Sirefef.P und Bundestrojaner
 

Hallo Trojaner,

ich habe folgendes Problem: Nachdem mir Microsoft Security Essentials (MSE) über eine Woche lang Virenwarnungen angegeben hat und nicht in der Lage war diese zu beseitigen, führte ich die hier angegebene Prozedur zur Analyse des Problems aus. Als ich alle Daten zusammen hatte, begann ich den Beitrag zu schreiben, in welchen ich mein Problem so genau wie möglich schildern wollte. Während dessen, wurde ein Bundestrojaner aktiv. Er gibt sich als Bundespolizei aus, behauptet man hätte Terroristische Aktivitäten, Kinderpornographie und Spamware auf dem Rechner gefunden und sperrt den Account. Seit dem kann ich nur noch über einen zweiten Account auf meinen Rechner zugreifen. Nach kurzer Recherche im Internet, habe ich meine bis zum Crash ungesicherten Daten, mittels einer Boot-CD von Ubuntu 10.10 gesichert. Nun bin ich mir unsicher wie ich weiter vorgehen soll.

Hier im Detail, was passiert ist und was ich getan habe:

Virusmeldungen
Microsoft Security Essentials (MSE) gab mir seit ca. einer Woche nach jedem Hochfahren des Computers und immer mal wieder während des Betriebs die Meldung aus, es habe den Virus Sirefef.P gefunden. Im Verlauf von MSE wird angegeben, dass am 19.11.2012 der Virus Trojan:JS/BlacoleRef.G gefunden und entfernt wurde. Das ständige Problem entstand jedoch erst am 2.12.2012, wo MSE in kurzen Abständen (teilweise Sekundentakt) die Viren Trojan:Win32/Sirefef.S (und Sirefef.P), Trojan:Win64/Sirefef.E (und Sirefef.D), Virus:Win32/Patchload.O, Backdoor:Win32/Cycbot.B, Trojan:JS/Blacoleref.G gefunden und entfernt, desinfiziert oder in Quarantäne gesteckt hat. Nur Virus:Win32/Patchload.O wurde zweimal und Trojan:Win32/Sirefef.P wurde einmal zugelassen, wobei ich mich erinnere, dass ich es einmal selber zugelassen habe, als ich so ein neu aufgetauchtes Problem mit meinem WLAN lösen wollte. Innerhalb von 6 Stunden gab es 57 dieser Meldungen. In den nächsten Tagen gab es immer wieder solche Meldungen, wenn auch wesentlich weniger, mit den gleichen Virentypen. Dabei wurde Trojan:Win32/Sirefef.P heute 1mal zugelassen ohne das ich dies bestätigt hätte. Ein Grund liegt vielleicht darin, dass MSE den Virus zulässt, wenn man nicht aktiv das Löschen bestätigt.

Scans durch MSE und Malwarebytes' Anti-Malware
Nachdem das Problem aufgetreten ist, habe ich mehrfach die Viren mit MSE entfernt, desinfiziert oder in Quarantäne geschoben und nach Empfehlung von MSE den Computer neu gestartet. Nachdem dies nichts geholfen hat, habe ich bei Google nach dem Problem gesucht. Dazu habe ich einen anderen Rechner nutzen müssen, denn mein Netzmanager, welchen ich von der Telekom installiert hatte, startet nicht mehr mit der Meldung „Der Dienst des Netzmanagers für Erfassung von Netzwerk- und Systeminformationen mit dem Namen „Netzmanager Service“ ist nicht erreichbar.“ Daraufhin wurde eine Neuinstallation des Netzmanagers empfohlen, die ich zweimal durchgeführt habe. Ohne Erfolg. In Folge habe ich den kompletten Scan mit MSE im abgesicherten Modus (mit und ohne Netzwerktreiber durchgeführt). Ich habe mir von der Seite Microsoft Malware Protection Center die neuesten Virendefinitionen (mpam-fe.exe) für den MSE herunter geladen und erneut einen Scan im abgesicherten Modus durchgeführt. Ich habe Malwarebytes' Anti-Malware (mbam-setup-1.51.2.1300.exe) herunter geladen, installiert und einen Scan in beiden BS Modi durchgeführt. Leider habe ich zu diesem Zeitpunkt keine Scanberichte gespeichert.

Sonstige installierte und ausgeführte Software
Zur Analyse habe ich zudem dds.scr und SecurityCheck.exe installiert und ausgeführt. Dies war als Hilfe für eine Analyse in einem anderem Forum angedacht, was ich jedoch nicht realisiert hatte (ich wollte zu diesem Zeitpunkt das Problem im Alleingang lösen und habe schnell ausgeführt, was zu dem Problem geschrieben wurde (nicht gerade clever, ich weiß)). Bei der Detailbeschreibung tauchte die Datei lvvm.exe auf. Nach der Recherche habe ich daher sdsetup_revwire207.exe herunter geladen und installiert, um das Problem zu beseitigen. Zudem habe ich die svchostanalyzer.exe installiert und ausgeführt.

Trojaner Board
Für die Problemlösung auf diesem Board habe ich die entsprechenden Analysen durchgeführt und folgende Dateien erhalten (extras_gmer.zip und otl.txt).

Fragen
In der Hilfe wurde geschrieben nur eine Neuinstallation kann das Problem beseitigen. Ich hatte dieses Jahr schon einen Plattencrash und hatte bei der nochmaligen Aktivierung meiner XP-Version Problem mit dem Microsoft Support.

1) Geht das Problem auch ohne Neuinstallation zu lösen?
2) Wie kann ich Sicherstellen, dass sich auf externen Speichern der Virus nicht ebenfalls eingenistet hat?
2) Angeblich soll MSE in der Lage sein sowohl den Bundestrojaner, als auch den Virus Sirefef.P zu beseitigen. Tatsächlich hat das nicht funktioniert. Wie kann ich mich in Zukunft besser schützen?

OTL

OTL logfile created on: 07.12.2011 22:29:31 - Run 1
OTL by OldTimer - Version 3.2.31.0 Folder = c:\Dokumente und Einstellungen\Glaums\Eigene Dateien\abc...xyz\virus\otl
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1022,73 Mb Total Physical Memory | 645,59 Mb Available Physical Memory | 63,12% Memory free
3,90 Gb Paging File | 3,63 Gb Available in Paging File | 93,04% Paging File free
Paging file location(s): C:\pagefile.sys 3072 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 279,45 Gb Total Space | 179,40 Gb Free Space | 64,20% Space Free | Partition Type: NTFS
Drive D: | 1,89 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
Drive F: | 3,73 Gb Total Space | 0,29 Gb Free Space | 7,86% Space Free | Partition Type: FAT32
Drive I: | 6,67 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive J: | 7,47 Gb Total Space | 1,01 Gb Free Space | 13,50% Space Free | Partition Type: FAT32

Computer Name: SCOON | User Name: Glaums | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2011.12.07 15:39:24 | 000,584,192 | ---- | M] (OldTimer Tools) -- c:\Dokumente und Einstellungen\Glaums\Eigene Dateien\abc...xyz\virus\otl\OTL.exe
PRC - [2011.07.29 00:08:12 | 001,259,376 | ---- | M] () -- C:\Programme\DivX\DivX Update\DivXUpdate.exe
PRC - [2011.06.15 14:16:48 | 000,997,920 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Security Client\msseces.exe
PRC - [2011.04.27 14:39:26 | 000,004,164 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe
PRC - [2009.08.27 16:09:10 | 001,250,408 | ---- | M] (MAGIX AG) -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
PRC - [2008.11.09 21:31:30 | 000,741,376 | ---- | M] () -- C:\Programme\DT\Speedport W 102 Stick\UI.exe
PRC - [2008.04.14 08:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.04.11 18:00:00 | 000,032,768 | R--- | M] (Creative Technology Ltd.) -- C:\WINDOWS\V0470Mon.exe
PRC - [2003.05.29 15:28:32 | 000,790,528 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
PRC - [2002.09.20 14:50:10 | 000,041,968 | ---- | M] (Analog Devices, Inc.) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe


========== Modules (No Company Name) ==========

MOD - [2011.07.29 00:09:42 | 000,096,112 | ---- | M] () -- C:\Programme\DivX\DivX Update\DivXUpdateCheck.dll
MOD - [2011.07.29 00:08:12 | 001,259,376 | ---- | M] () -- C:\Programme\DivX\DivX Update\DivXUpdate.exe
MOD - [2008.11.09 21:31:30 | 000,741,376 | ---- | M] () -- C:\Programme\DT\Speedport W 102 Stick\UI.exe
MOD - [2008.10.27 03:35:08 | 000,110,592 | ---- | M] () -- C:\Programme\DT\Speedport W 102 Stick\GWLanController.dll
MOD - [2008.09.25 13:04:24 | 000,018,944 | ---- | M] () -- C:\Programme\DT\Speedport W 102 Stick\GWPSController.dll
MOD - [2008.06.20 17:02:46 | 000,247,296 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll


========== Win32 Services (SafeList) ==========

SRV - File not found [Disabled | Stopped] -- -- (HidServ)
SRV - [2011.07.13 12:01:28 | 000,654,848 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2011.04.27 14:39:26 | 000,004,164 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe -- (MsMpSvc)
SRV - [2010.11.04 15:41:46 | 000,011,264 | ---- | M] (Deutsche Telekom AG) [Auto | Stopped] -- C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe -- (Netzmanager Service)
SRV - [2010.02.19 12:37:14 | 000,517,096 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe -- (SwitchBoard)
SRV - [2009.08.27 16:09:10 | 001,250,408 | ---- | M] (MAGIX AG) [Unknown | Running] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe -- (Fabs)
SRV - [2008.08.07 10:10:02 | 003,276,800 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2002.09.20 14:50:10 | 000,041,968 | ---- | M] (Analog Devices, Inc.) [Auto | Running] -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- (SoundMAX Agent Service (default))


========== Driver Services (SafeList) ==========

DRV - [2011.12.07 22:22:23 | 000,041,680 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\xbrfxnbn.sys -- (xbrfxnbn)
DRV - [2011.12.07 22:19:42 | 000,029,904 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{A68ADCCD-59CE-4ADC-808D-FD293D86BD16}\MpKsl8631acdb.sys -- (MpKsl8631acdb)
DRV - [2011.09.16 21:55:06 | 000,717,296 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - [2011.08.29 01:20:59 | 000,120,320 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SSHDRV65.sys -- (SSHDRV65)
DRV - [2011.02.11 22:23:34 | 000,035,088 | ---- | M] (CACE Technologies, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\npf.sys -- (npf)
DRV - [2010.09.16 16:02:33 | 000,035,040 | ---- | M] (Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH) [Kernel | On_Demand | Stopped] -- C:\Programme\Netzmanager\NMInfraIS2\Driver\TelekomNM3.sys -- (TelekomNM3)
DRV - [2009.01.19 19:31:56 | 000,277,544 | ---- | M] (Protect Software GmbH) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\acedrv11.sys -- (acedrv11)
DRV - [2008.10.29 13:34:40 | 000,644,096 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rt2870.sys -- (rt2870)
DRV - [2008.04.13 23:16:10 | 000,049,024 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mstape.sys -- (MSTAPE)
DRV - [2008.04.13 23:16:08 | 000,013,696 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avcstrm.sys -- (AVCSTRM)
DRV - [2007.12.05 06:26:40 | 002,782,208 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2007.04.20 18:00:00 | 000,146,368 | R--- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\V0470Vid.sys -- (VF0470Vid) Live! Cam Notebook (VF0470)
DRV - [2006.11.28 20:46:20 | 000,027,072 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\PCASp50.sys -- (PCASp50)
DRV - [2005.08.17 23:00:00 | 000,007,168 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Programme\Lavalys\EVEREST Home Edition\kerneld.wnt -- (EverestDriver)
DRV - [2002.09.20 09:53:34 | 000,235,100 | ---- | M] (Analog Devices Inc) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\MidiSyn.sys -- (MidiSyn)
DRV - [2002.04.03 19:33:18 | 000,045,568 | ---- | M] (CNet Technology Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\R8139n51.sys -- (rtl8139)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========


IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1

========== FireFox ==========

FF - prefs.js..browser.search.selectedEngine: "Wikipedia (de)"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 60727
FF - prefs.js..network.proxy.type: 0

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\4.0.60831.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.1.11: C:\Programme\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\support@predictad.com: C:\Programme\AutocompletePro\support@predictad.com [2011.06.29 16:27:48 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Programme\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2011.07.26 10:20:48 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.11.10 14:29:25 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.09.19 20:25:23 | 000,000,000 | ---D | M]

[2011.04.27 21:37:59 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\Mozilla\Extensions
[2011.11.17 02:13:44 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\Mozilla\Firefox\Profiles\egna4pxn.default\extensions
[2011.06.01 08:36:08 | 000,000,000 | ---D | M] (Fire.fm) -- C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\Mozilla\Firefox\Profiles\egna4pxn.default\extensions\{6F0976E6-26F3-4AFE-BBEC-9E99E27E4DF3}
[2011.11.25 18:38:51 | 000,001,952 | ---- | M] () -- C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\Mozilla\Firefox\Profiles\egna4pxn.default\searchplugins\billigerde-suche.xml
[2011.05.26 13:19:00 | 000,002,614 | ---- | M] () -- C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\Mozilla\Firefox\Profiles\egna4pxn.default\searchplugins\wiki-aventurica-de.xml
[2011.11.10 14:29:28 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\GLAUMS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EGNA4PXN.DEFAULT\EXTENSIONS\{37E4D8EA-8BDA-4831-8EA1-89053939A250}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\GLAUMS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EGNA4PXN.DEFAULT\EXTENSIONS\{C0C9A2C7-2E5C-4447-BC53-97718BC91E1B}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\GLAUMS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EGNA4PXN.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\GLAUMS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EGNA4PXN.DEFAULT\EXTENSIONS\{D4DD63FA-01E4-46A7-B6B1-EDAB7D6AD389}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\GLAUMS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EGNA4PXN.DEFAULT\EXTENSIONS\{EF522540-89F5-46B9-B6FE-1829E2B572C6}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\GLAUMS\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EGNA4PXN.DEFAULT\EXTENSIONS\5@THUMBPRO.NET.XPI
[2011.04.26 00:11:48 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011.11.10 14:29:24 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011.04.26 00:11:48 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011.03.22 19:38:12 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\mozilla firefox\plugins\npwachk.dll
[2011.10.01 17:56:58 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.10.01 17:56:58 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011.10.01 17:56:58 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.10.01 17:56:58 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.10.01 17:56:58 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.10.01 17:56:58 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2011.04.28 19:46:08 | 000,000,882 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 practivate.adobe.com
O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Programme\AutocompletePro\AutocompletePro.dll (SimplyGen)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC)
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AdobeCS5ServiceManager] C:\Programme\Gemeinsame Dateien\Adobe\CS5ServiceManager\CS5ServiceManager.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AtiPTA] C:\WINDOWS\System32\atiptaxx.exe (ATI Technologies, Inc.)
O4 - HKLM..\Run: [BrStsWnd] C:\Programme\Brownie\BrstsWnd.exe (brother)
O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [MSC] c:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [SwitchBoard] C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [V0470Mon.exe] C:\WINDOWS\V0470Mon.exe (Creative Technology Ltd.)
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe (Nullsoft, Inc.)
O4 - HKCU..\Run: [AdobeBridge] File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Speedport W 102 WLAN Manager.lnk = C:\Programme\DT\Speedport W 102 Stick\UI.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Glaums\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Glaums\Startmenü\Programme\Autostart\Netzmanager.lnk = C:\Programme\Netzmanager\netzmanager.exe (Deutsche Telekom AG)
O4 - Startup: C:\Dokumente und Einstellungen\Glaums\Startmenü\Programme\Autostart\Total Commander.lnk = C:\Programme\totalcmd\TOTALCMD.EXE (Ghisler Software GmbH)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Anexar em PDF existente - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html File not found
O8 - Extra context menu item: Converter destino de link em Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html File not found
O8 - Extra context menu item: Converter destino de link em PDF existente - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html File not found
O8 - Extra context menu item: Converter links selecionados em PDF existente - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html File not found
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - mswsock.dll File not found
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{6D27A40D-AB22-4BF3-826D-9AC751A3B760}: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{79D1A173-422D-46B5-92A0-BEFC946B3063}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - HKCU Winlogon: Shell - (explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Glaums\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Glaums\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.04.25 08:36:49 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2011.05.30 10:11:12 | 000,000,105 | R--- | M] () - D:\Autorun.inf -- [ UDF ]
O32 - AutoRun File - [2008.05.06 13:26:23 | 000,000,309 | R--- | M] () - I:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{07206abc-71bd-11e0-aea4-0008a14db1ba}\Shell - "" = AutoRun
O33 - MountPoints2\{07206abc-71bd-11e0-aea4-0008a14db1ba}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{07206abc-71bd-11e0-aea4-0008a14db1ba}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{2011e308-76f8-11e0-aeae-0008a14db1ba}\Shell - "" = AutoRun
O33 - MountPoints2\{2011e308-76f8-11e0-aeae-0008a14db1ba}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{2011e308-76f8-11e0-aeae-0008a14db1ba}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906)
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {2F6EFCE6-10DF-49F9-9E64-9AE3775B2588} - Microsoft .NET Framework 1.1 Security Update (KB2416447)
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460)
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} -
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E78BFA60-5393-4C38-82AB-E8019E464EB4} - .NET Framework
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

NetSvcs: 6to4 - File not found
NetSvcs: HidServ - File not found
NetSvcs: Ias - File not found
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: WmdmPmSp - File not found


CREATERESTOREPOINT
Restore point Set: OTL Restore Point

========== Files/Folders - Created Within 30 Days ==========

File not found -- C:\WINDOWS\System32\
[2011.12.07 22:22:23 | 000,041,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\xbrfxnbn.sys
[2011.12.05 15:50:00 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.12.03 13:02:01 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC
[2011.12.02 20:04:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Netzmanager
[2011.12.02 20:04:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Netzmanager
[2011.12.02 20:04:30 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D8116CA6-DBDF-4415-AB4A-BE0CEFB71935}
[2011.12.02 16:52:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2011.12.02 16:45:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Glaums\Lokale Einstellungen\Anwendungsdaten\12599a67
[2011.12.02 16:42:26 | 000,000,000 | ---D | C] -- C:\Programme\2C2B7
[2011.12.02 16:42:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Glaums\Anwendungsdaten\C412C
[2011.12.02 16:42:15 | 000,000,000 | ---D | C] -- C:\Programme\LP
[2011.11.21 22:17:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Glaums\Eigene Dateien\StarCraft II
[2011.11.21 22:17:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
[2011.11.21 13:06:23 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
[2011.11.02 14:19:53 | 016,215,808 | ---- | C] (Dropbox, Inc.) -- C:\Programme\Dropbox 1.1.45.exe
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

File not found -- C:\WINDOWS\System32\
[2011.12.07 22:22:23 | 000,041,680 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\xbrfxnbn.sys
[2011.12.07 22:19:49 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.12.07 22:19:26 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.12.07 22:16:09 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\Glaums\defogger_reenable
[2011.12.07 19:33:58 | 000,000,569 | ---- | M] () -- C:\Dokumente und Einstellungen\Glaums\.dsa4.properties
[2011.12.06 16:06:12 | 000,001,324 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.12.04 14:58:43 | 000,000,432 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2011.12.02 20:36:22 | 000,000,764 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Netzmanager.lnk
[2011.12.02 20:06:15 | 000,000,724 | ---- | M] () -- C:\Dokumente und Einstellungen\Glaums\Startmenü\Programme\Autostart\Netzmanager.lnk
[2011.12.02 02:00:01 | 000,000,348 | ---- | M] () -- C:\WINDOWS\tasks\AdobeAAMUpdater-1.0-SCOON-Glaums.job
[2011.12.02 02:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\AdobeAAMUpdater-1.0-SCOON-Admin.job
[2011.12.01 17:12:42 | 000,015,838 | ---- | M] () -- C:\Dokumente und Einstellungen\Glaums\.heldEinstellungen4_1.xml
[2011.11.12 16:53:44 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2011.11.09 09:11:14 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2011.12.07 22:15:47 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\Glaums\defogger_reenable
[2011.12.02 20:06:15 | 000,000,724 | ---- | C] () -- C:\Dokumente und Einstellungen\Glaums\Startmenü\Programme\Autostart\Netzmanager.lnk
[2011.12.02 20:05:04 | 000,000,764 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Netzmanager.lnk
[2011.12.01 17:37:36 | 001,304,512 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2011.11.09 09:11:12 | 000,001,374 | ---- | C] () -- C:\WINDOWS\imsins.BAK
[2011.09.16 19:34:50 | 000,593,920 | ---- | C] () -- C:\WINDOWS\System32\ati2sgag.exe
[2011.09.16 19:30:39 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\atiiprxx.exe
[2011.09.16 19:30:31 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativvaxx.dat
[2011.09.16 19:30:31 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativva5x.dat
[2011.09.16 19:30:31 | 000,887,724 | ---- | C] () -- C:\WINDOWS\System32\ativva6x.dat
[2011.09.16 19:30:31 | 000,158,080 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2011.09.16 19:30:30 | 000,000,011 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.ini
[2011.09.16 19:30:03 | 000,472,576 | ---- | C] () -- C:\WINDOWS\Radeon Omega Drivers v4.8.442 Uninstall.exe
[2011.08.29 01:20:59 | 000,120,320 | ---- | C] () -- C:\WINDOWS\System32\drivers\SSHDRV65.sys
[2011.07.05 19:23:14 | 000,001,324 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.07.04 12:16:47 | 000,015,312 | R--- | C] () -- C:\WINDOWS\System32\RaCoInst.dat
[2011.06.23 11:55:19 | 000,006,656 | ---- | C] () -- C:\Dokumente und Einstellungen\Glaums\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.05.13 16:59:22 | 001,940,212 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-1844237615-1770027372-515967899-1004-0.dat
[2011.05.13 16:59:21 | 000,287,018 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2011.04.26 17:24:13 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2011.04.26 17:23:12 | 000,007,103 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2011.04.26 00:13:15 | 000,100,352 | ---- | C] () -- C:\WINDOWS\System32\zlib1.dll
[2011.04.26 00:13:11 | 000,162,304 | ---- | C] () -- C:\WINDOWS\System32\libpng13.dll
[2011.04.26 00:13:10 | 000,394,752 | ---- | C] () -- C:\WINDOWS\System32\cygwinb19.dll
[2011.04.26 00:13:08 | 001,202,763 | ---- | C] () -- C:\WINDOWS\unins002.exe
[2011.04.26 00:13:08 | 000,012,752 | ---- | C] () -- C:\WINDOWS\unins002.dat
[2011.04.26 00:10:24 | 000,709,719 | ---- | C] () -- C:\WINDOWS\unins001.exe
[2011.04.26 00:10:24 | 000,007,963 | ---- | C] () -- C:\WINDOWS\unins001.dat
[2011.04.26 00:09:48 | 001,199,175 | ---- | C] () -- C:\WINDOWS\unins000.exe
[2011.04.26 00:09:48 | 000,012,043 | ---- | C] () -- C:\WINDOWS\unins000.dat
[2011.04.25 21:42:05 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011.04.25 21:38:42 | 000,000,141 | ---- | C] () -- C:\WINDOWS\BRVIDEO.INI
[2011.04.25 21:38:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brmx2001.ini
[2011.04.25 21:38:16 | 000,000,114 | ---- | C] () -- C:\WINDOWS\System32\brlmw03a.ini
[2011.04.25 21:38:15 | 000,009,868 | ---- | C] () -- C:\WINDOWS\HL-2140.INI
[2011.04.25 21:37:28 | 000,000,432 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2011.04.25 21:37:28 | 000,000,034 | ---- | C] () -- C:\WINDOWS\System32\BD2140.DAT
[2011.04.25 21:36:15 | 000,000,270 | ---- | C] () -- C:\WINDOWS\Brownie.ini
[2011.04.25 08:39:38 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011.04.25 08:33:00 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2011.04.25 02:09:02 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011.04.25 02:05:36 | 003,551,008 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.02.11 22:23:34 | 000,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll
[2008.04.14 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008.04.14 08:00:00 | 000,526,192 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008.04.14 08:00:00 | 000,501,382 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008.04.14 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008.04.14 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008.04.14 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008.04.14 08:00:00 | 000,104,880 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008.04.14 08:00:00 | 000,087,288 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008.04.14 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008.04.14 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008.04.14 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008.04.14 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008.04.14 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008.04.14 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2005.04.15 12:52:33 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2005.04.15 12:52:33 | 000,004,627 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat

========== Custom Scans ==========


< %SYSTEMDRIVE%\*. >
[2011.09.07 09:41:25 | 000,000,000 | ---D | M] -- C:\$NtUninstallXPSEP$
[2011.04.25 08:37:01 | 000,000,000 | ---D | M] -- C:\DELL
[2011.12.03 13:03:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2011.12.05 15:50:00 | 000,000,000 | ---D | M] -- C:\Programme
[2011.04.27 22:10:04 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2011.12.07 22:32:09 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.06.10 15:05:32 | 000,000,000 | ---D | M] -- C:\temp
[2011.12.03 13:02:01 | 000,000,000 | ---D | M] -- C:\WINDOWS

< %PROGRAMFILES%\*.exe >
[2011.11.02 11:18:02 | 016,215,808 | ---- | M] (Dropbox, Inc.) -- C:\Programme\Dropbox 1.1.45.exe

Invalid Environment Variable: LOCALAPPDATA

< %systemroot%\*. /mp /s >

< %systemroot%\system32\*.manifest /3 >
[2 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]


< MD5 for: AFD.SYS >
[2011.08.17 14:49:54 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=1E44BC1E83D8FD2305F8D452DB109CF9 -- C:\WINDOWS\system32\dllcache\afd.sys
[2011.08.17 14:49:54 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=2FF2423EB269D233BDEA542E7853AD74 -- C:\WINDOWS\system32\drivers\afd.sys
[2008.04.14 08:00:00 | 000,138,112 | ---- | M] (Microsoft Corporation) MD5=322D0E36693D6E24A2398BEE62A268CD -- C:\WINDOWS\$NtUninstallKB2509553$\afd.sys
[2011.02.16 14:22:48 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=355556D9E580915118CD7EF736653A89 -- C:\WINDOWS\$NtUninstallKB2592799$\afd.sys
[2008.10.16 16:07:58 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=38D7B715504DA4741DF35E3594FE2099 -- C:\WINDOWS\$hf_mig$\KB2509553\SP3QFE\afd.sys
[2008.10.16 15:43:01 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=7618D5218F2A614672EC61A80D854A37 -- C:\WINDOWS\$NtUninstallKB2503665$\afd.sys
[2011.02.16 14:25:05 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=8D499B1276012EB907E7A9E0F4D8FDA4 -- C:\WINDOWS\$hf_mig$\KB2503665\SP3QFE\afd.sys
[2011.08.17 14:41:46 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=F6B7B1ECD7B41736BDB6FF4B092BCB79 -- C:\WINDOWS\$hf_mig$\KB2592799\SP3QFE\afd.sys

< MD5 for: EXPLORER.EXE >
[2008.04.14 08:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 08:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\system32\dllcache\explorer.exe

< MD5 for: IPSEC.SYS >
[2008.04.14 08:00:00 | 000,075,264 | ---- | M] (Microsoft Corporation) MD5=23C74D75E36E7158768DD63D92789A91 -- C:\WINDOWS\system32\dllcache\ipsec.sys
[2008.04.14 08:00:00 | 000,075,264 | ---- | M] (Microsoft Corporation) MD5=23C74D75E36E7158768DD63D92789A91 -- C:\WINDOWS\system32\drivers\ipsec.sys

< MD5 for: REGEDIT.EXE >
[2008.04.14 08:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe
[2008.04.14 08:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\system32\dllcache\regedit.exe

< MD5 for: USERINIT.EXE >
[2008.04.14 08:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe
[2008.04.14 08:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe

< MD5 for: WINLOGON.EXE >
[2008.04.14 08:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe
[2008.04.14 08:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe

< HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2011.09.06 15:10:01 | 001,859,072 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >

< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-11-11 11:30:50

========== Hard Links - Junction Points - Mount Points - Symbolic Links ==========
[C:\WINDOWS\$NtUninstallKB30657$] -> Error: Cannot create file handle -> Unknown point type

========== Alternate Data Streams ==========

@Alternate Data Stream - 392 bytes -> C:\WINDOWS\System32\drivers\xbrfxnbn.sys:changelist
@Alternate Data Stream - 101 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:BDCD0530

< End of report >

:hallo:

Mein Name ist Daniel und ich werde dir mit deinem Malware Relevanten Problemen helfen.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen erst einmal durch. Sollte irgendetwas unklar sein, Frage bevor du beginnst.
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden
• Sollte ich innerhalb der nächsten 3 Tage keine Antwort von dir erhalten, werde ich das Thema aus meinen Abonnements löschen.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst und Installiere / Deinstalliere keine Software ohne Aufforderung.
• Poste die Logfiles direkt in deinen Thread und nicht als Anhang, ausser du wurdest dazu aufgefordert. Erschwert mir das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Ich will hier jetzt erstmal Tatsachen auf den Tisch legen. Die Infektion, welche bei dir vorhanden ist, ist auf einem XP System schwer bis unmöglich zu bereinigen. Ich kann es versuchen, eine Garantie kann ich aber nicht geben, dass wir es auch schaffen.


Schritt 1

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.



Bitte poste in deiner nächsten Antwort
Combofix.txt

Hallo Daniel,

danke für Deine rasche Antwort! Leider gibt es gleich ein erstes Problem. Im Augenblick bekomme ich meine Internetverbindung am infizierten Rechner nicht zum Laufen. Ich nutze einen W102 Stick und die installierte Software prüft die WLAN-Verschlüssung ohne fertig zu werden. Ein ähnliches Problem hatte ich auch unter Ubuntu, wo es nur ganz kurzfristig lief. Ich werde es noch einmal mit dem Stick meiner Freundin versuchen, weil ich so das Gefühl habe "nebenan" im anderen Account, wartet der "böse" Virus nur darauf, dass ich etwas neues installiere. Ich kann zudem mitteilen, dass ich die Wiederherstellung nach den ersten Angriffen auf Empfehlung ausgestellt hatte, um den Virenverseuchten Zustand nach dem Scan mit MSE nicht wieder herzustellen.

Viele Grüße
Glaums

War sehr klug, weil wenn jetzt was schief geht, habe ich nämlich keinen funktionierenden Punkt mehr -.-

Sonst noch irgendwelche schlauen Aktionen gemacht, ausser eine Menge an Misttools herunter geladen und ausgeführt ?


Gehe auf die Mircosoft Seite => http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=21&y=12

Wähle den Download, der für dein Betriebssystem bestimmt ist:
Hinweis: Für WinXP Sp3 wähle die Sp2 Version.

http://i94.photobucket.com/albums/l8...ungskonsol.png

Lade die Datei herunter und speichere diese mit dem original Namen, neben ComboFix.exe ab.

http://i94.photobucket.com/albums/l8...onsole_ani.gif

Nun schließe alle offenen Programme und Fenster, inklusive der Antiviren und Antimalware Programme. Dies ist notwendig, damit kein Program den Suchlauf von ComboFix behindert.

• Ziehe die Setupdatei auf ComboFix.exe und lasse es los.
• Folge den Aufforderungen um ComboFix zu starten und wenn Du dazu aufgefordert wirst, stimme den Nutzungsbedingungen zu um die Wiederherstellungskonsole zu installieren.
• Bei der nächsten Eingabeaufforderung, klicke auf "Yes" um den vollständigen Suchlauf von ComboFix zu starten.
• Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Hallo Daniel,

noch vor dem Ausführen, hat MSE zum ersten Mal in diesem Account "Sirefef:P" gefunden und gelöscht. Das nur zur Info. Hier der ComboFix.txt:

Combofix Logfile:
--- --- ---

Downloade dir bitte Farbar's Service Scanner

• Starte das Tool und klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt, i dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Farbar Service Scanner
Ran by Admin (administrator) on 11-12-2011 at 13:15:03
Microsoft Windows XP Professional Service Pack 3 (X86)
********************************************************

Service Check:
==============
Dhcp Service is not running. Checking service configuration:
The start type of Dhcp service is OK.
The ImagePath of Dhcp service is OK.
The ServiceDll of Dhcp service is OK.

afd Service is not running. Checking service configuration:
Checking Start type: Attention! Unable to retrieve start type of afd. The value does not exist.
Checking ImagePath: Attention! Unable to retrieve ImagePath of afd. The value does not exist.


File Check:
===========
C:\WINDOWS\system32\svchost.exe
[2008-04-14 08:00] - [2008-04-14 08:00] - 0014336 ____A (Microsoft Corporation) 4FBC75B74479C7A6F829E0CA19DF3366

C:\WINDOWS\system32\rpcss.dll
[2008-04-14 08:00] - [2009-02-09 11:51] - 0401408 ____A (Microsoft Corporation) 3127AFBF2C1ED0AB14A1BBB7AAECB85B

C:\WINDOWS\system32\services.exe
[2008-04-14 08:00] - [2009-02-09 12:21] - 0111104 ____A (Microsoft Corporation) A3EDBE9053889FB24AB22492472B39DC

C:\WINDOWS\system32\dhcpcsvc.dll
[2008-04-14 08:00] - [2008-04-14 08:00] - 0127488 ____A (Microsoft Corporation) C29A1C9B75BA38FA37F8C44405DEC360

Attention! C:\WINDOWS\system32\Drivers\afd.sys is missing.
C:\WINDOWS\system32\Drivers\netbt.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\tcpip.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\ipsec.sys => MD5 is legit
C:\WINDOWS\system32\dnsrslvr.dll
[2008-04-14 08:00] - [2009-04-20 18:17] - 0045568 ____A (Microsoft Corporation) 407F3227AC618FD1CA54B335B083DE07


Connection Status:
==================
Localhost is accessible.
There is no connection to network.
Attempt to access Google IP returned error: Google IP is unreachable
Attempt to access Yahoo IP returend error: Yahoo IP is unreachable

**** End of log ****

Downloade dir bitte die angehängte Look.txt

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  Code:

  ---

  Inhalt der Look.txt

  ---

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

SystemLook 30.07.11 by jpshortstuff
Log created at 22:08 on 11/12/2011 by Admin
Administrator - Elevation successful

No Context: Inhalt der Look.txt

-= EOF =-

Du sollst nicht das was da steht rein kopieren, sondern den Inhalt der angehängten look.txt :rolleyes:

Kam mir schon merkwürdig vor, aber die Formulierung war nicht ganz eindeutig. Hier jetzt der hoffentlich richtige Text.

SystemLook 30.07.11 by jpshortstuff
Log created at 10:21 on 12/12/2011 by Admin
Administrator - Elevation successful

========== filefind ==========

Searching for "afd.sys"
C:\WINDOWS\$hf_mig$\KB2503665\SP3QFE\afd.sys --a---- 138496 bytes [08:09 16/06/2011] [13:25 16/02/2011] 8D499B1276012EB907E7A9E0F4D8FDA4
C:\WINDOWS\$hf_mig$\KB2509553\SP3QFE\afd.sys --a---- 138496 bytes [15:07 16/10/2008] [15:07 16/10/2008] 38D7B715504DA4741DF35E3594FE2099
C:\WINDOWS\$hf_mig$\KB2592799\SP3QFE\afd.sys --a---- 138496 bytes [08:12 13/10/2011] [13:41 17/08/2011] F6B7B1ECD7B41736BDB6FF4B092BCB79
C:\WINDOWS\$NtUninstallKB2503665$\afd.sys -----c- 138496 bytes [08:37 16/06/2011] [14:43 16/10/2008] 7618D5218F2A614672EC61A80D854A37
C:\WINDOWS\$NtUninstallKB2509553$\afd.sys -----c- 138112 bytes [20:52 25/04/2011] [07:00 14/04/2008] 322D0E36693D6E24A2398BEE62A268CD
C:\WINDOWS\$NtUninstallKB2592799$\afd.sys -----c- 138496 bytes [08:23 13/10/2011] [13:22 16/02/2011] 355556D9E580915118CD7EF736653A89
C:\WINDOWS\system32\dllcache\afd.sys --a--c- 138496 bytes [07:00 14/04/2008] [13:49 17/08/2011] 1E44BC1E83D8FD2305F8D452DB109CF9

Searching for "rpcss.dll"
C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\rpcss.dll --a---- 401408 bytes [20:36 25/04/2011] [10:54 09/02/2009] D3D765E8455A961AE567B408F767D4F9
C:\WINDOWS\$NtUninstallKB956572$\rpcss.dll -----c- 399360 bytes [20:58 25/04/2011] [07:00 14/04/2008] E970C2296916BF4A2F958680016FE312
C:\WINDOWS\ERDNT\cache\rpcss.dll --a---- 401408 bytes [00:11 11/12/2011] [10:51 09/02/2009] 3127AFBF2C1ED0AB14A1BBB7AAECB85B
C:\WINDOWS\system32\rpcss.dll --a---- 401408 bytes [07:00 14/04/2008] [10:51 09/02/2009] 3127AFBF2C1ED0AB14A1BBB7AAECB85B
C:\WINDOWS\system32\dllcache\rpcss.dll --a--c- 401408 bytes [07:00 14/04/2008] [10:51 09/02/2009] 3127AFBF2C1ED0AB14A1BBB7AAECB85B

Searching for "dhcpcsvc.dll"
C:\WINDOWS\system32\dhcpcsvc.dll --a---- 127488 bytes [07:00 14/04/2008] [07:00 14/04/2008] C29A1C9B75BA38FA37F8C44405DEC360
C:\WINDOWS\system32\dllcache\dhcpcsvc.dll --a--c- 127488 bytes [07:00 14/04/2008] [07:00 14/04/2008] C29A1C9B75BA38FA37F8C44405DEC360

Searching for "dnsrslvr.dll"
C:\WINDOWS\$hf_mig$\KB2509553\SP3QFE\dnsrslvr.dll --a---- 45568 bytes [17:07 20/04/2009] [17:07 20/04/2009] 4548494812BA3B416D489E0C6AF8D643
C:\WINDOWS\$NtUninstallKB2509553$\dnsrslvr.dll -----c- 45568 bytes [20:52 25/04/2011] [07:00 14/04/2008] 8C9ED3B2834AAE63081AB2DA831C6FE9
C:\WINDOWS\system32\dnsrslvr.dll --a---- 45568 bytes [07:00 14/04/2008] [17:17 20/04/2009] 407F3227AC618FD1CA54B335B083DE07
C:\WINDOWS\system32\dllcache\dnsrslvr.dll --a--c- 45568 bytes [07:00 14/04/2008] [17:17 20/04/2009] 407F3227AC618FD1CA54B335B083DE07

========== reg ==========

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\afd]
(No values found)

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\afd\Parameters]
(No values found)

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\afd\Enum]
"0"="Root\LEGACY_AFD\0000"
"Count"= 0x0000000001 (1)
"NextInstance"= 0x0000000001 (1)
"INITSTARTFAILED"= 0x0000000001 (1)


[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\Legacy_AFD]
"NextInstance"= 0x0000000001 (1)

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\Legacy_AFD\0000]
"Service"="AFD"
"Legacy"= 0x0000000001 (1)
"ConfigFlags"= 0x0000000020 (32)
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="AFD"
"Capabilities"= 0x0000000000 (0)
"Driver"="{8ECC055D-047F-11D1-A537-0000F8753ED1}\0000"

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\Legacy_AFD\0000\LogConf]
(No values found)


-= EOF =-

Download dir bitte folgende Datei

http://larusso.trojaner-board.de/regfixes/afdXP.zip

Extrahiere den Inhalt auf den Desktop. Doppelklick auf die afdXP.reg Datei, bestätige die Warnung mit ja.



Und nochmal extra für dich.
Downloade dir die angehängte CFScript.exe. Speichere diese auf den infizierten Rechner auf deinem Desktop.



Wichtig:

• Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern. Danach wieder anstellen nicht vergessen!
• Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Schließe alle laufenden Programme. Gehe sicher, dass ComboFix ungehindert arbeiten kann.
• Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.


Bitte poste in deiner nächsten Antwort
Combofix.txt
Berichte ob du wieder ins Internet kannst.

Hallo,

die Internetverbindung funktioniert leider noch immer nicht. Das Verbindungsprogramm startet, findet das WLAN und bleibt dann ewig auf der Position: "Bitte warten Sie! Die WLAN Verschlüsselung wird geprüft." Dabei zeigt Windows ein bestehendes WLAN an. Auch funktioniert der Stick mit den selben Zugangsdaten im selben Netzwerk an einem anderen Rechner.

Hier die Ergebnisse des Scans.

Combofix Logfile:
--- --- ---

Ich liebe dieses Rootkit. Stell dich schon mal auf ne längere Bearbeitung ein.

Downloade dir bitte Farbar's Service Scanner

• Starte das Tool und klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt, i dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.

Hallo Daniel,

hier das Ergebnis des Scans:

Farbar Service Scanner
Ran by Admin (administrator) on 12-12-2011 at 16:45:05
Microsoft Windows XP Professional Service Pack 3 (X86)
********************************************************

Service Check:
==============
Dhcp Service is not running. Checking service configuration:
The start type of Dhcp service is OK.
The ImagePath of Dhcp service is OK.
The ServiceDll of Dhcp service is OK.

afd Service is not running. Checking service configuration:
The start type of afd service is OK.
The ImagePath of afd service is OK.


File Check:
===========
C:\WINDOWS\system32\svchost.exe
[2008-04-14 08:00] - [2008-04-14 08:00] - 0014336 ____A (Microsoft Corporation) 4FBC75B74479C7A6F829E0CA19DF3366

C:\WINDOWS\system32\rpcss.dll
[2008-04-14 08:00] - [2009-02-09 11:51] - 0401408 ____A (Microsoft Corporation) 3127AFBF2C1ED0AB14A1BBB7AAECB85B

C:\WINDOWS\system32\services.exe
[2008-04-14 08:00] - [2009-02-09 12:21] - 0111104 ____A (Microsoft Corporation) A3EDBE9053889FB24AB22492472B39DC

C:\WINDOWS\system32\dhcpcsvc.dll
[2008-04-14 08:00] - [2008-04-14 08:00] - 0127488 ____A (Microsoft Corporation) C29A1C9B75BA38FA37F8C44405DEC360

C:\WINDOWS\system32\Drivers\afd.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\netbt.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\tcpip.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\ipsec.sys => MD5 is legit
C:\WINDOWS\system32\dnsrslvr.dll
[2008-04-14 08:00] - [2009-04-20 18:17] - 0045568 ____A (Microsoft Corporation) 407F3227AC618FD1CA54B335B083DE07


Connection Status:
==================
Localhost is accessible.
There is no connection to network.
Attempt to access Google IP returned error: Google IP is unreachable
Attempt to access Yahoo IP returend error: Yahoo IP is unreachable

**** End of log ****

Das hört sich gar nicht gut an. Ich brauche diesen Rechner dringend zum Arbeiten und habe leider auch keine wirkliche Alternative dazu. Daher die Frage an Dich: Ist eine Neuinstallation nicht schneller/besser? In diesem Fall müsste ich immer noch die Frage klären, wie ich die externen Platten desinfizieren und wie ich mich in Zukunft besser schützen kann (MSE und Firewall haben nichts genützt).

Johannes

Ja, Neuinstall wär definitiv das beste hier.

Externe Medien nach Infektion und Neuinstallation checken(by Petra)

Der wesentliche Trick bei der Desinfizierung der externen Laufwerke und Sticks besteht darin, dass sie richtig angeschlossen werden müssen. Auf ihnen ist (falls infiziert) eine Datei autorun.inf gespeichert, in der ein Befehl steht, der beim Anschluss ausgeführt wird. Der startet normalerweise eine Datei von dem externen Laufwerk.

Dieser Autorun-Mechanismus wird unterdrückt, wenn Du beim Anschließen des Laufwerks die Shift-Taste (auf Deutsch: die Umschalttaste für die Großbuchstaben) gedrückt hälst. Ich empfehle, dass zur Gewohnheit zu machen. Funktioniert auch beim Einlegen von CDs/DVDs und kann dort schon mal die Installation eines Rootkitkopierschutzes verhindern. Autorun lässt sich in Windows auch deaktivieren: Schau mal hier. Dann brauchst Du nicht ans Tastedrücken denken.

Jedes externe Laufwerk nacheinander anschließen (mit Shift). Wenn infiziert gibt es dort im Hauptverzeichnis eine autorun.inf. Ist eventuell versteckt, kann aber mit den Exploreroptionen von hier sichtbar gemacht werden. Die autorun.inf im Editor öffnen. Da steht drin, was ausgeführt werden soll. Diese ausführbare Datei (meist mit den Endungen .vbs oder .exe) auf dem Laufwerk suchen und löschen, danach die autorun.inf ebenfalls löschen.

Anleitungen: XP Pro - XP Home - Vista (deutsch) - Vista (english).

Anschließend die externen Medien mit mindestens zwei Online-Scannern aus dieser Anleitung durchchecken lassen.



Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.


Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Ja, Neuinstall wär definitiv das beste hier.

Externe Medien nach Infektion und Neuinstallation checken(by Petra)

Der wesentliche Trick bei der Desinfizierung der externen Laufwerke und Sticks besteht darin, dass sie richtig angeschlossen werden müssen. Auf ihnen ist (falls infiziert) eine Datei autorun.inf gespeichert, in der ein Befehl steht, der beim Anschluss ausgeführt wird. Der startet normalerweise eine Datei von dem externen Laufwerk.

Dieser Autorun-Mechanismus wird unterdrückt, wenn Du beim Anschließen des Laufwerks die Shift-Taste (auf Deutsch: die Umschalttaste für die Großbuchstaben) gedrückt hälst. Ich empfehle, dass zur Gewohnheit zu machen. Funktioniert auch beim Einlegen von CDs/DVDs und kann dort schon mal die Installation eines Rootkitkopierschutzes verhindern. Autorun lässt sich in Windows auch deaktivieren: Schau mal hier. Dann brauchst Du nicht ans Tastedrücken denken.

Jedes externe Laufwerk nacheinander anschließen (mit Shift). Wenn infiziert gibt es dort im Hauptverzeichnis eine autorun.inf. Ist eventuell versteckt, kann aber mit den Exploreroptionen von hier sichtbar gemacht werden. Die autorun.inf im Editor öffnen. Da steht drin, was ausgeführt werden soll. Diese ausführbare Datei (meist mit den Endungen .vbs oder .exe) auf dem Laufwerk suchen und löschen, danach die autorun.inf ebenfalls löschen.

Anleitungen: XP Pro - XP Home - Vista (deutsch) - Vista (english).

Anschließend die externen Medien mit mindestens zwei Online-Scannern aus dieser Anleitung durchchecken lassen.



Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

• Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
• WinPatrol
  Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.


Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Hallo Daniel,

vielen Dank für Deine Hilfe! Da waren eine Menge Informationen dabei und ich denke die meisten davon konnte ich umsetzen. Es hat eine ganze Weile gedauert, aber mittlerweile habe ich meinen Rechner so langsam wieder im Arbeitszustand. Ich habe meine externe Datensicherung erst mal an einem Zweitrechner durch den Scan gejagt und auch tatsächlich 8 Viren gefunden, obwohl der Onlinescan nie etwas ausmachen konnte. Mag daran liegen, dass ich einfach keine Option gefunden habe, um extrene Platten mit einzubeziehen (angesteckt war sie). Antivir hat danach jedoch immer wieder im Systeme Volume Information Viren gefunden. Ist es sinnvoll diese zu löschen?

Ich habe die Platte dann mit Shift an meinen Rechner angeschlossen und ein komplett aktualisiertes MSE drüber gejagt. Das Ganze hat dann über 7 Stunden gedauert und 2 Viren zu Tage gefördert (TrojanClicker:Win32/Yabector.B und TrojanClicker:Win32/Yabector.gen). So richtig überzeugt davon, dass auf dieser Platte keine Viren mehr sind, bin ich noch nicht, aber was kann ich noch mehr tun, als die Platte einem weiteren ewigen Scan zu unterziehen?

Zwei weitere Probleme, welche ich bereits vor dem Virenbefall hatte sind ebenfalls wieder aufgetaucht. Erstens fährt der Rechner nicht hoch, wenn eine externe Platte (nicht aber Stick) dran hängt. Mir wurde mal empfohlen das im Bios zu regulieren. Da ich dabei aber kaum Kentnisse besitze bin ich da eher vorsichtig. Das zweite Problem ist jedoch viel unangenehmer. Immer mal wieder schaltet der Monitor (HP1955) auf Ruhemodus. Dann läuft zwar der Rechner im Hintergrund weiter und nimmt auch noch Eingaben von der Tastatur an, aber der Monitor gibt, egal was ich mache, immer nur "Kein Signal" an. Einzig wenn ich den Computer mit einer Taste an meiner Tastatur tatsächlich in den Ruhemodus versetze und daraus dann wieder hervor hole, geht auch der Monitor wieder aus dem Ruhemodus. Dann alerdings funktioniert das WLAN nicht mehr und ich bekomme es ohne Neustart auch nicht mehr reaktiviert.

Viele Grüße
Johannes

Das System ist neu installiert ? Alle Treiber installiert ?
Sieht mir hier mehr nach einen Technik/ Hardware Problem aus und ist definitiv nicht mein Fachgebiet.


Das sind nur Systemwiederherstellungspunkte. Die kann man ganz einfach killen.


Start --> Systemsteuerung --> System.
Reiter Systemwiederherstellung --> das weisse Kästchen vor Systemwiederherstellung auf allen Laufwerken deaktivieren --> OK

Rechner neu starten und wieder aktivieren

Alles klar, das werde ich versuchen. Vielen Dank nochmal für Deine Hilfe und natürlich frohe Weihnachten!

Viele Grüße
Johannes

Froh das wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen