Internet Explorer stellt keine Verbindung her
 

Hallo,

seit einiger Zeit habe ich Probleme mit Spyware auf meinem Rechner.

Betriebssystem Windows XP home SP3, alle Windows Updates durchgeführt (Stand 11.07.2008).

Allerdings startet der Internet Explorer 7.0 trotz bestehender Verbindung nicht oder erst nach mehrfachem Versuchen.

Installiertes Virenprogramm: AntiVir, neuestes Update, Expertenmodus
Installiertes Spyware-Programm: Adaware, neuestes Update.

Letzter Fund von AntiVir: (von heute vormittag)



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 11. Juli 2008 09:39

Es wird nach 1411247 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: FRANKFUR-B568C9

Versionsinformationen:
BUILD.DAT : 8.1.0.308 16478 Bytes 28.05.2008 17:02:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 14:34:24
ANTIVIR2.VDF : 7.0.5.86 547840 Bytes 09.07.2008 14:34:27
ANTIVIR3.VDF : 7.0.5.95 147968 Bytes 10.07.2008 14:36:34
Engineversion : 8.1.0.64
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.46 283002 Bytes 10.07.2008 14:34:43
AESCN.DLL : 8.1.0.22 119157 Bytes 10.07.2008 14:34:42
AERDL.DLL : 8.1.0.20 418165 Bytes 10.07.2008 14:34:42
AEPACK.DLL : 8.1.1.6 364918 Bytes 10.07.2008 14:34:36
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 10.07.2008 14:34:35
AEHEUR.DLL : 8.1.0.35 1298806 Bytes 10.07.2008 14:34:34
AEHELP.DLL : 8.1.0.15 115063 Bytes 10.07.2008 14:34:31
AEGEN.DLL : 8.1.0.29 307573 Bytes 10.07.2008 14:34:31
AEEMU.DLL : 8.1.0.6 430451 Bytes 10.07.2008 14:34:30
AECORE.DLL : 8.1.0.32 168311 Bytes 10.07.2008 14:34:29
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 11. Juli 2008 09:39

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\ntos.exe
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48e60f11.qua erstellt ( QUARANTÄNE )
c:\windows\system32\wsnpoem\audio.dll
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48db0f12.qua erstellt ( QUARANTÄNE )
c:\windows\system32\wsnpoem\video.dll
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48db0f06.qua erstellt ( QUARANTÄNE )
c:\windows\system32\wsnpoem
[INFO] Das Verzeichnis ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48e50f10.qua erstellt ( QUARANTÄNE )
Es wurden '51411' Objekte überprüft, '4' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOButler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'JSDAEMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'gearsec.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CDAC11BA.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKKBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EM_EXEC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTouch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '32' Prozesse mit '32' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '25' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Freitag, 11. Juli 2008 10:22
Benötigte Zeit: 42:43 min

Der Suchlauf wurde vollständig durchgeführt.

5064 Verzeichnisse wurden überprüft
234325 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
234324 Dateien ohne Befall
830 Archive wurden durchsucht
1 Warnungen
4 Hinweise
51411 Objekte wurden beim Rootkitscan durchsucht
4 Versteckte Objekte wurden gefunden

Und hier noch die HiJack This File:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:02:00, on 11.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\GEARSec.exe
c:\jetsuite\jsdaemon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HiJack This\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{91270A0F-167F-4D75-A24F-B5A5317DE8ED}: NameServer = 195.50.140.178 195.50.140.114
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFEE27A6-25BF-4C7E-B158-58BBD42AF761}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: jsdaemon - JetFax, Inc. - c:\jetsuite\jsdaemon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6227 bytes
Würde mich sehr freuen, wenn mir jemand weiter helfen könnte...

Um Rückfragen vorzubeugen. Eine Firewall ist nicht installiert, Windows Firewall wurde aufgrund eines anderen Forums deaktiviert.

Hi,

du hast einen richtig bösen Kollegen an board:
Ich kann dir nur empfehlen deinen Rechner neuaufzusetzen und vor allem so bald wie möglich alle deine Passwörter zu ändern!
Solltest du Onlinebanking betreiben, solltest du auch dein Konto in nächster Zeit in Auge behalten. Solltest du eine Webseite besitzen, überprüfe bitte ob diese nicht ebenfalls kompromittiert ist und versucht deine Besucher mit demselben Trojaner zu infizieren.

Bitte den Rechner bis zum Neuaufsetzen vom Internet getrennt lassen.

lg myrtille

Danke für die schnelle Antwort.

Ich habs befürchtet...

Danke. Bin dann mal offline...

Wichtig!

Wenn Du einen anderen Rechner zur Verfügung hast ändere dort die Zugangsdaten für:

• Webmail Account
• Spiele Accounts
• Pay Pal
• FTP Logins
• Ebay und andere Auktionshäuser
• einfach alle auf diesem Rechner genutzten Logins
• Wenn Du OnlineBanking auf dem Rechner betrieben hast, prüfe die Kontobewegung auf Unregelmäßigkeiten

Dein Befall sammelt alle Daten, die er bekommen kann!

MBR Rootkit

Lade dir mbr.exe von gmer herunter und führe ihn aus.

Poste das Log bitte hier, nur zur Sicherheit.

Danke für den Tipp.

"Gott sei Dank" habe ich kein Online Banking o.ä.

Die Passwörter für Ebay u.ä. werde ich dann vom heimischen Laptop ändern.

Ich habe noch eine Frage:

Ich habe als Sicherung eine externe Festplatte, auf der eine 1:1 Spiegelung dieser vorhanden ist. Ich vermute mal, dass dort der Fehler mit hin überspielt wurde. Kann ich diese Sicherung nutzen für eventuelle Datenverluste bei der Neuinstallation?

Sprichts Du von einem Daten- oder einem Systembackup?

Hier das mbr log:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x17499f00 size 0x1e4 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Auf der externen Platte ist beides vorhanden.

Würde für eine eventuelle Rücksicherung nur das Datenbackup nutzen und das Systembackup nach Wiederherstellung meiner Platte komplett eliminieren.

Ok, mit einer Neuinstallation ist es nicht getan, erst müssen wir den MBR säubern.

Lade Dir die Datei mbr.bat.txt auf Deinen Dekstop.
Ändere die Endung in mbr.bat.
auf Deinem Desktop sollte auch die mbr.exe liegen.
Dann doppelkliche die mbr.bat.
Poste dann das mbr.log hier.

mbr.bat log:

@echo off
mbr.exe -f

Hm, hast Du die Datein in mbr.bat umbenannt und dann einen Doppelklick auf diese gemacht?

neuer Versuch:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x17499f00 size 0x1e4 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Ich hoffe so ist s korrekt...

Hi,
machts doch einfach über die Kommandozeile. :rolleyes:

Kopier die Datei mbr.exe auf den Desktop
Gib unter Start->Ausführen cmd ein
Ein schwarzes Fenster öffnet sich.
In dieses Fenster dann erstmal cd Desktop eingeben und Enter drücken
Danach mbr.exe -f eingeben und enter drücken.

Das Ergebnis abtippen/abkopieren und hier posten.

lg myrtille

Hm, mal sehen ob es so klappt.

- Lade Dir bitte das zip Archiv mbr.zip.
- Entpacke es auf Deinem Desktop.
- Doppelklicke die mbr.bat
- Poste den Inhalt des mbr.log

Here we go:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x17499f00 size 0x1e4 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

Ist glaub ich immer noch nicht das was wir suchen..