Hallo liebes Trojaner-Board.


Als ich vor 2 Tagen meinen Laptop (Toshiba Tecra M2) hochgefahren habe, bekam ich von meinem Antivir die Meldung, dass das Trojanische Pferd TR/Agent.HM.35 gefunden wurde. Habe zunächst auf "löschen" gedrückt und dann war auch für ca. 5 Minuten Ruhe. Bevor ich einen Antivir Durchlauf starten wollte, hatte ich mich dafür entschieden Spybot zu starten. Allerdings bekam ich beim öffnen von Spybot folgende Meldung:

Spybotsd:SpybotSD.exe - Abbild fehlerhaft

Die Anwendung der DLL C:\WINDOWS\system32\olepro32.dll ist keine gültige Windows-Datei. Überprüfen sie dies mit der Installationsdiskette.

Nun gut, Spybot konnte trotzdem gestartet werden. Habe es dann jedoch erstmal wieder geschlossen und Antivir ausgeführt.

Dabei kam folgendes heraus:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 17. Juli 2010 21:44

Es wird nach 2354648 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : PC

Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 20.11.2009 09:08:45
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:08:42
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 09:08:42
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 20:46:04
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:23:02
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 16:00:35
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 10:31:52
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 18:11:09
VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 18:11:10
VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 18:11:10
VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 18:11:10
VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 18:11:10
VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 18:11:10
VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 18:11:10
VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 09:52:10
VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 10:19:45
VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 10:20:09
VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 10:19:46
VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 17:21:11
VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 17:31:50
VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 21:48:13
VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 13:03:36
VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 13:29:58
VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 13:29:59
VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 13:29:59
VBASE024.VDF : 7.10.9.79 113152 Bytes 13.07.2010 19:00:59
VBASE025.VDF : 7.10.9.99 158720 Bytes 16.07.2010 19:01:00
VBASE026.VDF : 7.10.9.100 2048 Bytes 16.07.2010 19:01:00
VBASE027.VDF : 7.10.9.101 2048 Bytes 16.07.2010 19:01:00
VBASE028.VDF : 7.10.9.102 2048 Bytes 16.07.2010 19:01:00
VBASE029.VDF : 7.10.9.103 2048 Bytes 16.07.2010 19:01:00
VBASE030.VDF : 7.10.9.104 2048 Bytes 16.07.2010 19:01:00
VBASE031.VDF : 7.10.9.108 67584 Bytes 16.07.2010 19:01:00
Engineversion : 8.2.4.12
AEVDF.DLL : 8.1.2.0 106868 Bytes 24.04.2010 14:04:53
AESCRIPT.DLL : 8.1.3.40 1360250 Bytes 17.07.2010 19:01:06
AESCN.DLL : 8.1.6.1 127347 Bytes 12.05.2010 17:10:01
AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 14:04:53
AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 10:33:33
AEPACK.DLL : 8.2.2.6 430452 Bytes 17.07.2010 19:01:04
AEOFFICE.DLL : 8.1.1.6 201081 Bytes 12.07.2010 13:30:02
AEHEUR.DLL : 8.1.1.38 2724214 Bytes 24.06.2010 17:21:18
AEHELP.DLL : 8.1.11.6 242038 Bytes 24.06.2010 17:21:14
AEGEN.DLL : 8.1.3.14 381299 Bytes 17.07.2010 19:01:03
AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 14:04:51
AECORE.DLL : 8.1.15.4 192886 Bytes 17.07.2010 19:01:02
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 14:04:51
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 07.11.2009 13:40:36
AVREP.DLL : 8.0.0.7 159784 Bytes 19.02.2010 09:59:47
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 20.11.2009 09:08:33

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 17. Juli 2010 21:44

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '84813' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMax4PNP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess '00THotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '29' Prozesse mit '29' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '48' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\45\6e4f9eed-7b5c43eb
[0] Archivtyp: ZIP
--> dev/s/AdgredY.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.S
--> dev/s/DyesyasZ.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.R
--> dev/s/LoaderX.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.M.1
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A1RHODHQ\update[1].exe
[FUND] Ist das Trojanische Pferd TR/Agent.HM.35
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MF3QFUZ7\update[1].exe
[FUND] Ist das Trojanische Pferd TR/Agent.HM.35
C:\System Volume Information\_restore{77214B4A-7DCA-4E9B-A136-15719C75A017}\RP111\A0016126.exe
[FUND] Ist das Trojanische Pferd TR/Agent.HM.35
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\45\6e4f9eed-7b5c43eb
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c761aab.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A1RHODHQ\update[1].exe
[FUND] Ist das Trojanische Pferd TR/Agent.HM.35
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ca61ab7.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MF3QFUZ7\update[1].exe
[FUND] Ist das Trojanische Pferd TR/Agent.HM.35
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dff0008.qua' verschoben!
C:\System Volume Information\_restore{77214B4A-7DCA-4E9B-A136-15719C75A017}\RP111\A0016126.exe
[FUND] Ist das Trojanische Pferd TR/Agent.HM.35
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c721a77.qua' verschoben!


Ende des Suchlaufs: Samstag, 17. Juli 2010 23:01
Benötigte Zeit: 1:17:33 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

10291 Verzeichnisse wurden überprüft
418973 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
418964 Dateien ohne Befall
8187 Archive wurden durchsucht
3 Warnungen
6 Hinweise
84813 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


Wie man erkennen kann, wurden die gefundenen Viren in die Quarantäne geschoben. Zudem habe ich die Temporären Dateien von Java manuell geleert. Habe nach einem Neustart noch einen Suchlauf mit Antivir gemacht (ich schätze insgesamt 3-4 seit Samstag) und es wurde auch nichts mehr gefunden. Leider hatte sich das "Abbild-Problem" von Windows noch nicht geändert und trat auch in Form von

Explorer.EXE - Abbild fehlerhaft

Die Anwendung der DLL C:\WINDOWS\system32\olepro32.dll ist keine gültige Windows-Datei. Überprüfen sie dies mit der Installationsdiskette.

auf.

Habe im abgesicherten Modus noch einen Spybot Durchlauf vollendet und es wurde dabei

Win32.Muollo

gefunden und das Problem wurde behoben.

Habe bereits denn CC-Cleaner benutzt und den escan, bei dem 17 Viren gefunden wurden. Habe aber erstmal nichts unternommen und dummerweise die Log nicht gespeichert, da ich das Programm das erste mal genutzt habe und mir nicht klar war, dass man diese danach nicht mehr aufrufen kann (oder etwa doch?)
Falls nötig kann ich dies natürlich noch einmal machen, wenn es sinnvoll ist.

Was ich noch hinzufügen kann: ich habe versucht über

scf/scannnow

eine Reperatur zu starten, leider konnte das nicht durchgeführt werden, weil meine Win XP Professional CD mit SP2 ausgestattet ist, Windows aber gerne eine SP3 gehabt hätte. Bin gerade etwas ratlos und weiß auch nicht ob es beim derzeitigen Stand überhaupt sinnvoll wäre es mit einer SP3 CD zu versuchen.

Hier noch mein aktueller Hijack-Log

HiJackthis Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:40:49, on 19.07.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21256)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\00THotkey.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\HijackThis\abc.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5726 bytes
         

--- --- ---


Ich hoffe ich habe alles nach den Regeln abgearbeitet und bin im richtigen Sub für diese Problem gelandet. Das "Abbild-Problem" besteht wie gesagt noch immer und ich schätze das es mit einem "Viren-Problem" zusammenhängt bzw. dadurch ausgelöst wurde.

Danke schon mal für die Mühe

gruß nesaia

Hast du eine Windows CD ?
Wenn ja, lege diese in den CD Laufwerk

WIndows + R Taste drücken --> sfc /scannow (reinkopieren) --> OK

Mal sehen obs hilft

Hallo Larusso , das ging ja schnell!

Wie bereits beschrieben hatte ich das schon versucht. Habe es eben nochmal versucht mit gleicher Meldung:

Zitat:

Windows-Dateischutz

Es wurden Dateien, die zum Ausführen von Windows erforderlich sind, mit unbekannten Versionen ersetzt. Die Originalversionen dieser Dateien müssen wiederhergestellt werden, um die Systemstabilität beizubehalten.

Legen Sie Windows XP Professional Service Pack 3-CD jetzt ein.

Ok, meine XP Prof. CD hat nur SP2. Das heißt ich soll eine CD mit SP3 erstellen? (habe ich noch nie gemacht)

Danke schon mal und Gruß nesaia

Soviel ich jetzt im kopf habe, reicht eine CD mit nur SP3 aus.

Edit

Haste ja schon gemacht

Gehe bitte auf folgende Seite
http://www.microsoft.com/downloads/d...displayLang=de

Klicke auf Download Starten wenn es nicht von selber startet.
Kann etwas dauern das ganze

http://www.wintotal.de/tipparchiv/index.php?id=1212#1
Wie brenne ich eine ISO auf CD. Nimm dazu bitte ImgBurn

Hallo ,

also habe alles durchgeführt und die SP3-CD gebrannt. Hab sie nach dem brennen nochmal überprüfen lassen und es war auch alles in Ordnung.

Leider sagt mir Windows jetzt

Zitat:

Windows-Dateischutz

Sie haben die falsche CD eingelegt.
Legen Sie die Windows XP Professional Service Pack 3-CD in das CD-ROM Laufwerk ein.

Beim einlegen der CD hatte mich jedenfalls das SP3 zuvor freundlich begrüßt, aber irgendwie scheint es nicht zu funktionieren.

Okay, sehen wir uns das ganze mal genauer an

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

/md5start
olepro32.dll
/md5stop
netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread