Hallo zusammen
Ihr habt mir schon mal vor längerer Zeit geholfen, darum wende ich mich wieder an Euch:
Gestern wurde mein PC von der bekannten "Bundespolizei" gesperrt.
Nach Ausführung der Windows-Systemwiederherstellung (Windows XP SP3) scheint erstmal alles wieder zu funzen.
Mein Virenschutzprogramm ESET NOD32 hat dann aber 13 Bedrohungen erkannt, und davon 2 in Quarantäne geschickt. Da Ihr aber schreibt, man solle erstmal nichts löschen habe ich mich daran gehalten und lasse jetzt gerade mbam suchen...

WAS TUN ?

Lieben Gruß
Christoph

Zitat:

Mein Virenschutzprogramm ESET NOD32 hat dann aber 13 Bedrohungen erkannt, und davon 2 in Quarantäne geschickt

Schön und wo sind die Logs dazu?

Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hallo cosinus
Sorry, war wohl etwas zu schnell
Hier ist das Log von ESET:

Code: Alles auswählenAufklappen

ATTFilter

30.08.2012 15:58:27	Echtzeit-Dateischutz	Datei	D:\RECYCLER\S-1-5-21-4174451169-4212436407-2930069656-1003\Dd499.part	Variante von Win32/InstallCore.AN evtl. unerwünschte Anwendung		CHRISTOPH\User	Ereignis beim Bearbeiten einer Datei durch die Anwendung: C:\WINDOWS\explorer.exe.
30.08.2012 15:58:26	Echtzeit-Dateischutz	Datei	D:\RECYCLER\S-1-5-21-4174451169-4212436407-2930069656-1003\Dd497.part	Variante von Win32/InstallCore.AN evtl. unerwünschte Anwendung		***\User	Ereignis beim Bearbeiten einer Datei durch die Anwendung: C:\WINDOWS\explorer.exe.
30.08.2012 15:12:15	Echtzeit-Dateischutz	Datei	D:\Eigene Dateien\Downloads\DownloadAcceleratorSetup(1).exe.part	Variante von Win32/InstallCore.AN evtl. unerwünschte Anwendung		***\User	Ereignis beim Bearbeiten einer Datei durch die Anwendung: D:\Programme\- Verbindungen\Mozilla\Firefox\firefox.exe.
30.08.2012 15:12:14	HTTP-Prüfung	Datei	hxxp://www.ultimatedownloadaccelerator.com/default/ga/sj?dl=1&ts=0&tschnl=DNA_2 - sj&adnm=14916098905&i=s&grid=A&lg=EN&cc=DE&clg=en&c=1&d=0&cid=_54929149&kw=free antivirus&mn=filepony.de&Network=D&expr=&agid=_5897518354	Variante von Win32/InstallCore.AN evtl. unerwünschte Anwendung	Verbindung getrennt - in Quarantäne kopiert		Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: D:\Programme\- Verbindungen\Mozilla\Firefox\firefox.exe.
30.08.2012 15:12:14	Echtzeit-Dateischutz	Datei	D:\Eigene Dateien\Downloads\DownloadAcceleratorSetup.exe.part	Variante von Win32/InstallCore.AN evtl. unerwünschte Anwendung		***\User	Ereignis beim Erstellen einer neuen Datei durch die Anwendung: D:\Programme\- Verbindungen\Mozilla\Firefox\firefox.exe.
30.08.2012 15:12:11	Echtzeit-Dateischutz	Datei	C:\DOKUME~1\User\LOKALE~1\Temp\LHkYIvVc.exe.part	Variante von Win32/InstallCore.AN evtl. unerwünschte Anwendung		***\User	Ereignis beim Bearbeiten einer Datei durch die Anwendung: D:\Programme\- Verbindungen\Mozilla\Firefox\firefox.exe.
30.08.2012 15:12:03	HTTP-Prüfung	Datei	hxxp://www.ultimatedownloadaccelerator.com/default/ga/sk?dl=1&ts=3&tschnl=DNA_2 - sk&adnm=14916098905&i=s&grid=A&lg=EN&cc=DE&clg=en&c=1&d=0&cid=_54929149&kw=free antivirus&mn=filepony.de&Network=D&expr=&agid=_5897518354	Variante von Win32/InstallCore.AN evtl. unerwünschte Anwendung			Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: D:\Programme\- Verbindungen\Mozilla\Firefox\firefox.exe.
28.06.2012 08:33:28	HTTP-Prüfung	Datei	hxxp://funnys.mochamomsiv.com/main.php?page=6d663eef0063ec8c	JS/Kryptik.QF Trojaner	Verbindung getrennt - in Quarantäne kopiert	***\User	Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: D:\Programme\- Verbindungen\Mozilla\Firefox\firefox.exe.
27.06.2012 09:01:43	HTTP-Prüfung	Datei	hxxp://frozen.lejournaldelabeauce.com/main.php?page=35c932663fbad56a	JS/Kryptik.QF Trojaner	Verbindung getrennt - in Quarantäne kopiert	***\User	Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: D:\Programme\- Verbindungen\Mozilla\Firefox\firefox.exe.
         

Und hier mbam-log:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.31.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
User :: *** [Administrator]

Schutz: Deaktiviert

31.08.2012 10:44:09
mbam-log-2012-08-31 (10-44-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|I:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 590947
Laufzeit: 2 Stunde(n), 54 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
I:\System Volume Information\_restore{393A2C58-15E9-4F21-80EF-E73FBAD11273}\RP355\A0221919.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Und mbam-protection-log:

Code: Alles auswählenAufklappen

ATTFilter

2012/08/31 07:51:07 +0200	***		MESSAGE	Starting protection
2012/08/31 07:51:23 +0200	***		MESSAGE	Protection started successfully
2012/08/31 07:51:26 +0200	***		MESSAGE	Starting IP protection
2012/08/31 07:52:25 +0200	***	User	MESSAGE	IP Protection started successfully
2012/08/31 18:57:30 +0200	***	User	MESSAGE	Starting protection
2012/08/31 18:57:35 +0200	***	User	MESSAGE	Executing scheduled update:  Daily
2012/08/31 18:57:49 +0200	***	User	MESSAGE	Protection started successfully
2012/08/31 18:57:52 +0200	***	User	MESSAGE	Starting IP protection
2012/08/31 18:58:03 +0200	***	User	MESSAGE	Scheduled update executed successfully:  database updated from version v2012.08.31.04 to version v2012.08.31.09
2012/08/31 18:58:09 +0200	***	User	MESSAGE	IP Protection started successfully
2012/08/31 18:58:09 +0200	***	User	MESSAGE	Starting database refresh
2012/08/31 18:58:09 +0200	***	User	MESSAGE	Stopping IP protection
2012/08/31 18:58:09 +0200	***	User	MESSAGE	IP Protection stopped
2012/08/31 18:58:18 +0200	***	User	MESSAGE	Database refreshed successfully
2012/08/31 18:58:18 +0200	***	User	MESSAGE	Starting IP protection
2012/08/31 18:58:33 +0200	***	User	MESSAGE	IP Protection started successfully
         

An den weggepixelten Stellen (***) stand jeweils mein Name, der mit dem Benutzernamen und dem Computernamen idsentisch ist.
mbam ist von heute - hab irgendwo bei Euch gelesen, das es wichtig sein soll, das programm auf dem desktop zu platzieren. Bei dem Durchlauf gestern hatte ich das nicht bedacht. Die Log-Datei von gestern wäre aber auch noch da.

Ich hoffe mal, das entwickelt sich nicht noch zum Problem. Bisher scheint alles zu funktionieren. Von verschlüsselten Daten habe ich ebenfalls noch nichts bemerkt.

