| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: PC stürzt nach erfolgreichem Virenscan ständig abWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
19.04.2012, 09:26
| #1 |
 |  PC stürzt nach erfolgreichem Virenscan ständig ab Hallo zusammen ich bin neu auf dem Board,  also ich hab mir nen wunderbaren Trojaner eingefangen mit Namen "TR/ATRAPS.Gen". Mein Desktop war komplett schwarz, auch dass Startmenü war komplett weg und nicht reaktivierbar (konnte aber mir Windowstatse + E auf alle Daten zugreifen, auch ins Netz gehen etc). Und der PC stürzte beim Virenscan ab, also hab ich offline im abgesicherten Modus mit Spybot und Antivir überprüft und folgenden Fund gehabt : Fund + Objekt: TR/ATRAPS.Gen (TMKEmu.dll) TR/ATRAPS.Gen (sparrow.dll) TR/ATRAPS.Gen2 (consrv.dll) TR/ATRAPS.Gen (autostore.dll) TR/ATRAPS.Gen2 (80000064@) TR/ATRAPS.Gen2 (80000032@) Ich hab oben genannte Dateien restlos gelöscht, und jetzt das aktuelle Problem. Ich hab meinen Rechner neugestartet und kurz nach dem Windowsbildschirm stürzt er ab und alles geht von vorne los. Auch im abgesicherten Modus stürzt er ab und startet sofort wieder neu. Kann mir jemand helfen ? |
|
19.04.2012, 09:56
| #2 |
| /// Malwareteam    |  PC stürzt nach erfolgreichem Virenscan ständig ab Mein Name ist Marius und ich werde dir bei deinem Problem helfen. Eines vorneweg: Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist. Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Um welches Betriebssystem handelt es sich? auch angeben, ob 32- oder 64bit!
__________________ |
|
19.04.2012, 10:01
| #3 |
| | PC stürzt nach erfolgreichem Virenscan ständig ab Hallo Marius, danke für Deinen schnellen Einsatz !
__________________Ich nutze Windows 7 in der 64bit Version. |
|
19.04.2012, 10:03
| #4 |
| /// Malwareteam | PC stürzt nach erfolgreichem Virenscan ständig ab FRST64 Downloade dir bitte Farbar's Recovery Scan Tool x64 und speichere diese auf einen USB Stick. Schließe den USB Stick an das infizierte System an Du musst das System nun in die System Reparatur Option booten. Über den Boot Manager
__________________ Kein Asylrecht für Trojaner!  Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
19.04.2012, 11:21
| #5 |
| | PC stürzt nach erfolgreichem Virenscan ständig ab Brauche ich definitiv die Windows CD/DVD dafür oder reicht es "nur" das Tool über den Boot Manager laufen zu lassen ? Ich frag lieber, bevor ich hier was blind mache.  |
|
19.04.2012, 12:21
| #6 |
| /// Malwareteam | PC stürzt nach erfolgreichem Virenscan ständig ab Es reicht, wenn du den Bootmanager nimmst . Das mit der Boot-CD/-DVD ist nur eine Alternative, falls ersteres nicht funzt! 
__________________ --> PC stürzt nach erfolgreichem Virenscan ständig ab |
|
19.04.2012, 18:55
| #7 |
| | PC stürzt nach erfolgreichem Virenscan ständig ab So ich habs alles so wie beschrieben gemacht, vielen Dank es ging supi. Einen schönen Abend Marius ! Code:
ATTFilter Scan result of Farbar Recovery Scan Tool Version: 18-04-2012 01
Ran by SYSTEM at 19-04-2012 16:02:39
Running from G:\
Windows 7 Professional (X64) OS Language: German Standard
The current controlset is ControlSet001
========================== Registry (Whitelisted) =============
HKU\Ullby\...\Policies\system: [DisableRegedit] 1
HKU\Ullby\...\Winlogon: [Shell] C:\Users\Ullby\AppData\Roaming\gema\gema.exe,Explorer.exe,
HKLM-x32\...\RunOnce: [SpybotSnD] "C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe" /autocheck [5365592 2009-01-26] (Safer Networking Limited)
HKLM\...\Winlogon: [Shell] C:\Windows\Temp\qavmpw\setup.exe [x ] ()
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1
Tcpip\..\Interfaces\{CEF2B0CE-5603-4E6D-BB42-C7CAF0FB67C4}: [NameServer]192.168.1.1
SubSystems: [Windows] ==> ZeroAccess
==================== Services (Whitelisted) ======
4 AdobeFlashPlayerUpdateSvc; C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [253088 2012-04-13] (Adobe Systems Incorporated)
4 AMD FUEL Service; C:\Users\Ullby\Desktop\ATI.ACE\Fuel\Fuel.Service.exe /launchService [361984 2012-02-14] (Advanced Micro Devices, Inc.)
4 AntiVirSchedulerService; "C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe" [136360 2011-05-01] (Avira GmbH)
4 AntiVirService; "C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe" [269480 2011-06-30] (Avira GmbH)
4 Bonjour Service; "C:\Program Files\Bonjour\mDNSResponder.exe" [462184 2011-08-30] (Apple Inc.)
4 ICQ Service; C:\Program Files (x86)\ICQ6Toolbar\ICQ Service.exe [247096 2010-09-06] ()
2 pctoolsfirewallplus; \\.\globalrootC:\Windows\system32\svchost.exe -k netsvcs [27136 2009-07-14] (Microsoft Corporation)
2 pctoolsfirewallplus; \\.\globalrootC:\Windows\SysWow64\svchost.exe -k netsvcs [20992 2009-07-14] (Microsoft Corporation)
2 PnkBstrA; C:\Windows\SysWow64\PnkBstrA.exe [76888 2012-04-09] ()
2 deltafw; C:\Windows\System32\sparrow.dll [x]
========================== Drivers (Whitelisted) =============
2 AODDriver4.1; \??\C:\Users\Ullby\Desktop\ATI.ACE\Fuel\amd64\AODDriver2.sys [55936 2012-01-03] (Advanced Micro Devices)
1 avipbb; C:\Windows\System32\Drivers\avipbb.sys [123784 2011-06-30] (Avira GmbH)
3 RTL8023x64; C:\Windows\System32\DRIVERS\Rtnic64.sys [51712 2009-06-10] (Realtek Semiconductor Corporation )
0 sptd; C:\Windows\System32\Drivers\sptd.sys [834544 2010-12-11] (Duplex Secure Ltd.)
