Ich habe mir wohl leider einen Google Virus eingefangen, der mich immer über eine Seite result5.google.de auf Werbeseiten weiterleitet. Ich habe schon ein bisschen recherchiert und der Virus verändert wohl auch die DNS/IP Einträge, scheint also auch meinem Onlinebanking nicht zuträglich zu sein. Erste Hilfe dagegen ist wohl erstmal Javascript zu deaktivieren, was auf Dauer aber wohl auch keine Lösung ist, wenn ich mein Konto mal wieder online einsehen will.

Habt ihr vielleicht schon mal was von diesem Virus gehört bzw. kann ich ihn wieder loswerden, ohne meinen Computer neu aufzusetzen? Ich bin gerade für 6 Wochen im Ausland und habe die Installationsdisketten leider nicht dabei.

Hat der Virus mich vielleicht bereits unbemerkt auf irgendwelche ukrainischen Seiten etc. umgeleitet und sollte ich besser meinen Onlinezugang sperren lassen?
Ich hatte schonmal den spware.bunker (oder so ähnlich )am Hals und es war echt schwierig ihn wieder loszuwerden.

Danke für eure Hilfe!

Im Anhang die Protokolle im Paket:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O33 - MountPoints2\{291d8b24-9a31-11df-b06a-00166f655cce}\Shell\AutoRun\command - "" = G:\installer.exe -- File not found
O33 - MountPoints2\{291d8b24-9a31-11df-b06a-00166f655cce}\Shell\verb\command - "" = G:\installer.exe -- File not found
Drivers32: MSVideo8 - VfWWDM32.dll File not found
[2010.06.28 06:33:43 | 000,001,025 | ---- | M] () -- C:\WINDOWS\System32\sysprs7.tgz
[2010.06.28 06:33:43 | 000,001,025 | ---- | M] () -- C:\WINDOWS\System32\sysprs7.dll
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo, ich habe es wie beschrieben durchgeführt.
Die Log-Datei hat dann folgendes angezeigt:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{291d8b24-9a31-11df-b06a-00166f655cce}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{291d8b24-9a31-11df-b06a-00166f655cce}\ not found.
File G:\installer.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{291d8b24-9a31-11df-b06a-00166f655cce}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{291d8b24-9a31-11df-b06a-00166f655cce}\ not found.
File G:\installer.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\\MSVideo8 deleted successfully.
C:\WINDOWS\system32\sysprs7.tgz moved successfully.
C:\WINDOWS\system32\sysprs7.dll moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: *** ***
->Temp folder emptied: 16896 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 44393786 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 997 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 1755509787 bytes

Total Files Cleaned = 1.717,00 mb


OTL by OldTimer - Version 3.2.11.0 log created on 09052010_163909

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...



Ist es jetzt weg?

PS: Nach einem erneuten Google-Test ist leider noch immer alles beim alten :-(

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo, hier der Combofix Bericht. Ich habe zuvor auch den CCleaner ausgeführt. Combofix hat während des Suchlauf gemeldet, dass es Rootkit Aktivitäten festgestellt hat und den Computer neu gestartet. Bin ich immer noch verseucht?

Nochmals danke für Deine Hilfe!



Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-09-08.01 - *** 08.09.2010  15:19:07.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1022.680 [GMT -7:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\Cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\***\Anwendungsdaten\Ehqo
c:\dokumente und einstellungen\***\Anwendungsdaten\Ehqo\xaquw.exe
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\lame_enc.dll
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\no23xwrapper.dll
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\ogg.dll
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\vorbis.dll
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\vorbisenc.dll
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\vorbisfile.dll
c:\windows\system32\lsprst7.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2010-08-08 bis 2010-09-08  ))))))))))))))))))))))))))))))
.

2010-09-05 01:43 . 2010-09-05 01:43	--------	d-----w-	c:\programme\ERUNT
2010-09-05 01:14 . 2010-09-05 01:14	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Eigene Dateien
2010-08-27 01:59 . 2010-09-05 00:28	--------	d-----w-	c:\windows\system32\NtmsData
2010-08-27 01:58 . 2010-08-27 01:58	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Avira

