Hallo liebes Trojaner-Board,
Folgendes Problem liegt vor, ich hoffe ihr könnt mir helfen:
Besitze einen brandneuen PC mit Windows 7 (64bit) drauf (Systeminformationen benötigt?). Mein Rechner davor (Windows XP) hatte bereits Systemeinfrierungen, immer dann, wenn ich meine externe Festplatte angeschlossen hatte. Entfernte ich die Festplatte lief das System problemlos weiter. Meinen neuen Rechner habe ich auch mit meinen alten Dateien von der Festplatte versorgt - zunächst keine Probleme. Bis ich vor ein paar Tagen die Festplatte angeschlossen ließ (ohne irgendeinen Kopierauftrag o.ä. auszuführen), nach hause kam und bemerkte, dass die Festplatte glühend heiß lief. Nach kurzer Bedienung stürzte der PC ab, danach misslang entweder der Systemstart oder das System stürzte nach ziemlich genau einer Minute nach dem Erscheinen des Desktop ab. Da sich das System aber noch im abgesicherten Modus starten ließ, nahm ich an, dass es kein Hardwarefehler ist, sondern ein Wurm. Tatsächlich habe ich dann auch meine Festplatte mit AV-Guard (Free-Version) gescannt und voilá: auf der externen, allerdings nicht auf der pc-internen Festplatte ließen sich etwa 7 Trojaner finden (VBS/Solow.D, TR/Horse.QZH, TR/Horse.KJG, TR/GENDAL.2352, TR/Downloader.Gen4, TR/Crypt., XPack.Gen3, TR/ConCon.P, nochmal TR/ConCon.P). Die habe ich alle sofort in die Quarantäne verschoben, das Problem blieb aber bestehen, ob mit externer Festplatte angeschlossen oder ohne. Dann habe ich Windows 7 neu installiert, allerdings mit beibehalten der alten Dateien in einem Order "Windows.old". Als ich neustartete, um meinen Grafiktreiber zu aktivieren (der danach übrigens auch funktionierte) und auch die Festplatte für einen kurzen Moment anschloss, um meine Antivirenprogramme zu installieren, ließ sich sich Windows nicht mehr starten, die Starthilfe hat für die Reparatur mehr als 20 min gebraucht, dann habe ich abgebrochen. Ich vermute also, dass es sich um einen Wurm handelt, den die Trojaner runtergeladen haben, der von meinen Virenprogrammen (A2, AVGuard, Anti-Malware, Microsoft-Security-Essentials) aber nicht erkannt wird. Könnt ihr mir weiterhelfen? Jetzt schonmal vielen Dank fürs Lesen!

Hier die obligatorischen Informationen:


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5485

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

08.01.2011 23:09:01
mbam-log-2011-01-08 (23-09-01).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 149743
Laufzeit: 18 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


OTL-Informationen: h**p://textsave.de/?p=45010

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Ok, dann eben nochmal, diesmal garantiert aktuell und in der Minimalausgabe:
Extras.txt: h**p://textsave.de/?p=45082
OTL.txt: h**p://textsave.de/?p=45085

"C:" ist übrigens die interne, "I:" die externe Festplatte, beide mitgescannt.


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5489

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

09.01.2011 23:59:52
mbam-log-2011-01-09 (23-59-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|I:\|)
Durchsuchte Objekte: 610222
Laufzeit: 54 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Die OTL-Logs sehen nicht ganz vollständig aus. Bitte alle Logs in eine ZIP-Datei packen und hier anhängen.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{2d422044-1b07-11e0-bed8-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{2d422044-1b07-11e0-bed8-806e6f6e6963}\Shell\AutoRun\command - "" = D:\driver.exe -- File not found
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2d422044-1b07-11e0-bed8-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2d422044-1b07-11e0-bed8-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2d422044-1b07-11e0-bed8-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2d422044-1b07-11e0-bed8-806e6f6e6963}\ not found.
File D:\driver.exe not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Lasse
->Temp folder emptied: 4774311 bytes
->Temporary Internet Files folder emptied: 21763999 bytes
->Google Chrome cache emptied: 6099312 bytes
->Flash cache emptied: 611 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3918276 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes
RecycleBin emptied: 293176 bytes

Total Files Cleaned = 35,00 mb


OTL by OldTimer - Version 3.2.20.1 log created on 01102011_143934

Files\Folders moved on Reboot...
C:\Users\Lasse\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Files\Folders moved on Reboot...
File move failed. C:\Users\Lasse\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...