3 AODDriver4.0; \??\c:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [x]
2 AODDriver4.01; \??\c:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [x]
3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x]
========================== NetSvcs (Whitelisted) ===========
NETSVC: deltafw
NETSVC: igfx
============ One Month Created Files and Folders ==============
2012-04-19 16:02 - 2012-03-19 22:34 - 0000000 ____D C:\FRST
2012-04-17 19:12 - 2009-07-14 02:39 - 6402668 ____A C:\Windows\ntbtlog.txt
2012-04-17 19:01 - 2009-07-14 05:45 - 0000392 ____A C:\Windows\setupact.log
2012-04-15 13:43 - 2011-04-22 11:33 - 9984087 ____A C:\Users\Ullby\Desktop\Zelda Medley.mp3
2012-04-15 13:40 - 2011-05-27 14:52 - 9419872 ____A C:\Users\Ullby\Desktop\Shadows- Lindsey Stirling.mp3
2012-04-15 13:37 - 2010-12-11 10:14 - 6385148 ____A C:\Users\Ullby\Desktop\Epic Violin Girl - Lindsey Stirling.mp3
2012-04-14 01:19 - 2009-07-14 02:40 - 0000000 __ASH C:\Windows\System32\dds_trash_log.cmd
2012-04-14 01:18 - 2012-04-18 21:23 - 0000000 ____D C:\Windows\system64
2012-04-09 21:00 - 2012-04-10 15:30 - 2709215 ____A C:\Users\Ullby\Desktop\Dale Schacker - Colt (Saber Rider and the Star Sheriffs OST).mp3
2012-04-09 19:17 - 2011-11-04 15:25 - 3870984 ____A C:\Users\Ullby\Downloads\battlelog-web-plugins-1.118.0-retail-prod.exe
2012-04-09 19:14 - 2011-10-27 15:25 - 0000000 ____D C:\Users\All Users\EA Logs
2012-04-09 19:14 - 2011-10-27 15:25 - 0000000 ____D C:\ProgramData\EA Logs
2012-04-04 15:20 - 2012-04-13 23:27 - 8741536 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerInstaller.exe
2012-04-04 15:15 - 2011-07-22 20:02 - 0000000 ____D C:\Users\Ullby\Desktop\Neuer Ordner
2012-04-04 06:45 - 2009-07-14 02:14 - 0418464 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2012-04-04 06:45 - - 0000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2012-03-24 18:59 - 2009-07-14 06:08 - 0000000 ____D C:\Users\All Users\ATI
2012-03-24 18:59 - 2009-07-14 06:08 - 0000000 ____D C:\ProgramData\ATI
============ 3 Months Modified Files and Folders =============
2012-04-18 21:35 - 2010-12-11 10:06 - 3220578304 __ASH C:\hiberfil.sys
2012-04-18 21:28 - 2012-04-17 19:12 - 6402668 ____A C:\Windows\ntbtlog.txt
2012-04-18 15:26 - 2012-04-14 01:19 - 0000000 __ASH C:\Windows\System32\dds_trash_log.cmd
2012-04-18 15:26 - 2010-12-11 10:14 - 0000000 ____D C:\users\Ullby
2012-04-18 15:23 - 2012-04-17 19:01 - 0000392 ____A C:\Windows\setupact.log
2012-04-18 15:23 - 2009-07-14 06:08 - 0000006 ___AH C:\Windows\Tasks\SA.DAT
2012-04-18 15:22 - 2010-12-16 12:24 - 0028374 ____A C:\Windows\PFRO.log
2012-04-18 15:21 - 2010-12-11 10:09 - 1569981 ____A C:\Windows\WindowsUpdate.log
2012-04-18 15:15 - 2009-07-14 05:45 - 0014080 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2012-04-18 15:15 - 2009-07-14 05:45 - 0014080 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2012-04-17 21:27 - 2012-04-04 06:45 - 0000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2012-04-17 19:29 - 2011-07-26 14:45 - 0000000 ____D C:\Users\Ullby\AppData\Roaming\QuickScan
2012-04-17 18:00 - 2010-12-22 18:42 - 0283304 ____A C:\Windows\SysWOW64\PnkBstrB.xtr
2012-04-17 18:00 - 2010-12-22 15:45 - 0283304 ____A C:\Windows\SysWOW64\PnkBstrB.exe
2012-04-17 18:00 - 2010-12-22 15:45 - 0280904 ____A C:\Windows\SysWOW64\PnkBstrB.ex0
2012-04-15 13:43 - 2012-04-15 13:43 - 9984087 ____A C:\Users\Ullby\Desktop\Zelda Medley.mp3
2012-04-15 13:40 - 2012-04-15 13:40 - 9419872 ____A C:\Users\Ullby\Desktop\Shadows- Lindsey Stirling.mp3
2012-04-15 13:37 - 2012-04-15 13:37 - 6385148 ____A C:\Users\Ullby\Desktop\Epic Violin Girl - Lindsey Stirling.mp3
2012-04-14 01:18 - 2012-04-14 01:18 - 0000000 ____D C:\Windows\system64
2012-04-13 23:27 - 2012-04-04 15:20 - 8741536 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerInstaller.exe
2012-04-13 23:27 - 2012-04-04 06:45 - 0418464 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2012-04-13 23:27 - 2011-05-18 15:34 - 0070304 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2012-04-13 14:44 - 2009-07-14 06:08 - 0032640 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2012-04-10 21:36 - 2011-10-27 17:02 - 0000000 ____D C:\Program Files\FireFox
2012-04-10 15:31 - 2010-12-26 22:03 - 0001437 ____A C:\Users\Ullby\Desktop\Neues Textdokument.txt
2012-04-10 15:30 - 2011-05-27 15:19 - 0000000 ____D C:\Users\Ullby\Desktop\BL Hochzeit
2012-04-09 21:09 - 2012-04-09 19:14 - 0000000 ____D C:\Users\All Users\EA Logs
2012-04-09 21:09 - 2012-04-09 19:14 - 0000000 ____D C:\ProgramData\EA Logs
2012-04-09 21:00 - 2012-04-09 21:00 - 2709215 ____A C:\Users\Ullby\Desktop\Dale Schacker - Colt (Saber Rider and the Star Sheriffs OST).mp3
2012-04-09 19:24 - 2010-12-22 15:45 - 0076888 ____A C:\Windows\SysWOW64\PnkBstrA.exe
2012-04-09 19:18 - 2011-10-27 15:28 - 0000000 ____D C:\Program Files (x86)\Battlelog Web Plugins
2012-04-09 19:17 - 2012-04-09 19:17 - 3870984 ____A C:\Users\Ullby\Downloads\battlelog-web-plugins-1.118.0-retail-prod.exe
2012-04-04 15:19 - 2009-07-14 18:58 - 0643628 ____A C:\Windows\System32\perfh007.dat
2012-04-04 15:19 - 2009-07-14 18:58 - 0126188 ____A C:\Windows\System32\perfc007.dat
2012-04-04 15:19 - 2009-07-14 06:13 - 1472002 ____A C:\Windows\System32\PerfStringBackup.INI
2012-04-04 15:18 - 2012-04-04 15:15 - 0000000 ____D C:\Users\Ullby\Desktop\Neuer Ordner
2012-04-04 15:17 - 2010-12-11 11:39 - 0000000 ____D C:\Users\Ullby\AppData\Roaming\ICQ
2012-04-04 06:46 - 2011-05-25 16:51 - 0000000 ____D C:\Users\Ullby\AppData\Roaming\Apple Computer
2012-03-27 20:02 - 2010-12-11 10:35 - 0000000 ____D C:\Program Files\TeamSpeak 3 Client
2012-03-24 18:59 - 2012-03-24 18:59 - 0000000 ____D C:\Users\All Users\ATI
2012-03-24 18:59 - 2012-03-24 18:59 - 0000000 ____D C:\ProgramData\ATI
2012-03-24 18:59 - 2012-03-10 12:10 - 0000000 ____D C:\Users\Ullby\Desktop\ATI.ACE
2012-03-24 18:59 - 2011-12-17 12:06 - 0000000 ____D C:\Program Files (x86)\ATI Technologies
2012-03-19 22:34 - 2012-03-19 22:34 - 0000000 __SHD C:\found.001
2012-03-19 22:20 - 2009-07-14 03:34 - 0000460 ____A C:\Windows\win.ini
2012-03-10 12:12 - 2012-03-10 12:12 - 0000000 ____D C:\Program Files\AMD
2012-03-10 12:12 - 2012-03-10 12:12 - 0000000 ____D C:\Program Files (x86)\AMD APP
2012-03-10 12:12 - 2012-03-10 12:12 - 0000000 ____D C:\Program Files (x86)\AMD
2012-03-10 12:12 - 2011-03-27 19:12 - 0000000 ____D C:\Users\All Users\AMD
2012-03-10 12:12 - 2011-03-27 19:12 - 0000000 ____D C:\ProgramData\AMD
2012-03-10 12:11 - 2011-12-17 12:06 - 0000000 ____D C:\Program Files\ATI Technologies
2012-03-09 22:51 - 2011-07-22 17:44 - 0001245 ____A C:\Windows\System32\mapisvc.inf
2012-03-09 22:50 - 2012-03-09 22:50 - 0001570 ____A C:\Users\Public\Desktop\iTunes.lnk
2012-03-09 22:50 - 2012-03-09 22:50 - 0000000 ____D C:\Program Files\iTunes
2012-03-09 22:50 - 2012-03-09 22:50 - 0000000 ____D C:\Program Files\iPod
2012-03-08 15:47 - 2011-10-26 15:14 - 0002146 ____A C:\Windows\KB893803v2.log
2012-03-02 22:29 - 2011-09-11 18:32 - 0001742 ____A C:\Users\Ullby\Desktop\REGELN - MY way of life.txt
2012-03-02 17:23 - 2011-10-07 22:41 - 0000000 ____D C:\Users\Ullby\Documents\Vindictus EU
2012-02-28 22:29 - 2012-02-06 20:02 - 0000643 ____A C:\Users\Ullby\Desktop\Melina.txt
2012-02-15 11:01 - 2012-02-15 11:01 - 4547944 ____A (Apple, Inc.) C:\Windows\System32\usbaaplrc.dll
2012-02-15 11:01 - 2012-02-15 11:01 - 0052736 ____A (Apple, Inc.) C:\Windows\System32\Drivers\usbaapl64.sys
2012-02-14 22:05 - 2012-02-14 22:05 - 16507904 ____A (Advanced Micro Devices Inc.) C:\Windows\System32\amdocl64.dll
2012-02-14 22:05 - 2012-02-14 22:05 - 0069632 ____A (Advanced Micro Devices Inc.) C:\Windows\System32\OpenVideo64.dll
2012-02-14 22:05 - 2012-02-14 22:05 - 0061952 ____A C:\Windows\System32\OVDecode64.dll
2012-02-14 22:05 - 2012-02-14 22:05 - 0059904 ____A (Advanced Micro Devices Inc.) C:\Windows\SysWOW64\OpenVideo.dll
2012-02-14 22:05 - 2012-02-14 22:05 - 0054784 ____A C:\Windows\SysWOW64\OVDecode.dll
2012-02-14 22:04 - 2012-02-14 22:04 - 13238272 ____A (Advanced Micro Devices Inc.) C:\Windows\SysWOW64\amdocl.dll
2012-02-14 22:03 - 2012-02-14 22:03 - 0054272 ____A (Khronos Group) C:\Windows\System32\OpenCL.dll
2012-02-14 22:03 - 2012-02-14 22:03 - 0048128 ____A (Khronos Group) C:\Windows\SysWOW64\OpenCL.dll
2012-02-10 22:10 - 2012-02-10 22:10 - 0092701 ____A C:\Users\Ullby\Desktop\430413_241429582606816_100002193282335_532887_624589241_n.jpg
2012-02-10 15:36 - 2012-02-10 15:36 - 0000000 ____D C:\Program Files (x86)\QuickTime
2012-02-10 15:34 - 2011-05-25 16:49 - 0000000 ____D C:\Program Files\Common Files\Apple
2012-02-09 22:51 - 2012-02-04 00:42 - 0000180 ____A C:\Users\Ullby\Desktop\Neues Textdokument (2).txt
2012-02-04 18:41 - 2012-02-04 18:41 - 0000000 ____D C:\Program Files\Bonjour
2012-02-04 18:41 - 2012-02-04 18:41 - 0000000 ____D C:\Program Files (x86)\Bonjour
========================= Known DLLs (Whitelisted) ============
========================= Bamital & volsnap Check ============
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe
[2009-07-14 00:41] - [2009-07-14 02:14] - 2613248 ____A (Microsoft Corporation) 15BC38A7492BEFE831966ADB477CF76F
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
========================= Memory info ======================
Percentage of memory in use: 14%
Total physical RAM: 4095.18 MB
Available physical RAM: 3501.7 MB
Total Pagefile: 4093.33 MB
Available Pagefile: 3488.36 MB
Total Virtual: 8192 MB
Available Virtual: 8191.9 MB
======================= Partitions =========================
2 Drive c: () (Fixed) (Total:186.21 GB) (Free:0.93 GB) NTFS
4 Drive f: (Volume) (Fixed) (Total:298.09 GB) (Free:14.27 GB) NTFS
5 Drive g: () (Removable) (Total:0.93 GB) (Free:0.08 GB) FAT
6 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
7 Drive y: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]
Datentr„ger ### Status Gr”áe Frei Dyn GPT
--------------- ------------- ------- ------- --- ---
Datentr„ger 0 Online 186 GB 0 B
Datentr„ger 1 Online 298 GB 1024 KB
Datentr„ger 2 Online 957 MB 0 B
Partitions of Disk 0:
===============
Partition ### Typ GrӇe Offset
------------- ---------------- ------- -------
Partition 1 Prim„r 100 MB 1024 KB
Partition 2 Prim„r 186 GB 101 MB
======================================================================================================
Disk: 0
Partition 1
Typ : 07
Versteckt: Nein
Aktiv : Ja
Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 1 Y System-rese NTFS Partition 100 MB Fehlerfre
======================================================================================================
Disk: 0
Partition 2
Typ : 07
Versteckt: Nein
Aktiv : Nein
Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 2 C NTFS Partition 186 GB Fehlerfre
======================================================================================================
Partitions of Disk 1:
===============
Partition ### Typ GrӇe Offset
------------- ---------------- ------- -------
Partition 1 Prim„r 298 GB 31 KB
======================================================================================================
Disk: 1
Partition 1
Typ : 07
Versteckt: Nein
Aktiv : Nein
Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 3 F Volume NTFS Partition 298 GB Fehlerfre
======================================================================================================
Partitions of Disk 2:
===============
Partition ### Typ GrӇe Offset
------------- ---------------- ------- -------
Partition 1 Prim„r 957 MB 80 KB
======================================================================================================
Disk: 2
Partition 1
Typ : 0E
Versteckt: Nein
Aktiv : Ja
Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 4 G FAT Wechselmed 957 MB Fehlerfre
======================================================================================================
==========================================================
Last Boot: 2012-04-09 17:19
======================= End Of Log ==========================
|
|
20.04.2012, 07:28
| #8 |
| /// Malwareteam | PC stürzt nach erfolgreichem Virenscan ständig ab Du hast das ZeroAccess-Rootkit auf dem Rechner - dessen Entfernung könnte ein wenig holprig werden! Werden nur seine Dateien entfernt, stürzt Windows beim Start unweigerlich ab, wie dir ja aufgefallen ist. Schritt 1: Fix mit FRST64 Drücke bitte die  + R Taste und schreibe notepad in das Ausführen Fenster.Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter HKU\Ullby\...\Policies\system: [DisableRegedit] 1
HKU\Ullby\...\Winlogon: [Shell] C:\Users\Ullby\AppData\Roaming\gema\gema.exe,Explorer.exe,
HKLM\...\Winlogon: [Shell] C:\Windows\Temp\qavmpw\setup.exe [x ] ()
SubSystems: [Windows] ==> ZeroAccess
C:\Users\Ullby\AppData\Roaming\gema\gema.exe
C:\Windows\Temp\qavmpw\setup.exe
Der Rechner sollte nun wieder normal starten. Schritt 2: defogger Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung. Schritt 3: Scan mit TDSS-Killer Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop
Schritt 4: aswMBR Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Schritt 5: DDS Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. dds.com dds.scr dds.pif
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
20.04.2012, 12:45
| #9 |
| | PC stürzt nach erfolgreichem Virenscan ständig ab Wo genau soll ich Windows Taste + R drücken ? Hätte gedacht nach der "Computer reparieren" wahl. So hier die Daten aus dem Fixlog und ein schönes Wochenende !  Code:
ATTFilter Fix result of Farbar Recovery Scan Tool (FRST written by farbar) Version: 19-04-2012
Ran by SYSTEM at 2012-04-20 15:21:24 R:1
Running from G:\
==============================================
HKEY_USERS\Ullby\Software\Microsoft\Windows\CurrentVersion\Policies\system\\DisableRegedit Value deleted successfully.
HKEY_USERS\Ullby\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell Value deleted successfully.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell Value was restored.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\SubSystems\\Windows Value was restored.
C:\Users\Ullby\AppData\Roaming\gema\gema.exe not found.
C:\Windows\Temp\qavmpw\setup.exe not found.
==== End of Fixlog ====
Die rechte Maustaste wird nicht erkannt, weder auf dem Desktop noch in einem der Ordner außer in Textdokumenten. Sie funktioniert aber auf jeder I-Net Seite. Kann ich defogger etc dann einfach normal starten ? |
|
21.04.2012, 11:10
| #10 |
| /// Malwareteam | PC stürzt nach erfolgreichem Virenscan ständig ab Führe die anderen Schritte noch aus - dein Rechner ist noch lange nicht clean!! Der defogger kann und wird das Problem nicht lösen!
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
21.04.2012, 15:14
| #11 | |
| /// Malwareteam | PC stürzt nach erfolgreichem Virenscan ständig ab Combofix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
21.04.2012, 15:57
| #12 |
| | PC stürzt nach erfolgreichem Virenscan ständig ab Combofix : Combofix Logfile: Code:
ATTFilter ComboFix 12-04-20.03 - Ullby 21.04.2012 16:40:17.1.4 - x64
Microsoft Windows 7 Professional 6.1.7600.0.1252.49.1031.18.4095.2483 [GMT 2:00]
ausgeführt von:: c:\users\Ullby\Desktop\ComboFix.exe
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Ullby\AppData\Local\assembly\tmp
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\auth.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\burnlib.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\dsp_sps.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\enc_aacplus.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\enc_flac.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\enc_lame.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\enc_vorbis.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\enc_wav.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\enc_wma.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\gen_classicart.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\gen_crasher.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\gen_ff.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\gen_find_on_disk.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\gen_hotkeys.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\gen_jumpex.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\gen_ml.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\gen_nopro.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\gen_orgler.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\gen_skinmanager.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\gen_timerestore.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\gen_tray.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\gen_undo.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\in_avi.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\in_cdda.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\in_dshow.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\in_flac.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\in_flv.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\in_linein.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\in_midi.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\in_mkv.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\in_mod.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\in_mp3.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\in_mp4.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\in_nsv.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\in_swf.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\in_vorbis.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\in_wav.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\in_wave.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\in_wm.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\in_wv.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\ml_addons.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\ml_autotag.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\ml_bookmarks.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\ml_devices.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\ml_disc.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\ml_downloads.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\ml_enqplay.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\ml_history.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\ml_impex.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\ml_local.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\ml_nowplaying.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\ml_online.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\ml_orb.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\ml_playlists.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\ml_plg.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\ml_pmp.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\ml_rg.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\ml_transcode.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\ml_wire.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\ombrowser.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\out_disk.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\out_ds.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\out_wave.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\playlist.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\pmp_activesync.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\pmp_android.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\pmp_ipod.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\pmp_njb.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\pmp_p4s.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\pmp_usb.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\pmp_wifi.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\tagz.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\vis_avs.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\vis_milk2.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\vis_nsfs.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\winamp.lng
c:\users\Ullby\AppData\Local\Temp\WLZ9B63.tmp\winampa.lng
c:\windows\assembly\GAC_32\Desktop.ini
c:\windows\assembly\GAC_64\Desktop.ini
c:\windows\assembly\temp\@
c:\windows\assembly\temp\cfg.ini
c:\windows\jestertb.dll
c:\windows\security\Database\tmp.edb
c:\windows\system32\dds_trash_log.cmd
c:\windows\system32\drivers\etc\hosts.ics
E:\install.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-03-21 bis 2012-04-21 ))))))))))))))))))))))))))))))
.
.
2012-04-21 14:46 . 2012-04-21 14:46 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-04-20 21:34 . 2012-04-20 21:34 -------- d-----w- c:\windows\system32\appmgmt
2012-04-20 21:29 . 2012-04-20 21:29 -------- d-----w- c:\programdata\Battle.net
2012-04-19 15:02 . 2012-04-19 15:03 -------- d-----w- C:\FRST
2012-04-14 00:18 . 2012-04-14 00:18 -------- d-----we c:\windows\system64
2012-04-09 18:14 . 2012-04-09 20:09 -------- d-----w- c:\programdata\EA Logs
2012-04-04 14:20 . 2012-04-13 22:27 8741536 ----a-w- c:\windows\SysWow64\FlashPlayerInstaller.exe
2012-04-04 05:45 . 2012-04-13 22:27 418464 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2012-03-24 17:59 . 2012-03-24 17:59 -------- d-----w- c:\programdata\ATI
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-21 13:31 . 2010-12-22 17:42 283304 ----a-w- c:\windows\SysWow64\PnkBstrB.xtr
2012-04-21 13:31 . 2010-12-22 14:45 283304 ----a-w- c:\windows\SysWow64\PnkBstrB.exe
2012-04-21 13:31 . 2010-12-22 14:45 280904 ----a-w- c:\windows\SysWow64\PnkBstrB.ex0
2012-04-13 22:27 . 2011-05-18 14:34 70304 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-04-09 18:24 . 2010-12-22 14:45 76888 ----a-w- c:\windows\SysWow64\PnkBstrA.exe
2012-02-15 10:01 . 2012-02-15 10:01 52736 ----a-w- c:\windows\system32\drivers\usbaapl64.sys
2012-02-15 10:01 . 2012-02-15 10:01 4547944 ----a-w- c:\windows\system32\usbaaplrc.dll
2012-02-14 21:05 . 2012-02-14 21:05 69632 ----a-w- c:\windows\system32\OpenVideo64.dll
2012-02-14 21:05 . 2012-02-14 21:05 59904 ----a-w- c:\windows\SysWow64\OpenVideo.dll
2012-02-14 21:05 . 2012-02-14 21:05 61952 ----a-w- c:\windows\system32\OVDecode64.dll
2012-02-14 21:05 . 2012-02-14 21:05 54784 ----a-w- c:\windows\SysWow64\OVDecode.dll
2012-02-14 21:05 . 2012-02-14 21:05 16507904 ----a-w- c:\windows\system32\amdocl64.dll
2012-02-14 21:04 . 2012-02-14 21:04 13238272 ----a-w- c:\windows\SysWow64\amdocl.dll
2012-02-14 21:03 . 2012-02-14 21:03 54272 ----a-w- c:\windows\system32\OpenCL.dll
2012-02-14 21:03 . 2012-02-14 21:03 48128 ----a-w- c:\windows\SysWow64\OpenCL.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
R2 AODDriver4.01;AODDriver4.01;c:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [x]
R3 AODDriver4.0;AODDriver4.0;c:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [x]
R3 EagleX64;EagleX64;c:\windows\system32\drivers\EagleX64.sys [x]
R3 RTL8023x64;Realtek 10/100-Netzwerkkartenfamilie-NDIS-x64-Treiber;c:\windows\system32\DRIVERS\Rtnic64.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R4 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-13 253088]
R4 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
R4 AMD FUEL Service;AMD FUEL Service;c:\users\Ullby\Desktop\ATI.ACE\Fuel\Fuel.Service.exe [2012-02-14 361984]
R4 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-05-01 136360]
R4 ICQ Service;ICQ Service;c:\program files (x86)\ICQ6Toolbar\ICQ Service.exe [2010-09-06 247096]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
S2 AODDriver4.1;AODDriver4.1;c:\users\Ullby\Desktop\ATI.ACE\Fuel\amd64\AODDriver2.sys [2012-01-03 55936]
S3 amdiox64;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox64.sys [x]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [x]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2012-04-21 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-04 22:27]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
deltafw
igfx
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyServer = 146.57.249.98:3128
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube Download - c:\users\Ullby\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\users\Ullby\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: {{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - c:\program files (x86)\ICQ7.2\ICQ7.4\ICQ.exe
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{90F8E880-893B-44CF-BF30-5746AD3DFE08}: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{CEF2B0CE-5603-4E6D-BB42-C7CAF0FB67C4}: NameServer = 192.168.1.1
FF - ProfilePath - c:\users\Ullby\AppData\Roaming\Mozilla\Firefox\Profiles\xwqt6cjl.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.ftp - 146.57.249.98
FF - prefs.js: network.proxy.ftp_port - 3128
FF - prefs.js: network.proxy.http - 146.57.249.98
FF - prefs.js: network.proxy.http_port - 3128
FF - prefs.js: network.proxy.socks - 146.57.249.98
FF - prefs.js: network.proxy.socks_port - 3128
FF - prefs.js: network.proxy.ssl - 146.57.249.98
FF - prefs.js: network.proxy.ssl_port - 3128
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Free Audio CD Burner_is1 - c:\program files (x86)\DVDVideoSoft\Free Audio CD Burner\unins000.exe
AddRemove-Free Video to MP3 Converter_is1 - c:\program files (x86)\DVDVideoSoft\Free Video to MP3 Converter\unins000.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-2452620630-2399284679-4211720528-1001\Software\SecuROM\License information*]
"datasecu"=hex:f7,a1,4a,9f,63,41,1c,31,dd,0f,ca,9c,f6,be,e9,3c,2d,4d,b0,5f,67,
1b,02,ec,2d,27,8b,23,dc,97,97,6b,72,b7,80,b7,ea,02,05,f5,19,d8,9a,c8,3d,60,\
"rkeysecu"=hex:16,26,5d,b5,22,2f,fc,e5,ad,7e,7d,5d,97,08,4d,e1
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_2_202_233_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_2_202_233_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_233.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_233.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_233.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_233.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\SysWOW64\PnkBstrA.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-04-21 16:54:18 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-04-21 14:54
.
Vor Suchlauf: 2.141.478.912 Bytes frei
Nach Suchlauf: 1.946.578.944 Bytes frei
.
- - End Of File - - 33A3F21EFD2E6BE5D589D4D1673C1B74
|
|
21.04.2012, 17:59
| #13 |
| /// Malwareteam | PC stürzt nach erfolgreichem Virenscan ständig ab Schritt 1: CF Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code:
ATTFilter DDS::
uInternet Settings,ProxyServer = 146.57.249.98:3128
FIREFOX::
FF - ProfilePath - c:\users\Ullby\AppData\Roaming\Mozilla\Firefox\Profiles\xwqt6cjl.default\
FF - prefs.js: network.proxy.ftp - 146.57.249.98
FF - prefs.js: network.proxy.ftp_port - 3128
FF - prefs.js: network.proxy.http - 146.57.249.98
FF - prefs.js: network.proxy.http_port - 3128
FF - prefs.js: network.proxy.socks - 146.57.249.98
FF - prefs.js: network.proxy.socks_port - 3128
FF - prefs.js: network.proxy.ssl - 146.57.249.98
FF - prefs.js: network.proxy.ssl_port - 3128
FF - prefs.js: network.proxy.type - 0
Wichtig:
Schritt 2: MBAM Downloade Dir bitte Malwarebytes
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
23.04.2012, 08:57
| #14 |
| /// Malwareteam | PC stürzt nach erfolgreichem Virenscan ständig ab Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
23.04.2012, 15:55
| #15 |
| | PC stürzt nach erfolgreichem Virenscan ständig ab So, der Berufsalltag hat mich wieder, daher ne Verzögerung. ComboFix : Combofix Logfile: Code:
ATTFilter ComboFix 12-04-20.03 - Ullby 22.04.2012 14:40:27.2.4 - x64
Microsoft Windows 7 Professional 6.1.7600.0.1252.49.1031.18.4095.3121 [GMT 2:00]
ausgeführt von:: c:\users\Ullby\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Ullby\Desktop\CFScript.txt
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\auth.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\burnlib.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\dsp_sps.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\enc_aacplus.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\enc_flac.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\enc_lame.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\enc_vorbis.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\enc_wav.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\enc_wma.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\gen_classicart.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\gen_crasher.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\gen_ff.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\gen_find_on_disk.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\gen_hotkeys.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\gen_jumpex.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\gen_ml.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\gen_nopro.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\gen_orgler.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\gen_skinmanager.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\gen_timerestore.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\gen_tray.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\gen_undo.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\in_avi.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\in_cdda.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\in_dshow.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\in_flac.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\in_flv.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\in_linein.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\in_midi.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\in_mkv.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\in_mod.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\in_mp3.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\in_mp4.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\in_nsv.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\in_swf.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\in_vorbis.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\in_wav.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\in_wave.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\in_wm.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\in_wv.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\ml_addons.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\ml_autotag.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\ml_bookmarks.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\ml_devices.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\ml_disc.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\ml_downloads.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\ml_enqplay.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\ml_history.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\ml_impex.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\ml_local.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\ml_nowplaying.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\ml_online.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\ml_orb.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\ml_playlists.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\ml_plg.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\ml_pmp.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\ml_rg.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\ml_transcode.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\ml_wire.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\ombrowser.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\out_disk.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\out_ds.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\out_wave.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\playlist.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\pmp_activesync.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\pmp_android.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\pmp_ipod.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\pmp_njb.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\pmp_p4s.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\pmp_usb.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\pmp_wifi.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\tagz.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\vis_avs.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\vis_milk2.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\vis_nsfs.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\winamp.lng
c:\users\Ullby\AppData\Local\Temp\WLZB8CD.tmp\winampa.lng
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-03-22 bis 2012-04-22 ))))))))))))))))))))))))))))))
.
.
2012-04-22 12:46 . 2012-04-22 12:46 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-04-20 21:34 . 2012-04-20 21:34 -------- d-----w- c:\windows\system32\appmgmt
2012-04-20 21:29 . 2012-04-20 21:29 -------- d-----w- c:\programdata\Battle.net
2012-04-19 15:02 . 2012-04-19 15:03 -------- d-----w- C:\FRST
2012-04-14 00:18 . 2012-04-14 00:18 -------- d-----we c:\windows\system64
2012-04-09 18:14 . 2012-04-09 20:09 -------- d-----w- c:\programdata\EA Logs
2012-04-04 14:20 . 2012-04-13 22:27 8741536 ----a-w- c:\windows\SysWow64\FlashPlayerInstaller.exe
2012-04-04 05:45 . 2012-04-13 22:27 418464 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2012-03-24 17:59 . 2012-03-24 17:59 -------- d-----w- c:\programdata\ATI
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-21 15:29 . 2010-12-22 17:42 283304 ----a-w- c:\windows\SysWow64\PnkBstrB.xtr
2012-04-21 15:29 . 2010-12-22 14:45 283304 ----a-w- c:\windows\SysWow64\PnkBstrB.exe
2012-04-21 15:28 . 2010-12-22 14:45 280904 ----a-w- c:\windows\SysWow64\PnkBstrB.ex0
2012-04-13 22:27 . 2011-05-18 14:34 70304 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-04-09 18:24 . 2010-12-22 14:45 76888 ----a-w- c:\windows\SysWow64\PnkBstrA.exe
2012-02-15 10:01 . 2012-02-15 10:01 52736 ----a-w- c:\windows\system32\drivers\usbaapl64.sys
2012-02-15 10:01 . 2012-02-15 10:01 4547944 ----a-w- c:\windows\system32\usbaaplrc.dll
2012-02-14 21:05 . 2012-02-14 21:05 69632 ----a-w- c:\windows\system32\OpenVideo64.dll
2012-02-14 21:05 . 2012-02-14 21:05 59904 ----a-w- c:\windows\SysWow64\OpenVideo.dll
2012-02-14 21:05 . 2012-02-14 21:05 61952 ----a-w- c:\windows\system32\OVDecode64.dll
2012-02-14 21:05 . 2012-02-14 21:05 54784 ----a-w- c:\windows\SysWow64\OVDecode.dll
2012-02-14 21:05 . 2012-02-14 21:05 16507904 ----a-w- c:\windows\system32\amdocl64.dll
2012-02-14 21:04 . 2012-02-14 21:04 13238272 ----a-w- c:\windows\SysWow64\amdocl.dll
2012-02-14 21:03 . 2012-02-14 21:03 54272 ----a-w- c:\windows\system32\OpenCL.dll
2012-02-14 21:03 . 2012-02-14 21:03 48128 ----a-w- c:\windows\SysWow64\OpenCL.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2012-04-21_14.49.19 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-12-12 09:39 . 2012-04-22 13:33 43192 c:\windows\system64\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 05:10 . 2012-04-22 13:33 26450 c:\windows\system64\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2010-12-11 10:31 . 2012-04-22 13:33 10430 c:\windows\system64\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2452620630-2399284679-4211720528-1001_UserData.bin
+ 2010-12-12 09:39 . 2012-04-22 13:33 43192 c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 05:10 . 2012-04-22 13:33 26450 c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2010-12-11 10:31 . 2012-04-22 13:33 10430 c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2452620630-2399284679-4211720528-1001_UserData.bin
+ 2010-12-11 10:04 . 2012-04-22 12:04 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2010-12-11 10:04 . 2012-04-21 14:14 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-12-11 10:04 . 2012-04-22 12:04 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2010-12-11 10:04 . 2012-04-21 14:14 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 05:01 . 2012-04-22 12:46 327948 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
- 2009-07-14 05:01 . 2012-04-21 14:46 327948 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2010-12-11 23:31 . 2012-04-22 12:46 9175813 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-2452620630-2399284679-4211720528-1001-12288.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
R2 AODDriver4.01;AODDriver4.01;c:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [x]
R3 AODDriver4.0;AODDriver4.0;c:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [x]
R3 EagleX64;EagleX64;c:\windows\system32\drivers\EagleX64.sys [x]
R3 RTL8023x64;Realtek 10/100-Netzwerkkartenfamilie-NDIS-x64-Treiber;c:\windows\system32\DRIVERS\Rtnic64.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R4 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-13 253088]
R4 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
R4 AMD FUEL Service;AMD FUEL Service;c:\users\Ullby\Desktop\ATI.ACE\Fuel\Fuel.Service.exe [2012-02-14 361984]
R4 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-05-01 136360]
R4 ICQ Service;ICQ Service;c:\program files (x86)\ICQ6Toolbar\ICQ Service.exe [2010-09-06 247096]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
S2 AODDriver4.1;AODDriver4.1;c:\users\Ullby\Desktop\ATI.ACE\Fuel\amd64\AODDriver2.sys [2012-01-03 55936]
S3 amdiox64;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox64.sys [x]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [x]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-04-22 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-04 22:27]
.
.
--------- x86-64 -----------
.
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
deltafw
igfx
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.de/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube Download - c:\users\Ullby\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\users\Ullby\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: {{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - c:\program files (x86)\ICQ7.2\ICQ7.4\ICQ.exe
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{90F8E880-893B-44CF-BF30-5746AD3DFE08}: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{CEF2B0CE-5603-4E6D-BB42-C7CAF0FB67C4}: NameServer = 192.168.1.1
FF - ProfilePath - c:\users\Ullby\AppData\Roaming\Mozilla\Firefox\Profiles\xwqt6cjl.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-2452620630-2399284679-4211720528-1001\Software\SecuROM\License information*]
"datasecu"=hex:f7,a1,4a,9f,63,41,1c,31,dd,0f,ca,9c,f6,be,e9,3c,2d,4d,b0,5f,67,
1b,02,ec,2d,27,8b,23,dc,97,97,6b,72,b7,80,b7,ea,02,05,f5,19,d8,9a,c8,3d,60,\
"rkeysecu"=hex:16,26,5d,b5,22,2f,fc,e5,ad,7e,7d,5d,97,08,4d,e1
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_2_202_233_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_2_202_233_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_233.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_233.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_233.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_233.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\SysWOW64\PnkBstrA.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-04-22 15:37:08 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-04-22 13:37
ComboFix2.txt 2012-04-21 14:54
.
Vor Suchlauf: 1.909.075.968 Bytes frei
Nach Suchlauf: 2.329.669.632 Bytes frei
.
- - End Of File - - FF083DBBA36D4477BE2F09DB11ACE9B8
MBAM : Code:
ATTFilter Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.04.23.03 Windows 7 x64 NTFS Internet Explorer 8.0.7600.16385 Ullby :: ULLBY-PC [Administrator] 23.04.2012 15:15:49 mbam-log-2012-04-23 (15-15-49).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 475230 Laufzeit: 1 Stunde(n), 20 Minute(n), 8 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 E:\Diashow\AquaSoft\DiaShow Studio 6\Data\Start.exe (Trojan.Autorun) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
|
| Themen zu PC stürzt nach erfolgreichem Virenscan ständig ab |
| abgesicherten, aktuelle, antivir, board, dateien, daten, desktop, eingefangen, folge, fund, gelöscht, gen, hallo zusammen, komplett, modus, namen, neu, offline, rechner, scan, spybot, stürzt ab, tr/atraps.gen, tr/atraps.gen2, trojaner, virenscan, windows |
Hybrid-Darstellung
