gaisox & cxroap malware zerstört externe speichermedien
 

Ich schildere mal wie ich zu dem virus gekommen bin:
In der Schule, wir sind eine Laptopklasse, gab ich meinen USB-Stick an eine Klassenkollegin weiter. Mein USB-Stick wurde an ihren Laptop angeschlossen, zusätzlich wurde noch ein weiterer USB-Stick angeschlossen, und auf einmal waren alle Dateien und Ordner auf meinem USB-Stick als Verknüpfung gekennzeichnet und nur mehr 1kb groß. Die Dateien lassen sich auch nicht mehr öffnen.
Es war auch noch eine weitere Datei auf meinem USB-Stick, die vorher nicht drauf war. Diese hieß: gaisox.exe
Ich hab dann mal den gesamten USB-Stick-Inhalt mit AviraAntivir auf Viren geprüft und nichts gefunden. Seltsamerweise war plötzlich die "gaisox.exe" Datei nicht mehr da.
Stattdessen liefen nun 2neue Prozesse auf meinem Laptop: cxroapx.exe und cxroap.exe
Und es war ein Autostartprogramm hinzugekommen ... cxroap.exe
Diese cxroap.exe sollte sich angeblich im User Verzeichnis befinden ... hab die versteckten Elemente eingeblendet, aber die Datei war nicht zu sehen.
Ich hab natürlich gleich mal nach gaisox und cxroap gegoogelt und außer einem Eintrag nicht gefunden: hxxp://www.prevx.com/filenames/X1345119379868581302-X1/GAISOX.EXE.html
Der Virus scheint also neu zu sein.
Ich hab dann eine Systemwiederherstellung versucht. Leider schlug diese aus unbekannten Gründen fehl. Einziger "Erfolg" es lief nur noch der Prozess "cxroap.exe"
Ich hab natürlich versucht den Autostartprozess in der Systemsteuerung und auch im Task-Manager zu beenden ... ohne Erfolg
Dann hab ich einmal im Task-Manager auf "Prozesse aller Benutzer anzeigen" gedrückt, noch einmal versucht den Prozess zu beenden ... und er war dann weg. In der Systemsteuerung konnte ich ihn dann auch entfernen. Nach einem Neustart des Laptops starteten die Prozesse auch nicht mehr.
Ich hab dann meinen USB-Stick formatiert und auch dort schien der Virus dann bereinigt. Ich konnte Dateien rüberkopieren ohne dass sie sofort wieder zu einer Verknüpfung gemacht wurden.
Jetzt hab ich den USB-Stick auf meinem Stand-PC angesteckt und auf einmal waren die Dateien wieder Verknüpfungen ... zusätzlich kommen noch neue Ordner wie z.B. music, documents, passwords ... alle mit 1kb
In meiner Klasse sind nun mehrere betroffen. Einige haben schon "Experten" um Rat gefragt und keiner konnte den Virus entfernen. Ein "Experte" hat den Laptop einer Klassenkollegin angeblich 3mal neu aufgesetzt und der Virus ist angeblich immer noch da.
Bei dem oben angeführten Link ist ein Tool, dass den Virus angeblich entfernen kann. Ich weiß nur nicht ob man dieser Software trauen kann ... immerhin ist das der einzige Eintrag über den "gaisox"-virus. Könnte ja auch eine gemeine Falle sein ...
Sorry, dass das jetzt ein so langer Text ist ... ich wollt nur alles anführen was ich weiß ;)

Kann jemand helfen???

hat keiner einen Lösungvorschlag?!

Hallo und :hallo:

Lass mich raten: Ihr arbeitet natürlich alle als Admin und habt natürlich die automatische Wiedergabe (autorun) auf allen Laufwerken aktiviert. Das ist die MS-Windows-Standardeinstellung. Bei sowas dämliches als default muss man sich über Befall nun wirklich nicht mehr wundern wenn man gedankenlos infizierte USB-Sticks ansteckt.

Dann hat der sog. Experte 3x was falsch gemacht, denn mit einer vernünftigen Neuinstallation bleiben keine Schädlinge übrig.

Wieviele Rechner sind jetzt infiziert? Dein Notebook und Dein Desktop-PC?

erstmal danke für die antwort!

ja wir arbeiten alle als admins ... wenn das bei Windows Vista Business Standard ist dann wird das wohl bei allen sein ... weiß jz nicht so genau was du da meinst ... wenn ich nen USB-Stick anstecke fragt er mich ob ich den ordner öffnen will, oder was abspielen möchte, etc.

