Trojaner-Board - Google Virus mit Umleitung auf Werbeseiten

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Google Virus mit Umleitung auf Werbeseiten (https://www.trojaner-board.de/90405-google-virus-umleitung-werbeseiten.html)

Google Virus mit Umleitung auf Werbeseiten

Ich habe mir wohl leider einen Google Virus eingefangen, der mich immer über eine Seite result5.google.de auf Werbeseiten weiterleitet. Ich habe schon ein bisschen recherchiert und der Virus verändert wohl auch die DNS/IP Einträge, scheint also auch meinem Onlinebanking nicht zuträglich zu sein. Erste Hilfe dagegen ist wohl erstmal Javascript zu deaktivieren, was auf Dauer aber wohl auch keine Lösung ist, wenn ich mein Konto mal wieder online einsehen will.

Habt ihr vielleicht schon mal was von diesem Virus gehört bzw. kann ich ihn wieder loswerden, ohne meinen Computer neu aufzusetzen? Ich bin gerade für 6 Wochen im Ausland und habe die Installationsdisketten leider nicht dabei.

Hat der Virus mich vielleicht bereits unbemerkt auf irgendwelche ukrainischen Seiten etc. umgeleitet und sollte ich besser meinen Onlinezugang sperren lassen?
Ich hatte schonmal den spware.bunker (oder so ähnlich )am Hals und es war echt schwierig ihn wieder loszuwerden.

Danke für eure Hilfe!

Im Anhang die Protokolle im Paket:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL

O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

O33 - MountPoints2\{291d8b24-9a31-11df-b06a-00166f655cce}\Shell\AutoRun\command - "" = G:\installer.exe -- File not found

O33 - MountPoints2\{291d8b24-9a31-11df-b06a-00166f655cce}\Shell\verb\command - "" = G:\installer.exe -- File not found

Drivers32: MSVideo8 - VfWWDM32.dll File not found

[2010.06.28 06:33:43 | 000,001,025 | ---- | M] () -- C:\WINDOWS\System32\sysprs7.tgz

[2010.06.28 06:33:43 | 000,001,025 | ---- | M] () -- C:\WINDOWS\System32\sysprs7.dll

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo, ich habe es wie beschrieben durchgeführt.
Die Log-Datei hat dann folgendes angezeigt:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{291d8b24-9a31-11df-b06a-00166f655cce}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{291d8b24-9a31-11df-b06a-00166f655cce}\ not found.
File G:\installer.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{291d8b24-9a31-11df-b06a-00166f655cce}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{291d8b24-9a31-11df-b06a-00166f655cce}\ not found.
File G:\installer.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\\MSVideo8 deleted successfully.
C:\WINDOWS\system32\sysprs7.tgz moved successfully.
C:\WINDOWS\system32\sysprs7.dll moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: *** ***
->Temp folder emptied: 16896 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 44393786 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 997 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 1755509787 bytes

Total Files Cleaned = 1.717,00 mb

OTL by OldTimer - Version 3.2.11.0 log created on 09052010_163909

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Ist es jetzt weg?

PS: Nach einem erneuten Google-Test ist leider noch immer alles beim alten :-(

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo, hier der Combofix Bericht. Ich habe zuvor auch den CCleaner ausgeführt. Combofix hat während des Suchlauf gemeldet, dass es Rootkit Aktivitäten festgestellt hat und den Computer neu gestartet. Bin ich immer noch verseucht?

Nochmals danke für Deine Hilfe!

Combofix Logfile:

Code:

ComboFix 10-09-08.01 - *** 08.09.2010  15:19:07.1.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1022.680 [GMT -7:00]

ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\Cofi.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\***\Anwendungsdaten\Ehqo

c:\dokumente und einstellungen\***\Anwendungsdaten\Ehqo\xaquw.exe

c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\lame_enc.dll

c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\no23xwrapper.dll

c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\ogg.dll

c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\vorbis.dll

c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\vorbisenc.dll

c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\vorbisfile.dll

c:\windows\system32\lsprst7.dll
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-08-08 bis 2010-09-08  ))))))))))))))))))))))))))))))

.
 

2010-09-05 01:43 . 2010-09-05 01:43        --------        d-----w-        c:\programme\ERUNT

2010-09-05 01:14 . 2010-09-05 01:14        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Eigene Dateien

2010-08-27 01:59 . 2010-09-05 00:28        --------        d-----w-        c:\windows\system32\NtmsData

2010-08-27 01:58 . 2010-08-27 01:58        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Avira
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-09-08 22:02 . 2010-09-08 22:02        --------        d-----w-        c:\programme\CCleaner

2010-09-08 20:12 . 2010-09-06 07:25        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Fefyq

2010-09-08 09:16 . 2010-03-30 00:10        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\vlc

2010-09-06 20:07 . 2009-12-13 02:10        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Skype

2010-09-06 19:17 . 2009-12-13 02:16        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM

2010-08-27 20:38 . 2010-01-31 12:11        --------        d-----w-        c:\programme\uTorrent

2010-08-27 06:10 . 2010-01-31 12:07        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\uTorrent

2010-08-27 05:39 . 2010-03-28 20:53        --------        d-----w-        c:\programme\audioGnome

2010-08-27 01:28 . 2005-11-21 02:33        75134        ----a-w-        c:\windows\system32\perfc007.dat

2010-08-27 01:28 . 2005-11-21 02:33        417710        ----a-w-        c:\windows\system32\perfh007.dat

2010-08-16 18:25 . 2009-12-12 22:36        67424        ----a-w-        c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2010-08-10 05:18 . 2010-07-29 17:40        190        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\prsgrc.dll

2010-07-29 17:40 . 2010-07-29 17:40        1024        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\grcauth2.dll

2010-07-29 17:40 . 2010-07-29 17:40        1024        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\grcauth1.dll

2010-07-29 17:40 . 2010-07-29 17:40        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel

2010-07-29 17:37 . 2010-07-29 17:37        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SPSS

2010-07-29 17:37 . 2010-06-28 13:34        --------        d-----w-        c:\programme\Gemeinsame Dateien\SPSS

2010-07-29 17:37 . 2010-07-29 17:37        --------        d-----w-        c:\programme\Gemeinsame Dateien\SPSSInc

2010-07-29 17:36 . 2010-07-29 17:36        --------        d-----w-        c:\programme\SPSSInc

2010-07-29 16:34 . 2010-05-24 19:43        --------        d-----w-        c:\programme\Lexmark S300-S400 Series

2010-07-29 11:42 . 2010-07-29 11:41        --------        d-----w-        c:\programme\Abbyy FineReader 6.0 Sprint

2010-07-29 11:39 . 2010-05-24 19:44        --------        d-----w-        c:\programme\Lexmark Printable Web

2010-07-21 20:14 . 2010-07-21 20:14        --------        d-----w-        c:\programme\Gemeinsame Dateien\NewSoft

2010-07-21 20:14 . 2010-07-21 20:14        --------        d-----w-        c:\programme\NewSoft

2010-07-21 20:13 . 2005-11-21 12:40        --------        d--h--w-        c:\programme\InstallShield Installation Information

2010-07-18 19:08 . 2009-12-14 21:37        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\dvdcss

2010-06-30 12:28 . 2005-11-21 02:32        149504        ----a-w-        c:\windows\system32\schannel.dll

2010-06-24 12:22 . 2005-11-21 02:33        916480        ----a-w-        c:\windows\system32\wininet.dll

2010-06-24 09:02 . 2005-11-21 02:33        1852032        ----a-w-        c:\windows\system32\win32k.sys

2010-06-21 15:27 . 2005-11-21 02:33        354304        ----a-w-        c:\windows\system32\drivers\srv.sys

2010-06-17 14:03 . 2005-11-21 02:32        80384        ----a-w-        c:\windows\system32\iccvid.dll

2010-06-15 18:01 . 2010-06-15 18:01        72504        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe

2010-06-14 14:31 . 2005-11-21 10:44        744448        ----a-w-        c:\windows\pchealth\helpctr\binaries\helpsvc.exe

2010-06-14 07:41 . 2005-11-21 02:32        1172480        ----a-w-        c:\windows\system32\msxml3.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Apoint"="c:\programme\Apoint\Apoint.exe" [2003-11-07 114688]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-06-09 6746112]

"RTHDCPL"="RTHDCPL.EXE" [2005-06-29 14720000]

"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-04-29 45056]

"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 45056]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-29 94208]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-29 77824]

"Persistence"="c:\windows\system32\igfxpers.exe" [2005-06-29 114688]

"SonyPowerCfg"="c:\programme\Sony\VAIO Power Management\SPMgr.exe" [2005-10-19 184320]

"ISBMgr.exe"="c:\programme\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]

"VAIO Update 2"="c:\programme\Sony\VAIO Update 2\VAIOUpdt.exe" [2005-10-11 151552]

"PrepareYourVAIO"="c:\programme\Sony\Prepare your VAIO\PYVAlert.exe" [2005-01-21 118784]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]

"lxeamon.exe"="c:\programme\Lexmark S300-S400 Series\lxeamon.exe" [2009-10-01 766632]

"EzPrint"="c:\programme\Lexmark S300-S400 Series\ezprint.exe" [2009-10-01 139944]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-06-15 141624]

"ChangeFilterMerit"="c:\programme\NewSoft\Presto! PVR\ChangeFilterMerit.exe" [2005-05-17 40960]

"Presto! PVR Monitor"="c:\programme\NewSoft\Presto! PVR\Monitor.exe" [2006-02-23 57344]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]

2005-05-20 16:42        73728        ----a-w-        c:\windows\system32\VESWinlogon.dll
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Opera\\opera.exe"=

"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Programme\\MirandaFusion\\miranda32.exe"=

"c:\\Programme\\uTorrent\\uTorrent.exe"=

"c:\\Programme\\audioGnome\\Client4.exe"=

"c:\\WINDOWS\\system32\\lxeacoms.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Abbyy FineReader 6.0 Sprint\\Scan\\ScanMan6.exe"=

"c:\\Programme\\SPSSInc\\PASWStatistics18\\paswstat.com"=

"c:\\Programme\\SPSSInc\\PASWStatistics18\\paswstat.exe"=

"c:\\Programme\\SPSSInc\\PASWStatistics18\\WinWrapIDE.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13.12.2009 08:56 135336]

R2 lxea_device;lxea_device;c:\windows\system32\lxeacoms.exe -service --> c:\windows\system32\lxeacoms.exe -service [?]

S2 lxeaCATSCustConnectService;lxeaCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxeaserv.exe [24.05.2010 12:46 98984]

S3 bdacap;PC-DTV Receiver;c:\windows\system32\drivers\bdacap.sys [21.07.2010 13:15 217728]

.

.

------- Zusätzlicher Suchlauf -------

.

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://www.google.com/keyword/%s

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\db1igk6b.default\

FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official

FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJPI150_05.dll
 

---- FIREFOX Richtlinien ----

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKCU-Run-{4A58D9CC-0888-7A2D-6343-9D47FA1DDAAA} - c:\dokumente und einstellungen\***\Anwendungsdaten\Ehqo\xaquw.exe
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-09-08 15:24

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(620)

c:\windows\system32\VESWinlogon.dll

.

Zeit der Fertigstellung: 2010-09-08  15:26:14

ComboFix-quarantined-files.txt  2010-09-08 22:26
 

Vor Suchlauf: 8.720.224.256 Bytes frei

Nach Suchlauf: 8.680.218.624 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
 

- - End Of File - - 0E9CE0ED05B4C2AEC1630B4E57777E70

--- --- ---

Zitat:

c:\dokumente und einstellungen\***\Anwendungsdaten\Fefyq

Bitte diesen Ordner löschen.

Danach Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.