Lieben Gruß

Christoph
Ich hoffe mal so ist alles richtig

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Hier alle Log-Files aus dem Reiter "Logdateien":

1. mbam-log vom 30.08.2012

Code: Alles auswählenAufklappen

ATTFilter

 User :: *** [Administrator]

Schutz: Deaktiviert

30.08.2012 18:31:21
mbam-log-2012-08-30 (18-31-21).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 425964
Laufzeit: 1 Stunde(n), 47 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
D:\Programme\- Tools\Festplatten\HDD Thermometer\bugreport.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

2. mbam-log vom 31.08.2012 (wurde bereits gepostet

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.31.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
User :: *** [Administrator]

Schutz: Deaktiviert

31.08.2012 10:44:09
mbam-log-2012-08-31 (10-44-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|I:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 590947
Laufzeit: 2 Stunde(n), 54 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
I:\System Volume Information\_restore{393A2C58-15E9-4F21-80EF-E73FBAD11273}\RP355\A0221919.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

3. protection-log vom 30.08.2012

Code: Alles auswählenAufklappen

ATTFilter

 2012/08/30 15:11:47 +0200	***	User	MESSAGE	Starting protection
2012/08/30 15:11:58 +0200	***	User	MESSAGE	Protection started successfully
2012/08/30 15:12:01 +0200	***	User	MESSAGE	Starting IP protection
2012/08/30 15:12:23 +0200	***	User	MESSAGE	IP Protection started successfully
2012/08/30 15:12:36 +0200	***	User	MESSAGE	Starting database refresh
2012/08/30 15:12:37 +0200	***	User	MESSAGE	Stopping IP protection
2012/08/30 15:12:37 +0200	***	User	MESSAGE	IP Protection stopped
2012/08/30 15:12:48 +0200	***	User	MESSAGE	Database refreshed successfully
2012/08/30 15:12:48 +0200	***	User	MESSAGE	Starting IP protection
2012/08/30 15:13:11 +0200	***	User	MESSAGE	IP Protection started successfully
2012/08/30 15:14:20 +0200	***	User	MESSAGE	Executing scheduled update:  Daily
2012/08/30 15:14:22 +0200	***	User	MESSAGE	Database already up-to-date
2012/08/30 15:54:21 +0200	***	User	MESSAGE	Stopping IP protection
2012/08/30 15:54:21 +0200	***	User	MESSAGE	IP Protection stopped
2012/08/30 20:44:10 +0200	***	User	MESSAGE	Starting protection
2012/08/30 20:44:29 +0200	***	User	MESSAGE	Protection started successfully
2012/08/30 20:44:32 +0200	***	User	MESSAGE	Starting IP protection
2012/08/30 20:44:38 +0200	***	User	MESSAGE	IP Protection started successfully
         

4. protection-log vom 31.08.2012 (wurde bereits gepostet)

Code: Alles auswählenAufklappen

ATTFilter

 2012/08/31 07:51:07 +0200	***		MESSAGE	Starting protection
2012/08/31 07:51:23 +0200	***		MESSAGE	Protection started successfully
2012/08/31 07:51:26 +0200	***		MESSAGE	Starting IP protection
2012/08/31 07:52:25 +0200	***	User	MESSAGE	IP Protection started successfully
2012/08/31 18:57:30 +0200	***	User	MESSAGE	Starting protection
2012/08/31 18:57:35 +0200	***	User	MESSAGE	Executing scheduled update:  Daily
2012/08/31 18:57:49 +0200	***	User	MESSAGE	Protection started successfully
2012/08/31 18:57:52 +0200	***	User	MESSAGE	Starting IP protection
2012/08/31 18:58:03 +0200	***	User	MESSAGE	Scheduled update executed successfully:  database updated from version v2012.08.31.04 to version v2012.08.31.09
2012/08/31 18:58:09 +0200	***	User	MESSAGE	IP Protection started successfully
2012/08/31 18:58:09 +0200	***	User	MESSAGE	Starting database refresh
2012/08/31 18:58:09 +0200	***	User	MESSAGE	Stopping IP protection
2012/08/31 18:58:09 +0200	***	User	MESSAGE	IP Protection stopped
2012/08/31 18:58:18 +0200	***	User	MESSAGE	Database refreshed successfully
2012/08/31 18:58:18 +0200	***	User	MESSAGE	Starting IP protection
2012/08/31 18:58:33 +0200	***	User	MESSAGE	IP Protection started successfully
         

5. protection-log vom 01.09.2012

Code: Alles auswählenAufklappen

ATTFilter

 2012/09/01 08:17:34 +0200	***	User	MESSAGE	Starting protection
2012/09/01 08:17:53 +0200	***	User	MESSAGE	Protection started successfully
2012/09/01 08:17:56 +0200	***	User	MESSAGE	Starting IP protection
2012/09/01 08:18:27 +0200	***	User	MESSAGE	IP Protection started successfully
         

Mehr steht da nicht

Lieben Gruß

Christoph

Das ESET Log ist unvollständig, du hast von 13 Funden gesprochen aber in dem Log welches du gepostet hast zähle ich nur 9 Zeilen/Funde....

