D:\autorun.inf
 

Hallo!

Seit ein paar Tagen bekomme ich, wenn ich meinen Arbeitsplatz öffnen, von Antivir die Meldung:
D:\autorun.inf wurde gestoppt

Ich habe keine Ahnung, was ich jetzt tun kann/ soll ... Danke schon mal für die Hilfe!

Hier mein ein aktuelles hijackthis.log file:

HiJackthis Logfile:
--- --- ---


Viele Grüße, Luise

Hi,

Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html
Führe einen Systemscan durch und poste das Ergebnis!

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt

• Poste die Logfiles hier in den Thread

chris

danke für die schnelle antwort!
hier ist der Report des avira Systemscans:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 30. Juli 2010 09:37

Es wird nach 2656823 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : S*

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 20:41:35
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 20:41:35
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 18:45:58
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 06:33:12
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 19:22:12
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 09:25:31
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 09:25:45
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 06:37:49
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 06:37:49
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 06:37:49
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 06:37:49
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 06:37:49
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 06:37:50
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 05:13:13
VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 05:17:51
VBASE015.VDF : 7.10.10.0 2048 Bytes 29.07.2010 05:17:51
VBASE016.VDF : 7.10.10.1 2048 Bytes 29.07.2010 05:17:51
VBASE017.VDF : 7.10.10.2 2048 Bytes 29.07.2010 05:17:51
VBASE018.VDF : 7.10.10.3 2048 Bytes 29.07.2010 05:17:51
VBASE019.VDF : 7.10.10.4 2048 Bytes 29.07.2010 05:17:51
VBASE020.VDF : 7.10.10.5 2048 Bytes 29.07.2010 05:17:51
VBASE021.VDF : 7.10.10.6 2048 Bytes 29.07.2010 05:17:51
VBASE022.VDF : 7.10.10.7 2048 Bytes 29.07.2010 05:17:51
VBASE023.VDF : 7.10.10.8 2048 Bytes 29.07.2010 05:17:51
VBASE024.VDF : 7.10.10.9 2048 Bytes 29.07.2010 05:17:51
VBASE025.VDF : 7.10.10.10 2048 Bytes 29.07.2010 05:17:52
VBASE026.VDF : 7.10.10.11 2048 Bytes 29.07.2010 05:17:52
VBASE027.VDF : 7.10.10.12 2048 Bytes 29.07.2010 05:17:52
VBASE028.VDF : 7.10.10.13 2048 Bytes 29.07.2010 05:17:52
VBASE029.VDF : 7.10.10.14 2048 Bytes 29.07.2010 05:17:52
VBASE030.VDF : 7.10.10.15 2048 Bytes 29.07.2010 05:17:52
VBASE031.VDF : 7.10.10.18 25600 Bytes 29.07.2010 05:17:52
Engineversion : 8.2.4.32
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 05:17:59
AESCRIPT.DLL : 8.1.3.42 1364347 Bytes 30.07.2010 05:17:59
AESCN.DLL : 8.1.6.1 127347 Bytes 08.06.2010 09:26:00
AESBX.DLL : 8.1.3.1 254324 Bytes 08.06.2010 09:26:02
AERDL.DLL : 8.1.8.2 614772 Bytes 24.07.2010 06:38:29
AEPACK.DLL : 8.2.3.3 471414 Bytes 30.07.2010 05:17:58
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 24.07.2010 06:38:19
AEHEUR.DLL : 8.1.2.10 2830711 Bytes 30.07.2010 05:17:57
AEHELP.DLL : 8.1.13.2 242039 Bytes 24.07.2010 06:37:59
AEGEN.DLL : 8.1.3.18 393589 Bytes 30.07.2010 05:17:53
AEEMU.DLL : 8.1.2.0 393588 Bytes 08.06.2010 09:25:50
AECORE.DLL : 8.1.16.2 192887 Bytes 24.07.2010 06:37:55
AEBB.DLL : 8.1.1.0 53618 Bytes 08.06.2010 09:25:49
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Freitag, 30. Juli 2010 09:37

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'update.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'WindowsXP-KB967715-x86-DEU.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'df3f0385-6894-44c2-8ee5-c2675a6e620a.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '146' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'Acrotray.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '161' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqwmiex.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsiService_2.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '168' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2409' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\Flash_Disinfector.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2

[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\Flash_Disinfector.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2

[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\Flash_Disinfector.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2

[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\Flash_Disinfector.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2

[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\Flash_Disinfector.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2

[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\Flash_Disinfector.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2

[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\Flash_Disinfector.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2

[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\Flash_Disinfector.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2

[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\Flash_Disinfector.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2

[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\Flash_Disinfector.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2

[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\Flash_Disinfector.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2

[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\Flash_Disinfector.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2

[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\Flash_Disinfector.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2

[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\Flash_Disinfector.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2

[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\Flash_Disinfector.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2

[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\Flash_Disinfector.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2

[0] Archivtyp: RAR SFX (self extracting)
--> nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
Beginne mit der Suche in 'D:\' <HP_RECOVERY>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\*\Eigene Dateien\Downloads\Flash_Disinfector.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e787ab8.qua' verschoben!