ich dachte auch dass mit ner neuinstallation des systems alle viren weg sein sollten, über die kompetenz dieses "experten" weiß ich nicht bescheid

seit ein paar minuten hab ich neue informationen:
dieses prefx (vorhin verlinkt) funktioniert nicht wirklich ... durchsucht den pc und bei ner datei (toshiba irgendwas ... mein laptop is von toshiba) bleibt er stehen und macht nix mehr ... alles hängt sich auf ... NOT-Aus, mehr geht nicht

hab jz mit "Spybot - Search & Destroy" den laptop und auch den Desktop-PC durchsucht ... in beiden Fällen nichts gefunden
während auf dem Laptop jedoch die Datei: cxroap.exe sich im USER-Verzeichnis befindet, ist dies auf dem Desktop-PC nicht der Fall
mein (ehemals) infizierter USB-Stick zeigt manchmal die Daten normal an manchmal sind sie wieder nur Verknüpfungen ... den werd ich wohl in die Tonne hauen können!
Wenn ich versuche diese Datei cxroap.exe manuell zu löschen erscheint ne meldung dass die datei gerade von einem anderen programm benutzt wird!

in google gibt es keinen einzigen eintrag für diesen virus!
ich denke es bleibt mir nichts anderes übrig, als Windows neu zu installieren! die frage ist halt nur ob es genügt wenn ich das Laufwerk wo Windows oben ist abräume oder ob ich alle Laufwerke abräume ... würde dann nen datenverlust bedeuten!

Wir analysieren erstmal einen Rechner. Such Dir den aus, ich will aber nicht, dass Du hier Logs von verschiedenen Rechnern in diesem Strang zusammengewürfelt reinpostest.

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

danke für die Antwort!! ich werd das ganze dann mit meinem Laptop machen! muss heute leider noch für nen test lernen, werd also vermutlich erst morgen nachmittag dazu kommen!

okay! neuer stand der dinge, ablauf der ereignisse in chronologischer reihenfolge:

avira antivir hat heute wieder ein neues update bekommen!
ich downloade, installiere, update "malwarebytes" und starte den vollständigen scan; nach ein paar dateien: "keine rückmeldung", ich warte kurz, versuch dann strg+alt+entf, nichts kommt ... nach kurzer zeit schwarzer bildschirm und nur noch meine maus zu sehen .... NOT-AUS!
neustart! sofort nach der anmeldung wird automatisch avira antivir gestartet, kurz darauf kommt die meldung: cxroap.exe = virus ... ich drück löschen
ich starte erneut den vollständigen suchlauf mit "malwarebytes" ... wieder nach ein paar dateien "keine Rückmeldung" ... ich warte ein paar minuten, aber rien ne va plus! versuch wieder strg+alt+enft. ... schwarzer bildschirm ... ich warte ... fehlermeldung: irgendwas mit sicherheitsoptionen (leider wieder vergessen, sorry); NOT-AUS!
neustart .... und jz bin ich hier ;)

ich bezweifle dass das alles normal ist, immerhin war mit "prefx" genau dasselbe ... das hat auch nach kurzer zeit nicht mehr reagiert ...
ich werd jz mal mit avira nen vollständigen scan machen
ich hoffe man konnte mit den oben angeführten ereignissen was anfangen!

edit: die datei "cxroap.exe" liegt jz nicht mehr im USER-verzeichnis ... wurde also gelöscht, bleibt eben nurmehr die frage, ob dateien am laptop infiziert sind!

Avira hast Du doch schon zig Mal gemacht, die Ergebnisse von Malwarebytes und OTL sind jetzt viel wichtiger!

avira hab ich einmal gemacht da wurde nichts gefunden
jz hat avira ein update bekommen und er hat den virus sofort erkannt ...
und wie gesagt dieses malwarebytes reagiert nach ein paar dateien nicht mehr ... und ich habs 2mal versucht und nebenbei ist rein garnichts gelaufen!
ich würds ja gern machen aber es funktioniert leider nicht ... ich habe keine ahnung warum

Dann mach erstmal nur die Logs mit OTL!

sorry dass das jz so lang gedauert hat, aber ich wollte den avira scan noch fertig laufen lassen ... kein Fund!

heir die 2 gewünschten dateien von OTL
OTL.txt
Anhang 9472

Extras.txt
Anhang 9473


p.s. nur weils mir grad beim scan aufgefallen ist: ich hab 2 windows.old ordner, da ich meinen laptop früher schon 2mal neu aufgesetzt habe. die windows.old ordner nehmen ja ziemlich viel speicherplatz ein und eig. sind die zu nichts zu gebrauchen, kann ich die bedenkenlos löschen?

die Logfiles am besten immer in [ CODE ]*hier das logfile*[ /CODE ] posten.

Beim Beitrag schreiben ist es der Button mit der # ;)

Bevor es mit dem Virus ausgewertet ist würde ich nichts eilig löschen.

cosinus wird dir dann mit der Auswertung der Logfiles weiterhelfen ;)

danke!
bezüglich den windows.old ordnern: grundsätzlich kann man sie aber bedenkenlos löschen?

Ist der Proxyserver bekannt und auch gewollt?

Warum kümmert sich eigentlich nicht Eure IT-Abteilung um Eure Probleme? :stirn:

der proxy server wird in der schule verwendet! bei meinem internet zu hause hab ich keinen proxy!

