Trojaner Infektion: u.A. HEUR:Backdoor.Win64.Generic
 

Titel: Trojaner Infektion: HEUR:Backdoor.Win64.Generic

Hallo zusammen,

ich habe einen Laptop von einem Bekannten unter die Finger bekommen, um ihm zu helfen, da sich sein Kaspersky Internet Security 2012 gemeldet hat seit Anfang Mai Alarm macht. Kaspersky selbst bietet "Bei Neustart desinfizieren an", das aber schon mehrmals nicht gewirkt hat.

Alle Kaspersky-Meldungen sind als Screenshot angefügt.

Ich habe dann einen Scan mit der aktuellen desinfec'T der CT gemacht. Die Zusammenfassung hat zwar nicht geklappt, doch haben die Scans(alle 4) massenweise unerwartete Dateienden gefunden sowie ein paar Warnungen ausgeschmissen. Außerdem funktionieren ein paar Programme wie VLC-Player und das Snipping-Tool nicht mehr wirklich. VLC beendet sich direkt wieder und das Snipping-Tool snippt nicht mehr. Interessant ist auch, als ich die Java Version 6 refelxartig deinstalieren wollte (selbes bei Skype 4.X) ich die Fehlermedlung bekam, dass auf folgende Datei nicht geschrieben werden kann: C:\config.msi\d07fe.rbf ?!

Meldungen (verschiedene Scanner: Bitdefender, Avira, ClamAV und Kaspersky):
Meine Feststellungen bis hier hin:
- Schadsoftware eingefangen und eingenistet.
- im Dateisystem wird herumgetrixt
- Schadsoftware versteckt sich erfolgreich vor Kaspersky IS2012
- Kaspersky entdeckt nur die nachgeladenen Schadprogramme
- Infection wahrscheinlich durch einen Java-Exploit beim Surfen
- stetiges Patchen und NoScript hatte mglw. geholfen.

Ergebnisse des Scans mit OTL:
OTL:
OTL_Extra

hijackthis-file

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript (also - nach dem "Code", alles was in der Codebox steht! - (also beginnend mit :OTL und am Ende [emptytemp] ohne "code"!) :

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

2.
Lade Dir Malwarebytes Anti-Malware Lade Dir Malwarebytes Anti-Malware → von hier herunter

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• Alle Funde - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

3.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

• Download den CCleaner herunter
  
• Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
• starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
• ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

4.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

gruß
kira

Hallo Kira,

vielen Dank für deine Hilfe soweit. Zuerst eine Beichte: ich habe doch schon im System herumgesucht und malwarebytes bereits suchen lassen. Gelöscht deinstalliert habe ich bereits

• Skype 4.xx
• Java 6.xx
• Ask Toolbar
• gmx Toolbar

Ab jetzt folge ich aber 100%ig deinen Anweisungen! Versprochen.

Erstmal das OTL.log

Malwarebytes AntiMalware läuft grade ...

Programmliste per CCleaner kommt im Anschluß.

Keine Funde von: Malwarebytes Anti-Malware

Installierte Programme laut CCLeaner:

Scan von OLT

OLT-log

Extra-log
DANKEEEE!

1.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript - (also beginnend mit :OTL und am Ende [emptytemp]), alles was in der Codebox steht (ohne "code"!) :

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

2.
Tipps (unabhängig davon ob man den Internet Explorer benutzt oder nicht!):
-> Tipps zu Internet Explorer
-> Standard Suchmaschine des Explorers ändern
-> Wie kann ich den Cache im Internet Explorer leeren?

3.
reinige dein System mit CCleaner:

• "CCleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

4.
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.►Anleitung

5.
-> Führe dann einen Komplett-Systemcheck mit Eset Online Scanner (NOD32)Kostenlose Online Scanner durch
Achtung!: >>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<

6.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

► berichte erneut über den Zustand des Computers. Ob noch Probleme auftreten, wenn ja, welche?

zu 1:

OTL-Scan lief durch, aber währen des Löschen des Temps hat sich Kaspersky wieder 2 Mal gemeldet, weil Datein angepackt wurden.

OTL-LOG:
Zu zweitens: Ja ich werde meinen Bekannten mal etwas fürs Internet schulen. Geplant ist:

• Nutzung von Firefox und noscript, adblock und wot
• Regelmäßiges Löschen von Temp und Caches
• Update Überwachung mit Secunia PSI oder Filehippo

zu 3: CCleaner
Es wurden etwa 150mb entfernt und 511 (erster Durchlauf) + 44 (zweiter durchlauf) Registryeinträge repariert.

Als ich dann das mit dem System-Neustart überlesen hatte :stirn: und den Rechner wieder ans Internet gelassen habe, hat sich gleich Kaspersky mit alten Bekannten gemeldet. Zwischen durch kam schonmal die Aufforderung eine DFÜ-Verbindung zu wählen (ist für einen UMTS-Stick eingerichtet)...

Meldungen Kaspersky (siehe Bilder):

• HEUR:Backdoor.Win64.Generic
• Trojan.Win32.Small.bmpi

Jetzt Neustart und dann Online-Scanner. Leider habe ich nur die USB-Platte etc. nicht da, da ich nur den Rechner des Bekannten mitgenommen hatte und nicht die Peripherie. Also wahrscheinlich Vorsicht walten lassen, wenn der Rechner wieder in die alte Umgebung kommt. Mach es Sinn, die externen Platten erst unter einem Live-Linux (desinfec't oder Kaspersky rescue CD) zu scannen?

Kleine Annekdote: Ich habe die Infektion seines Rechners einem HNO-Arzt mit der Analogie zu menschlichen Viren erklärt... wunderbar :D

Edit: Nach dem Neustart ist die Firewall in Kaspersky deaktiviert und der Heur:Generic lässt sich nicht löschen, siehe Kaspersky_C.PNG.

Edit2: Das System ist scheinbar immernoch verseucht und daher zögere ich Kaspersky wirklich auszuschalten (ich glaube *fest* daran, dass Kaspersky für dne nachgeladenen Blödsinn ein Hinderniss darstellt). Also daher nochmal die Nachfrage: Wirklich mit Schritt 4: Online-Scanner weitermachen und dabei Kaspersky deaktivieren. Alternativ kann ich Linux-Live-CDs anbieten (Kaspersky und desinfec't) oder des Scan über den Firefox der desinfec't machen.

Kaspersky`s Fund ohne genaue Pfad sagt mir nix

Ok, dann lassen wir erstmal den MBR auf Rootkit zu überprüfen:

1.
MBR mit aswMBR von Avast prüfen

Lade aswMBR.exe von Avast herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
XP Benutzer: Doppelklick auf die aswMBR.exe, um das Tool zu starten.
Vista und Windows 7 Benutzer: Rechtsklick auf die aswMBR.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Klicke Scan, um den Suchlauf zu starten.

Wenn der Scan beendet ist, was mit Scan finished sucessfull! gemeldet wird, klicke Save log, um das Logfile zu speichern.
Poste mir den Inhalt von aswASW.log vom Desktop hier in den Thread.

2.
Lade dir von hier -> TrendMicro™ HijackThis™/Version 2.0.4 herunter

Die Pfade sind doch auf den angefügten Bildern A und B zu erkennen. Aber hier für c%p:

- c:\Windows\installer\{e09a7506-e4cf-782b-5ee0-e8532a31c6cc}\u\00000001.@
- c:\Windows\installer\{e09a7506-e4cf-782b-5ee0-e8532a31c6cc}\u\80000000.@

Dort findet man auch die Datein und könnte Sie per Linux-Live-System löschen. Aber ich wollte nicht dazwischen funken. Eine Version lag auch mal in c:\users\***\appdata\local\*krytische zeichen wie oben*\u und virus Total sagte zu den Datein: https://www.virustotal.com/file/073b1f99871dc56a33dcd55af71d53482816bfc9b3ce5c78ee53bed31b428384/analysis/ und https://www.virustotal.com/file/ad74f13e47d4bb02f4433c692fa0b82a066c42411bfba666d001711fc7383cc1/analysis/

Laut Virustotal findet sich in den Datein das ZeroAccess-Rootkit. Internetrecherche brachte die Informationen, dass das Rootkit sich in Systemtreiber einnistet und ein verstecktes Dateisystem generiert (daher mglw. die vielen kaputten/leeren Datein?). Aber es gibt ja immer diverse Versionen glaube ich...

Heute Nachmittag habe ich aus langeweile die Kaspersky Rescue CD (aktuelles update) durchlaufen lassen und sie hat nichts gefunden, obwohl die Datein per Filebrower auffindbar sind...

Nun gut. Ich mache mich gleich mal an deine Aufgaben :)

So Update:

Avast hatte gefragt, ob ich die aktuelle Datenbank herunterladen möchte, was ihc bejaht hatte.

Avast log:
Anmerkung: Der Rechner hat eine Windows- und DAtenpartition, sowie die Asus-Recoverypartition. Woher kommt nun die 4.?

Hijackthis-Log:
Gute Nacht erstmal!

Doch nicht gute Nacht. Ich dachte, es wäre nicht dumm, mal die Kasperskylog zu posten, damit man sehen kann, was sich auf dem Rechner hier so alles getan hat:

Kaspersky-Bericht für erkannte Bedrohungen(am 03.05.2012 erfolgte die Infektion wahrscheinlich):
Toller log, die Pfade, hätter er mal mitkopieren können ... sind die von Interesse?

Jetzt aber gute Nacht! :D

ZeroAccess: handelt es sich um nicht 100%ig reparierbaren Schädigungen:
Da würde ich an Deiner Stelle das System gleich neu installieren, da die Bekämpfung diese neue Art der Infektion ohne div. Nebenwirkungen und hinterlassenen Schaden, die immer wieder [auf verschiedene Weise] Probleme bereiten können, ist nicht möglich!
- einen Backdoor mit Rootkitfunktionalität http://www.world-of-smilies.com/wos_sonstige/crying.gif

diese Malware verwendet Rootkit-Technologie und Backdoor-Routine
*was sind Backdoors und Rootkits*

Verhaltensweise:
"speicherresident"

Hallo Kira,

alles klar, das System kommt neu. Die Windows-DVD rein und alles schön machen, ist zwar immer die beste Möglichkeit, aber ich wollte fragen, was du von den anderen Möglichkeiten hältst:

1) Backup vom Januar einspielen, die auf der anderen Partition liegt. (also infiziert sein könnte...)
2) Recoverypartition von Asus nutzen - werden diese mit infiziert?

Vielen Danke für alles und alles weitere

eben..ob dein System zu diesem Zeitpunkt sauber war ist fraglich, würd ich nicht empfehlen

versteckte Partition auf der Platte (die Recovery Partition) bleibt unberührt, da "unsichtbar" ist. Hat man im Normal Fall keinen Zugriff auf dieser Partition, also ein Virus auch nicht
Im "Normal Fall" nein, Schadsoftware kann selbst nicht die Partition befallen.

Huhu Danke für die Antwort. Dann werde ich im Laufe des Tages das Win-Reinstall per Recoverypartition durchführen.

Ich würde Dir vorsichtshalber raten, dein Passwort zu ändern (man sollte alle 3-4 Monate machen)
z.B. Login-, Mail- oder Website-Passwörter
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)

Lesestoff Nr.1:
Gib Kriminellen Handlungen keine Chance!

