Malware Angriff, Beseitigung nicht möglich
 

Hallo,

habe ein heftiges Problem. War am surfen, plötzlich kam eine Antivir Meldung, dass ich nen Trojaner habe. Mein Desktop wurde grau mit einem kleinen Bild: Ihr System ist infiziert. Auch in der Taskleiste die ganz Zeit eine fake-Meldung, dass der PC infiziert ist, sogar mit Rechtschreibfehlern etc, also fake.
Ich habe versucht, mit Malwarebytes einen Scan durchzuführen, aber das Programm schließt automatisch und danach kann ich es nicht mehr öffnen. Habe mir dann von Emsisoft das Programm geladen, aber der findet nichts.
Internetverbindung habe ich getrennt. Auch die Sachen mit OTH habe ich probiert, aber die Programme kann ich nicht nutzen, da der Virus die,denke ich mal, blockt oder so. Und auch das umbenennen von mbam.exe etc nützt nichts,
Nun, was kann ich machen? Gibt es noch andere Programme, die das vielleicht beheben könnten? und wenn nur noch das Neuaufsetzen hilft, kann ich eine externe Festplatte zur Datensicherung anschließen, oder ist die dann auch sofort infiziert?

Ich hoffe, jemand kann mir helfen. Grüße

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
- berichte ob du damit Erfolg hast
► - auch, ob die SWH funktioniert hat, bzw ob Du das System auf einen früheren Wiederherstellungspunkt zurückstellen können?
(Kannst noch immer bis zum heutigen Zeitpunkt rückgängig machen, falls liefert nicht das gewünschte Ergebnis)
► Da die SWH nur ein Notlösung ist und/oder die Systemwiederherstellung ist nicht durchführbar, arbeite die aufgeführten Schritte bitte vollständig ab (was davon geht):

1.
- Lade dir RSIT - Random's System Information Tool (RSIT) von random/random herunter
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von Rsit installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten

2.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ "Download"→ " Download from FileHippo.com"
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

► NUR DOWNLOADEN, WENN GMER NICHT AUSGEFÜHRT WERDEN KANN:
6.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Lade und installiere das Tool RootRepeal herunter

• setze einen Hacken bei: "Drivers"-> "Scan"-> Save Report"...
• "Stealth Objects" -> "Scan"-> Save Report"...
• "Hidden Services" -> "Scan"-> Save Report"...
• speichere das Logfile als "RootRepeal.txt" auf dem Desktop und Kopiere den Inhalt hier in den Thread

gruß
Coverflow

Hallo,

Also zuerst: Ich habe die Systemwiederherstellung probiert und es hat geklappt. Danach war diese Meldung mit dem infizierten PC erstmal weg. Dann habe ich Malwarebytes drüberlaufen lassen, der alle infizierten Dateien löschen konnte, bis auf: c:\WINDOWS\system32\us?rinit.exe (Trojan.FakeAlert)
Die log habe ich in den Anhang gepackt.

so, nun zu den abzuarbeitenden Punkten.

Hijackthis log:

[CODE]
info.txtRSIT Logfile:
--- --- ---



[CODE]
RSIT Logfile:
--- --- ---







gmer log:

[CODE]
GMER Logfile:
--- --- ---


Im Anhang ist dann noch die log von hjtscanlist und die mit den installierten Programmen von CCleaner.
Grüße

1.
kannst einfach löschen:
Papierkorb leeren

2.
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - nklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren::
→ Tipps für die Suche nach Dateien
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive <geprüfter Dateiname> + Dateigröße und Name, MD5 und SHA1)

** Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!:

Die beiden Dateien aus dem Windows Ordner habe ich gelöscht.

Nun die logfile von Virustotal:

was sehr interessant ist (kann ja vorkommen, dass die Datum durch Malware geändert worden bzw nicht mit das aktuelle Datum, oder vlt auch zurückgebliebener Wurzelrest von einer früheren Infektion?), die Datei stammt nämlich (laut hjtscanlist): 14.04.2008 06:52 C:\WINDOWS\ojaguvimupa.dll

Datei Upload

• Klicke bitte auf diesen Link UploadMalware.com

• Gib im obersten Feld deinen Namen ein
• Im Feld darunter den Thread bei uns an Board (http://www.trojaner-board.de/93368-m...-moeglich.html)
• Lade dann diese Datei von deinem Rechner hoch:

C:\WINDOWS\ojaguvimupa.dll

• Gib im Kommentarfeld Folgendes an:
• "Unknown file"
• diese Information:

Code:

---

File name:
ojaguvimupa.dll
Submission date:
2010-12-02 14:58:58 (UTC)
Current status:
queued (#10) queued (#10) analysing finished
Result:
14/ 43 (32.6%)
       
VT Community

not reviewed
 Safety score: -
Compact
Print results
Antivirus        Version        Last Update        Result
AhnLab-V3        2010.12.02.07        2010.12.02        -
AntiVir        7.10.14.169        2010.12.02        -
Antiy-AVL        2.0.3.7        2010.12.02        -
Avast        4.8.1351.0        2010.12.02        -
Avast5        5.0.677.0        2010.12.02        -
AVG        9.0.0.851        2010.12.02        -
BitDefender        7.2        2010.12.02        Gen:Variant.Kazy.3281
CAT-QuickHeal        11.00        2010.12.02        -
ClamAV        0.96.4.0        2010.12.02        -
Command        5.2.11.5        2010.12.01        -
Comodo        6927        2010.12.02        -
DrWeb        5.0.2.03300        2010.12.02        -
Emsisoft        5.0.0.50        2010.12.02        Gen.Variant!IK
eSafe        7.0.17.0        2010.12.01        -
eTrust-Vet        36.1.8014        2010.12.02        -
F-Prot        4.6.2.117        2010.12.01        -
F-Secure        9.0.16160.0        2010.12.02        Gen:Variant.Kazy.3281
Fortinet        4.2.254.0        2010.12.02        -
GData        21        2010.12.02        Gen:Variant.Kazy.3281
Ikarus        T3.1.1.90.0        2010.12.02        Gen.Variant
Jiangmin        13.0.900        2010.12.02        -
K7AntiVirus        9.69.3136        2010.12.01        -
Kaspersky        7.0.0.125        2010.12.02        -
McAfee        5.400.0.1158        2010.12.02        -
McAfee-GW-Edition        2010.1C        2010.12.02        -
Microsoft        1.6402        2010.12.02        Trojan:Win32/Hiloti.gen!D
NOD32        5667        2010.12.02        -
Norman        6.06.10        2010.12.02        W32/Obfuscated.FT!genr
nProtect        2010-12-02.01        2010.12.02        Gen:Variant.Kazy.3281
Panda        10.0.2.7        2010.12.01        Suspicious file
PCTools        7.0.3.5        2010.12.02        -
Prevx        3.0        2010.12.02        -
Rising        22.76.02.04        2010.12.02        -
Sophos        4.60.0        2010.12.02        Mal/Hiloti-C
SUPERAntiSpyware        4.40.0.1006        2010.12.02        -
Symantec        20101.2.0.161        2010.12.02        -
TheHacker        6.7.0.1.094        2010.12.01        -
TrendMicro        9.120.0.1004        2010.12.02        TROJ_HILOTI.SMEO
TrendMicro-HouseCall        9.120.0.1004        2010.12.02        TROJ_HILOTI.SMEO
VBA32        3.12.14.2        2010.12.02        -
VIPRE        7477        2010.12.02        Trojan.Win32.Hiloti.ba (v)
ViRobot        2010.12.2.4181        2010.12.02        -
VirusBuster        13.6.70.0        2010.12.02        Trojan.Hiloti.Gen!Pac.2
Additional information
Show all
MD5  : 1a5e6bcdca2138320969d0bab5ef0384
SHA1  : a1c75b4ace9fc3281ba36bde5f83c5a4f7091119
SHA256: 97b66b66131474f92912f56357b5d49047ed2c2f785e5a4f11204938c4eebe8c

---

• Drücke nun auf den Button "Send File"
• **Damit wir mit dem nächsten Schritt fortfahren können, teile uns mit, ob es dir gelungen ist, die Datei/en hochzuladen.
  .

Ja, das Datum muss geändert worden sein. Denn so lange habe ich den PC noch garnicht :lach:

Die Datei wurde erfolgreich hochgeladen. Wie siehts denn jetzt aus mit meinem PC? Kann ich mich wieder in in Accounts einloggen oder lieber noch nicht?

1.
starte HijackThis-> wähle: "Open the Misc Tools section"-> "Delete a file on reboot..."-> wähle die zu löschende datei - sehe der Inhalt dieser Code-Box (Text kopieren und einfügen, oder "Durchsuchen"), die frage zum neustart mit JA beantworten
2.
ein frisches HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

sowie hjtscanlist auch erneut posten

Datei wurde erfolgreich gelöscht.

[CODE]
HiJackthis Logfile:
--- --- ---

1.
**Spybot Tea Timer bitte abstellen!
Modus-> Erweiterte Modus-> Ja-> Werkzeuge-> Resident-> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) -> exit.
- Unsere Arbeit negativ beeinflussen kann (ansonsten auch unnötig!)

2.
nicht empfohlen, bei vermuteten Malwarebefall gezielt vorgehen!:
3.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 22 schon fällig!)

4.
den Java-Cache leeren - wie unter Punkt 7. u. 8. beschrieben *klick
über Systemsteuerung -> Java...

5.
Adobe Reader aktualisieren :
Adobe Reader
Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..."

6.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar.
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!

• `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
• `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
• für jedes Benutzerkonto bitte durchführen
• anschließend den Papierkorb leeren

7.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

8.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

9.
- "Link:-> ESET Online Scanner
>>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum
Führe dann einen Komplett-Systemcheck mit Nod32 durch
- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"

Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

** berichte in welchem Zustand dein System sich befindet?

Ich führe die Ergebnisse mal den Nummern nach geordnet an.

1. Mein Spybot ist durch den Malware-Angriff beschädigt, das heißt ich kann es nicht mehr starten und somit auch nicht die teatimer.exe ausstellen.

3.-4. Ich habe das Java Update gewählt, aber als er am installieren war, gab es eine Fehlermeldung und er hat abgebrochen. Seitdem passiert nichts mehr, wenn ich Java starten will.

5.-7. done

8. Scan durchgeführt.

ESET log:




Zu meinem System:
Eigentlich bin ich ziemlich zufrieden. Der einzige Vorfall war gestern Abend, da hat mein Antivir angeschlagen und einen Trojaner gemeldet. Zu der Zeit war ich aber garnicht groß am Surfen, er ist einfach aufgetaucht.
Auch das Ergebnis von SuperAntiSpyware macht mich stutzig, weil ich in letzter Zeit garnichts mehr gemacht habe, und die Viren trotzdem irgendwie erscheinen (siehe AntiSpyware Ergebnis)

1. Mein Spybot ist durch den Malware-Angriff beschädigt, das heißt ich kann es nicht mehr starten und somit auch nicht die teatimer.exe ausstellen.
deinstallieren, wenn Du unbedingt möchtest erneut installieren

3.-4. Ich habe das Java Update gewählt, aber als er am installieren war, gab es eine Fehlermeldung und er hat abgebrochen. Seitdem passiert nichts mehr, wenn ich Java starten will.
Da aufgrund alter Sicherheitslücken ist Java sehr anfällig, deinstalliere zunächst alle vorhandenen Java-Versionen:
→ Systemsteuerung → Software → deinstallieren...
→ Rechner neu aufstarten
→ Downloade nun die Offline-Version von Java Version 6 Update 21 von Oracle herunter
Achte darauf, eventuell angebotene Toolbars abwählen (den Haken bei der Toolbar entfernen)!


Der einzige Vorfall war gestern Abend, da hat mein Antivir angeschlagen und einen Trojaner gemeldet. Zu der Zeit war ich aber garnicht groß am Surfen, er ist einfach aufgetaucht.

Rechtsklick auf den AntiVir-Schirm in der Taskleiste -> AntiVir starten -> Übersicht -> Ereignisse
jeden Fund markieren -> Rechtsklick auf Funde -> Ereignis(se) exportieren
und als Ereignisse.txt auf dem Desktop speichern und den Inhalt hier posten.

Auch das Ergebnis von SuperAntiSpyware macht mich stutzig, weil ich in letzter Zeit garnichts mehr gemacht habe,[/QUOTE]

die tiefreichenden Spuren bleiben erhalten, wenn auch nicht mehr anrichten können

Habe die offline version von java heruntergeladen. Dort war aber nur Version 6, Update 22 aufgeführt, und die habe ich auch genommen.

Hier die AntiVir log:

Exportierte Ereignisse:

04.12.2010 20:49 [Scanner] Malware gefunden
Die Datei 'C:\System Volume
Information\_restore{8DF5AAB3-726F-490D-A8F0-F4189A60676A}\RP351\A0113076.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Kazy.3281.447' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f6a3af6.qua'
verschoben!

04.12.2010 20:32 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{8DF5AAB3-726F-490D-A8F0-F4189A60676A}\RP351\A0113076.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Kazy.3281.447' [trojan]
gefunden.
Ausgeführte Aktion: Zugriff verweigern



Nun noch eine Frage: Habe dann evtl doch vor, in nächster Zeit das System neu aufzusetzen, wenn ich Zeit habe. Kann ich die Daten dann bedenkenlos sichern, oder ist da noch irgendwas unschönes in den Dateien, das ich mitkopiere?

Trotz allem, weil ja eine Systembereinigung nicht 100%ige Lösung bieten kann, wäre es wie immer ratsam folgendes zu beachten:
Datensicherung:
Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen
** Empfehle ich Dir NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
- Vor zurückspielen:
Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung

Zum Schluss arbeite bitte noch folgende Schritte ab:
1.
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! )

2.
wenn alles gut verlaufen ist und dein System läuft stabil,mache folgendes:
** Rechten Maustaste auf den "Arbeitsplatz"→ auf "Eigenschaften"→ Registerkarte "Systemwiederherstellung"→ "Systemwiederherstellung deaktivieren"→ auf "OK"→ alles schließen→ Rechner neu starten→die Standardeinstellung wiederherzustellen(SWH wieder"aktivieren")

3.
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.

• Downloade die MBR.exe von Gmer und
  kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
  Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
  
• Start => ausführen => cmd (da reinschreiben) => OK
  es öffnet sich eine Eingabeaufforderung.
  
  Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
  
• Nach dem Prompt (>_) folgenden
  
  aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
  Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
  
  
  Code:

  ---

  mbr.exe -t > C:\mbr.log & C:\mbr.log

  ---

  (Enter drücken)
  
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
  Bitte kopiere den Inhalt hier in Deinen Thread.

Hier die log von mbr:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_HD103UI rev.1AA01113 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys sptd.sys >>UNKNOWN [0x8AF2E8A8]<<
C:\WINDOWS\system32\drivers\sptd.sys
1 ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Harddisk0\DR0[0x8AF7CAB8]
3 CLASSPNP[0xB8108FD7] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\0000007d[0x8AE79F18]
5 ACPI[0xB7E7E620] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Ide\IdeDeviceP0T0L0-3[0x8AE31940]
kernel: MBR read successfully
user & kernel MBR OK





nochmal zu der Externen:
hab die an einen sauberen PC angeschlossen und mit einigen Online-Scannern geprüft und mit AntiVir. Hatte einige Meldungen von schädlichen Dateien, unter anderem diese:
habe sie danach aus der Quarantäne gelöscht.

soll ich noch weiter mit anderen Programmen überprüfen oder andere Maßnahmen ergreifen? Habe nämlich keine Lust, dass ich mir die Viren sofort wieder auf das neue System trage.

es geht hier lediglich um die Windows XP Systemwiederherstellung gesicherte Objekte:
mache folgendes:
- Datenträger "G" anschließen
Nicht mehr benötigte Wiederherstellungspunkte wieder entfernen lassen:

1. Klicken Sie auf Start – Alle Programme – Zubehör – Systemprogramme – Datenträgerbereinigung.
2. Wählen Sie Ihr Systemlaufwerk (im Normalfall „C:“) aus und klicken Sie auf OK.
3. Klicken Sie auf das Register Weitere Optionen.
4. Im Abschnitt Systemwiederherstellung klicken Sie auf die Schaltfläche Bereinigen….
5. Bestätigen Sie das Löschen mit einem Klick auf Ja bzw. unter Vista auf Löschen.
6. Klicken Sie auf OK, um die Datenträgerbereinigung zu starten.