Trojaner-Board - Bundespolizei-Trojaner mit Windows-Systemwiederherstellung bearbeitet ?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Bundespolizei-Trojaner mit Windows-Systemwiederherstellung bearbeitet ? (https://www.trojaner-board.de/123075-bundespolizei-trojaner-windows-systemwiederherstellung-bearbeitet.html)

Bundespolizei-Trojaner mit Windows-Systemwiederherstellung bearbeitet ?

Hallo zusammen
Ihr habt mir schon mal vor längerer Zeit geholfen, darum wende ich mich wieder an Euch:
Gestern wurde mein PC von der bekannten "Bundespolizei" gesperrt.
Nach Ausführung der Windows-Systemwiederherstellung (Windows XP SP3) scheint erstmal alles wieder zu funzen.
Mein Virenschutzprogramm ESET NOD32 hat dann aber 13 Bedrohungen erkannt, und davon 2 in Quarantäne geschickt. Da Ihr aber schreibt, man solle erstmal nichts löschen habe ich mich daran gehalten und lasse jetzt gerade mbam suchen...

WAS TUN ?

Lieben Gruß
Christoph

Zitat:

Mein Virenschutzprogramm ESET NOD32 hat dann aber 13 Bedrohungen erkannt, und davon 2 in Quarantäne geschickt

Schön und wo sind die Logs dazu? :confused:

Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Hallo cosinus
Sorry, war wohl etwas zu schnell
Hier ist das Log von ESET:

Code:

30.08.2012 15:58:27        Echtzeit-Dateischutz        Datei        D:\RECYCLER\S-1-5-21-4174451169-4212436407-2930069656-1003\Dd499.part        Variante von Win32/InstallCore.AN evtl. unerwünschte Anwendung                CHRISTOPH\User        Ereignis beim Bearbeiten einer Datei durch die Anwendung: C:\WINDOWS\explorer.exe.

30.08.2012 15:58:26        Echtzeit-Dateischutz        Datei        D:\RECYCLER\S-1-5-21-4174451169-4212436407-2930069656-1003\Dd497.part        Variante von Win32/InstallCore.AN evtl. unerwünschte Anwendung                ***\User        Ereignis beim Bearbeiten einer Datei durch die Anwendung: C:\WINDOWS\explorer.exe.

30.08.2012 15:12:15        Echtzeit-Dateischutz        Datei        D:\Eigene Dateien\Downloads\DownloadAcceleratorSetup(1).exe.part        Variante von Win32/InstallCore.AN evtl. unerwünschte Anwendung                ***\User        Ereignis beim Bearbeiten einer Datei durch die Anwendung: D:\Programme\- Verbindungen\Mozilla\Firefox\firefox.exe.

30.08.2012 15:12:14        HTTP-Prüfung        Datei        hxxp://www.ultimatedownloadaccelerator.com/default/ga/sj?dl=1&ts=0&tschnl=DNA_2 - sj&adnm=14916098905&i=s&grid=A&lg=EN&cc=DE&clg=en&c=1&d=0&cid=_54929149&kw=free antivirus&mn=filepony.de&Network=D&expr=&agid=_5897518354        Variante von Win32/InstallCore.AN evtl. unerwünschte Anwendung        Verbindung getrennt - in Quarantäne kopiert                Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: D:\Programme\- Verbindungen\Mozilla\Firefox\firefox.exe.

30.08.2012 15:12:14        Echtzeit-Dateischutz        Datei        D:\Eigene Dateien\Downloads\DownloadAcceleratorSetup.exe.part        Variante von Win32/InstallCore.AN evtl. unerwünschte Anwendung                ***\User        Ereignis beim Erstellen einer neuen Datei durch die Anwendung: D:\Programme\- Verbindungen\Mozilla\Firefox\firefox.exe.

30.08.2012 15:12:11        Echtzeit-Dateischutz        Datei        C:\DOKUME~1\User\LOKALE~1\Temp\LHkYIvVc.exe.part        Variante von Win32/InstallCore.AN evtl. unerwünschte Anwendung                ***\User        Ereignis beim Bearbeiten einer Datei durch die Anwendung: D:\Programme\- Verbindungen\Mozilla\Firefox\firefox.exe.

