sanduhr neben mauszeiger verschwindet nicht mehr

#16 mbr-log:

Code

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
copy of MBR has been found in sector 10 !

#17 schritt 2:

Code

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# IEXPLORE.EXE=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=7c10ee1ee267894d8ab39692542df3ce
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-03-21 11:46:52
# local_time=2010-03-22 12:46:52 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 342605 342605 0 0
# compatibility_mode=1281 16774505 100 100 20269582 51851642 181654 0
# compatibility_mode=8192 67108863 100 0 3787 3787 0 0
# scanned=87999
# found=0
# cleaned=0
# scan_time=8664

#18 Hmmm auch nichts.

Schritt 1

Fehler in Windows beseitigen

Lade Dial-a-Fix
herunter und entpacke das Programm in einen eigenen Ordner auf Deinem Desktop.
• Öffne den Dial-a-Fix-Ordner und starte die dial-a-fix.exe durch Doppelklick.
• Klicke unten auf den Button Policies....
• Wenn etwas gefunden wird, klicke in dem neuen Fenster auf Remove und schließe das Fenster wieder.
• Klicke nun unten auf den Button mit dem grünen Doppelhaken (Check all).
• Klicke auf Go zum Starten.
• Dial-a-fix arbeitet nun einige Aufgaben ab, warte bis es komplett fertig ist (Ready)
.• Wenn Dia-a-Fix fertig ist, klicke auf das Log-Symbol (rechts neben dem Hammer),
klicke auf Save und speichere das Log als Dial-a-fix.log auf dem Desktop.
• Poste das Log hier in den Thread.
• Klicke auf Exit und starte den Rechner neu.


Schritt 2

Ich gehe davon aus dass die Sanduhr immernoch da ist?

#19

Code

20:22:21 | Dial-a-fix was unable to determine your version of Internet Explorer
Notes about this log:
1) "->" denotes an external command being executed, and "-> (number)" indicates
     the return code from the previous command
2) Not all external command return codes are accurate, or useful
3) Sometimes commands return 0 (no error) even when they fail or crash
4) If an error occurs while registering an object, please send an email to:
     dial-a-fix@DjLizard.net and include a copy of this log

DAF version: v0.60.0.24

--- System info ---
OS: Microsoft Windows XP Service Pack 3
IE version: 8.0.6001.18702
MPC: 76497-OEM
CPU: Intel(R) Pentium(R) M processor 1.86GHz (~1333MHz)
BIOS: 17.11.2005
Memory (approx): 1022MB
Uptime: 0 hour(s) 
Current directory: C:\DOKUME~1\Carsten\LOKALE~1\Temp\Temporäres Verzeichnis 3 für Dial-a-fix-v0.60.0.24.zip\Dial-a-fix-v0.60.0.24
---

22.03.2010 20:22:21 -- Dial-a-fix : [v0.60.0.24] -- started
20:22:21 | Policy scan started
20:22:21 | Policy scan ended - no restrictive policies were found
20:26:09 | Policy scan started
20:26:09 | Policy scan ended - no restrictive policies were found
--- Emptying temp folders ---
20:26:31 | Deleting C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\temp...
20:26:31 | C:\Dokumente und Einstellungen\Carsten\Lokale Einstellungen\temp could not be completely emptied, please reboot and try again
20:26:31 | Deleting C:\WINDOWS\temp...
20:26:31 | C:\WINDOWS\temp could not be completely emptied, please reboot and try again
20:26:31 | Deleting C:\DOKUME~1\Carsten\LOKALE~1\Temp...
20:26:32 | C:\DOKUME~1\Carsten\LOKALE~1\Temp could not be completely emptied, please reboot and try again
--- MSI ---
20:26:47 | Registered: C:\WINDOWS\system32\msi.dll
--- Windows Update ---
--- Registration: Windows Update/Automatic Update DLLs ---
20:26:56 | Unregistered: C:\WINDOWS\system32\msxml.dll
20:26:56 | Registered: C:\WINDOWS\system32\msxml.dll
20:26:56 | Unregistered: C:\WINDOWS\system32\msxml2.dll
20:26:57 | Registered: C:\WINDOWS\system32\msxml2.dll
20:26:58 | Unregistered: C:\WINDOWS\system32\msxml3.dll
20:26:59 | Registered: C:\WINDOWS\system32\msxml3.dll
20:27:00 | Unregistered: C:\WINDOWS\system32\msxml4.dll
20:27:00 | Registered: C:\WINDOWS\system32\msxml4.dll
20:27:01 | Unregistered: C:\WINDOWS\system32\qmgr.dll
20:27:01 | Registered: C:\WINDOWS\system32\qmgr.dll
20:27:01 | Unregistered: C:\WINDOWS\system32\qmgrprxy.dll
20:27:01 | Registered: C:\WINDOWS\system32\qmgrprxy.dll
20:27:02 | Unregistered: C:\WINDOWS\system32\muweb.dll
20:27:02 | Registered: C:\WINDOWS\system32\muweb.dll
20:27:02 | Unregistered: C:\WINDOWS\system32\winhttp.dll
20:27:02 | Registered: C:\WINDOWS\system32\winhttp.dll
20:27:02 | Registered: C:\WINDOWS\system32\wuapi.dll
20:27:02 | Unregistered: C:\WINDOWS\system32\wuaueng.dll
20:27:05 | Registered: C:\WINDOWS\system32\wuaueng.dll
20:27:05 | Unregistered: C:\WINDOWS\system32\wuaueng1.dll
20:27:05 | Registered: C:\WINDOWS\system32\wuaueng1.dll
20:27:05 | Unregistered: C:\WINDOWS\system32\wucltui.dll
20:27:05 | Registered: C:\WINDOWS\system32\wucltui.dll
20:27:05 | Unregistered: C:\WINDOWS\system32\wups.dll
20:27:05 | Registered: C:\WINDOWS\system32\wups.dll
20:27:05 | Unregistered: C:\WINDOWS\system32\wups2.dll
20:27:05 | Registered: C:\WINDOWS\system32\wups2.dll
20:27:05 | Unregistered: C:\WINDOWS\system32\wuweb.dll
20:27:05 | Registered: C:\WINDOWS\system32\wuweb.dll
20:27:05 | Registered: C:\WINDOWS\system32\ole32.dll
--- SSL/HTTPS/Cryptography ---
20:27:19 | Executed 'cmd.exe /c rmdir /q /s C:\WINDOWS\system32\Catroot2'
--- Registration: SSL/HTTPS/Cryptography ---
20:27:23 | Unregistered: C:\WINDOWS\system32\cryptdlg.dll
20:27:23 | Registered: C:\WINDOWS\system32\cryptdlg.dll
20:27:23 | Unregistered: C:\WINDOWS\system32\cryptui.dll
20:27:23 | Registered: C:\WINDOWS\system32\cryptui.dll
20:27:23 | Unregistered: C:\WINDOWS\system32\cryptext.dll
20:27:24 | Registered: C:\WINDOWS\system32\cryptext.dll
20:27:24 | Unregistered: C:\WINDOWS\system32\dssenh.dll
20:27:24 | Registered: C:\WINDOWS\system32\dssenh.dll
20:27:24 | Unregistered: C:\WINDOWS\system32\gpkcsp.dll
20:27:24 | Registered: C:\WINDOWS\system32\gpkcsp.dll
20:27:25 | Unregistered: C:\WINDOWS\system32\initpki.dll
20:28:33 | Registered: C:\WINDOWS\system32\initpki.dll
20:28:34 | Unregistered: C:\WINDOWS\system32\licdll.dll
20:28:34 | Registered: C:\WINDOWS\system32\licdll.dll
20:28:34 | Unregistered: C:\WINDOWS\system32\mssign32.dll
20:28:34 | Registered: C:\WINDOWS\system32\mssign32.dll
20:28:34 | Unregistered: C:\WINDOWS\system32\mssip32.dll
20:28:34 | Registered: C:\WINDOWS\system32\mssip32.dll
