Jede Menge Trojaner und Würmer eingefangen!
 

Hallo zusammen,

ich habe mir auf meinem Netbook jede Menge Trojaner und Viren eingefangen:

- Generic17.BBGX
- Generic15.APNZ
- Backdoor Generic12.BCYO
- Worm/VB.8.BG
- Generic17.ARTZ
- FakeAV.BFN
- Generic17.BEGS
- SHeur3.SPI
- Generic17.ARUA

Da ich leider ein totaler Laie in Sachen PC bin, hoffe ich, dass mir jemand helfen kann. Oder wäre es eventuell einfacher, den PC platt zu machen und das Betriebssystem neu aufzuspielen?

Vielen Dank vorab schon mal
LG Nicole76

Hallo und :hallo:

Poste bitte vollständige Pfadangaben!

Danke für die schnelle Antwort,
hab jetzt grad nur das Problem, dass ich an meinem festen PC online bin und sich die Dinger auf meinem Netbook befinden.

Gruß

Dann geh ans Netbook und schau Dir das Log vom Virenscanner an, am besten postest Du das komplett.

Sorry, hat etwas länger gedauert!

wenn ich den Rechner hochfahre, springt gleich der Residentenschutzalarm an mit dieser Meldung: c:\\WINDOWS\system32\drivers\ndis.sys
Trojaner:Rootkit-Pakes.AA Objekt befindet sich auf der Whitelist

1. Scan mit AVG
"Scan ""Gesamten Computer scannen"" wurde beendet."
"Infektionen";"28";"26";"2"
"Warnungen";"31";"31";"0"
"Für den Scanvorgang ausgewählte Ordner:";"Gesamten Computer scannen"
"Start des Scans:";"Mittwoch, 23. Juni 2010, 11:33:03"
"Scan beendet:";"Mittwoch, 23. Juni 2010, 12:19:34 (46 Minute(n) 31 Sekunde(n))"
"Gesamtanzahl gescannter Objekte:";"198089"
"Benutzer, der den Scan gestartet hat:";"NicoleP"

"Infektionen"
"Datei";"Infektion";"Ergebnis"
"C:\WINDOWS\TEMP\winlogon.exe";"Trojaner: SHeur3.SPI";"In Virenquarantäne verschoben"
"C:\WINDOWS\TEMP\vg5h42fo.dll";"Trojaner: FakeAV.BFN";"In Virenquarantäne verschoben"
"C:\WINDOWS\TEMP\hr6q388l.exe";"Trojaner: Generic17.BEGS";"In Virenquarantäne verschoben"
"C:\WINDOWS\system32\winlogon.exe (596):\memory_10000000";"Trojaner: Generic17.BBGX";"Objekt ist nicht verfügbar."
"C:\WINDOWS\system32\winlogon.exe (596)";"Trojaner: Generic17.BBGX";""
"C:\WINDOWS\system32\services.exe (648):\memory_09500000";"Trojaner: Generic15.APNZ";"Objekt ist nicht verfügbar."
"C:\WINDOWS\system32\services.exe (648)";"Trojaner: Generic15.APNZ";""
"C:\WINDOWS\System32\reader_s.exe (728)";"Trojaner: BackDoor.Generic12.BCYO";"Neustart erforderlich, um die Aktion abzuschließen "
"C:\WINDOWS\System32\reader_s.exe";"Trojaner: BackDoor.Generic12.BCYO";"In Virenquarantäne verschoben"
"C:\WINDOWS\system32\reader_s.exe";"Trojaner: BackDoor.Generic12.BCYO";"In Virenquarantäne verschoben"
"C:\WINDOWS\system32\nmklo.dll";"Trojaner: Generic17.BBGX";"Objekt ist nicht verfügbar."
"C:\Dokumente und Einstellungen\NicoleP\reader_s.exe (948)";"Trojaner: BackDoor.Generic12.BCYO";"Neustart erforderlich, um die Aktion abzuschließen "
"C:\Dokumente und Einstellungen\NicoleP\reader_s.exe";"Trojaner: BackDoor.Generic12.BCYO";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\reader_s.exe";"Trojaner: BackDoor.Generic12.BCYO";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\reader_s.exe";"Trojaner: BackDoor.Generic12.BCYO";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\reader_s.exe";"Trojaner: BackDoor.Generic12.BCYO";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\mbveog.scr";"Virus identifiziert: Worm/VB.8.BG";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\mbveog.exe (912)";"Virus identifiziert: Worm/VB.8.BG";"Neustart erforderlich, um die Aktion abzuschließen "
"C:\Dokumente und Einstellungen\NicoleP\mbveog.exe";"Virus identifiziert: Worm/VB.8.BG";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\mbveog.exe";"Virus identifiziert: Worm/VB.8.BG";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\mbveog.exe";"Virus identifiziert: Worm/VB.8.BG";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Lokale Einstellungen\Temp\winlogon.exe";"Trojaner: Generic17.ARUA";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Lokale Einstellungen\Temp\nvsvc32.exe";"Trojaner: Generic17.ARUA";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Lokale Einstellungen\Temp\fykxq1i.exe";"Trojaner: Generic17.ARTZ";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Lokale Einstellungen\Temp\drweb.exe";"Trojaner: Generic17.ARUA";"In Virenquarantäne verschoben"
"C:\DOKUME~1\NicoleP\LOKALE~1\Temp\fykxq1i.exe (936)";"Trojaner: Generic17.ARTZ";"Neustart erforderlich, um die Aktion abzuschließen "
"C:\DOKUME~1\NicoleP\LOKALE~1\Temp\fykxq1i.exe";"Trojaner: Generic17.ARTZ";"In Virenquarantäne verschoben"
"C:\DOKUME~1\NicoleP\LOKALE~1\Temp\fykxq1i.exe";"Trojaner: Generic17.ARTZ";"In Virenquarantäne verschoben"

"Warnungen"
"Datei";"Infektion";"Ergebnis"
"HKU\S-1-5-21-1790521817-2589800181-2619313026-1005\Software\Microsoft\Windows\CurrentVersion\Run\\reader_s";"Registrierungsschlüssel mit Verweis auf die infizierte Datei C:\Dokumente und Einstellungen\NicoleP\reader_s.exe gefunden";"In Virenquarantäne verschoben"
"HKU\S-1-5-21-1790521817-2589800181-2619313026-1005\Software\Microsoft\Windows\CurrentVersion\Run\\mbveog";"Registrierungsschlüssel mit Verweis auf die infizierte Datei C:\Dokumente und Einstellungen\NicoleP\mbveog.exe gefunden";"In Virenquarantäne verschoben"
"HKU\S-1-5-21-1790521817-2589800181-2619313026-1005\Software\Microsoft\Windows\CurrentVersion\Run\\hf8wefhuaihf8ewfydiujhfdsfdf";"Registrierungsschlüssel mit Verweis auf die infizierte Datei C:\DOKUME~1\NicoleP\LOKALE~1\Temp\fykxq1i.exe gefunden";"In Virenquarantäne verschoben"
"HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\reader_s";"Registrierungsschlüssel mit Verweis auf die infizierte Datei C:\Dokumente und Einstellungen\NicoleP\reader_s.exe gefunden";"In Virenquarantäne verschoben"
"HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\mcexecwin";"Registrierungsschlüssel mit Verweis auf die infizierte Datei C:\WINDOWS\TEMP\vg5h42fo.dll gefunden";"In Virenquarantäne verschoben"
"HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\hsf87sdhfush87fsufhuie3fddf";"Registrierungsschlüssel mit Verweis auf die infizierte Datei C:\WINDOWS\TEMP\hr6q388l.exe gefunden";"In Virenquarantäne verschoben"
"HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\hsf87efjhdsf87f3jfsdi7fhsujfd";"Registrierungsschlüssel mit Verweis auf die infizierte Datei C:\WINDOWS\TEMP\winlogon.exe gefunden";"In Virenquarantäne verschoben"
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\reader_s";"Registrierungsschlüssel mit Verweis auf die infizierte Datei C:\WINDOWS\System32\reader_s.exe gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\tradedoubler.com.ef90aa95";"Tracking cookie.Tradedoubler gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\tradedoubler.com.eab0972e";"Tracking cookie.Tradedoubler gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\tradedoubler.com.dc3c9994";"Tracking cookie.Tradedoubler gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\serving-sys.com.db46cecc";"Tracking cookie.Serving-sys gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\serving-sys.com.ac41fe5a";"Tracking cookie.Serving-sys gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\serving-sys.com.6a1cf9e8";"Tracking cookie.Serving-sys gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\serving-sys.com.606c3d3b";"Tracking cookie.Serving-sys gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\serving-sys.com.4b416ef8";"Tracking cookie.Serving-sys gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\serving-sys.com.400f83f";"Tracking cookie.Serving-sys gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\serving-sys.com.255d6f2f";"Tracking cookie.Serving-sys gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\mediaplex.com.f652b123";"Tracking cookie.Mediaplex gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\mediaplex.com.dc30fb3c";"Tracking cookie.Mediaplex gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\ivwbox.de.41d82fe2";"Tracking cookie.Ivwbox gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\bs.serving-sys.com.5bf1f00f";"Tracking cookie.Serving-sys gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\atdmt.com.b3e33b5f";"Tracking cookie.Atdmt gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\atdmt.com.7247c262";"Tracking cookie.Atdmt gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\admarketplace.net.61a250a";"Tracking cookie.Admarketplace gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\ad.yieldmanager.com.ff92306";"Tracking cookie.Yieldmanager gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\ad.yieldmanager.com.e626e6be";"Tracking cookie.Yieldmanager gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\ad.yieldmanager.com.b68f2b7b";"Tracking cookie.Yieldmanager gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\ad.yieldmanager.com.8a47878";"Tracking cookie.Yieldmanager gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite:\ad.yieldmanager.com.539b0606";"Tracking cookie.Yieldmanager gefunden";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NicoleP\Anwendungsdaten\Mozilla\Firefox\Profiles\pxiz9kpi.default\cookies.sqlite";"Tracking cookie.Atdmt gefunden";"Geheilt"


Und dann der 2. Scan mit AVG

[I]"Scan ""Gesamten Computer scannen"" wurde beendet."
"Infektionen";"10";"9";"1"
"Für den Scanvorgang ausgewählte Ordner:";"Gesamten Computer scannen"
"Start des Scans:";"Mittwoch, 23. Juni 2010, 12:39:49"
"Scan beendet:";"Mittwoch, 23. Juni 2010, 13:20:22 (40 Minute(n) 32 Sekunde(n))"
"Gesamtanzahl gescannter Objekte:";"245390"
"Benutzer, der den Scan gestartet hat:";"NicoleP"

"Infektionen"
"Datei";"Infektion";"Ergebnis"
"C:\WINDOWS\Temp\services.exe";"Trojaner: SHeur3.SPI";"In Virenquarantäne verschoben"
"C:\WINDOWS\Temp\nvsvc32.exe";"Trojaner: SHeur3.SPI";"In Virenquarantäne verschoben"
"C:\WINDOWS\Temp\i9rmx.exe";"Trojaner: Generic17.BEGS";"In Virenquarantäne verschoben"
"C:\WINDOWS\Temp\gtk69.tmp";"Trojaner: Downloader.Generic9.BNTU";"In Virenquarantäne verschoben"
"C:\WINDOWS\Temp\bspnx13f6r9xgja.exe";"Trojaner: SHeur3.SPI";"In Virenquarantäne verschoben"
"C:\WINDOWS\Temp\avp32.exe";"Trojaner: SHeur3.SPI";"In Virenquarantäne verschoben"
"C:\WINDOWS\system32\services.exe (920):\memory_09500000";"Trojaner: Generic15.APNZ";"Objekt ist nicht verfügbar."
"C:\WINDOWS\system32\services.exe (920)";"Trojaner: Generic15.APNZ";""
"C:\WINDOWS\system32\ebvfjgchq.dll";"Trojaner: FakeAV.BFN";"In Virenquarantäne verschoben"
"C:\WINDOWS\system32\cooper.mine";"Trojaner: Generic17.AXDE";"In Virenquarantäne verschoben"

Hoffe, das war jetzt richtig so!?!!

Gruß
Nicole

Angesichts der Funde würde ich hier eher eine Neuinstallation des Betriebssystems empfehlen.
Ist mit Windows auf einem Netbook aber wg fehlendem CDROM nicht ganz einfach.
Muss es Windows sein? Ein netbook ist idR eine reine Surfstation und ggf. Mails abholen, für sowas ist Linux auch interessant.

Oh man, ich hab die Neuinstallation be-/gefürchtet. Hab jetzt grad nochmal einen Virenscan gemacht und AVG hat nur noch den Generic15.APNZ in folgender Datei gefunden c:\\WINDOWS\system32\services.exe
Ist da auch nichts mehr zu machen? Oder tauchen die anderen auch wieder auf?

Worin besteht der Unterschied von Linux zu Windows? Weil in der Tat, hab ich kein Betriebssystem hier, hab das Netbook vorinstalliert gekauft. Aber selbst wenn ich es hätte, ohne Laufwerk? Und benutzen tue ich es auch nur für´s Internet.

Trotzdem ganz lieben Dank erstmal.
Gruß Nicole

Du hast anscheinend einen sehr zerstörerischen Schädling namens "Virut" drauf, dieser hier ist ein Hinweis darauf => C:\Dokumente und Einstellungen\NicoleP\reader_s.exe

Da kann ich zwei Sätze oder 20 Seiten zu schreiben. Die Frage musst Du genauer stellen. Vllt solltest Du nach passenden Wikipedia-Artikeln erstmal schauen.

Egal welches OS, die Installation muss über ein USB-Stick geschehen.
Für Dein Netbook würde ich mal Ubuntu Netbook Editition empfehlen, damit kann man als Anfänger eigentlich nichts falsch machen => Ubuntu Netbook Edition ? Wiki ? ubuntuusers.de

Tja, da werde ich mich wohl oder übel mal mit Format C anfreunden müssen, was?

Trotz allem Danke schön für Deine Hilfe, auch wenn ich mir ein anderes Ergebnis erhofft hatte:heulen:

Gruß
Nicole

Man kann auch eine Bereinigung probieren, da in der Tat eine Neuinstallation auf einem Netbook nicht ohne ist.

Wenn Du erstmal bereinigen willst: Nimm Dir viel Zeit, ist rel. aufwändig und Du musst alles genau durchlesen und so umsetzen!
Lost gehts: Bitte erstmal nen Vollscan mit malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hier die Logfiles:

Du hast Malwarebytes vorher nicht aktualisiert. Bitte die Datenbanken updaten und den Vollscan wiederholen. Entferne alle etwaigen Funde!!

Hallo Arne,

was lange währt, wird endlich gut. Hat leider ein bißchen länger gedauert, habe jetzt aber die Logfiles und hoffe, das ich alles richtig gemacht habe.

Gruß Nicole

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hi,

hier das nächste Logfile

Gruß
Nicole


All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\reader_s not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\hf8wefhuaihf8ewfydiujhfdsfdf not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\mbveog deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\reader_s not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\sdra64.exe deleted successfully.
File C:\WINDOWS\system32\sdra64.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\GootkitSSO not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33FC55DA-C54B-4329-A7B2-5292CBC89FFB}\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\\{A9BA40A1-74F1-52BD-F431-00B15A2C8953} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A9BA40A1-74F1-52BD-F431-00B15A2C8953}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2c9e99f0-43fe-11df-b294-00262214b69c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2c9e99f0-43fe-11df-b294-00262214b69c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2c9e99f0-43fe-11df-b294-00262214b69c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2c9e99f0-43fe-11df-b294-00262214b69c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3e0b563a-39a7-11df-b281-00262214b69c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3e0b563a-39a7-11df-b281-00262214b69c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3e0b563a-39a7-11df-b281-00262214b69c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3e0b563a-39a7-11df-b281-00262214b69c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3e0b563a-39a7-11df-b281-00262214b69c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3e0b563a-39a7-11df-b281-00262214b69c}\ not found.
File D:\WD SmartWare.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6ea2ab59-2f82-11df-b273-00262214b69c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6ea2ab59-2f82-11df-b273-00262214b69c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6ea2ab59-2f82-11df-b273-00262214b69c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6ea2ab59-2f82-11df-b273-00262214b69c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{931be2e6-e99f-11de-b1af-00262214b69c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{931be2e6-e99f-11de-b1af-00262214b69c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{931be2e6-e99f-11de-b1af-00262214b69c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{931be2e6-e99f-11de-b1af-00262214b69c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{931be2e6-e99f-11de-b1af-00262214b69c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{931be2e6-e99f-11de-b1af-00262214b69c}\ not found.
File move failed. D:\AutoRun.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{931be2ea-e99f-11de-b1af-00262214b69c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{931be2ea-e99f-11de-b1af-00262214b69c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{931be2ea-e99f-11de-b1af-00262214b69c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{931be2ea-e99f-11de-b1af-00262214b69c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{931be2ea-e99f-11de-b1af-00262214b69c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{931be2ea-e99f-11de-b1af-00262214b69c}\ not found.
File move failed. D:\AutoRun.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{931be2eb-e99f-11de-b1af-00262214b69c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{931be2eb-e99f-11de-b1af-00262214b69c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{931be2eb-e99f-11de-b1af-00262214b69c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{931be2eb-e99f-11de-b1af-00262214b69c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{931be2eb-e99f-11de-b1af-00262214b69c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{931be2eb-e99f-11de-b1af-00262214b69c}\ not found.
File E:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9b14b9f4-159c-11df-b244-00262214b69c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9b14b9f4-159c-11df-b244-00262214b69c}\ not found.
File D:\Toshiba\more4you.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d964839b-ee43-11de-b1c4-00262214b69c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d964839b-ee43-11de-b1c4-00262214b69c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d964839b-ee43-11de-b1c4-00262214b69c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d964839b-ee43-11de-b1c4-00262214b69c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d964839b-ee43-11de-b1c4-00262214b69c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d964839b-ee43-11de-b1c4-00262214b69c}\ not found.
File E:\AutoRun.exe not found.
File move failed. C:\WINDOWS\system32\drivers\gjzonxi.sys scheduled to be moved on reboot.
Unable to delete ADS C:\WINDOWS\System32\services.exe:SummaryInformation .
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:ADE16379 deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 61423785 bytes
->Temporary Internet Files folder emptied: 130045 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 61420986 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 75 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 950204 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 925345 bytes
->Flash cache emptied: 784 bytes

User: NicoleP
->Temp folder emptied: 229710254 bytes
->Temporary Internet Files folder emptied: 12239030 bytes
->FireFox cache emptied: 95225747 bytes
->Flash cache emptied: 1008 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3771271 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 37043540 bytes
RecycleBin emptied: 428585298 bytes

Total Files Cleaned = 888,00 mb


OTL by OldTimer - Version 3.2.6.1 log created on 07272010_104345

Files\Folders moved on Reboot...
File move failed. D:\AutoRun.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\drivers\gjzonxi.sys scheduled to be moved on reboot.
File\Folder C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S1SJ92M6\signup[1].htm not found!

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hi,

hier das Logfile von ComboFix

Gruß
Nicole

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hi,

hier der nächste Logfile. Hoffe, ich habe alles richtig gemcht.

Gruß
Nicole

Bitte lösch die alte cofi.exe, lade dann Combofix neu herunter wieder als cofi.exe und führ es nochmal wie am Anfang nach Anleitung aus.

Hi,

auch wieder mit CCleaner Systembereinigung? Oder nur Cofi?

Gruß
Nicole

Den CCleaner brauchst Du nicht unbedingt nochmal auszuführen.

Hi,

hier nächstes Logfile ohne vorher CCleaner.

Gruß
Nicole

c:\windows\system32\drivers\ndis.sys

Bitte diese Datei bei Virustotal auswerten lassen und den Ergebnislink posten. Falls Du die Datei nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn die Datei schon ausgewertet sein sollte, bitte eine weitere Auswertung starten.

Hi,

nur die einzelne Datei oder den kompletten Logfile?

Gruß
Nicole

Die o.g. Datei, steht doch da!

Hi,

hier die nächste Logdatei.

Gruß
Nicole


File ndis.sys received on 2010.07.28 13:08:39 (UTC)
Antivirus Version Last Update Result
AhnLab-V3 2010.07.28.04 2010.07.28 -
AntiVir 8.2.4.26 2010.07.28 -
Antiy-AVL 2.0.3.7 2010.07.28 -
Authentium 5.2.0.5 2010.07.28 -
Avast 4.8.1351.0 2010.07.28 -
Avast5 5.0.332.0 2010.07.28 -
AVG 9.0.0.851 2010.07.28 -
BitDefender 7.2 2010.07.28 -
CAT-QuickHeal 11.00 2010.07.28 -
ClamAV 0.96.0.3-git 2010.07.28 -
Comodo 5567 2010.07.28 -
DrWeb 5.0.2.03300 2010.07.28 -
Emsisoft 5.0.0.34 2010.07.28 -
eSafe 7.0.17.0 2010.07.27 -
eTrust-Vet 36.1.7745 2010.07.28 -
F-Prot 4.6.1.107 2010.07.28 -
F-Secure 9.0.15370.0 2010.07.28 -
Fortinet 4.1.143.0 2010.07.28 -
GData 21 2010.07.28 -
Ikarus T3.1.1.84.0 2010.07.28 -
Jiangmin 13.0.900 2010.07.28 -
Kaspersky 7.0.0.125 2010.07.28 -
McAfee 5.400.0.1158 2010.07.28 -
McAfee-GW-Edition 2010.1 2010.07.28 -
Microsoft 1.6004 2010.07.28 -
NOD32 5319 2010.07.28 -
Norman 6.05.11 2010.07.28 -
nProtect 2010-07-28.02 2010.07.28 -
Panda 10.0.2.7 2010.07.28 -
PCTools 7.0.3.5 2010.07.28 -
Prevx 3.0 2010.07.28 -
Rising 22.58.02.04 2010.07.28 -
Sophos 4.55.0 2010.07.28 -
Sunbelt 6653 2010.07.28 -
Symantec 20101.1.1.7 2010.07.28 -
TheHacker 6.5.2.1.326 2010.07.27 -
TrendMicro 9.120.0.1004 2010.07.27 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.28 -
VBA32 3.12.12.6 2010.07.27 -
ViRobot 2010.7.23.3956 2010.07.28 -
VirusBuster 5.0.27.0 2010.07.28 -
Additional information
File size: 182656 bytes
MD5   : 1df7f42665c94b825322fae71721130d
SHA1  : b8e7cce36011313b3b908c7ebfa598057847d340
SHA256: fe0dcb728471465b39a42a7511f4133021fba5df88f88bcb5fe2ff34cfd713f9
PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0x39105<br> timedatestamp.....: 0x48025D03 (Sun Apr 13 21:20:35 2008)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 16 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> .text 0x480 0x56F9 0x5700 6.41 96ae3e7d4b54cdd29c0de009162eef7e<br>.rdata 0x5B80 0x504 0x580 5.20 041d70cc3aed48578be848dc47e39316<br>.data 0x6100 0xA78 0xA80 0.87 bac7845573b70c4539c4af447cb1bb75<br>PAGENPNP 0x6B80 0xEC0B 0xEC80 6.46 789cb7199349e9c83c0df68913fc68e4<br>PAGENDSP 0x15800 0x35BC 0x3600 6.37 db6587f00f71f77e939f18bfef43316f<br>PAGENDSM 0x18E00 0x5CCC 0x5D00 6.46 6d72571c2cc585816e8c40c7d955c3ba<br>PAGENDCO 0x1EB00 0x25DD 0x2600 6.37 488075e753b6887aa84713da3e15909a<br>PAGENDSF 0x21100 0x18DA 0x1900 6.35 c353c4eca24461e7f063cc3ff2d42ddb<br>PAGENDSE 0x22A00 0x12A4 0x1300 6.27 98988eaa9cee24a419c2b2f3c43ab1ae<br>PAGENDST 0x23D00 0xD7D 0xD80 6.49 f984580405adf4a4bddefea5c5fa137b<br>PAGENDSA 0x24A80 0x10C6 0x1100 6.37 10d5f5ea54fc04f6ff9ad1f9fb7ec70a<br>.edata 0x25B80 0x2559 0x2580 5.52 4e9be9ea659f7cea15058825f12b52f8<br>PAGE 0x28100 0xF98 0x1000 5.35 e490c30bdc097229eb86dd0e1b45b3a0<br>INIT 0x29100 0x1D14 0x1D80 6.01 c9cd4b5a9abf37c2b10a60181a3f2e15<br>.rsrc 0x2AE80 0x3E0 0x400 3.36 031b20e15238ac104a8c5cf753f0522c<br>.reloc 0x2B280 0x16F0 0x1700 6.75 8d90c4c92326950ec06264028062bbc6<br> <br> ( 0 imports )<br> <br> <br> ( 0 exports )<br>
TrID&nbsp;&nbsp;: File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ThreatExpert: <a href="hxxp://www.threatexpert.com/report.aspx?md5=1df7f42665c94b825322fae71721130d" target="_blank">hxxp://www.threatexpert.com/report.aspx?md5=1df7f42665c94b825322fae71721130d</a>
Symantec&nbsp;reputation: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
ssdeep: 3072:5OEyDbo4nlAaz0FDUR0xwhY0Tj8qf9g7H/EOlvbdTBITTPDsxa6U:hSzkD+0yK0Uqf2dBSEa
sigcheck: publisher....: Microsoft Corporation<br>copyright....: (c) Microsoft Corporation. All rights reserved.<br>product......: Microsoft_ Windows_ Operating System<br>description..: NDIS 5.1 wrapper driver<br>original name: NDIS.SYS<br>internal name: NDIS.SYS<br>file version.: 5.1.2600.5512 (xpsp.080413-0852)<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD&nbsp;&nbsp;: -
RDS&nbsp;&nbsp;&nbsp;: NSRL Reference Data Set<br>-

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Hi,

hier die nächsten Logs von Gmer, Osam und Bootkit. Sorry, das es bei mir immer etwas länger dauert.

Ansonsten noch einen schönen Rest-Sonntag und vielen Dank für die Geduld.

Gruß
Nicole

Log Gmer:
GMER Logfile:
--- --- ---



LOG Osam:
OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru


LOG Bootkit:
.\debug.cpp(238) : Debug log started at 01.08.2010 - 15:52:48
.\boot_cleaner.cpp(675) : Bootkit Remover
.\boot_cleaner.cpp(676) : (c) 2009 eSage Lab
.\boot_cleaner.cpp(677) : www.esagelab.com
.\boot_cleaner.cpp(681) : Program version: 1.1.0.0
.\boot_cleaner.cpp(688) : OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
.\debug.cpp(248) : **********************************************
.\debug.cpp(249) : *** [ LOADED MODULES INFORMATION ] ***********
.\debug.cpp(250) : **********************************************
.\debug.cpp(256) : 0x804d7000 0x00229000 "\WINDOWS\system32\ntoskrnl.exe"
.\debug.cpp(256) : 0x80700000 0x00020d00 "\WINDOWS\system32\hal.dll"
.\debug.cpp(256) : 0xf7b3d000 0x00002000 "\WINDOWS\system32\KDCOM.DLL"
.\debug.cpp(256) : 0xf7a4d000 0x00003000 "\WINDOWS\system32\BOOTVID.dll"
.\debug.cpp(256) : 0xf75ed000 0x0002f000 "ACPI.sys"
.\debug.cpp(256) : 0xf7b3f000 0x00002000 "\WINDOWS\system32\DRIVERS\WMILIB.SYS"
.\debug.cpp(256) : 0xf75dc000 0x00011000 "pci.sys"
.\debug.cpp(256) : 0xf763d000 0x0000a000 "isapnp.sys"
.\debug.cpp(256) : 0xf7a51000 0x00003000 "compbatt.sys"
.\debug.cpp(256) : 0xf7a55000 0x00004000 "\WINDOWS\system32\DRIVERS\BATTC.SYS"
.\debug.cpp(256) : 0xf7c05000 0x00001000 "pciide.sys"
.\debug.cpp(256) : 0xf78bd000 0x00007000 "\WINDOWS\system32\DRIVERS\PCIIDEX.SYS"
.\debug.cpp(256) : 0xf764d000 0x0000b000 "MountMgr.sys"
.\debug.cpp(256) : 0xf75bd000 0x0001f000 "ftdisk.sys"
.\debug.cpp(256) : 0xf78c5000 0x00005000 "PartMgr.sys"
.\debug.cpp(256) : 0xf7a59000 0x00003000 "ACPIEC.sys"
.\debug.cpp(256) : 0xf7c06000 0x00001000 "\WINDOWS\system32\DRIVERS\OPRGHDLR.SYS"
.\debug.cpp(256) : 0xf765d000 0x0000e000 "VolSnap.sys"
.\debug.cpp(256) : 0xf75a5000 0x00018000 "atapi.sys"
.\debug.cpp(256) : 0xf74d7000 0x000ce000 "iaStor.sys"
.\debug.cpp(256) : 0xf766d000 0x00009000 "disk.sys"
.\debug.cpp(256) : 0xf767d000 0x0000d000 "\WINDOWS\system32\DRIVERS\CLASSPNP.SYS"
.\debug.cpp(256) : 0xf74b7000 0x00020000 "fltMgr.sys"
.\debug.cpp(256) : 0xf74a5000 0x00012000 "sr.sys"
.\debug.cpp(256) : 0xf748e000 0x00017000 "KSecDD.sys"
.\debug.cpp(256) : 0xf7401000 0x0008d000 "Ntfs.sys"
.\debug.cpp(256) : 0x8598f000 0x0002c980 "NDIS.sys"
.\debug.cpp(256) : 0xf73b3000 0x0001a000 "Mup.sys"
.\debug.cpp(256) : 0xf76ad000 0x0000a000 "\SystemRoot\system32\DRIVERS\intelppm.sys"
.\debug.cpp(256) : 0xf5c96000 0x00596000 "\SystemRoot\system32\DRIVERS\igxpmp32.sys"
.\debug.cpp(256) : 0xf5c82000 0x00014000 "\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS"
.\debug.cpp(256) : 0xf5c5a000 0x00028000 "\SystemRoot\system32\DRIVERS\HDAudBus.sys"
.\debug.cpp(256) : 0xf5a7d000 0x001dd000 "\SystemRoot\system32\DRIVERS\bcmwl5.sys"
.\debug.cpp(256) : 0xf7925000 0x00006000 "\SystemRoot\system32\DRIVERS\usbuhci.sys"
.\debug.cpp(256) : 0xf5a59000 0x00024000 "\SystemRoot\system32\DRIVERS\USBPORT.SYS"
.\debug.cpp(256) : 0xf792d000 0x00008000 "\SystemRoot\system32\DRIVERS\usbehci.sys"
.\debug.cpp(256) : 0xf72d9000 0x00004000 "\SystemRoot\system32\DRIVERS\CmBatt.sys"
.\debug.cpp(256) : 0xf76bd000 0x0000d000 "\SystemRoot\system32\DRIVERS\i8042prt.sys"
.\debug.cpp(256) : 0xf7935000 0x00007000 "\SystemRoot\system32\DRIVERS\kbdclass.sys"
.\debug.cpp(256) : 0xf5a28000 0x00031000 "\SystemRoot\system32\DRIVERS\SynTP.sys"
.\debug.cpp(256) : 0xf7b5d000 0x00002000 "\SystemRoot\system32\DRIVERS\USBD.SYS"
.\debug.cpp(256) : 0xf76cd000 0x0000d000 "\SystemRoot\system32\DRIVERS\WDFLDR.SYS"
.\debug.cpp(256) : 0xf59ac000 0x0007c000 "\SystemRoot\System32\Drivers\wdf01000.sys"
.\debug.cpp(256) : 0xf793d000 0x00006000 "\SystemRoot\system32\DRIVERS\mouclass.sys"
.\debug.cpp(256) : 0xf72d5000 0x00003000 "\SystemRoot\system32\DRIVERS\wmiacpi.sys"
.\debug.cpp(256) : 0xf58bb000 0x000f1000 "\SystemRoot\system32\DRIVERS\btkrnl.sys"
.\debug.cpp(256) : 0xf7d56000 0x00001000 "\SystemRoot\system32\DRIVERS\audstub.sys"
.\debug.cpp(256) : 0xf76dd000 0x0000d000 "\SystemRoot\system32\DRIVERS\rasl2tp.sys"
.\debug.cpp(256) : 0xf72d1000 0x00003000 "\SystemRoot\system32\DRIVERS\ndistapi.sys"
.\debug.cpp(256) : 0xf58a4000 0x00017000 "\SystemRoot\system32\DRIVERS\ndiswan.sys"
.\debug.cpp(256) : 0xf76ed000 0x0000b000 "\SystemRoot\system32\DRIVERS\raspppoe.sys"
.\debug.cpp(256) : 0xf76fd000 0x0000c000 "\SystemRoot\system32\DRIVERS\raspptp.sys"
.\debug.cpp(256) : 0xf7945000 0x00005000 "\SystemRoot\system32\DRIVERS\TDI.SYS"
.\debug.cpp(256) : 0xf5893000 0x00011000 "\SystemRoot\system32\DRIVERS\psched.sys"
.\debug.cpp(256) : 0xf770d000 0x00009000 "\SystemRoot\system32\DRIVERS\msgpc.sys"
.\debug.cpp(256) : 0xf794d000 0x00005000 "\SystemRoot\system32\DRIVERS\ptilink.sys"
.\debug.cpp(256) : 0xf7955000 0x00005000 "\SystemRoot\system32\DRIVERS\raspti.sys"
.\debug.cpp(256) : 0xf771d000 0x0000a000 "\SystemRoot\system32\DRIVERS\termdd.sys"
.\debug.cpp(256) : 0xf7b5f000 0x00002000 "\SystemRoot\system32\DRIVERS\swenum.sys"
.\debug.cpp(256) : 0xf5870000 0x00023000 "\SystemRoot\system32\DRIVERS\ks.sys"
.\debug.cpp(256) : 0xf5812000 0x0005e000 "\SystemRoot\system32\DRIVERS\update.sys"
.\debug.cpp(256) : 0xf72c1000 0x00004000 "\SystemRoot\system32\DRIVERS\mssmbios.sys"
.\debug.cpp(256) : 0xf79ad000 0x00008000 "\SystemRoot\system32\DRIVERS\btport.sys"
.\debug.cpp(256) : 0xf62ac000 0x0000a000 "\SystemRoot\System32\Drivers\NDProxy.SYS"
.\debug.cpp(256) : 0xf787d000 0x0000f000 "\SystemRoot\system32\DRIVERS\usbhub.sys"
.\debug.cpp(256) : 0xa91fe000 0x004f9000 "\SystemRoot\system32\drivers\RtkHDAud.sys"
.\debug.cpp(256) : 0xa91da000 0x00024000 "\SystemRoot\system32\drivers\portcls.sys"
.\debug.cpp(256) : 0xf788d000 0x0000f000 "\SystemRoot\system32\drivers\drmk.sys"
.\debug.cpp(256) : 0xa5774000 0x00003000 "\SystemRoot\System32\Drivers\i2omgmt.SYS"
.\debug.cpp(256) : 0xf7b6f000 0x00002000 "\SystemRoot\System32\Drivers\Fs_Rec.SYS"
.\debug.cpp(256) : 0xa4e15000 0x00001000 "\SystemRoot\System32\Drivers\Null.SYS"
.\debug.cpp(256) : 0xf7b71000 0x00002000 "\SystemRoot\System32\Drivers\Beep.SYS"
.\debug.cpp(256) : 0xa48b1000 0x00006000 "\SystemRoot\System32\drivers\vga.sys"
.\debug.cpp(256) : 0xf7b73000 0x00002000 "\SystemRoot\System32\Drivers\mnmdd.SYS"
.\debug.cpp(256) : 0xf7b75000 0x00002000 "\SystemRoot\System32\DRIVERS\RDPCDD.sys"
.\debug.cpp(256) : 0xa48a9000 0x00005000 "\SystemRoot\System32\Drivers\Msfs.SYS"
.\debug.cpp(256) : 0xa48a1000 0x00008000 "\SystemRoot\System32\Drivers\Npfs.SYS"
.\debug.cpp(256) : 0xa5770000 0x00003000 "\SystemRoot\system32\DRIVERS\rasacd.sys"
.\debug.cpp(256) : 0xa416a000 0x00013000 "\SystemRoot\system32\DRIVERS\ipsec.sys"
.\debug.cpp(256) : 0xa4111000 0x00059000 "\SystemRoot\system32\DRIVERS\tcpip.sys"
.\debug.cpp(256) : 0xa40e9000 0x00028000 "\SystemRoot\system32\DRIVERS\netbt.sys"
.\debug.cpp(256) : 0xa40c3000 0x00026000 "\SystemRoot\system32\DRIVERS\ipnat.sys"
.\debug.cpp(256) : 0xa40a1000 0x00022000 "\SystemRoot\System32\drivers\afd.sys"
.\debug.cpp(256) : 0xa49b0000 0x00009000 "\SystemRoot\system32\DRIVERS\netbios.sys"
.\debug.cpp(256) : 0xa49a0000 0x00009000 "\SystemRoot\system32\DRIVERS\wanarp.sys"
.\debug.cpp(256) : 0xa4076000 0x0002b000 "\SystemRoot\system32\DRIVERS\rdbss.sys"
.\debug.cpp(256) : 0xa4006000 0x00070000 "\SystemRoot\system32\DRIVERS\mrxsmb.sys"
.\debug.cpp(256) : 0xa4970000 0x0000b000 "\SystemRoot\System32\Drivers\Fips.SYS"
.\debug.cpp(256) : 0xa4891000 0x00007000 "\SystemRoot\system32\DRIVERS\USBSTOR.SYS"
.\debug.cpp(256) : 0xa3e58000 0x001ae000 "\SystemRoot\system32\DRIVERS\snp2uvc.sys"
.\debug.cpp(256) : 0xa4940000 0x0000d000 "\SystemRoot\system32\DRIVERS\STREAM.SYS"
.\debug.cpp(256) : 0xa4889000 0x00007000 "\SystemRoot\system32\DRIVERS\sncduvc.SYS"
.\debug.cpp(256) : 0xa3d71000 0x000ce000 "\SystemRoot\System32\Drivers\dump_iaStor.sys"
.\debug.cpp(256) : 0xbf800000 0x001c4000 "\SystemRoot\System32\win32k.sys"
.\debug.cpp(256) : 0xf736b000 0x00003000 "\SystemRoot\System32\drivers\Dxapi.sys"
.\debug.cpp(256) : 0xa4503000 0x00005000 "\SystemRoot\System32\watchdog.sys"
.\debug.cpp(256) : 0xbf000000 0x00012000 "\SystemRoot\System32\drivers\dxg.sys"
.\debug.cpp(256) : 0xa41b7000 0x00001000 "\SystemRoot\System32\drivers\dxgthk.sys"
.\debug.cpp(256) : 0xbf024000 0x0002b000 "\SystemRoot\System32\igxpgd32.dll"
.\debug.cpp(256) : 0xbf012000 0x00012000 "\SystemRoot\System32\igxprd32.dll"
.\debug.cpp(256) : 0xbf04f000 0x00198000 "\SystemRoot\System32\igxpdv32.DLL"
.\debug.cpp(256) : 0xbf1e7000 0x00293000 "\SystemRoot\System32\igxpdx32.DLL"
.\debug.cpp(256) : 0xbffa0000 0x00046000 "\SystemRoot\System32\ATMFD.DLL"
.\debug.cpp(256) : 0xa8b7b000 0x00004000 "\SystemRoot\system32\DRIVERS\ndisuio.sys"
.\debug.cpp(256) : 0xa3cfd000 0x00024000 "\SystemRoot\System32\Drivers\Fastfat.SYS"
.\debug.cpp(256) : 0xa3c80000 0x0002d000 "\SystemRoot\system32\DRIVERS\mrxdav.sys"
.\debug.cpp(256) : 0xa3b86000 0x00052000 "\SystemRoot\system32\DRIVERS\srv.sys"
.\debug.cpp(256) : 0xa3b21000 0x00015000 "\SystemRoot\system32\drivers\wdmaud.sys"
.\debug.cpp(256) : 0xa8a77000 0x0000f000 "\SystemRoot\system32\drivers\sysaudio.sys"
.\debug.cpp(256) : 0xa3773000 0x00010000 "\SystemRoot\System32\Drivers\Cdfs.SYS"
.\debug.cpp(256) : 0xa3abf000 0x00004000 "\SystemRoot\system32\DRIVERS\asyncmac.sys"
.\debug.cpp(256) : 0xa2805000 0x0002b000 "\SystemRoot\system32\drivers\kmixer.sys"
.\debug.cpp(256) : 0x7c910000 0x000b9000 "\WINDOWS\system32\ntdll.dll"
.\debug.cpp(263) : **********************************************
.\debug.cpp(307) : *** [ DEVICE OBJECTS INFORMATION ] ***********
.\debug.cpp(308) : **********************************************
.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDIS"
.\debug.cpp(400) : Destination="\Device\Ndis"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&2695e4f&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_27CA&SUBSYS_022F1025&REV_02#3&b1bfb68&0&EA#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0010"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB20#4&57608fd&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY1"
.\debug.cpp(400) : Destination="\Device\Video0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ffbb6e3f-ccfe-4d84-90d9-421418b03a8e}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY2"
.\debug.cpp(400) : Destination="\Device\Video1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{71985f4a-1ca1-11d3-9cc8-00c04f7971e0}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPPOEMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\0000002f"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0C#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination="\Device\00000041"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_10EC&DEV_0272&SUBSYS_1025022F&REV_1000#4&32214977&0&0001#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\0000006c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ip"
.\debug.cpp(400) : Destination="\Device\Ip"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY3"
.\debug.cpp(400) : Destination="\Device\Video2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{AE424D83-FACC-4F17-824C-7056AC1C1240}"
.\debug.cpp(400) : Destination="\Device\{AE424D83-FACC-4F17-824C-7056AC1C1240}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPSECDev"
.\debug.cpp(400) : Destination="\Device\IPSEC"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY4"
.\debug.cpp(400) : Destination="\Device\Video3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_NDISWANIP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\0000002e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0D#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination="\Device\00000042"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{eeab7790-c514-11d1-b42b-00805fc1270e}#asyncmac#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\KSENUM#0000000a"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDPROXY"
.\debug.cpp(400) : Destination="\Device\NDProxy"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\DISPLAY5"
.\debug.cpp(400) : Destination="\Device\Video4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_27AE&SUBSYS_022F1025&REV_03#3&b1bfb68&0&10#{5b45201d-f2f2-4f3b-85bb-30ff1f953599}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0001"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9aa4a2cc-81e0-4cfd-802f-0f74526d2bd3}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{41867de8-45a6-11df-b29d-00262214b69c}"
.\debug.cpp(400) : Destination="\Device\Harddisk1\DP(1)0-0+4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3c0d501a-140b-11d1-b40f-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{fd0a5af4-b41d-11d2-9c95-00c04f7971e0}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0A#1#{72631e54-78a4-11d0-bcf7-00aa00b7b32a}"
.\debug.cpp(400) : Destination="\Device\00000058"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\CompositeBattery"
.\debug.cpp(400) : Destination="\Device\CompositeBattery"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WMIDataDevice"
.\debug.cpp(400) : Destination="\Device\WMIDataDevice"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\F:"
.\debug.cpp(400) : Destination="\Device\Harddisk1\DP(1)0-0+4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0303#4&38462492&0#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\00000062"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#SYN1B1C#4&38462492&0#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\00000063"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{dff220f3-f70f-11d0-b917-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_10EC&DEV_0272&SUBSYS_1025022F&REV_1000#4&32214977&0&0001#{dda54a40-1e4c-11d1-a050-405705c10000}"
.\debug.cpp(400) : Destination="\Device\0000006c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{E028B253-A677-4408-A6DF-7626BF9CBCCF}"
.\debug.cpp(400) : Destination="\Device\{E028B253-A677-4408-A6DF-7626BF9CBCCF}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PIPE"
.\debug.cpp(400) : Destination="\Device\NamedPipe"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\BTKRNL"
.\debug.cpp(400) : Destination="\Device\BTKRNL"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c5066e-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) : Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{2eb07ea0-7e70-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\COM3"
.\debug.cpp(400) : Destination="\Device\BtPort0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\UNC"
.\debug.cpp(400) : Destination="\Device\Mup"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPNAT"
.\debug.cpp(400) : Destination="\Device\IPNAT"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{95C7A0A0-3094-11D7-A202-00508B9D7D5A}#BLUETOOTHPORT#1&30ee4ad&0&1000000000000#{86e0d1e0-8089-11d0-9ce4-08003e301f73}"
.\debug.cpp(400) : Destination="\Device\00000068"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{0a4252a0-7e70-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PSched"
.\debug.cpp(400) : Destination="\Device\PSched"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD0"
.\debug.cpp(400) : Destination="\Device\USBFDO-0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{6994ad04-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Tcp"
.\debug.cpp(400) : Destination="\Device\Tcp"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\I2OExec"
.\debug.cpp(400) : Destination="\Device\I2OExec"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{3F34FCE0-83DF-4B00-B4CF-3C55F86DBD49}"
.\debug.cpp(400) : Destination="\Device\{3F34FCE0-83DF-4B00-B4CF-3C55F86DBD49}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgrMsg"
.\debug.cpp(400) : Destination="\FileSystem\Filters\FltMgrMsg"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD1"
.\debug.cpp(400) : Destination="\Device\USBFDO-1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_14E4&DEV_4315&SUBSYS_E01B105B&REV_01#4&192ac53f&0&00E0#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0018"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\LCD"
.\debug.cpp(400) : Destination="\Device\VideoPdo0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PTIMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000035"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive0"
.\debug.cpp(400) : Destination="\Device\Harddisk0\DR0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_0c45&Pid_62c0#5&148f05a6&0&2#{6994ad05-93ef-11d0-a3cc-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\USBPDO-6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PRN"
.\debug.cpp(400) : Destination="\DosDevices\LPT1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD2"
.\debug.cpp(400) : Destination="\Device\USBFDO-2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{cf1dda2c-9743-11d0-a3ee-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{53172480-4791-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PhysicalDrive1"
.\debug.cpp(400) : Destination="\Device\Harddisk1\DR3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\sysaudio"
.\debug.cpp(400) : Destination="\Device\sysaudio"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\fsWrap"
.\debug.cpp(400) : Destination="\Device\FsWrap"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0002#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000033"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD3"
.\debug.cpp(400) : Destination="\Device\USBFDO-3"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{97ebaacb-95bd-11d0-a3ea-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PSCHEDMP#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000031"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HCD4"
.\debug.cpp(400) : Destination="\Device\USBFDO-4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{18AFC764-6F30-45FF-BCA6-4A112AAD4017}"
.\debug.cpp(400) : Destination="\Device\{18AFC764-6F30-45FF-BCA6-4A112AAD4017}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#FixedButton#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination="\Device\00000045"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Global"
.\debug.cpp(400) : Destination="\GLOBAL??"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_0c45&Pid_62c0#5&148f05a6&0&2#{fb6c428a-0353-11d1-905f-0000c0cc16ba}"
.\debug.cpp(400) : Destination="\Device\USBPDO-6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#Volume#1&30a96598&0&SignatureAF529DCFOffset1C0200000Length2383000000#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50671-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) : Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_27CC&SUBSYS_022F1025&REV_02#3&b1bfb68&0&EF#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0012"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_27A6&SUBSYS_022F1025&REV_03#3&b1bfb68&0&11#{5b45201d-f2f2-4f3b-85bb-30ff1f953599}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{1FFF43CB-CFDC-417E-B000-A952304BD0BF}"
.\debug.cpp(400) : Destination="\Device\{1FFF43CB-CFDC-417E-B000-A952304BD0BF}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#ThermalZone#THRM#{4afa3d51-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination="\Device\00000040"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{3e227e76-690d-11d2-8161-0000f8775bf1}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad809c00-7b88-11d0-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{9ea331fa-b91b-45f8-9285-bd2bc77afcde}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_10EC&DEV_0272&SUBSYS_1025022F&REV_1000#4&32214977&0&0001#{65e8773e-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\0000006c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#RemovableMedia#7&15e355ff&0&RM#{53f5630a-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Harddisk1\DP(1)0-0+4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_0c45&Pid_62c0#5&148f05a6&0&2#{a5dcbf10-6530-11d2-901f-00c04fb951ed}"
.\debug.cpp(400) : Destination="\Device\USBPDO-6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{07dad660-22f1-11d1-a9f4-00c04fbbde8f}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MountPointManager"
.\debug.cpp(400) : Destination="\Device\MountPointManager"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IDE#DiskWDC_WD1600BEVT-22ZCT0___________________11.01A11#4&13b7eae7&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Ide\IAAStorageDevice-0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{d6c50674-72c1-11d2-9755-0000f8004788}"
.\debug.cpp(400) : Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&f20ca68&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_L2TPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\0000002d"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#PNP0C0E#2&daba3ff&0#{4afa3d53-74a7-11d0-be5e-00a0c9062857}"
.\debug.cpp(400) : Destination="\Device\00000043"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\WanArp"
.\debug.cpp(400) : Destination="\Device\WANARP"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#ftdisk#0000#{53f5630e-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\00000004"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_10EC&DEV_0272&SUBSYS_1025022F&REV_1000#4&32214977&0&0001#{65e8773d-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\0000006c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_27CB&SUBSYS_022F1025&REV_02#3&b1bfb68&0&EB#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0011"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\STORAGE#RemovableMedia#7&15e355ff&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\Harddisk1\DP(1)0-0+4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\HDAUDIO#FUNC_01&VEN_10EC&DEV_0272&SUBSYS_1025022F&REV_1000#4&32214977&0&0001#{86841137-ed8e-4d97-9975-f2ed56b4430e}"
.\debug.cpp(400) : Destination="\Device\0000006c"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISWANIP"
.\debug.cpp(400) : Destination="\Device\NdisWanIp"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ASYNCMAC"
.\debug.cpp(400) : Destination="\Device\ASYNCMAC"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{bf963d80-c559-11d0-8a2b-00a0c9255ac1}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi0:"
.\debug.cpp(400) : Destination="\Device\Ide\IdePort0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SW#{a7c7a5b0-5af3-11d1-9ced-00a024bf0407}#{9B365890-165F-11D0-A195-0020AFD156E4}#{fbf6f530-07b9-11d2-a71e-0000f8004788}"
.\debug.cpp(400) : Destination="\Device\KSENUM#00000002"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_27C8&SUBSYS_022F1025&REV_02#3&b1bfb68&0&E8#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0008"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{372BC8CF-E61A-4EE5-B5E0-AA74048D48FA}"
.\debug.cpp(400) : Destination="\Device\{372BC8CF-E61A-4EE5-B5E0-AA74048D48FA}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&2f9ddbdf&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-4"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{4747b320-62ce-11cf-a5d6-28db04c10000}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#MS_PPTPMINIPORT#0000#{ad498944-762f-11d0-8dcb-00c04fc3358c}"
.\debug.cpp(400) : Destination="\Device\00000030"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{4EF679F4-3E0B-477A-8999-11B11B6A4866}"
.\debug.cpp(400) : Destination="\Device\{4EF679F4-3E0B-477A-8999-11B11B6A4866}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK1"
.\debug.cpp(400) : Destination="\Device\ParTechInc0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Scsi1:"
.\debug.cpp(400) : Destination="\Device\Ide\iaStor0"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#SYSTEM#0000#{a7c7a5b1-5af3-11d1-9ced-00a024bf0407}"
.\debug.cpp(400) : Destination="\Device\00000038"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NDISTAPI"
.\debug.cpp(400) : Destination="\Device\NdisTapi"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NdisWan"
.\debug.cpp(400) : Destination="\Device\NdisWan"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_0c45&Pid_62c0#5&148f05a6&0&2#{65e8773d-8f56-11d0-a3b9-00a0c9223196}"
.\debug.cpp(400) : Destination="\Device\USBPDO-6"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#Vid_058f&Pid_6366#058F63666433#{a5dcbf10-6530-11d2-901f-00c04fb951ed}"
.\debug.cpp(400) : Destination="\Device\USBPDO-5"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\IPMULTICAST"
.\debug.cpp(400) : Destination="\Device\IPMULTICAST"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USB#ROOT_HUB#4&58d3a8f&0#{f18a0e88-c30c-11d0-8815-00a0c906bed8}"
.\debug.cpp(400) : Destination="\Device\USBPDO-1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK2"
.\debug.cpp(400) : Destination="\Device\ParTechInc1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Shadow"
.\debug.cpp(400) : Destination="\Device\LanmanRedirector"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PTILINK3"
.\debug.cpp(400) : Destination="\Device\ParTechInc2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Volume{e6f96c90-e9b2-11de-b1ab-806d6172696f}"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#GenuineIntel_-_x86_Family_6_Model_28#_0#{97fadb10-4e33-40ae-359c-8bef029dbdd0}"
.\debug.cpp(400) : Destination="\Device\0000003d"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FltMgr"
.\debug.cpp(400) : Destination="\FileSystem\Filters\FltMgr"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\FtControl"
.\debug.cpp(400) : Destination="\Device\FtControl"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\C:"
.\debug.cpp(400) : Destination="\Device\HarddiskVolume2"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\USBSTOR#Disk&Ven_Multiple&Prod_Card__Reader&Rev_1.00#058F63666433&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}"
.\debug.cpp(400) : Destination="\Device\00000075"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\MAILSLOT"
.\debug.cpp(400) : Destination="\Device\MailSlot"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\AUX"
.\debug.cpp(400) : Destination="\DosDevices\COM1"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\ACPI#GenuineIntel_-_x86_Family_6_Model_28#_1#{97fadb10-4e33-40ae-359c-8bef029dbdd0}"
.\debug.cpp(400) : Destination="\Device\0000003e"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Ndisuio"
.\debug.cpp(400) : Destination="\Device\Ndisuio"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_MOU#0000#{378de44c-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\00000037"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\NUL"
.\debug.cpp(400) : Destination="\Device\Null"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\GLOBALROOT"
.\debug.cpp(400) : Destination=""

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\{E9656BF0-19C9-4D72-9B85-82D851500DC1}"
.\debug.cpp(400) : Destination="\Device\{E9656BF0-19C9-4D72-9B85-82D851500DC1}"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\Root#RDP_KBD#0000#{884b96c3-56ef-11d1-bc8c-00a0c91405dd}"
.\debug.cpp(400) : Destination="\Device\00000036"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\SYNTP"
.\debug.cpp(400) : Destination="\Device\SynTP"

.\debug.cpp(369) : SymbolicLink "\GLOBAL??\PCI#VEN_8086&DEV_27C9&SUBSYS_022F1025&REV_02#3&b1bfb68&0&E9#{3abf6f2d-71c4-462a-8a92-1e6861e6af27}"
.\debug.cpp(400) : Destination="\Device\NTPNP_PCI0009"

.\debug.cpp(451) : **********************************************
.\boot_cleaner.cpp(1077) : System volume is \\.\C:
.\boot_cleaner.cpp(1113) : \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000001`c0200000
.\boot_cleaner.cpp(424) : Boot sector MD5 is: 7ec8ccc8b697de5abf23719ed2fc41fa
.\boot_cleaner.cpp(1151) :
.\boot_cleaner.cpp(1152) : Size Device Name MBR Status
.\boot_cleaner.cpp(1153) : --------------------------------------------
.\boot_cleaner.cpp(1197) : 149 GB \\.\PhysicalDrive0 Unknown boot code
.\boot_cleaner.cpp(1203) :
.\boot_cleaner.cpp(1209) : Unknown boot code has been found on some of your physical disks.
.\boot_cleaner.cpp(1211) : To inspect the boot code manually, dump the master boot sector:
.\boot_cleaner.cpp(1212) : remover.exe dump <device_name> [output_file]
.\boot_cleaner.cpp(1216) : To disinfect the master boot sector, use the following command:
.\boot_cleaner.cpp(1217) : remover.exe fix <device_name>
.\boot_cleaner.cpp(1220) :
.\boot_cleaner.cpp(1242) : Done;

Lad Dir bitte diese ndis.sys => File-Upload.net - ndis.sys
direkt auf C:\ herunter.

Danach den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken

Hi,

hab keinen Plan ob ich alles richtig gemacht habe, aber hier erstmal die nächste Logdatei

Gruß
Nicole


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Aug 02 08:27:28 2010

08:27:28: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Aug 02 08:27:52 2010

08:27:52: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open file "C:\WINDOWS\system32\DRIVERS\btwdndis.sys" for move operation
File move operation "C:\WINDOWS\system32\DRIVERS\btwdndis.sys|C:\WINDOWS\system32\DRIVERS\btwdndis.sys.vir" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Error: could not open file "C:\WINDOWS\system32\DRIVERS\ndis.sys" for move operation
File move operation "C:\WINDOWS\system32\DRIVERS\ndis.sys|C:\WINDOWS\system32\DRIVERS\ndis.sys.vir" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Error: could not open file "C:\WINDOWS\system32\dllcache\ndis.sys" for move operation
File move operation "C:\WINDOWS\system32\dllcache\ndis.sys|C:\WINDOWS\system32\dllcache\ndis.sys.vir" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Error: could not open file "c:\ndis.sys" for move operation
File move operation "c:\ndis.sys|C:\WINDOWS\system32\DRIVERS\ndis.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Completed script processing.

*******************

Finished! Terminate.

Probiers bitte nochmal aber mit diesem script:

Hi,

hier die neue Avenger-Datei

Gruß
Nicole

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open file "C:\WINDOWS\system32\DRIVERS\btwdndis.sys"
Deletion of file "C:\WINDOWS\system32\DRIVERS\btwdndis.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Error: could not open file "C:\WINDOWS\system32\DRIVERS\ndis.sys"
Deletion of file "C:\WINDOWS\system32\DRIVERS\ndis.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Error: could not open file "C:\WINDOWS\system32\dllcache\ndis.sys"
Deletion of file "C:\WINDOWS\system32\dllcache\ndis.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Error: file "files to move" not found!
Deletion of file "files to move" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open file "c:\ndis.sys | C:\WINDOWS\system32\DRIVERS\ndis.sys"
Deletion of file "c:\ndis.sys | C:\WINDOWS\system32\DRIVERS\ndis.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Completed script processing.

*******************

Finished! Terminate.

Nochmal Hi,

hier der Link für File-Upload

hxxp://www.file-upload.net/download-2719347/backup-03.08.2010-12.09.32-98.zip.html


Gruß
Nicole

Wie kommen so leider nicht weiter. Du hast doch ein Netbook oder?
Probier mal bitte über Ubuntu einen startbaren USB-Stick zu erstellen. Anleitung hier => Live-USB ? Wiki ? ubuntuusers.de

Sag Bescheid wenn Du fertig bist.

Das könnte durchaus mal wieder länger dauern, wenn ich das recht betrachte:)

Der USB-Stick sollte wahrscheinlich leer sein?
Muß ich Daten, die ich noch brauche, vorher auf meinen festen PC übertragen?

Gruß
Nicole

Hol Dir einen Stick oder sicher die Daten auf einem anderem Rechner (zur Sicherheit)
Der Stick muss natürlich formatiert werden!