Avira meldet RKIT/Agent.biiu befall!
 

Moin Moin!
Ich habe mehrere Einträge zu diesem Thema in verschiedenen Foren gelesen, doch immerwieder kam der Hinweis nur nach Anweisung von einem Profi zu handeln :)...daher ein eigenes Thema.
Habe heute mehrere Avira Meldungen erhalten. Habe dann heut Abend einen Systemscan gemacht und es wurden auch 4 Funde angezeigt. Dann ein zweiter Scan und es wurde noch 1 Fund angezeigt RKIT/Agent.biiu.
Angeblich wurde es gelöscht aber ich habe dann noch einen dritten Scan gemacht, mit dem gleichen Ergebnis.
Hier mal der LOG text:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 11. September 2010 23:22

Es wird nach 2801829 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : 6QCGVTPI5121XIM

Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 09.12.2009 14:08:42
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 13:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 12:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 11:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:49:10
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 14:49:13
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 19:49:34
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 08:32:27
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 21:35:08
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 08:14:49
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 20:09:07
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 20:43:54
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 20:43:54
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 20:43:54
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 20:43:54
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 20:43:54
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 20:43:54
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 14:25:36
VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 14:52:55
VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 10:05:40
VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 10:05:40
VBASE017.VDF : 7.10.10.84 137728 Bytes 06.08.2010 10:05:40
VBASE018.VDF : 7.10.10.107 176640 begin_of_the_skype_highlighting**************07 176640******end_of_the_skype_highlighting begin_of_the_skype_highlighting**************07 176640******end_of_the_skype_highlighting Bytes 09.08.2010 10:35:43
VBASE019.VDF : 7.10.10.130 132608 Bytes 10.08.2010 11:51:27
VBASE020.VDF : 7.10.10.158 131072 Bytes 12.08.2010 08:54:43
VBASE021.VDF : 7.10.10.190 136704 Bytes 16.08.2010 15:26:17
VBASE022.VDF : 7.10.10.217 118272 Bytes 19.08.2010 00:29:05
VBASE023.VDF : 7.10.10.246 130048 Bytes 23.08.2010 07:48:06
VBASE024.VDF : 7.10.11.11 144896 Bytes 25.08.2010 08:17:01
VBASE025.VDF : 7.10.11.33 135168 Bytes 27.08.2010 10:47:08
VBASE026.VDF : 7.10.11.52 148992 Bytes 31.08.2010 19:19:11
VBASE027.VDF : 7.10.11.75 124928 Bytes 03.09.2010 15:20:14
VBASE028.VDF : 7.10.11.92 137728 Bytes 06.09.2010 15:20:15
VBASE029.VDF : 7.10.11.107 166400 Bytes 08.09.2010 15:20:15
VBASE030.VDF : 7.10.11.127 136704 Bytes 10.09.2010 15:23:23
VBASE031.VDF : 7.10.11.128 2048 Bytes 10.09.2010 15:23:23
Engineversion : 8.2.4.50
AEVDF.DLL : 8.1.2.1 106868 Bytes 31.07.2010 08:44:32
AESCRIPT.DLL : 8.1.3.44 1364346 Bytes 29.08.2010 10:47:10
AESCN.DLL : 8.1.6.1 127347 Bytes 12.05.2010 17:10:07
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 22:36:01
AERDL.DLL : 8.1.8.2 614772 Bytes 20.07.2010 20:12:13
AEPACK.DLL : 8.2.3.5 471412 Bytes 07.08.2010 10:35:40
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 21.07.2010 22:11:37
AEHEUR.DLL : 8.1.2.21 2883958 Bytes 10.09.2010 15:20:17
AEHELP.DLL : 8.1.13.3 242038 Bytes 29.08.2010 10:47:09
AEGEN.DLL : 8.1.3.20 397684 Bytes 29.08.2010 10:47:08
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 22:35:59
AECORE.DLL : 8.1.16.2 192887 Bytes 20.07.2010 20:11:26
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 22:35:58
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 09:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 09.12.2009 14:08:42
AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 09:44:06
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 16:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 16:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 11:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 16:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 09:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 16:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 16:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 09.12.2009 14:08:42

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 11. September 2010 23:22

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xybiayir\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xybiayir\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xybiayir\errorcontrol
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xybiayir\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '47920' Objekte überprüft, '4' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SkypeNames2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vpngui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MobileConnect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BtnHnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QuickTouch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IndicatorUty.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrayManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VMCService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WSUService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'o2flash.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aavus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '54' Prozesse mit '54' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '74' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\monmvr32.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\xybiayir.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Die Datei wurde gelöscht.


Ende des Suchlaufs: Samstag, 11. September 2010 23:31
Benötigte Zeit: 09:32 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

8651 Verzeichnisse wurden überprüft
312588 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
4 Dateien konnten nicht durchsucht werden
312583 Dateien ohne Befall
7557 Archive wurden durchsucht
4 Warnungen
3 Hinweise
47920 Objekte wurden beim Rootkitscan durchsucht
4 Versteckte Objekte wurden gefunden


Habe die Tage Zeit für eine hoffentlich erfolgreiche Bereinigung ;)

Vielen Dank für Hilfe!!

Grüße,
MacSteen

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Moin Moin,
hier das ComboFix-Log:

Combofix Logfile:
--- --- ---

Start programme zubehör editor, kopiere rein.

Killall::
Rootkit::
c:\windows\system32\mobsepad.dll
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\apiqfw.dat
c:\dokumente und einstellungen\lsy\Startmen�\Programme\Autostart\
monmvr32.exe

datei speichern unter, speicherort, dort wo sich combofix.exe befindet, typ alle dateien, name cfscript.txt
ziehe cfscript auf combofix, programm startet, log posten.

gemacht...es kamen einige avira meldungen...hier das Log
Combofix Logfile:
--- --- ---

hmm...wollt gerade meinen VPN clienten starten...funktioniert nicht :( hängt das damit zusammen?

wir sind noch nicht fertig, du musst den avira guard abschalten, wenn wir combofix und andere programme nutzen.

bitte erstelle erneut ein combofix script.

Killall::
Rootkit::
c:\windows\system32\drivers\utaixm.sys
Driver::
utaixm

speichere wie vorhin ab, ziehe cfscript auf combofix, program startet, log posten.
download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle aktieven programme ab, auch antivirus.
trenne die internetverbindung, starte nen komplett scan, funde löschen, log posten.
vorher avira + internet ein.

Moin...
Puh...mein Rechner war zwischendurch extrem langsam...ließ sich nichts mehr machen...nach einigen reboots dann hier das LOG:

Combofix Logfile:
--- --- ---


den zweiten schritt mach ich jetzt

hier das malwarebytes Log:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4600

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.09.2010 17:21:29
mbam-log-2010-09-12 (17-21-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 198105
Laufzeit: 8 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 14

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\wpxsen.dll (Trojan.Hiloti) -> Delete on reboot.
C:\WINDOWS\system32\mobsepad.dll (Trojan.PWS.Gen) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bnezuwamohey (Trojan.Hiloti) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\wpxsen.dll (Trojan.Hiloti) -> Delete on reboot.
C:\WINDOWS\system32\mobsepad.dll (Trojan.PWS.Gen) -> Delete on reboot.
C:\Qoobox\Quarantine\C\WINDOWS\wpxsen.dll.vir (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\mobsepad.dll.vir (Trojan.PWS.Gen) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\utaixm.sys.vir (Rootkit.Bubnix) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\ypfpk.sys.vir (Rootkit.Bubnix) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A3C523B0-EC59-4D62-8E57-A0A4F452EA0B}\RP136\A0042089.dll (Trojan.PWS.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A3C523B0-EC59-4D62-8E57-A0A4F452EA0B}\RP136\A0042274.sys (Rootkit.Bubnix) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A3C523B0-EC59-4D62-8E57-A0A4F452EA0B}\RP136\A0042275.dll (Trojan.PWS.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A3C523B0-EC59-4D62-8E57-A0A4F452EA0B}\RP136\A0042358.dll (Trojan.PWS.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A3C523B0-EC59-4D62-8E57-A0A4F452EA0B}\RP136\A0042391.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A3C523B0-EC59-4D62-8E57-A0A4F452EA0B}\RP136\A0042400.sys (Rootkit.Bubnix) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A3C523B0-EC59-4D62-8E57-A0A4F452EA0B}\RP137\A0047586.dll (Trojan.PWS.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\slvlaoez.sys (Rootkit.Bubnix) -> Delete on reboot.

download den avenger, füge das script wie beschrieben ein.
Avenger


Drivers to delete:
oopuhnpkpjv
slvlaoez
Drivers to disable:
oopuhnpkpjv
slvlaoez
Files to delete:
c:\windows\system32\drivers\oopuhnpkpjv.sys
c:\windows\system32\mobsepad.dll
c:\windows\Lgerocifal.dat
c:\windows\Wfequvovep.bin
c:\windows\system32\drivers\slvlaoez.sys
c:\dokumente und einstellungen\lsy\Startmen�\Programme\Autostart\monmvr32.exe


führe das script aus wie auf der seite beschrieben und poste das logfile.

AVENGER LOG:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\oopuhnpkpjv" not found!
Deletion of driver "oopuhnpkpjv" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "slvlaoez" deleted successfully.

Error: could not open driver "oopuhnpkpjv"
Disablement of driver "oopuhnpkpjv" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open driver "slvlaoez"
Disablement of driver "slvlaoez" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "c:\windows\system32\drivers\oopuhnpkpjv.sys" deleted successfully.

Error: file "c:\windows\system32\mobsepad.dll" not found!
Deletion of file "c:\windows\system32\mobsepad.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "c:\windows\Lgerocifal.dat" deleted successfully.
File "c:\windows\Wfequvovep.bin" deleted successfully.

Error: file "c:\windows\system32\drivers\slvlaoez.sys" not found!
Deletion of file "c:\windows\system32\drivers\slvlaoez.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "c:\dokumente und einstellungen\lsy\Startmenü\Programme\Autostart\monmvr32.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

jetzt starte neu und poste ein neues combofix log bitte. einfach das programm starten, vorher natürlich avira aus, wie es ja in der anleitung steht.

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\oopuhnpkpjv" not found!
Deletion of driver "oopuhnpkpjv" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "slvlaoez" deleted successfully.

Error: could not open driver "oopuhnpkpjv"
Disablement of driver "oopuhnpkpjv" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open driver "slvlaoez"
Disablement of driver "slvlaoez" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "c:\windows\system32\drivers\oopuhnpkpjv.sys" deleted successfully.

Error: file "c:\windows\system32\mobsepad.dll" not found!
Deletion of file "c:\windows\system32\mobsepad.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "c:\windows\Lgerocifal.dat" deleted successfully.
File "c:\windows\Wfequvovep.bin" deleted successfully.

Error: file "c:\windows\system32\drivers\slvlaoez.sys" not found!
Deletion of file "c:\windows\system32\drivers\slvlaoez.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "c:\dokumente und einstellungen\lsy\Startmenü\Programme\Autostart\monmvr32.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

das ist nicht combofix.

ne sorry hatte irgendwie doppelpost ;) hier combofix
Combofix Logfile:
--- --- ---