Hallo Leute,

ich bin mir nicht ganz sicher ob mein Problem hier richtig aufgehoben ist. Ich wollte erst die benötigten Log-Files erstellen um ein entsprechendes Thema eröffnen zu können und während dieses Vorgangs kam es zu meinem Problem.

Der Reihe nach:

• Vorgestern blockierte beim Windowsstart mein Rechner. Weisser Bildschirm mit bekanntem Text "Bundespolizei ihr Computer wurde gesperrt usw."
• Daraufhin hab ich das Netzwerkkabel herausgezogen und den Rechner einfach ausgeschaltet.
• Über Google hab ich dann dieses Forum gefunden und mir die Anleitung für den Bundespolizei-Trojaner durchgelesen
• Also Rechner im abgesicherten Modus gestartet und Anti-Malewarebytes ausgeführt - Ergebnis 4 infizierte Dateien (die in Quarantäne gesetzt wurden)
• ab jetzt hab ich dann wahrscheinlich grosse Fehler gemacht - anstatt gleich mit dem Ergebnis ein passendes Thema zu eröffnen hab ich versucht Schritt 2 (System weiter bereinigen) auszuführen.
• also defogger, otl, und gmer.exe runtergeladen
• defogger gestartet und disabled aktiviert
• otl gestartet und 2 txt dateien erstellt
• gmer gestartet und laufen lassen - nach ca. 3 Stunden hat sich der Rechner nicht mehr anmelden lassen. Es wurde eine Fehlermeldung ausgegeben, dass die Registrierung ungültig ist und nicht verifiziert werden kann. Ich landete immer wieder beim Anmeldebildschirm.
• Heute dann hab ich mir eingebildet mit einer Windows Installation das System reparieren lassen zu können.
• Also XP-CD gestartet und Installation/System reparieren gestartet - dabei bleibt der Rechner nun hängen. Nach dem Neustart über die Festplatte bleibt der Rechner immer am Bildschirm "Setup wird gestartet...." hängen. Zeitweise gibt es ganz kurz einen Fehlerbildschirm (wirklich extrem kurz) - auf diesem heisst es das die verwendete Festplatte schreibgeschützt ist (Fehlerstatus: 0xc0000189).

Ich bin mir darüber im klaren das ich mir das selbst eingebrockt habe. Eventuell hat aber doch jemand eine Idee was bei meinem Vorgehen passiert ist und wie ich meine Fehler reparieren kann. Eigenartig war das einfrieren während gmer.exe ausgeführt wurde. Kann es dort einen zusammenhang geben (zum Beispiel das relevante Dateien blockiert wurden oder während des scans schreibrechte verändert werden)?

Vielen Dank
Falk

System: Windows XP Pro (32bit) SP3

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Hallo Cosinus,

nein der hat nicht mehr funktioniert. Ich habe jetzt die folgende Lösung (Teillösung) bisher angewendet.

1. Habe ich diese Microsoftanleitung abgearbeitet: hxxp://support.microsoft.com/kb/307545/de
Dazu habe ich mir eine CD mit dem Kaspersy Rescue Center erstellt/diese gebootet und dann mit Hilfe des darin enthaltenen Dateimanagers die entsprechenden Umbenennungen und Ersetzungen erledigt.

2. Nach diesem Schritt hatte ich wieder Zugriff auf den abgesicherten Modus. Allerdings konnte ich mich immer noch nicht einloggen. Alles was funktioniert hat ist im abgesicherten Modus (ohne Netzwerk) die Anmeldung als Administrator.
Ich habe versucht mit einer weiteren Mircosoft-Anleitung (hxxp://support.microsoft.com/kb/914232/de) zurecht zukommen. Das hat bei mir nicht funktioniert!

3. Nachdem unter 2. beschriebenen Versuche erfolglos waren habe ich mit Hilfe der Window-XP CD das System reparieren lassen. (Windows Setup - Installation - R-Taste System reparieren). Diesmal habe ich die Installation im abgesicherten Modus gestartet!!! Das hat geklappt.

Jetzt habe ich ein laufendes System mit den alten Daten und Programmen. Jetzt bin ich mir aber nicht sicher ob ich ein sauberes System habe. MalwareBytes-AntiMalware läuft gerade noch. Darf ich das Log-File dann hier posten?

Hmm! Irgendwie bin ich zu blöd Links zu posten - Also oben bitte aus hxxp bitte http machen!

Zitat:

Also oben bitte aus hxxp bitte http machen!

Das ist Absicht, damit potentiell gefährliche Links nicht gleich klickbar sind.
Nur Helfer, Mods und Admins können hier klickbare Links erstellen

Zitat:

Darf ich das Log-File dann hier posten?

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hier jetzt also noch das LogFile:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.08.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Falk :: FALK-HELP [Administrator]

Schutz: Aktiviert

08.10.2012 13:32:43
mbam-log-2012-10-08 (13-32-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P
Deaktivierte Suchlaufeinstellungen: 
Durchsuchte Objekte: 663781
Laufzeit: 3 Stunde(n), 39 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\RECYCLER\S-1-5-18\$19a413dd481267a790e37506ebc90f16\U\00000004.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$19a413dd481267a790e37506ebc90f16\U\00000008.@ (Trojan.Dropper.BCMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$19a413dd481267a790e37506ebc90f16\U\000000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$19a413dd481267a790e37506ebc90f16\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
         

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

OK, nachfolgend alle Logs die ich finden konnte. Wie bereits beschrieben wurden diese Scan alle vor der WindowsXP reparatur durchgeführt.

Log vom 04.10.2012 - letzter scan

Code: Alles auswählenAufklappen

ATTFilter

Datenbank Version: v2012.10.04.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Falk :: FALK-HELP [Administrator]

Schutz: Aktiviert

04.10.2012 13:12:42
mbam-log-2012-10-04 (13-12-42).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 196544
Laufzeit: 5 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\WINDOWS\assembly\GAC\Desktop.ini (Rootkit.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
         

Log vom 04.04.2012 - erster scan

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.04.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Falk :: FALK-HELP [Administrator]

Schutz: Aktiviert

04.10.2012 12:56:15
mbam-log-2012-10-04 (12-56-15).txt

Art des Suchlaufs: Flash-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Registrierung | Dateisystem | P2P
Durchsuchte Objekte: 156080
Laufzeit: 53 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$19a413dd481267a790e37506ebc90f16\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-299502267-1220945662-839522115-1003\$19a413dd481267a790e37506ebc90f16\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\Falk\ms.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
         

Log vom 04.04.2012 - zweiter scan

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.04.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Falk :: FALK-HELP [Administrator]

Schutz: Aktiviert

04.10.2012 12:56:15
mbam-log-2012-10-04 (12-57-51).txt

Art des Suchlaufs: Flash-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Registrierung | Dateisystem | P2P
Durchsuchte Objekte: 156080
Laufzeit: 53 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$19a413dd481267a790e37506ebc90f16\n.) Gut: (fastprox.dll) -> Keine Aktion durchgeführt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-299502267-1220945662-839522115-1003\$19a413dd481267a790e37506ebc90f16\n.) Gut: (fastprox.dll) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\Falk\ms.exe (Trojan.Agent) -> Keine Aktion durchgeführt.
         

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

OK. Hat ein paar Stunden gedauert. Hier das Eset-LogFile:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=fa5a23af6ecca04b97e97dd4854b68b2
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-10-08 08:23:01
# local_time=2012-10-08 10:23:01 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777215 100 0 78714695 78714695 0 0
# compatibility_mode=5891 16776869 42 93 21930 3438447 0 0
# compatibility_mode=8192 67108863 100 0 216 216 0 0
# scanned=191438
# found=0
# cleaned=0
# scan_time=7058
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=fa5a23af6ecca04b97e97dd4854b68b2
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-10-09 04:14:58
# local_time=2012-10-09 06:14:58 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777215 100 0 78722415 78722415 0 0
# compatibility_mode=5891 16776533 42 92 0 3446167 0 0
# compatibility_mode=8192 67108863 100 0 7936 7936 0 0
# scanned=382711
# found=0
# cleaned=0
# scan_time=27655
         

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Hier das adwcleaner LogFile:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.004 - Datei am 09/10/2012 um 19:12:32 erstellt
# Aktualisiert am 06/10/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Falk - FALK-HELP
# Bootmodus : Normal
# Ausgeführt unter : F:\Schnelle Downloads\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gefunden : C:\Programme\Viewpoint

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{9DBB28C1-1925-11D3-A498-00104B6EB52E}
Schlüssel Gefunden : HKLM\Software\MetaStream
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
Schlüssel Gefunden : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
Schlüssel Gefunden : HKLM\Software\Viewpoint

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[R1].txt - [1909 octets] - [09/10/2012 19:12:32]

########## EOF - C:\AdwCleaner[R1].txt - [1969 octets] ##########
         

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

OK. Erledigt! Hier das LogFile:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.004 - Datei am 09/10/2012 um 23:10:51 erstellt
# Aktualisiert am 06/10/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Falk - FALK-HELP
# Bootmodus : Normal
# Ausgeführt unter : F:\Schnelle Downloads\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\Programme\Viewpoint

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{9DBB28C1-1925-11D3-A498-00104B6EB52E}
Schlüssel Gelöscht : HKLM\Software\MetaStream
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
Schlüssel Gelöscht : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
Schlüssel Gelöscht : HKLM\Software\Viewpoint

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[R1].txt - [2038 octets] - [09/10/2012 23:10:07]
AdwCleaner[S1].txt - [1971 octets] - [09/10/2012 23:10:51]

########## EOF - C:\AdwCleaner[S1].txt - [2031 octets] ##########
         

Hätte da mal zwei Fragen bevor es weiter geht (wir sind noch nicht fertig!)

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Hallo Cosinus,

ja der normale Modus geht wieder wie immer. Bisher konnte ich keinerlei Einschränkungen feststellen. Leere Ordner oder fehlende Verknüpfungen sind auch nicht vorhanden. Scheint soweit alles normal zu sein. Hast du einen Verdacht? Mich würde vor allem interessieren wie ich mir die Infektion eingefangen haben kann. Ich tippe mal auf eine DriveBy Variante - weil alles was ich Stunden zuvor gemacht habe an diesem Rechner ist im Internet surfen. Wie auch immer - bis hierher schon mal vielen Dank für Deine Hilfe.