• Wie erstelle ich ein eingeschränktes Benutzerkonto?
• Software immer auf dem neuesten Stand halten!:
  ALLE auf dem System installierten Programme und Treiber, sollten regelmäßig upgedatet werden um Sicherheitslücken zu vermeiden und um das reibungslose Arbeitsabläufe zu erreichen!
• Ein sicherer Browser als IE z.B. *Ein Wechsel des Standardbrowsers zu...von SETI@home* - Firefox - FirefoxWiki/Einstellungen - Erweiterungen für Firefox - Standardbrowser
• Sichere eMail Clients z.B. Thunderbird-->Erweiterungen für Mozilla Thunderbird
  - Unbekannten E-Mail-Anhang NICHT öffnen!
  - Mails besonders mit Anhang, nicht anklicken, sondern als Text oder in Druckversion anzeigen lassen
• Sichere Paswort - Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
  auch noch hier unter: Sicheres Kennwort (Password)
  Die fünf häufigsten Passwort-Fehler[/b[
• "Never accept software from strangers" - Installiere grundsätzlich immer nur Programme, die Du auch wirklich benötigst und von denen Du überzeugt bist, dass sie seriös sind.
  Du hast die Wahl!, welche zusätzlichen Komponenten noch installiert werden sollen? -> Bei der Installation immer mitlesen, Sponsoren und Partnerprogramme, Toolbars oder eventuell noch andere extra angebotene Programme möglichst abwählen!
  Sponsor-Programm, Toolbars möglist abwählen (so wird oft Art von Adware/Spyware mitinstalliert)
• NICHT irgendwelche Programme aus dem Netz laden, wenn nicht zu 100% fest steht, dass es sich dabei um saubere Software handelt. Nette Versprechen der Hersteller garantieren noch lange keine einwandfreie Funktionsweise, also vorher blättere die Seiten bei GOOGLE, da kannst Du Dir wertvolle Informationen holen!!!
• Programme und Treiber:
  Nur vom Hersteller!
• Onlinebanking:
  Gib deine Passwörter niemals preis!
  Seriöse Bankinstitute, E- Mail- Provider oder Online- Shops versenden grundsätzlich keine E- Mails, in denen Kunden aufgefordert werden, vertrauliche Daten wie Passwörter, Verfügernummer, PINs oder TANs preiszugeben. Bei dieser Art von E- Mails handelt es sich immer um Betrugsversuche, weshalb entsprechende Anfragen nicht beantwortet werden sollten. Sobald der Verdacht auf Betrug entsteht, melde deinen Verdacht der jeweiligen Bank- Hotline.
• Computer, anderen (Gästen/Freunden) zur Nutzung überlassen überlassen - Nutze nur vertrauenswürdige Computer!
  Vergewissere dich, dass nur Personen deines Vertrauens deinen Computer nutzen oder verwalten und wickel niemals Bankgeschäfte über nicht vertrauenswürdige Computer - beispielsweise aus einem Internetcafé während des Urlaubs - ab
• Wichtige Daten Regelmäßig sichern! - aber denk daran: dein Hauptsystem ist doch kein Lagerhalle!
• Vorsicht bei der Nutzung fremder Computer und anschliessbare Externe Speichermedien wie Festplatte, USB Sticks, Speicherkarten usw![/color] - IT-Betrüger machen keinen Urlaub!/bsi-fuer-buerger.de - auch zeitweise anschließen und scannen lassen (sehe unter `kostenlose Online-Viren-Scanner`)
• Webseiten ohne Gültiges Impressum nicht besuchen
  - Externe Geräte (Festplatte USB-Stick) nicht ständig am PC anschließen, sondern nur kurzfristig während Du etwas sichern möchtest
• Lizenzkosten sparen? - Vorsicht bei Dateien/Programmen aus nicht vertrauenswürdigen Quellen! - "full Keygen, Crack, Serial, Warez, keygenerators" etc.
  Sind immer verseucht mit diverse Malware/Schadprogramme/Code, es gibt keine seite wo Viren frei ist. (Man sollte nicht absitlich der Teufel holen;)) Eine weitere höchst unsichere Quelle ist das File-Sharing der sog. (Musik-)Tauschbörsen.
  ► Ausserdem machst Du dich damit strafbar!
• Nur eine Firewall sowie ein Antiviren Programm verwenden, welche sich immer auf dem aktuellsten Stand befinden sollten!
  Das Installieren von `zuviel` Software beeinträchtigt die Systemleistung und Sicherheit, verlangsamt den Start-Vorgang enorm und belastet den Arbeitsspeicher (weil laufen ja die Programme nebeneinander gleichzeitig, die viel Performance fressen, aber wenig Qualität bringen). Im Laufe der Zeit wird der rechner durch zu viel unnötigen Ballast immer langsamer, und unsicherer. Um so mehr Programme installiert sind, um so häufiger treten Probleme auf, die dann unter Umständen nur schwer lösen können. Dazu kommt noch, das einige Programme große Sicherheitsrisiken mit sich bringen;)
• Virenscanner
• BSI für Bürger
• SETI@home - [Sicherheit] Sicherheitskonzept
• Entwicklung schädlicher Websites/viruslist.com
• Brennpunkt: Bilder und Töne
  Gefährliche Bilder, schräge Töne/BSI