30.08.2012 15:12:03        HTTP-Prüfung        Datei        hxxp://www.ultimatedownloadaccelerator.com/default/ga/sk?dl=1&ts=3&tschnl=DNA_2 - sk&adnm=14916098905&i=s&grid=A&lg=EN&cc=DE&clg=en&c=1&d=0&cid=_54929149&kw=free antivirus&mn=filepony.de&Network=D&expr=&agid=_5897518354        Variante von Win32/InstallCore.AN evtl. unerwünschte Anwendung                        Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: D:\Programme\- Verbindungen\Mozilla\Firefox\firefox.exe.

28.06.2012 08:33:28        HTTP-Prüfung        Datei        hxxp://funnys.mochamomsiv.com/main.php?page=6d663eef0063ec8c        JS/Kryptik.QF Trojaner        Verbindung getrennt - in Quarantäne kopiert        ***\User        Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: D:\Programme\- Verbindungen\Mozilla\Firefox\firefox.exe.

27.06.2012 09:01:43        HTTP-Prüfung        Datei        hxxp://frozen.lejournaldelabeauce.com/main.php?page=35c932663fbad56a        JS/Kryptik.QF Trojaner        Verbindung getrennt - in Quarantäne kopiert        ***\User        Bedrohung erkannt beim Zugriff auf das Web durch die Anwendung: D:\Programme\- Verbindungen\Mozilla\Firefox\firefox.exe.

Und hier mbam-log:

Code:

Malwarebytes Anti-Malware (Test) 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.08.31.04
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

User :: *** [Administrator]
 

Schutz: Deaktiviert
 

31.08.2012 10:44:09

mbam-log-2012-08-31 (10-44-09).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|I:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 590947

Laufzeit: 2 Stunde(n), 54 Minute(n), 46 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

I:\System Volume Information\_restore{393A2C58-15E9-4F21-80EF-E73FBAD11273}\RP355\A0221919.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Und mbam-protection-log:

Code:

2012/08/31 07:51:07 +0200        ***                MESSAGE        Starting protection

2012/08/31 07:51:23 +0200        ***                MESSAGE        Protection started successfully

2012/08/31 07:51:26 +0200        ***                MESSAGE        Starting IP protection

2012/08/31 07:52:25 +0200        ***        User        MESSAGE        IP Protection started successfully

2012/08/31 18:57:30 +0200        ***        User        MESSAGE        Starting protection

2012/08/31 18:57:35 +0200        ***        User        MESSAGE        Executing scheduled update:  Daily

2012/08/31 18:57:49 +0200        ***        User        MESSAGE        Protection started successfully

2012/08/31 18:57:52 +0200        ***        User        MESSAGE        Starting IP protection

2012/08/31 18:58:03 +0200        ***        User        MESSAGE        Scheduled update executed successfully:  database updated from version v2012.08.31.04 to version v2012.08.31.09

2012/08/31 18:58:09 +0200        ***        User        MESSAGE        IP Protection started successfully

2012/08/31 18:58:09 +0200        ***        User        MESSAGE        Starting database refresh

2012/08/31 18:58:09 +0200        ***        User        MESSAGE        Stopping IP protection

2012/08/31 18:58:09 +0200        ***        User        MESSAGE        IP Protection stopped

2012/08/31 18:58:18 +0200        ***        User        MESSAGE        Database refreshed successfully

2012/08/31 18:58:18 +0200        ***        User        MESSAGE        Starting IP protection

2012/08/31 18:58:33 +0200        ***        User        MESSAGE        IP Protection started successfully

An den weggepixelten Stellen (***) stand jeweils mein Name, der mit dem Benutzernamen und dem Computernamen idsentisch ist.
mbam ist von heute - hab irgendwo bei Euch gelesen, das es wichtig sein soll, das programm auf dem desktop zu platzieren. Bei dem Durchlauf gestern hatte ich das nicht bedacht. Die Log-Datei von gestern wäre aber auch noch da.

Ich hoffe mal, das entwickelt sich nicht noch zum Problem. Bisher scheint alles zu funktionieren. Von verschlüsselten Daten habe ich ebenfalls noch nichts bemerkt.

Lieben Gruß

Christoph
Ich hoffe mal so ist alles richtig

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Hier alle Log-Files aus dem Reiter "Logdateien":

1. mbam-log vom 30.08.2012

Code:

 User :: *** [Administrator]
 

Schutz: Deaktiviert
 

30.08.2012 18:31:21

mbam-log-2012-08-30 (18-31-21).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 425964

Laufzeit: 1 Stunde(n), 47 Minute(n), 37 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

D:\Programme\- Tools\Festplatten\HDD Thermometer\bugreport.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

2. mbam-log vom 31.08.2012 (wurde bereits gepostet

Code:

 Malwarebytes Anti-Malware (Test) 1.62.0.1300

www.malwarebytes.org
 

Datenbank Version: v2012.08.31.04
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

User :: *** [Administrator]
 

Schutz: Deaktiviert
 

31.08.2012 10:44:09

mbam-log-2012-08-31 (10-44-09).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|I:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 590947

Laufzeit: 2 Stunde(n), 54 Minute(n), 46 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

I:\System Volume Information\_restore{393A2C58-15E9-4F21-80EF-E73FBAD11273}\RP355\A0221919.exe (Trojan.Winlock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

3. protection-log vom 30.08.2012

Code:

 2012/08/30 15:11:47 +0200        ***        User        MESSAGE        Starting protection

2012/08/30 15:11:58 +0200        ***        User        MESSAGE        Protection started successfully

2012/08/30 15:12:01 +0200        ***        User        MESSAGE        Starting IP protection

2012/08/30 15:12:23 +0200        ***        User        MESSAGE        IP Protection started successfully

2012/08/30 15:12:36 +0200        ***        User        MESSAGE        Starting database refresh

2012/08/30 15:12:37 +0200        ***        User        MESSAGE        Stopping IP protection

2012/08/30 15:12:37 +0200        ***        User        MESSAGE        IP Protection stopped

2012/08/30 15:12:48 +0200        ***        User        MESSAGE        Database refreshed successfully

2012/08/30 15:12:48 +0200        ***        User        MESSAGE        Starting IP protection

2012/08/30 15:13:11 +0200        ***        User        MESSAGE        IP Protection started successfully

2012/08/30 15:14:20 +0200        ***        User        MESSAGE        Executing scheduled update:  Daily

2012/08/30 15:14:22 +0200        ***        User        MESSAGE        Database already up-to-date

2012/08/30 15:54:21 +0200        ***        User        MESSAGE        Stopping IP protection

2012/08/30 15:54:21 +0200        ***        User        MESSAGE        IP Protection stopped

2012/08/30 20:44:10 +0200        ***        User        MESSAGE        Starting protection

2012/08/30 20:44:29 +0200        ***        User        MESSAGE        Protection started successfully

2012/08/30 20:44:32 +0200        ***        User        MESSAGE        Starting IP protection

2012/08/30 20:44:38 +0200        ***        User        MESSAGE        IP Protection started successfully

4. protection-log vom 31.08.2012 (wurde bereits gepostet)

Code:

 2012/08/31 07:51:07 +0200        ***                MESSAGE        Starting protection

2012/08/31 07:51:23 +0200        ***                MESSAGE        Protection started successfully

2012/08/31 07:51:26 +0200        ***                MESSAGE        Starting IP protection

2012/08/31 07:52:25 +0200        ***        User        MESSAGE        IP Protection started successfully

2012/08/31 18:57:30 +0200        ***        User        MESSAGE        Starting protection

2012/08/31 18:57:35 +0200        ***        User        MESSAGE        Executing scheduled update:  Daily

2012/08/31 18:57:49 +0200        ***        User        MESSAGE        Protection started successfully

2012/08/31 18:57:52 +0200        ***        User        MESSAGE        Starting IP protection

2012/08/31 18:58:03 +0200        ***        User        MESSAGE        Scheduled update executed successfully:  database updated from version v2012.08.31.04 to version v2012.08.31.09

2012/08/31 18:58:09 +0200        ***        User        MESSAGE        IP Protection started successfully

2012/08/31 18:58:09 +0200        ***        User        MESSAGE        Starting database refresh

2012/08/31 18:58:09 +0200        ***        User        MESSAGE        Stopping IP protection

2012/08/31 18:58:09 +0200        ***        User        MESSAGE        IP Protection stopped

2012/08/31 18:58:18 +0200        ***        User        MESSAGE        Database refreshed successfully

2012/08/31 18:58:18 +0200        ***        User        MESSAGE        Starting IP protection

2012/08/31 18:58:33 +0200        ***        User        MESSAGE        IP Protection started successfully

