Bootsektor Virus "BOO/Sinowal.A"
 

AntiVir hat mir gemeldet, dass es einen Bootsektor Virus: "BOO/Sinowal.A" gefunden hat. Der Virus kann aber nicht gelöscht werden. Wie kann ich den Virus löschen? Was macht der Virus mit meinem PC? Es läuft eigendlich alles normal - Trojaner? Wie kann ich meine Daten ohne den Virus sichern, damit ich falls nötig formatieren kann? Könnt ihr bitte mein Logfile auswerten?

----------------------------------------------------------------------------
HijackThis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:54:09, on 11.06.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe
C:\Program Files\ASUS\AASP\1.00.59\aaCenter.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\Tobit ClipInc\Player\ClipIncTray.exe
C:\Program Files\NDAS\System\ndasmgmt.exe
C:\Programme\Locate32\Locate32.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Mozilla Firefox 3 Beta 4\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Elements 6.0\apdproxy.exe"
O4 - HKLM\..\Run: [zoneLINK MultiCore Optimizer] "C:\Program Files\zoneLINK\MultiCore Optimizer\MultiCoreOptimizer.exe" -TRAY
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [ClipIncSrvTray] "C:\Program Files\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: Locate32 Autorun.lnk = ?
O4 - Global Startup: TrekStor NDAS-Geräte-Manager.lnk = C:\Program Files\NDAS\System\ndasmgmt.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: ABBYY FineReader 9.0-Lizenzierungsdienst (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Program Files\ABBYY FineReader 9.0\NetworkLicenseServer.exe
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Program Files\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NDAS Service (ndassvc) - XIMETA, Inc. - C:\Program Files\NDAS\System\ndassvc.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: Roxio UPnP Renderer 10 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe
O23 - Service: Roxio Upnp Server 10 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 10\RoxioUpnpService10.exe
O23 - Service: LiveShare P2P Server 10 (RoxLiveShare10) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe
O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe
O23 - Service: Roxio Hard Drive Watcher 10 (RoxWatch10) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: SessionLauncher - Unknown owner - C:\Users\Benutzer\AppData\Local\Temp\DX9\SessionLauncher.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TeamViewer 3 (TeamViewer) - TeamViewer GmbH - C:\Program Files\TeamViewer3\TeamViewer_Host.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 8338 bytes

Hi,
erstmal würde ich gern sichergehen, dass der gefundene Virus auf deinem Rechner ist:

Während des Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
• nichts am Rechner getan werden
• nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

• Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
• Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Poste das Log dann bitte hier :)
Erstelle zur Kontrolle bitte auch ein Log mit DSS:
DSS

• Lade dir DSS
• Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
• Führe während DSS arbeitet bitte keine anderen Aktionen durch
• Am Ende öffnen sich 2 Datein main.txt und extra.txt
• Poste den Inhalt beider Dateien hier

Poste bitte auch das Log von Antivir, indem der Befall gefunden wird.

lg myrtille

Hier meine Logs:

Gmer.exe:

DSS.exe Logs:

Die logs sidn zu lang um sie hier zum posten, darum hab ich sie als txt datei bei file.upload hochgeladen!

Main.txt: File-Upload.net - Ihr kostenloser File Hoster!
Extra.txt: File-Upload.net - Ihr kostenloser File Hoster!
AntiVir Log: File-Upload.net - Ihr kostenloser File Hoster!

Ich hab jetzt mal Kaskersky Internet Security 2009 installiert und damit nach dem Virus gesucht. Er hat aber nichts gefunden.

Hi,
Tja, Kaspersky vielleicht nicht, aber Antivir und gmer finden etwas. :D

Es ist übrigens nicht zu empfehlen mehrere Antivirenprogramme auf einmal zu installieren. Das reduziert die Sicherheit deines Systems!.

Lade dir bitte mbr detector herunter und führe ihn aus.

Poste das Log bitte hier. :)

lg myrtille

mbr.log:
Ich hab Windows Vista. Ich musste das Programm als Administrator ausführen damit es ging, ist das normal?

Hi,
poste bitte das Antivirlog.

lg myrtille

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 13. Juni 2008 22:45

Es wird nach 1331133 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows Vista
Windowsversion: (Service Pack 1) [6.0.6001]
Boot Modus: Normal gebootet
Benutzername: Marius
Computername: MARIUS-PC

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 13:08:58
ANTIVIR2.VDF : 7.0.4.120 2206720 Bytes 01.06.2008 20:40:44
ANTIVIR3.VDF : 7.0.4.194 377344 Bytes 13.06.2008 20:40:45
Engineversion : 8.1.0.55
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.40 266618 Bytes 13.06.2008 20:40:50
AESCN.DLL : 8.1.0.21 119156 Bytes 13.06.2008 20:40:50
AERDL.DLL : 8.1.0.20 418165 Bytes 13.06.2008 20:40:49
AEPACK.DLL : 8.1.1.5 364918 Bytes 13.06.2008 20:40:49
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 13.06.2008 20:40:48
AEHEUR.DLL : 8.1.0.30 1253750 Bytes 13.06.2008 20:40:48
AEHELP.DLL : 8.1.0.15 115063 Bytes 13.06.2008 20:40:47
AEGEN.DLL : 8.1.0.28 307572 Bytes 13.06.2008 20:40:47
AEEMU.DLL : 8.1.0.6 430451 Bytes 13.06.2008 20:40:46
AECORE.DLL : 8.1.0.31 168310 Bytes 13.06.2008 20:40:46
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: BootSectorTest
Konfigurationsdatei..............: C:\ProgramData\Avira\AntiVir PersonalEdition Classic\TEMP\AVCENTER_4852dc65\7da1b422.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: A:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 13. Juni 2008 22:45

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[FUND] Enthält Erkennungsmuster des Bootsektorvirus BOO/Sinowal.A
[WARNUNG] Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'A:\'
[INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!


Ende des Suchlaufs: Freitag, 13. Juni 2008 22:45
Benötigte Zeit: 00:14 min

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
0 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
-2 Dateien ohne Befall
0 Archive wurden durchsucht
1 Warnungen
0 Hinweise

Scanne doch bitte erneut, ob Avira den Bootsektor noch anmeckert.

AntiVir findet den Virus immer noch!

Poste bitte das Antivir Logfile.

AntiVir-Log:

Hi,
erstelle bitte Log mit Cureit Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

Poste das Ergebnis dann hier :)

Das Rootkit ist auf jedenfall nicht aktiv, da es auf der Datenplatte sitzt.
Wäre jedoch schön, wenn es dennoch von einem weiteren Programm erkannt wird.

lg myrtille

Vielleicht er
F-Secure Blacklight - Rootkitscanner:

* Scanne dein System mit F-Secure Blacklight
* Benennen die Datei um (Beispiel: test.com)
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Ich habe jetzt einen Scan mit Dr.Web gemacht. Das Logfile ist 128MB groß und dementsprechend lang, dass ich es nicht posten kann.
Gefunden hat er:
MasterBoot Record HDD2 (Status: BackDoor.MaosBoot)

Wie kann ich die Datei jetzt löschen?

Das ist keine Datei, der Sinowal legt ein Rootkit im Master Boot Record der Festplatte ab. Die Plattenkonfig sieht bei Dir so aus:

Es wird auf der zweiten Platte der Schädling im MBR gemeldet. Hast Du auf Laufwerk L: noch ein Betriebssystem installiert?

Nein, auf der Platte ist kein Betriebssystem. Das ist eine Netzwerkfestplatte, die während dem Scan nicht angeschlossen war (hab Netzwerkkabel getrennt). Warum kann dann der Virus erkannt werden?

Werden Netzwerkplatten als physikalisch angeschlossene Platten erkannt? :confused: ich bin mir da nicht sicher :schmoll:

Egal - starte mal die Vista-Wiederherstellungskonsole - dort in die Eingabeaufforderung. Führe dort den Befehl

fixmbr

aus und reboote. Prüf dann ob der Schädling im MBR noch immer gemeldet wird.

Hast Du Blacklight laufen lassen?
Hat es eine Meldung gebracht?

Blacklight hat nichts gemeldet.

Findet AntiVir noch was nach der fixmbr Prozedur?

Wenn ich in der Wiederherstellungskonsole "foxmdr" eingeb kommt dass es den Befehl ned gibt.

Hi,
unter Vista geht das ganze etwas anders:
Versuch es daher bitte mal mit bootrec.exe /fixmbr statt fixmbr.

Weitere Informationen bei Microsoft.

lg myrtille

"foxmdr" gibt es auch nicht. Ich schrieb ja auch fixmbr - bitte genauer lesen!

Ich hab jetzt "bootrec.exe /fixmbr gemacht. Hat sich aber nichts geändert, wird immer noch erkannt.

Und was ist mit nur fixmbr ohne bootrec?

fixmbr geht bei mir (Vista) nicht. Nur mit bootrec.exe

Hmhmhm...nur mal ne Idee.

Probiers mal so. Geh in die Wiederherstellungskonsole und tipp bootrec.exe ein, mit Return bestätigen. Probier danach mal ein

fixmbr \Device\Harddisk2

Hallo ich habe ein ähnliches Problem...mein Antivir zeigt mir folgendes an:
Master Bootsektor HD1
Enthält Code des Masterbootsektorvirus BOO/Sinowal.A

Dann erscheint das Fenster mit der Anzeige das der Bootsektor nicht repariert werden kann...mein Mbr-detektor zeigt mir auch nix genaues, zumindest versteh ich es ned:
tealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x12a14c00 size 0x1ae !


...ich muss dazu sagen ich hab das XP the next Level

kann mir jemand helfen wie ich meinen PC wieder sauber bekomm

Danke schonmal im vorraus