Richtig - und 2 von den 9 sind offenbar ja auch schon älteren datums.
Der im Augenblick laufende ESET-Standardsuchlauf (jeden Freitag um 12.00 Uhr) ist gerade zu 40 % abgeschlossen und es werden bereits wieder 12 Infektionen angezeigt. Nach Abschluß werde ich mal sehen was unter den Logdateien zu finden ist oder ob da noch andere Verzeichnisse existieren.
Möchte ESET nicht unterbrechen und melde mich wieder sobald das Programm fertig ist

Lieben Gruß

Christoph

Ach ja:
DANKE, schon mal !!!

Hallo Cosinus
ESET ist fertig und ich habe die Log-Files durchsucht.
Weil ich ansonsten aus über 1400 Zeilen erstmal Namen rausslöschen müsste habe ich es etwas sortiert und poste dir erstmal die farblich hervorgehobenen Meldungen/Warnungen.
Ich hoffe das ist in Ordnung so - falls nicht schicke ich Dir natürlich auch das komplette Log-File:

Code: Alles auswählenAufklappen

ATTFilter

 Log
Version der Signaturdatenbank: 7435 (20120831)
Datum: 01.09.2012  Uhrzeit: 12:00:40
Geprüfte Laufwerke, Ordner und Dateien: Arbeitsspeicher;C:\Bootsektor;C:\;D:\Bootsektor;D:\;E:\Bootsektor;E:\

ROTE Zeilen:
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\2468016f-5cd14658 = ZIP = akvcbasvlpdmyn/bbpqkygwcttkvgmckkgbqcv.class - Java/Exploit.Agent.AH Trojaner
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\2468016f-5cd14658 = ZIP = akvcbasvlpdmyn/eypqsgyjtgknkvqwtanen.class - Java/Exploit.Agent.AH Trojaner
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\2468016f-5cd14658 = ZIP = akvcbasvlpdmyn/kdwvggkfruajt.class - Java/Exploit.Agent.AH Trojaner
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\2468016f-5cd14658 = ZIP = akvcbasvlpdmyn/lgrvjm.class - Java/Exploit.Agent.AH Trojaner
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\2468016f-5cd14658 = ZIP = akvcbasvlpdmyn/lvvlnjfsyvdulcavhtheujuuk.class - Java/Exploit.Agent.AH Trojaner
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\2468016f-5cd14658 = ZIP = akvcbasvlpdmyn/pkwmfdl.class - Java/Exploit.Agent.AH Trojaner
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\2468016f-5cd14658 = ZIP = akvcbasvlpdmyn/rghget.class - Java/Exploit.Agent.AH Trojaner
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\2468016f-5cd14658 = ZIP = akvcbasvlpdmyn/rwvkqquyqrhrws.class - Java/Exploit.Agent.AH Trojaner
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\2468016f-5cd14658 = ZIP = akvcbasvlpdmyn/twtyfp.class - Java/Exploit.Agent.AH Trojaner
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\2468016f-5cd14658 = ZIP = akvcbasvlpdmyn/vbwekluhyrtymyufjd.class - Java/Exploit.Agent.AH Trojaner
D:\Kopien\Downloads\Programme\- Medien\- Musik\Format-Konverter\Setup21_FreeConverter.exe = NSIS = Script.nsi - Win32/Toolbar.SearchSuite evtl. unerwünschte Anwendung


BRAUNE Zeilen:
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\LHkYIvVc.exe.part - Variante von Win32/InstallCore.AN evtl. unerwünschte Anwendung - Aktionsauswahl aufgeschoben bis zum Abschluss des Scans
D:\RECYCLER\S-1-5-21-4174451169-4212436407-2930069656-1003\Dd497.part - Variante von Win32/InstallCore.AN evtl. unerwünschte Anwendung - Aktionsauswahl aufgeschoben bis zum Abschluss des Scans
D:\RECYCLER\S-1-5-21-4174451169-4212436407-2930069656-1003\Dd499.part - Variante von Win32/InstallCore.AN evtl. unerwünschte Anwendung - Aktionsauswahl aufgeschoben bis zum Abschluss des Scans

HELLBLAUE Zeilen:
C:\pagefile.sys - Fehler beim Öffnen  [4]
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ds50yqgc.default\Cache\D\2A\523C6d01 = CWS = file.swf - Archiv beschädigt - Datei kann nicht extrahiert werden
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ds50yqgc.default\Cache\F\4E\C2F0Dd01 = CWS = file.swf - Archiv beschädigt - Datei kann nicht extrahiert werden
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\jre-6u33-windows-i586-iftw.exe = CAB = jusched - Archiv beschädigt - Datei kann nicht extrahiert werden
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\jre-6u33-windows-i586-iftw.exe = CAB = task.xml - Archiv beschädigt - Datei kann nicht extrahiert werden
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\jre-6u33-windows-i586-iftw.exe = CAB = task64.xml - Archiv beschädigt - Datei kann nicht extrahiert werden
C:\Programme\7-Zip\Uninstall.exe = NSIS - Archiv beschädigt
D:\Kopien\Alte Kopien\Downloads\Programme\- Medien\- Video\DivX\DivXInstaller812.exe = NSIS = Installer.exe = NSIS = 000 = PECompact v2.xx - Fehler beim Entpacken
D:\Kopien\Discs\- ***\celeco Übungs-Set\SetupUebungsSet.exe = ADVANCEDINSTALLER - Archiv beschädigt
D:\Kopien\Discs\- ***\GUT\Setup GUT 1.exe = WISE =  - Archiv beschädigt
D:\Kopien\Discs\Microsoft Office 97 pro\CDZUGABE\WORDVIEW\WD95VW71.EXE = CAB = viewer71.1 = CAB = wordview.exe - Teildatei des gesplitteten Archivs nicht gefunden
D:\Kopien\Discs\Microsoft Office 97 pro\CDZUGABE\WORDVIEW\WD95VW71.EXE = CAB = viewer71.2 = CAB = wordview.exe - Archiv beschädigt - Datei kann nicht extrahiert werden
D:\Kopien\Discs\WinXP\I386\WINSYS.CAB = CAB = mwcicore.dll - Archiv beschädigt - Datei kann nicht extrahiert werden
D:\Kopien\Discs\WinXP\I386\LANG\IMJPUTY.EX_ = CAB = imjputy.exe - Archiv beschädigt - Datei kann nicht extrahiert werden
D:\Kopien\Downloads\Programme\- Computer-Tools\Copy\CloneCD\Setup - Download\SetupCloneCD5314.exe = NSIS - Archiv beschädigt
D:\Kopien\Downloads\Programme\- Medien\- Video\Total Video\Total Video Converter\tvcnew.exe = INNO = {app}\StarBurn_SuperVideoCD.iso = ISO = AVSEQ01.MPG - Archiv beschädigt
D:\Kopien\Downloads\Programme\- Medien\- Video\Total Video\Total Video Converter\tvcnew.exe = INNO = {app}\StarBurn_VideoCD.iso = ISO = AVSEQ01.DAT - Archiv beschädigt
D:\Kopien\Downloads\Programme\Microsoft\Microsoft Office Home and Student 2010 (3 PC)\X17-75062.exe = CAB = officesuitewwsp1-x-none.msp - Entpacken nicht möglich (mögliche Gründe: nicht genug Arbeitsspeicher oder nicht genug Festplattenspeicherplatz oder Problem mit temporären Ordnern)