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-08 22:02 . 2010-09-08 22:02	--------	d-----w-	c:\programme\CCleaner
2010-09-08 20:12 . 2010-09-06 07:25	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Fefyq
2010-09-08 09:16 . 2010-03-30 00:10	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\vlc
2010-09-06 20:07 . 2009-12-13 02:10	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2010-09-06 19:17 . 2009-12-13 02:16	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2010-08-27 20:38 . 2010-01-31 12:11	--------	d-----w-	c:\programme\uTorrent
2010-08-27 06:10 . 2010-01-31 12:07	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\uTorrent
2010-08-27 05:39 . 2010-03-28 20:53	--------	d-----w-	c:\programme\audioGnome
2010-08-27 01:28 . 2005-11-21 02:33	75134	----a-w-	c:\windows\system32\perfc007.dat
2010-08-27 01:28 . 2005-11-21 02:33	417710	----a-w-	c:\windows\system32\perfh007.dat
2010-08-16 18:25 . 2009-12-12 22:36	67424	----a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-10 05:18 . 2010-07-29 17:40	190	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\prsgrc.dll
2010-07-29 17:40 . 2010-07-29 17:40	1024	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\grcauth2.dll
2010-07-29 17:40 . 2010-07-29 17:40	1024	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel\Sentinel RMS Development Kit\System\grcauth1.dll
2010-07-29 17:40 . 2010-07-29 17:40	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel
2010-07-29 17:37 . 2010-07-29 17:37	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SPSS
2010-07-29 17:37 . 2010-06-28 13:34	--------	d-----w-	c:\programme\Gemeinsame Dateien\SPSS
2010-07-29 17:37 . 2010-07-29 17:37	--------	d-----w-	c:\programme\Gemeinsame Dateien\SPSSInc
2010-07-29 17:36 . 2010-07-29 17:36	--------	d-----w-	c:\programme\SPSSInc
2010-07-29 16:34 . 2010-05-24 19:43	--------	d-----w-	c:\programme\Lexmark S300-S400 Series
2010-07-29 11:42 . 2010-07-29 11:41	--------	d-----w-	c:\programme\Abbyy FineReader 6.0 Sprint
2010-07-29 11:39 . 2010-05-24 19:44	--------	d-----w-	c:\programme\Lexmark Printable Web
2010-07-21 20:14 . 2010-07-21 20:14	--------	d-----w-	c:\programme\Gemeinsame Dateien\NewSoft
2010-07-21 20:14 . 2010-07-21 20:14	--------	d-----w-	c:\programme\NewSoft
2010-07-21 20:13 . 2005-11-21 12:40	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-07-18 19:08 . 2009-12-14 21:37	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\dvdcss
2010-06-30 12:28 . 2005-11-21 02:32	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2005-11-21 02:33	916480	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2005-11-21 02:33	1852032	----a-w-	c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2005-11-21 02:33	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2005-11-21 02:32	80384	----a-w-	c:\windows\system32\iccvid.dll
2010-06-15 18:01 . 2010-06-15 18:01	72504	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe
2010-06-14 14:31 . 2005-11-21 10:44	744448	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:41 . 2005-11-21 02:32	1172480	----a-w-	c:\windows\system32\msxml3.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\programme\Apoint\Apoint.exe" [2003-11-07 114688]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-06-09 6746112]
"RTHDCPL"="RTHDCPL.EXE" [2005-06-29 14720000]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-04-29 45056]
"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 45056]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-29 94208]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-29 77824]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-06-29 114688]
"SonyPowerCfg"="c:\programme\Sony\VAIO Power Management\SPMgr.exe" [2005-10-19 184320]
"ISBMgr.exe"="c:\programme\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]
"VAIO Update 2"="c:\programme\Sony\VAIO Update 2\VAIOUpdt.exe" [2005-10-11 151552]
"PrepareYourVAIO"="c:\programme\Sony\Prepare your VAIO\PYVAlert.exe" [2005-01-21 118784]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"lxeamon.exe"="c:\programme\Lexmark S300-S400 Series\lxeamon.exe" [2009-10-01 766632]
"EzPrint"="c:\programme\Lexmark S300-S400 Series\ezprint.exe" [2009-10-01 139944]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-06-15 141624]
"ChangeFilterMerit"="c:\programme\NewSoft\Presto! PVR\ChangeFilterMerit.exe" [2005-05-17 40960]
"Presto! PVR Monitor"="c:\programme\NewSoft\Presto! PVR\Monitor.exe" [2006-02-23 57344]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2005-05-20 16:42	73728	----a-w-	c:\windows\system32\VESWinlogon.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\MirandaFusion\\miranda32.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\audioGnome\\Client4.exe"=
"c:\\WINDOWS\\system32\\lxeacoms.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Abbyy FineReader 6.0 Sprint\\Scan\\ScanMan6.exe"=
"c:\\Programme\\SPSSInc\\PASWStatistics18\\paswstat.com"=
"c:\\Programme\\SPSSInc\\PASWStatistics18\\paswstat.exe"=
"c:\\Programme\\SPSSInc\\PASWStatistics18\\WinWrapIDE.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13.12.2009 08:56 135336]
R2 lxea_device;lxea_device;c:\windows\system32\lxeacoms.exe -service --> c:\windows\system32\lxeacoms.exe -service [?]
S2 lxeaCATSCustConnectService;lxeaCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxeaserv.exe [24.05.2010 12:46 98984]
S3 bdacap;PC-DTV Receiver;c:\windows\system32\drivers\bdacap.sys [21.07.2010 13:15 217728]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\db1igk6b.default\
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - plugin: c:\programme\Java\jre1.5.0_05\bin\NPJPI150_05.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-{4A58D9CC-0888-7A2D-6343-9D47FA1DDAAA} - c:\dokumente und einstellungen\***\Anwendungsdaten\Ehqo\xaquw.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-09-08 15:24
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(620)
c:\windows\system32\VESWinlogon.dll
.
Zeit der Fertigstellung: 2010-09-08  15:26:14
ComboFix-quarantined-files.txt  2010-09-08 22:26

Vor Suchlauf: 8.720.224.256 Bytes frei
Nach Suchlauf: 8.680.218.624 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 0E9CE0ED05B4C2AEC1630B4E57777E70
         

--- --- ---

Zitat:

c:\dokumente und einstellungen\***\Anwendungsdaten\Fefyq

Bitte diesen Ordner löschen.

Danach Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.