Trojaner BDS/ZeroAccess.Gen in Datei C:\Recycle.Bin\... von Avira Antivir erkannt und kommt immer wieder
 

Hallo liebes Forum. Ich hoffe ihr könnt mir dabei helfen diesen bösen Trojaner zu entfernen. Normalerweise würde ich jetzt ein neues Windows aufsetzen, aber ich arbeite an einem Laptop, auf dem das Windows vorinstalliert war und habe 1) keine Ahnung wie ich das Windows neu aufspiele und 2) habe ich zwei Spiele drauf, die mit vielen GB Downloads dort stehen und mit meiner langsamen Internetleitung möchte ich einen neuen Download der clients vermeiden wenn irgend möglich. Ich habe bereits ein bischen gestöbert und mit der Anleitung zum allgemeinen Vorgehen Logfiles erstellt.

Leider habe ich es nicht geschafft, A) die simulierten Laufwerke auszuschalten, weswegen defogger offenbar nicht ging (Logfile ist angehängt) und B) Avira Antivir konnte ich vor dem GMER Scan nicht ausschalten. Es gab aber keine Fehlermeldungen.

Nach den Scans musste ich noch 7-Zip von Chip.de herunterladen und installieren, damit ich euch die Logfiles hochladen kann - Sonst habe ich nichts geändert.

Also ich habe mal die Logfiles hochgeladen und hoffe ihr könnt mir helfen. Bitte erklärt mir alles sehr genau, da ich mich nicht besonders tief auskenne. Danke schonmal für eure Hilfe!!!

Hallo Thor052013 und :hallo:

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eins vorneweg: Ich kann dir keine Garantien geben, dass ich alles finden werde. Bei schwerwiegenden Infektionen ist ein Formatieren und Neuinstallieren meist der schnellere und immer der sicherere Weg.
Wenn du dich für eine Bereinigung entscheidest, dann sollten wir gründlich vorgehen. Bleib also dran, bis ich dir eindeutig mitteile, dass wir fertig sind.
Auch wenn die auffälligen Symptome schon früh verschwinden, bedeutet das nicht, dass dein Rechner dann schon sauber und sicher ist.


Los geht's:

Schauen wir mal..


Schritt 1

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 2

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers



Bitte poste in deiner nächsten Antwort:

• Log von Combofix
• Log von MBAR

Hallo Leo,
vielen Dank!!! Das ging aber schnell. Kannst Du mir bitte noch sagen, wie ich Avira Antivir deaktiviere? Ich habe versucht das Programm zu öffnen und auf "Beenden" zu klicken, aber es bleibt im Hintergrund aktiv. Mit Strg+Alt+Entf und Task-Manager bekomme ich eine Fehlermeldung. Wie kriege ich Antivir aus?

Edit: Ich würde es auch deinstallieren, wenn das im aktuellen Prozess i.O. wäre. Ich würde nämlich gerne wegen einer Empfehlung bei euch im Forum auf Avast Antivir umsteigen und habe sowieso mein System mit 2 Virenscannern "vermurkst".

Unten rechts in der Taskleiste hat es ein Avira Symbol (rot mit weissem Schirm). Rechtsklick drauf und den Haken bei "Echtzeit Scanner aktivieren" entfernen, so dass der Schirm im Symbol danach geschlossen ist.
(Wieder aktivieren danach geht natürlich genau gleich.)

Wieder danke für die schnelle Antwort. Ich habe das schon versucht und bekomme die folgende Fehlermeldung:
"Auf das angegebene Gerät, bzw. den Pfad oder die Datei kann nicht zugegriffen werden. Sie verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können."

Sorry dass ich das nciht hinkriege ehrlichg esagt komme ich mir gerade dumm vor. Habt ihr einen Vorschlag was ich nun machen kann? Soll ich Antivir eiinfach deinstallieren?

Kannst du es als Administrator deaktivieren?

Hallo Leo,
ich probiere es mal ob ich das Programm irgendwie deaktivieren kann...könnte einen Moment dauern. Sollte es nicht klappen, habe ich von Dir das OK, den Avira runterzuwerfen? Ich habe als zweites Antivirenprogramm noch Ad-Aware installiert und wollte sowieso eins von beiden runterwerfen. Oder muss ich dann die ganzen Scans neu machen die ich im Eingangspost gemacht hatte?

Ja, sonst wirf Avira runter. (Zwei Antivirenprogramme sollten sowieso nicht parallel laufen. ;) )
Und nein, die ersten Scans musst du nicht wiederholen.

So...habe Avira runtergeworfen und alle Scans gemacht. Hat ohne Probleme geklappt. Nur hat das zweite Programm nichts gefunden - ist das schlimm?


Hier die Logfiles:

COMBIFIX:::::::

ComboFix 13-05-30.01 - Thorsten 30.05.2013 0:12.1.4 - x64
Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.3764.2091 [GMT 2:00]
ausgeführt von:: c:\users\Thorsten\Desktop\05_---_ComboFix.exe
AV: Lavasoft Ad-Aware *Disabled/Updated* {445B48C3-0FA4-6B16-8F07-6506F305D800}
FW: Lavasoft Ad-Aware *Disabled* {7C60C9E6-45CB-6A4E-A458-CC330DD69F7B}
SP: Lavasoft Ad-Aware *Disabled/Updated* {FF3AA927-299E-6498-B5B7-5E74888292BD}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\FullRemove.exe
c:\users\Thorsten\AppData\Roaming\Microsoft\~DFKa3d867.tmp
c:\users\Thorsten\AppData\Roaming\Microsoft\bass.dll
c:\users\Thorsten\AppData\Roaming\Microsoft\engine_vx.dll
c:\users\Thorsten\AppData\Roaming\Microsoft\qwadjb.dll
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
c:\windows\SysWow64\URTTemp
c:\windows\SysWow64\URTTemp\regtlib.exe
c:\windows\wininit.ini
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-04-28 bis 2013-05-29 ))))))))))))))))))))))))))))))
.
.
2013-05-29 22:16 . 2013-05-29 22:16 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-05-29 20:12 . 2013-05-29 20:12 -------- d-----w- c:\program files\7-Zip
2013-05-29 11:27 . 2013-05-29 12:11 -------- d-----w- c:\program files (x86)\Mozilla Thunderbird
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-05-15 20:52 . 2012-04-15 18:13 71048 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-05-15 20:52 . 2012-04-15 18:13 692104 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2013-05-15 07:49 . 2012-04-15 17:18 75016696 ----a-w- c:\windows\system32\MRT.exe
2013-04-12 14:36 . 2013-04-24 04:09 1653096 ----a-w- c:\windows\system32\drivers\ntfs.sys
2013-03-19 06:19 . 2013-04-10 18:40 5497688 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-03-19 05:54 . 2013-04-10 18:40 43520 ----a-w- c:\windows\system32\csrsrv.dll
2013-03-19 05:06 . 2013-04-10 18:40 3958120 ----a-w- c:\windows\SysWow64\ntkrnlpa.exe
2013-03-19 05:06 . 2013-04-10 18:40 3902312 ----a-w- c:\windows\SysWow64\ntoskrnl.exe
2013-03-19 04:53 . 2013-04-10 18:40 6656 ----a-w- c:\windows\SysWow64\apisetschema.dll
2013-03-19 03:19 . 2013-04-10 18:40 112640 ----a-w- c:\windows\system32\smss.exe
2013-03-02 05:49 . 2013-04-10 18:40 1198080 ----a-w- c:\windows\system32\wininet.dll
2013-03-02 05:49 . 2013-04-10 18:40 1499648 ----a-w- c:\windows\system32\urlmon.dll
2013-03-02 05:49 . 2013-04-10 18:40 134144 ----a-w- c:\windows\system32\url.dll
2013-03-02 05:44 . 2013-04-10 18:40 1026560 ----a-w- c:\windows\system32\mstime.dll
2013-03-02 05:43 . 2013-04-10 18:41 9377280 ----a-w- c:\windows\system32\mshtml.dll
2013-03-02 05:43 . 2013-04-10 18:40 97792 ----a-w- c:\windows\system32\mshtmled.dll
2013-03-02 05:43 . 2013-04-10 18:40 735744 ----a-w- c:\windows\system32\msfeeds.dll
2013-03-02 05:43 . 2013-04-10 18:40 82944 ----a-w- c:\windows\system32\msfeedsbs.dll
2013-03-02 05:43 . 2013-04-10 18:40 57856 ----a-w- c:\windows\system32\licmgr10.dll
2013-03-02 05:43 . 2013-04-10 18:40 64512 ----a-w- c:\windows\system32\jsproxy.dll
2013-03-02 05:42 . 2013-04-10 18:40 2463744 ----a-w- c:\windows\system32\iertutil.dll
2013-03-02 05:42 . 2013-04-10 18:40 247808 ----a-w- c:\windows\system32\ieui.dll
2013-03-02 05:42 . 2013-04-10 18:41 12405760 ----a-w- c:\windows\system32\ieframe.dll
2013-03-02 05:42 . 2013-04-10 18:40 256000 ----a-w- c:\windows\system32\iepeers.dll
2013-03-02 05:42 . 2013-04-10 18:40 445952 ----a-w- c:\windows\system32\iedkcs32.dll
2013-03-02 05:06 . 2013-04-10 18:40 981504 ----a-w- c:\windows\SysWow64\wininet.dll
2013-03-02 04:38 . 2013-04-10 18:40 482816 ----a-w- c:\windows\system32\html.iec
2013-03-02 04:03 . 2013-04-10 18:40 386048 ----a-w- c:\windows\SysWow64\html.iec
2013-03-02 03:56 . 2013-04-10 18:40 12288 ----a-w- c:\windows\system32\msfeedssync.exe
2013-03-02 03:56 . 2013-04-10 18:40 1638912 ----a-w- c:\windows\system32\mshtml.tlb
2013-03-02 03:30 . 2013-04-10 18:40 44544 ----a-w- c:\windows\SysWow64\licmgr10.dll
2013-03-02 03:29 . 2013-04-10 18:40 1638912 ----a-w- c:\windows\SysWow64\mshtml.tlb
2013-03-01 03:32 . 2013-04-10 18:41 3150848 ----a-w- c:\windows\system32\win32k.sys
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.


Und hier MBA:::::::::


Malwarebytes Anti-Rootkit BETA 1.06.0.1003
www.malwarebytes.org

Database version: v2013.05.29.07

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
Thorsten :: MIRACULIX [administrator]

30.05.2013 00:23:00
mbar-log-2013-05-30 (00-23-00).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUM | P2P
Scan options disabled: Deep Anti-Rootkit Scan | PUP
Objects scanned: 250138
Time elapsed: 6 minute(s), 20 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

Hi,

Also im Normalfall ist es gut, wenn nichts gefunden wird.. ;)

Das Combofix-Log hast du nicht vollständig gepostet. Kannst du das bitte nochmals ganz nachreichen?

Zusätzlich:


Schritt 1

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• bestehendes vollständiges Log von Combofix
• Log von AdwCleaner
• Log von OTL

Erstmal sorry ich hätte strg+a drücken sollen statt mit der Maus auszuwählen und zu kopieren. Ich glaube ich habe den adwcleaner zu oft ausgeführt...aber ich habe die Logfiles mal trotzdem hier mit reingenommen. Hier die Logfiles:

Combofix:

Combofix Logfile:
--- --- ---


ADWCLEANER#1:AdwCleaner Logfile:
--- --- ---



ADWCLEANER#2:AdwCleaner Logfile:
--- --- ---


ADWCLEANER#3:AdwCleaner Logfile:
--- --- ---



OTL:OTL Logfile:
--- --- ---


Hallo nochmal Leo,
ich wollte Die schonmal danke sagen für Deine Nachtschicht. Ich melde mich mal für heute abend ab - ich muss dringend schlafen. Ich schaue morgen Tagsüber wieder rein und schaue wie es mit dem Trojaner-Entfernen weitergeht.
Viele Grüße,
Thorsten

Hallo Thorsten,

wie läuft der Rechner jetzt?


Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Fixlog von OTL
• Log von MBAM
• Log von ESET
• Log von SecurityCheck

Hallo Leo,
ich poste erstmal Schritte 1-2, MBAM hat wieder nichts gefunden, Schritt 3 scannt gerade noch...

Fixlog OTL:
All processes killed
========== OTL ==========
C:\Users\Thorsten\Desktop\Internet Security 2014.lnk moved successfully.
Prefs.js: helperbar@helperbar.com:1.0 removed from extensions.enabledItems
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public
->Temp folder emptied: 0 bytes

User: Thorsten
->Temp folder emptied: 915989 bytes
->Temporary Internet Files folder emptied: 16110870 bytes
->Java cache emptied: 922204 bytes
->FireFox cache emptied: 81666292 bytes
->Google Chrome cache emptied: 6315325 bytes
->Flash cache emptied: 1540 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 102360 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 101,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 05302013_195506

Files\Folders moved on Reboot...
C:\Users\Thorsten\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows\temp\dsiwmis.log scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...


Und hier das Log vom MBAM:

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.05.30.05

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
Thorsten :: MIRACULIX [Administrator]

30.05.2013 20:21:52
mbam-log-2013-05-30 (20-21-52).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 225004
Laufzeit: 3 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Ok, ESET könnte etwas länger dauern. :)

Hallo - ESET hat wirklich lange gedauert wegen der großen externen Platte. Und es hat so einiges gefunden - Die Dateien hatte ich ganz vergessen, ich hatte mal als Jugendlicher so eine Neugier-und-Jäger-und-Sammler-Phase...frag' lieber nicht:crazy:. Frage von mir: Sind Viren in ZIP Archiven eigentlich gefährlich??? Logfile von Schritt 4 folgt auch gleich... EDIT: Ich erkläre es doch kurz: Ich habe früher Viren die mein Antivirenprogramm gefunden hat archiviert, weil ich mir die Sourcecodes ansehen wollte, um sie zu verstehen. Habe ich mich aber nie getraut und irgendwann diese furchterregende Sammlung vergessen. Gut, dass wir einen Scan der Archivplatte gemacht haben. EDIT2: Ich habe gerade einen ganz schönen Schreck gekriegt...

So und hier die Logfile von ESET:

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=4b07e7fa7e92a14baffac03d72c4a8fa
# engine=13955
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-05-30 09:42:05
# local_time=2013-05-30 11:42:05 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=5893 16776574 100 94 24247732 35437982 0 0
# scanned=349302
# found=39
# cleaned=0
# scan_time=11097
sh=03AC6D91A7738C1D41C1BE16C8D3C6EB74706570 ft=0 fh=0000000000000000 vn="probably a variant of Win32/Agent.HTWMYBM trojan" ac=I fn="C:\Users\Thorsten\Documents\128GB-SDKarte_20121222\D2-Save\Patches\Diablo2 ohne CD.zip"
sh=6E46A0A077930B1B9D25C3105F629D399CB8EBD1 ft=1 fh=88cd3388df6e5029 vn="Win32/Adware.Toolbar.Shopper application" ac=I fn="G:\Backup\Dokumente\Downloads\Virtual-CD-Drives\daemon4123-lite.exe"
sh=46CB81F845457B69A4E0897B47D9D1D7F390FB13 ft=0 fh=0000000000000000 vn="probably a variant of Win32/Adware.KDZBRBI application" ac=I fn="G:\Backup\LW_C\[Brennen]\WINRESTORE-CD\Standart\CD_Box_Labeler_Pro_161.zip"
sh=03AC6D91A7738C1D41C1BE16C8D3C6EB74706570 ft=0 fh=0000000000000000 vn="probably a variant of Win32/Agent.HTWMYBM trojan" ac=I fn="G:\Backup\LW_D\Thorsten\D2-Save\Patches\Diablo2 ohne CD.zip"
sh=84B7BA2E5A210D74D93C1832410683E239BF61C4 ft=0 fh=0000000000000000 vn="Win16/Madnes trojan" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\ICQTools\AE.zip"
sh=2BBBF300B8AEBF7A69D3A3FCFA9B374F67497D96 ft=0 fh=0000000000000000 vn="Win32/Flooder.VB.C trojan" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\ICQTools\BombSqad.zip"
sh=D5FA03634D2640B0100AA736F036EEBED4DF17FF ft=0 fh=0000000000000000 vn="Win32/HackTool.VB.N application" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\ICQTools\DeFlood.zip"
sh=680ED59370D02CD68B9CF09DB23153430FD7893D ft=0 fh=0000000000000000 vn="Win32/Flooder.ICQFlood.12 trojan" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\ICQTools\Flood95.zip"
sh=9D32B103E8BB364774CEC085977E64F0DD8D60DC ft=0 fh=0000000000000000 vn="Win32/Flooder.IcqCrash trojan" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\ICQTools\Flooder.zip"
sh=1B79120783C8F0F3024B7036E9EDE913A23264AB ft=0 fh=0000000000000000 vn="Win32/ICQRevenge trojan" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\ICQTools\IFQ.zip"
sh=A9696082BF5B85F69E5555D5F6A5976A568D740B ft=0 fh=0000000000000000 vn="Win32/ICQ.WPD.100 trojan" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\ICQTools\IPSSniff.zip"
sh=4C06D819A00EE0784332935B60C2FA8A31A8BB80 ft=0 fh=0000000000000000 vn="ICKiller trojan" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\ICQTools\Killer.zip"
sh=529D7B91CBB7ADF57BCCCE1315A36DF8485C9FE9 ft=0 fh=0000000000000000 vn="Win32/Freshman trojan" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\ICQTools\Newq.zip"
sh=616C39757C13933CC5C61900B5625C96227BECDC ft=0 fh=0000000000000000 vn="probably a variant of Win32/Agent.BSPUPJB trojan" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\ICQTools\PortSnif.zip"
sh=BF696CD5E7101CC0038629DAB92428488637256C ft=0 fh=0000000000000000 vn="Win32/ICQSpoof trojan" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\ICQTools\Spoof.zip"
sh=7963EE5685902521FFDFEBCDC1B8E8E20577C708 ft=0 fh=0000000000000000 vn="Win32/HackTool.VB.DC application" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\ICQTools\Swat.zip"
sh=FCF656582B48E9A9E09EB9F809D820CE0C4C93A9 ft=0 fh=0000000000000000 vn="Win32/Flooder.ICQ.Zap trojan" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\ICQTools\Zap.zip"
sh=FC89FFBE179C82A7A74D188FB8A53932BA007360 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\IRChat\Backdoor.zip"
sh=71465A08C61D2F562547B5F8B974F8AAB5484428 ft=0 fh=0000000000000000 vn="Win32/Nuker.BattlePong.10 trojan" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\IRChat\BattPong.zip"
sh=126EBC94A898D21A06B92A086A126013FFCEA102 ft=0 fh=0000000000000000 vn="Win16/Flooder.HMast.20 trojan" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\IRChat\floods1.zip"
sh=126EBC94A898D21A06B92A086A126013FFCEA102 ft=0 fh=0000000000000000 vn="Win16/Flooder.HMast.20 trojan" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\IRChat\Floods20.zip"
sh=2658AE798EDBE2751282E022F6BB0005EE0629EE ft=0 fh=0000000000000000 vn="Win32/Agent.TR trojan" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\IRChat\Grdian20.zip"
sh=D63FA834FB35C0A8AC7F72069052CBC3E9CE56AE ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\IRChat\IRCWar.zip"
sh=95B36969207B04E8FF1231C4CFBF43D77A0CCA8F ft=0 fh=0000000000000000 vn="Spy.KeyCopy.A trojan" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\KEYLog\KeyCopy.zip"
sh=DDCF1C47BB95AD4696224DAFB56D2162452E84BE ft=0 fh=0000000000000000 vn="Win32/Spy.Mellis.A trojan" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\KEYLog\KeyLog20.zip"
sh=6BB35EBB4DAA0B8B9CDE0956EA6B8DE61E3213C4 ft=0 fh=0000000000000000 vn="Spy.KeyTrap trojan" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\KEYLog\KeyTrap2.zip"
sh=51ECCC286A9C12E35F5687ECBC18505209ABD6DB ft=0 fh=0000000000000000 vn="Keylogger.Phantom application" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\KEYLog\Phantom2.zip"
sh=6DA97E75F6E65F2B78BD7AEEF9DA84390F449E5D ft=0 fh=0000000000000000 vn="Win32/Rhino trojan" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\PortScan\SiteScan.zip"
sh=C227C6724444AB0C4027C894160D72D74D3ABEAD ft=0 fh=0000000000000000 vn="CallerID trojan" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\tools\19Trojan.zip"
sh=FCAC61451FC21392EE026B3A29B1C1216C64E918 ft=0 fh=0000000000000000 vn="AnsiBomb.1_1 Constructor" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\tools\AnsiBomb.zip"
sh=3B2139469C20D58411DFE3DDFE067C0A08469477 ft=0 fh=0000000000000000 vn="Win95/CIH virus" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\Viren\0399_01\allcih.zip"
sh=469881AB135DB9FD55139A554124012F2401D525 ft=0 fh=0000000000000000 vn="Ambulance.796.A virus" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\Viren\0399_01\ambulanc.zip"
sh=D85486ED7013EA23118DA51089D29F71EBF69388 ft=0 fh=0000000000000000 vn="Taipan.438.A virus" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\Viren\0399_01\taipa438.zip"
sh=13346DD0A039F0B0CF98C727520B4BE329BE5E35 ft=0 fh=0000000000000000 vn="Tracebck.3066.A virus" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\Viren\0399_01\trac3066.zip"
sh=906ECAAAD04DED220BE13CF8A8E31B0E620435B0 ft=0 fh=0000000000000000 vn="Walker virus" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\Viren\0399_01\walker.zip"
sh=AFE9DBA20E21BBC8CB7005DC6FC2736E9A27DA04 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\Viren\0399_02\Diarhead.zip"
sh=992FD29AE8E9FCF6A88196BA4B92E3C9C2B9168C ft=0 fh=0000000000000000 vn="Jerusalem.Czech.B virus" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\Viren\0399_02\Sunday.zip"
sh=3B007FEF1E90B650CBFC454D1D0F04ADE8AAB4FD ft=0 fh=0000000000000000 vn="Urugay.8 virus" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\Viren\0399_02\uruguay.zip"
sh=5233935B7AC44A2DBF1D66609A9CF750DE8E4498 ft=0 fh=0000000000000000 vn="WM/Saver.A:De virus" ac=I fn="G:\Backup\LW_E\[Brennen]\WarezNo1\Hidden\Viren\0399_02\Wordsavr.zip"



Logfile Security Check:
Results of screen317's Security Check version 0.99.63
Windows 7 x64 (UAC is enabled)
Out of date service pack!!
Internet Explorer 8 Out of date!
``````````````Antivirus/Firewall Check:``````````````
Lavasoft Ad-Aware
Antivirus up to date! (On Access scanning disabled!)
`````````Anti-malware/Other Utilities Check:`````````
Ad-Aware
Norton Ghost
Malwarebytes Anti-Malware Version 1.75.0.1300
Java(TM) 6 Update 22
Java(TM) 6 Update 29
Java version out of Date!
Adobe Flash Player 11.7.700.202
Adobe Reader 9 Adobe Reader out of Date!
Mozilla Firefox (21.0)
Mozilla Thunderbird (17.0.6)
Google Chrome 26.0.1410.64
Google Chrome 27.0.1453.94
Google Chrome Plugins...
````````Process Check: objlist.exe by Laurent````````
Ad-Aware AAWService.exe is disabled!
Ad-Aware AAWTray.exe is disabled!
Ad-Aware Antivirus AdAwareService.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````