Trojaner-Board - BOO/TDss.M im Masterbootsektor gefunden

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - BOO/TDss.M im Masterbootsektor gefunden - wie entfernen? (https://www.trojaner-board.de/99008-boo-tdss-m-masterbootsektor-gefunden-entfernen.html)

BOO/TDss.M im Masterbootsektor gefunden - wie entfernen?

Wunderschönen guten Abend alle miteinander.

Ich, bzw. mein Bruder hat ein Problem. Und zwar hat der Döspaddel nachm WoW zocken sich im Netz irgendwas heruntergeladen, was ihm direkt den PC zerschossen hat. Fuhr angeblih total langsam hoch und kam auch sonst nicht "in Fahrt". Daran arbeiten war unmöglich.

Daraufhin habe ich seine Festplatte (Samsung HD501LJ) an meinen PC angeschlossen um seine wichtigsten Daten von C:\ zu sichern und mal Antivir drüberlaufen zu lassen. Den Log von dem Lauf habe ich natürlich nicht gespeichert, weil ich gedacht habe, dass hätte sich erledigt. Allerdings taucht immer wieder ein Popup von Antivir auf, was besagte Malware (BOO/TDss.M) immer wieder findet. Ich habe dann also seine wichtigsten Daten, die er noch auf C:\ hatte gesichert und die Partition formatiert, allerdings ohne Erfolg. Die Malware wird weiterhin gefunden.

Auf meiner Google-Suche bin ich auf den Beitrag von hier gestoßen:
http://www.trojaner-board.de/98862-b...-gefangen.html

Allerdings hilft der mir gerade auch nicht viel weiter. Der Virus wurde bislang nur auf der Festplatte meines Bruders entdeckt, auf meine isser wohl noch nicht übergesprungen.

Jetzt natürlich die Frage: Was kann ich tun um das Programm sicher zu entfernen um Windows XP neu zu installieren?
Welche Details benötigt ihr noch zur genaueren Analyse?

Schonmal besten Dank für eure Antworten :)

hi,
nutzt dein bruder ne reichtige windows version? ich meine keine recovery cds oder ähnliches

Ne, soviel ich weiss war das eine reguläre Windows XP Version

ja, hast du ne cd dazu oder nicht?
falls ja, können wir das leicht lösen, dazu kannst schon mal die platte wieder in den passenden pc einbauen.

Achso :D
Ja sicher hab ich ne vollwertige Windows CD ;)

leg mal die cd ein, starte den pc von der cd, drücke im ersten schritt ein r um in die rettungs konsole zu kommen.
dort melde dich bei der windows instalation an falls du ein passwort eingeben musst, und keines hast, mit enter überspringen.
schreibe fixmbr
enter
y (yes) auswählen
enter
exit
enter
cd raus nehmen und es sollte jetzt kein tdss mehr gefunden werden

alles klar, dann werd ich das gleich mal versuchen :) danke schonmal für den heissen tip!
ich melde mich, wenns funktioniert hat... und wenn nicht sowieso :D

Mh ich habs eben mal probiert, bin aber kläglich gescheitert.
Was ist denn der "erste Schritt"?

Hatte die CD drin und habe dann die Windows-Installation gestartet. An welchem Punkt kann ich denn da die Taste R drücken? Bei Auswahl der Partition, auf die Windows installiert werden soll, ging das nicht. Und danach begint er Windows zu installieren , was aber wegen eines "schwerwiegenden Fehlers" abgebrochen wird. Ich schätze das liegt an dem defekten Masterbootsektor?!

nein gleich im ersten oder zweiten schritt sobald die cd gestartet ist.

Mh, ich habe nachdem ich von der CD gestartet habe und während die ganzen Installationsdaten geladen werden die ganze zeit R gedrückt, aber da ist nix passiert

hat mich immer direkt in das menü zur partitionsauswahl geschickt

dann die platte doch wieder in dein system, und folgendes tool ausführen:
http://ad13.geekstogo.com/MBRCheck.exe
log posten.

Gesagt, getan. C:, D:, E: und F: sind meine Partitionen, I:, J:, L: und M: die meines Bruders

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x00001ffd

Kernel Drivers (total 143):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E6000 \WINDOWS\system32\hal.dll
0xF7987000 \WINDOWS\system32\KDCOM.DLL
0xF7897000 \WINDOWS\system32\BOOTVID.dll
0xF7366000 imagesrv.sys
0xF7337000 ACPI.sys
0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7326000 pci.sys
0xF7487000 isapnp.sys
0xF7497000 ohci1394.sys
0xF74A7000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF7A4F000 pciide.sys
0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF798B000 aliide.sys
0xF74B7000 MountMgr.sys
0xF7307000 ftdisk.sys
0xF798D000 dmload.sys
0xF72E1000 dmio.sys
0xF770F000 PartMgr.sys
0xF74C7000 VolSnap.sys
0xF72C9000 atapi.sys
0xF7295000 m5288.sys
0xF727D000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
0xF798F000 imagedrv.sys
0xF74D7000 disk.sys
0xF74E7000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF725D000 fltmgr.sys
0xF724B000 sr.sys
0xF74F7000 PxHelp20.sys
0xF7234000 KSecDD.sys
0xF71A7000 Ntfs.sys
0xF717A000 NDIS.sys
0xF7991000 ULipnp.sys
0xF7160000 Mup.sys
0xF7527000 \SystemRoot\system32\DRIVERS\AmdK8.sys
0xF6D3A000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF6D26000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF6D12000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
0xF781F000 \SystemRoot\system32\DRIVERS\RTL8139.SYS
0xF7537000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF783F000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xF6CEE000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF786F000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF6CC6000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF7767000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF6CB2000 \SystemRoot\system32\DRIVERS\parport.sys
0xF70F0000 \SystemRoot\system32\DRIVERS\gameenum.sys
0xF7547000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7797000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7557000 \SystemRoot\system32\DRIVERS\serial.sys
0xF794F000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF77AF000 \SystemRoot\System32\Drivers\ASAPIW2K.sys
0xF7567000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7577000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF6C8F000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7587000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7AD4000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7597000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7967000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6C78000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF75A7000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF75B7000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF784F000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6C3F000 \SystemRoot\system32\DRIVERS\psched.sys
0xF75C7000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF787F000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF788F000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF6B6F000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF75D7000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF778F000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF799D000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6B11000 \SystemRoot\system32\DRIVERS\update.sys
0xF7134000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF75E7000 \SystemRoot\system32\DRIVERS\AmdLLD.sys
0xF75F7000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF7627000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF79A3000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xAE3F1000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xAE3CD000 \SystemRoot\system32\drivers\portcls.sys
0xF7637000 \SystemRoot\system32\drivers\drmk.sys
0xF7777000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF79AD000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7B2E000 \SystemRoot\System32\Drivers\Null.SYS
0xF79B1000 \SystemRoot\System32\Drivers\Beep.SYS
0xF77A7000 \SystemRoot\System32\drivers\vga.sys
0xF79B5000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF79B9000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF77BF000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF77CF000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF6B05000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xAE372000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAE319000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAE2F1000 \SystemRoot\system32\DRIVERS\netbt.sys
0xAE2CB000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF7657000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xAE2A9000 \SystemRoot\System32\drivers\afd.sys
0xF7667000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xF7677000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF77FF000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xAE1DE000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF7B52000 \SystemRoot\System32\Drivers\PQNTDrv.SYS
0xAE16E000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF7697000 \SystemRoot\System32\Drivers\Fips.SYS
0xAE148000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF79C9000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF794B000 \SystemRoot\System32\Drivers\Razerlow.sys
0xF795B000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF76B7000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF7847000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF77F7000 \SystemRoot\system32\DRIVERS\dot4usb.sys
0xAE0ED000 \SystemRoot\system32\DRIVERS\Dot4.sys
0xAE3B5000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xAE3AD000 \SystemRoot\system32\DRIVERS\Dot4Prt.sys
0xF6BAF000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF7138000 \SystemRoot\System32\Drivers\dump_diskdump.sys
0xAE0B9000 \SystemRoot\System32\Drivers\dump_m5288.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0xAE13C000 \SystemRoot\System32\drivers\Dxapi.sys
0xF777F000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7B6B000 \SystemRoot\System32\drivers\dxgthk.sys
0xAE067000 \SystemRoot\system32\DRIVERS\atinavt2.sys
0xF7953000 \SystemRoot\system32\DRIVERS\BdaSup.SYS
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF065000 \SystemRoot\System32\ati2cqag.dll
0xBF0FE000 \SystemRoot\System32\atikvmag.dll
0xBF182000 \SystemRoot\System32\atiok3x2.dll
0xBF1CD000 \SystemRoot\System32\ati3duag.dll
0xBF572000 \SystemRoot\System32\ativvaxx.dll
0xBF9C6000 \SystemRoot\System32\ATMFD.DLL
0xABD12000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xABB94000 \SystemRoot\system32\DRIVERS\nwlnkipx.sys
0xF76D7000 \SystemRoot\system32\DRIVERS\nwlnknb.sys
0xABC92000 \SystemRoot\system32\DRIVERS\nwlnkspx.sys
0xAB987000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xAB94A000 \SystemRoot\system32\drivers\wdmaud.sys
0xABA5C000 \SystemRoot\system32\drivers\sysaudio.sys
0xF79D7000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xAB302000 \SystemRoot\system32\DRIVERS\srv.sys
0xAAC8C000 \SystemRoot\System32\Drivers\HTTP.sys
0xAAA2E000 \SystemRoot\system32\drivers\kmixer.sys
0xF77DF000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 49):
0 System Idle Process
4 System
732 C:\WINDOWS\system32\smss.exe
792 csrss.exe
828 C:\WINDOWS\system32\winlogon.exe
876 C:\WINDOWS\system32\services.exe
888 C:\WINDOWS\system32\lsass.exe
1076 C:\WINDOWS\system32\ati2evxx.exe
1108 C:\WINDOWS\system32\svchost.exe
1164 svchost.exe
1336 C:\WINDOWS\system32\svchost.exe
1428 svchost.exe
1452 C:\WINDOWS\system32\ati2evxx.exe
1604 svchost.exe
1668 C:\WINDOWS\system32\spoolsv.exe
1720 C:\Programme\Avira\AntiVir Desktop\sched.exe
468 svchost.exe
656 C:\WINDOWS\explorer.exe
1392 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1400 C:\WINDOWS\RTHDCPL.exe
1416 C:\Programme\Razer\Diamondback\razerhid.exe
1468 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1508 svchost.exe
1824 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
1920 C:\Programme\Google\Update\GoogleUpdate.exe
1916 C:\Programme\ICQ6Toolbar\ICQ Service.exe
264 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
288 C:\Programme\Real\RealPlayer\Update\realsched.exe
296 C:\WINDOWS\system32\ctfmon.exe
340 C:\Programme\ICQ7.5\ICQ.exe
524 C:\Programme\Java\jre6\bin\jqs.exe
592 C:\Programme\CDBurnerXP\NMSAccessU.exe
492 C:\WINDOWS\system32\PnkBstrA.exe
640 C:\WINDOWS\system32\PnkBstrB.exe
560 C:\WINDOWS\system32\svchost.exe
1520 C:\Programme\Razer\Diamondback\razertra.exe
1844 C:\Programme\Razer\Diamondback\razerofa.exe
2212 C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
2748 C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
3316 C:\Programme\Mozilla Firefox\firefox.exe
4012 C:\WINDOWS\system32\wbem\wmiapsrv.exe
1624 alg.exe
3208 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
1804 C:\Programme\Mozilla Firefox\plugin-container.exe
3228 C:\Programme\Winamp\winamp.exe
360 C:\Programme\Last.fm\LastFM.exe
2728 C:\Dokumente und Einstellungen\Nils\Desktop\MBRCheck.exe
3952 <unknown>
224 <unknown>

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`007e0000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000005`0014e600 (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000036`ffeade00 (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x00000068`ffc0d600 (NTFS)
\\.\I: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
\\.\J: --> \\.\PhysicalDrive1 at offset 0x00000005`00156400 (NTFS)
\\.\L: --> \\.\PhysicalDrive1 at offset 0x00000036`ffeb5c00 (NTFS)
\\.\M: --> \\.\PhysicalDrive1 at offset 0x00000068`ffc15400 (NTFS)

PhysicalDrive0 Model Number: ST3500630AS, Rev: 3.AAK
PhysicalDrive1 Model Number: SAMSUNGHD501LJ, Rev: 0-10

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 RE: Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
465 GB \\.\PhysicalDrive1 RE: Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

Done!

laut logs sind aber beide mbrs sauber.
kannst du noch mal avira laufen lassen und die meldungen posten?

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 15. Mai 2011 16:18

Es wird nach 2730903 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Nils
Computername : METALFREAK

Versionsinformationen:
BUILD.DAT : 10.0.0.648 31823 Bytes 01.04.2011 18:23:00
AVSCAN.EXE : 10.0.4.2 442024 Bytes 28.04.2011 21:23:06
AVSCAN.DLL : 10.0.3.0 56168 Bytes 21.04.2010 14:27:29
LUKE.DLL : 10.0.3.2 104296 Bytes 24.01.2011 12:26:45
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 15:47:10
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 12:26:41
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:10:41
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 19:39:02
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 19:39:02
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 19:39:02
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 19:39:02
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 19:39:02
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 19:39:02
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 19:39:02
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 19:39:03
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 19:39:03
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 19:39:03
VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 19:58:20
VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 21:03:34
VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 21:03:34
VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 14:36:48
VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 14:36:48
VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 13:20:51
VBASE019.VDF : 7.11.7.45 427520 Bytes 27.04.2011 21:23:06
VBASE020.VDF : 7.11.7.64 192000 Bytes 28.04.2011 21:23:06
VBASE021.VDF : 7.11.7.97 182272 Bytes 02.05.2011 20:13:51
VBASE022.VDF : 7.11.7.127 467968 Bytes 04.05.2011 18:48:48
VBASE023.VDF : 7.11.7.183 185856 Bytes 09.05.2011 19:37:33
VBASE024.VDF : 7.11.7.218 133120 Bytes 11.05.2011 21:31:35
VBASE025.VDF : 7.11.7.234 139776 Bytes 11.05.2011 21:31:36
VBASE026.VDF : 7.11.8.16 147456 Bytes 13.05.2011 16:46:11
VBASE027.VDF : 7.11.8.17 2048 Bytes 13.05.2011 16:46:11
VBASE028.VDF : 7.11.8.18 2048 Bytes 13.05.2011 16:46:11
VBASE029.VDF : 7.11.8.19 2048 Bytes 13.05.2011 16:46:11
VBASE030.VDF : 7.11.8.20 2048 Bytes 13.05.2011 16:46:11
VBASE031.VDF : 7.11.8.21 2048 Bytes 13.05.2011 16:46:11
Engineversion : 8.2.4.228
AEVDF.DLL : 8.1.2.1 106868 Bytes 01.08.2010 15:09:06
AESCRIPT.DLL : 8.1.3.61 1253754 Bytes 07.05.2011 19:09:37
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 21:15:11
AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 21:15:14
AERDL.DLL : 8.1.9.9 639347 Bytes 25.03.2011 17:00:44
AEPACK.DLL : 8.2.6.0 549237 Bytes 08.04.2011 19:39:45
AEOFFICE.DLL : 8.1.1.22 205178 Bytes 07.05.2011 19:09:36
AEHEUR.DLL : 8.1.2.113 3494263 Bytes 07.05.2011 19:09:36
AEHELP.DLL : 8.1.16.1 246134 Bytes 03.02.2011 21:57:36
AEGEN.DLL : 8.1.5.4 397684 Bytes 05.04.2011 18:16:37
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 21:15:03
AECORE.DLL : 8.1.20.2 196982 Bytes 08.04.2011 19:39:10
AEBB.DLL : 8.1.1.0 53618 Bytes 02.06.2010 15:47:06
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.9 174120 Bytes 28.04.2011 21:23:06
AVREG.DLL : 10.0.3.2 53096 Bytes 03.11.2010 20:12:39
AVSCPLR.DLL : 10.0.4.2 84840 Bytes 28.04.2011 21:23:06
AVARKT.DLL : 10.0.22.6 231784 Bytes 24.01.2011 12:26:44
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 03.11.2010 20:12:39

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\DOKUME~1\Nils\LOKALE~1\Temp\dea36206.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: I:,
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 15. Mai 2011 16:18

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'I:\' <Programme>
I:\WINDOWS\system32\cmdow.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232

Beginne mit der Desinfektion:
I:\WINDOWS\system32\cmdow.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a9f4055.qua' verschoben!

Ende des Suchlaufs: Sonntag, 15. Mai 2011 16:34
Benötigte Zeit: 01:44 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

368 Verzeichnisse wurden überprüft
24193 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
24192 Dateien ohne Befall
406 Archive wurden durchsucht
0 Warnungen
1 Hinweise

starte mal ne überprüfung über lokaler schutz lokale laufwerke.

Okay, ich schätze das dauert jetzt ne Zeit

Nach 10 Minuten erst 0,6% durchsucht

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 15. Mai 2011 17:24

Es wird nach 2730903 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Nils
Computername : METALFREAK

Versionsinformationen:
BUILD.DAT : 10.0.0.648 31823 Bytes 01.04.2011 18:23:00
AVSCAN.EXE : 10.0.4.2 442024 Bytes 28.04.2011 21:23:06
AVSCAN.DLL : 10.0.3.0 56168 Bytes 21.04.2010 14:27:29
LUKE.DLL : 10.0.3.2 104296 Bytes 24.01.2011 12:26:45
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 15:47:10
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 12:26:41
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:10:41
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 19:39:02
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 19:39:02
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 19:39:02
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 19:39:02
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 19:39:02
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 19:39:02
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 19:39:02
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 19:39:03
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 19:39:03
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 19:39:03
VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 19:58:20
VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 21:03:34
VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 21:03:34
VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 14:36:48
VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 14:36:48
VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 13:20:51
VBASE019.VDF : 7.11.7.45 427520 Bytes 27.04.2011 21:23:06
VBASE020.VDF : 7.11.7.64 192000 Bytes 28.04.2011 21:23:06
VBASE021.VDF : 7.11.7.97 182272 Bytes 02.05.2011 20:13:51
VBASE022.VDF : 7.11.7.127 467968 Bytes 04.05.2011 18:48:48
VBASE023.VDF : 7.11.7.183 185856 Bytes 09.05.2011 19:37:33
VBASE024.VDF : 7.11.7.218 133120 Bytes 11.05.2011 21:31:35
VBASE025.VDF : 7.11.7.234 139776 Bytes 11.05.2011 21:31:36
VBASE026.VDF : 7.11.8.16 147456 Bytes 13.05.2011 16:46:11
VBASE027.VDF : 7.11.8.17 2048 Bytes 13.05.2011 16:46:11
VBASE028.VDF : 7.11.8.18 2048 Bytes 13.05.2011 16:46:11
VBASE029.VDF : 7.11.8.19 2048 Bytes 13.05.2011 16:46:11
VBASE030.VDF : 7.11.8.20 2048 Bytes 13.05.2011 16:46:11
VBASE031.VDF : 7.11.8.21 2048 Bytes 13.05.2011 16:46:11
Engineversion : 8.2.4.228
AEVDF.DLL : 8.1.2.1 106868 Bytes 01.08.2010 15:09:06
AESCRIPT.DLL : 8.1.3.61 1253754 Bytes 07.05.2011 19:09:37
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 21:15:11
AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 21:15:14
AERDL.DLL : 8.1.9.9 639347 Bytes 25.03.2011 17:00:44
AEPACK.DLL : 8.2.6.0 549237 Bytes 08.04.2011 19:39:45
AEOFFICE.DLL : 8.1.1.22 205178 Bytes 07.05.2011 19:09:36
AEHEUR.DLL : 8.1.2.113 3494263 Bytes 07.05.2011 19:09:36
AEHELP.DLL : 8.1.16.1 246134 Bytes 03.02.2011 21:57:36
AEGEN.DLL : 8.1.5.4 397684 Bytes 05.04.2011 18:16:37
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 21:15:03
AECORE.DLL : 8.1.20.2 196982 Bytes 08.04.2011 19:39:10
AEBB.DLL : 8.1.1.0 53618 Bytes 02.06.2010 15:47:06
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.9 174120 Bytes 28.04.2011 21:23:06
AVREG.DLL : 10.0.3.2 53096 Bytes 03.11.2010 20:12:39
AVSCPLR.DLL : 10.0.4.2 84840 Bytes 28.04.2011 21:23:06
AVARKT.DLL : 10.0.22.6 231784 Bytes 24.01.2011 12:26:44
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 03.11.2010 20:12:39

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, I:, J:, L:, M:, A:, G:, H:, K:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 15. Mai 2011 17:24

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LastFM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winamp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerofa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'razertra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerhid.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'I:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'J:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'L:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'M:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1754' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\' <Games>
D:\Delta Force Land Warrior\Dflwmedc.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/DsBot.dgd.1
H:\cmdow.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
H:\$OEM$\$$\System32\cmdow.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
H:\programme\cmdow.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
H:\programme\ACDSee8\a8sil.exe
[FUND] Ist das Trojanische Pferd TR/Agent.47104.L

[0] Archivtyp: AutoIt
--> =PROJECT=\next\ACDSee 8\patch.exe
[FUND] Ist das Trojanische Pferd TR/Agent.47104.L
H:\programme\acrobat7pro\pdx-ac7p.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.cxl
H:\programme\photoshop\keygen.exe
[FUND] Ist das Trojanische Pferd TR/Spy.79360.15
H:\programme\raxco\keygen.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/13741.A (Dialer)
Beginne mit der Suche in 'E:\' <Music>
Beginne mit der Suche in 'F:\' <Dokumente>
Beginne mit der Suche in 'I:\' <Programme>
Beginne mit der Suche in 'J:\' <Games>
Beginne mit der Suche in 'L:\' <Musik>
Beginne mit der Suche in 'M:\' <Dokumente>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'H:\' <WXPFPP_DE>
H:\cmdow.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
H:\$OEM$\$$\System32\cmdow.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
H:\programme\cmdow.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
H:\programme\ACDSee8\a8sil.exe
[FUND] Ist das Trojanische Pferd TR/Agent.47104.L

[0] Archivtyp: AutoIt
--> =PROJECT=\next\ACDSee 8\patch.exe
[FUND] Ist das Trojanische Pferd TR/Agent.47104.L
H:\programme\acrobat7pro\pdx-ac7p.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.cxl
H:\programme\photoshop\keygen.exe
[FUND] Ist das Trojanische Pferd TR/Spy.79360.15
H:\programme\raxco\keygen.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/13741.A (Dialer)
Beginne mit der Suche in 'K:\'
Der zu durchsuchende Pfad K:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
H:\programme\raxco\keygen.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/13741.A (Dialer)
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert

H:\programme\photoshop\keygen.exe
[FUND] Ist das Trojanische Pferd TR/Spy.79360.15
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert

H:\programme\acrobat7pro\pdx-ac7p.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.cxl
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert

H:\programme\ACDSee8\a8sil.exe
[FUND] Ist das Trojanische Pferd TR/Agent.47104.L
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert

H:\programme\cmdow.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert

H:\$OEM$\$$\System32\cmdow.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert

H:\cmdow.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert

D:\Delta Force Land Warrior\Dflwmedc.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/DsBot.dgd.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '07bfe451.qua' verschoben!
Die Reparaturanweisungen wurden in die Datei 'H:\avrescue\rescue.avp' geschrieben.

endlich fertig...

edit:
zweiter scan läuft jetzt die nacht durch

Und Scan Nummer 2 von heute nacht. Jetzt will der schon wieder nen kompletten Scan nach dem Neustart durchführen...
Wieso kann das scheiss Programm die Viren nicht einfach entfernen???

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 15. Mai 2011 23:30

Es wird nach 2730903 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : METALFREAK

Versionsinformationen:
BUILD.DAT : 10.0.0.648 31823 Bytes 01.04.2011 18:23:00
AVSCAN.EXE : 10.0.4.2 442024 Bytes 28.04.2011 21:23:06
AVSCAN.DLL : 10.0.3.0 56168 Bytes 21.04.2010 14:27:29
LUKE.DLL : 10.0.3.2 104296 Bytes 24.01.2011 12:26:45
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 15:47:10
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 12:26:41
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 15:10:41
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 19:39:02
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 19:39:02
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 19:39:02
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 19:39:02
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 19:39:02
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 19:39:02
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 19:39:02
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 19:39:03
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 19:39:03
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 19:39:03
VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 19:58:20
VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 21:03:34
VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 21:03:34
VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 14:36:48
VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 14:36:48
VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 13:20:51
VBASE019.VDF : 7.11.7.45 427520 Bytes 27.04.2011 21:23:06
VBASE020.VDF : 7.11.7.64 192000 Bytes 28.04.2011 21:23:06
VBASE021.VDF : 7.11.7.97 182272 Bytes 02.05.2011 20:13:51
VBASE022.VDF : 7.11.7.127 467968 Bytes 04.05.2011 18:48:48
VBASE023.VDF : 7.11.7.183 185856 Bytes 09.05.2011 19:37:33
VBASE024.VDF : 7.11.7.218 133120 Bytes 11.05.2011 21:31:35
VBASE025.VDF : 7.11.7.234 139776 Bytes 11.05.2011 21:31:36
VBASE026.VDF : 7.11.8.16 147456 Bytes 13.05.2011 16:46:11
VBASE027.VDF : 7.11.8.17 2048 Bytes 13.05.2011 16:46:11
VBASE028.VDF : 7.11.8.18 2048 Bytes 13.05.2011 16:46:11
VBASE029.VDF : 7.11.8.19 2048 Bytes 13.05.2011 16:46:11
VBASE030.VDF : 7.11.8.20 2048 Bytes 13.05.2011 16:46:11
VBASE031.VDF : 7.11.8.21 2048 Bytes 13.05.2011 16:46:11
Engineversion : 8.2.4.228
AEVDF.DLL : 8.1.2.1 106868 Bytes 01.08.2010 15:09:06
AESCRIPT.DLL : 8.1.3.61 1253754 Bytes 07.05.2011 19:09:37
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 21:15:11
AESBX.DLL : 8.1.3.2 254324 Bytes 22.11.2010 21:15:14
AERDL.DLL : 8.1.9.9 639347 Bytes 25.03.2011 17:00:44
AEPACK.DLL : 8.2.6.0 549237 Bytes 08.04.2011 19:39:45
AEOFFICE.DLL : 8.1.1.22 205178 Bytes 07.05.2011 19:09:36
AEHEUR.DLL : 8.1.2.113 3494263 Bytes 07.05.2011 19:09:36
AEHELP.DLL : 8.1.16.1 246134 Bytes 03.02.2011 21:57:36
AEGEN.DLL : 8.1.5.4 397684 Bytes 05.04.2011 18:16:37
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 21:15:03
AECORE.DLL : 8.1.20.2 196982 Bytes 08.04.2011 19:39:10
AEBB.DLL : 8.1.1.0 53618 Bytes 02.06.2010 15:47:06
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.9 174120 Bytes 28.04.2011 21:23:06
AVREG.DLL : 10.0.3.2 53096 Bytes 03.11.2010 20:12:39
AVSCPLR.DLL : 10.0.4.2 84840 Bytes 28.04.2011 21:23:06
AVARKT.DLL : 10.0.22.6 231784 Bytes 24.01.2011 12:26:44
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 03.11.2010 20:12:39

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\AVSCAN-20110515-232648-1A6B6539.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, I:, J:, L:, M:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 15. Mai 2011 23:30

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\drivers\gaopdxpisrqhbqwgrxdaeitqpxfaqbumgbbkyx.sys
c:\windows\system32\drivers\gaopdxpisrqhbqwgrxdaeitqpxfaqbumgbbkyx.sys
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\gaopdxserv.sys\modules
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\gaopdxserv.sys\start
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\gaopdxserv.sys\type
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
\systemroot\system32\drivers\gaopdxpisrqhbqwgrxdaeitqpxfaqbumgbbkyx.sys
C:\WINDOWS\system32\drivers\gaopdxpisrqhbqwgrxdaeitqpxfaqbumgbbkyx.sys
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\gaopdxserv.sys\group
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'firefox.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccc.exe' - '168' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerofa.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'razertra.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerhid.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '161' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'I:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'J:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'L:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'M:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1754' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\' <Games>
H:\cmdow.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
H:\$OEM$\$$\System32\cmdow.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
H:\programme\cmdow.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
H:\programme\ACDSee8\a8sil.exe
[FUND] Ist das Trojanische Pferd TR/Agent.47104.L

[0] Archivtyp: AutoIt
--> =PROJECT=\next\ACDSee 8\patch.exe
[FUND] Ist das Trojanische Pferd TR/Agent.47104.L
H:\programme\acrobat7pro\pdx-ac7p.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.cxl
H:\programme\photoshop\keygen.exe
[FUND] Ist das Trojanische Pferd TR/Spy.79360.15
H:\programme\raxco\keygen.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/13741.A (Dialer)
I:\System Volume Information\_restore{5D4D874E-5ECF-4BAD-97E2-C81578F7F672}\RP250\A0112173.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
I:\System Volume Information\_restore{5D4D874E-5ECF-4BAD-97E2-C81578F7F672}\RP250\A0112173.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
I:\System Volume Information\_restore{5D4D874E-5ECF-4BAD-97E2-C81578F7F672}\RP250\A0112173.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
I:\System Volume Information\_restore{5D4D874E-5ECF-4BAD-97E2-C81578F7F672}\RP250\A0112173.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
I:\System Volume Information\_restore{5D4D874E-5ECF-4BAD-97E2-C81578F7F672}\RP250\A0112173.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
I:\System Volume Information\_restore{5D4D874E-5ECF-4BAD-97E2-C81578F7F672}\RP250\A0112173.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
D:\System Volume Information\_restore{5D4D874E-5ECF-4BAD-97E2-C81578F7F672}\RP250\A0112182.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/DsBot.dgd.1
Beginne mit der Suche in 'E:\' <Music>
Beginne mit der Suche in 'F:\' <Dokumente>
Beginne mit der Suche in 'I:\' <Programme>
I:\System Volume Information\_restore{5D4D874E-5ECF-4BAD-97E2-C81578F7F672}\RP250\A0112173.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
Beginne mit der Suche in 'J:\' <Games>
Beginne mit der Suche in 'L:\' <Musik>
Beginne mit der Suche in 'M:\' <Dokumente>

Beginne mit der Desinfektion:
D:\System Volume Information\_restore{5D4D874E-5ECF-4BAD-97E2-C81578F7F672}\RP250\A0112182.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/DsBot.dgd.1
[HINWEIS] Die Datei wurde gelöscht.
I:\System Volume Information\_restore{5D4D874E-5ECF-4BAD-97E2-C81578F7F672}\RP250\A0112173.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
[HINWEIS] Die Datei wurde gelöscht.
H:\programme\raxco\keygen.exe
[FUND] Enthält Erkennungsmuster eines kostenverursachenden Einwahlprogrammes DIAL/13741.A (Dialer)
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert

H:\programme\photoshop\keygen.exe
[FUND] Ist das Trojanische Pferd TR/Spy.79360.15
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert

H:\programme\acrobat7pro\pdx-ac7p.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.cxl
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert

H:\programme\ACDSee8\a8sil.exe
[FUND] Ist das Trojanische Pferd TR/Agent.47104.L
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert

H:\programme\cmdow.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert

H:\$OEM$\$$\System32\cmdow.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert

H:\cmdow.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/HideWindows.31232
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden. Mögliche Ursache: Zugriff verweigert

Die Reparaturanweisungen wurden in die Datei 'H:\avrescue\rescue.avp' geschrieben.

was ist h:
für ein laufwerk?
laut avira ist hier aber kein tdls mehr.

H: ist mein DVD ROM Laufwerk

Tatsache, jetzt wo cih mal in Ruhe drüber schaue scheint da echt nix mehr zu sein... Dann kann ich ja offensichtlich beginnen Windows neu aufzuspielen

finger weg von keygens, die sind illegal und zu 90 % träger von malware.

Okay, mein Fehler :/

Auf jeden Fall scheint die Platte Virenfrei zu sein :) Vielen Dnak für Deine Hilfe!!

Allerdings habe ich gerade versucht Windows zu installieren und habe folgende Fehlermeldungen bei der Installation bekommen:

hxxp://img534.imageshack.us/i/img0288ds.jpg/

Uploaded with ImageShack.us

Nach dem Reset des PCs kam dann diese Fehlermeldung:

hxxp://img163.imageshack.us/i/img0289un.jpg/

Uploaded with ImageShack.us

Kannst Du mir dabei auch weiterhelfen, oder sollte ich mich da besser in einem anderen Thema/Forum melden?

wähle mal beim formatieren die langsame formatierung, nicht die schnelle. falls die platte partitioniert ist, lösche mal alle partitionen und teile sie neu auf.

Ja ist schnell formatiert worden und es sind auch mehrere Partitionen vorhanden...
Ih habe gehofft um die Datensicherung erstmal drumherumzukommen...

um sicher zu gehen,daten sichern lansam formatieren und neu partitionieren.

Okay, dann mach ich mich da mal ran, danke :)

Habs heute probiert, aber leider ohne Erfolg

Daten gesichert, dann Windows Setup gestartet, alle Partitionen gelöscht und neue erstellt, C: in Ruhe formatieren lassen und versucht Windows zu installieren.

Fehler erneut der hier:
ImageShack® - Online Photo and Video Hosting