20:28:34 | Unregistered: C:\WINDOWS\system32\scardssp.dll
20:28:34 | Registered: C:\WINDOWS\system32\scardssp.dll
20:28:34 | Unregistered: C:\WINDOWS\system32\sccbase.dll
20:28:34 | Registered: C:\WINDOWS\system32\sccbase.dll
20:28:34 | Unregistered: C:\WINDOWS\system32\scecli.dll
20:28:35 | Registered: C:\WINDOWS\system32\scecli.dll
20:28:35 | Unregistered: C:\WINDOWS\system32\softpub.dll
20:28:35 | Registered: C:\WINDOWS\system32\softpub.dll
20:28:35 | Unregistered: C:\WINDOWS\system32\slbcsp.dll
20:28:35 | Registered: C:\WINDOWS\system32\slbcsp.dll
20:28:35 | Unregistered: C:\WINDOWS\system32\regwizc.dll
20:28:35 | Registered: C:\WINDOWS\system32\regwizc.dll
20:28:35 | Unregistered: C:\WINDOWS\system32\rsaenh.dll
20:28:35 | Registered: C:\WINDOWS\system32\rsaenh.dll
20:28:35 | Unregistered: C:\WINDOWS\system32\winhttp.dll
20:28:35 | Registered: C:\WINDOWS\system32\winhttp.dll
20:28:35 | Unregistered: C:\WINDOWS\system32\wintrust.dll
20:28:35 | Registered: C:\WINDOWS\system32\wintrust.dll
--- Registration: ActiveX controls/codecs ---
20:28:36 | Registered: C:\WINDOWS\system32\acelpdec.ax
20:28:36 | Registered: C:\WINDOWS\system32\actxprxy.dll
20:28:36 | Registered: C:\WINDOWS\system32\asctrls.ocx
20:28:36 | Registered: C:\WINDOWS\system32\daxctle.ocx
20:28:36 | Registered: C:\WINDOWS\system32\hhctrl.ocx
20:28:36 | Registered: C:\WINDOWS\system32\l3codecx.ax
20:28:36 | Registered: C:\WINDOWS\system32\licmgr10.dll
20:28:36 | Registered: C:\WINDOWS\system32\mpg4ds32.ax
20:28:39 | Registered: C:\WINDOWS\system32\msdxm.ocx
20:28:40 | Registered: C:\WINDOWS\system32\proctexe.ocx
20:28:40 | Registered: C:\WINDOWS\system32\tdc.ocx
20:28:40 | Registered: C:\WINDOWS\system32\wshom.ocx
--- Registration: Control Panel applets ---
20:28:40 | DllInstalled: C:\WINDOWS\system32\inetcpl.cpl
20:28:40 | DllInstalled: C:\WINDOWS\system32\appwiz.cpl
20:28:40 | Registered: C:\WINDOWS\system32\appwiz.cpl
20:28:40 | DllInstalled: C:\WINDOWS\system32\nusrmgr.cpl
20:28:41 | Registered: C:\WINDOWS\system32\nusrmgr.cpl
--- Registration: Direct[X|Draw|Show|Media] ---
20:28:41 | Registered: C:\WINDOWS\system32\quartz.dll
20:28:42 | Registered: C:\WINDOWS\system32\danim.dll
20:28:42 | Registered: C:\WINDOWS\system32\dmscript.dll
20:28:42 | Registered: C:\WINDOWS\system32\dmstyle.dll
20:28:42 | Registered: C:\WINDOWS\system32\dxmasf.dll
20:28:42 | Registered: C:\WINDOWS\system32\dxtmsft.dll
20:28:42 | Registered: C:\WINDOWS\system32\dxtrans.dll
20:28:42 | Registered: C:\WINDOWS\system32\sbe.dll
--- Registration: Programming cores/runtimes ---
20:28:42 | Registered: C:\WINDOWS\system32\atl.dll
20:28:42 | Registered: C:\WINDOWS\system32\corpol.dll
20:28:42 | Registered: C:\WINDOWS\system32\jscript.dll
20:28:42 | Registered: C:\WINDOWS\system32\dispex.dll
20:28:43 | Registered: C:\WINDOWS\system32\scrrun.dll
20:28:43 | Registered: C:\WINDOWS\system32\scrobj.dll
20:28:43 | Registered: C:\WINDOWS\system32\vbscript.dll
20:28:43 | Registered: C:\WINDOWS\system32\wshext.dll
--- Registration: Explorer/IE/OE/shell/WMP ---
20:28:43 | Registered: C:\WINDOWS\system32\activeds.dll
20:28:43 | Registered: C:\WINDOWS\system32\audiodev.dll
20:28:45 | DllInstalled: C:\WINDOWS\system32\browseui.dll
20:28:45 | Registered: C:\WINDOWS\system32\browseui.dll
20:28:45 | Registered: C:\WINDOWS\system32\browsewm.dll
20:28:45 | Registered: C:\WINDOWS\system32\cabview.dll
20:28:45 | Registered: C:\WINDOWS\system32\cdfview.dll
20:28:45 | Registered: C:\WINDOWS\system32\clbcatex.dll
20:28:46 | Registered: C:\WINDOWS\system32\clbcatq.dll
20:28:46 | Registered: C:\WINDOWS\system32\comcat.dll
20:28:46 | Registered: C:\WINDOWS\system32\cscui.dll
20:28:46 | Registered: C:\WINDOWS\system32\credui.dll
20:28:46 | Registered: C:\WINDOWS\system32\datime.dll
20:28:46 | Registered: C:\WINDOWS\system32\devmgr.dll
20:28:46 | Registered: C:\WINDOWS\system32\dfsshlex.dll
20:28:46 | Registered: C:\WINDOWS\system32\dmdlgs.dll
20:28:46 | Registered: C:\WINDOWS\system32\dmdskmgr.dll
20:28:46 | Registered: C:\WINDOWS\system32\dmloader.dll
20:28:46 | Registered: C:\WINDOWS\system32\dmocx.dll
20:28:46 | Registered: C:\WINDOWS\system32\dmview.ocx
20:28:46 | DllInstalled: C:\WINDOWS\system32\dsuiext.dll
20:28:47 | Registered: C:\WINDOWS\system32\dsuiext.dll
20:28:47 | DllInstalled: C:\WINDOWS\system32\dsquery.dll
20:28:47 | Registered: C:\WINDOWS\system32\dsquery.dll
20:28:47 | Registered: C:\WINDOWS\system32\dskquoui.dll
20:28:47 | Registered: C:\WINDOWS\system32\els.dll
20:28:47 | Registered: C:\WINDOWS\system32\es.dll
20:28:47 | Registered: C:\WINDOWS\system32\fontext.dll
20:28:48 | Registered: C:\WINDOWS\system32\hlink.dll
20:28:48 | Registered: C:\WINDOWS\system32\hnetcfg.dll
20:28:48 | Registered: C:\WINDOWS\system32\iedkcs32.dll
20:28:48 | Registered: C:\WINDOWS\system32\iepeers.dll
20:28:48 | Error 127: C:\WINDOWS\system32\iesetup.dll is not registerable or the file is corrupted. Version: 8.00.6001.18702
20:33:02 | Error 127: C:\WINDOWS\system32\iesetup.dll is not DLLInstall-able or the file is corrupted. Version: 8.00.6001.18702
20:33:03 | Registered: C:\WINDOWS\system32\ils.dll
20:33:03 | Error 127: C:\WINDOWS\system32\imgutil.dll is not registerable or the file is corrupted. Version: 8.00.6001.18702
20:33:05 | Registered: C:\WINDOWS\system32\inetcfg.dll
20:33:05 | Registered: C:\WINDOWS\system32\inetcomm.dll
20:33:05 | Error 127: C:\WINDOWS\system32\inseng.dll is not registerable or the file is corrupted. Version: 8.00.6001.18702
20:33:06 | Error 127: C:\WINDOWS\system32\inseng.dll is not DLLInstall-able or the file is corrupted. Version: 8.00.6001.18702
20:33:06 | Registered: C:\WINDOWS\system32\laprxy.dll
20:33:07 | Registered: C:\WINDOWS\system32\lmrt.dll
20:33:07 | Registered: C:\WINDOWS\system32\mlang.dll
20:33:08 | Registered: C:\WINDOWS\system32\mmcndmgr.dll
20:33:08 | Registered: C:\WINDOWS\system32\mmcshext.dll
20:33:08 | Registered: C:\WINDOWS\system32\mscoree.dll
20:33:08 | Error 127: C:\WINDOWS\system32\mshtml.dll is not registerable or the file is corrupted. Version: 8.00.6001.18876
20:33:09 | Error 127: C:\WINDOWS\system32\mshtml.dll is not DLLInstall-able or the file is corrupted. Version: 8.00.6001.18876
20:33:09 | Registered: C:\WINDOWS\system32\mshtmled.dll
20:33:10 | Registered: C:\WINDOWS\system32\msieftp.dll
20:33:10 | Registered: C:\WINDOWS\system32\msoeacct.dll
20:33:10 | Registered: C:\WINDOWS\system32\msr2c.dll
20:33:10 | Error 127: C:\WINDOWS\system32\msrating.dll is not registerable or the file is corrupted. Version: 8.00.6001.18702
20:33:10 | DllInstalled: C:\WINDOWS\system32\mydocs.dll
20:33:10 | Registered: C:\WINDOWS\system32\mydocs.dll
20:33:11 | Registered: C:\WINDOWS\system32\mstime.dll
20:33:11 | Registered: C:\WINDOWS\system32\netcfgx.dll
20:33:11 | DllInstalled: C:\WINDOWS\system32\netplwiz.dll
20:33:11 | Registered: C:\WINDOWS\system32\netplwiz.dll
20:33:11 | Registered: C:\WINDOWS\system32\netman.dll
20:33:11 | Registered: C:\WINDOWS\system32\netshell.dll
20:33:11 | Registered: C:\WINDOWS\system32\ntmsevt.dll
20:33:11 | Registered: C:\WINDOWS\system32\ntmsmgr.dll
20:33:12 | DllInstalled: C:\WINDOWS\system32\ntmssvc.dll
20:33:12 | Registered: C:\WINDOWS\system32\ntmssvc.dll
20:33:12 | Error 127: C:\WINDOWS\system32\occache.dll is not registerable or the file is corrupted. Version: 8.00.6001.18876
20:33:13 | Error 127: C:\WINDOWS\system32\occache.dll is not DLLInstall-able or the file is corrupted. Version: 8.00.6001.18876
20:33:13 | Registered: C:\WINDOWS\system32\ole32.dll
20:33:13 | Registered: C:\WINDOWS\system32\oleaut32.dll
20:33:13 | Registered: C:\WINDOWS\system32\oleacc.dll
20:33:13 | Registered: C:\WINDOWS\system32\olepro32.dll
20:33:14 | DllInstalled: C:\WINDOWS\system32\photowiz.dll
20:33:14 | Registered: C:\WINDOWS\system32\photowiz.dll
20:33:14 | Error 127: C:\WINDOWS\system32\pngfilt.dll is not registerable or the file is corrupted. Version: 8.00.6001.18702
20:33:14 | Registered: C:\WINDOWS\system32\remotepg.dll
20:33:14 | Registered: C:\WINDOWS\system32\rpcrt4.dll
20:33:14 | Registered: C:\WINDOWS\system32\rshx32.dll
20:33:14 | Registered: C:\WINDOWS\system32\sendmail.dll
20:33:14 | Registered: C:\WINDOWS\system32\slayerxp.dll
20:33:17 | DllInstalled: C:\WINDOWS\system32\shdocvw.dll
20:33:17 | Registered: C:\WINDOWS\system32\shdocvw.dll
20:33:17 | Registered: C:\WINDOWS\system32\shell32.dll
20:33:29 | DllInstalled: C:\WINDOWS\system32\shell32.dll
20:33:29 | Registered: C:\WINDOWS\system32\shmedia.dll
20:33:29 | DllInstalled: C:\WINDOWS\system32\shimgvw.dll
20:33:30 | Registered: C:\WINDOWS\system32\shimgvw.dll
20:33:30 | DllInstalled: C:\WINDOWS\system32\shsvcs.dll
20:33:30 | Registered: C:\WINDOWS\system32\shsvcs.dll
20:33:30 | Registered: C:\WINDOWS\system32\srclient.dll
20:33:30 | Unregistered: C:\WINDOWS\system32\stobject.dll
20:33:30 | Registered: C:\WINDOWS\system32\stobject.dll
20:33:30 | DllInstalled: C:\WINDOWS\system32\themeui.dll
20:33:31 | Registered: C:\WINDOWS\system32\themeui.dll
20:33:31 | Registered: C:\WINDOWS\system32\twext.dll
20:33:33 | DllInstalled: C:\WINDOWS\system32\urlmon.dll
20:33:33 | Registered: C:\WINDOWS\system32\urlmon.dll
20:33:33 | Registered: C:\WINDOWS\system32\userenv.dll
20:33:33 | Error 127: C:\WINDOWS\system32\webcheck.dll is not registerable or the file is corrupted. Version: 8.00.6001.18702
20:35:15 | Error 127: C:\WINDOWS\system32\webcheck.dll is not DLLInstall-able or the file is corrupted. Version: 8.00.6001.18702
20:35:16 | Registered: C:\WINDOWS\system32\webvw.dll
20:35:16 | Registered: C:\WINDOWS\system32\winhttp.dll
20:35:16 | DllInstalled: C:\WINDOWS\system32\wininet.dll
20:35:17 | Registered: C:\WINDOWS\system32\zipfldr.dll
20:35:17 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdadc.dll
20:35:17 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaenum.dll
20:35:17 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaer.dll
20:35:17 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaipp.dll
20:35:17 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaora.dll
20:35:17 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaosp.dll
20:35:17 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaps.dll
20:35:17 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdasc.dll
20:35:17 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdasql.dll
20:35:17 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdatt.dll
20:35:17 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaurl.dll
20:35:18 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdmeng.dll
20:35:18 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdmine.dll
20:35:18 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msmdcb80.dll
20:35:19 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msmdgd80.dll
20:35:19 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msolap80.dll
20:35:19 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msolui80.dll
20:35:19 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msxactps.dll
20:35:19 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\oledb32.dll
20:35:19 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\oledb32r.dll
20:35:20 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\sqloledb.dll
20:35:20 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\sqlxmlx.dll

#20 schritt 2: jawohl, die uhr ist immer noch da...

#21 Schritt 1

Nur zur Sicherheit, evtl ist da was im MBR. Du hast jetzt zwei Möglichkeiten, den Master Boot Record (MBR) wieder in Ordnung zu bringen, die erste zeigt Dir auf, wie Du das mit Windows eigenen Mitteln machen kannst, die zweite, wie es mit dem Tool mbr.exe zu machen ist.

MBR wiederherstellen

Entweder so:
• Lege die Installations-CD von XP oder Windows 2000 in das CD-Laufwerk ein und starte den Computer neu.
• Bootet der Computer nicht von CD, musst Du im BIOS-Setup des PCs die Boot-Reihenfolge umstellen, so dass die CD vor der Festplatte verwendet wird.
• Während des Bootens erkennt das Startprogramm auf der CD eine gegebenenfalls vorhandene bootfähige Partition auf der Festplatte, stoppt das Hochfahren und fährt erst auf einen beliebigen Tastendruck hin mit dem Booten fort.
• Beim ersten Bildschirm des Windows-Setup-Programms wähle "R" und im nächsten Screen "K" für das Laden der Wiederherstellungskonsole.
• Nun gebe folgenden Befehl ein:
• fixmbr
oder so:
• Kopiere die Datei mbr.exe nach C:\Windows\system32
• Start => ausführen => cmd (da reinschreiben) => OK
• es öffnet sich ein Dosfenster
• bitte dort nach dem Prompt eingeben: mbr.exe -f (Enter drücken)
• und ggfs. den Anweisungen folgen.


Schritt 2

Bereinigung mit SDFix
• Lade das SDFix von AndyManchesta herunter und speichere es auf dem Desktop.
• Sollte Dein Anti-Virus-Programm SDFix als schädlich melden, bitte ignorieren und trotzdem zulassen. Das kommt daher, dass Entfernungsprogramme oft ähnliche Routinen, wie die schädlichen Programme nutzen, um die Schädlinge zu entfernen.

• Dieses Removal-Tool ist zur Ausführung auf Windows 2000 und Windows XP im abgesicherten Modus geeignet.
• Mache einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner zu entpacken.
• Starte den Computer neu in den abgesicherten Modus <= Hinweise beachten.
• Öffne den neu entstandenen SDFix Ordner in C:\, mache einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Geduld, das kann ca. 20 Minuten dauern.
• Das Programm wird alle Trojaner-Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst Du darum gebeten, einen Taste zu drücken, damit der Rechner neu starten kann.
• Drücke auf eine beliebige Taste.
• Wenn der Rechner hochgefahren ist, wird das Fixtool noch einmal laufen, um den Reinigungsprozess zu vervollständigen.
• Auch hier ist wieder etwas Geduld gefragt, das kann mehrere Minuten dauern.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf eine beliebige Taste, um das Skript zu beenden und Deine Desktop-Icons wieder zu laden.
• Wenn die Desktop-Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt des Report.txt und poste den Bericht hier in den Thread.

Schritt 3

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code

:regfind
b64f4a7c-97c9-11da-8bde-f66bad1e3f3a

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

#22

Code

:

[b]SDFix: Version 1.240 [/b]
Run by Carsten on 24.03.2010 at 08:59

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-24 09:30:39
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:41,04,ec,d3,25,25,7a,ff,e9,ed,88,1b,98,ea,5b,82,33,07,e8,06,b4,..
"u0"=hex:b4,6d,90,02,04,00,00,00,ff,ff,00,00,45,41,37,38,43,39,44,34,31,..
"p0"="C:\Programme\DAEMON Tools Pro"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"hdf12"=hex:87,81,42,3e,c6,f3,e3,01,d1,63,aa,6d,dd,4f,ad,43,a8,cd,50,ea,a3,..
"a0"=hex:20,01,00,00,0c,4b,69,57,3b,af,9d,ec,64,da,9e,be,10,0f,15,cf,02,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:70,35,11,9f,07,13,a3,a2,d7,ad,a5,0c,fa,e4,b6,e2,af,7f,0d,f5,c4,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1]
"hdf12"=hex:70,35,11,9f,07,13,a3,a2,d7,ad,a5,0c,fa,e4,b6,e2,af,7f,0d,f5,c4,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2]
"hdf12"=hex:64,30,85,5b,09,36,48,14,9c,fe,f1,87,a2,e4,92,2b,f5,f4,c8,9f,62,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002]
"a0"=hex:20,01,00,00,68,22,d2,56,95,ea,d8,85,e0,ee,f4,43,0d,4b,6f,f4,6d,..
"hdf12"=hex:c9,8d,b3,8d,d6,c9,93,46,78,79,bd,08,f0,eb,f4,3b,a3,cb,ee,43,d9,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0]
"hdf12"=hex:70,35,11,9f,07,13,a3,a2,d7,ad,a5,0c,fa,e4,b6,e2,af,7f,0d,f5,c4,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:41,04,ec,d3,25,25,7a,ff,e9,ed,88,1b,98,ea,5b,82,33,07,e8,06,b4,..
"u0"=hex:b4,6d,90,02,04,00,00,00,ff,ff,00,00,45,41,37,38,43,39,44,34,31,..
"p0"="C:\Programme\DAEMON Tools Pro"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"hdf12"=hex:87,81,42,3e,c6,f3,e3,01,d1,63,aa,6d,dd,4f,ad,43,a8,cd,50,ea,a3,..
"a0"=hex:20,01,00,00,0c,4b,69,57,3b,af,9d,ec,64,da,9e,be,10,0f,15,cf,02,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:70,35,11,9f,07,13,a3,a2,d7,ad,a5,0c,fa,e4,b6,e2,af,7f,0d,f5,c4,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1]
"hdf12"=hex:70,35,11,9f,07,13,a3,a2,d7,ad,a5,0c,fa,e4,b6,e2,af,7f,0d,f5,c4,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2]
"hdf12"=hex:64,30,85,5b,09,36,48,14,9c,fe,f1,87,a2,e4,92,2b,f5,f4,c8,9f,62,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002]
"a0"=hex:20,01,00,00,68,22,d2,56,95,ea,d8,85,e0,ee,f4,43,0d,4b,6f,f4,6d,..
"hdf12"=hex:c9,8d,b3,8d,d6,c9,93,46,78,79,bd,08,f0,eb,f4,3b,a3,cb,ee,43,d9,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0]
"hdf12"=hex:70,35,11,9f,07,13,a3,a2,d7,ad,a5,0c,fa,e4,b6,e2,af,7f,0d,f5,c4,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Sun  6 May 2007             0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Tue 18 Nov 2008             0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"
Thu 11 Feb 2010     2,874,744 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b28a16ffe056e6287be928aa1e772af5\BIT4.tmp"

[b]Finished![/b]

zu schritt 3 komme ich erst heute abend...

#23 Schritt 3:

Code

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 17:39 on 24/03/2010 by Carsten (Administrator - Elevation successful)

========== regfind ==========

Searching for "b64f4a7c-97c9-11da-8bde-f66bad1e3f3a"
No data found.