"das liegt nicht im aufgabenbereich der schule und auch nicht in meinem", so ähnlich hat das mal der netzwerkadministrator gesagt.


was liest du jz eigentlich aus den beiden dateien heraus ... siehst du da ob noch infizierte dateien da sind?
btw. die 3 anderen aus meiner klasse die den virus hatten, sind ihn durch mehrmaliges neu aufsetzen losgeworden

Ok, verstehe, es ist eine Schule. Aber wozu muss da das private Notebook in die Domäne rein...das klingt mir nicht ganz einleuchtend.
Proxy ist also gewollt. Dann machen wir mal weiter.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":Files" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

so hab das mal gemacht!

nach dem neustart erschien das ein .txt file namens: 10062010_214114
hab versucht es hochzuladen, es kommt jedoch immer ne fehlermeldung "ungültige datei"! darum kopier ich mal den inhalt rein:

All processes killed
========== FILES ==========
C:\Windows\tasks\At1.job moved successfully.
C:\Windows\tasks\At2.job moved successfully.
C:\Windows\tasks\At3.job moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Fleischi
->Temp folder emptied: 9453660 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 12 bytes
->FireFox cache emptied: 47632317 bytes
->Opera cache emptied: 12222174 bytes
->Flash cache emptied: 1973 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1151376 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 67.00 mb


OTL by OldTimer - Version 3.2.14.1 log created on 10062010_214114

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Combofix Logfile:
--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

ich bin echt froh dass du mir deine hilfe anbietest aber irgendwie würd mich auch interessieren wozu du diese ganzen files benötigst? was liest du da raus?

hab das GMER mal gemacht ... er hatte auch schon ein paar dateien herausgefiltert, als er dann im windows.old000 ordner war kam plötzlich ein bluescreen mit nem text .... was weiß ich, der ging recht schnell weg. ... unerwarteter fehler, neustart wird gemacht, etc.

beim neustart kam dann folgender windows-fehlerbericht:
Anhang 9608
Anhang 9609
Anhang 9610

war mir jz nicht sicher ob du das mit abstürzen meintest!

Das mein ich mit Abstürzen. Mach bitte mit OSAM und mbrcheck weiter

hab das mit OSAM jetzt gemacht bzw. versucht zu machen
scan wurde durchgeführt, aber er kann irgendwie keine verbindung zur Online Datenbank herstellen; ich habe keine ahnung warum, internet verbindung ist da, proxy is deaktiviert (proxy is ja nur für die schule), hab auch avira und die firewall ausgeschalten, aber es funktioniert trotzdem nicht ... ich post einfach mal das file, wude jetzt halt nicht gecheckt von dieser internet data base von osam

OSAM Logfile:
--- --- ---

Die Online-DB kannst Du ignorieren, ich brauch nur das reine Log so wie Du es gepostet hattest - und es sieht auch ok aus :)

Postest Du noch das Log von mbrcheck?

bitteschön:

[ CODE ]*MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Business Edition
Windows Information: Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer: TOSHIBA
BIOS Manufacturer: TOSHIBA
System Manufacturer: TOSHIBA
System Product Name: Satellite A300
Logical Drives Mask: 0x0000006c

Kernel Drivers (total 161):
0x81E1F000 \SystemRoot\system32\ntkrnlpa.exe
0x821D8000 \SystemRoot\system32\hal.dll
0x80400000 \SystemRoot\system32\kdcom.dll
0x80407000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x80477000 \SystemRoot\system32\PSHED.dll
0x80488000 \SystemRoot\system32\BOOTVID.dll
0x80490000 \SystemRoot\system32\CLFS.SYS
0x804D1000 \SystemRoot\system32\CI.dll
0x80601000 \SystemRoot\system32\drivers\Wdf01000.sys
0x8067D000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x8068A000 \SystemRoot\system32\drivers\acpi.sys
0x806D0000 \SystemRoot\system32\drivers\WMILIB.SYS
0x806D9000 \SystemRoot\system32\drivers\msisadrv.sys
0x806E1000 \SystemRoot\system32\drivers\pci.sys
0x80708000 \SystemRoot\System32\drivers\partmgr.sys
0x80717000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x8071A000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x80724000 \SystemRoot\system32\drivers\volmgr.sys
0x80733000 \SystemRoot\System32\drivers\volmgrx.sys
0x8077D000 \SystemRoot\system32\drivers\intelide.sys
0x80784000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x80792000 \SystemRoot\System32\drivers\mountmgr.sys
0x89E0D000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x89ED5000 \SystemRoot\system32\drivers\atapi.sys
0x89EDD000 \SystemRoot\system32\drivers\ataport.SYS
0x89EFB000 \SystemRoot\system32\drivers\msahci.sys
0x89F05000 \SystemRoot\system32\drivers\fltmgr.sys
0x89F37000 \SystemRoot\system32\drivers\fileinfo.sys
0x89F47000 \SystemRoot\System32\Drivers\ksecdd.sys
0x8A004000 \SystemRoot\system32\drivers\ndis.sys
0x8A10F000 \SystemRoot\system32\drivers\msrpc.sys
0x8A13A000 \SystemRoot\system32\drivers\NETIO.SYS
0x8A205000 \SystemRoot\System32\drivers\tcpip.sys
0x8A2EF000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8A403000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8A513000 \SystemRoot\system32\drivers\volsnap.sys
0x8A54C000 \SystemRoot\system32\DRIVERS\TVALZ_O.SYS
0x8A551000 \SystemRoot\system32\DRIVERS\tos_sps32.sys
0x8A594000 \SystemRoot\System32\Drivers\spldr.sys
0x8A59C000 \SystemRoot\System32\Drivers\mup.sys
0x8A5AB000 \SystemRoot\System32\drivers\ecache.sys
0x8A5D2000 \SystemRoot\system32\drivers\disk.sys
0x8A30A000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x8A5E3000 \SystemRoot\system32\drivers\crcdisk.sys
0x8A3F3000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8A175000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x8A17E000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x8A5F9000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x8A18D000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x8DE03000 \SystemRoot\system32\DRIVERS\atikmdag.sys
0x8E2A7000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x8E346000 \SystemRoot\System32\drivers\watchdog.sys
0x8E352000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8E3DF000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x8A196000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8E3EA000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8E40F000 \SystemRoot\system32\DRIVERS\NETw5v32.sys
0x8E797000 \SystemRoot\system32\DRIVERS\yk60x86.sys
0x8E7E3000 \SystemRoot\system32\DRIVERS\ohci1394.sys
0x8E400000 \SystemRoot\system32\DRIVERS\1394BUS.SYS
0x8A1D4000 \SystemRoot\system32\DRIVERS\sdbus.sys
0x8E7F3000 \SystemRoot\system32\DRIVERS\o2media.sys
0x89FB8000 \SystemRoot\system32\DRIVERS\SCSIPORT.SYS
0x89FDE000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x8A1EE000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x807A2000 \SystemRoot\system32\DRIVERS\SynTP.sys
0x8E7FE000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x89FF1000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x807D1000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8E3F9000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x805B1000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x8EA07000 \SystemRoot\system32\DRIVERS\storport.sys
0x8EA48000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8EA53000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x8EA6A000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x8EA75000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x8EA98000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x8EAA7000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x8EABB000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x8EAD0000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0x8EB59000 \SystemRoot\system32\DRIVERS\termdd.sys
0x8EB69000 \SystemRoot\system32\DRIVERS\swenum.sys
0x8EB6B000 \SystemRoot\system32\DRIVERS\ks.sys
0x8EB95000 \SystemRoot\system32\DRIVERS\QIOMem.sys
0x8EB9E000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x8EBA8000 \SystemRoot\system32\DRIVERS\umbus.sys
0x8EBB5000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x8EBEA000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x805E0000 \SystemRoot\system32\drivers\AtiHdmi.sys
0x8EC07000 \SystemRoot\system32\drivers\portcls.sys
0x8EC34000 \SystemRoot\system32\drivers\drmk.sys
0x8EC59000 \SystemRoot\system32\drivers\CHDRT32.sys
0x8EC8C000 \SystemRoot\system32\DRIVERS\HSXHWAZL.sys
0x8ECCA000 \SystemRoot\system32\DRIVERS\HSX_DPV.sys
0x8EE09000 \SystemRoot\system32\DRIVERS\HSX_CNXT.sys
0x8EEBE000 \SystemRoot\system32\drivers\modem.sys
0x8EECB000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x8EEE2000 \SystemRoot\System32\Drivers\UVCFTR_S.SYS
0x8EEEB000 \SystemRoot\System32\Drivers\usbvideo.sys
0x8EF0C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x8EF15000 \SystemRoot\System32\Drivers\Null.SYS
0x8EF1C000 \SystemRoot\System32\Drivers\Beep.SYS
0x8EF23000 \SystemRoot\System32\drivers\vga.sys
0x8EF2F000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8EF50000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8EF58000 \SystemRoot\system32\drivers\rdpencdd.sys
0x8EF60000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8EF6B000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8EF79000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x8EF82000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8EF98000 \SystemRoot\system32\DRIVERS\smb.sys
0x8EFAC000 \SystemRoot\system32\drivers\afd.sys
0x8EDCD000 \SystemRoot\System32\DRIVERS\netbt.sys
0x807E9000 \SystemRoot\system32\DRIVERS\pacer.sys
0x8EFF4000 \SystemRoot\system32\DRIVERS\rtlprot.sys
0x8EE00000 \SystemRoot\system32\DRIVERS\jswpslwf.sys
0x8F20E000 \SystemRoot\system32\DRIVERS\netbios.sys
0x8F21C000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x8F22F000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x8F235000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x8F271000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8F27B000 \SystemRoot\system32\drivers\csc.sys
0x8F2D6000 \SystemRoot\System32\Drivers\dfsc.sys
0x8F2ED000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x8F309000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
0x8F30B000 \SystemRoot\System32\Drivers\crashdmp.sys
0x8F318000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0x98890000 \SystemRoot\System32\win32k.sys
0x8F3E0000 \SystemRoot\System32\drivers\Dxapi.sys
0x8F3EA000 \SystemRoot\system32\DRIVERS\monitor.sys
0x98AB0000 \SystemRoot\System32\TSDDD.dll
0x98AD0000 \SystemRoot\System32\cdd.dll
0x8A32B000 \SystemRoot\system32\drivers\luafv.sys
0x8A346000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x8160E000 \SystemRoot\system32\drivers\spsys.sys
0x816BE000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x816CE000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x816F8000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x81702000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x81715000 \SystemRoot\system32\drivers\HTTP.sys
0x81782000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x8179F000 \SystemRoot\system32\DRIVERS\bowser.sys
0x817B8000 \SystemRoot\System32\drivers\mpsdrv.sys
0x817CD000 \SystemRoot\system32\drivers\mrxdav.sys
0x8A35A000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x8A379000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x8A3B2000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x8A3CA000 \SystemRoot\System32\DRIVERS\srv2.sys
0x9C609000 \SystemRoot\System32\DRIVERS\srv.sys
0x9C657000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0x9C660000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x9C669000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x9C679000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x9C680000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x9C6A0000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0x9C6A4000 \SystemRoot\system32\drivers\peauth.sys
0x9C782000 \SystemRoot\System32\Drivers\secdrv.SYS
0x9C78C000 \SystemRoot\System32\drivers\tcpipreg.sys
0x9C798000 \SystemRoot\system32\DRIVERS\xaudio.sys
0x9C7A0000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x77480000 \Windows\System32\ntdll.dll

Processes (total 60):
0 System Idle Process
4 System
508 C:\Windows\System32\smss.exe
588 csrss.exe
648 C:\Windows\System32\wininit.exe
660 csrss.exe
692 C:\Windows\System32\services.exe
704 C:\Windows\System32\lsass.exe
716 C:\Windows\System32\lsm.exe
864 C:\Windows\System32\svchost.exe
928 C:\Windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
984 C:\Windows\System32\svchost.exe
996 C:\Windows\System32\winlogon.exe
1048 C:\Windows\System32\svchost.exe
1104 C:\Windows\System32\Ati2evxx.exe
1152 C:\Windows\System32\svchost.exe
1184 C:\Windows\System32\svchost.exe
1200 C:\Windows\System32\svchost.exe
1316 C:\Windows\System32\audiodg.exe
1348 C:\Windows\System32\SLsvc.exe
1412 C:\Windows\System32\svchost.exe
1624 C:\Windows\System32\svchost.exe
1664 C:\Windows\System32\Ati2evxx.exe
1888 C:\Windows\System32\wlanext.exe
2008 C:\Windows\System32\spoolsv.exe
2032 C:\Program Files\Avira\AntiVir Desktop\sched.exe
2044 C:\Windows\System32\svchost.exe
560 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
1588 C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1512 C:\Program Files\Bonjour\mDNSResponder.exe
764 C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
1288 C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
2052 C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
2088 C:\Program Files\O2Micro Flash Memory Card Driver\o2flash.exe
2160 C:\Windows\System32\PnkBstrA.exe
2184 C:\Windows\System32\svchost.exe
2220 C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
2268 C:\Windows\System32\svchost.exe
2296 C:\Program Files\Toshiba TEMPRO\TemproSvc.exe
2468 C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
2488 C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
2508 C:\Program Files\TOSHIBA\SMARTLogService\TosIPCSrv.exe
2592 C:\Windows\System32\svchost.exe
2628 C:\Windows\System32\SearchIndexer.exe
2668 C:\Windows\System32\drivers\XAudio.exe
2844 C:\Windows\System32\taskeng.exe
3200 C:\Program Files\TOSHIBA\SmartFaceV\SmartFaceVWatchSrv.exe
3536 C:\Windows\System32\taskeng.exe
3780 C:\Windows\System32\dwm.exe
3820 C:\Windows\explorer.exe
3904 C:\Program Files\Windows Defender\MSASCui.exe
3912 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
3944 F:\iTunes\iTunesHelper.exe
1544 C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
3708 C:\Program Files\iPod\bin\iPodService.exe
3744 C:\Program Files\Mozilla Firefox\firefox.exe
2652 WmiPrvSE.exe
352 dllhost.exe
2360 dllhost.exe
1404 C:\Users\Fleischi\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`5dd00000 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x00000013`1b300000 (NTFS)

PhysicalDrive0 Model Number: TOSHIBAMK1646GSX, Rev: LB113M
PhysicalDrive1 Model Number: HitachiHTS542516K9SA00, Rev: BBCOC33P

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979
149 GB \\.\PhysicalDrive1 Unknown MBR code
SHA1: B8E2175818464D3FFEB1C1B647995AD0F49BFDB5


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.

Enter your choice: *[ /CODE ]

Ist das ne USB oder auch eine interne Platte?

also, da ich außer meiner maus nichts an einen USB Steckplatz angesteckt habe wird das wohl ne festplatte sein ... hab ehrlich gesagt keine ahnung

das ist mein notebook ... da steht es hat 2 160gb festplatten
hxxp://de.computers.toshiba-europe.com/innovation/jsp/SUPPORTSECTION/discontinuedProductPage.do?service=DE&com.broadvision.session.new=Yes&PRODUCT_ID=1055484

Starte bitte MBRCheck.exe erneut.
Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter
bei

• Enter 'Y' and hit ENTER for more options, or 'N' to exit: y
• Enter your choice: 2
• Enter the physical disk number to fix (0-99, -1 to cancel): 1
• Please select the MBR code to write to this drive: 3 (für Vista)
• Gib nun Yes ein und bestätige mit ENTER.
• Starte den Rechner neu auf.

Nach dem Neustart starte bitte MBRCheck.exe erneut.
Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop.
Poste mir den Inhalt von beiden .txt Dokumenten

also hab genau das gemacht was du gesagt hast ... hab dann auch gleich "neu starten" gemacht ... er fuhr runter, aber nicht mehr hoch, blieb aber am laufen ... nach paar minuten hab ich dann NOT-AUS gemacht und neu aufgedreht
es sind zwar 2 files auf meinem desktop das eine ist wie das vorherige:
Anhang 9654

das zweite ist ne BAK-Datei ... er fragt mich mit was ich die datei öffnen möchte ... wenn ich sie mit dem editor öffne steht nicht grad viel drin bzw. nur irgendwelche komischen zeichen
ich würd dir die datei gern hochladen, aber das dateiformat ist nicht zulässig

Mach nochmal ein neues Log, das letzte zeigt am Ende nur die Eingaben, die Du zum Fixen vorgenommen hast.

ja hab das ganze jetzt nochmal gemacht ... alles genauso wie vorhin ... 2 dateien wurden erstellen: eine .txt und eine .bak die als backup bezeichnet wird
ich post mal wieder das .txt file, wird aber genau das selbe drin stehen wie beim vorigen:
Anhang 9667

der neustart hat übrigens wieder nicht geklappt, ich drück neu starten, er fährt runter, dann is ein schwarzer bildschirm und der laptop läuft immer noch, hab ca. 10 minuten gewartet, aber es hat sich nichts getan, also hab ich wieder NOT-AUS gemacht und wieder aufgedreht

Hast Du den Fix nochmal gemacht? :wtf:
Ich wollte nur ein neues Log von mbrcheck haben!

hab das nochmal gefixt ;) ^^

also hab jz nur ganz normal ohne dem fix nochmal gemacht, ich hoff das ist jetzt das richtige:
Anhang 9725

Das Fixen klappt irgendwie nicht :headbang:
Du führst vor dem Fix mbrcheck aber auch per Rechtsklick als Admin aus oder?

hab jz nochmal das programm als admin ausgeführt den fix gemacht ... neugestartet ... bzw. neu starten gedrückt, dann fährt er runter bleibt aber am laufen ... fährt nicht mehr hoch, ... NOT-AUS und dann wieder aufdrehen ...
hab dann nochmal das normale log gemacht, aber steht noch immer unknown

hier die logs:
fix:
Anhang 9770
normal:
Anhang 9771

Dann hilft nur noch Testdisk weiter, es sei denn Du kannst mit dem möglicherweise manipulierten MBR auf der zweiten Platte leben ;)
Kritisch wären nur manipulierte MBRs auf der Systemplatte (harddisk0 also physicaldrive0)
Unter XP kann man mit der Wiederherstellungskonsole auch andere Platten fixen, aber ab Vista wurde der Befehl geändert, und da hab ich bisher keine Dokumentation gesehen, die was anderes erlaubt als harddisk0 :balla:

was macht denn so ein falscher MBR code
sind irgendwelche risiken bei Testdisk; ne anleitung wär wieder hilfreich

Eine Anleitung kann ich Dir auf die schnelle so leider nicht geben :o
Ein falscher bzw. manipulierter MBR sorgt für einen mehr oder weniger unentfernbaren Schädling, jedenfalls so lange wie der MBR "Böse" ist...

Du bootest aber von der ersten Platte, da ist der MBR ok, wenn Du magst, können wir den MBR auch so lassen. Oder wir fummeln mit Linux an der Konsole rum ;)

okay, also ich denke mit linux was zu machen übersteigt erstens meine kompetenz und zweitens wäre mir der zeitaufwand auch zu hoch
könnte sich dieser "böse" MBR Code auch auf die andere Festplatte übertragen, oder irgendwelchen schaden anrichten (Datenverlust, etc....)
und dieses programm: testdisk ... das könnte das ganze wieder beheben? bevor ich was mache würd ich natürlich gerne die möglichen risiken kennen
neu aufsetzen bringt nichts, da es ja nicht auf dem boot-laufwerk ist, oder?

So schwierig unter Linux wär das nicht. Ich müsste Dir nur den passenden Befehl geben, den Du dann eintipperst und ausführst.
Aber wie gesagt, da es sich um die Datenplatte handelt und nicht um die, von der Du Windows startest, stuf ich das Problem jetzt nicht ganz so schlimm ein. Wobei auch nur die Info vorliegt, dass der MBR unbekannnt ist, er muss nicht unbedingt böse sein.

ich glaube dass mit Linux lass ich lieber sein ;)

kann ich jetzt wieder einen USB-Stick oder eine externe Festplatte anschließen an den Laptop ohne dass die dann infiziert bzw. zerstört werden?

und nochmal zu den windows.old ordner: ich hab 2 davon da ich schon 2 mal neu aufgesetzt habe. Kann ich die löschen? Hab ne Anleitung zum löschen auf der Microsoft homepage gefunden.

ich denke schon. Mach aber bitte vorher zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Wenn man vernünftig neu aufsetzt, ist da garkein Windows.old Ordner! Hast Du Windows aus dem laufenden Windows immer drüberinstalliert?
Link zur Anleitung?

oO malwarebytes nochmal ... das hat doch beim letzten mal schon nicht funktioniert, mitten in der prüfung "keine Rückmeldung" und ich konnte nichts mehr mach -> NOT-AUS

naja, ich habs immer aufs selbe laufwerk installiert
hxxp://support.microsoft.com/kb/933212/de
sorry, ich benutz das hyperlink symbol und kopier den link rein aber wenn ich dann poste is er wieder weg, bin anscheinend unfähig, sorry ;)

Eine echte Neuinstallation setzt ein format c: voraus.

ich hab meine beiden festplatten auf 3 laufwerke geteilt, eines davon heißt C: Vista
dort hab ich mein system (logischerweise) installiert, und zwar immer
zu beginn war noch vista home drauf, wir brauchen aber business um in das netwerk in der schule zu kommen, also hab ich das dann installiert, auf C
und einmal hab ich neu aufgesetzt, wieder auf C

okay, ich hab malwarebytes jetzt weggelassen, da das letzte mal schon nicht funktioniert hat
SUPERAntiSpyware hab ich gemacht:
hier das log:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 10/15/2010 at 05:00 PM

Application Version : 4.44.1000

Core Rules Database Version : 5688
Trace Rules Database Version: 3500

Scan type : Complete Scan
Total Scan Time : 02:57:13

Memory items scanned : 621
Memory threats detected : 0
Registry items scanned : 8151
Registry threats detected : 0
File items scanned : 66720
File threats detected : 6

Trojan.Agent/Gen-Cryptor[Virut]
C:\TOSHIBA\WEBSHOPS\ADDEBAYTOOLBARBUTTON.EXE

Adware.Tracking Cookie
countdownpage.createyourcountdown.com [ C:\Users\Fleischi\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Z7UES39C ]
media.mtvnservices.com [ C:\Users\Fleischi\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\Z7UES39C ]
C:\Windows.old\Users\Fleischi\AppData\Roaming\Microsoft\Windows\Cookies\fleischi@ad.yieldmanager[1].txt
C:\Windows.old\Users\Fleischi\AppData\Roaming\Microsoft\Windows\Cookies\Low\fleischi@ad.yieldmanager[1].txt

Trojan.Agent/Gen-FakeAlert[Local]
C:\WINDOWS.OLD.000\USERS\LUF_FLEISCHHACKER\APPDATA\LOCAL\TEMP\_UNPS.EXE


übrigens: ein klassenkollege hat den selben laptop wie ich, wenn er auf seinem laptop MBRcheck durchführt, und bei ihm der code für die zweite platte nicht erkannt wird, dann müsste alles in ordnung sein, weil er den virus ja nicht hatte
wär das ne sinnvolle option, das auf seinem laptop zu checken?

Wann genau hast Du zuletzt den Vollscan mit Malwarebytes ausprobiert?

Stimmt die Prüfsumme mit der von Deinem als unbekannt eingestuften MBR denn überein?
Wenn Du meinst Log von seinem Notebook hier reinzustellen, dann bitte in einen neuen Strang.

malwarebytes hab ich das letzte mal gemacht am: 04.10.2010 um 19:57 Uhr (siehe Seite1 im Thread)

was sagst du eigentlich zu dem log-file von SuperAntiSpyware?
ich hab dann übrigens das entfernt mit dem programm ... also hab nach dem Ergebnis dann auf weiter geklickt und dann wurde das entfernt!

hab den MBRcheck noch nicht auf dem PC von meinem Klassenkollegen gemacht, wollt erstmal wissen ob das was bringt
das kann ich jetzt auch erst frühestens montag machen!
was meinst du mit einem neuen Strang?

Mach bitte nochmal ein Update von Malwarebytes und probier den Vollscan erneut.

Dass Du für die Logs eines anderen PCs nicht in diesem Strang postest, sondern einen neuen aufmachst, der Übersichtlichkeit wegen.

hab malwarebytes upgedatet den vollständigen suchlauf gestarten nach knapp 3000 durchsuchten objekten bei irgeneiner adobe reader datei plötzlich keine rückmeldung mehr, nix geht mehr ... NOT-Aus ... neustart!

was sagst du denn jz zu dem SuperAntiSpyware Log ???

ich fände zwar unübersichtlicher für eine Datei ein neues Thema aufzumachen, aber okay ... das kann ich sowieso erst frühestens montag machen!

Probier mal ein chkdsk des Dateisystems, das ist definitiv nicht normal...

chkdsk der Systempartition unter Windows Vista

1. Klick mit rechts auf einen freien Bereich auf dem Desktop und sag "Neu, Verknüpfung erstellen"
2. Tipp als Ziel cmd.exe ein und bestätige mit OK, eine neue Verknüpfung zur Konsole auf dem Desktop müsste sich nun befinden
3. Falls dem so ist, diese neue Verknüpfung rechtsklicken => Als Administrator ausführen => Sicherheitsabfrage von Vista Benutzerkontensteuerung ggf. bestätigen => schwarze Eingabeaufforderung öffnet sich
4. Tipp dort ein: chkdsk c: /f /r /v und bestätige mit enter.
5. Die folgende Abfrage mit j bestätigen und enter drücken.
6. Windows neu starten, es sollte ein Hinweis auf eine geplante Datenträgerüberprüfung erscheinen - die Zeit verstreichen lassen, keine Taste drücken!!
7. Abwarten bis der Vorgang abgeschlossen ist. Bei großen Partitionen kann es u.U. recht lange dauern. Windows bootet automatisch neu.



Das sieht soweit ok aus. Fehlalarme und ein paar Cookies. Wobei manche Sachen eh im alten Windows-Ordenr "windows.old" gefunden wurden.

Nein, Logs von verschiedenen Computern in einem Strang ist keine gute Idee.
Für andere Rechner machst Du jew. einen neuen Strang auf.

so hab das gemacht und es hat eeeewwiiig gedauert ;)
irgendeine datei von toshiba hat irgendeinen fehler ... hab das ganze nicht so 100%ig beobachtet, ich dachte da wird eh ein log erstellt
irgedwas mit cluster ist glaub ich gestanden

achja und übrigens.... wenn ich aufm desktop rechtsklick neu verknüpfung mach dann geht das nicht ... keine ahnung warum

Was genau geht da nicht, woran scheitert das? Du wirst gefragt, zu welcher Datei Du eine Verknüpfung anlegen willst oder kommt das auch schon nicht?

das kommt auch nicht ^^ ich drück auf verknüpfung und dann kommt garnichts ... bin dann ganz normal auf dem desktop ohne dass eine neue verknüpfung da ist oder ich nach dem dateipfad gefragt werden
einen neuen ordner kann ich anlegen
ich hab dann in die windows befehlszeile cmd eingegeben, das dann auf den desktop kopiert, rechtsklick darauf, senden an desktop ... dann hatte ich eine verknüpfung von cmd, die hab ich dann als administrator ausgeführt

Naja ok. chkdsk lief also durch?
Wenn ja, probier nochmal den Vollscan mit aktuellem Malwarebytes.

ja chkdsk lief durch und hat eben das eine problem gefunden ... irgendeine toshiba datei und ich glaub irgendaws mit cluster ist noch gestanden, aber wie gesagt hab das nicht so genau verfolgt, da ich dachte es wird eine log-datei erstellt

jz lief malewarebytes ganz durch :Boogie:
ich habs gestartet und bin dann zum fernseher und anscheinend muss man nur sehr lange warten dann funktionierts .. egal!
hier das logfile
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4861

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

17.10.2010 18:06:27
mbam-log-2010-10-17 (18-06-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Durchsuchte Objekte: 445248
Laufzeit: 2 Stunde(n), 19 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Geht doch! :daumenhoc
Noch Probleme?

mein einziges problem war ja eigentlich, dass mein usb-stick infiziert wurde und alle dateien darauf zerstört wurden.
das müsste ja jetzt gelöst sein, so fern ich einen anderen usb-stick verwende!

das mit dem mbr code werd ich morgen in der schule beim klassenkollegen vielleicht checken, falls er nichts dagegen hat.

ja, ansonsten dank ich vielmals für deine hilfe und dafür dass du dir die Zeit genommen hast! :abklatsch::dankeschoen:

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

okay! werd ich machen!
danke nochmals!