Fehlermeldung "Windows - Kein Datenträger"

E

E3000

New member
Möchte wegen aktuellem Trojanerverdacht einen kompletten Systemscan machen. Leider bricht der Scan immer mit fogender Fehlermeldung ab:

"Windows - Kein Datenträger"
"Exception Procession Message c0000013 Parameters 75b0bf7c 4 75b0bf7c ..."
Was ist da los?

1.6.0.31 heute geupdated
 
Hallo,

Es wäre gut zu wissen welche Erkennungsregel da Probleme macht. Probier doch mal Spybot mit dem erweiterten Parameter "verbose" zu starten: Dazu bearbeite bitte deine Desktopverknüpfung von Spybot. Klicke hierzu mit der rechten Maustaste auf die Verknüpfung und wähle "Eigenschaften". Unter Verknüpfung -> "Ziel" fügst du am Ende des Links ein /verbose (mit einem Leerzeichen davor) an.

Das sieht dann z.B. so aus
"C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /verbose

Unser "How To Flash Tutorial" sollte zeigen wie man genau vorgeht:
http://www.safer-networking.org/flash/howto/howto-spybotsd-enable-verbose-en.htm

Wenn du nun mit Spybot scannst wird eine 8-stellige ID in der Statusleiste angezeigt, z.B. $1234ABCD.
Bitte teil uns doch mal die letzte ID mit, die da steht wenn die Fehlermeldung auftaucht.

Außerdem wäre es hilfreich wenn du uns einige Informationen über dein System geben könntest.
- Was für eine Windowsversion benutzt du
- Auf welchem Laufwerksbuchstaben ist Windows installiert
- Verfügst du über weitere Festplatten oder PArtitionen? Welche Laufwerksbuchstaben haben diese?
- Verwendest du noch andere Laufwerke (CD,DVD, antike Disketten etc) und welchen Laufwerksbuchstaben haben diese

Gruß,
Markus
 
In der Statuszeile steht folgendes:
"Produkt-Überprüfung läuft (194/ 299209: AdMoke; $ 02E744B7)"

Bei jedem Klick auf "Weiter" ändert die sich.

XP SP3
Windows ist auf "I"
ja: 2 externe FP auf "H" und "K"
ja: Diskette "A"; DVD "D"; Wechseldatenträger "C", "E", "F", "G", "J"
 
Hallo,
das klingt fast so als wäre c, e, f, etc. ein Kartenleser oder so ;)

Ungewöhnlich, dass du dein Windows auf I liegen hast. Es gibt verschiedene Malware die sich immer fest auf Laufwerk C legt, daher kommt Spybot nicht drum herum direkt Laufwerk C anzusprechen (da dies in 99,9% die Windowspartition bzw zumindest eine lokale Festplatte ist). Wenn du natürlich keinen Datenträger in Laufwerk C hast, kommt dies zu einem Fehler.

Ein simler Workaround könnte sein, dass du einfach in Laufwerk C einen Datenträger einlegst. Auch wenn das nicht grade die elegante Methode ist.

Da es wie gesagt verschiedene Malware gibt die sich auf Laufwerk C legt, würde ich dir empfehlen dem Gerät mit dem Buchstaben C einen anderen Laufwerksbuchstaben zu geben
Um dies zu tun klicke mit der rechten Maustaste auf "Arbeitsplatz" und wähle dann "Verwalten". In der sich nun öffnenden Computerverwaltung gibt es eine Rubrik "Datenträgerverwaltung. Hier klickst du im unteren Bereich mit rechts auf das Laufwerk das du enden möchstest (Da wo die Grafik ist) und wählst "Laufwerkbuchstaben und -pfade ändern". In dem anschließenden Menü einfach einen anderen Buchstaben wählen und nun sollte das Problem behoben sein.

Sollte das nicht klappen, meld dich einfach nochmal :bigthumb:

Gruß,
Markus
 
Gefixt! Danke! :)
Natürlich ist das ein Kartenleser. Hätte ja gerne die schnelle und unelegante Variante gewählt. Dazu hätte ich aber wissen müssen, welche Karte da reinkommt. Und alle Karten die es gibt, habe ich natürlich auch nicht da. Also ist "C" jetzt "L". ;-) Und er scannt ...

