RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha
 

Hallo zusammen,

ich bräuchte bitte eure Hilfe. Habe mir gestern die drei Viren RKIT/agent.biiu, TR/agent.ruo und TR/Crypt.Gen eingefangen.
In meiner ersten Panik habe ich mein Antimaleware (nicht aktualisiert :pfui:) und den CC-Cleaner drüberlaufen lassen.

Hier der Paniklogfile von Maleware

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3950

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

26.08.2010 10:45:02
mbam-log-2010-08-26 (10-45-02).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 100338
Laufzeit: 5 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\sunshine\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

------------------------------

Da waren es nur noch zwei. TR/agent.ruo war dann verschwunden nur die beiden anderen Kandidaten sind noch hartnäckig.
Also Antimaleware aktualisiert und OTL runtergelanden, wie man ja überall lesen kann.

Hier die drei neuen Logfiles

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

27.08.2010 16:18:43
mbam-log-2010-08-27 (16-18-43).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 111771
Laufzeit: 39 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

------------------------------------OTL Logfile:
--- --- ---

-----------------------------------------OTL Logfile:
--- --- ---

-------------------------------------------

Heute hatte ich noch keine Meldung von Avira, kann mir bitte jemand sagen ob ich clean bin, oder ob meine Kiste noch verseucht ist.

Gruß

Eichmeister

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

Hallo Arne,

update gemacht und vollscan durchgeführt. Habe noch nichts entfernt, warte auf deine nächsten Anweisungen. Schon mal danke für deine schnelle Antwort.

Hier der Logfile

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4493

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

28.08.2010 21:26:48
mbam-log-2010-08-28 (21-26-48).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 198771
Laufzeit: 7 Stunde(n), 8 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000006.sys (Rootkit.Bubnix) -> No action taken.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000011.sys (Rootkit.Bubnix) -> No action taken.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000019.sys (Rootkit.Bubnix) -> No action taken.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000025.sys (Rootkit.Bubnix) -> No action taken.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000037.sys (Rootkit.Bubnix) -> No action taken.
C:\WINDOWS\system32\drivers\axunuav.sys (Rootkit.Bubnix) -> No action taken.
C:\Dokumente und Einstellungen\sunshine\Startmenü\Programme\Autostart\syscron.exe (Trojan.Agent) -> No action taken.

Gruß Eichmeister

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo Arne,

habe kopiert, eingefügt und gefixt. Rechner wollte Neustart, mit OK bestätigt. Nach Neustart kam das untenstehende Logfile. (Ebenso tauchte sofort von Avira eine neue Meldung auf mit einem neuen Backdoor Kandidat, poste Dir den Bericht von Avira unter dem OTL Logfile

Gruß Stefan


All processes killed
========== OTL ==========
D:\Autorun.inf moved successfully.
File C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\syscron.exe not found.
File move failed. C:\WINDOWS\system32\drivers\axunuav.sys scheduled to be moved on reboot.
File C:\Dokumente und Einstellungen\sunshine\Startmenü\Programme\Autostart\syscron.exe not found.
C:\WINDOWS\system32\fjhdyfhsn.bat moved successfully.
File C:\Dokumente und Einstellungen\***\Anwendungsdaten\jglzyr.dat not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 14471998 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: sunshine
->Temp folder emptied: 555569 bytes
->Temporary Internet Files folder emptied: 261362 bytes
->Java cache emptied: 0 bytes
->Opera cache emptied: 2802597 bytes
->Flash cache emptied: 1829 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 426797 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 18,00 mb


OTL by OldTimer - Version 3.2.10.0 log created on 08302010_221039

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\system32\drivers\axunuav.sys scheduled to be moved on reboot.

Registry entries deleted on Reboot...

-------------------------------------
Avira:

In der Datei 'C:\Dokumente und Einstellungen\sunshine\Startmenü\Programme\Autostart\updqnc32.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Bredolab.hkb' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

hier der Logfile von ComboFix

Combofix Logfile:
--- --- ---

Gruß Stefan

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne,

hier der Logfile

Gruß Stefan

Combofix Logfile:
--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Hallo Arne,

GMER hat mich, wie schon erwähnt geärgert, habs dreimal versucht, schaltet sich immer wieder aus.

Hier der Logfile von OSAM, und anschließend das Ergebnis von Bootkit Remover

OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

------------------------------------------------

Bootkit Remover

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: d3c3d1a705af3d0bec0fc46073d431f4

Size Device Name MBR Status
--------------------------------------------
93 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...

Danke für Deine Geduld !

Gruß Stefan

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Inhalt MBR Check

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 127):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7ABE000 \WINDOWS\system32\KDCOM.DLL
0xF79CE000 \WINDOWS\system32\BOOTVID.dll
0xF748E000 ACPI.sys
0xF7AC0000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF747D000 pci.sys
0xF75BE000 isapnp.sys
0xF75CE000 ohci1394.sys
0xF75DE000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF79D2000 compbatt.sys
0xF79D6000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7B86000 pciide.sys
0xF783E000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7AC2000 intelide.sys
0xF7AC4000 viaide.sys
0xF7AC6000 aliide.sys
0xF745F000 pcmcia.sys
0xF75EE000 MountMgr.sys
0xF7440000 ftdisk.sys
0xF79DA000 ACPIEC.sys
0xF7B87000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF7846000 PartMgr.sys
0xF75FE000 VolSnap.sys
0xF7428000 atapi.sys
0xF7352000 iaStor.sys
0xF760E000 disk.sys
0xF761E000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7332000 fltmgr.sys
0xF7320000 sr.sys
0xF784E000 PxHelp20.sys
0xF7309000 KSecDD.sys
0xF727C000 Ntfs.sys
0xF724F000 NDIS.sys
0xF762E000 serial.sys
0xF7235000 Mup.sys
0xF77BE000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF71EC000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xB9ADE000 \SystemRoot\system32\DRIVERS\ialmnt5.sys
0xB9ACA000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB9AA2000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB9945000 \SystemRoot\system32\DRIVERS\w39n51.sys
0xF78D6000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB9921000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF78DE000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB98F9000 \SystemRoot\system32\drivers\tifm21.sys
0xB98E5000 \SystemRoot\system32\DRIVERS\sdbus.sys
0xB98BE000 \SystemRoot\system32\DRIVERS\e100b325.sys
0xF71E8000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF77DE000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF78E6000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB988F000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF7AF2000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF78EE000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF77EE000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF77FE000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF780E000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB986C000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7C33000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF781E000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF71E0000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB9855000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF782E000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF764E000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF78FE000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB9844000 \SystemRoot\system32\DRIVERS\psched.sys
0xF765E000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7906000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF790E000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB9CB9000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7AFA000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB97E6000 \SystemRoot\system32\DRIVERS\update.sys
0xBA1C3000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF766E000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x9F6A1000 \SystemRoot\system32\drivers\CHDAud.sys
0x9F67D000 \SystemRoot\system32\drivers\portcls.sys
0x9FBC4000 \SystemRoot\system32\drivers\drmk.sys
0x9F64B000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
0x9F54E000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
0x9F49E000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
0xA00CC000 \SystemRoot\System32\Drivers\Modem.SYS
0x9FB74000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xA05CB000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xF7AEC000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xA0602000 \SystemRoot\System32\Drivers\Null.SYS
0xF7AEE000 \SystemRoot\System32\Drivers\Beep.SYS
0xA00AC000 \SystemRoot\System32\drivers\vga.sys
0xF7AF0000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7AF4000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xA00A4000 \SystemRoot\System32\Drivers\Msfs.SYS
0xA009C000 \SystemRoot\System32\Drivers\Npfs.SYS
0xA05C7000 \SystemRoot\system32\DRIVERS\rasacd.sys
0x9F41B000 \SystemRoot\system32\DRIVERS\ipsec.sys
0x9F3C2000 \SystemRoot\system32\DRIVERS\tcpip.sys
0x9F39A000 \SystemRoot\system32\DRIVERS\netbt.sys
0x9F378000 \SystemRoot\System32\drivers\afd.sys
0x9F97E000 \SystemRoot\system32\DRIVERS\netbios.sys
0xA0094000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x9F34D000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x9F2DD000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x9F96E000 \SystemRoot\System32\Drivers\Fips.SYS
0x9F2B7000 \SystemRoot\system32\DRIVERS\ipnat.sys
0x9F95E000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF7AF6000 \??\C:\WINDOWS\system32\drivers\EABFiltr.sys
0x9F29B000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x9AFEA000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0x98C69000 \SystemRoot\System32\Drivers\Fastfat.SYS
0x98B93000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0x98CFE000 \SystemRoot\System32\drivers\Dxapi.sys
0x994E9000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7BDD000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF020000 \SystemRoot\System32\ialmdnt5.dll
0xBF012000 \SystemRoot\System32\ialmrnt5.dll
0xBF042000 \SystemRoot\System32\ialmdev5.DLL
0xBF077000 \SystemRoot\System32\ialmdd5.DLL
0x98B7F000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xA2FD5000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x98B02000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0x98A4D000 \SystemRoot\system32\drivers\wdmaud.sys
0xB9C59000 \SystemRoot\system32\drivers\sysaudio.sys
0x989F6000 \SystemRoot\system32\DRIVERS\srv.sys
0xA2FC9000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0x9F91E000 \SystemRoot\System32\Drivers\Cdfs.SYS
0x98507000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 43):
0 System Idle Process
4 System
724 C:\WINDOWS\system32\smss.exe
800 csrss.exe
1004 C:\WINDOWS\system32\winlogon.exe
1048 C:\WINDOWS\system32\services.exe
1060 C:\WINDOWS\system32\lsass.exe
1228 C:\WINDOWS\system32\svchost.exe
1296 svchost.exe
1336 C:\WINDOWS\system32\svchost.exe
1400 svchost.exe
1576 svchost.exe
1712 C:\WINDOWS\explorer.exe
1976 C:\WINDOWS\system32\spoolsv.exe
2024 C:\Programme\Avira\AntiVir Desktop\sched.exe
168 svchost.exe
240 C:\Programme\Avira\AntiVir Desktop\avguard.exe
316 C:\Programme\Java\jre6\bin\jqs.exe
384 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
600 C:\WINDOWS\system32\svchost.exe
260 wdfmgr.exe
956 C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
964 C:\WINDOWS\system32\igfxtray.exe
968 C:\WINDOWS\system32\hkcmd.exe
1108 C:\WINDOWS\system32\igfxpers.exe
1260 C:\Programme\HP\HP Software Update\hpwuSchd2.exe
1364 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
1416 C:\Programme\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe
1448 C:\Programme\HP\QuickPlay\QPService.exe
1460 C:\Programme\HPQ\Quick Launch Buttons\eabservr.exe
1740 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1872 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
2016 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
2108 wmiprvse.exe
2280 C:\Programme\OpenOffice.org 2.0\program\soffice.exe
2288 C:\Programme\OpenOffice.org 2.0\program\soffice.bin
2360 C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
2672 C:\Programme\HPQ\Shared\HpqToaster.exe
2744 C:\WINDOWS\system32\wscntfy.exe
2928 alg.exe
3380 C:\Programme\Opera\opera.exe
2352 C:\WINDOWS\system32\svchost.exe
1688 C:\Dokumente und Einstellungen\sunshine\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000015`9d212c00 (FAT32)

PhysicalDrive0 Model Number: HTS541010G9SA00, Rev: MBZOC60P

Size Device Name MBR Status
--------------------------------------------
93 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: D0919EC9044E217466E4B6B4F0D4E99E29BDE3F9


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Gruß Stefan

Starte den Rechner neu und geh im Bootmenü auf die Wiederherstellungskonsole. Sieht ein wenig nach DOS aus, ist es aber nicht. Führe dort die befehle aus (eintippen und mit ok bestätigen, Abfrage (Warnung) mit j bestätigen)

War nicht leicht zu finden, aber geschafft. Befehle eingegeben und bestätigt.

Gruß Stefan