Wie ich bereits in anderen Threads gelesen habe bin ich nicht die einzige Person mit dem genannten Problem. Alle Browser bis auf den Internet Explorer sind nicht benutzbar. Dies fing an direkt nachdem ich plötzlich von GData die folgende Meldung bekam:

Zitat:

Virenprüfung von Web-Inhalten

Adresse: ucfxhefupnf.com
Virus: Exploit.PDF-JS.Gen (Engine A)
Status: Der Zugriff wurde verweigert.

Firefox konnte daraufhin nicht mehr gestartet werden.
Hier das Malwarebyte-Log

Zitat:

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3358
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

14.12.2009 19:56:25
mbam-log-2009-12-14 (19-56-21).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 151685
Laufzeit: 36 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ich habe (bis jetzt) keine anderen Auffälligkeiten beobachten können, obwohl die Registry Einträge vermutlich nicht alles sind. Ich hätte sie schon gelöscht wenn ich wüsste, wie man gezielt Registry Einträge löscht. Selbstverständlich würde ich mich über Hilfe sehr freuen.
MfG

Hallo und

Bitte ausführen: Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Vielen Dank für die Antwort!
Die Logs befinden sich im Anhang, da sie sonst zu lang wären.
MfG

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe

files to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DynuEncrypt.dll
c:\windows\system32\czqzkdqrr.exe
c:\windows\czqzkdqrr.exe
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Bitte die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken

Ich habe genau das Script wie geschrieben eingegeben, jedoch ist es mir nun nicht mehr möglich die restlichen Schirtte durchzuführen, da ich beim Versuch des Anmeldens direkt wieder abgemeldet werde und mich so in einer Schleife aus Anmelden und Abmelden befinde. Ist noch irgendwas zu retten?^^

Oje, wird schwierig. hast Du ne Live-CD wie Knoppix oder BartPE da? Notfalls tuts auch ne stinknormale XP-CD mit der Du die Wiederherstellungskonsole starten kannst.

Ich habe nur eine normale XP-CD... Was soll ich tun wenn ich Wiederherstellungskonsole gestartet habe?
MfG

Diesen Befehl eintippen und mit Enter ausführen, ich hoffe ich bin auf dem richtigen Dampfer wegen der Abmeldeschleife

Code: Alles auswählenAufklappen

ATTFilter

copy c:\windows\system32\userinit.exe c:\windows\system32\czqzkdqrr.exe
         

Ich bitte vielmals um Entschuldigung wegen der langen Pause, aber es war recht schwer eine XP-CD aufzutreiben, da es sich bei meinem PC um einen Fertigrechner handelt und XP vorinstalliert war. Ich habe mir eine XP-CD zuschicken lassen und konnte endlich den Befehl eintippen. Der Recher startet jetzt ohne Probleme. Das Log ist im Anhang.
Vielen Dank für die freundliche Hilfe.
MfG

Edit: Ganz den Link vergessen: http://www.file-upload.net/download-...ackup.zip.html

Die Abwesenheit ist kein Problem. In der Zwischenzeit ist Combofix wieder online gegangen, bitte damit einen Durchlauf machen, das erleichtert die Arbeit tw. erheblich:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Das Log:

Zitat:

ComboFix 09-12-21.08 - XYZ 22.12.2009 18:22:38.4.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2030.1290 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\XYZ\Desktop\cofi.exe
AV: G DATA AntiVirus *On-access scanning disabled* (Updated) {71310606-6F3B-49F2-9A81-8315AA75FBB3}
.

((((((((((((((((((((((( Dateien erstellt von 2009-11-22 bis 2009-12-22 ))))))))))))))))))))))))))))))
.

2009-12-14 19:30 . 2009-12-15 11:24 -------- d-----w- C:\Lop SD
2009-12-14 19:06 . 2009-12-14 19:06 -------- d-----w- c:\programme\Trend Micro
2009-12-14 17:17 . 2009-12-14 18:49 -------- d-----w- c:\programme\Opera
2009-12-05 02:02 . 2009-12-05 02:02 -------- d-----w- c:\dokumente und einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten\Microsoft Help
2009-12-03 17:44 . 2009-06-21 21:45 153088 -c----w- c:\windows\system32\dllcache\triedit.dll
2009-12-03 17:43 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-12-03 17:25 . 2009-08-06 18:23 215920 ----a-w- c:\windows\system32\muweb.dll
2009-12-03 17:25 . 2009-08-06 18:23 274288 ----a-w- c:\windows\system32\mucltui.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-14 17:45 . 2009-11-12 14:40 79488 ----a-w- c:\dokumente und einstellungen\XYZr\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-12 09:19 . 2009-08-23 05:53 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-11 22:48 . 2009-09-10 21:46 4844296 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-12-10 12:04 . 2006-02-28 12:00 48354 ----a-w- c:\windows\system32\perfc007.dat
2009-12-10 12:04 . 2006-02-28 12:00 316924 ----a-w- c:\windows\system32\perfh007.dat
2009-12-09 21:22 . 2009-01-07 01:21 -------- d-----w- c:\dokumente und einstellungen\XYZ\Anwendungsdaten\Skype
2009-12-09 20:26 . 2009-01-07 01:24 -------- d-----w- c:\dokumente und einstellungen\XYZ\Anwendungsdaten\skypePM
2009-12-09 18:21 . 2009-07-07 13:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-12-03 15:14 . 2009-08-23 05:53 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 15:13 . 2009-08-23 05:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-29 07:41 . 2006-02-28 12:00 832512 ------w- c:\windows\system32\wininet.dll
2009-10-29 07:40 . 2006-02-28 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-10-29 07:40 . 2006-02-28 12:00 17408 ------w- c:\windows\system32\corpol.dll
2009-10-21 05:38 . 2006-02-28 12:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2006-02-28 12:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2006-02-28 12:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:32 . 2006-02-28 12:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2006-02-28 12:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2006-02-28 12:00 150528 ----a-w- c:\windows\system32\rastls.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-12-22_16.19.35 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-12-22 17:20 . 2009-12-22 17:20 16384 c:\windows\Temp\Perflib_Perfdata_56c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"G DATA AntiVirus Trayapplication"="c:\programme\G DATA\AntiVirus\AVKTray\AVKTray.exe" [2008-10-29 955976]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]
"IntelAudioStudio"="c:\programme\Intel Audio Studio\IntelAudioStudio.exe" [2006-09-21 9138176]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-15 13680640]
"nwiz"="nwiz.exe" [2009-01-15 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-15 86016]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 GRD;G DATA Rootkit Detector Driver;c:\windows\system32\drivers\GRD.sys [31.10.2008 22:46 68424]
R1 SLEE_15_DRIVER;Steganos Live Encryption Engine 15 [Driver];c:\windows\system32\drivers\sleen15.sys [21.02.2007 13:33 80232]
R2 AVKProxy;G DATA AntiVirus Proxy;c:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [19.08.2008 16:20 1089608]
R2 AVKService;G DATA Scheduler;c:\programme\G DATA\AntiVirus\AVK\AVKService.exe [19.08.2008 16:20 386120]
R2 AVKWCtl;AntiVirus Wächter;c:\programme\G DATA\AntiVirus\AVK\AVKWCtl.exe [14.08.2008 08:55 1185496]
R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [31.10.2008 13:39 51016]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [31.10.2008 13:44 265088]
R3 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [31.10.2008 13:39 48712]
R3 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [31.10.2008 13:39 32328]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [31.10.2008 13:44 4352]
S3 FXDrv32;FXDrv32;\??\i:\fxdrv32.sys --> i:\FXDrv32.sys [?]
S3 XDva295;XDva295;\??\c:\windows\system32\XDva295.sys --> c:\windows\system32\XDva295.sys [?]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-22 18:25
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-448539723-179605362-725345543-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
Zeit der Fertigstellung: 2009-12-22 18:26:28
ComboFix-quarantined-files.txt 2009-12-22 17:26

Vor Suchlauf: 12 Verzeichnis(se), 109.166.919.680 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 109.137.637.376 Bytes frei

- - End Of File - - A46CB794BA6E35CB3E01F7D6B38D43C0

MfG

Bitte nochmal den Avenger anwenden wie o.g. aber dieses Script benutzen, Rest alles wie gehabt:

Zitat:

files to delete:
i:\FXDrv32.sys
c:\windows\system32\XDva295.sys

drivers to delete:
FXDrv32
XDva295

Ich wünschte ich könnte sagen, dass alles reibungslos funktioniert hätte aber nach dem Neustart kam ein Bluescreen der einen "schweren Systemfehler" meldete. Danach versuchte ich den Rechner im Abgesicherten Modus zu starten, was auch für eine Sekunde funktionierte. Danach starte sich der PC plötzlich neu im normalen Modus, welcher nun wieder funktioniert.
Log:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open file "i:\FXDrv32.sys"
Deletion of file "i:\FXDrv32.sys" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: file "c:\windows\system32\XDva295.sys" not found!
Deletion of file "c:\windows\system32\XDva295.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "FXDrv32" deleted successfully.
Driver "XDva295" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Link: http://www.file-upload.net/download-...ackup.zip.html

Es gibt Sachen, die man nicht verstehen muss
Ich würde vorschlagen, Du machst nochmal einen Kontrollscan (vollständig!) mit Malwarebytes und aktuellen Signaturen. Wenn nichts gefunden wird, brauchst Du das Log nicht zu posten und kannst Dich an die Updates machen - da fehlt nämlich mindestens der IE8 bei Dir!!

Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Vista-User: Anleitung Windows-Update
Es geht v.a. um den IE8, auch wenn Du ihn nicht nutzt.


Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.

Überprüf auch bitte den Adobe Flashplayer


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Alle Updates wurden durchgeführt und alles scheint zu funktionieren. Malwarebytes findet nur noch infizierte Wiederherstellungspunkte. Gibt es irgendeine Möglichkeit die auch noch loszuwerden?
Hier das Log:

Zitat:

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3409
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22.12.2009 22:18:51
mbam-log-2009-12-22 (22-18-47).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 165459
Laufzeit: 34 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{3E6926B2-0936-4557-A20F-1D4761B89234}\RP214\A0047045.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{3E6926B2-0936-4557-A20F-1D4761B89234}\RP214\A0047048.exe (Trojan.Banker) -> No action taken.
C:\System Volume Information\_restore{3E6926B2-0936-4557-A20F-1D4761B89234}\RP214\A0047230.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{3E6926B2-0936-4557-A20F-1D4761B89234}\RP214\A0048059.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{3E6926B2-0936-4557-A20F-1D4761B89234}\RP214\A0049055.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{3E6926B2-0936-4557-A20F-1D4761B89234}\RP214\A0047330.sys (Rootkit.Agent) -> No action taken.
C:\System Volume Information\_restore{3E6926B2-0936-4557-A20F-1D4761B89234}\RP214\A0049207.sys (Rootkit.Agent) -> No action taken.

MfG