** Der gesunde Menschenverstand, Windows und Internet-Software sicher konfigurieren ist der beste Weg zur Sicherheit im Webverkehr ist !!
Lesestoff Nr.2:
► Kann sich auf Dauer eine Menge Datenmüll ansammeln, sich Fehlermeldungen häufen, der PC ist wahrscheinlich nicht mehr so schnell, wie früher:

• Löschen der temporären Dateien in Windows
• Verlauf, Cache und Cookies: Spuren beseitigen nach dem Surfen
• hier nachlesen und hier microsoft.com
• Wenn dein System reibungslos läuft, kannst zeitweise die alte Wiederherstellungspunkte entfernen: -> Alle Systemwiederherstellungspunkte bis auf den Letzten löschen
• Oft den PC zu optimieren nütz wenig, der braucht jetzt eine Radikalkur (nach ca. 3-4 jahren, aber hängt von der Häufigkeit der Nutzung bzw Belastung ab): Anleitung: Neuaufsetzen des Systems + Absicherung
• Staub, Fingerabdrücke, Handschweiß – PC und Peripherie sehen mit der Zeit ganz schön eklig aus, ausserdem laut, reagiert langsam und wird schnell heiß:
  -> verschmutzte PCs sauber machen
  -> Frühjahrsputz für den PC: Tipps zur Reinigung und Entrümpelung

wünsch Dir alles Gute:)

Wenn Du uns unterstützen möchtest→ Spendekonto

gruß
kira

Hallo Kira,

nochmals vielen Dank. Letzte Frage: Gibt eine Möglichkeit die vorhandenen Daten zu übernehmen? Es handelt sich dabei um ein paar wenige Office-Datein und Bilder. Reicht es diese auf einem (dann versuchten) externen Speichermedium zu speichern und auf dem vollgepatchten, abgesicherten System zu scannen und zu übertragen?

Beste Grüße

Tipps & Rat:

➊
Datensicherung:
► NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
- Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen
- Am besten alles was dir sehr wichtig, separat (extern) sichern - nicht mischen eventuell früher geschicherten Daten, also vor dem Befall!
- Eventuell gecrackte Software nicht sichern und dann auf neu aufgesetztem System wieder drauf installieren!

- Vor zurückspielen - bevor du mit deinem PC direkt ins Netz gehst...:
- die Autoplay-Funktion für alle Laufwerke deaktivieren/ausschalten -> Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten

Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung
Absolut empfehlenswerter Scanner:
➋
-> Anleitung: Neuaufsetzen des Systems + Absicherung
-> Anleitung zum Neuaufsetzen - Windows XP, Vista und Win7