Trojaner-Board - BKA Warnung ...Trojaner verweist auf eine Pornoseite

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - BKA Warnung ...Trojaner verweist auf eine Pornoseite (https://www.trojaner-board.de/108080-bka-warnung-trojaner-verweist-pornoseite.html)

hatte ein Problem beim Start von Combo-fix..

es hatte mitgeteilt... dass Antivir aktiv ist... obwohl es deaktiviert war...

habs dann nochmal überprüft.... aber Antivir war ausgeschaltet...
Combofix schrieb.... dass es jetzt trotzdem mit aktivem Antivir starten wird..

hab ein Bild gemacht.. dass alles inaktiv war....

was ist schief gelaufen ?? ....
kannst du das Log jetzt trotzdem brauchen ?

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

GMER Logfile:

Code:

GMER 1.0.15.15641 - hxxp://www.gmer.net

Rootkit scan 2012-01-19 19:10:53

Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e ST3160815AS rev.3.AAC

Running: r3vmy98z.exe; Driver: C:\DOKUME~1\Toro\LOKALE~1\Temp\axndrfog.sys
 
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text  ntkrnlpa.exe!ZwCallbackReturn + 2D6C  80504608 4 Bytes  [EA, BC, B9, F7]
 

---- Disk sectors - GMER 1.0.15 ----
 

Disk   \Device\Harddisk0\DR0                 malicious Win32:MBRoot code @ sector 312560643
 

---- System - GMER 1.0.15 ----
 

SSDT   F7B9BD1C                              ZwClose

SSDT   F7B9BCD6                              ZwCreateKey

SSDT   F7B9BD26                              ZwCreateSection

SSDT   F7B9BCCC                              ZwCreateThread

SSDT   F7B9BCDB                              ZwDeleteKey

SSDT   F7B9BCE5                              ZwDeleteValueKey

SSDT   F7B9BD17                              ZwDuplicateObject

SSDT   F7B9BCEA                              ZwLoadKey

SSDT   F7B9BCB8                              ZwOpenProcess

SSDT   F7B9BCBD                              ZwOpenThread

SSDT   F7B9BCF4                              ZwReplaceKey

SSDT   F7B9BCEF                              ZwRestoreKey

SSDT   F7B9BD2B                              ZwSetContextThread

SSDT   F7B9BCE0                              ZwSetValueKey

SSDT   F7B9BCC7                              ZwTerminateProcess
 

---- EOF - GMER 1.0.15 ----

--- --- ---

kann Osam nicht öffenen...hab es jetzt 3 mal runtergeladen....

wenn ich diese Datei runter geladen hab... versucht Windows Mediaplayer die Datei zu öffnen... geht aber nicht....
da gibts auch nicht zu entpacken :-( ...

OSAM Logfile:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 20:17:56 on 19.01.2012
 

OS: Windows XP Professional Service Pack 3 (Build 2600)

Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Common]

-----( %SystemRoot%\Tasks )-----

"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe

"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

"GoogleUpdateTaskUserS-1-5-21-1935655697-1770027372-725345543-1003Core.job" - "Google Inc." - C:\Dokumente und Einstellungen\Toro\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe

"GoogleUpdateTaskUserS-1-5-21-1935655697-1770027372-725345543-1003UA.job" - "Google Inc." - C:\Dokumente und Einstellungen\Toro\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl

"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"AFS2k" (AFS2K) - "Oak Technology Inc." - C:\WINDOWS\system32\drivers\AFS2K.sys

"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys

"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys

"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys

"axndrfog" (axndrfog) - ? - C:\DOKUME~1\Toro\LOKALE~1\Temp\axndrfog.sys  (Hidden registry entry, rootkit activity | File not found)

"catchme" (catchme) - ? - C:\DOKUME~1\Toro\LOKALE~1\Temp\catchme.sys  (File not found)

"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)

"FXDrv32" (FXDrv32) - ? - D:\FXDrv32.sys  (File not found)

"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)

"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)

"MBAMSwissArmy" (MBAMSwissArmy) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbamswissarmy.sys

"Motorola USB Modem Driver for MPT XP" (usbsermptxp) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\usbsermptxp.sys

"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys

"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
 

[Explorer]

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll

{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

-----( HKLM\Software\Classes\Protocols\Handler )-----

{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? -   (File not found | COM-object registry key not found)

{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? -   (File not found | COM-object registry key not found)

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll

{A4DF5659-0801-4A60-9607-1C48695EFDA9} "Ordner HP Share-to-Web" - "Hewlett-Packard" - C:\Programme\Hewlett-Packard\HP Share-to-Web\HPGS2WNS.DLL

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
 

[Internet Explorer]

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

<binary data> "EPSON Web-To-Page" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10l.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

{53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----

<binary data> "EPSON Web-To-Page" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} "EpsonToolBandKicker Class" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

{53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
 

[Logon]

-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

-----( %UserProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\Toro\Startmenü\Programme\Autostart\desktop.ini

"FRITZ!DSL Startcenter.lnk" - "AVM Berlin" - C:\Programme\FRITZ!DSL\StCenter.exe  (Shortcut exists | File exists)

"OpenOffice.org 3.2.lnk" - ? - C:\Programme\OpenOffice.org 3\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)

"Reminder-hpc40415.lnk" - "IntelliQuest Communications, Inc." - C:\Programme\HP PhotoSmart\C200-Kamera\Registration\Remind32.exe  (Shortcut exists | File exists)

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

"CamMonitor" - ? - C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe

"NeroCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\\NeroCheck.exe

"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime

"Share-to-Web Namespace Daemon" - "Hewlett-Packard" - C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe

"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe

"Avira AntiVir WebGuard" (AntiVirWebService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE

"AVM FRITZ!web Routing Service" (de_serv) - "AVM Berlin" - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

"AVM IGD CTRL Service" (AVM IGD CTRL Service) - "AVM Berlin" - C:\Programme\FRITZ!DSL\IGDCTRL.EXE

"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

"Google Update-Dienst (gupdatem)" (gupdatem) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe

"SAMSUNG WiselinkPro Service" (WiselinkPro) - ? - C:\Programme\Samsung\SAMSUNG PC Share Manager\WiselinkPro.exe  (File found, but it contains no detailed information)
 

[Winlogon]

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----

"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll
 

[Winsock Providers]

-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----

"AVSDA" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avsda.dll
 

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Zitat:

da gibts auch nicht zu entpacken :-( ...

Mit dem richtig lesen hatten wir schon mal oder :balla:
Die OSAM-Datei sollst du auch mit WinRAR oder 7zip öffnen. Das heißt nicht, dass einfach ein Doppleklick reich

hatte sich wohl zwischenzeitlich erledigt... wie du vielleicht gesehen hast
ich hab mir das 7zip einfach aus dem Netz gezogen :-)

ich bin durchaus lernfähig.. :pfeiff:

Jetzt musst du nur noch aswMBR richtig ausführen, da ist nämlich ebenfalls was schiefgegangen...

was heißt denn ebenfalls ???? was ist denn noch schiefgelaufen ??
das Osam ist doch ok ?!

habs ja dann richtig geöffnet .... und den Log gepostet...

was stimmt bei dem aswMBR nicht ??
damit hatte ich keine Probleme !!!!

nur beim Runterladen des osam... das immer als windows mediaplayer im Downloadordner erschienen ist...

aswMBR version 0.9.9.1297 Copyright(c) 2011 AVAST Software
Run date: 2012-01-19 20:30:36
-----------------------------
20:30:36.312 OS Version: Windows 5.1.2600 Service Pack 3
20:30:36.312 Number of processors: 2 586 0xF0D
20:30:36.312 ComputerName: PRIVAT-D96A24D9 UserName: Toro
20:30:36.843 Initialize success
20:39:58.937 AVAST engine defs: 12011901
21:49:21.593 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Toro\Desktop\aswMBR.txt"
21:50:36.828 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Toro\Eigene Dateien\aswMBR.txt"

aswMBR version 0.9.9.1297 Copyright(c) 2011 AVAST Software
Run date: 2012-01-20 13:14:54
-----------------------------
13:14:54.671 OS Version: Windows 5.1.2600 Service Pack 3
13:14:54.671 Number of processors: 2 586 0xF0D
13:14:54.671 ComputerName: PRIVAT-D96A24D9 UserName: Toro
13:14:55.703 Initialize success
13:15:02.765 AVAST engine defs: 12011901
13:16:22.796 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e
13:16:22.796 Disk 0 Vendor: ST3160815AS 3.AAC Size: 152627MB BusType: 3
13:16:22.843 Disk 0 MBR read successfully
13:16:22.843 Disk 0 MBR scan
13:16:23.000 Disk 0 Windows XP default MBR code
13:16:23.031 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 152617 MB offset 63
13:16:23.031 Disk 0 scanning sectors +312560640
13:16:23.093 Disk 0 malicious Win32:MBRoot code @ sector 312560643 !
13:16:23.203 Disk 0 scanning C:\WINDOWS\system32\drivers
13:16:51.234 Service scanning
13:16:52.000 Service FXDrv32 D:\FXDrv32.sys **LOCKED** 21
13:16:52.875 Modules scanning
13:16:59.984 Disk 0 trace - called modules:
13:17:00.000 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
13:17:00.000 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86534ab8]
13:17:00.000 3 CLASSPNP.SYS[f75fefd7] -> nt!IofCallDriver -> \Device\00000063[0x8657d9e8]
13:17:00.015 5 ACPI.sys[f7494620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-e[0x8657c940]
13:17:00.562 AVAST engine scan C:\WINDOWS
13:17:06.125 AVAST engine scan C:\WINDOWS\system32
13:18:27.484 AVAST engine scan C:\WINDOWS\system32\drivers
13:18:40.140 AVAST engine scan C:\Dokumente und Einstellungen\Toro
13:25:03.859 AVAST engine scan C:\Dokumente und Einstellungen\All Users
13:25:24.140 Scan finished successfully
13:32:29.250 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Toro\Eigene Dateien\MBR.dat"
13:32:29.265 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Toro\Eigene Dateien\aswMBR.txt"

Zitat:

13:16:23.000 Disk 0 Windows XP default MBR code
13:16:23.031 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 152617 MB offset 63
13:16:23.031 Disk 0 scanning sectors +312560640
13:16:23.093 Disk 0 malicious Win32:MBRoot code @ sector 312560643 !

Der MBR ist ok. Der MBRoot Code in dem Sektor sollte nicht weiter tragisch sein, bekommt man aber auch weg wenn du willst

dankeschön Arne....

aber wie du ja schon bemerkt hast... ich hab keine Ahnung von dieser Materie.....

wenn du sagst.. mach dass... dann werde ich das machen....

wenn du sagst... das lass so.. dann lass ich es..

ich kenne die Auswikrungen nicht... wenn man es so läßt... oder ändert...
ich bin da echt sehr blond

ist der Trojaner denn jetzt weg ??

Ist nicht ganz ohne, aber wenn du alles genau umsetzt passt das. Vorher aber mal bitte die Partitionen mit GParted checken, danach poste ich noch Kontrollscan-Anlieitungen falls nichts weiteres notwendig ist.

Live-System PartedMagic / GParted

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://partedmagic.com/lib/exe/fetch...ia=desktop.png

4. Du müsstest ein Symbol PartitionEditor auf dem Desktop finden, das doppelklicken
5. Wenn das Tool die Partitionen aufgelistet hat, bitte einen Screenshot mit Hilfe der Taste DRUCK auf der Tastatur erstellen, diesen Screenshot hier posten (idR hast du einen Internetzugang mit PartedMagic, wenn nicht einfach den Screenshot auf einem Stick abspeichern und unter Windows hier posten)

also wenns nicht so tragisch ist.. lass ich es so.... hab mehrmals versucht das
System PartedMagic runter zu laden.... aber bei 57 % bricht der das immer ab und nix geht mehr :-( ... und ob ich das dann gebrannt bekomme.... steht noch auf nem anderen Blatt...

aber vielmals DANKE !!!!!!!!
wünsche dir ne gute Woche !!!!

liebe Grüße.... Rosi