Windows aus Sicherheitsgründen blockiert...

Sumi_1 · 23.01.2012, 23:39

Hallo!

Auch mich hat es erwischt:
Sobald ich den PC starte und eine Internetverbindung vorhanden ist, wird der Bildschirm schwarz mit dem Hinweis, dass Windows aus Sicherheitsgründen blockiert ist und es ist ein Button mit "Bezahlen und Herunterladen" zu sehen.
Ich habe zunächst versucht das System auf einen früheren Stand zurückzusetzen. Obwohl aus meiner Sicht AntiVir deaktiviert war, kam beim erneuten Starten von Windows eine Fehlermeldung, dass die Zurücksetzung nicht erfolgreich gewesen sei, und dass dafür vermutlich ein aktiviertes Antivirenprogramm das mögliche Problem sein könnte.

Ich habe einen kompletten Systemscan mit AntiVir durchgeführt, es wurden auch einige "verdächtige" oder "infizierte" Dateien gefunden und in "Quarantäne" verschoben.

Nach einem erneuten Versuch bestand und besteht das Problem mit der Sicherheitsblockierung aber leider noch immer. Im abgesicherten Windows konnte ich OTL herunterladen.

Die beiden OTL-Logfiles sind angehängt.
Vielen Dank vorab für die Problembehandlung!!!

markusg · 24.01.2012, 12:00

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

ATTFilter

:OTL
O4 - HKCU..\Run: [{A4624831-6065-11DF-8EBF-806E6F6E6963}] C:\Users\sumi\AppData\Roaming\Microsoft\dllhsts.exe (TrueCrypt Foundation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
 :Files
C:\Users\sumi\AppData\Roaming\Microsoft\dllhsts.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Drücke bitte die

+ E Taste.

Öffne dein Systemlaufwerk ( meistens C: )
Suche nun
folgenden Ordner: _OTL und öffne diesen.
Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
Dies wird eine Movedfiles.zip Datei in _OTL erstellen
Lade diese bitte in unseren Uploadchannel
hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

öffne avira, berichte, poste den scan bericht mit den funden

Sumi_1 · 25.01.2012, 00:29

Okay, danke ausgeführt:

Code:

ATTFilter

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{A4624831-6065-11DF-8EBF-806E6F6E6963} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A4624831-6065-11DF-8EBF-806E6F6E6963}\ not found.
C:\Users\sumi\AppData\Roaming\Microsoft\dllhsts.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Default
->Flash cache emptied: 41620 bytes
 
User: Default User
->Flash cache emptied: 0 bytes
 
User: Public
 
User: sumi
->Flash cache emptied: 42104 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: sumi
->Temp folder emptied: 512888858 bytes
->Temporary Internet Files folder emptied: 54152822 bytes
->Java cache emptied: 1676516 bytes
->FireFox cache emptied: 104321560 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 633151981 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes
RecycleBin emptied: 147434356 bytes
 
Total Files Cleaned = 1.386,00 mb
 
 
OTL by OldTimer - Version 3.2.31.0 log created on 01242012_235752

Files\Folders moved on Reboot...
C:\Users\sumi\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Upload des Movedfiles.zip hat problemlos funktioniert.

Und hier das Log-File von AntiVir vom 22.01. (ließ sich nicht anhängen...):

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 22. Januar 2012  15:21

Es wird nach 3084591 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 x64
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : SUMI-TOSH

Versionsinformationen:
BUILD.DAT      : 10.2.0.704     35934 Bytes  28.09.2011 13:14:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  10.07.2011 08:10:12
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  10.07.2011 08:10:12
LUKE.DLL       : 10.3.0.5       45416 Bytes  10.07.2011 08:10:14
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  10.07.2011 08:10:14
AVREG.DLL      : 10.3.0.9       88833 Bytes  19.07.2011 05:38:26
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 08:57:02
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 07:22:31
VBASE003.VDF   : 7.11.19.171     2048 Bytes  20.12.2011 07:24:52
VBASE004.VDF   : 7.11.19.172     2048 Bytes  20.12.2011 07:24:52
VBASE005.VDF   : 7.11.19.173     2048 Bytes  20.12.2011 07:24:52
VBASE006.VDF   : 7.11.19.174     2048 Bytes  20.12.2011 07:24:52
VBASE007.VDF   : 7.11.19.175     2048 Bytes  20.12.2011 07:24:52
VBASE008.VDF   : 7.11.19.176     2048 Bytes  20.12.2011 07:24:52
VBASE009.VDF   : 7.11.19.177     2048 Bytes  20.12.2011 07:24:52
VBASE010.VDF   : 7.11.19.178     2048 Bytes  20.12.2011 07:24:52
VBASE011.VDF   : 7.11.19.179     2048 Bytes  20.12.2011 07:24:52
VBASE012.VDF   : 7.11.19.180     2048 Bytes  20.12.2011 07:24:52
VBASE013.VDF   : 7.11.19.217   182784 Bytes  22.12.2011 07:33:58
VBASE014.VDF   : 7.11.19.255   148480 Bytes  24.12.2011 06:37:28
VBASE015.VDF   : 7.11.20.29    164352 Bytes  27.12.2011 06:37:28
VBASE016.VDF   : 7.11.20.70    180224 Bytes  29.12.2011 08:01:47
VBASE017.VDF   : 7.11.20.102   240640 Bytes  02.01.2012 11:04:48
VBASE018.VDF   : 7.11.20.139   164864 Bytes  04.01.2012 11:04:48
VBASE019.VDF   : 7.11.20.178   167424 Bytes  06.01.2012 11:04:48
VBASE020.VDF   : 7.11.20.207   230400 Bytes  10.01.2012 11:04:48
VBASE021.VDF   : 7.11.20.236   150528 Bytes  11.01.2012 11:04:48
VBASE022.VDF   : 7.11.21.13    135168 Bytes  13.01.2012 11:04:49
VBASE023.VDF   : 7.11.21.40    163840 Bytes  16.01.2012 07:09:10
VBASE024.VDF   : 7.11.21.41      2048 Bytes  16.01.2012 07:09:10
VBASE025.VDF   : 7.11.21.42      2048 Bytes  16.01.2012 07:09:10
VBASE026.VDF   : 7.11.21.43      2048 Bytes  16.01.2012 07:09:10
VBASE027.VDF   : 7.11.21.44      2048 Bytes  16.01.2012 07:09:10
VBASE028.VDF   : 7.11.21.45      2048 Bytes  16.01.2012 07:09:10
VBASE029.VDF   : 7.11.21.46      2048 Bytes  16.01.2012 07:09:11
VBASE030.VDF   : 7.11.21.47      2048 Bytes  16.01.2012 07:09:11
VBASE031.VDF   : 7.11.21.57     55808 Bytes  17.01.2012 07:09:11
Engineversion  : 8.2.8.26  
AEVDF.DLL      : 8.1.2.2       106868 Bytes  25.10.2011 21:28:05
AESCRIPT.DLL   : 8.1.3.97      426363 Bytes  15.01.2012 11:04:51
AESCN.DLL      : 8.1.7.2       127349 Bytes  25.11.2010 07:10:15
AESBX.DLL      : 8.2.4.5       434549 Bytes  02.12.2011 07:06:10
AERDL.DLL      : 8.1.9.15      639348 Bytes  09.09.2011 08:16:17
AEPACK.DLL     : 8.2.15.1      770423 Bytes  14.12.2011 07:04:46
AEOFFICE.DLL   : 8.1.2.25      201084 Bytes  30.12.2011 08:01:52
AEHEUR.DLL     : 8.1.3.18     4297079 Bytes  15.01.2012 11:04:50
AEHELP.DLL     : 8.1.18.0      254327 Bytes  25.10.2011 21:28:03
AEGEN.DLL      : 8.1.5.17      405877 Bytes  11.12.2011 11:07:38
AEEMU.DLL      : 8.1.3.0       393589 Bytes  25.11.2010 07:10:13
AECORE.DLL     : 8.1.24.3      201079 Bytes  29.12.2011 07:10:36
AEBB.DLL       : 8.1.1.0        53618 Bytes  10.07.2010 08:23:26
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.3.2       44904 Bytes  10.07.2011 08:10:12
AVREP.DLL      : 10.0.0.10     174120 Bytes  20.05.2011 05:39:40
AVARKT.DLL     : 10.0.26.1     255336 Bytes  10.07.2011 08:10:12
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  10.07.2011 08:10:12
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  10.07.2011 08:10:12
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  10.07.2011 08:10:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Sonntag, 22. Januar 2012  15:21

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\McAfee\symboliclinkvalue
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\0009\Linkage\upperbind
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\bind
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\route
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Network\{4d36e975-e325-11ce-bfc1-08002be10318}\{2B07FAA1-8217-4E30-B5EC-FD4501E773BB}\Linkage\export
  [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'UNS.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSvcs.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'mscorsvw.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSwMgr.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'NDSTray.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBAgent.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'TWebCamera.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhsts.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'SEPCSuite.exe' - '129' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '133' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'SupServ.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '187' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <WINDOWS>
C:\Users\sumi\AppData\Local\Temp\jar_cache1854436369341775188.tmp
  [FUND]      Ist das Trojanische Pferd TR/PSW.Papras.bdr
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\3cc664c-6c45db8e-temp
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452.Q
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\5c5a2890-20d354d0
  [0] Archivtyp: ZIP
  --> GMail.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2011-3544.F
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\3503c442-17817055
  [0] Archivtyp: ZIP
  --> kitsun/boromir.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BJ.2
  --> kitsun/huno.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BC.6
  --> kitsun/trapper.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.BP
  --> sedze/kigun.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.JY
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\5a181b43-3f864b1d
  [0] Archivtyp: ZIP
  --> FactoryService/Builder.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.EX
  --> FactoryService/Container.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.EW
  --> FactoryService/DefClass.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.F
  --> MessageStack/String2Pkg.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.EV.1
  --> MessageStack/TemplateMessage.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.EU.1
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36\349160a4-2d0e76ea
  [0] Archivtyp: ZIP
  --> check/circle.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.O
  --> check/overhead.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.E
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\43b8adf4-2ec7aaa8
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GF
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\43b8adf4-6506f492
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GF
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\43b8adf4-66ffaf8a
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GF
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\43b8adf4-71f18327
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GF
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\43b8adf4-766df482
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GF
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\43b8adf4-7ea125db
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GF
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\620ba3f7-1a8ec548
  [0] Archivtyp: ZIP
  --> support/ForMail.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.H
  --> support/SendMail.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.EO
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7\603968c7-157301d1
  [0] Archivtyp: ZIP
  --> buildService/BuildClass.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.AL
  --> buildService/VirtualTable.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.AN
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7\603968c7-47820d15
  [0] Archivtyp: ZIP
  --> buildService/BuildClass.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.AL
  --> buildService/VirtualTable.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.AN
Beginne mit der Suche in 'D:\' <Data>

Beginne mit der Desinfektion:
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7\603968c7-47820d15
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.AN
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a5c88ec.qua' verschoben!
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7\603968c7-157301d1
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.AN
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '52cba74b.qua' verschoben!
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\620ba3f7-1a8ec548
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.EO
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0097fda5.qua' verschoben!
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\43b8adf4-7ea125db
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GF
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6692b264.qua' verschoben!
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\43b8adf4-766df482
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GF
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '23169f5a.qua' verschoben!
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\43b8adf4-71f18327
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GF
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5c0dad3b.qua' verschoben!
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\43b8adf4-66ffaf8a
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GF
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '10b58171.qua' verschoben!
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\43b8adf4-6506f492
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GF
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6cadc121.qua' verschoben!
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\43b8adf4-2ec7aaa8
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GF
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '41f7ee6c.qua' verschoben!
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36\349160a4-2d0e76ea
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.E
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '58b4d5f7.qua' verschoben!
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\5a181b43-3f864b1d
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.EU.1
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '34f0f9f4.qua' verschoben!
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\3503c442-17817055
  [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Agent.JY
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4548c05d.qua' verschoben!
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\5c5a2890-20d354d0
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/2011-3544.F
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b4ff0a4.qua' verschoben!
C:\Users\sumi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\3cc664c-6c45db8e-temp
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452.Q
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0e4889e6.qua' verschoben!
C:\Users\sumi\AppData\Local\Temp\jar_cache1854436369341775188.tmp
  [FUND]      Ist das Trojanische Pferd TR/PSW.Papras.bdr
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '07b28d4f.qua' verschoben!


Ende des Suchlaufs: Sonntag, 22. Januar 2012  16:27
Benötigte Zeit:  1:02:53 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  32904 Verzeichnisse wurden überprüft
 679455 Dateien wurden geprüft
     26 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     15 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 679429 Dateien ohne Befall
  10567 Archive wurden durchsucht
      0 Warnungen
     20 Hinweise
 440345 Objekte wurden beim Rootkitscan durchsucht
      5 Versteckte Objekte wurden gefunden

Hoffe, ich habe alles richtig gemacht und danke fürs helfen!

markusg · 25.01.2012, 16:05

ja, passt alles :-)

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Sumi_1 · 26.01.2012, 00:11

Combofix ließ sich problemlos ausführen. :-)
Anbei findest Du die Logdatei.

markusg · 26.01.2012, 11:49

malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Sumi_1 · 28.01.2012, 22:55

Ich habe den Scan mit Malwarebytes durchgeführt und es konnte nichts gefunden werden... :-)

Code:

ATTFilter

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.28.03

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
sumi :: SUMI-TOSH [Administrator]

28.01.2012 21:25:12
mbam-log-2012-01-28 (21-25-12).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 363167
Laufzeit: 56 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

markusg · 30.01.2012, 12:50

lade den CCleaner standard:
CCleaner Download - CCleaner 3.15.1643
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Sumi_1 · 03.02.2012, 21:56

Okay, habe meine Anmerkungen gemacht, wobei ich bei vielen Programmen gar nicht weiß, wofür sie sind. Da es sich um einen Toshiba-PC handelt, bin ich mal davon ausgegeangen, dass es sich bei Toshiba-Programmen um benötigte Programme handelt (als Beispiel). Sicher bin ich mir jedoch nicht...;-)

markusg · 04.02.2012, 12:19

deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstaliere:
Amazon.
Bing
eBay
Facebook Plug
Java
Download der kostenlosen Java-Software
downloade java jre, instalieren.

deinstaliere:

Mozilla Firefox :
1. ist deine version komplett veraltet.
2. solltest du auf den chrome umsteigen, er ist sicherer und schneller.
ich würde daher vorschlagen:
- chrome update,
Google Chrome - der schnelle, neue Browser. Für PC, Mac und Linux
lesezeichen importieren:
Importieren und Exportieren von Lesezeichen - Google Chrome-Hilfe
und wenn dir der chrome zusagt firefox runter.
konfigurationshinweise zum chrome gebe ich dir ebenfalls.thunderbird update:
Thunderbird Mail DE

deinstaliere:
Photo Service
Skype Toolbars
Kostenlose Internetanrufe mit Skype. Telefone online billig anrufen
lade skype 5 und instaliere es.

deinstaliere:
WildTangent
Windows Live : falls keine dienste verwendet werden von dir, alle weg.

öffne otl, bereinigen, neustarten, remover werden gelöscht.
öffne ccleaner, analysieren, bereinigen, neustarten, testen ob pc und programme nach wunsch laufen

Windows aus Sicherheitsgründen blockiert...

Log-Analyse und Auswertung: Windows aus Sicherheitsgründen blockiert...