Da Du ja auch einer von den "Auskennern" zu sein scheinst, hätte ich gerne auch noch Deine Meinung zu meinem eigentlichen Problem:
http://forum.avira.com/wbb/index.php?page=Thread&threadID=77070
Siehst Du das auch so? Keine Chance um Windows-Neuinstallation herumzukommen? :sad:

Danke! :wav:
 
Hallo,
ich habe grade mal durch den von dir gegebenen Avira Link durchgeguckt. Zunächst einmal die gute Nachricht: So schnell würde ich dein System nicht aufgeben. Ich denke, dass man da durchaus noch was retten kann, auch wenn ich dir natürlich keine Garantie geben kann.
Jetzt weiss ich natürlich nicht wie wichtig deine Daten sind und ich bin noch nicht ganz dahinter gekommen, welcher Laufwerksbuchstabe die externe Platte ist, über die du dich vermutlich infiziert hast.

Also wenn ich das richtig gelesen habe ist Platte I:\ deine Festplatte auf der Windows installiert ist.

Und die externe Festplatte hat welchen Buchstaben?

Nun denn, lasset die Show beginnen und an deinem Rechner werkeln ;)

1. Am besten wäre wenn du die infizierten Dateien, soweit noch vorhanden ( scvhost.exe, folder.exe etc.) an detections@spybot.info schickst

2. Bitte poste ein aktuells HJT und ein GMER Log. Wie du das machst weisste ja schon aus dem Avira Forum. Dann ist es nämlich einfacher weil wir nicht immer in 2 Foren suchen müssen.

3. Vielleicht ist unser PC-Säuberungs-King "raman" so nett und hilft mir/dir/uns hier den Rechner fit zu kriegen, während ich dir dann sofort ein Update für Spybot bastel. Also nicht erschrecken wenn er die LOG-Bereinigung übernimmt ;)

4. Wäre es interessant, ob und was Spybot schon so gefunden hat. Dazu gibt es ein fixex.log im Ordner c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs (evtl. Ist dieser Ordner ausgeblendet, Ordneroption -> Alle Dateien und Ordner anzeigen lassen). Aber da gabs ja auch im AviraForum was, dass das nicht geht...dann musst du einfach die Adresse direkt in den Browser oben in die Adressleiste eintippen :-) )

Gruß,
Markus
 
Last edited:
I:\ = Systemplatte
H:\ = externe Platte
K:\ = externe Platte

wobei "H" wohl das Einfallstor war.

Kann heute nicht mehr alles abarbeiten, nur soviel:
zu 4.)
Das mit den versteckten und Systemdateien anzeigen funktioniert ja wieder. Hatte ich bei Avira schon geschrieben. Und S&D hat bei einem kompletten Systemscan vorhin (der ja nach Laufwerksumbenennung dann möglich war) nix gefunden.
Du schreibst: "...noch vorhanden ( scvhost.exe, folder.exe etc.) an ...": Wie heißt denn nun die Windows-eigene Datei richtig? scvhost.exe oder svchost.exe?


Kannst Du mir noch die Fragen in Avira (Post 13) beantworten?
 
--- Report generated: 2008-11-07 13:29 ---

Tipp des Tages: Klicken Sie auf den Balken rechts, um mehr Informationen zu sehen! ()


Common Dialogs: History (2 files) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Log: Activity: SchedLgU.Txt (Datei sichern, nothing done)
I:\WINDOWS\SchedLgU.Txt

Log: Activity: OEWABLog.txt (Datei sichern, nothing done)
I:\WINDOWS\OEWABLog.txt

Log: Activity: ntbtlog.txt (Datei sichern, nothing done)
I:\WINDOWS\ntbtlog.txt

Log: Install: DtcInstall.log (Datei sichern, nothing done)
I:\WINDOWS\DtcInstall.log

Log: Shutdown: System32\wbem\logs\mofcomp.log (Datei sichern, nothing done)
I:\WINDOWS\System32\wbem\logs\mofcomp.log

Log: Shutdown: System32\wbem\logs\setup.log (Datei sichern, nothing done)
I:\WINDOWS\System32\wbem\logs\setup.log

Log: Shutdown: System32\wbem\logs\wbemcore.log (Datei sichern, nothing done)
I:\WINDOWS\System32\wbem\logs\wbemcore.log

Log: Shutdown: System32\wbem\logs\wbemess.lo_ (Datei sichern, nothing done)
I:\WINDOWS\System32\wbem\logs\wbemess.lo_

Log: Shutdown: System32\wbem\logs\wbemess.log (Datei sichern, nothing done)
I:\WINDOWS\System32\wbem\logs\wbemess.log

Log: Shutdown: System32\wbem\logs\wbemprox.log (Datei sichern, nothing done)
I:\WINDOWS\System32\wbem\logs\wbemprox.log

Log: Shutdown: System32\wbem\logs\wbemsnmp.log (Datei sichern, nothing done)
I:\WINDOWS\System32\wbem\logs\wbemsnmp.log

Log: Shutdown: System32\wbem\logs\winmgmt.log (Datei sichern, nothing done)
I:\WINDOWS\System32\wbem\logs\winmgmt.log

Log: Shutdown: System32\wbem\logs\wmiadap.log (Datei sichern, nothing done)
I:\WINDOWS\System32\wbem\logs\wmiadap.log

Log: Shutdown: System32\wbem\logs\wmiprov.log (Datei sichern, nothing done)
I:\WINDOWS\System32\wbem\logs\wmiprov.log

Ahead Nero Burning Rom: [SBI $B67505E9] Recent file list (1 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Ahead\Nero - Burning Rom\Recent file list

Ahead Nero Burning Rom: [SBI $79A66815] Save tracks directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Ahead\Nero - Burning Rom\SaveTrackOptions\Stdflist

Ahead Nero Burning Rom: [SBI $F9C5E63A] Last encoding directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Ahead\Nero - Burning Rom\Settings\EncodingLastDir

Ahead Nero Burning Rom: [SBI $D8F82F0F] Image directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Ahead\Nero - Burning Rom\Settings\ImageDir

Ahead Nero Burning Rom: [SBI $0D846EDB] Compilation directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Ahead\Nero - Burning Rom\Settings\NeroCompilation

Ahead Nero Burning Rom: [SBI $DE353278] Browser directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Ahead\Nero - Burning Rom\Settings\BrowserDir

Ahead Nero Burning Rom: [SBI $F3FD92E9] Working directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Ahead\Nero - Burning Rom\Settings\WorkingDir

Ahead Nero Burning Rom: [SBI $055C754D] Last ISO directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\ahead\Nero - Burning Rom\General\OFDLastISODir

Internet Explorer: [SBI $D9A946AF] Last used directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Internet Explorer\Main\Save Directory

Internet Explorer: [SBI $FF589D0C] Download directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Internet Explorer\Download Directory

Internet Explorer: [SBI $0BC7B918] User agent (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent

Internet Explorer: [SBI $D5C3373A] AutoComplete data (48 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Internet Explorer\IntelliForms\SPW

Isobuster: [SBI $FFCD5808] Last save folder (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Smart Projects\IsoBuster\LastSavedPath

Macromedia FreeHand MX: [SBI $EA46D431] Last save folder (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Macromedia\FreeHand\11\Dialogs\SaveDirectory

MS Management Console: [SBI $ECD50EAD] Recent command list (3 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Microsoft Management Console\Recent File List

MS Media Player: [SBI $E48560B4] Recent file list (9 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\MediaPlayer\Player\RecentFileList

MS Media Player: [SBI $3EE69CC3] Save as Directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\MediaPlayer\Player\Settings\SaveAsDir

MS Media Player: [SBI $5C51E349] Client ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\MediaPlayer\Player\Settings\Client ID