D:\Kopien\Downloads\Programme\Microsoft\Microsoft Office Home and Student 2010 (3 PC)\X17-75168.exe = CAB = officesuitewwsp1-x-none.msp - Entpacken nicht möglich (mögliche Gründe: nicht genug Arbeitsspeicher oder nicht genug Festplattenspeicherplatz oder Problem mit temporären Ordnern)
D:\Kopien\Downloads\Programme\Phase6\Setup - Download\phase-6-premium-2.1-demo-windows-installer-dl.exe = NSIS = phase-6.exe = ZIP =  - Archiv beschädigt
D:\Kopien\Downloads\Programme\Phase6\Setup - Download\phase-6-premium-2.1.1.4c-windows-installer-dl.exe = NSIS = phase-6.exe = ZIP =  - Archiv beschädigt
D:\Programme\- ***\Lernen\Phase6\Setup - Download\phase-6-premium-2.1-demo-windows-installer-dl.exe = NSIS = phase-6.exe = ZIP =  - Archiv beschädigt
D:\Programme\- ***\Lernen\Phase6\Setup - Download\phase-6-premium-2.1.1.4c-windows-installer-dl.exe = NSIS = phase-6.exe = ZIP =  - Archiv beschädigt
D:\Programme\Falk\Navi-Manager\FalkData\{4D11BFBE-ADB8-4053-B2F4-A53ABC758141}.zip = ZIP = ANYWHERE/MapRegions/GermanyEast_TrafficPattern.psf - Fehler - Datei ist passwortgeschützt
D:\Programme\Falk\Navi-Manager\FalkData\{4D11BFBE-ADB8-4053-B2F4-A53ABC758141}.zip = ZIP = ANYWHERE/MapRegions/GermanyNorth_TrafficPattern.psf - Fehler - Datei ist passwortgeschützt
D:\Programme\Falk\Navi-Manager\FalkData\{4D11BFBE-ADB8-4053-B2F4-A53ABC758141}.zip = ZIP = ANYWHERE/MapRegions/GermanySouth_TrafficPattern.psf - Fehler - Datei ist passwortgeschützt
D:\Programme\Falk\Navi-Manager\FalkData\{4D11BFBE-ADB8-4053-B2F4-A53ABC758141}.zip = ZIP = ANYWHERE/MapRegions/GermanyWest_TrafficPattern.psf - Fehler - Datei ist passwortgeschützt
D:\Programme\Microsoft Office 2010\Setup - Download\X17-75062.exe = CAB = officesuitewwsp1-x-none.msp - Entpacken nicht möglich (mögliche Gründe: nicht genug Arbeitsspeicher oder nicht genug Festplattenspeicherplatz oder Problem mit temporären Ordnern)
D:\Programme\Microsoft Office 2010\Setup - Download\X17-75168.exe = CAB = officesuitewwsp1-x-none.msp - Entpacken nicht möglich (mögliche Gründe: nicht genug Arbeitsspeicher oder nicht genug Festplattenspeicherplatz oder Problem mit temporären Ordnern)
D:\RECYCLER\S-1-5-21-4174451169-4212436407-2930069656-1003\Dd491.exe = CAB = jusched - Archiv beschädigt - Datei kann nicht extrahiert werden
D:\RECYCLER\S-1-5-21-4174451169-4212436407-2930069656-1003\Dd491.exe = CAB = task.xml - Archiv beschädigt - Datei kann nicht extrahiert werden
D:\RECYCLER\S-1-5-21-4174451169-4212436407-2930069656-1003\Dd491.exe = CAB = task64.xml - Archiv beschädigt - Datei kann nicht extrahiert werden

und dann noch 1381 DUNKELBLAUE Zeilen wie die nachfolgende:
C:\Dokumente und Einstellungen\All Users\Dokumente\- Familie\***\eMail\CAEK 2011 - Bestätigung Ihrer Anmeldung.eml = MIME - - OK (eingebettete Archive NICHT geprüft)
die allesamt  ".eml" -Dateien betreffen und mit  "= MIME - - OK (eingebettete Archive NICHT geprüft)"  enden.

Geprüfte Objekte: 1045024
Erkannte Bedrohungen: 14
Anzahl gesäuberter Objekte: 0
Abgeschlossen: 16:02:37  Benötigte Zeit: 14517 Sek. (04:01:57)

Hinweise:
[4] Objekt kann nicht geöffnet werden. Möglicherweise in Benutzung durch eine andere Anwendung oder das Betriebssystem.
         

Lieben Gruß

Christoph

Hallo cosinus

wie geht`s denn jetzt weiter ???

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Hier die Log-Datei von AdwareCleaner

Code: Alles auswählenAufklappen

ATTFilter

 # AdwCleaner v2.001 - Datei am 09/10/2012 um 09:57:30 erstellt
# Aktualisiert am 09/09/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : User - CHRISTOPH
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\User\Desktop\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gefunden : C:\DOKUME~1\User\LOKALE~1\Temp\searchqutoolbar-manifest.xml
Ordner Gefunden : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess
Ordner Gefunden : C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\Searchqutoolbar
Ordner Gefunden : C:\Dokumente und Einstellungen\User\Anwendungsdaten\searchquband
Ordner Gefunden : C:\Programme\Conduit
Ordner Gefunden : C:\WINDOWS\assembly\GAC_MSIL\QuickStoresToolbar

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\Conduit
Schlüssel Gefunden : HKCU\Software\Conduit
Schlüssel Gefunden : HKCU\Software\ConduitSearchScopes
Schlüssel Gefunden : HKCU\Software\DataMngr
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{9D717F81-9148-4F12-8568-69135F087DB0}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Toolbar.CT2319825
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{5B4144E1-B61D-495A-9A50-CD1A95D86D15}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{6A4BCABA-C437-4C76-A54E-AF31B8A76CB9}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{841D5A49-E48D-413C-9C28-EB3D9081D705}
Schlüssel Gefunden : HKLM\Software\Conduit
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4F12-8568-69135F087DB0}
Wert Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]
Wert Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{99079A25-328F-4BD4-BE04-00955ACAA0A7}]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825

*************************

AdwCleaner[R1].txt - [2993 octets] - [10/09/2012 09:57:30]

########## EOF - C:\AdwCleaner[R1].txt - [3053 octets] ##########
         

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Sorry, hat etwas gedauert.
Hier das Log von AdwareCleaner nach dem löschen:

Code: Alles auswählenAufklappen

ATTFilter

 # AdwCleaner v2.001 - Datei am 09/12/2012 um 14:46:41 erstellt
# Aktualisiert am 09/09/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : User - CHRISTOPH
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\User\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\DOKUME~1\User\LOKALE~1\Temp\searchqutoolbar-manifest.xml
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess
Ordner Gelöscht : C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\Searchqutoolbar
Ordner Gelöscht : C:\Dokumente und Einstellungen\User\Anwendungsdaten\searchquband
Ordner Gelöscht : C:\Programme\Conduit
Ordner Gelöscht : C:\WINDOWS\assembly\GAC_MSIL\QuickStoresToolbar

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\ConduitSearchScopes
Schlüssel Gelöscht : HKCU\Software\DataMngr
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{9D717F81-9148-4F12-8568-69135F087DB0}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2319825
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{5B4144E1-B61D-495A-9A50-CD1A95D86D15}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{6A4BCABA-C437-4C76-A54E-AF31B8A76CB9}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{841D5A49-E48D-413C-9C28-EB3D9081D705}
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4F12-8568-69135F087DB0}
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{99079A25-328F-4BD4-BE04-00955ACAA0A7}]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

Wiederhergestellt : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825 --> hxxp://www.google.com

*************************

AdwCleaner[R1].txt - [3122 octets] - [10/09/2012 09:57:30]
AdwCleaner[S1].txt - [3487 octets] - [12/09/2012 14:46:41]

########## EOF - C:\AdwCleaner[S1].txt - [3547 octets] ##########
         

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

zu 1) nein -
Windows scheint ganz normal zu funktionieren - ohne jede Einschränkung.

zu 2) nein -
Keinerlei leere Ordner oder fehlende Programme, alles vorhanden

Entschuldige:
zu 1) heißt es natürlich. Ja - geht wieder uneingeschränkt !

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread