WIN 7

Hallo zusammen,

mein Laptop ist mind. seit ca. 1 Woche mit einem Trojaner befallen. Der Computer startet manchmal normal, manchmal bleibt er aber auf dem Desktop vor der Anzeige der Programm-Icons hängen und lässt sich dann nur aus dem abgesicherten Modus neu starten.

Ich habe wahrscheinlich eine alte, verseuchte Festplatte am Donnerstag angeschlossen, auf der von einem alten Rechner noch befallene Daten waren und den aktuellen Rechner infiziert haben.

Ich habe bereits alle Daten auf 2 externe Festplatten verschoben, meinen PC mit der Acer eRecovery auf die Werkseinstellung zurückgesetzt bzw. neu aufgesetzt. Der Befall ist aber anscheinend nicht behoben (siehe Scan unten), vielleicht habe ich mir eine erneute Infektion dadurch wieder eingefangen, dass ich NortonInternetSecurity erst installiert habe, als ich schon online war oder beim unbeabsichtigten Installieren eines sog. "codec software package" ...

Nun habe ich eigentlich nur eine Frage, denn ich möchte die Daten von den wohl infizierten externen Festplatten retten:

Ich habe vor, den Rechner nochmal auf die gleiche Art und Weise aufzusetzen (habe ja keine persönlichen Daten mehr drauf) und dann z. B. mit XUBUNTU oder PARTED MAGIC die Daten von einer (wohl auch befallenen) externen Festplatte auf eine neue, nicht befallene Festplatte zu verschieben, um so die Daten zu retten. Problem: Leider lässt sich bei mir der AUTORUN von ext. Festplatten irgendwie nicht stoppen.

Ist das alles einfach so möglich?
Also das Problem bei der Datenrettung liegt eben daran, dass die Festplatten wohl auch infiziert sind, da ich vom infizierten PC gesichert habe)

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (PRO) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.11.12.14

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16428
... [Administrator]

Schutz: Deaktiviert

12.11.2013 22:34:09
MBAM-log-2013-11-12 (23-16-06).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 339085
Laufzeit: 41 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\FTHV\AppData\Local\Temp\is1590112554\1083474_stp\BuzzSearchSetup.exe (PUP.Optional.BuzzSearch.A) -> Keine Aktion durchgeführt.

(Ende)
         

Hallo und

Mit Kanonen auf Spatzen schießen?
Du hast nur einen Adwarefund, deswegen muss man nicht gleich alles einstampfen.


Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten!
Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht!



Zudem bitte auch ein Log mit Farbars Tool machen:

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Hallo cosinus,

ja, es gibt Scan-Dateien aus ESET-Online-Scan und von OTL.

Mittlerweile hat sich die die Sache verschärft.

Ich kann meinen PC manchmal direkt starten, manchmal aber nur wenn ich aus dem gesicherten Modus mit Netzwerktreibern neu starte :-(

Gestern startete Norton InternetSecurity plötzlich und meldete, das eine Ausführung von "Norton Fix" (oder Name ähnlich) nicht möglich sei. Ich war dabei offline. Um einen ungewünschten Scan oder ähnliches zu vermeiden, habe ich Norton dann auch abgebrochen.

Ich gehe hier immer wieder von Zeit zu Zeit online, um das Forum zu prüfen. Gestern fuhr der Rechner dann sogar unerwartet runter. Beim Neustart danach gab es aber keine Probleme.

Heute wollte der Rechner auch plötzlichen neustarten, es gabe eine Fehlermeldung "Dieses Programm verhindert, dass der Rechner heruntergefahren werden kann: BTTray.exe".

Achtung, ich weiß, dass dies verboten ist und deshalb schreibe ich es direkt auch ganz offen hier rein, dass ich auf von einem anderen Forum schon unterstützt werde. Dort habe ich aber - und ich brauche dringend meine Emails wieder - seit 2 Tagen keine Antwort mehr bekommen. Sorry, mache ich grundsätzlich nicht, aber hier musste es einfach sein!

Ist es nicht wesentlich einfacher und schneller den PC aus Acer eRecovery neu aufzusetzen (vorinstalliertes Win7) und dann zu versuchen, die (wohl auch verseuchte) externe Festplatte frei von Schädlingen zu bekommen und die Daten dann von auf den PC rückzusichern?

VG
Trimbi72

Zitat:

Ist es nicht wesentlich einfacher und schneller den PC aus Acer eRecovery neu aufzusetzen (vorinstalliertes Win7) und dann zu versuchen, die (wohl auch verseuchte) externe Festplatte frei von Schädlingen zu bekommen und die Daten dann von auf den PC rückzusichern?

Das kommt ganz auf die Situation an. Wenn du meinst das geht schneller, dann mach es.

Hallo cosinus,

vielen Dank für Deine schnelle Antwort.

Das würde ich dann tatsächlich auch machen. Kannst Du mich dann weiter betreuen, denn ich müsste dann 1. den Rechner wohl noch einmal auf Schädlinge prüfen und 2. die externe Festplatte ebenfalls?

Wie hoch ist die Gefahr, daß nach Acer eRecovery (Zurücksetzen auf die Werkseinstellungen mit WIN7 Home Edition) der PC wieder infiziert ist?

Ich habe grundsätzlich Probleme, AUTOSTART bei Anschließen von ext. Festplatten durch Drücken der Shift-Taste zu unterdrücken. Ist es wirklich möglich, die externe Festplatten ohne Neuinfizierung des Systems auf den PC rückzusichern?

Hier einmal der Scan von MBAM:

Code: Alles auswählenAufklappen

ATTFilter

--- Kommentar Trimbi72: externe Festplatte I (Datensicherung 11.11.13 des aktuellen PC's) ---


Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.11.12.09

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16428
FTHV :: FTHV-PC [Administrator]

12.11.2013 17:48:29
mbam-log-2013-11-12 (17-48-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 261179
Laufzeit: 10 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 20
HKCR\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} (PUP.Optional.BrowseFox.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23} (PUP.Optional.BrowseFox.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{5cf5a690-c8f4-488e-9d20-f21aef602d41} (PUP.Optional.BuzzSearch.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{396ecd31-edf7-489f-bda1-83dba4c36e81} (PUP.Optional.BuzzSearch.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{D0EC4142-5808-41D2-A4DC-6081CF1A9693} (PUP.Optional.BuzzSearch.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{5CF5A690-C8F4-488E-9D20-F21AEF602D41} (PUP.Optional.BuzzSearch.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5CF5A690-C8F4-488E-9D20-F21AEF602D41} (PUP.Optional.BuzzSearch.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\00212D92-C5D8-4ff4-AE50-B20F0F85C40A_Systweak_Ad~B9F029BF_is1 (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IEXPLORE.EXE (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RegClean Pro_is1 (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\BuzzSearch (PUP.Optional.BuzzSearch.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} (PUP.Optional.Qone8) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\Software\Systweak\Advanced System Protector (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\Software\Systweak\RegClean Pro (PUP.Optional.RegCleanerPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\BuzzSearch (PUP.Optional.BuzzSearch.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\dosearchesSoftware (PUP.Optional.DoSearches.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} (PUP.Optional.Qone8) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SYSTEM\CurrentControlSet\Services\Update BuzzSearch (PUP.Optional.BuzzSearch.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\WSYSSVC (PUP.Optional.Esafe.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Daten: 0X2O1C0R2R1R -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SYSTEM\CurrentControlSet\Services\WsysSvc|ImagePath (PUP.Optional.Esafe.A) -> Daten: C:\ProgramData\eSafe\eGdpSvc.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 5
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.DoSearches) -> Bösartig: (hxxp://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=hp&from=cor&uid=ST9500325AS_5VETEQBQXXXX5VETEQBQ&ts=1384244610) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (PUP.Optional.DoSearches) -> Bösartig: (hxxp://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=hp&from=cor&uid=ST9500325AS_5VETEQBQXXXX5VETEQBQ&ts=1384244610) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (PUP.Optional.DoSearches) -> Bösartig: (hxxp://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=hp&from=cor&uid=ST9500325AS_5VETEQBQXXXX5VETEQBQ&ts=1384244610) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.DoSearches) -> Bösartig: (hxxp://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=hp&from=cor&uid=ST9500325AS_5VETEQBQXXXX5VETEQBQ&ts=1384244610) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes|DefaultScope (PUP.Optional.Qone8) -> Bösartig: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}) Gut: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 15
C:\Users\FTHV\AppData\Roaming\DigitalSite\UpdateProc (PUP.Optional.DigitalSite.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\clamunpack (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\Troubleshooter (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\BuzzSearch (PUP.Optional.BuzzSearch.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Systweak\Advanced System Protector (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Systweak\Advanced System Protector\2.1.1000.12150 (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Systweak\Advanced System Protector\signatures (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\FTHV\AppData\Roaming\Systweak\Advanced System Protector (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\FTHV\AppData\Roaming\Systweak\Advanced System Protector\2.1.1000.12150 (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\FTHV\AppData\Roaming\Systweak\RegClean Pro (PUP.Optional.RegCleanerPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\FTHV\AppData\Roaming\Systweak\RegClean Pro\Version 6.1 (PUP.Optional.RegCleanerPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\FTHV\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\voice (PUP.Optional.RegCleanerPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\FTHV\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\voice\de (PUP.Optional.RegCleanerPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 95
C:\Windows\Tasks\RegClean Pro_UPDATES.job (PUP.Optional.RegCleanerPro.J) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\FTHV\AppData\Roaming\DigitalSite\UpdateProc\config.dat (PUP.Optional.DigitalSite.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\FTHV\AppData\Roaming\DigitalSite\UpdateProc\prod.dat (PUP.Optional.DigitalSite.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\FTHV\AppData\Roaming\DigitalSite\UpdateProc\STTL.DAT (PUP.Optional.DigitalSite.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\FTHV\AppData\Roaming\DigitalSite\UpdateProc\TTL.DAT (PUP.Optional.DigitalSite.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\loading_withWhiteBG.avi (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\AdvancedSystemProtector.exe.config (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\AppResource.dll (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\asp.ico (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\aspsys.dll (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\categories.ini (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\Chinese_asp_ZH-CN.ini (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\Communication.dll (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\danish_asp_DA.ini (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\dutch_asp_NL.ini (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\eng_asp_en.ini (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\Finnish_asp_FI.ini (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\french_asp_FR.ini (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\german_asp_DE.ini (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\Interop.IWshRuntimeLibrary.dll (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\italian_asp_IT.ini (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\japanese_asp_JA.ini (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\Microsoft.Win32.TaskScheduler.DLL (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\norwegian_asp_NO.ini (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\portuguese_asp_PT-BR.ini (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\russian_asp_ru.ini (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\spanish_asp_ES.ini (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\swedish_asp_SV.ini (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\System.Core.dll (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\System.Data.SQLite.dll (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\unins000.dat (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\unins000.exe (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\unins000.msg (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\unrar.dll (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\Xceed.Compression.dll (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\Xceed.Compression.Formats.dll (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\Xceed.FileSystem.dll (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\Xceed.Zip.dll (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\clamunpack\clamscan.exe (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\clamunpack\libclamav.dll (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\clamunpack\readme.txt (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\Troubleshooter\asp-fixer.com (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\Troubleshooter\asp-fixer.exe (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\Troubleshooter\asp-fixer.pif (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\Troubleshooter\asp-fixer.scr (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\Troubleshooter\ASP-Troubleshooter.chm (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\Troubleshooter\firefox.com (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\Troubleshooter\iexplore.exe (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Advanced System Protector\Troubleshooter\iexplore.lnk (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\TraditionalCn_rcp_zh-tw.ini (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\Chinese_rcp.ini (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\CleanSchedule.exe (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\Danish_rcp.ini (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\Dutch_rcp.ini (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\eng_rcp.ini (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\Finnish_rcp_fi.ini (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\French_rcp.ini (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\German_rcp.ini (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\greek_rcp_el.ini (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\install_left_image.bmp (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\isxdl.dll (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\Italian_rcp.ini (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\Japanese_rcp.ini (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\korean_rcp_ko.ini (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\Norwegian_rcp.ini (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\polish_rcp_pl.ini (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\portugese_rcp_pt.ini (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\Portuguese_rcp.ini (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\RCPUninstall.exe (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\RegCleanPro.dll (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\russian_rcp_ru.ini (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\Spanish_rcp.ini (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\Swedish_rcp.ini (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\systweakasp.exe (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\turkish_rcp_tr.ini (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\unins000.dat (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\unins000.exe (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\unins000.msg (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RegClean Pro\xmllite.dll (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Tasks\RegClean Pro_DEFAULT.job (PUP.Optional.RegCleanPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\dosearches.xml (PUP.Optional.DoSearches.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\BuzzSearch\BuzzSearch.ico (PUP.Optional.BuzzSearch.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\BuzzSearch\BuzzSearchUninstall.exe (PUP.Optional.BuzzSearch.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\BuzzSearch\updateBuzzSearch.InstallState (PUP.Optional.BuzzSearch.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Systweak\Advanced System Protector\AddonSafelist (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Systweak\Advanced System Protector\log.xslt (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\FTHV\AppData\Roaming\Systweak\Advanced System Protector\Settings.db (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\FTHV\AppData\Roaming\Systweak\Advanced System Protector\2.1.1000.12150\ASPLog.txt (PUP.Optional.AdvancedSystemProtector.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\FTHV\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\ExcludeList.rcp (PUP.Optional.RegCleanerPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\FTHV\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\German_rcp.dat (PUP.Optional.RegCleanerPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\FTHV\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\log_11-12-2013.log (PUP.Optional.RegCleanerPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\FTHV\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\results.rcp (PUP.Optional.RegCleanerPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\FTHV\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\TempHLList.rcp (PUP.Optional.RegCleanerPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\FTHV\AppData\Roaming\Systweak\RegClean Pro\Version 6.1\voice\de\voice.wav (PUP.Optional.RegCleanerPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Ich würde mich dann im ursprünglichen Forum abmelden bzw. den Post schließen lassen.

VG

Trimbi72

Mach es doch nit so kompliziert
Erstens hast du nur Adware, also sichere deine Daten und dann folgst du dem Artikel zur Neuinstallation von Windows.

Wenn du willst machst die Datensicherung so:

Lesestoff:
Sichern von Daten eines infizierten Systems

Mit einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Anleitung: Parted Magic

Hallo cosinus,

danke für Deine (wieder mal) schnelle Anwort :-)

Zu spät, bin schon dabei, das System neu aufzusetzen. Die autom. Systemwiederherstelllung läuft, danach installiere ich Norton Internetsecurity, gehe dann live und ziehe alle Norton und Windows-Updates.

Wie soll ich denn das ServicePack1 von Windows 7 installieren, bevor ich online gehe?
Außerdem habe ich mir den ServicePack1-Download schon mal auf der Windows-Seite angeschaut. Dort werden beim Windows 7-Servicepack 10 Dateien angezeigt, die man einzeln anklicken und downloaden kann. Welche ist/sind hier die Richtige(n)?

Die wichtigste Frage: Kann ich mit PARTED MAGIC auch von einer (verseuchten) externen Festplatte auf eine andere externe Festplatte sichern oder geht das nur vom PC auf eine externe Festplatte?

Aus deiner Liste der ausführbaren Dateien habe ich leider .doc-Dateien auf meinem Rechner, die aber wohl nicht befallen sein dürften. Kann ich die mitsichern oder soll ich die lieber unberührt lassen?

VG
Trimbi72

Zitat:

Wie soll ich denn das ServicePack1 von Windows 7 installieren, bevor ich online gehe?

Ist doch ganz einfach. SP1 von einem anderen Rechner runterladen, auf DVD oder Stick kopieren und dann den anderen Rechner davon das SP1 offline installieren lassen.

Zitat:

Eine wichtige Frage habe ich! Kann ich mit PARTED MAGIC auch von einer (verseuchten) externen Festplatte auf eine andere externe Festplatte sichern oder geht das nur vom PC auf eine externe Festplatte?

Wie kommst du auf diese Einschränkung? Linux ist es völlig egal ob du von Festplatte zu Festplatte sicherst, ob die intern oder extern ist ist völlig wumpe.

Zitat:

Kann ich die mitsichern oder soll ich die lieber unberührt lassen?

Persönliche also eigens erstellte Dokumente sollte man schon sichern. Oder willst die wegschmeißen nur weil sie vllt/evtl infiziert ist?

Hi cosinus,

super, danke, ich habe nun den PC neu augesetzt bzw. das System wiederherstellen lassen.

Wenn ich PARTED MAGIC verwende, muss ich ja auch die verseuchte externe Festplatte an den PC anschliessen. Muss ich das dann erst nach dem Start von PARTED MAGIC machen oder egal wann. Anders gefragt: Wie kann ich denn sicher gehen, dass ich den nun sauberen PC nicht wieder durch Anschliessen der infizierten, externen Festplatte (die mit den gesicherten Daten) verseuche?

VG

Es gibt keine 100% Sicherheit.
Mit PartedMagic hast du aber sichergestellt, dass das Backup in einer garantiert sauberen Umgebung lief. Dass du nur ungefährliche Dateien gesichert hast, darauf musstest du selbst achten.

Mal davon abgesehen, dass es hier nur im Adware ging!

Hallo cosinus,

ich möchte nun meine Dateien mit PARTED MAGIC von der verseuchten ext. Festplatte auf eine reine/neue ext. Festplatte sichern.

Ich habe gesehen, das PARTED MAGIC sogar einen Virenscanner besitzt, den ich jetzt über die verseuchte ext. Festplatte laufen lasse. Bisher hat der Scanner auch leider schon einmal ausgeschlagen bzw. 1 Bedrohung erkannt.

1. Soll ich die Befunde hier mal reinposten, damit Du sagen kannst, ob das etwas gefährliches ist?

2. Kann ich danach gefahrlos wieder die Dateien über Windows / Windows Explorer auf die neue ext. Festplatte kopieren?

VG
Trimbi72

Wenn du den Virenscanner ClamAV meinst, dann vergiss den, das Teil taugt nicht. Erkennt zu wenig und erzeugt zu viele Fehlalarme.

Hallo cosinus,

Du hattest Recht es ist dieses AV-Programm und es hat harmolse HTML-Dateien als Schädlinge infiziert.

Ich habe das Programm abgebrochen. Das Übertragen der Dateien mit PARTED MAGIC ist aber so zeitaufwendig gewesen, dass ich auch hier nachher abgebrochen habe!

Ich habe die befallene Festplatte mit Malwarebytes und NortonInternetSecurity überprüft und es wurden keine Schädlinge gefunden.

Kannst Du mir noch weitere, gute Antiviren- und Prüfsoftware empfehlen, die ich über den Rechner und die ext. Festplatte laufen lassen kann, bevor ich nun alle Daten zurücksichere?

Was ist mit dem von Dir vorgeschlagenen Farbar's Recovery Scan Tool oder mit OTL?

Vielen Dank

Trimbi72

Sagma kannst du diese Paranoia jetzt ma ablegen?
Du hast nur ungefährliche Dateien gesichert, kein Scanner findet darin was aus Fehlalarme und du willst nochmal scannen, was bitte soll das??

Du kannst mit 1000 Scannern rübergehen, es gibt einfach keine 100% sicherheit, denn ich hab den Eindruck diese 100% Sicherheit willst du haben. Es reicht wenn du ungefährliche/persönliche Dateien sicherst über Linux...man muss auch mal eine Sache abschließen und nicht seine Paranoia ausleben