MS Media Player: [SBI $5C51E349] Client ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\MediaPlayer\Player\Settings\Client ID

MS Direct3D: [SBI $7FB7B83F] Most recent application (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Direct3D\MostRecentApplication\Name

MS Direct3D: [SBI $C2A44980] Most recent application (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Direct3D\MostRecentApplication\Name

MS DirectDraw: [SBI $EB49D5AF] Most recent application (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name

MS DirectInput: [SBI $9A063C91] Most recent application (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\DirectInput\MostRecentApplication\Name

MS DirectInput: [SBI $7B184199] Most recent application ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\DirectInput\MostRecentApplication\Id

MS Office 11.0: [SBI $53EEAC4B] Last opened-from-web file (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Office\11.0\Common\Internet\UseRWHlinkNavigation

MS Office 11.0 (Cliparts): [SBI $D2A56AFD] Last search made (5 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Office\11.0\Clip Organizer\Search\Last Query

MS Office 11.0 (Excel): [SBI $8DAB8D88] Recent file list (4 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Office\11.0\Excel\Recent Files

MS Office 11.0 (Outlook): [SBI $51367364] Typed search term history (1 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Office\11.0\Outlook\Office Finder

MS Office 11.0 (Word): [SBI $15AC27CE] Recent file list (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Office\11.0\Word\Data\Settings

MS Office 11.0 (Word): [SBI $4805589B] Recent template list (6 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Office\11.0\Word\Recent Templates

RealOne Player 2 (aka RealPlayer 6.0): [SBI $F369C542] Last login time (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\RealNetworks\RealPlayer\6.0\Preferences\LastLoginTime\

RealOne Player 2 (aka RealPlayer 6.0): [SBI $0AA1D244] Most recent skins #1 (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\RealNetworks\RealPlayer\6.0\Preferences\MostRecentSkins1\

Windows.OpenWith: [SBI $16E309E0] Open with list - .ASF extension (3 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ASF\OpenWithList

Windows.OpenWith: [SBI $F7204896] Open with list - .AVI extension (3 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.AVI\OpenWithList

Windows.OpenWith: [SBI $691C1B44] Open with list - .BIN extension (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.BIN\OpenWithList

Windows.OpenWith: [SBI $A1C94E79] Open with list - .BMP extension (5 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.BMP\OpenWithList

Windows.OpenWith: [SBI $C92C6763] Open with list - .BUP extension (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.BUP\OpenWithList

Windows.OpenWith: [SBI $63036C95] Open with list - .CAB extension (3 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.CAB\OpenWithList

Windows.OpenWith: [SBI $ECC28BDF] Open with list - .CSV extension (4 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.CSV\OpenWithList

Windows Explorer: [SBI $A2C7B3CD] Recent wallpaper list (501 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper\MRU

Windows Explorer: [SBI $7308A845] Run history (2 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\PE_I_ADMINISTRATOR\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Windows Explorer: [SBI $AA0766B5] Stream history (64 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU

Windows Explorer: [SBI $2026AFB6] User Assistant history IE (1 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\PE_I_ADMINISTRATOR\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

Windows Explorer: [SBI $2026AFB6] User Assistant history IE (111 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

Windows Explorer: [SBI $6107D172] User Assistant history files (9 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\PE_I_ADMINISTRATOR\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Windows Explorer: [SBI $6107D172] User Assistant history files (242 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Windows Explorer: [SBI $B7EBA926] Last visited history (26 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

Windows Explorer: [SBI $D20DA0AD] Recent file global history (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Windows Media SDK: [SBI $37AAEDE6] Computer name (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Windows Media\WMSDK\General\ComputerName

Windows Media SDK: [SBI $CAA58B6E] Unique ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Windows Media\WMSDK\General\UniqueID

Windows Media SDK: [SBI $BACCD0DA] Volume serial number (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber

WinRAR: [SBI $B84F9965] Last used directory (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\WinRAR\General\LastFolder

WinRAR: [SBI $B510882E] Extraction directory history (4 Dateien) (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-776561741-343818398-839522115-1004\Software\WinRAR\DialogEditHistory\ExtrPath

Cookie: [SBI $49804B54] Cookie (9) (Cookie, nothing done)


Cache: [SBI $49804B54] Cache (1429) (Cache, nothing done)


History: [SBI $49804B54] Verlauf (281) (Verlauf, nothing done)


Gratuliere!: Es wurden keine Spione gefunden. ()



--- Spybot - Search & Destroy version: 1.6.0 (build: 20080729) ---

2008-08-14 blindman.exe (1.0.0.8)
2008-01-28 SDDelFile.exe (1.0.2.4)
2008-08-14 SDFiles.exe (1.6.0.4)
2008-08-14 SDMain.exe (1.0.0.6)
2008-08-14 SDShred.exe (1.0.2.3)
2008-08-14 SDUpdate.exe (1.6.0.9)
2008-08-14 SDWinSec.exe (1.0.0.12)
2008-07-30 SpybotSD.exe (1.6.0.31)
2008-09-16 TeaTimer.exe (1.6.3.25)
2005-09-21 unins000.exe (51.41.0.0)
2008-08-30 unins001.exe (51.49.0.0)
2008-08-14 Update.exe (1.6.0.7)
2008-10-22 advcheck.dll (1.6.2.13)
2007-04-02 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2008-06-14 DelZip179.dll (1.79.11.1)
2008-09-15 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2008-10-22 Tools.dll (2.1.6.8)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2008-11-04 Includes\Adware.sbi (*)
2008-11-05 Includes\AdwareC.sbi (*)
2008-06-03 Includes\Cookies.sbi (*)
2008-09-02 Includes\Dialer.sbi (*)
2008-09-09 Includes\DialerC.sbi (*)
2008-07-23 Includes\HeavyDuty.sbi (*)
2008-09-02 Includes\Hijackers.sbi (*)
2008-10-28 Includes\HijackersC.sbi (*)
2008-09-09 Includes\Keyloggers.sbi (*)
2008-11-04 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2008-11-04 Includes\Malware.sbi (*)
2008-11-04 Includes\MalwareC.sbi (*)
2008-11-03 Includes\PUPS.sbi (*)
2008-11-04 Includes\PUPSC.sbi (*)
2007-11-07 Includes\Revision.sbi (*)
2008-06-18 Includes\Security.sbi (*)
2008-10-23 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2008-11-04 Includes\Spyware.sbi (*)
2008-11-04 Includes\SpywareC.sbi (*)
2008-06-03 Includes\Tracks.uti (*)
2008-11-04 Includes\Trojans.sbi (*)
2008-11-04 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll
 
"fixex.log" nicht gefunden! ?

Da gibts nur Update Logs, Checks Logs, Resident Logs, SDHelper Logs.

Ups, da ist doch eins, allerdings vom 11.02.!?!

So muß jetzt leider ertsmal weg ...
Danke schonmal
 
Hallo,
die echte Windowsdatei heißt svchost.exe . Bei der scvhost.exe handelt es sich also wohl um einen Trojaner.
Wie gesagt poste bitte nochmal ein aktuelles HJT, dann schauen wir mal wo sich die Bedrohung eingenistet hat.

Gruß,
Markus
 
Dacht ichs mir doch. Dann hat, wenn ich das richtig verstehe (berichtige mich wenn ich falsch liege), SDfix den Trojaner entfernt und der war mitnichten ins System eingedrungen? Log in Auszügen:

SDFix: Version 1.239
Run by Hahaa on 03.11.2008 at 17:07
Microsoft Windows XP [Version 5.1.2600]
Running From: I:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

I:\WINDOWS\system32\scvhost - Deleted

HJThis folgt ...
 
Habe schon seit längerem USB-Probleme, d. h. der Pocket Pc oder die externe Festplatte oder andere Sachen an USB werden nicht erkannt. Manchmal hilft Neustart, manchmal nur Bereinigung der USB-Einträge im Gerätemanager. Habe das immer mit einem Tool, genannt "USB-Fehlerbehebung" behoben. Jetzt aktuell erkennt er wieder nicht die Platte "K". Hoffe das ist kein Problem (scheint nix mit dem Trojaner zu tun zu haben, ist ja ein altes Problem).

HJT Report:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:02:19, on 08.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\system32\brsvc01a.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\system32\brss01a.exe
I:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
I:\Programme\Mouse Driver\MouseDrv.exe
I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
I:\Programme\ScanSoft\PaperPort\pptd40nt.exe
I:\Programme\Brother\ControlCenter2\brctrcen.exe
I:\Programme\Java\jre6\bin\jusched.exe
I:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
I:\Programme\Steganos Security Suite 2006\SSS2006.exe
I:\Programme\Spybot - Search & Destroy\TeaTimer.exe
I:\Programme\Microsoft ActiveSync\wcescomm.exe
I:\Programme\IDM\Desktop SMS\DesktopSMS.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Programme\Windows Media Player\WMPNSCFG.exe
I:\Programme\Logitech\SetPoint\SetPoint.exe
I:\Programme\Windows Desktop Search\WindowsSearch.exe
I:\Programme\FRITZ!DSL\FwebProt.exe
I:\Programme\FRITZ!DSL\StCenter.exe
I:\WINDOWS\system32\rundll32.exe
I:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
I:\PROGRA~1\MICROS~3\rapimgr.exe
I:\Programme\Steganos Security Suite 2006\SSS2006.exe
I:\Programme\AntiVir PersonalEdition Classic\sched.exe
I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
I:\Programme\FRITZ!DSL\IGDCTRL.EXE
I:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
I:\WINDOWS\System32\svchost.exe
I:\Programme\Java\jre6\bin\jqs.exe
I:\WINDOWS\system32\IoctlSvc.exe
I:\WINDOWS\system32\SatSrv.exe
I:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\SearchIndexer.exe
I:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
I:\WINDOWS\system32\SearchProtocolHost.exe
I:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
I:\WINDOWS\system32\wuauclt.exe
I:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///I:/Dokumente%20und%20Einstellungen/Hahaa/Eigene%20Dateien/Meine%20Startseite.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://redirect.zonelabs.com/redire...ang=de&date=-86400&link_id=4&dest=try_product
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Galaxy Class
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - I:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - I:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - I:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NVMixerTray] "I:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [CreativeMouse ] I:\Programme\Mouse Driver\MouseDrv.exe
O4 - HKLM\..\Run: [avgnt] "I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SSBkgdUpdate] "I:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] I:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] I:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter2.0] I:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SetDefPrt] I:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] I:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "I:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [SSS2006] "I:\Programme\Steganos Security Suite 2006\SSS2006.exe" -boot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] I:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "I:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Desktop SMS] I:\Programme\IDM\Desktop SMS\DesktopSMS.exe /auto
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] I:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] I:\Programme\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] I:\Programme\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = I:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = I:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Logitech SetPoint.lnk = I:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Status Monitor.lnk = I:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: Windows Search.lnk = I:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Fotoabzug online bestellen ! - http://fotoup.fotoserver.info/ie2wk.php?hid=bisabi
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - I:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - I:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - I:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127223800171
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://dno750.dyndns.org/activex/AxisCamControl.cab
O16 - DPF: {B1DE1BE4-AC89-407F-921F-C45C15C8FADB} (xingWebControl.Launcher) - https://www.xing.com/sync/xingWebControl.CAB
O16 - DPF: {EE7C9864-3B79-45DB-953E-AC6FFC8F3C7D} (bildernet_de_bilduebertragung) - http://www.bildernet.de/upload/bildernet_de_bilduebertragung.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F689D69-C36F-4942-A53B-4680A60FD1FD}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - I:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - I:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - I:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - I:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - I:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - I:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - I:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - I:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - I:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - I:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - I:\WINDOWS\system32\SatSrv.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - I:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe

--
End of file - 10419 bytes
 
Das Log sieht doch eigentlich ganz gut aus. Zumindest habe ich jetzt auf anhieb nix ungewöhnliches gesehen. Kannste bitte auch nochmal ein aktuelles GMER Log posten, um eine Rootkit-Infektion auszuschließen? Wie das geht weisste ja vermutlich noch ;)

Hast du denn aktuell noch irgendwelche Symptome die auf eine Infektion hinweisen? Du hattest ja ursprünglich verschiedene Einstellungen erwähnt die nicht mehr funktionieren.
 
Gmer war, glaube ich, in SDfix integriert, oder? Genauso vorgehen wie im Avira-Forum beschrieben (mit gesichertem Modus usw.)?

Nein, Symptome aktuell keine. Nur Rajo im Avira-Forum war ja der Meinung, daß das Teil schon zur Ausführung gekommen war, jetzt schon zigmal mutiert sein kann, evt. auch andere Malware eingeschleust haben kann und das System deshalb als kompromittiert anzusehen ist. Ist ja auch ganz schlüssig, WENN es denn ausgeführt wurde. Ich denke mal, er meinte, daß der Trojaner in s..host.exe gefunden wurde. Also in der echten Windows-Datei. Gefunden wurde er aber wohl in der gefälschten Datei und dort mitsamt dieser Datei gelöscht. Leider antwortet er nicht mehr, hab ihn wohl mit meiner Fragerei genervt und irgendwie verärgert.

Noch mal zum Nachlesen der Thread in Avira:

http://forum.avira.com/wbb/index.php?page=Thread&threadID=77070&pageNo=1
Hat jetzt 2 Seiten (!)
 
Ja geh mal genauso vor :-)
Da das HJT clean zu sein scheint, und wenn man rootkits ausschließen kann, würde ich nicht behaupten, dass es nötig ist den Rechner neu aufzusetzen. Ich weiss nicht wie RAJO anhand einer bereits gelöschten scvhost.exe (die ja der Backdoor is) sagen kann welcher Virus/Trojaner/Backdoor das genau ist. Es gibt mittlerweile zig von Bedrohungen die sich mit diesem Dateinamen versuchen zu tarnen.
Am besten wäre es gewesen wenn ich die Daten bekommen hätte um eine INfektion zu reproduzieren. Aber die sind ja leider - oder zum Glück - schon gelöscht.

Ich habe fast den Eindruck, dass dein Rechner clean ist. Hast du denn den Eindruck, dass dein Rechner langsamer im Internet surft? Wir könnten mit Wireshark nochmal deinen Netzwerktraffic kontrollieren, um sicherzustellen, dass da auch im Hintergrund nix nach Hause telefoniert.

Gruß,
Markus
 
Sorry, hat gedauert! Muß immer sehr viel und sehr lange arbeiten :sad:, da komme ich nicht immer dazu, gleich zu antworten. Vor allem, wenn ich noch Aufgaben erfüllen muß! ;)

Jetzt aber:

SDFix: Version 1.239
Run by Hahaa on 13.11.2008 at 08:57

Microsoft Windows XP [Version 5.1.2600]
Running From: I:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-13 09:20:22
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

IPC error: 2 Das System kann die angegebene Datei nicht finden.
scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"I:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="I:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:*:Enabled:ActiveSync Connection Manager"
"I:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="I:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:*:Enabled:ActiveSync Application"
"I:\\Programme\\IBP 9\\IBP.exe"="I:\\Programme\\IBP 9\\IBP.exe:*:Enabled:Internet Business Promoter (IBP)"
"I:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"="I:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe"
"I:\\Programme\\Winamp Remote\\bin\\Orb.exe"="I:\\Programme\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb"
"I:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"="I:\\Programme\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray"
"I:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"="I:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"
"I:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="I:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"I:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="I:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"I:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="I:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"I:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="I:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :

Sun 5 Oct 2008 6,108,728 A..H. --- I:\PROGRA~1\PICASA2\SETUP.EXE
Wed 22 Oct 2008 949,072 A.SHR --- I:\PROGRA~1\SPYBOT~1\ADVCHECK.DLL
Mon 15 Sep 2008 1,562,960 A.SHR --- I:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
Thu 14 Aug 2008 1,429,840 A.SHR --- I:\PROGRA~1\SPYBOT~1\SDUPDATE.EXE
Wed 30 Jul 2008 4,891,984 A.SHR --- I:\PROGRA~1\SPYBOT~1\SPYBOTSD.EXE
Tue 16 Sep 2008 1,833,296 A.SHR --- I:\PROGRA~1\SPYBOT~1\TEATIMER.EXE
Wed 22 Oct 2008 962,896 A.SHR --- I:\PROGRA~1\SPYBOT~1\TOOLS.DLL
Mon 3 Nov 2008 457 ..SH. --- I:\WINDOWS\SYSTEM32\BOOTHIDE.REG
Mon 3 Nov 2008 172 ..SH. --- I:\WINDOWS\SYSTEM32\BOOTRUN.REG
Thu 22 Sep 2005 4,348 A.SH. --- I:\DOKUME~1\ALLUSE~1\DRM\DRMV1.BAK
Mon 11 Dec 2006 0 A.SH. --- I:\DOKUME~1\ALLUSE~1\DRM\CACHE\INDIV02.TMP
Thu 22 Sep 2005 4,348 A..H. --- I:\DOKUME~1\HAHAA\EIGENE~1\EIGENE~2\LIZENZ~1\DRMV1KEY.BAK
Sun 15 Jan 2006 20 A..H. --- I:\DOKUME~1\HAHAA\EIGENE~1\EIGENE~2\LIZENZ~1\DRMV1LIC.BAK
Sun 15 Jan 2006 488 A.SH. --- I:\DOKUME~1\HAHAA\EIGENE~1\EIGENE~2\LIZENZ~1\DRMV2KEY.BAK
Sun 11 Mar 2007 5,208 A.SH. --- I:\DOKUME~1\HAHAA\ANWEND~1\ROXIO\DRAGON\DISCIN~1\HL-DT-~1.TMP

Finished!
 
PS: Natürlich ist die Datei noch da (ich Idiot!)! Nämlich in der Quarantäne von AntiVir! Soll ich die senden (wenn ja, wie?)?
 
Wenn die Datei in der Quarantäne liegt ist immerhin dein Rechner nicht mehr damit infiziert. Die Logs sehen auch alle sauber aus. Ich würde sagen dein Rechner ist sauber.

Ich bin mir nicht sicher wo Antivir seine Quarantäne Files ablegt, wenn du sie findet kannst du sie ja noch in ein zip packen und an detections#spybot.info (#=@) schicken.

Gruß,
Markus
 
Hallo,

ich bekomme eine ähnliche Fehlermeldung angezeigt:

SpybotSD.exe - Kein Datenträger
Es befindet sich kein Datenträger im Laufwerk. Legen Sie einen Datenträger in Laufwerk \Device\Harddisk1\DR1 ein.

Ich benutze Version 1.6.2, vor ca einer halben Stunde heruntergeladen und geupdatet. Mit dem erweiterten Parameter "verbose" funktioniert es auch nicht.
Ich vermute, dass es daran liegt, dass bei mir ebenfalls Windows auf "I:" installiert ist. Allerdings habe ich kein Laufwerk "C:", das ich umbenennen könnte...
Die anderen Laufwerksbuchstaben sind: "A:" (angeblich Diskette, obwohl ich kein Diskettenlaufwerk habe); "G:" (DVD); "H:" (DVD-Brenner); "J:" (virtuell) und wenn ich meine externe angeschlossen habe noch "K:"

System ist Windows 7 Professional 64bit.

Ich hoffe, ihr könnt mir helfen, damit ich nach dem Scan mit den anderen Problemen weitermachen kann... -.-
 
Hallo,
wenn du mit verbose startest laufen beim Scan am unteren Bildrand so Ziffernfolgen hinter den Produkten durch, die grade geschannt werden. Die sehen beispielsweise so aus: $8F4129CC

Kannst du mir diese ID nennen, wo die Frage nach dem Datenträger kommt?

Gruß,
Markus
 
You must log in or register to reply here.
Back
Top