5. protection-log vom 01.09.2012

Code:

 2012/09/01 08:17:34 +0200        ***        User        MESSAGE        Starting protection

2012/09/01 08:17:53 +0200        ***        User        MESSAGE        Protection started successfully

2012/09/01 08:17:56 +0200        ***        User        MESSAGE        Starting IP protection

2012/09/01 08:18:27 +0200        ***        User        MESSAGE        IP Protection started successfully

Mehr steht da nicht

Lieben Gruß

Christoph

Das ESET Log ist unvollständig, du hast von 13 Funden gesprochen aber in dem Log welches du gepostet hast zähle ich nur 9 Zeilen/Funde....

Richtig - und 2 von den 9 sind offenbar ja auch schon älteren datums.
Der im Augenblick laufende ESET-Standardsuchlauf (jeden Freitag um 12.00 Uhr) ist gerade zu 40 % abgeschlossen und es werden bereits wieder 12 Infektionen angezeigt. Nach Abschluß werde ich mal sehen was unter den Logdateien zu finden ist oder ob da noch andere Verzeichnisse existieren.
Möchte ESET nicht unterbrechen und melde mich wieder sobald das Programm fertig ist

Lieben Gruß

Christoph

Ach ja:
DANKE, schon mal !!!

Hallo Cosinus
ESET ist fertig und ich habe die Log-Files durchsucht.
Weil ich ansonsten aus über 1400 Zeilen erstmal Namen rausslöschen müsste habe ich es etwas sortiert und poste dir erstmal die farblich hervorgehobenen Meldungen/Warnungen.
Ich hoffe das ist in Ordnung so - falls nicht schicke ich Dir natürlich auch das komplette Log-File:

Code:

 Log

Version der Signaturdatenbank: 7435 (20120831)

Datum: 01.09.2012  Uhrzeit: 12:00:40

Geprüfte Laufwerke, Ordner und Dateien: Arbeitsspeicher;C:\Bootsektor;C:\;D:\Bootsektor;D:\;E:\Bootsektor;E:\
 

ROTE Zeilen:

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\2468016f-5cd14658 = ZIP = akvcbasvlpdmyn/bbpqkygwcttkvgmckkgbqcv.class - Java/Exploit.Agent.AH Trojaner

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\2468016f-5cd14658 = ZIP = akvcbasvlpdmyn/eypqsgyjtgknkvqwtanen.class - Java/Exploit.Agent.AH Trojaner

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\2468016f-5cd14658 = ZIP = akvcbasvlpdmyn/kdwvggkfruajt.class - Java/Exploit.Agent.AH Trojaner

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\2468016f-5cd14658 = ZIP = akvcbasvlpdmyn/lgrvjm.class - Java/Exploit.Agent.AH Trojaner

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\2468016f-5cd14658 = ZIP = akvcbasvlpdmyn/lvvlnjfsyvdulcavhtheujuuk.class - Java/Exploit.Agent.AH Trojaner

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\2468016f-5cd14658 = ZIP = akvcbasvlpdmyn/pkwmfdl.class - Java/Exploit.Agent.AH Trojaner

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\2468016f-5cd14658 = ZIP = akvcbasvlpdmyn/rghget.class - Java/Exploit.Agent.AH Trojaner

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\2468016f-5cd14658 = ZIP = akvcbasvlpdmyn/rwvkqquyqrhrws.class - Java/Exploit.Agent.AH Trojaner

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\2468016f-5cd14658 = ZIP = akvcbasvlpdmyn/twtyfp.class - Java/Exploit.Agent.AH Trojaner

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\2468016f-5cd14658 = ZIP = akvcbasvlpdmyn/vbwekluhyrtymyufjd.class - Java/Exploit.Agent.AH Trojaner

D:\Kopien\Downloads\Programme\- Medien\- Musik\Format-Konverter\Setup21_FreeConverter.exe = NSIS = Script.nsi - Win32/Toolbar.SearchSuite evtl. unerwünschte Anwendung
 
 

BRAUNE Zeilen:

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\LHkYIvVc.exe.part - Variante von Win32/InstallCore.AN evtl. unerwünschte Anwendung - Aktionsauswahl aufgeschoben bis zum Abschluss des Scans

D:\RECYCLER\S-1-5-21-4174451169-4212436407-2930069656-1003\Dd497.part - Variante von Win32/InstallCore.AN evtl. unerwünschte Anwendung - Aktionsauswahl aufgeschoben bis zum Abschluss des Scans

D:\RECYCLER\S-1-5-21-4174451169-4212436407-2930069656-1003\Dd499.part - Variante von Win32/InstallCore.AN evtl. unerwünschte Anwendung - Aktionsauswahl aufgeschoben bis zum Abschluss des Scans
 

HELLBLAUE Zeilen:

C:\pagefile.sys - Fehler beim Öffnen  [4]

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ds50yqgc.default\Cache\D\2A\523C6d01 = CWS = file.swf - Archiv beschädigt - Datei kann nicht extrahiert werden

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ds50yqgc.default\Cache\F\4E\C2F0Dd01 = CWS = file.swf - Archiv beschädigt - Datei kann nicht extrahiert werden

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\jre-6u33-windows-i586-iftw.exe = CAB = jusched - Archiv beschädigt - Datei kann nicht extrahiert werden

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\jre-6u33-windows-i586-iftw.exe = CAB = task.xml - Archiv beschädigt - Datei kann nicht extrahiert werden

C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\jre-6u33-windows-i586-iftw.exe = CAB = task64.xml - Archiv beschädigt - Datei kann nicht extrahiert werden

C:\Programme\7-Zip\Uninstall.exe = NSIS - Archiv beschädigt

D:\Kopien\Alte Kopien\Downloads\Programme\- Medien\- Video\DivX\DivXInstaller812.exe = NSIS = Installer.exe = NSIS = 000 = PECompact v2.xx - Fehler beim Entpacken

D:\Kopien\Discs\- ***\celeco Übungs-Set\SetupUebungsSet.exe = ADVANCEDINSTALLER - Archiv beschädigt

D:\Kopien\Discs\- ***\GUT\Setup GUT 1.exe = WISE =  - Archiv beschädigt

D:\Kopien\Discs\Microsoft Office 97 pro\CDZUGABE\WORDVIEW\WD95VW71.EXE = CAB = viewer71.1 = CAB = wordview.exe - Teildatei des gesplitteten Archivs nicht gefunden

D:\Kopien\Discs\Microsoft Office 97 pro\CDZUGABE\WORDVIEW\WD95VW71.EXE = CAB = viewer71.2 = CAB = wordview.exe - Archiv beschädigt - Datei kann nicht extrahiert werden

D:\Kopien\Discs\WinXP\I386\WINSYS.CAB = CAB = mwcicore.dll - Archiv beschädigt - Datei kann nicht extrahiert werden

D:\Kopien\Discs\WinXP\I386\LANG\IMJPUTY.EX_ = CAB = imjputy.exe - Archiv beschädigt - Datei kann nicht extrahiert werden

D:\Kopien\Downloads\Programme\- Computer-Tools\Copy\CloneCD\Setup - Download\SetupCloneCD5314.exe = NSIS - Archiv beschädigt

D:\Kopien\Downloads\Programme\- Medien\- Video\Total Video\Total Video Converter\tvcnew.exe = INNO = {app}\StarBurn_SuperVideoCD.iso = ISO = AVSEQ01.MPG - Archiv beschädigt

D:\Kopien\Downloads\Programme\- Medien\- Video\Total Video\Total Video Converter\tvcnew.exe = INNO = {app}\StarBurn_VideoCD.iso = ISO = AVSEQ01.DAT - Archiv beschädigt

D:\Kopien\Downloads\Programme\Microsoft\Microsoft Office Home and Student 2010 (3 PC)\X17-75062.exe = CAB = officesuitewwsp1-x-none.msp - Entpacken nicht möglich (mögliche Gründe: nicht genug Arbeitsspeicher oder nicht genug Festplattenspeicherplatz oder Problem mit temporären Ordnern)

D:\Kopien\Downloads\Programme\Microsoft\Microsoft Office Home and Student 2010 (3 PC)\X17-75168.exe = CAB = officesuitewwsp1-x-none.msp - Entpacken nicht möglich (mögliche Gründe: nicht genug Arbeitsspeicher oder nicht genug Festplattenspeicherplatz oder Problem mit temporären Ordnern)

D:\Kopien\Downloads\Programme\Phase6\Setup - Download\phase-6-premium-2.1-demo-windows-installer-dl.exe = NSIS = phase-6.exe = ZIP =  - Archiv beschädigt

D:\Kopien\Downloads\Programme\Phase6\Setup - Download\phase-6-premium-2.1.1.4c-windows-installer-dl.exe = NSIS = phase-6.exe = ZIP =  - Archiv beschädigt

D:\Programme\- ***\Lernen\Phase6\Setup - Download\phase-6-premium-2.1-demo-windows-installer-dl.exe = NSIS = phase-6.exe = ZIP =  - Archiv beschädigt

D:\Programme\- ***\Lernen\Phase6\Setup - Download\phase-6-premium-2.1.1.4c-windows-installer-dl.exe = NSIS = phase-6.exe = ZIP =  - Archiv beschädigt

D:\Programme\Falk\Navi-Manager\FalkData\{4D11BFBE-ADB8-4053-B2F4-A53ABC758141}.zip = ZIP = ANYWHERE/MapRegions/GermanyEast_TrafficPattern.psf - Fehler - Datei ist passwortgeschützt

D:\Programme\Falk\Navi-Manager\FalkData\{4D11BFBE-ADB8-4053-B2F4-A53ABC758141}.zip = ZIP = ANYWHERE/MapRegions/GermanyNorth_TrafficPattern.psf - Fehler - Datei ist passwortgeschützt

D:\Programme\Falk\Navi-Manager\FalkData\{4D11BFBE-ADB8-4053-B2F4-A53ABC758141}.zip = ZIP = ANYWHERE/MapRegions/GermanySouth_TrafficPattern.psf - Fehler - Datei ist passwortgeschützt

D:\Programme\Falk\Navi-Manager\FalkData\{4D11BFBE-ADB8-4053-B2F4-A53ABC758141}.zip = ZIP = ANYWHERE/MapRegions/GermanyWest_TrafficPattern.psf - Fehler - Datei ist passwortgeschützt

D:\Programme\Microsoft Office 2010\Setup - Download\X17-75062.exe = CAB = officesuitewwsp1-x-none.msp - Entpacken nicht möglich (mögliche Gründe: nicht genug Arbeitsspeicher oder nicht genug Festplattenspeicherplatz oder Problem mit temporären Ordnern)

D:\Programme\Microsoft Office 2010\Setup - Download\X17-75168.exe = CAB = officesuitewwsp1-x-none.msp - Entpacken nicht möglich (mögliche Gründe: nicht genug Arbeitsspeicher oder nicht genug Festplattenspeicherplatz oder Problem mit temporären Ordnern)

D:\RECYCLER\S-1-5-21-4174451169-4212436407-2930069656-1003\Dd491.exe = CAB = jusched - Archiv beschädigt - Datei kann nicht extrahiert werden

D:\RECYCLER\S-1-5-21-4174451169-4212436407-2930069656-1003\Dd491.exe = CAB = task.xml - Archiv beschädigt - Datei kann nicht extrahiert werden

D:\RECYCLER\S-1-5-21-4174451169-4212436407-2930069656-1003\Dd491.exe = CAB = task64.xml - Archiv beschädigt - Datei kann nicht extrahiert werden
 

und dann noch 1381 DUNKELBLAUE Zeilen wie die nachfolgende:

C:\Dokumente und Einstellungen\All Users\Dokumente\- Familie\***\eMail\CAEK 2011 - Bestätigung Ihrer Anmeldung.eml = MIME - - OK (eingebettete Archive NICHT geprüft)

die allesamt  ".eml" -Dateien betreffen und mit  "= MIME - - OK (eingebettete Archive NICHT geprüft)"  enden.
 

Geprüfte Objekte: 1045024

Erkannte Bedrohungen: 14

Anzahl gesäuberter Objekte: 0

Abgeschlossen: 16:02:37  Benötigte Zeit: 14517 Sek. (04:01:57)
 

Hinweise:

[4] Objekt kann nicht geöffnet werden. Möglicherweise in Benutzung durch eine andere Anwendung oder das Betriebssystem.

Lieben Gruß

Christoph

Hallo cosinus

wie geht`s denn jetzt weiter ???

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Suche.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Hier die Log-Datei von AdwareCleaner

Code:

 # AdwCleaner v2.001 - Datei am 09/10/2012 um 09:57:30 erstellt

# Aktualisiert am 09/09/2012 von Xplode

# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)

# Benutzer : User - CHRISTOPH

# Bootmodus : Normal

# Ausgeführt unter : C:\Dokumente und Einstellungen\User\Desktop\adwcleaner.exe

# Option [Suche]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Datei Gefunden : C:\DOKUME~1\User\LOKALE~1\Temp\searchqutoolbar-manifest.xml

Ordner Gefunden : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess

Ordner Gefunden : C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\Searchqutoolbar

Ordner Gefunden : C:\Dokumente und Einstellungen\User\Anwendungsdaten\searchquband

Ordner Gefunden : C:\Programme\Conduit

Ordner Gefunden : C:\WINDOWS\assembly\GAC_MSIL\QuickStoresToolbar
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\Conduit

Schlüssel Gefunden : HKCU\Software\Conduit

Schlüssel Gefunden : HKCU\Software\ConduitSearchScopes

Schlüssel Gefunden : HKCU\Software\DataMngr

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}

Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{9D717F81-9148-4F12-8568-69135F087DB0}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard.1

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Toolbar.CT2319825

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{5B4144E1-B61D-495A-9A50-CD1A95D86D15}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{6A4BCABA-C437-4C76-A54E-AF31B8A76CB9}

Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{841D5A49-E48D-413C-9C28-EB3D9081D705}

Schlüssel Gefunden : HKLM\Software\Conduit

Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}

Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4F12-8568-69135F087DB0}

Wert Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]

Wert Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{99079A25-328F-4BD4-BE04-00955ACAA0A7}]
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v8.0.6001.18702
 

[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825
 

*************************
 

AdwCleaner[R1].txt - [2993 octets] - [10/09/2012 09:57:30]
 

########## EOF - C:\AdwCleaner[R1].txt - [3053 octets] ##########

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Löschen.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Sorry, hat etwas gedauert.
Hier das Log von AdwareCleaner nach dem löschen:

Code:

 # AdwCleaner v2.001 - Datei am 09/12/2012 um 14:46:41 erstellt

# Aktualisiert am 09/09/2012 von Xplode

# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)

# Benutzer : User - CHRISTOPH

# Bootmodus : Normal

# Ausgeführt unter : C:\Dokumente und Einstellungen\User\Desktop\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Datei Gelöscht : C:\DOKUME~1\User\LOKALE~1\Temp\searchqutoolbar-manifest.xml

Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess

Ordner Gelöscht : C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\Searchqutoolbar

Ordner Gelöscht : C:\Dokumente und Einstellungen\User\Anwendungsdaten\searchquband

Ordner Gelöscht : C:\Programme\Conduit

Ordner Gelöscht : C:\WINDOWS\assembly\GAC_MSIL\QuickStoresToolbar
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Conduit

Schlüssel Gelöscht : HKCU\Software\Conduit

Schlüssel Gelöscht : HKCU\Software\ConduitSearchScopes

Schlüssel Gelöscht : HKCU\Software\DataMngr

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{9D717F81-9148-4F12-8568-69135F087DB0}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard.1

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2319825

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{5B4144E1-B61D-495A-9A50-CD1A95D86D15}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{6A4BCABA-C437-4C76-A54E-AF31B8A76CB9}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{841D5A49-E48D-413C-9C28-EB3D9081D705}

Schlüssel Gelöscht : HKLM\Software\Conduit

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4F12-8568-69135F087DB0}

Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]

Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{99079A25-328F-4BD4-BE04-00955ACAA0A7}]
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v8.0.6001.18702
 

Wiederhergestellt : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

Wiederhergestellt : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

Wiederhergestellt : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

Wiederhergestellt : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825 --> hxxp://www.google.com
 

*************************
 

AdwCleaner[R1].txt - [3122 octets] - [10/09/2012 09:57:30]

AdwCleaner[S1].txt - [3487 octets] - [12/09/2012 14:46:41]
 

########## EOF - C:\AdwCleaner[S1].txt - [3547 octets] ##########

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

zu 1) nein -
Windows scheint ganz normal zu funktionieren - ohne jede Einschränkung.

zu 2) nein -
Keinerlei leere Ordner oder fehlende Programme, alles vorhanden

Entschuldige:
zu 1) heißt es natürlich. Ja - geht wieder uneingeschränkt !

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Setze oben mittig den Haken bei Scanne alle Benutzer
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread