Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.16.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Johanna :: EMIL [Administrator]

Schutz: Aktiviert

16.11.2012 17:02:00
mbam-log-2012-11-16 (17-02-00).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 228511
Laufzeit: 4 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Ok, wie weit ist ESET?

99%
aber dabei fällt mir auf, ich habe zwar alle Festplatten angeschlossen, aber für alle usb-sticks hab ich nicht genug Steckplätze.
Ich bin mir auch nich sicher welche ich denn in der "infizierten Phase" dran hatte.

Immer noch nicht fertig?

immer noch 99 %
dachte erst er hängt, aber es sind immer neue datein die er scannt

dann warten wir noch etwas

So bin mir jetzt nich sicher ob er fertig gescannt hat das Fenster war weg nachdem der Bildschirm sich abgeschaltet hatte
Einen Log hab ich jedoch gefunden

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=12
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=b3761ea5616975439d6fb22be8902175
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-11-17 01:18:22
# local_time=2012-11-17 02:18:22 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 2437461 2437461 0 0
# compatibility_mode=5893 16776574 100 94 1818718 104717874 0 0
# compatibility_mode=8192 67108863 100 0 9186 9186 0 0
# scanned=251682
# found=36
# cleaned=0
# scan_time=27079
C:\Program Files (x86)\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe	Win32/Toolbar.Widgi application (unable to clean)	00000000000000000000000000000000	I
C:\Windows\Installer\5623cb.msi	a variant of Win32/Toolbar.Widgi application (unable to clean)	00000000000000000000000000000000	I
J:\$RECYCLE.BIN.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\$RECYCLE.BIN_1.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\1 - abu dhabi und dubai.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\1 - abu dhabi und dubai_1.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\11 - Sydney.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\11 - Sydney_1.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\12 - Argentinia.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\12 - Argentinia_1.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\13 - Chile.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\13 - Chile_1.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\14 - Peru.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\14 - Peru_1.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\14- bolivia.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\14- bolivia_1.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\2 - Jordan.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\2 - Jordan_1.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\3 - India.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\3 - India_1.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\4 - Thailand.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\4 - Thailand_1.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\5 - Vietnam.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\5 - Vietnam_1.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\7 - Malaysia.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\7 - Malaysia_1.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\8 - Singapur.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\8 - Singapur_1.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\9 - New Zealand.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\9 - New Zealand_1.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\found.000.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\found.000_1.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\recovery\System Volume Information.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
J:\recovery\System Volume Information_1.lnk	Win32/Dorkbot.D worm (unable to clean)	00000000000000000000000000000000	I
M:\mami_komplet auf pc\Allerlei\Downloads\registrybooster(2).exe	a variant of Win32/RegistryBooster application (unable to clean)	00000000000000000000000000000000	I
M:\mami_komplet auf pc\Allerlei\Downloads\registrybooster.exe	a variant of Win32/RegistryBooster application (unable to clean)	00000000000000000000000000000000	I
         

Das sind noch Reste. Die FIxen wir mit OTL

Beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":Files" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:Files
C:\Program Files (x86)\PDFCreator\Toolbar
M:\mami_komplet auf pc\Allerlei\Downloads\registrybooster*
J:\*.lnk
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

zwei Probleme:
1. beim ausführen von OTL kam plötzlich die Meldung: Der Papierkorb des Laufwerks J ist beschädigt
und
2. ich kann den explorer nicht mehr aufmachen. "Starten des Servers fehlgeschlagen"

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== FILES ==========
C:\Program Files (x86)\PDFCreator\Toolbar folder moved successfully.
M:\mami_komplet auf pc\Allerlei\Downloads\registrybooster(2).exe moved successfully.
M:\mami_komplet auf pc\Allerlei\Downloads\registrybooster.exe moved successfully.
J:\$RECYCLE.BIN.lnk moved successfully.
J:\$RECYCLE.BIN_1.lnk moved successfully.
J:\1 - abu dhabi und dubai.lnk moved successfully.
J:\1 - abu dhabi und dubai_1.lnk moved successfully.
J:\11 - Sydney.lnk moved successfully.
J:\11 - Sydney_1.lnk moved successfully.
J:\12 - Argentinia.lnk moved successfully.
J:\12 - Argentinia_1.lnk moved successfully.
J:\13 - Chile.lnk moved successfully.
J:\13 - Chile_1.lnk moved successfully.
J:\14 - Peru.lnk moved successfully.
J:\14 - Peru_1.lnk moved successfully.
J:\14- bolivia.lnk moved successfully.
J:\14- bolivia_1.lnk moved successfully.
J:\2 - Jordan.lnk moved successfully.
J:\2 - Jordan_1.lnk moved successfully.
J:\3 - India.lnk moved successfully.
J:\3 - India_1.lnk moved successfully.
J:\4 - Thailand.lnk moved successfully.
J:\4 - Thailand_1.lnk moved successfully.
J:\5 - Vietnam.lnk moved successfully.
J:\5 - Vietnam_1.lnk moved successfully.
J:\7 - Malaysia.lnk moved successfully.
J:\7 - Malaysia_1.lnk moved successfully.
J:\8 - Singapur.lnk moved successfully.
J:\8 - Singapur_1.lnk moved successfully.
J:\9 - New Zealand.lnk moved successfully.
J:\9 - New Zealand_1.lnk moved successfully.
J:\found.000.lnk moved successfully.
J:\found.000_1.lnk moved successfully.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\Johanna\Desktop\cmd.bat deleted successfully.
C:\Users\Johanna\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Anna
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 258159150 bytes
->Flash cache emptied: 58601 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 56466 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Johanna
->Temp folder emptied: 2435786 bytes
->Temporary Internet Files folder emptied: 198558358 bytes
->Java cache emptied: 2002 bytes
->FireFox cache emptied: 398143261 bytes
->Flash cache emptied: 184186 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 55712250 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36047442 bytes
RecycleBin emptied: 183765993 bytes
 
Total Files Cleaned = 1.081,00 mb
 
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.69.0 log created on 11182012_213148

Files\Folders moved on Reboot...
C:\Users\Johanna\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Windows\temp\WERCE58.tmp.resp not found!

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         

Zitat:

2. ich kann den explorer nicht mehr aufmachen. "Starten des Servers fehlgeschlagen"

Und wie genau versuchst du den zu starten?
Was GENAU meinst du mit explorer? Internet Explorer?

Ne windows explorer, ich kann keine Ordner öffnen sowie Papierkorb, Arbeitsplatz und so weiter.
Das scheint das Problem zu sein
hxxp://www.borncity.com/blog/2012/01/04/windows-explorer-starten-des-servers-fehlgeschlagen/
wollte nur noch nix machen bevor wir hier fertig sind.

Versuch den explorer wieder zu richten
Ich selbst hatte diesen Fehler noch nicht, daher kann ich selbst keine Erfahrungen dazu bereichten wie man diesen Fehler am besten behebt

Grade nach dem Hochfahren ist das Problem wieder weg :P Auch nich schlecht
Sind wir damit dann fertig? Vielen Dank schon mal, allerdings hab ich noch n paar Fragen.
Was mach ich denn mit meinen USB-Sticks die nich bei den Scans mit dabei waren?
und in machen der Festplatten hab ich noch die Ordner "$RECYCLE.BIN" sowie "RECYCLER" und "found.000"

Zitat:

und in machen der Festplatten hab ich noch die Ordner "$RECYCLE.BIN" sowie "RECYCLER" und "found.000"

Dreimal darfst du raten wofür Ordner wie RECYCLER wohl gedacht sind
FOUND.000 kann idR gelöscht werden

Zitat:

Was mach ich denn mit meinen USB-Sticks die nich bei den Scans mit dabei waren?

Sind die denn ebenfalls von einer Infektion betroffen? Grundsätzlich stell man die automatische Wiedergabe ab!

Automatische Wiedergabe deaktivieren

Windows XP: Zur Vereinfachung hab ich mal die noautoplay.reg hochgeladen. Lad das auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Windows Vista/7: In der Systemsteuerung unter automatische Wiedergabe von CDs und anderen Medien alles deaktivieren. => siehe auch Einstellungen für automatische Wiedergabe ändern