PC bootet ständig neu, friert ein

Nibbleron

Ok ein kompletter HD-Scan hat keine Fehler offenbart, dafür habe ich mir mal Escan geholt und im abgesicherten Modus drüber laufen lassen und siehe da er hat einiges gefunden, hier das gekürzte Logfile:

[...]

Fri Aug 17 19:44:57 2007 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Fri Aug 17 19:44:57 2007 => Loading Spyware Signatures from new External Database [Name: C:\PROGRA~1\eScan\spydb.avs, Size: 226506].
Fri Aug 17 19:44:59 2007 => Indexed Spyware Databases Successfully Created...

Fri Aug 17 19:45:01 2007 => Offending Key found: HKLM\Software\ptech !!!
Fri Aug 17 19:45:01 2007 => Deleting Registry Key: HKLM\Software\ptech
Fri Aug 17 19:45:36 2007 => Object "prutect Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:38 2007 => Offending file found: C:\install.dat
Fri Aug 17 19:45:38 2007 => System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Einträge entfernt.
Fri Aug 17 19:45:38 2007 => Object "zlob Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:38 2007 => Offending Folder found: C:\Dokumente und Einstellungen\*******\Anwendungsdaten\icq\bart\1024
Fri Aug 17 19:45:38 2007 => Deltree of Folder C:\Dokumente und Einstellungen\*******\Anwendungsdaten\icq\bart\1024...
Fri Aug 17 19:45:38 2007 => Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:44 2007 => Checking MountPoints2 Registry Key...
Fri Aug 17 19:45:44 2007 => Checking CLSID Reference Entries...
Fri Aug 17 19:45:44 2007 => Entry "HKCR\Alg.AlgSetup" verweist auf das ungültige Objekt "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:45 2007 => Entry "HKCR\MailFileAtt" verweist auf das ungültige Objekt "{00020D05-0000-0000-C000-000000000046}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:45 2007 => Entry "HKCR\mapifvbx.object" verweist auf das ungültige Objekt "{41116C00-8B90-101B-96CD-00AA003B14FC}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:46 2007 => Entry "HKCR\Plenoptic.Plenoptic" verweist auf das ungültige Objekt "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:46 2007 => Entry "HKCR\RTCCore.RTCClient" verweist auf das ungültige Objekt "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:47 2007 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" verweist auf das ungültige Objekt "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:47 2007 => Entry "HKCR\WMPShell.HWEventHandler" verweist auf das ungültige Objekt "{9B186A8F-F520-4eeb-B553-118304AC46C5}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:47 2007 => Checking Module Usage Entries...
Fri Aug 17 19:45:47 2007 => Checking User Trusted External App Entries...
Fri Aug 17 19:45:47 2007 => Checking Shared DLL Entries...
Fri Aug 17 19:45:47 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.Windows.Forms.tlb". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:47 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Windows.Forms.tlb". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:47 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorlib.tlb". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:47 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscoree.tlb". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:47 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Drawing.tlb". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:47 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.EnterpriseServices.tlb". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:47 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Microsoft.JScript.tlb". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:47 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Microsoft.Vsa.tlb". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:47 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.Drawing.tlb". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:47 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\mscoree.tlb". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:47 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.tlb". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:47 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.EnterpriseServices.tlb". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:47 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.JScript.tlb". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:47 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.Vsa.tlb". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:47 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.Vsa.Vb.CodeDOMProcessor.tlb". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:47 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\mscorlib.tlb". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:47 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\System.tlb". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:47 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Microsoft.Vsa.Vb.CodeDOMProcessor.tlb". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:48 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\ZoneLabs\isafeif.dll". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:48 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\ZoneLabs\vetredir.dll". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:48 2007 => Checking Installer Entries...
Fri Aug 17 19:45:48 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\WINDOWS\winsxs\x86_Microsoft.VC80.ATL_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_6e805841\". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:48 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\WINDOWS\winsxs\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_dec6ddd2\". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:48 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\WINDOWS\winsxs\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_3415f6d0\". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:48 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\WINDOWS\winsxs\x86_Microsoft.VC80.OpenMP_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0ee63867\". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:48 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\WINDOWS\winsxs\Policies\x86_policy.8.0.Microsoft.VC80.ATL_1fc8b3b9a1e18e3b_x-ww_5f0bbcff\". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:48 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\WINDOWS\winsxs\Policies\x86_policy.8.0.Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_x-ww_0f75c32e\". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:48 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\WINDOWS\winsxs\Policies\x86_policy.8.0.Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_x-ww_caeee150\". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:48 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\WINDOWS\winsxs\Policies\x86_policy.8.0.Microsoft.VC80.OpenMP_1fc8b3b9a1e18e3b_x-ww_7d81c9f9\". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:48 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "D:\grabem\". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:48 2007 => Checking Shared Tools Entries...
Fri Aug 17 19:45:48 2007 => Checking File Extension Entries...
Fri Aug 17 19:45:48 2007 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".iaf". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:48 2007 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".MPQ". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:48 2007 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".part". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:48 2007 => Checking Application Cache Entries...
Fri Aug 17 19:45:48 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Everest Poker". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:48 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (2.0)". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

Fri Aug 17 19:45:48 2007 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (2.0.0.4)". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

[...]

Fri Aug 17 19:45:51 2007 => Scanning HKCR\wsffile\shell\open\command
Fri Aug 17 19:45:51 2007 => Scanne Datei C:\WINDOWS\System32\WScript.exe
Fri Aug 17 19:45:51 2007 => Clearing Internet Cache as Spyware/Adware found in system...
Fri Aug 17 19:45:52 2007 => Clearing Temporary sub-folders as Spyware/Adware found in system...
Fri Aug 17 19:45:52 2007 => ** Value in HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\main/Start Page = h***://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
Fri Aug 17 19:45:52 2007 => ** Value in HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main/Start Page = [url=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome]MSN.com

[...]

Fri Aug 17 19:45:53 2007 => ***** Scan vollständig. *****

Fri Aug 17 19:45:53 2007 => Gescannte Dateien: 23888
Fri Aug 17 19:45:53 2007 => Gefundene Viren: 3
Fri Aug 17 19:45:53 2007 => Anzahl der desinfizierten Dateien: 0
Fri Aug 17 19:45:53 2007 => Umbenannte Dateien: 0
Fri Aug 17 19:45:53 2007 => Anzahl der gelöschten Dateien: 45
Fri Aug 17 19:45:53 2007 => Anzahl Fehler: 42
Fri Aug 17 19:45:54 2007 => Dauer des Scans bisher: 00:01:19
Fri Aug 17 19:45:54 2007 => ERROR!!! Unable to get Database Info.. return 80004005

Fri Aug 17 19:45:54 2007 => Scan vollständig.

Habe im abgesicherten Modus die Systemwiederherstellung deaktiviert und entsprechende Einträge von Escan clearen lassen nach erneutem Booten findet er nichts mehr, ist das System trotzdem kompromittiert?
Werde mal schauen ob er weiterhin von alleine bootet und einfriert...