servus erst mal.
also mein großes Problem sind die Rootkits, seit etwa zwei wochen kommt alle 5 minuten die anzeige von avira rkit/mbrsinowal.j. ich ftreute mich und dachte alles ist in ordnung. da meine annahme war wenn das antivira mir das so oft zeigt das der rechner sauber ist.
doch dann kam der große schock, denn ich machte einen kompleten system check und über 40 dieser freunde auf meinem rechner. wie geht das. und wie schütze ich mich richtig. aber hier ist der report und sorry ich verstehe da eigentlich gar nichts von.
bitte bitte helft mir.






Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 2. Juni 2009 12:33

Es wird nach 1446290 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: DURON700

Versionsinformationen:
BUILD.DAT : 8.2.0.353 17048 Bytes 15.5.2009 12:02:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 18:35:02
AVSCAN.DLL : 8.1.4.0 48897 Bytes 21.7.2008 19:31:14
LUKE.DLL : 8.1.4.5 164097 Bytes 21.7.2008 19:31:14
LUKERES.DLL : 8.1.4.0 12545 Bytes 21.7.2008 19:31:14
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 20:10:52
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.2.2009 08:48:07
ANTIVIR2.VDF : 7.1.4.38 2692096 Bytes 29.5.2009 10:12:22
ANTIVIR3.VDF : 7.1.4.44 80896 Bytes 2.6.2009 10:12:23
Engineversion : 8.2.0.180
AEVDF.DLL : 8.1.1.1 106868 Bytes 3.5.2009 13:26:16
AESCRIPT.DLL : 8.1.2.0 389497 Bytes 25.5.2009 15:25:08
AESCN.DLL : 8.1.2.3 127347 Bytes 25.5.2009 15:25:07
AERDL.DLL : 8.1.1.3 438645 Bytes 9.11.2008 20:11:31
AEPACK.DLL : 8.1.3.18 401783 Bytes 2.6.2009 10:12:26
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27.2.2009 09:20:49
AEHEUR.DLL : 8.1.0.129 1761655 Bytes 25.5.2009 15:25:06
AEHELP.DLL : 8.1.2.2 119158 Bytes 27.2.2009 09:20:45
AEGEN.DLL : 8.1.1.44 348532 Bytes 25.5.2009 15:25:01
AEEMU.DLL : 8.1.0.9 393588 Bytes 17.10.2008 10:59:18
AECORE.DLL : 8.1.6.12 180599 Bytes 2.6.2009 10:12:24
AEBB.DLL : 8.1.0.3 53618 Bytes 17.10.2008 10:59:14
AVWINLL.DLL : 1.0.0.12 15105 Bytes 21.7.2008 19:31:14
AVPREF.DLL : 8.0.2.0 38657 Bytes 21.7.2008 19:31:14
AVREP.DLL : 8.0.0.3 155688 Bytes 22.4.2009 12:48:50
AVREG.DLL : 8.0.0.1 33537 Bytes 21.7.2008 19:31:14
AVARKT.DLL : 1.0.0.23 307457 Bytes 22.4.2008 17:00:54
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 21.7.2008 19:31:14
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.4.2008 17:00:55
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 21.7.2008 19:31:15
NETNT.DLL : 8.0.0.1 7937 Bytes 22.4.2008 17:00:55
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 21.7.2008 19:31:08
RCTEXT.DLL : 8.0.52.0 86273 Bytes 21.7.2008 19:31:08

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: löschen
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, F:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 2. Juni 2009 12:33

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MESSENGR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'adminsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SEPCSuite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ADeck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WgaTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '33' Prozesse mit '33' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\uninstall.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a8e007b.qua' verschoben!

Die Registry wurde durchsucht ( '54' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\uninstall.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP353\A0154049.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560b4e.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP354\A0155136.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560b60.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP355\A0155179.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560b69.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP355\A0155197.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560b70.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP355\A0155214.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560b77.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP356\A0155238.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560b7d.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP357\A0155269.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP357\A0155287.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560b93.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP357\A0155304.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560b99.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP358\A0155320.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560b9f.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP358\A0155367.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560ba5.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP358\A0155399.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560ba9.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP358\A0155456.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560baf.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP359\A0155515.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560bb6.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP359\A0155532.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560bb9.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP359\A0155554.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560bbd.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP359\A0155575.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560bc2.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP360\A0155596.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560bc8.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP360\A0155614.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560bcc.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP361\A0155637.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560bd2.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP361\A0155678.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560bd7.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP361\A0156687.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560bdb.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP361\A0156703.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560be9.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP362\A0156720.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560bf2.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP363\A0156784.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560bf6.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP364\A0156801.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560bf9.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP366\A0156950.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560c01.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP367\A0156970.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560c04.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP367\A0156988.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560c05.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP368\A0157005.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560c07.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP369\A0157022.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560c0a.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP370\A0157039.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560c0c.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP371\A0157072.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560c10.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP373\A0157119.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560c16.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP373\A0157136.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560c17.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP373\A0157153.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560c19.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP373\A0157241.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560c1f.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP374\A0157263.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560c22.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP375\A0157282.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560c25.qua' verschoben!
C:\System Volume Information\_restore{A0783D17-3BFA-42B1-843B-74C3B076150F}\RP375\A0157320.exe
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/MBR.Sinowal.J
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a560c28.qua' verschoben!
Beginne mit der Suche in 'F:\' <Backup>


Ende des Suchlaufs: Dienstag, 2. Juni 2009 13:53
Benötigte Zeit: 1:20:01 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

5460 Verzeichnisse wurden überprüft
263923 Dateien wurden geprüft
41 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
40 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
263880 Dateien ohne Befall
1347 Archive wurden durchsucht
2 Warnungen
41 Hinweise

Hi,

bei Sinowal ist man gaaaanz schnell beim Neuaufsetzen.
Die hohe Anzahl kommt von der Systemwiederherstellung, Dein Freund wurde mitgesichert...

Combofix und Gmer/MBR:

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.
MBR-Rootkit

Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,

poste es im Thread;

Danach bitte noch RSIT:
RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.

* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris