gvu trojaner, selbst in abgesichertem modus, windows xp
 

Hi leibe helfenden,

habe seit vorgestern das Problem, dass ich mir einen GVU Trojaner eingefangen habe, der windows sperrt und auch keinen Zugriff im abgesicherten Modus zulässt.

Habe zwischenzeitig die otlpnet.exe runter geladen, und scan laufen lassen.
Den Inhalt poste ich zum Schluss.

Zuvor hatte ich Kaspersky unlock versucht auszuführen. Konnte dies auch vollständig durchführen, doch letztlich war der Trojaner mit der bekannten Sperrung noch immer vorhanden. Weiß jetzt nicht mehr weiter.

Anbei der Post der OTLPE RunScan Datei.
Bitte helft mir!!! Und im Voraus schon Danke!!!

:hallo:

Ist das wirklich das richtige Log von dem betroffenen Rechner? :dummguck:
Ich seh da nämlich keine typischen Einträge dieser Sperr-Trojaner.

Hey Cosinus,

Danke für Deinen ersten Draufblick.
Ja, sorry, es war die otlpe- Logdatei. Ich habe diese jedochnochmals
durchlaufen lassen.
Vielleicht ist jetzt doch ein für Dich entscheidender Hinweis erkennbar.
Rechner ist noch immer gesperrt.

Also, allen die drauf schauen, Dank im Voraus. Kaum zu glauben, was man sich
für einen Sch... einhandeln kann...

Danke!


OTL Logfile:
--- --- ---

Ich seh dort immer noch keine typischen GVU-Sperrtrojaner-Einträge - ist das WIRKLICH das befallene Windows wovon du da ein OTLPE-Log erstellt hast? Hast du mehr als 1x Windows auf diesem Rechner installiert?
Seit wann ist der Rechner gesperrt?
Das Malwarebytes-Setup konntest du noch runterladen?
Ist der Rechner auch dann gesperrt wenn du keine Internetverbindung hast?

Hi again,

ja, das ist mein toller windows log.
Zwei von zwei Nutzerkonten sind gesperrt. Mehr Infos kann ich Dir leider nicht geben.
Das Malwarebytes Setup habe ich mittels eines Zweitrechners runtergeladen und versucht über usb-Stick aufzuspielen. Das funktionierte noch. Doch beim Ausführen erhielt ich stets die Fehlermeldung (Das Setup konnte den Ordner "x:program files" nicht erstellen. Fehler 5: access is denied.).

Gesperrt ist der Rechner seit Mittwoch letzter Woche.

Habe Zugang zum Rechner mittels Boot CD und Reatogo-x-pe.

Also dann.

Vielleicht klappt´s ja noch.

Auch ohne Internetverbindung...?

Ich würde dir ja ein Fixlog schreiben, aber wenn ich im OTLPE-Log keine Sperrtrojaner-Einträge sehe geht das schlecht :D

Sorry Cosinus,

ich möchte Dich nicht nerven und schätze es sehr Hilfe angeboten zu bekommen.
Doch kann ich letztlich nur nochmals einen SCAN durchlaufen lassen. Sag mir kurz was Du genau brauchst.

Danke!

Abgesicherter Modus funktioniert nicht.
Internetzugang aus reatogo-x-pe funktioniert.

Hast du sämtliche abgesicherte Modi ausprobiert?
Meine Frage war ob Windows komplett ohne Internetverbindung auch ohne Sperre startet.

Und nochmal, ich kann mit OTLPE keinen Fix anweisen wenn es da keinen Eintrag zu gibt, der für die Sperre verantowrtlich ist. Ich werde aber nochmal die Logs durchgehen.

Anbei nochmals ein otl scan.
Ich hoffe, dass etwas signifikantes dabei ist.OTL Logfile:
--- --- ---

Nee, ich seh da keinen Sperrtrojaner. Ich hab markus auchnochmal gebeten sich das anzusehen, vllt hab ich was übersehen. Normalerweise findet man die aber immer an ganz bestimmten Stellen im Log :balla:

Aber vllt kannst du mir hierzu nochmal was sagen:

Deiner Userprofile sind auf Volume I aber Windows und Programme liegen auf C - Hast du den Ordner für die Userprofile mal auf eine andere Partition gelegt?

Letzter Versuch.

Abgesicherter Modus mit letzter funktionstechnischer Konfiguration ist angelaufen. Konnte Avira Luke Filewalker durchlaufen lassen. Ein Troyaner wurde erkannt und sitzt erst mal fest.

Anbei die Datei:



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 4. Februar 2013 22:59


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Microsoft Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Microsoft Windows XP
Benutzername : Ralf
Computername : TOWER

Versionsinformationen:
BUILD.DAT : 13.0.0.2890 48567 Bytes 05.12.2012 17:11:00
AVSCAN.EXE : 13.6.0.402 639264 Bytes 11.12.2012 19:13:16
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 11.12.2012 19:13:16
LUKE.DLL : 13.6.0.400 67360 Bytes 11.12.2012 19:13:45
AVSCPLR.DLL : 13.6.0.402 93984 Bytes 11.12.2012 19:13:55
AVREG.DLL : 13.6.0.406 248096 Bytes 11.12.2012 19:13:55
avlode.dll : 13.6.1.402 428832 Bytes 11.12.2012 19:13:56
avlode.rdf : 13.0.0.36 10917 Bytes 04.02.2013 21:56:33
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:50:29
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 13:50:31
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 13:50:34
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:50:36
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 13:50:37
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 13:42:40
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 13:42:40
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 19:21:46
VBASE008.VDF : 7.11.55.142 2214912 Bytes 03.01.2013 13:42:06
VBASE009.VDF : 7.11.55.143 2048 Bytes 03.01.2013 13:42:06
VBASE010.VDF : 7.11.55.144 2048 Bytes 03.01.2013 13:42:06
VBASE011.VDF : 7.11.55.145 2048 Bytes 03.01.2013 13:42:07
VBASE012.VDF : 7.11.55.146 2048 Bytes 03.01.2013 13:42:07
VBASE013.VDF : 7.11.55.196 260096 Bytes 04.01.2013 09:35:52
VBASE014.VDF : 7.11.56.23 206848 Bytes 07.01.2013 09:49:38
VBASE015.VDF : 7.11.56.83 186880 Bytes 08.01.2013 09:49:38
VBASE016.VDF : 7.11.56.145 135168 Bytes 09.01.2013 09:49:39
VBASE017.VDF : 7.11.56.211 139776 Bytes 11.01.2013 15:40:25
VBASE018.VDF : 7.11.57.11 153088 Bytes 13.01.2013 09:27:32
VBASE019.VDF : 7.11.57.75 165888 Bytes 15.01.2013 14:56:43
VBASE020.VDF : 7.11.57.163 190976 Bytes 17.01.2013 10:28:44
VBASE021.VDF : 7.11.57.219 119808 Bytes 18.01.2013 10:28:45
VBASE022.VDF : 7.11.58.7 167936 Bytes 21.01.2013 09:31:37
VBASE023.VDF : 7.11.58.49 140288 Bytes 22.01.2013 09:31:37
VBASE024.VDF : 7.11.58.119 137728 Bytes 24.01.2013 09:31:38
VBASE025.VDF : 7.11.58.175 132608 Bytes 25.01.2013 09:31:38
VBASE026.VDF : 7.11.58.213 116736 Bytes 27.01.2013 09:31:39
VBASE027.VDF : 7.11.59.68 1887744 Bytes 31.01.2013 21:56:19
VBASE028.VDF : 7.11.59.159 431104 Bytes 04.02.2013 21:56:20
VBASE029.VDF : 7.11.59.160 2048 Bytes 04.02.2013 21:56:20
VBASE030.VDF : 7.11.59.161 2048 Bytes 04.02.2013 21:56:20
VBASE031.VDF : 7.11.59.172 18432 Bytes 04.02.2013 21:56:20
Engineversion : 8.2.10.246
AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 13:42:55
AESCRIPT.DLL : 8.1.4.86 467323 Bytes 04.02.2013 21:56:32
AESCN.DLL : 8.1.10.0 131445 Bytes 13.12.2012 19:15:16
AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 15:58:06
AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 19:05:58
AEPACK.DLL : 8.3.1.2 819574 Bytes 20.12.2012 19:16:11
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 05.11.2012 19:33:25
AEHEUR.DLL : 8.1.4.194 5710199 Bytes 04.02.2013 21:56:31
AEHELP.DLL : 8.1.25.2 258423 Bytes 21.10.2012 18:41:41
AEGEN.DLL : 8.1.6.16 434549 Bytes 28.01.2013 09:31:41
AEEXP.DLL : 8.3.0.18 188789 Bytes 04.02.2013 21:56:32
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 13:42:55
AECORE.DLL : 8.1.30.0 201079 Bytes 13.12.2012 19:15:12
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 19:33:12
AVWINLL.DLL : 13.4.0.163 25888 Bytes 19.09.2012 17:09:30
AVPREF.DLL : 13.4.0.360 50464 Bytes 11.12.2012 19:13:14
AVREP.DLL : 13.4.0.360 177952 Bytes 11.12.2012 19:13:55
AVARKT.DLL : 13.6.0.402 260384 Bytes 11.12.2012 19:13:08
AVEVTLOG.DLL : 13.6.0.400 167200 Bytes 11.12.2012 19:13:11
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 17:17:40
AVSMTP.DLL : 13.4.0.163 62240 Bytes 19.09.2012 17:08:54
NETNT.DLL : 13.4.0.360 15648 Bytes 11.12.2012 19:13:46
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 11.12.2012 19:13:06
RCTEXT.DLL : 13.4.0.360 68384 Bytes 11.12.2012 19:13:06

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: BootSectorTest
Konfigurationsdatei...................: D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\cb57ca59.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 4. Februar 2013 22:59

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'TURatingSynch.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskmgr.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamscheduler.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesApp32.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'OPXPApp.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'fxssvc.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesService32.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'c2c_service.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'Omniserv.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'navapsvc.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLService.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLServer.exe' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'CDAC11BA.EXE' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTNtService.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccEvtMgr.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISSVC.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccSetMgr.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '143' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
d:\Dokumente und Einstellungen\familie\28245828.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.138644.1

Die Registry wurde durchsucht ( '7617' Dateien ).


Beginne mit der Desinfektion:
Die Datei '\\?\D:\Dokumente und Einstellungen\Ralf\Startmenü\Programme\Autostart\runctf.lnk' wurde ins Quarantäneverzeichnis verschoben.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path\Debugger> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-160138551-2438399037-795876468-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-160138551-2438399037-795876468-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-160138551-2438399037-795876468-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-160138551-2438399037-795876468-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-160138551-2438399037-795876468-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-160138551-2438399037-795876468-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-160138551-2438399037-795876468-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-160138551-2438399037-795876468-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\2500> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-160138551-2438399037-795876468-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\2500> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-160138551-2438399037-795876468-1006\Software\Microsoft\Internet Explorer\Main\NoProtectedModeBanner> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winmgmt\Parameters> wurde erfolgreich entfernt.
d:\Dokumente und Einstellungen\familie\28245828.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.138644.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1db6ebed.qua' verschoben!
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters\ServiceDll> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters\ServiceDll> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters\ServiceDll> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winmgmt\Parameters\ServiceDll> wurde erfolgreich repariert.


Ende des Suchlaufs: Montag, 4. Februar 2013 23:04
Benötigte Zeit: 01:29 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
8148 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
8147 Dateien ohne Befall
54 Archive wurden durchsucht
0 Warnungen
1 Hinweise

Hi Cosinus,

frage bitte nicht warum, doch windows ist im letzt noch funktionierenden abgesicherten Modus hochgefahren. Habe das vorhandene Avira Luke Filewalker laufen lassen und einen Trojaner eingedost Quarantäne.

Offensichtlich hatte ich vor langer Zeit Dokumente auf eine zweite Partition verschoben.

Anbei das Logfile:



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 4. Februar 2013 22:59


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Microsoft Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Microsoft Windows XP
Benutzername : -------
Computername : ---------

Versionsinformationen:
BUILD.DAT : 13.0.0.2890 48567 Bytes 05.12.2012 17:11:00
AVSCAN.EXE : 13.6.0.402 639264 Bytes 11.12.2012 19:13:16
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 11.12.2012 19:13:16
LUKE.DLL : 13.6.0.400 67360 Bytes 11.12.2012 19:13:45
AVSCPLR.DLL : 13.6.0.402 93984 Bytes 11.12.2012 19:13:55
AVREG.DLL : 13.6.0.406 248096 Bytes 11.12.2012 19:13:55
avlode.dll : 13.6.1.402 428832 Bytes 11.12.2012 19:13:56
avlode.rdf : 13.0.0.36 10917 Bytes 04.02.2013 21:56:33
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:50:29
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 13:50:31
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 13:50:34
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:50:36
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 13:50:37
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 13:42:40
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 13:42:40
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 19:21:46
VBASE008.VDF : 7.11.55.142 2214912 Bytes 03.01.2013 13:42:06
VBASE009.VDF : 7.11.55.143 2048 Bytes 03.01.2013 13:42:06
VBASE010.VDF : 7.11.55.144 2048 Bytes 03.01.2013 13:42:06
VBASE011.VDF : 7.11.55.145 2048 Bytes 03.01.2013 13:42:07
VBASE012.VDF : 7.11.55.146 2048 Bytes 03.01.2013 13:42:07
VBASE013.VDF : 7.11.55.196 260096 Bytes 04.01.2013 09:35:52
VBASE014.VDF : 7.11.56.23 206848 Bytes 07.01.2013 09:49:38
VBASE015.VDF : 7.11.56.83 186880 Bytes 08.01.2013 09:49:38
VBASE016.VDF : 7.11.56.145 135168 Bytes 09.01.2013 09:49:39
VBASE017.VDF : 7.11.56.211 139776 Bytes 11.01.2013 15:40:25
VBASE018.VDF : 7.11.57.11 153088 Bytes 13.01.2013 09:27:32
VBASE019.VDF : 7.11.57.75 165888 Bytes 15.01.2013 14:56:43
VBASE020.VDF : 7.11.57.163 190976 Bytes 17.01.2013 10:28:44
VBASE021.VDF : 7.11.57.219 119808 Bytes 18.01.2013 10:28:45
VBASE022.VDF : 7.11.58.7 167936 Bytes 21.01.2013 09:31:37
VBASE023.VDF : 7.11.58.49 140288 Bytes 22.01.2013 09:31:37
VBASE024.VDF : 7.11.58.119 137728 Bytes 24.01.2013 09:31:38
VBASE025.VDF : 7.11.58.175 132608 Bytes 25.01.2013 09:31:38
VBASE026.VDF : 7.11.58.213 116736 Bytes 27.01.2013 09:31:39
VBASE027.VDF : 7.11.59.68 1887744 Bytes 31.01.2013 21:56:19
VBASE028.VDF : 7.11.59.159 431104 Bytes 04.02.2013 21:56:20
VBASE029.VDF : 7.11.59.160 2048 Bytes 04.02.2013 21:56:20
VBASE030.VDF : 7.11.59.161 2048 Bytes 04.02.2013 21:56:20
VBASE031.VDF : 7.11.59.172 18432 Bytes 04.02.2013 21:56:20
Engineversion : 8.2.10.246
AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 13:42:55
AESCRIPT.DLL : 8.1.4.86 467323 Bytes 04.02.2013 21:56:32
AESCN.DLL : 8.1.10.0 131445 Bytes 13.12.2012 19:15:16
AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 15:58:06
AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 19:05:58
AEPACK.DLL : 8.3.1.2 819574 Bytes 20.12.2012 19:16:11
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 05.11.2012 19:33:25
AEHEUR.DLL : 8.1.4.194 5710199 Bytes 04.02.2013 21:56:31
AEHELP.DLL : 8.1.25.2 258423 Bytes 21.10.2012 18:41:41
AEGEN.DLL : 8.1.6.16 434549 Bytes 28.01.2013 09:31:41
AEEXP.DLL : 8.3.0.18 188789 Bytes 04.02.2013 21:56:32
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 13:42:55
AECORE.DLL : 8.1.30.0 201079 Bytes 13.12.2012 19:15:12
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 19:33:12
AVWINLL.DLL : 13.4.0.163 25888 Bytes 19.09.2012 17:09:30
AVPREF.DLL : 13.4.0.360 50464 Bytes 11.12.2012 19:13:14
AVREP.DLL : 13.4.0.360 177952 Bytes 11.12.2012 19:13:55
AVARKT.DLL : 13.6.0.402 260384 Bytes 11.12.2012 19:13:08
AVEVTLOG.DLL : 13.6.0.400 167200 Bytes 11.12.2012 19:13:11
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 17:17:40
AVSMTP.DLL : 13.4.0.163 62240 Bytes 19.09.2012 17:08:54
NETNT.DLL : 13.4.0.360 15648 Bytes 11.12.2012 19:13:46
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 11.12.2012 19:13:06
RCTEXT.DLL : 13.4.0.360 68384 Bytes 11.12.2012 19:13:06

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: BootSectorTest
Konfigurationsdatei...................: D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\cb57ca59.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 4. Februar 2013 22:59

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'TURatingSynch.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskmgr.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamscheduler.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesApp32.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'OPXPApp.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'fxssvc.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesService32.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'c2c_service.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'Omniserv.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'navapsvc.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLService.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLServer.exe' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'CDAC11BA.EXE' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTNtService.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccEvtMgr.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISSVC.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccSetMgr.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '143' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
d:\Dokumente und Einstellungen\familie\28245828.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.138644.1

Die Registry wurde durchsucht ( '7617' Dateien ).


Beginne mit der Desinfektion:
Die Datei '\\?\D:\Dokumente und Einstellungen\Ralf\Startmenü\Programme\Autostart\runctf.lnk' wurde ins Quarantäneverzeichnis verschoben.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path\Debugger> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-160138551-2438399037-795876468-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-160138551-2438399037-795876468-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-160138551-2438399037-795876468-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-160138551-2438399037-795876468-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-160138551-2438399037-795876468-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1609> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-160138551-2438399037-795876468-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\2500> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-160138551-2438399037-795876468-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\2500> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-160138551-2438399037-795876468-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\2500> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-160138551-2438399037-795876468-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\2500> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-160138551-2438399037-795876468-1006\Software\Microsoft\Internet Explorer\Main\NoProtectedModeBanner> wurde erfolgreich repariert.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winmgmt\Parameters> wurde erfolgreich entfernt.
d:\Dokumente und Einstellungen\familie\28245828.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.138644.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1db6ebed.qua' verschoben!
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters\ServiceDll> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters\ServiceDll> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters\ServiceDll> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winmgmt\Parameters\ServiceDll> wurde erfolgreich repariert.


Ende des Suchlaufs: Montag, 4. Februar 2013 23:04
Benötigte Zeit: 01:29 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
8148 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
8147 Dateien ohne Befall
54 Archive wurden durchsucht
0 Warnungen
1 Hinweise

So, konnte jetzt malware laufen lassen.
Hier die Logdatei. Ich hoffe, ich komme dem Ziel des wurmfreien PC´s wieder ein Stück näher. Freue mich auf Antwort!


Malwarebytes Anti-Malware (Test) 1.70.0.1100
Malwarebytes : Free anti-malware download

Datenbank Version: v2013.02.04.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
----:: -----[Administrator]

Schutz: Aktiviert

04.02.2013 23:11:58
MBAM-log-2013-02-05 (06-08-48).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 456670
Laufzeit: 1 Stunde(n), 32 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
D:\Dokumente und Einstellungen\-----\Favoriten\Online Security Test (Aus Firefox).URL (Rogue.Link) -> Keine Aktion durchgeführt.
D:\Dokumente und Einstellungen\------\Favoriten\Online Security Test.url (Rogue.Link) -> Keine Aktion durchgeführt.
D:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\runctf.lnk (Trojan.Ransom.SUGen) -> Keine Aktion durchgeführt.
D:\Dokumente und Einstellungen\Familie\Startmenü\Programme\Autostart\runctf.lnk (Trojan.Ransom.SUGen) -> Keine Aktion durchgeführt.

(Ende)

Solche Einträge meine ich, runctf.lnk (ein bekannter Abkömmling dieser ransoms) im Autostart ist NICHT in deinem OTLPE-LOg zu sehen!

Startet Windows wieder normal ohne Sperre?

Nein, nicht nur Dokumente, sondern das Verzeichnis, das alles Userprofilordner speichert, liegt auf einer anderen Partition und nicht auf C - da muss man selber was machen damit es so wird, versehentlich geht sowas nicht!


Mach bitte mit dem folgenden Text weiter falls Windows wieder normal startet, ansonsten versuch es im abgesicherten Modus ohne Internetverbindung zu starten:

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Erstmal eine Kontrolle mit OTL bitte:

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in CODE-Tags in den Thread.

Hey Cosinus,

anbei den otl-txt datei. Danach die Extras.txt
OTL Logfile:

OTL Logfile:
--- --- ---

--- --- ---


und hier die das extras log:

OTL Logfile:
OTL Logfile:
--- --- ---

--- --- ---


Ich hoffe, das war so ok!

Danke noch immer!

:dankeschoen:

Bitte nun Logs mit GMER (<<< klick für Anleitung) und aswMBR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur aswMBR aus.

aswMBR-Download => aswMBR.exe - speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Hi Cosinus,

ich finde Deine Hilfe echt klasse und versuche Deine Anweisungen soweit es mir gelingt auch durchzführen.

Und jetzt erst mal das gmer log:

GMER Logfile:
--- --- ---


Jetzt das aswMBR log:

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-02-06 20:35:06
-----------------------------
20:35:06.968 OS Version: Windows 5.1.2600 Service Pack 3
20:35:06.968 Number of processors: 1 586 0x401
20:35:06.968 ComputerName: TOWER UserName:
20:35:07.265 Initialize success
20:41:11.671 AVAST engine defs: 13020600
20:41:25.984 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
20:41:26.000 Disk 0 Vendor: ST3200826AS 3.03 Size: 190782MB BusType: 3
20:41:26.015 Disk 0 MBR read successfully
20:41:26.015 Disk 0 MBR scan
20:41:26.109 Disk 0 Windows XP default MBR code
20:41:26.109 Disk 0 Partition 1 00 17 Hidd HPFS/NTFS NTFS 4000 MB offset 63
20:41:26.140 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 30710 MB offset 8193150
20:41:26.171 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 156061 MB offset 71087625
20:41:26.203 Disk 0 scanning sectors +390700800
20:41:26.296 Disk 0 scanning C:\WINDOWS\system32\drivers
20:41:47.062 Service scanning
20:42:08.437 Modules scanning
20:42:19.093 Disk 0 trace - called modules:
20:42:19.125 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
20:42:19.125 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a3a7290]
20:42:19.125 3 CLASSPNP.SYS[ba168fd7] -> nt!IofCallDriver -> \Device\000000aa[0x8a4541b0]
20:42:19.125 5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x8a3a7940]
20:42:19.312 AVAST engine scan C:\WINDOWS
20:42:29.484 AVAST engine scan C:\WINDOWS\system32
20:47:00.796 AVAST engine scan C:\WINDOWS\system32\drivers
20:47:37.656 AVAST engine scan D:\Dokumente und Einstellungen\*****
20:53:35.765 Disk 0 MBR has been saved successfully to "D:\Dokumente und Einstellungen\*****\Desktop\MBR.dat"
20:53:35.781 The log file has been saved successfully to "D:\Dokumente und Einstellungen\*****\Desktop\aswMBR.txt"


Viel Erfolg!