System ist im normalen Modus nach dem Neustart allerdings immer noch sofort wieder abgestürzt.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Obwohl der AVGuard.exe Prozess beendet war, hat mich das Programm irrtümlicherweise immer wieder davor gewarnt, dass AVGuard aktiv ist. Ich hab den CCleaner dann einfach trotzdem ausgeführt. Das hier hab ich danach unter C:\cofi\Combofix.txt gefunden:



ComboFix 11-01-09.03 - Lasse 10.01.2011 17:05:00.1.4 - x64 NETWORK
Microsoft Windows 7 Professional 6.1.7600.0.1252.49.1031.18.4087.3537 [GMT 1:00]
ausgeführt von:: C:\Users\Lasse\Desktop\cofi.exe
AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
/wow section - STAGE 50
R6025
- pure virtual function call
Die Datei "LockedB" kann nicht gefunden werden.
Die Datei "lockedB" kann nicht gefunden werden.
Das System kann den angegebenen Pfad nicht finden.
Die Datei "LockedB" kann nicht gefunden werden.
Die Datei "LockedB" kann nicht gefunden werden.


((((((((((((((((((((((( Dateien erstellt von 2010-12-10 bis 2011-01-10 ))))))))))))))))))))))))))))))
.

2011-01-10 16:09:28 . 2011-01-10 16:09:28 -------- d-----w- C:\Users\Default\AppData\Local\temp
2011-01-10 13:39:34 . 2011-01-10 13:39:34 -------- d-----w- C:\_OTL
2011-01-09 09:42:09 . 2011-01-09 09:42:09 -------- d-----w- C:\ProgramData\PC Tools
2011-01-09 00:55:41 . 2011-01-09 11:09:59 690 ----a-w- C:\ProgramData\bdinstall.bin
2011-01-08 21:27:07 . 2010-11-16 11:01:20 8199504 ----a-w- C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{24D5D29E-4D70-4B39-BBA6-41FF6FBC388C}\mpengine.dll
2011-01-08 21:06:53 . 2011-01-08 21:06:53 -------- d-----w- C:\ProgramData\Malwarebytes
2011-01-08 21:06:53 . 2010-12-20 17:09:00 38224 ----a-w- C:\Windows\SysWow64\drivers\mbamswissarmy.sys
2011-01-08 21:06:50 . 2011-01-08 21:06:54 -------- d-----w- C:\Program Files (x86)\Malwarebytes' Anti-Malware
2011-01-08 20:35:02 . 2011-01-10 13:41:33 -------- d-----w- C:\ProgramData\NVIDIA
2011-01-08 20:34:03 . 2011-01-08 20:34:55 -------- d-----w- C:\Program Files (x86)\NVIDIA Corporation
2011-01-08 20:34:03 . 2011-01-08 20:34:03 -------- d-----w- C:\Program Files (x86)\AGEIA Technologies
2011-01-08 20:33:32 . 2011-01-08 20:33:58 -------- d-----w- C:\Program Files (x86)\Common Files\Wise Installation Wizard
2011-01-08 20:33:29 . 2011-01-08 20:34:21 -------- d-----w- C:\Program Files\NVIDIA Corporation
2011-01-08 20:10:38 . 2011-01-08 20:10:38 -------- d-----w- C:\Windows\SysWow64\Macromed
2011-01-08 19:29:48 . 2011-01-08 19:30:30 -------- d-----w- C:\Program Files (x86)\Pidgin
2011-01-08 19:17:20 . 2011-01-08 19:47:41 -------- d-----w- C:\Program Files (x86)\a-squared Free
2011-01-08 19:12:45 . 2011-01-08 19:12:45 -------- d-----w- C:\ProgramData\Avira
2011-01-08 19:12:45 . 2011-01-08 19:12:45 -------- d-----w- C:\Program Files (x86)\Avira
2011-01-08 19:04:36 . 2011-01-08 20:34:29 -------- d-sh--w- C:\Windows\Installer
2011-01-08 09:05:27 . 2011-01-08 19:02:42 -------- d-----w- C:\Windows\Panther
2011-01-08 08:54:08 . 2011-01-08 08:54:08 -------- d-----w- C:\Windows.old
2010-12-28 11:16:44 . 2010-12-28 11:20:46 -------- d-----w- C:\e378ccdb224eba6343361970
2010-12-26 18:31:19 . 2010-12-26 18:31:19 -------- d-----w- C:\NVIDIA
2010-12-26 16:32:33 . 2011-01-06 12:33:08 -------- d-----w- C:\Games
2010-12-25 15:29:33 . 2010-12-25 15:29:33 -------- d-----w- C:\Intel
2010-12-25 15:25:39 . 2011-01-08 19:02:41 -------- d-----w- C:\Recovery
2010-12-25 15:25:39 . 2010-12-25 15:25:39 -------- d-sh--we C:\Programme
2010-12-25 15:25:39 . 2010-12-25 15:25:39 -------- d-sh--we C:\Dokumente und Einstellungen

