Bundespolizei-Virus 1.13

**hai** · 02.08.2012, 21:11

Hallo Petra,

A. Die Windows-Explorer Meldung kam schon füher, wie ich schon beschrieben hatte. Allerdings war das Problem nach ~ 2-3 restarts nicht mehr da. Jetzt hilft das restarten nicht mehr.

B. Ich hatte Emisoft deinstalliert und dann Deine Schritte unter Punkt 3 ausgeführt. Seitdem ist das Problem schlimmer.

C. Es existieren noch Windows Live einträge unter meinen Programmen:
Windows Live Essentials 2011 (Allerdings keine Angabe bei der Grösse)
4 Einträge mit Windows Live Mesh...
Soll ich diese Programme deinstallieren?

D. Die Logdatei von OTL (Ergebnis des Schrittes von Deinem Punkt 3) habe ich angehängt.

E. Dein Punkt 5: Mittlerweile ist auch malwarebytes im abgesicherten Modus durchgelaufen. Mit einem Fund (siehe Log-Datei.). Ich habe es jetzt noch nicht bereinigen lassen und warte auf weitere Anweisungen.

Vielen Dank im Voraus
Gruss
Sascha

**Petra** · 03.08.2012, 12:24

Hallo Sascha,

der Fund von Malwarebytes ist nur eine schädliche Datei, die wir bereits mit einem OTL-Fix in Quarantäne geschickt hatten.

Verstehe ich es richtig, dass Du jetzt im normalen Modus praktisch nicht mehr arbeiten kannst?

===== Punkt 1 =====

C. Es existieren noch Windows Live einträge unter meinen Programmen:
Windows Live Essentials 2011 (Allerdings keine Angabe bei der Grösse)
4 Einträge mit Windows Live Mesh...
Soll ich diese Programme deinstallieren?

ja, bitte über Systemsteuerung => Programme deinstallieren (alle Programme, die mit Windows Live beginnen)
Kann aber auch sein, dass die anderen weg sein werden, wenn Du Windows Live Essentials deinstalliert hast.

===== Punkt 2 =====

Fixen mit OTL

Hiermit fixen wir unnötige oder schädliche Einträge.

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benutzerdefinierte Scans/Fixes:

Sollten in den Logfiles Benutzernamen anonymisiert worden sein:
Daran denken, wieder den ursprünglichen Benutzernamen einzufügen!

Code:

:Files
C:\Users\sascha\restore
C:\ProgramData\tmp
C:\ProgramData\hps

Schließe alle Programme ink. z. B. Verhaltensüberwachung von Antivirus-Programmen.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

===== Punkt 3 =====

Systemscan mit OTL

Erstelle bitte zur Kontrolle erneut OTL-Logfiles, stelle alle Kategorien auf "Benutze Safelist" um und hake oben "Scanne alle Benutzer" an, wie auf folgendem Screenshot zu sehen. User mit 64Bit-Systemen machen auch einen Haken bei "Include 64Bit-Scan". Dann kann ich schauen, ob es noch weitere Reste zu entfernen gibt.

Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

Achte darauf, Nachnamen und/oder persönliche Daten ggfs. zu anonymisieren.

**hai** · 03.08.2012, 18:48

Hallo Petra,

Richtig: ich kann im normalen Modus faktisch nichts mehr machen.
Die Details der Windows Explorer Fehlermeldung habe ich entdeckt:

Problem signature:
Problem Event Name: APPCRASH
Application Name: Explorer.EXE
Application Version: 6.1.7601.17567
Application Timestamp: 4d672ee4
Fault Module Name: StackHash_fe7a
Fault Module Version: 6.1.7601.17725
Fault Module Timestamp: 4ec4aa8e
Exception Code: c0000374
Exception Offset: 00000000000c40f2
OS Version: 6.1.7601.2.1.0.768.3
Locale ID: 1044
Additional Information 1: fe7a
Additional Information 2: fe7a1a2e11674926bea4e8978d739ab1
Additional Information 3: 61d1
Additional Information 4: 61d1c4fc51f004aa2e14e87aa0cda97d

Read our privacy statement online:
http://go.microsoft.com/fwlink/?link...8&clcid=0x0409

If the online privacy statement is not available, please read our privacy statement offline:
C:\Windows\system32\en-US\erofflps.txt

Durch klicken auf den Link konnte ich zumindest meinen Firefox öffnen um dies hier zu schreiben.

Windows Live habe ich deinstalliert.

Ich wechsle jetzt für den nächsten Schritt in den abgesicherten Modus. .....

Meine zweite Antwort:

hier kommt das Logfile nach dem Fix mit OTL.

Und hier noch die OTL-Scan Logdateien:

Gibt es noch Hoffnung?
Vielen Dank im Voraus
Gruss
Sascha

**Petra** · 03.08.2012, 22:06

Hallo Sascha,

schwer zu sagen, ob es noch Hoffnung gibt. Hier ist ein neuer Ordner, der sicher nicht ok ist:
[2012.08.03 18:32:17 | 000,000,020 | ---- | M] () -- C:\Windows\´÷Ç
und ein neuer ADS-Stream ist auch schon wieder da :-(
Ich habe aber noch nicht herausgefunden, was der Auslöser ist.

===== Punkt 1 =====

mache bitte noch eines, dann kann ich sehen, welche explorer.exe Du auf dem System hast und den MD5-Hash vergleichen:

Scan mit SystemLook

Hiermit prüfe ich, ob für diese Infektion übliche Einträge noch vorhanden sind. Das Tool ändert nichts, wirft mir nur die nötigen Infos aus.

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop (falls noch nicht vorhanden).

Download Mirror #1 - Download Mirror #2
User mit 64Bit-Windows-Versionen benutzen diese Version => http://jpshortstuff.247fixes.com/SystemLook_x64.exe

Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista- und Windows 7-User unbedingt mit Rechtsklick und als Administrator starten.
Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
Code:
```
:filefind
explorer.exe
:dir
C:\Windows\´÷Ç /s
C:\Config.Msi /s
```
Klicke nun auf den Button Look, um den Scan zu starten.
Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

===== Punkt 2 =====

Fixen mit OTL

Hiermit fixen wir unnötige oder schädliche Einträge.

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benutzerdefinierte Scans/Fixes:

Sollten in den Logfiles Benutzernamen anonymisiert worden sein:
Daran denken, wieder den ursprünglichen Benutzernamen einzufügen!

Code:

:OTL
IE - HKU\S-1-5-21-3452243748-1991479349-3436702281-1002\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..keyword.URL: "http://www.searchplusnetwork.com/?sp=vit4&q="
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll File not found
O4:64bit: - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
O9:64bit: - Extra 'Tools' menuitem : Send by Bluetooth to - {7815BE26-237D-41A8-A98F-F7BD75F71086} - Reg Error: Value error. File not found
O32 - AutoRun File - [2010.01.06 19:34:11 | 000,000,000 | ---D | M] - Y:\Automatisch zu iTunes hinzufügen -- [ NTFS ]
O32 - AutoRun File - [2010.01.03 23:18:18 | 000,000,000 | ---D | M] - Y:\Automatically Add to iTunes -- [ NTFS ]
@Alternate Data Stream - 1205 bytes -> C:\ProgramData\TEMP:966F7784

:Files
ipconfig /flushdns /c
C:\Users\sascha\Documents\EmsisoftAntiMalwareSetup.exe
C:\Users\sascha\Desktop\mbam-setup.exe
C:\Users\sascha\Documents\SystemLook.exe

:Commands
[emptytemp]

Schließe alle Programme ink. z. B. Verhaltensüberwachung von Antivirus-Programmen.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

===== Punkt 3 =====

Benutzerkontensteuerung aktivieren (Windows 7)

Die Benutzerkontensteuerung unter Windows 7 ist simpel ausgedrückt Deine Versicherung, dass Programme nicht irgendetwas installieren oder am System verändern können, ohne dass Du Deine Zustimmung dazu gibst. Manche User mögen die Requester als lästig empfinden, aber unter Windows 7 kann man sie sehr flexibel einstellen. Sie ganz abzuschalten, ist eine sehr große Sicherheitslücke - und genau das ist bei Dir der Fall.

Benutzerkontensteuerung unter Windows 7 aktivieren

Start => ins Suchfeld reinschreiben => msconfig
Es öffnet sich das das Fenster der Systemkonfiguration
Wähle den Reiter Tools => UAC-Einstellungen ändern => Starten

Ziehe den Schieberegler mindestens auf die Stufe 2 (von unten gesehen) => ok.
Damit hast Du relativ wenig "Rückfragen", bist aber nicht völlig ungeschützt.

===== Punkt 4 =====

Versuche bitte im normalen Modus:

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

Windows XP (nur 32-bit)
Windows Vista (32-bit/64-bit)
Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
Liste der zu deaktivierenden Programme.
Bei Unklarheiten bitte fragen.

ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
{b]Mache nichts anderes[/b], wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
Teile uns das mit und warte auf unsere Anweisungen.

Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
Während des Laufs von Combofix nichts anderes am Computer machen!
Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
Bitte nicht in dieses Combofix-Fenster klicken.
Das könnte Dein System einfrieren oder hängen bleiben lassen.
Es wird ein Backup Deiner Registry erstellt.
Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

**hai** · 04.08.2012, 12:24

Hallo Petra,

===== Punkt 1 =====

hier das Ergebnis vom SystemLook-Scan:

Code:

SystemLook 30.07.11 by jpshortstuff
Log created at 13:02 on 04/08/2012 by sascha
Administrator - Elevation successful

========== filefind ==========

Searching for "explorer.exe"
C:\Windows\explorer.exe	--a---- 2871808 bytes	[15:52 23/04/2012]	[06:19 25/02/2011] 332FEAB1435662FC6C672E25BEB37BE3
C:\Windows\SysWOW64\explorer.exe	--a---- 2616320 bytes	[15:52 23/04/2012]	[05:30 25/02/2011] 8B88EBBB05A0E56B7DCC708498C02B3E
C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_ada998b9936d7566\explorer.exe	--a---- 2868224 bytes	[23:56 13/07/2009]	[01:39 14/07/2009] C235A51CB740E45FFA0EBFB9BAFCDA64
C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_adc24107935a7e25\explorer.exe	--a---- 2870272 bytes	[15:52 23/04/2012]	[06:23 26/02/2011] 0862495E0C825893DB75EF44FAEA8E93
C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20910_none_ae79ed04ac56c4a9\explorer.exe	--a---- 2870784 bytes	[15:52 23/04/2012]	[06:26 26/02/2011] E38899074D4951D31B4040E994DD7C8D
C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17514_none_afdaac81905bf900\explorer.exe	--a---- 2872320 bytes	[19:49 18/02/2011]	[13:24 20/11/2010] AC4C51EB24AA95B77F705AB159189E24
C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17567_none_afa79dc39081d0ba\explorer.exe	--a---- 2871808 bytes	[15:52 23/04/2012]	[06:19 25/02/2011] 332FEAB1435662FC6C672E25BEB37BE3
C:\Windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.21669_none_b0333b22a99da332\explorer.exe	--a---- 2871808 bytes	[15:52 23/04/2012]	[06:14 26/02/2011] 3B69712041F3D63605529BD66DC00C48
C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_b7fe430bc7ce3761\explorer.exe	--a---- 2613248 bytes	[23:41 13/07/2009]	[01:14 14/07/2009] 15BC38A7492BEFE831966ADB477CF76F
C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_b816eb59c7bb4020\explorer.exe	--a---- 2614784 bytes	[15:52 23/04/2012]	[05:33 26/02/2011] 2AF58D15EDC06EC6FDACCE1F19482BBF
C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20910_none_b8ce9756e0b786a4\explorer.exe	--a---- 2614784 bytes	[15:52 23/04/2012]	[05:51 26/02/2011] 255CF508D7CFB10E0794D6AC93280BD8
C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17514_none_ba2f56d3c4bcbafb\explorer.exe	--a---- 2616320 bytes	[19:49 18/02/2011]	[12:17 20/11/2010] 40D777B7A95E00593EB1568C68514493
C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17567_none_b9fc4815c4e292b5\explorer.exe	--a---- 2616320 bytes	[15:52 23/04/2012]	[05:30 25/02/2011] 8B88EBBB05A0E56B7DCC708498C02B3E
C:\Windows\winsxs\wow64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.21669_none_ba87e574ddfe652d\explorer.exe	--a---- 2616320 bytes	[15:52 23/04/2012]	[05:19 26/02/2011] 0FB9C74046656D1579A64660AD67B746