Ende des Suchlaufs: Freitag, 30. Juli 2010 16:12
Benötigte Zeit: 6:31:57 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

20927 Verzeichnisse wurden überprüft
1250292 Dateien wurden geprüft
16 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1250276 Dateien ohne Befall
22016 Archive wurden durchsucht
0 Warnungen
1 Hinweise
556853 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden



der Rest kommt noch!

Hi,

was macht MAM und OTL?

chris

MAM ist jetzt endlich durch. Hier die Log Datei

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4370

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

31.07.2010 07:53:23
mbam-log-2010-07-31 (07-53-23).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 305253
Laufzeit: 8 Stunde(n), 2 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (hxxp://www.losstarten.de/) Good: (hxxp://www.Google.com) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Titzi und Lui\Desktop\CryptLoad_1.1.6\CryptLoad_1.1.6\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C4FCE84D-A0E5-4E05-ACEB-64F10AC56126}\RP72\A0011802.exe (Hacktool.Keygen) -> Quarantined and deleted successfully.

und jetzt auch OTL:

OTL EXTRAS Logfile:
--- --- ---

OTL Logfile:
--- --- ---

Hi,

hmm, nichts auffälliges...
Hat der Rechner FAT32? Du solltest die Fesplatte prüfen lassen...

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Festplatte prüfen (XP):
Arbeitsplatz-Datenträger mit Rechts Anklicken->Eigenschaften->Extras->Jetzt Prüfen: Beide Kästchen anklicken das dort ein Haken erscheint -> dann OK. Falls eine Fehlermeldung kommt ,diese mit Ja bestätigen und alle Fenster schliessen. Neustart Durchführen der Datenträger wird dann beim Neustart überprüft (das kann sehr lange gehen)

Was treibt der Rechner so, ist noch mal eine Meldung aufgetaucht?

chris

Hi,
hier das Ergebnis von OTL

All processes killed
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"FirstRunDisabled" | dword:0x00 /E : value set successfully!
========== FILES ==========
File move failed. D:\Autorun.inf scheduled to be moved on reboot.
========== COMMANDS ==========

[EMPTYTEMP]

User: admin
->Temp folder emptied: 601963321 bytes
->Temporary Internet Files folder emptied: 8432489 bytes
->Java cache emptied: 19424395 bytes
->FireFox cache emptied: 19889650 bytes
->Flash cache emptied: 781 bytes

User: Administrator
->Temp folder emptied: 0 bytes

User: All Users

User: Besitzer
->Temp folder emptied: 746 bytes

User: Default User
->Temp folder emptied: 0 bytes

User: Gast
->Temp folder emptied: 103839 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 38964759 bytes
->Flash cache emptied: 889 bytes

User: HP
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 2879455 bytes
->FireFox cache emptied: 58984969 bytes
->Apple Safari cache emptied: 1186816 bytes

User: LocalService
->Temp folder emptied: 82513 bytes
->Temporary Internet Files folder emptied: 16786 bytes

User: NetworkService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 583320307 bytes

User: Titzi und Lui
->Temp folder emptied: 364641248 bytes
->Temporary Internet Files folder emptied: 75503412 bytes
->Java cache emptied: 358216 bytes
->FireFox cache emptied: 81458974 bytes
->Flash cache emptied: 40310 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 39138 bytes
%systemroot%\System32 .tmp files removed: 2953095 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3432545 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1.777,00 mb


OTL by OldTimer - Version 3.2.9.1 log created on 07312010_091855

Files\Folders moved on Reboot...
File move failed. D:\Autorun.inf scheduled to be moved on reboot.

Registry entries deleted on Reboot...

die Meldung taucht immer wieder auf!
Sonst funktioniert der Rechner tadellos ... bin am überlegen, ob ich das System neu aufsetze ...

Hi,

d.h. die Datei auf D ist nicht zu löschen... Kannst Du die einsehen bzw. in einen Texteditor laden?

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.


MBR-Check
Lade Dir http://ad13.geekstogo.com/MBRCheck.exe und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.

• Vista und Win7 User mit Rechtsklick "als Administrator starten"

• Das Tool braucht nur eine Sekunde.

• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

chris