-=End Of File=

#24 Jetzt hab ich was gefunde


Datei-Überprüfung


Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Senden der Datei" nach VirusTotal hochladen und prüfen lassen. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Analysiere die Datei" erneut prüfen.

Wenn das Ergebnis vorliegt, den kleinen Button "Filter" links oberhalb der Ergebnisse drücken, dann das Ergebnis (egal wie es aussieht und dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren) hier posten. Solltest Du die Datei/en nicht finden oder hochladen können, dann teile uns das ebenfalls mit. Solltest Du die Datei/en nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind.

Zitat

C:\WINDOWS\system32\drivers\ac3d5wzd.sys

#25 problem: die fragliche datei findet sich bei mir in dem ordner nicht...

#26 Schritt 1

Hast Du die Einstellungen angepasst?
http://www.hijackthis-forum.de/tipps-tricks/30790-dateien-sichtbar-machen.html

Schritt 2

Lade den Avenger herunter und entzippe ihn auf den Desktop. Nicht gezippt direkt als EXE ist der Avenger hier erhältlich.

Starte die avenger.exe durch Doppelklick und akzeptiere mit OK die Nutzungsbedingungen. Füge den Inhalt der folgenden Codebox vollständig und unverändert bei "Input script here" ein und klicke auf "Execute". Beantworte die Frage, ob Du sicher bist, dass das Skript ausgeführt werden soll mit "Ja".

Code

Drivers to disable:
ac3d5wzd

Drivers to delete:
ac3d5wzd

Files to delete: 
C:\WINDOWS\system32\drivers\ac3d5wzd.sys

Beantworte die Frage zum Neustart des Rechners (Reboot now?) ebenfalls mit "Ja". Nachdem der Rechner neu gestartet ist (das kann auch zweimal nötig sein und passieren!) und das DOS-Fenster, das der Avenger geöffnet hat, wieder geschlossen ist, öffnet Avenger Deinen Editor mit dem Avengerlog, zu finden auch unter C:\avenger.txt. Den Inhalt bitte posten. Ein Backup der entfernten Objekte wurde als C:\avenger\backup.zip angelegt.

Schritt 3

F-Secure Onlinescanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
• Unterstützte Betriebssysteme: Windows 2000, Windows XP und Windows Vista (32bit)
• Bitte den Internet Explorer unbedingt mit Rechtsklick auf das Icon und als Administrator starten.
• Einen Haken bei "I have read and accepted the license terms".
• Den Button "Install" drücken.
• IE-User müssen die Installation des ActiveX Elements erlauben und auf "Installieren" klicken.
• Firefox-User müssen die Installation des Firefox Addons erlauben und anschließend den Firefox neu starten.
• Den Button "Start" drücken.
• "Full Scan" einstellen und den Button "Start" drücken.
• Die Signaturen werden heruntergeladen.
• Der Scan beginnt automatisch.
• Scanende (Finish).
• Bei Funden benutze => Automatische Bereinigung (Automatically)
• und klicke auf den Button "Next".
• Bericht anzeigen, indem Du auf den Button "Full report" klickst.
• Menü => Datei => Seite speichern unter
• Dateityp auf Textdatei umstellen und
• auf dem Desktop als f-secure.txtspeichern.
• Log hier posten.Deinstallation
• Firefox:
Addon über Extras => F-Secure deinstallieren.

#27 Schritt 1: Auch bei den entsprechenden Einstellungen war die Datei nicht da

Schritt 2:

Code

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open driver "ac3d5wzd"
Disablement of driver "ac3d5wzd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\ac3d5wzd" not found!
Deletion of driver "ac3d5wzd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\drivers\ac3d5wzd.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\ac3d5wzd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "Quelle: http://board.protecus.de/t39302-2.htm?ref=mail#ixzz0jDZoLroi" not found!
Deletion of file "Quelle: http://board.protecus.de/t39302-2.htm?ref=mail#ixzz0jDZoLroi" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

#28 Ok dürfte nicht mehr vorhanden sein. Also noch FSecure

#29 nur läuft der nicht, bricht immer wieder ab oder läuft nicht weiter und die sanduhr ist auch noch da...

#30 okay, der scan scheint jetzt zu laufen...