========== dir ==========

C:\Windows\´÷Ç - Unable to find folder.

C:\Config.Msi - Parameters: "/s"

---Files---
None found.

No folders found.

-= EOF =-

===== Punkt 2 =====

Und noch das OTL-LOG:

Code:

All processes killed
========== OTL ==========
HKEY_USERS\S-1-5-21-3452243748-1991479349-3436702281-1002\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Prefs.js: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 removed from extensions.enabledItems
Prefs.js: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 removed from extensions.enabledItems
Prefs.js: "http://www.searchplusnetwork.com/?sp=vit4&q=" removed from keyword.URL
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922\ deleted successfully.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\IntelTBRunOnce not found.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{7815BE26-237D-41A8-A98F-F7BD75F71086}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7815BE26-237D-41A8-A98F-F7BD75F71086}\ not found.
File  not found.
File  not found.
ADS C:\ProgramData\TEMP:966F7784 deleted successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows IP Configuration
Successfully flushed the DNS Resolver Cache.
C:\Users\sascha\Desktop\cmd.bat deleted successfully.
C:\Users\sascha\Desktop\cmd.txt deleted successfully.
C:\Users\sascha\Documents\EmsisoftAntiMalwareSetup.exe moved successfully.
C:\Users\sascha\Desktop\mbam-setup.exe moved successfully.
C:\Users\sascha\Documents\SystemLook.exe moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: sascha
->Temp folder emptied: 7205082 bytes
->Temporary Internet Files folder emptied: 459531 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 56059106 bytes
->Flash cache emptied: 506 bytes
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1434023098 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 1,428.00 mb
 
 
OTL by OldTimer - Version 3.2.54.0 log created on 08042012_130919

Files\Folders moved on Reboot...
C:\Users\sascha\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...
File C:\Users\sascha\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!

Registry entries deleted on Reboot...

Nach dem Reboot habe ich jetzt keine Fehlermeldung vom Windows-Explorer bekommen.

===== Punkt 3 =====

Habe die Einstellungen mit msconfig vorgenommen.

===== Punkt 4 =====

In Arbeit ....

So, nach dem restart, um die msconfig-Einstellung wirksam zu machen, bekomme ich jetzt also wieder die lästige Windows-Explorer-Fehlermeldung

Also weiter im abgesicherten Modus.
Dort bekomme ich im ûbrigen auch diese Windows-Explorer-Fehlermeldung. Allerdings kommt sie nach zwei restarts nicht mehr wieder.
Ich erinnere mich, dass ich dies Problem bei den ersten Arbeiten im abgesicherten Modus nicht hatte.

Mache mich jetzt an Punkt 4 ...

So comboFix sagt mir, dass folgendes noch aktiv ist:
antivirus: Avira Desktop
antispyware: Avira Desktop
Eigentlich dachte ich, dass ich alles abgeschaltet hatte.
Der Avira Status sagt auch, dass alles aus ist.
Im Windows task manager sehe ich, dass alle Services von Avira gestopt sind.

Soll ich ComboFix trotzdem laufen lassen?
Gruss
Sascha

**Petra** · 04.08.2012, 16:00

Hallo Sascha,

die explorer.exe'n sind in Ordnung und nicht infiziert, soweit ich das sehen kann.

Combofix hast Du aber im normalen Modus gestartet, oder?

Die Fehlermeldung bzgl. der Explorer.exe würde ich gerne mal als Screenshot sehen: mache mir bitte davon einen Screenshot nach dieser Anleitung. Alternativ kannst Du auch das Freeware-Tool Snipping Tools Plus oder die Freeware-Version von FastStone Caputure benutzen.

**hai** · 04.08.2012, 19:35

Hallo Petra,

ComboFix habe ich im abgesicherten Modus versucht zu starten.
Im normalen Modus kann ich nichts mehr machen. Kan kein Start-Menü öffnen, da ja der Windows-Explorer nicht geht.
In seltenen Fällen gelingt es mir kurz nach dem Start mein Mozilla auf dem Desktop anzuklicken und ihn zu starten. (Mit Dauerklicken auf's Symbol.)
Ich hab keine Ahnung, wie ich etwas ausführen kann ohne über das Start-Menü zu gehen. (Alt+F2 geht ja nicht bei Windows

)

Hab also die Screenshots mit der Digicam gemacht. Siehe Anhang.
Hab in den Details runter-gescrollt, deshalb sind es nun 3 Bilder.
Gruss
Sascha

**Petra** · 04.08.2012, 23:53

Hallo hai,

===== Punkt 1 =====

Der Auslöser für das explorer.exe-Problem ist die ASUSWSShellExt64.dll.
Die Datei gehört zu der Software ASUS WebStorage.

Die Lösung:
Entweder das Programm über die ASUS-Downloadseite aktualisieren oder falls Du das gar nicht benutzt, das Programm über Systemsteuerung => Programme deinstallieren. Probiere das bitte aus und berichte mir, ob sich die Situation verbessert hat.

===== Punkt 2 =====

Combofix ist nicht für den abgesicherten Modus geeignet.

**hai** · 05.08.2012, 11:19

Hallo Petra,

vielen Dank für den Tip mit dem AsusWebStorage.
Hab's deinstalliert und bekomme nun nicht mehr die Windows-Explorer-Fehlermeldung.

Habe dann auch gleich den Scan mit ComboFix gemacht.
LogFile ist angehängt:

Viele Grüsse
Sascha

**Petra** · 05.08.2012, 12:15

Hallo hai,

das ist ja schonmal ein Teilerfolg

===== Punkt 1 =====

Bitte noch nachreichen: C:\Qoobox\Add-Remove Programs.txt

===== Punkt 2 =====

Kannst Du mir kurz näherbringen, um was für ein Programm es sich hier handelt?

Code:

2012-08-01 19:59 . 2012-08-01 19:59	--------	d-----w-	c:\users\sascha\AppData\Local\GoPro
2012-07-24 21:01 . 2012-07-24 21:01	--------	d-----w-	c:\users\sascha\AppData\Roaming\GoPro
2012-07-24 20:35 . 2012-07-24 20:36	--------	d-----w-	c:\program files (x86)\GoPro
CineForm Status.lnk - c:\program files (x86)\CineForm\Tools\GoProCineFormStatusViewer.exe [2012-6-9 152064]

Und auch dieses:

Code:

2012-07-26 16:20 . 2012-07-26 16:20	--------	d-----w-	c:\users\sascha\AppData\Local\Badger I.T
2012-07-26 16:17 . 2012-07-26 16:17	--------	d-----w-	c:\program files (x86)\BadgerIT

===== Punkt 3 =====

Combofix mit Skript laufen lassen

Denke daran, während des Laufs von Combofix Dein Antiviren-Programm und die Firewall temporär abzustellen.
Danach wieder anstellen nicht vergessen!
Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.

Anwendung

Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:

Code:

ClearJavaCache::
RegLock::
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
Firefox::
FF - ProfilePath - c:\users\sascha\AppData\Roaming\Mozilla\Firefox\Profiles\c46w998x.default\
FF - prefs.js: browser.startup.homepage - 
FF - prefs.js: keyword.URL -

Speichere dies als CFScript.txt auf Deinem Desktop. Achte darauf, dass bei Dateityp "All types" aktiv ist.
.

.
In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt.
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte füge es hier als Antwort ein.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!