AV Security Suite eingefangen - logfiles überprüfen

Fukuyoshi · 13.07.2010, 18:31

Hallo Leute,
hab mir leider diesen AV Security Suite eingefangen. Malwaresoftware habe ich laufen lassen und anschließend einen OTL scan gestartet. Im Anhang findet ihr die Logfiles. Wäre klasse wenn ihr da mal nen Blick werfen könntet und mir sagt, ob alles Schädliche restlos entfernt wurde.

DANKE!!

cosinus · 14.07.2010, 19:18

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5643
O27 - HKLM IFEO\userinit.exe: Debugger - memh.exe ()
[2010.07.13 18:41:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Fukuyoshi\Lokale Einstellungen\Anwendungsdaten\lrwopuing
[2010.07.13 01:34:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Fukuyoshi\Lokale Einstellungen\Anwendungsdaten\nsbstccpy
[2010.07.11 00:48:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Fukuyoshi\Lokale Einstellungen\Anwendungsdaten\bdsetbjcf
[2010.07.13 19:17:21 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\akbvsgph.sys
@Alternate Data Stream - 121 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Fukuyoshi · 16.07.2010, 00:25

nabend,
hier das logfile!

vielen dank

Fukuyoshi · 18.07.2010, 17:14

sehe jetzt erst, dass das logfile garnicht hochgeladen wurde. Hier also nochmal (Ich poste es hier direkt hinein, da sich das file nicht hochladen lässt- keine ahnung wieso...)
Das Problem scheint tatsächlich noch nicht behoben zu sein. Jedenfalls werde ich ständig auf irgendwelche dubiosen seiten weiterverlinkt, auch öffnen sich manchmal java applikationen.

All processes killed
========== OTL ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\ not found.
C:\WINDOWS\System32\memh.exe moved successfully.
C:\Dokumente und Einstellungen\Fukuyoshi\Lokale Einstellungen\Anwendungsdaten\lrwopuing folder moved successfully.
C:\Dokumente und Einstellungen\Fukuyoshi\Lokale Einstellungen\Anwendungsdaten\nsbstccpy folder moved successfully.
C:\Dokumente und Einstellungen\Fukuyoshi\Lokale Einstellungen\Anwendungsdaten\bdsetbjcf folder moved successfully.
File C:\WINDOWS\System32\drivers\akbvsgph.sys not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

FC5A2B2 deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Fukuyoshi
->Temp folder emptied: 3120091 bytes
->Temporary Internet Files folder emptied: 5507807 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 38631186 bytes
->Flash cache emptied: 78863 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 5097622 bytes

User: Standarduser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 3235246 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 53,00 mb

OTL by OldTimer - Version 3.2.9.0 log created on 07162010_011902

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus · 18.07.2010, 18:08

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Fukuyoshi · 19.07.2010, 23:17

hier das logfile von combofix. Ich habe es leider übersehen, die Datei umzubenennen bevor ich das Programm gestartet habe, aber ich denke es hat trotzdem seinen Job erledigt (jedenfalls gab es keine fehlermeldungen, oder einen absturz)

Ich werde ab morgen für die nächsten monate nicht an diesen pc drankönnen. Falls der schädling/die schädlinge noch nicht beseitigt sein sollten, so hoffe ich dass mir hier die weiteren schritte mitgeteilt werden, sodass ich diese dann ausführen kann sobald ich wieder zugriff auf den pc habe.

vielen Dank!

------------------------------------

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-07-16.02 - Fukuyoshi 18.07.2010  19:43:00.2.2 - x86 NETWORK
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1794 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Fukuyoshi\Desktop\ComboFix.exe
.
Die folgenden Dateien wurden während des Laufs deaktiviert:
c:\windows\system32\netdtvdm.dll


((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokume~1\FUKUYO~1\LOKALE~1\Temp\service.exe

Infizierte Kopie von c:\windows\system32\DRIVERS\RDPCDD.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
.
(((((((((((((((((((((((   Dateien erstellt von 2010-06-18 bis 2010-07-18  ))))))))))))))))))))))))))))))
.

2010-07-18 17:39 . 2002-12-31 12:00	4224	----a-w-	c:\windows\system32\drivers\RDPCDD.sys
2010-07-18 16:30 . 2010-07-18 16:30	--------	d-----w-	c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\GlarySoft
2010-07-18 16:30 . 2010-07-18 16:31	--------	d-----w-	c:\programme\Glary Registry Repair
2010-07-18 15:50 . 2010-07-18 15:50	664	----a-w-	c:\windows\system32\d3d9caps.dat
2010-07-18 15:29 . 2010-07-18 15:29	--------	dc-h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{BD986C1B-72EC-4B82-B47B-6CAC4E6F494E}
2010-07-18 15:18 . 2010-07-18 17:11	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-18 15:18 . 2010-07-18 15:20	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-07-18 14:33 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-18 14:33 . 2010-07-18 14:33	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-07-18 14:33 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-18 13:32 . 2010-07-18 13:32	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Identities
2010-07-18 10:49 . 2010-07-18 10:49	46592	----a-w-	c:\windows\system32\netdtvdm.dll
2010-07-13 10:29 . 2010-07-13 10:29	--------	d-----w-	c:\programme\CCleaner
2010-07-12 23:56 . 2010-07-13 00:03	--------	d-----w-	c:\windows\system32\NtmsData
2010-07-11 09:26 . 2010-07-11 09:57	--------	d---a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-07-10 23:59 . 2010-07-10 23:59	--------	d-----w-	c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\Malwarebytes
2010-07-10 23:59 . 2010-07-10 23:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-07 07:36 . 2010-07-07 07:36	142	----a-w-	c:\dokumente und einstellungen\Fukuyoshi\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2010-07-07 07:36 . 2010-07-08 12:08	--------	d-----w-	c:\dokumente und einstellungen\Fukuyoshi\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory
2010-07-05 10:17 . 2006-08-11 15:02	104960	----a-r-	c:\windows\hporclnr.exe
2010-07-05 10:17 . 2010-07-05 10:17	--------	d-----w-	c:\programme\HP
2010-07-05 10:16 . 2001-08-18 02:54	87040	-c--a-w-	c:\windows\system32\dllcache\wiafbdrv.dll
2010-07-05 10:16 . 2001-08-18 02:54	87040	----a-w-	c:\windows\system32\wiafbdrv.dll
2010-07-05 10:16 . 2008-04-13 18:45	15104	-c--a-w-	c:\windows\system32\dllcache\usbscan.sys
2010-07-05 10:16 . 2008-04-13 18:45	15104	----a-w-	c:\windows\system32\drivers\usbscan.sys
2010-07-05 10:14 . 2010-07-05 10:14	--------	d-----w-	c:\windows\system32\URTTemp
2010-07-05 10:13 . 2010-07-05 10:15	--------	d--h--w-	c:\programme\Agilent-HP
2010-07-05 10:13 . 2010-07-05 10:13	--------	d-----w-	c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\HP
2010-07-05 10:10 . 2008-04-13 18:47	25856	-c--a-w-	c:\windows\system32\dllcache\usbprint.sys
2010-07-05 10:10 . 2008-04-13 18:47	25856	----a-w-	c:\windows\system32\drivers\usbprint.sys
2010-07-03 22:33 . 2010-07-15 23:32	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2010-07-03 22:16 . 2010-07-03 22:16	--------	d-----w-	c:\programme\Adobe Media Player
2010-07-03 22:16 . 2010-07-03 22:16	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe AIR
2010-07-03 22:11 . 2010-07-03 22:11	--------	d-----w-	c:\programme\Gemeinsame Dateien\Macrovision Shared
2010-07-03 09:59 . 2010-07-03 09:59	--------	d-----w-	c:\windows\l2schemas
2010-07-03 09:59 . 2010-07-03 09:59	--------	d-----w-	c:\windows\system32\de
2010-07-03 09:59 . 2010-07-03 09:59	--------	d-----w-	c:\windows\system32\bits
2010-06-29 18:59 . 2010-06-29 18:59	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\McAfee
2010-06-27 20:32 . 2010-06-27 20:32	--------	d-----w-	c:\dokumente und einstellungen\Fukuyoshi\Lokale Einstellungen\Anwendungsdaten\Help
2010-06-26 07:18 . 2010-06-26 07:18	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2010-06-26 07:18 . 2010-06-26 08:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-10 23:29 . 2008-07-30 14:29	--------	d-----w-	c:\programme\SpywareBlaster
2010-07-06 22:56 . 2002-12-31 12:00	63580	----a-w-	c:\windows\system32\perfc007.dat
2010-07-06 22:56 . 2002-12-31 12:00	391000	----a-w-	c:\windows\system32\perfh007.dat
2010-07-03 22:33 . 2008-08-02 22:17	58464	-c--a-w-	c:\dokumente und einstellungen\Fukuyoshi\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-03 22:22 . 2008-07-29 00:19	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2010-07-03 11:51 . 2008-07-29 00:13	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-07-03 11:47 . 2008-08-01 10:38	--------	d-----w-	c:\programme\Ulead Systems
2010-07-03 11:47 . 2008-08-01 10:38	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ulead Systems
2010-07-03 10:00 . 2008-07-28 23:58	86327	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-07-01 11:52 . 2010-07-09 21:03	1496064	----a-w-	c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\Mozilla\Firefox\Profiles\mo8x2w31.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-07-01 11:51 . 2010-07-09 21:03	43008	----a-w-	c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\Mozilla\Firefox\Profiles\mo8x2w31.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-07-01 11:51 . 2010-07-09 21:03	338944	----a-w-	c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\Mozilla\Firefox\Profiles\mo8x2w31.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-07-01 11:51 . 2010-07-09 21:03	346112	----a-w-	c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\Mozilla\Firefox\Profiles\mo8x2w31.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-06-05 20:09 . 2008-09-18 12:00	--------	d-----w-	c:\programme\MAGIX
2010-06-05 20:07 . 2008-09-18 12:13	--------	d-----w-	c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\MAGIX
2010-06-05 20:07 . 2008-09-18 12:00	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MAGIX
2010-05-04 17:14 . 2002-12-31 12:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-05-04 17:14 . 2002-12-31 12:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-05-04 17:14 . 2002-12-31 12:00	17408	------w-	c:\windows\system32\corpol.dll
2010-05-02 08:05 . 2002-12-31 12:00	1851392	----a-w-	c:\windows\system32\win32k.sys
2010-04-20 05:29 . 2002-12-31 12:00	285696	----a-w-	c:\windows\system32\atmfd.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-16 16806400]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-11-17 7700480]
"nwiz"="nwiz.exe" [2006-11-17 1622016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-11-17 86016]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-05-12 148888]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"HP OrderReminder Cleaner"="c:\windows\hporclnr.exe" [2006-08-11 104960]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Fukuyoshi\Startmen\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-8-9 110592]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-8-9 110592]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Ahead\\Nero Wave Editor\\DXEnum.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\ICQ7.0\\ICQ.exe"=
"c:\\Programme\\ICQ7.0\\aolload.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [18.09.2008 14:10 1527900]
.
Inhalt des "geplante Tasks" Ordners

2008-08-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 15:57]

2010-07-18 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-22 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\Mozilla\Firefox\Profiles\mo8x2w31.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - component: c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\Mozilla\Firefox\Profiles\mo8x2w31.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\Move Networks\plugins\071802000001\npqmp071802000001.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-18 19:52
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-776561741-688789844-1417001333-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:eb,0c,96,b2,c2,81,ea,a8,77,b2,3b,85,f2,fb,7f,aa,2d,8d,b2,f9,2f,19,ad,
   fe,2c,b9,3a,be,85,4d,cc,48,96,fb,e1,81,39,a8,b3,e9,9f,2d,e1,95,04,44,f9,df,\
"??"=hex:8d,0b,2c,a9,81,3f,a2,55,9a,e1,35,6d,1d,30,fb,40
.
Zeit der Fertigstellung: 2010-07-18  19:56:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-07-18 17:56

Vor Suchlauf: 12 Verzeichnis(se), 10.274.705.408 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 11.121.803.264 Bytes frei

- - End Of File - - 6591DDA6AB641CA68D758F723EAE0EB7

--- --- ---

cosinus · 21.07.2010, 17:02

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

AV Security Suite eingefangen - logfiles überprüfen

Log-Analyse und Auswertung: AV Security Suite eingefangen - logfiles überprüfen