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="C:\Users\Lasse\AppData\Local\Google\Update\GoogleUpdate.exe" [2011-01-08 20:23:03 136176]
"Spyware Doctor"="C:\Users\Lasse\Desktop\sdsetup.exe" [2011-01-08 23:53:09 512992]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 07:39:19 281768]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]
"Malwarebytes' Anti-Malware"="C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-12-20 17:08:56 443728]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

R2 a2free;a-squared Free Service;C:\Program Files (x86)\a-squared Free\a2service.exe [2011-01-08 19:46:59 1872320]
R2 AntiVirSchedulerService;Avira AntiVir Planer;C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [2010-12-13 07:39:27 135336]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-01-11 20:00:00 240232]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;C:\Windows\system32\drivers\nvhda64v.sys [2009-11-12 04:14:28 84584]
S1 vwififlt;Virtual WiFi Filter Driver;C:\Windows\system32\DRIVERS\vwififlt.sys [2009-07-14 00:07:22 59904]
S3 netr7364;RT73 USB-Drahtlos-LAN-Kartentreiber für Vista;C:\Windows\system32\DRIVERS\netr7364.sys [2009-06-10 20:35:38 707072]
S3 RTL8167;Realtek 8167 NT-Treiber;C:\Windows\system32\DRIVERS\Rt64win7.sys [2009-06-10 20:35:42 187392]

.
Inhalt des "geplante Tasks" Ordners

2011-01-08 C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2122298923-2992298792-453943554-1000Core.job
- C:\Users\Lasse\AppData\Local\Google\Update\GoogleUpdate.exe [2011-01-08 20:23:05 . 2011-01-08 20:23:03]

2011-01-08 C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2122298923-2992298792-453943554-1000UA.job
- C:\Users\Lasse\AppData\Local\Google\Update\GoogleUpdate.exe [2011-01-08 20:23:05 . 2011-01-08 20:23:03]
.

--------- x86-64 -----------


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = C:\Windows\system32\blank.htm
uStart Page = http://www.trojaner-board.de/94605-u...abstuerze.html
mLocal Page = C:\Windows\SysWOW64\blank.htm
TCP: {2279AB53-FD30-4810-8CA5-05308C020943} = 192.168.0.21,192.168.22.254
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Wow6432Node-HKLM-RunOnce-<NO NAME> - (no file)

Sicher, dass das Log vollständig ist? Sieht aus als wenn am Ende was fehlt.

Habs nochmal ausgeführt, diesmal mit weniger Komplikationen:



Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-01-10.07 - Lasse 11.01.2011  10:32:55.2.4 - x64 NETWORK
Microsoft Windows 7 Professional   6.1.7600.0.1252.49.1031.18.4087.3551 [GMT 1:00]
ausgeführt von:: c:\users\Lasse\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2010-12-11 bis 2011-01-11  ))))))))))))))))))))))))))))))
.

2011-01-11 09:37 . 2011-01-11 09:37	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-01-10 13:39 . 2011-01-10 13:39	--------	d-----w-	C:\_OTL
2011-01-09 09:42 . 2011-01-09 09:42	--------	d-----w-	c:\programdata\PC Tools
2011-01-09 00:55 . 2011-01-09 11:09	690	----a-w-	c:\programdata\bdinstall.bin
2011-01-08 21:27 . 2010-11-16 11:01	8199504	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{24D5D29E-4D70-4B39-BBA6-41FF6FBC388C}\mpengine.dll
2011-01-08 21:06 . 2011-01-08 21:06	--------	d-----w-	c:\programdata\Malwarebytes
2011-01-08 21:06 . 2010-12-20 17:09	38224	----a-w-	c:\windows\SysWow64\drivers\mbamswissarmy.sys
2011-01-08 21:06 . 2011-01-08 21:06	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2011-01-08 21:06 . 2010-12-20 17:08	24152	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-01-08 20:35 . 2011-01-11 09:03	--------	d-----w-	c:\programdata\NVIDIA
2011-01-08 20:34 . 2011-01-08 20:34	--------	d-----w-	c:\program files (x86)\NVIDIA Corporation
2011-01-08 20:34 . 2011-01-08 20:34	--------	d-----w-	c:\program files (x86)\AGEIA Technologies
2011-01-08 20:33 . 2011-01-08 20:33	--------	d-----w-	c:\program files (x86)\Common Files\Wise Installation Wizard
2011-01-08 20:33 . 2011-01-08 20:34	--------	d-----w-	c:\program files\NVIDIA Corporation
2011-01-08 20:10 . 2011-01-08 20:10	--------	d-----w-	c:\windows\SysWow64\Macromed
2011-01-08 19:29 . 2011-01-08 19:30	--------	d-----w-	c:\program files (x86)\Pidgin
2011-01-08 19:17 . 2011-01-08 19:47	--------	d-----w-	c:\program files (x86)\a-squared Free
2011-01-08 19:12 . 2011-01-08 19:12	--------	d-----w-	c:\programdata\Avira
2011-01-08 19:12 . 2011-01-08 19:12	--------	d-----w-	c:\program files (x86)\Avira
2011-01-08 19:12 . 2010-12-13 07:39	83120	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-01-08 19:12 . 2010-12-13 07:39	116568	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-01-08 19:04 . 2011-01-08 20:34	--------	d-sh--w-	c:\windows\Installer
2011-01-08 09:05 . 2011-01-08 19:02	--------	d-----w-	c:\windows\Panther
2011-01-08 08:54 . 2011-01-08 08:54	--------	d-----w-	C:\Windows.old
2010-12-28 11:16 . 2010-12-28 11:20	--------	d-----w-	C:\e378ccdb224eba6343361970
2010-12-27 12:06 . 2009-11-12 04:14	84584	----a-w-	c:\windows\system32\drivers\nvhda64v.sys
2010-12-27 12:06 . 2009-11-12 01:08	22528	----a-w-	c:\windows\system32\nvhdap64.dll
2010-12-27 12:06 . 2009-11-10 23:15	199272	----a-w-	c:\windows\system32\nvcohda6.dll
2010-12-26 18:31 . 2010-12-26 18:31	--------	d-----w-	C:\NVIDIA
2010-12-26 16:32 . 2011-01-06 12:33	--------	d-----w-	C:\Games
2010-12-25 15:29 . 2010-12-25 15:29	--------	d-----w-	C:\Intel
2010-12-25 15:25 . 2011-01-08 19:02	--------	d-----w-	C:\Recovery
2010-12-25 15:25 . 2010-12-25 15:25	--------	d-sh--we	C:\Programme
2010-12-25 15:25 . 2010-12-25 15:25	--------	d-sh--we	C:\Dokumente und Einstellungen

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((((   SnapShot@2011-01-10_16.09.33   )))))))))))))))))))))))))))))))))))))))))
.
- 2009-07-14 04:54 . 2011-01-08 19:14	16384              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-07-14 04:54 . 2011-01-10 16:29	16384              c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-07-14 04:54 . 2011-01-10 16:29	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:54 . 2011-01-08 19:14	32768              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-07-14 04:54 . 2011-01-10 16:29	16384              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-07-14 04:54 . 2011-01-08 19:14	16384              c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 00:21 . 2009-07-14 01:41	88064              c:\windows\system32\WpdMtpUS.dll
+ 2009-07-14 05:30 . 2011-01-10 17:11	86016              c:\windows\system32\DriverStore\infpub.dat
- 2009-07-14 05:30 . 2011-01-08 20:35	86016              c:\windows\system32\DriverStore\infpub.dat
+ 2009-07-14 00:06 . 2009-07-14 00:06	40448              c:\windows\system32\drivers\winusb.sys
+ 2011-01-08 19:10 . 2011-01-11 09:04	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2011-01-08 19:10 . 2011-01-10 13:42	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2011-01-08 19:10 . 2011-01-11 09:04	32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2011-01-08 19:10 . 2011-01-10 13:42	32768              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2011-01-08 19:10 . 2011-01-11 09:04	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2011-01-08 19:10 . 2011-01-10 13:42	16384              c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2011-01-08 19:10 . 2011-01-10 13:42	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2011-01-08 19:10 . 2011-01-11 09:04	16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2011-01-08 19:10 . 2011-01-11 09:04	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2011-01-08 19:10 . 2011-01-10 13:42	16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2011-01-11 09:03 . 2011-01-11 09:06	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2011-01-10 13:41 . 2011-01-10 13:44	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2011-01-10 13:41 . 2011-01-10 13:44	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2011-01-11 09:03 . 2011-01-11 09:06	2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2009-07-14 00:21 . 2009-07-14 01:41	297984              c:\windows\system32\WpdMtp.dll
- 2009-07-14 05:30 . 2011-01-08 20:35	143360              c:\windows\system32\DriverStore\infstrng.dat
+ 2009-07-14 05:30 . 2011-01-10 17:11	143360              c:\windows\system32\DriverStore\infstrng.dat
+ 2009-07-14 00:22 . 2009-07-14 01:41	1195008              c:\windows\system32\drivers\UMDF\WpdMtpDr.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\users\Lasse\AppData\Local\Google\Update\GoogleUpdate.exe" [2011-01-08 136176]
"Spyware Doctor"="c:\users\Lasse\Desktop\sdsetup.exe" [2011-01-08 512992]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

R2 a2free;a-squared Free Service;c:\program files (x86)\a-squared Free\a2service.exe [2011-01-08 1872320]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2010-12-13 135336]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-01-11 240232]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [2009-11-12 84584]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S3 netr7364;RT73 USB-Drahtlos-LAN-Kartentreiber für Vista;c:\windows\system32\DRIVERS\netr7364.sys [2009-06-10 707072]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-06-10 187392]

.
Inhalt des "geplante Tasks" Ordners

2011-01-08 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2122298923-2992298792-453943554-1000Core.job
- c:\users\Lasse\AppData\Local\Google\Update\GoogleUpdate.exe [2011-01-08 20:23]

2011-01-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2122298923-2992298792-453943554-1000UA.job
- c:\users\Lasse\AppData\Local\Google\Update\GoogleUpdate.exe [2011-01-08 20:23]
.

--------- x86-64 -----------


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = http://www.trojaner-board.de/94605-u...abstuerze.html
mLocal Page = c:\windows\SysWOW64\blank.htm
TCP: {2279AB53-FD30-4810-8CA5-05308C020943} = 192.168.0.21,192.168.22.254
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Wow6432Node-HKLM-RunOnce-<NO NAME> - (no file)


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-01-11  10:38:22
ComboFix-quarantined-files.txt  2011-01-11 09:38

Vor Suchlauf: 15 Verzeichnis(se), 351.959.543.808 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 351.902.040.064 Bytes frei

- - End Of File - - 783135B38AE07451AFCDE66662A11B44
         

--- --- ---

Sieht ziemlich unaufällig aus. Allerdings hätte ich mit format c: neu installiert.

Stürzt der Rechner nur bei der ext. Platte ab, wenn diese eingesteckt wird?
Wie verhält sich das bei anderen USB-Geräten, hast du für die USB-Platte auch schon andere USB-Ports getestet?
Stürzen auch andere Rechner ab, wenn man die ext. Platte ansteckt?

Zitat:

Zitat von cosinus

Sieht ziemlich unaufällig aus. Allerdings hätte ich mit format c: neu installiert.

Stürzt der Rechner nur bei der ext. Platte ab, wenn diese eingesteckt wird?
Wie verhält sich das bei anderen USB-Geräten, hast du für die USB-Platte auch schon andere USB-Ports getestet?
Stürzen auch andere Rechner ab, wenn man die ext. Platte ansteckt?

Die Festplatte habe ich noch nicht woanders angeschlossen, auf Grund der Ansteckungssgefahr. Das Problem besteht, ob ich die Festplatte angeschlossen habe oder nicht. Allerdings besteht es, wie im Eingangspost erwähnt, seit ich die Festplatte einmal zulange angeschlossen ließ, und ähnliche Systemkomplikationen auch schon davor mit meinen alten Rechner (damals aber nur, wenn die Platte angeschlossen war). Es wurden dann ja auch von AVGuard sieben Trojaner gefunden auf der Platte, die habe ich dann aber erfolgreich gelöscht (bzw. Quarantäne). Ein Hardwareproblem ist es wohl nicht, wenn der abgesicherte Modus noch funktioniert, oder? Ich versuch mal den Grafikkartentreiber wieder zu deinstallieren und schau, ob das was ändert. Wenn das nicht funktioniert, formatiere ich C: und installiere mal Windows 7 32-bit.


*edit: Hab den Grafikkartentreiber jetzt deinstalliert und ich hatte das System lang genug stabil laufen ohne Absturz. Komischerweise hatte ich die letzten 30 Minuten die Systemabstürze immer dann, wenn Windows sich selbst ohne zu fragen den Grafikkartentreiber runterlädt, und zwar den Treiber für eine Geforce, dabei habe ich ne Point of View G210, aber das ist dasselbe oder? Bei den Abstürzen ist mittlerweile auch immer ein Grafikfehler die Ursache. Die Grafiktreiber können aber theoretisch gar nicht das Problem sein, da das System zwei Wochen einwandfrei lief, ohne dass ich daran etwas verändert habe, das Problem bestand erst seit dem (längeren als zuvor) Anschluss der ext. Festplatte. Ist es vielleicht doch ein Hardwarefehler und die Grafikkarte steckt nicht richtig drinn oder sowas? Das ganze finde ich gerade ziemlich verwirrend, ich formatiere jetzt erstmal C: und installiere Windows neu.

Zitat:

dass die Festplatte glühend heiß lief.

Meintest du damit die interne oder externe Platte?
Eine externe Platte ist für das OS nur ein Datenspeicher, bei der internen Platte - und vorausgesetzt du hast nur eine - wäre auch die Systemparition betroffen, was auf jeden Fall Gift für die Systemstabilität ist.

Zitat:

Dann habe ich Windows 7 neu installiert, allerdings mit beibehalten der alten Dateien in einem Order "Windows.old".

Ich hab nur negative Erfahrungen mit dem Drüberinstallieren von Windows ohne format c: - ich würd nicht ausschließen, dass es daran liegt, sogar die wahrscheinlichste Urache sein wird.

Zitat:

wenn Windows sich selbst ohne zu fragen den Grafikkartentreiber runterlädt,

Windows macht das von allein?!! Ohne Nachfrage?!
Ich würde meiner Windows-Installation in den [pieep] treten wenn es das machen würde, Treiber wähle ich aus und v.a. bestimme ich und nicht das OS ob und wann diese installiert werden! (Nebenbei bemerkt, Grafikkartentreiber übers Windows-Update hab ich auch eher schlechte Erfahrung)

Zitat:

ich formatiere jetzt erstmal C: und installiere Windows neu.

Wird wohl das beste bei diesem chaotischen Zustand sein

Ne, es war schon die externe Festplatte, die heiß lief.

Eigt. wollte ich auch mal wieder auf Ubuntu umsteigen, denn immer wenn ein Windowssystem in den Arsch geht, kann man sich gar nicht richtig ärgern, denn irgendwie hat man auch selbst Schuld, wenn man Windows benutzt. Das lustigste war ja noch, dass eines der Viren, die ich gelöscht habe, "Don't steal our software" hieß und sich in der Datei "DVDClone.exe" befand. Da denkt man sich ja wirklich, dass man es nicht anders verdient hat.

Ich hab die alten Dateien diesmal nicht beibehalten, hab die Formatierung aber nur während der Installation vom neuen OS machen können, das ist aber nicht so schlimm, oder? Mal sehen wie's jetzt läuft nachdem die Treiber installiert sind...