Hallo,

ich habe jetzt ein externes CD/DVD Laufwerk hier.
Wie stelle ich das Bootmenü um und wie geht es dann weiter?

Gruß Katja

Ich habe es geschafft das Bootmenü umzustellen und zu booten.
Leider kam dann die Meldung das Windows heruntergefahren wird um die Festplatte nicht zu schädigen, ich soll alle externen Laufwerke entfernen und soll nach Viren schauen.
Technische Information war.
STOP: 0X0000007B (0XF7A9063C, 0XC0000034, 0X00000000, 0X00000000)
Führen sie CHKDSK/F aus.

Ich kann damit überhaupt nichts anfangen.
Bitte um hilfe!!!

Gruß Katja

Geh mal ins BIOS des Netbooks und stell den SATA-Controller vonAHCI auf IDE bzw. Compatible um.
Genauere Anleitung gibt es nicht, weil jedes BIOS etwas anders tickt, deswegen kann man keine allgemeingültigen genaue Vorgehensweisen posten.

Hallo,

ich kann das zwar umstellen aber nicht von der CD booten.
Kann ich mein System jetzt vergessen?

Gruß Katja

Du kannst umstellen von AHCI auf IDE? Aber die Windows-CD bootet trotzdem nicht?

Ja, ich kann umstellen aber es kommt beim booten die selbe Meldung. Ich weiß ja nicht ob es an der CD oder am Laufwerk liegt.

Gruß Katja

Probier mal die WinXP-CD auf einen bootfähigen Stick zu bekommen, hier ne Anleitung => WinSetupFromUSB – Windows Installation vom USB-Stick myeee.wordpress.com

Vllt mag der Rechner nicht die CD von einem externen USB-CDROM Laufwerk aus booten

Ich habe keinen Stick.
Was ist jetzt eigentlich kaputt?

Gruß Katja

Dann musst du dir einen besorgen.
Kaputt in dem Sinne ist nichts, wir müssen "nur" den MBR neu schreiben, weil der wahrscheinlich manipuliert wurde.

Hallo,

habe es leider noch nicht geschafft mir einen Stick zu besorgen aber ich muss hier auch noch ein Problem lösen.
Mein Antivir meldet immer wieder den Virus
TR/Crypt/ZPACK.GEN
Er wird immer wieder in Quaratäne verschoben ist aber auch bei dem nächsten scan wieder da.
Was muss ich tun um den entgültig los zu werden.
Kann es sein das ich deshalb nicht in die Wiederherstellungskonsole komme?

Gruß Katja

Zitat:

Mein Antivir meldet immer wieder den Virus
TR/Crypt/ZPACK.GEN

Mit dieser unvollständigen Angabe kann ich nichts anfangen. Poste die Meldung bzw. das Log vollständig.

Hier ist die LOG.



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 21. Mai 2011 11:43

Es wird nach 2750501 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ACER-6BE374CDFF

Versionsinformationen:
BUILD.DAT : 10.0.0.648 31823 Bytes 01.04.2011 18:23:00
AVSCAN.EXE : 10.0.4.2 442024 Bytes 03.05.2011 15:32:46
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 07.04.2011 21:14:40
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 22:15:44
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 21:14:36
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 21:14:36
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 21:14:37
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 21:14:37
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 21:14:37
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 21:14:37
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 21:14:37
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 21:14:37
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 21:14:37
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 21:14:37
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 21:14:37
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 21:14:37
VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 22:22:23
VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 22:22:24
VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 22:22:25
VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 22:22:25
VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 22:22:26
VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 22:22:27
VBASE019.VDF : 7.11.7.45 427520 Bytes 27.04.2011 15:32:45
VBASE020.VDF : 7.11.7.64 192000 Bytes 28.04.2011 15:32:45
VBASE021.VDF : 7.11.7.97 182272 Bytes 02.05.2011 15:32:46
VBASE022.VDF : 7.11.7.127 467968 Bytes 04.05.2011 19:51:22
VBASE023.VDF : 7.11.7.183 185856 Bytes 09.05.2011 20:42:38
VBASE024.VDF : 7.11.7.218 133120 Bytes 11.05.2011 20:42:38
VBASE025.VDF : 7.11.7.234 139776 Bytes 11.05.2011 20:42:39
VBASE026.VDF : 7.11.8.16 147456 Bytes 13.05.2011 22:29:27
VBASE027.VDF : 7.11.8.46 169472 Bytes 17.05.2011 13:21:43
VBASE028.VDF : 7.11.8.47 2048 Bytes 17.05.2011 13:21:43
VBASE029.VDF : 7.11.8.48 2048 Bytes 17.05.2011 13:21:43
VBASE030.VDF : 7.11.8.49 2048 Bytes 17.05.2011 13:21:43
VBASE031.VDF : 7.11.8.85 110592 Bytes 20.05.2011 09:42:01
Engineversion : 8.2.4.242
AEVDF.DLL : 8.1.2.1 106868 Bytes 07.04.2011 21:14:38
AESCRIPT.DLL : 8.1.3.64 1606011 Bytes 21.05.2011 09:42:13
AESCN.DLL : 8.1.7.2 127349 Bytes 07.04.2011 21:14:38
AESBX.DLL : 8.1.3.2 254324 Bytes 07.04.2011 21:14:38
AERDL.DLL : 8.1.9.9 639347 Bytes 07.04.2011 21:14:38
AEPACK.DLL : 8.2.6.8 557430 Bytes 17.05.2011 09:36:29
AEOFFICE.DLL : 8.1.1.22 205178 Bytes 05.05.2011 19:51:38
AEHEUR.DLL : 8.1.2.119 3481976 Bytes 21.05.2011 09:42:11
AEHELP.DLL : 8.1.17.2 246135 Bytes 21.05.2011 09:42:04
AEGEN.DLL : 8.1.5.6 401780 Bytes 21.05.2011 09:42:03
AEEMU.DLL : 8.1.3.0 393589 Bytes 07.04.2011 21:14:37
AECORE.DLL : 8.1.20.5 196983 Bytes 21.05.2011 09:42:02
AEBB.DLL : 8.1.1.0 53618 Bytes 07.04.2011 21:14:37
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.10 174120 Bytes 19.05.2011 13:21:44
AVREG.DLL : 10.0.3.2 53096 Bytes 07.04.2011 21:14:38
AVSCPLR.DLL : 10.0.4.2 84840 Bytes 03.05.2011 15:32:46
AVARKT.DLL : 10.0.22.6 231784 Bytes 07.04.2011 21:14:38
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 07.04.2011 21:14:35

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Samstag, 21. Mai 2011 11:43

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'wtgservice.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'TUProgSt.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'RS_Service.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTMon.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtkBtMnt.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcerVCM.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'M3000Mnt.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'LManager.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'iaanotif.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '170' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '435' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\Dokumente und Einstellungen\Paul Panzer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23\7e9268d7-172b76c3
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Paul Panzer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23\7e9268d7-172b76c3
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44fb30d0.qua' verschoben!


Ende des Suchlaufs: Samstag, 21. Mai 2011 12:29
Benötigte Zeit: 38:02 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

4596 Verzeichnisse wurden überprüft
195042 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
195041 Dateien ohne Befall
6979 Archive wurden durchsucht
0 Warnungen
1 Hinweise
287339 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Das sind "nur" Funde im JavaCache. Hast du den mal komplett geleert, zB mit dem CCleaner? Tauchen nach dem Löschen dieser Dateien die angeblichen Schädlinge da immer wieder auf?

Da wir den MBR-Fix so erstmal nicht hinbekommen, lassen wir das erstmal.

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Eine zusätzliche "Meinung" über das System verschafft uns auch der OnlineScanner von ESET:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo,

vom USB Stick konnte ich booten und den Fixmbr befehl eingeben.

Hier die Logs.

