: N/A
ActiveX: Not Registered - 0x80040154
Admin Service: Not Registered - 0x80040154
HealthStatus Bitmask Output:


HWID Data-->
HWID Hash Current: KgAAAAAAAQABAAIAAAABAAAAAQABAAEAJJTWtx64uhPonrJM8huuCnIZ

OEM Activation 1.0 Data-->
N/A

OEM Activation 2.0 Data-->
BIOS valid for OA 2.0: yes
Windows marker version: 0x20001
OEMID and OEMTableID Consistent: yes
BIOS Information:
ACPI Table Name OEMID Value OEMTableID Value
APIC HPQOEM SLIC-MPC
FACP HP SLIC-MPC
HPET HPQOEM SLIC-MPC
BOOT HPQOEM SLIC-MPC
MCFG HPQOEM SLIC-MPC
SSDT PmRef CpuPm
SLIC HPQOEM SLIC-MPC


Ich hoffe mir kann jemand weiterhelfen

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden
• Sollte ich innerhalb der nächsten 3 Tage keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
• Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


Schritt 1

Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop.

dds.com
dds.scr
dds.pif

• Schließe alle laufenden Programme.
• Starte DDS mit Doppelklick.
• Es wird 2 Logfiles erstellen.
  • dds.txt
  • attach.txt
• Speichere beide Logfiles auf deinem Desktop
• Poste beide Logfiles hier.

Bitte poste in deiner nächsten Antwort
dds.txt
attach.txt

Hallo,

danke Daniel, dass du mir mit den Problemen hilfst.


Inhalt vom DDS.txt

Code: Alles auswählenAufklappen

ATTFilter

.
DDS (Ver_2011-08-26.01) - NTFSx86 
Internet Explorer: 8.0.7601.17514  BrowserJavaVersion: 1.6.0_23
Run by Stefan at 20:42:07 on 2011-11-30
Microsoft Windows 7 Starter   6.1.7601.1.1252.49.1031.18.2011.1310 [GMT 1:00]
.
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_5576240ee6baaa25\STacSV.exe
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\WLANExt.exe
C:\Windows\system32\conhost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\taskhost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\conhost.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Windows\system32\sppsvc.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\System32\svchost.exe -k secsvcs
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
mRun: [IAAnotif] c:\program files\intel\intel matrix storage manager\iaanotif.exe
mRun: [SysTrayApp] c:\program files\idt\wdm\sttray.exe
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mRun: [EvtMgr6] c:\program files\logitech\setpointp\SetPoint.exe /launchGaming
mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Nach Microsoft &Excel exportieren - c:\progra~1\micros~3\office11\EXCEL.EXE/3000
IE: {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - c:\program files\icq7.2\ICQ.exe
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~3\office11\REFIEBAR.DLL
DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{6AC52CBD-AEAC-42FB-828F-952B4DB28755} : DhcpNameServer = 192.168.2.1
Notify: igfxcui - igfxdev.dll
Notify: LBTWlgn - c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\stefan\appdata\roaming\mozilla\firefox\profiles\h7ks30v2.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\program files\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\divx\divx ovs helper\npovshelper.dll
FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\microsoft silverlight\3.0.40624.0\npctrlui.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll
.
---- FIREFOX POLICIES ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
============= SERVICES / DRIVERS ===============
.
R1 SASDIFSV;SASDIFSV;c:\program files\superantispyware\sasdifsv.sys [2010-2-17 12872]
R1 SASKUTIL;SASKUTIL;c:\program files\superantispyware\SASKUTIL.SYS [2010-5-10 67656]
R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\drivers\vwififlt.sys [2009-7-14 48128]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\avira\antivir desktop\sched.exe [2011-1-7 136360]
R2 AntiVirService;Avira AntiVir Guard;c:\program files\avira\antivir desktop\avguard.exe [2011-1-7 269480]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-1-7 66616]
R3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\drivers\vwifimp.sys [2009-7-14 14336]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-13 229888]
S3 netr28u;RT2870-USB-Drahtlos-LAN-Kartentreiber für Vista;c:\windows\system32\drivers\netr28u.sys [2009-6-10 657408]
S3 netw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\drivers\netw5v32.sys [2009-6-10 4231168]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RtsUStor.sys [2011-1-7 174592]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\drivers\Rt86win7.sys [2011-1-7 204288]
S3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\drivers\VSTAZL3.SYS [2009-7-13 207360]
S3 SrvHsfV92;SrvHsfV92;c:\windows\system32\drivers\VSTDPV3.SYS [2009-7-13 980992]
S3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\drivers\VSTCNXT3.SYS [2009-7-13 661504]
S3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\TsUsbFlt.sys [2011-5-6 52224]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\drivers\yk62x86.sys [2009-7-13 311296]
S4 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2011-6-6 64952]
S4 AESTFilters;Andrea ST Filters Service;c:\windows\system32\driverstore\filerepository\stwrt.inf_x86_neutral_5576240ee6baaa25\AEstSrv.exe [2011-1-7 81920]
S4 Com4QLBEx;Com4QLBEx;c:\program files\hewlett-packard\hp quick launch buttons\Com4QLBEx.exe [2011-1-7 228408]
.
=============== Created Last 30 ================
.
2011-11-30 19:38:56	56200	----a-w-	c:\programdata\microsoft\windows defender\definition updates\{3137bbe8-7dce-4265-9759-b97113162b6f}\offreg.dll
2011-11-30 19:38:53	6668624	----a-w-	c:\programdata\microsoft\windows defender\definition updates\{3137bbe8-7dce-4265-9759-b97113162b6f}\mpengine.dll
2011-11-28 00:25:20	148922990	----a-w-	c:\users\stefan\Chaser_Demo_v149_B_Eng.exe
2011-11-27 20:10:44	--------	d-----w-	c:\users\stefan\appdata\local\ElevatedDiagnostics
2011-11-21 01:06:37	--------	d-----w-	c:\programdata\ClubSanDisk
2011-11-14 19:13:25	--------	d-----w-	c:\users\stefan\Rezepte
2011-11-12 16:04:28	--------	d-----w-	c:\users\stefan\Waschmaschine Hilfe
2011-11-09 19:29:51	1290608	----a-w-	c:\windows\system32\drivers\tcpip.sys
2011-11-09 19:29:50	708608	----a-w-	c:\program files\common files\system\wab32.dll
2011-11-09 19:29:48	2341888	----a-w-	c:\windows\system32\win32k.sys
2011-11-02 20:01:23	--------	d-----w-	c:\users\stefan\Beispiele für Straßenschnitte
.
==================== Find3M  ====================
.
2011-11-28 00:15:40	16400	----a-w-	c:\windows\system32\drivers\LNonPnP.sys
2011-11-22 16:34:59	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-10-01 02:42:56	1638912	----a-w-	c:\windows\system32\mshtml.tlb
.
============= FINISH: 20:43:15,85 ===============
         

Attach.txt

Code: Alles auswählenAufklappen

ATTFilter

.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft Windows 7 Starter 
Boot Device: \Device\HarddiskVolume1
Install Date: 07.01.2011 00:52:24
System Uptime: 30.11.2011 20:35:39 (0 hours ago)
.
Motherboard: Hewlett-Packard |  | 3660
Processor: Intel(R) Atom(TM) CPU N450   @ 1.66GHz | CPU | 1666/667mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 221 GiB total, 1,019 GiB free.
D: is FIXED (NTFS) - 12 GiB total, 0,11 GiB free.
E: is FIXED (FAT32) - 0 GiB total, 0,005 GiB free.
.
==== Disabled Device Manager Items =============
.
==== System Restore Points ===================
.
No restore point in system.
.
==== Installed Programs ======================
.
Adobe Flash Player 10 ActiveX
Adobe Flash Player 11 Plugin
Adobe Reader X (10.1.1) - Deutsch
Avidemux 2.5 (32-bit)
Avira AntiVir Personal - Free Antivirus
Broadcom 802.11 Wireless LAN Adapter
CCleaner
Chaser
Chaser Multiplayer Demo
DivX-Setup
eReg
ESU for Microsoft Windows 7
Evil Player v1.31
GIMP 2.6.11
HP Customer Experience Enhancements
HP Quick Launch Buttons
HP Wireless Assistant
ICQ7.2
IDT Audio
Intel(R) Graphics Media Accelerator Driver
Intel(R) Matrix Storage Manager
IrfanView (remove only)
Java Auto Updater
Java(TM) 6 Update 20
Java(TM) 6 Update 23
JDownloader
Logitech SetPoint 6.20
Malwarebytes' Anti-Malware
Microsoft .NET Framework 4 Client Profile
Microsoft Office Professional Edition 2003
Microsoft Silverlight
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Mozilla Firefox 8.0 (x86 de)
Notepad++
OpenOffice.org 3.2
Opera 11.52
Python 2.6 PyGTK 2.24.0
Python 2.6.6
QLBCASL
Real Alternative 2.0.2
Realtek Ethernet Controller Driver For Windows Vista and Later
Realtek USB 2.0 Card Reader
Recovery Manager
Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)
Skype™ 5.5
SopCast 3.3.2
SUPERAntiSpyware
Synaptics Pointing Device Driver
TortoiseSVN 1.6.16.21511 (32 bit)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
VC80CRTRedist - 8.0.50727.4053
VLC media player 1.1.5
Windows Media Player Firefox Plugin
WinRAR
.
==== End Of File ===========================
         

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Hallo hat gedauert weil windows immer wieder neustartet, musst daher erst die internet verbindung deaktivieren:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-12-01 18:25:44
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 Hitachi_ rev.PC2O
Running: 55ee7u4i.exe; Driver: C:\Users\Stefan\AppData\Local\Temp\uxrdrpod.sys


---- System - GMER 1.0.15 ----

SSDT            8BE683A6                                                                                          ZwCreateSection
SSDT            8BE683AB                                                                                          ZwSetContextThread
SSDT            8BE68347                                                                                          ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKey + 13D1                                                                     81A47349 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                            81A80D52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           ntkrnlpa.exe!KeRemoveQueueEx + 11F7                                                               81A87EAC 4 Bytes  [A6, 83, E6, 8B] {CMPSB ; AND ESI, -0x75}
.text           ntkrnlpa.exe!KeRemoveQueueEx + 1597                                                               81A8824C 4 Bytes  [AB, 83, E6, 8B] {STOSD ; AND ESI, -0x75}
.text           ntkrnlpa.exe!KeRemoveQueueEx + 166F                                                               81A88324 4 Bytes  [47, 83, E6, 8B] {INC EDI; AND ESI, -0x75}

---- User code sections - GMER 1.0.15 ----

.text           C:\Windows\system32\lsass.exe[500] ntdll.dll!EtwSetMark + 1497E                                   77B502E5 1 Byte  [02]
.text           C:\Windows\system32\lsm.exe[520] kernel32.dll!EnumResourceNamesExW + E8                           775F82C5 1 Byte  [F7]
.text           C:\Windows\system32\lsm.exe[520] msvcrt.dll!_ftol2_sse_excpt + 1E52A                              761302E5 1 Byte  [3E]
.text           C:\Windows\system32\svchost.exe[720] msvcrt.dll!__unDName + 42E                                   7610A2E5 1 Byte  [56]
.text           C:\Windows\system32\svchost.exe[720] msvcrt.dll!_ftol2_sse_excpt + 1ED0A                          76130AC5 1 Byte  [6E]
.text           C:\Windows\system32\svchost.exe[1164] msvcrt.dll!__libm_sse2_cosf + 240                           7616C2E5 1 Byte  [60]
.text           C:\Windows\system32\svchost.exe[1164] GDI32.dll!ExtCreatePen + 7C91                               760B92E5 1 Byte  [8B]
.text           C:\Windows\system32\SearchProtocolHost.exe[3312] SHELL32.dll!DragQueryFile + 234                  768052E5 1 Byte  [FD]
.text           C:\Windows\system32\SearchFilterHost.exe[3648] SHELL32.dll!SHMapPIDLToSystemImageListIndex + C55  76751AC5 1 Byte  [FF]
.text           C:\Windows\system32\svchost.exe[3660] SHELL32.dll!StrCmpNIW + 36E7                                766B12E5 1 Byte  [05]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                           Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                           Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                            fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                            fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                            fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                            fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\0000004a                                                                 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \FileSystem\fastfat \Fat                                                                          fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Files - GMER 1.0.15 ----

File            C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS00011.log                            1048576 bytes
File            C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS00012.log                            1048576 bytes
File            C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS00013.log                            1048576 bytes

---- EOF - GMER 1.0.15 ----
         

Ist Windows denn aktiviert auch ? Laut MGA Diag sieht das nicht so aus.

Befolge mal diese Schritte
http://windows.microsoft.com/de-AT/w...-this-computer

Hallo,

so bin wieder da hat erstmal gedauert den key zu finden, ist bei dem netbook ganz unter der aku abdeckung.

Aber wollte auch ungern meinen cd key eingeben, da ich ja genau weiss das es eine echte legale win 7 starter edition ist und ich ungern will, dass der von einem bösartigen programm aufgezeichnet wird beim eingeben.

Gut hab ich jetzt trotzdem gemacht aber komm nicht weiter.

Können wir nicht einfach weiter machen mit der Beseitigung

Bild im Anhang.

MfG

Stefan

Wende dich mal an den Windows Support. Das nicht mein Gebiet

Schicke mir, wenn du dort fertig bist, kurz ne PM, dann machen wir hier weiter