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x00000004

Kernel Drivers (total 118):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x80701000 \WINDOWS\system32\hal.dll
0xF7B3D000 \WINDOWS\system32\KDCOM.DLL
0xF7A4D000 \WINDOWS\system32\BOOTVID.dll
0xF75ED000 ACPI.sys
0xF7B3F000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF75DC000 pci.sys
0xF763D000 isapnp.sys
0xF7A51000 compbatt.sys
0xF7A55000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7C05000 pciide.sys
0xF78BD000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF764D000 MountMgr.sys
0xF75BD000 ftdisk.sys
0xF78C5000 PartMgr.sys
0xF7A59000 ACPIEC.sys
0xF7C06000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF765D000 VolSnap.sys
0xF75A5000 atapi.sys
0xF74D7000 iaStor.sys
0xF766D000 disk.sys
0xF767D000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF74B7000 fltMgr.sys
0xF74A5000 sr.sys
0xF748E000 KSecDD.sys
0xF7401000 Ntfs.sys
0xF73D4000 NDIS.sys
0xF73BA000 Mup.sys
0xF787D000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF5D94000 \SystemRoot\system32\DRIVERS\igxpmp32.sys
0xF5D80000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF5D58000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF5C45000 \SystemRoot\system32\DRIVERS\bcmwl5.sys
0xF649F000 \SystemRoot\system32\DRIVERS\l1e51x86.sys
0xF797D000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF5C21000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7985000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF72E4000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF648F000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF798D000 \SystemRoot\system32\DRIVERS\DKbFltr.sys
0xF7995000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF5BF0000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF7B7D000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF647F000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS
0xF5B74000 \SystemRoot\System32\Drivers\wdf01000.sys
0xF799D000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF72E0000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xF7CA3000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF646F000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF72DC000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF5B5D000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF645F000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF644F000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF79A5000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF5B4C000 \SystemRoot\system32\DRIVERS\psched.sys
0xF643F000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF79AD000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF79B5000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF642F000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7B7F000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF5B29000 \SystemRoot\system32\DRIVERS\ks.sys
0xF5ACB000 \SystemRoot\system32\DRIVERS\update.sys
0xF72C8000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF475D000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF1AE7000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xAA2D9000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xAA2B5000 \SystemRoot\system32\drivers\portcls.sys
0xF1AD7000 \SystemRoot\system32\drivers\drmk.sys
0xEEE5D000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xF7B55000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xEF279000 \SystemRoot\System32\Drivers\Null.SYS
0xF7B57000 \SystemRoot\System32\Drivers\Beep.SYS
0xF04DF000 \SystemRoot\System32\drivers\vga.sys
0xF7B5B000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7B5D000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xEF00B000 \SystemRoot\System32\Drivers\Msfs.SYS
0xEEFFB000 \SystemRoot\System32\Drivers\Npfs.SYS
0xEEC32000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xA8D5A000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xA886C000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xA7ECB000 \SystemRoot\system32\DRIVERS\netbt.sys
0xA7AB9000 \SystemRoot\System32\drivers\afd.sys
0xF470D000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF4DAE000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xA5F0A000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xA590F000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xA5D7E000 \??\C:\PROGRA~1\LAUNCH~1\DPortIO.sys
0xA5AD2000 \SystemRoot\System32\Drivers\Fips.SYS
0xA4586000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xA4562000 \SystemRoot\System32\Drivers\M3000KNT.sys
0xA5A72000 \SystemRoot\System32\Drivers\STREAM.SYS
0xA5B22000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xA5A52000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xA5B5A000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xA5B1E000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xA453C000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7BEB000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xA446E000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xA54EF000 \SystemRoot\System32\Drivers\DTT200U.sys
0xEFC1E000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xA4B6D000 \SystemRoot\System32\drivers\Dxapi.sys
0xA54E7000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xA4643000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF024000 \SystemRoot\System32\igxpgd32.dll
0xBF012000 \SystemRoot\System32\igxprd32.dll
0xBF04F000 \SystemRoot\System32\igxpdv32.DLL
0xBF1E7000 \SystemRoot\System32\igxpdx32.DLL
0xBF47A000 \SystemRoot\System32\ATMFD.DLL
0xA4459000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xA7B82000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xA43F4000 \SystemRoot\system32\drivers\wdmaud.sys
0xEF056000 \SystemRoot\system32\drivers\sysaudio.sys
0xA418C000 \SystemRoot\system32\DRIVERS\srv.sys
0xA3A43000 \SystemRoot\System32\Drivers\HTTP.sys
0xA38A8000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 45):
0 System Idle Process
4 System
508 C:\WINDOWS\system32\smss.exe
840 csrss.exe
960 C:\WINDOWS\system32\winlogon.exe
1004 C:\WINDOWS\system32\services.exe
1016 C:\WINDOWS\system32\lsass.exe
1232 C:\WINDOWS\system32\svchost.exe
1332 svchost.exe
1404 C:\WINDOWS\system32\svchost.exe
1528 svchost.exe
1556 svchost.exe
1928 C:\WINDOWS\system32\spoolsv.exe
2024 C:\Programme\Avira\AntiVir Desktop\sched.exe
208 C:\Programme\Avira\AntiVir Desktop\avguard.exe
564 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
640 C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe
696 C:\Programme\Java\jre6\bin\jqs.exe
792 C:\Programme\Acer\Acer VCM\RS_Service.exe
908 C:\WINDOWS\system32\svchost.exe
1088 C:\WINDOWS\explorer.exe
1100 C:\WINDOWS\system32\TUProgSt.exe
1496 C:\Programme\Verbindungsassistent\WTGService.exe
1804 C:\WINDOWS\system32\wuauclt.exe
2096 C:\Programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe
2112 C:\WINDOWS\RTHDCPL.EXE
2168 C:\WINDOWS\system32\hkcmd.exe
2180 C:\WINDOWS\system32\igfxpers.exe
2188 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
2196 C:\PROGRA~1\LAUNCH~1\LManager.exe
2344 C:\WINDOWS\system32\igfxsrvc.exe
2356 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
2368 C:\Programme\Java\jre6\bin\jusched.exe
2384 C:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe
2448 C:\WINDOWS\WebCam\M3000\M3000Mnt.exe
2584 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
2720 C:\WINDOWS\system32\ctfmon.exe
2992 C:\Programme\Acer\Acer VCM\AcerVCM.exe
3592 C:\WINDOWS\system32\igfxext.exe
900 C:\Dokumente und Einstellungen\Paul Panzer\Lokale Einstellungen\temp\RtkBtMnt.exe
3176 alg.exe
2892 C:\WINDOWS\system32\wbem\wmiapsrv.exe
3000 wmiprvse.exe
648 C:\WINDOWS\system32\wscntfy.exe
3868 C:\Dokumente und Einstellungen\Paul Panzer\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000001`80600000 (NTFS)

PhysicalDrive0 Model Number: HitachiHTS543216L9SA00, Rev: FB2OC40C

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: 6423166BCAD82EA747166125E0F6652EBFD0813A


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15627 - hxxp://www.gmer.net
Rootkit scan 2011-05-24 12:37:27
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 Hitachi_ rev.FB2O
Running: nu7ix9hf.exe; Driver: C:\DOKUME~1\PAULPA~1\LOKALE~1\Temp\kwpcaaog.sys


---- System - GMER 1.0.15 ----

SSDT            A57201FE                                 ZwCreateKey
SSDT            A57201F4                                 ZwCreateThread
SSDT            A5720203                                 ZwDeleteKey
SSDT            A572020D                                 ZwDeleteValueKey
SSDT            A5720212                                 ZwLoadKey
SSDT            A57201E0                                 ZwOpenProcess
SSDT            A57201E5                                 ZwOpenThread
SSDT            A572021C                                 ZwReplaceKey
SSDT            A5720217                                 ZwRestoreKey
SSDT            A5720208                                 ZwSetValueKey

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1  wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                    malicious Win32:MBRoot code @ sector 312578051
Disk            \Device\Harddisk0\DR0                    PE file @ sector 312578073

---- EOF - GMER 1.0.15 ----
         

--- --- ---