Hallo trojaner-board Team,

Ich war schon einmal hier mit einem Problem und konnte es mit eurer Hilfe beseitigen. Nun hat meine Mutter ein größeres problem mit ihrem Rechner und ich hatte die Hoffnung jemand von euch könnte sich diesem Problem annehmen. Der Rechner von meiner Mutter bootet nicht mehr. Weder im normalen noch im abgesicherten Modus. Bis zum Windows-Bildschirm verläuft alles normal. Dann kommt ein schwarzer Bildschirm. Die Maus scheint wohl noch erkennbar und bewegbar zu sein, aber das war's dann auch.

Sie kommt daher leider an keine Logs ran. In der Vergangenheit gab es wohl öfters Probleme beim Herunterfahren oder auch beim Hochfahren. Der Rechner hing sich wohl gerne mal auf dabei. Sie ist nun ratlos und ich kann ihr leider auch nicht helfen. Habt ihr eine Idee?

Viele Grüße,
Farms

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:

• Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags). Nicht anhängen ausser ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
• Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
• Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
• Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
• Eine Bitte: Mache bitte solange mit, bis ich oder ein anderer Helfer dir mitteilt, dass du "sauber" bist. Das gebietet alleine schon die Höflichkeit und ein Verschwinden der Symptome bedeutet nicht, dass die Schädlinge auch wirklich alle entfernt wurden.
• Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.

Wenn du das alles gelesen und verstanden hast, kannst du loslegen!

Welches Windows?
32 oder 64bit?

Hallo ryder,

Erst mal Danke, dass du dich der Sache annimmst! Ich werde natürlich keine Cross Postings oder ähnliches machen. Aber ich muss gestehen, dass ich mir den Rechner heute angesehen habe und etwas dran rumgespielt habe (ich bin nicht so oft bei meinen Eltern).

Ich habe eine Systemwiederherstellung durchgeführt, wonach der Rechner meldete, dass keine Änderung am System vorlag. Dann habe ich eine Boot-Prüfung durchführen lassen und im Anschluss ging das Booten wieder. Es wäre vermutlich dennoch vorteilhaft ihn mal durchzuchecken.

Leider kann ich jetzt nicht sagen, wieviel bit das Betriebssystem hat. Meine Mutter ist nicht zu Hause, aber es handelt sich um einen 3 Jahre alten Rechner mit Windows 7. Ich vermute daher 64 bit. Ich weiß, dass solche schwammigen Aussagen wenig hilfreich sind, daher werd ich das morgen herausfinden und dann hier posten.

Na okay - ich poste dir mal beide Versionen und du wählst die passende aus:

Scan mit Farbar's Recovery Scan Tool (FRST 32bit)

Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick.

Schließe den USB Stick an das infizierte System an

Du musst das System nun in die System Reparatur Option booten.

Über den Boot Manager

• Starte den Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und starte von der CD
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !!
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Scan mit Farbar's Recovery Scan Tool (FRST 64bit)

Downloade dir bitte Farbar Recovery Scan Tool 64-Bit und speichere diese auf einen USB Stick.

Schließe den USB Stick an das infizierte System an

Du musst das System nun in die System Reparatur Option booten.

Über den Boot Manager

• Starte den Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und starte von der CD
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !!
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Dankeschön! Sie hat ein 64 bit System und folgt nun den Anweisungen (das ist alles ziemlich kompliziert über Telefon/Mail ). Ich kann den Farbar Log dann leider erst morgen posten, weil ich nun außer Haus bin.

Hallo ryder! Hier der Log (ich habe ihren Namen durch "XXX" ersetzt):

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 23-11-2012 (ATTENTION: FRST version is 8 days old)
Ran by SYSTEM at 01-12-2012 17:55:03
Running from D:\
Windows 7 Home Premium   (X64) OS Language: German Standard 
The current controlset is ControlSet001

==================== Registry (Whitelisted) ===================

HKLM\...\Run: [IAAnotif] C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe [186904 2009-06-04] (Intel Corporation)
HKLM\...\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [7981088 2009-07-20] (Realtek Semiconductor)
HKLM\...\Run: [mwlDaemon] C:\Program Files (x86)\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe [349480 2009-08-06] (Egis Technology Inc.)
HKLM-x32\...\Run: [BackupManagerTray] "C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" -h -k [261888 2009-08-12] (NewTech Infosystems, Inc.)
HKLM-x32\...\Run: [Hotkey Utility] C:\Program Files (x86)\Acer\Hotkey Utility\HotkeyUtility.exe [629280 2009-08-17] ()
HKLM-x32\...\Run: [EgisTecLiveUpdate] "C:\Program Files (x86)\EgisTec Egis Software Update\EgisUpdate.exe" [199464 2009-08-03] (Egis Technology Inc.)
HKLM-x32\...\Run: [NortonOnlineBackupReminder] "C:\Program Files (x86)\Symantec\Norton Online Backup\Activation\NobuActivation.exe" UNATTENDED [588648 2009-07-24] (Symantec Corporation)
HKLM-x32\...\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun [98304 2009-07-02] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [ArcadeDeluxeAgent] "C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe" [128296 2009-07-31] (CyberLink Corp.)
HKLM-x32\...\Run: [PlayMovie] "C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe" [181480 2009-08-04] (Acer Corp.)
HKLM-x32\...\Run: [AVMWlanClient] C:\Program Files (x86)\avmwlanstick\wlangui.exe [1904640 2009-03-19] (AVM Berlin)
HKLM-x32\...\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime [417792 2009-09-04] (Apple Inc.)
HKLM-x32\...\Run: []  [x]
HKLM-x32\...\Run: [RoxWatchTray] "C:\Program Files (x86)\Common Files\Roxio Shared\12.0\SharedCOM\RoxWatchTray12.exe" [240112 2009-07-23] (Sonic Solutions)
HKLM-x32\...\Run: [CPMonitor] "C:\Program Files (x86)\Roxio 2010\5.0\CPMonitor.exe" [84464 2009-07-21] ()
HKLM-x32\...\Run: [Desktop Disc Tool] "C:\Program Files (x86)\Roxio 2010\Roxio Burn\RoxioBurnLauncher.exe" [494064 2009-06-22] ()
HKLM-x32\...\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min [281768 2011-04-20] (Avira GmbH)
HKLM-x32\...\Run: [ArcSoft Connection Service] C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe [207424 2010-10-27] (ArcSoft Inc.)
HKLM-x32\...\Run: [TrayServer] C:\Program Files (x86)\MAGIX\Video_deluxe_15_Plus\TrayServer.exe [90112 2008-08-07] (MAGIX AG)
HKLM-x32\...\Run: [DivXUpdate] "C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW [1164584 2010-08-31] ()
HKLM-x32\...\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" [248552 2010-05-14] (Sun Microsystems, Inc.)
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [35760 2010-09-22] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [843712 2012-01-02] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [ISTray] "C:\Program Files (x86)\PC Tools Security\pctsGui.exe" /hideGUI [1589208 2011-01-13] (PC Tools)
HKLM-x32\...\Run: [LifeCam] "C:\Program Files (x86)\Microsoft LifeCam\LifeExp.exe" [119152 2010-05-20] (Microsoft Corporation)
HKU\Default\...\RunOnce: [ScrSav] C:\Program Files (x86)\Acer\Screensaver\run_Acer.exe /default [162336 2009-07-21] ()
HKU\Default User\...\RunOnce: [ScrSav] C:\Program Files (x86)\Acer\Screensaver\run_Acer.exe /default [162336 2009-07-21] ()
HKU\XXX\...\Run: [Global Registration] "C:\Program Files (x86)\Acer\Registration\GREG.exe" BOOT [2844704 2009-07-30] (Acer Incorporated)
HKU\XXX\...\Run: [IncrediMail] C:\Program Files (x86)\IncrediMail\bin\IncMail.exe /c [366024 2011-09-19] (IncrediMail, Ltd.)
HKU\XXX\...\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [39408 2009-08-14] (Google Inc.)
HKU\XXX\...\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe [9728 2009-07-13] (Microsoft Corporation)
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1

==================== Services (Whitelisted) ===================

2 ACDaemon; C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [113152 2010-03-18] (ArcSoft Inc.)
3 Adobe LM Service; "C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe" [72704 2010-12-26] (Adobe Systems)
2 AntiVirSchedulerService; "C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe" [136360 2011-04-20] (Avira GmbH)
2 AntiVirService; "C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe" [269480 2011-07-10] (Avira GmbH)
2 AVM WLAN Connection Service; C:\Program Files (x86)\avmwlanstick\WlanNetService.exe [368640 2009-03-19] (AVM Berlin)
3 FirebirdServerMAGIXInstance; C:\Program Files (x86)\MAGIX\Common\Database\bin\fbserver.exe [1527900 2005-11-17] (MAGIX®)
3 getPlusHelper; C:\Program Files (x86)\NOS\bin\getPlus_Helper.dll [67360 2009-12-17] (NOS Microsystems Ltd.)
3 McComponentHostService; "C:\Program Files (x86)\McAfee Security Scan\2.0.181\McCHSvc.exe" [227232 2010-01-15] (McAfee, Inc.)
2 MWLService; C:\Program Files (x86)\EgisTec\MyWinLocker 3\x86\\MWLService.exe [311592 2009-08-06] (Egis Technology Inc.)
3 nosGetPlusHelper; C:\Program Files (x86)\NOS\bin\getPlus_Helper_3004.dll [66112 2010-07-26] (NOS Microsystems Ltd.)
2 sdAuxService; C:\Program Files (x86)\PC Tools Security\pctsAuxs.exe [366840 2010-03-15] (PC Tools)
2 sdCoreService; C:\Program Files (x86)\PC Tools Security\pctsSvc.exe [1150936 2010-11-18] (PC Tools)

==================== Drivers (Whitelisted) =====================

3 61883; C:\Windows\System32\Drivers\61883.sys [60288 2009-07-13] (Microsoft Corporation)
2 avgntflt; C:\Windows\System32\Drivers\avgntflt.sys [88288 2011-07-10] (Avira GmbH)
1 avipbb; C:\Windows\System32\Drivers\avipbb.sys [123784 2011-07-10] (Avira GmbH)
3 avmeject; C:\Windows\System32\Drivers\avmeject.sys [14120 2009-03-19] (AVM Berlin)
1 cdrbsdrv; C:\Windows\System32\Drivers\cdrbsdrv.sys [39208 2006-08-25] (B.H.A Corporation)
3 FWLANUSB; C:\Windows\System32\Drivers\FWLANUSB.sys [460800 2009-03-19] (AVM GmbH)
3 OV550I; C:\Windows\System32\Drivers\ov550ivx.sys [196992 2008-02-21] (Omnivision Technologies, Inc.)
0 PCTCore; C:\Windows\System32\drivers\PCTCore64.sys [257232 2010-12-10] (PC Tools)
0 pctDS; C:\Windows\System32\drivers\pctDS64.sys [452872 2010-06-29] (PC Tools)
0 pctEFA; C:\Windows\System32\drivers\pctEFA64.sys [816016 2010-07-16] (PC Tools)

==================== NetSvcs (Whitelisted) ====================


==================== One Month Created Files and Folders ========

2012-12-01 17:54 - 2012-12-01 17:54 - 00000000 ____D C:\FRST
2012-12-01 08:32 - 2012-07-25 20:55 - 00785512 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\Wdf01000.sys
2012-12-01 08:32 - 2012-07-25 20:55 - 00054376 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\WdfLdr.sys
2012-12-01 08:32 - 2012-07-25 18:36 - 00009728 ____A (Microsoft Corporation) C:\Windows\System32\Wdfres.dll
2012-12-01 08:32 - 2012-06-02 06:35 - 00000003 ____A C:\Windows\System32\Drivers\MsftWdf_Kernel_01011_Inbox_Critical.Wdf
2012-11-30 08:13 - 2012-10-08 04:19 - 17811968 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2012-11-30 08:13 - 2012-10-08 03:42 - 10925568 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2012-11-30 08:13 - 2012-10-08 03:31 - 02312704 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2012-11-30 08:13 - 2012-10-08 03:24 - 01346048 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2012-11-30 08:13 - 2012-10-08 03:23 - 01392128 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2012-11-30 08:13 - 2012-10-08 03:22 - 01494528 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2012-11-30 08:13 - 2012-10-08 03:22 - 00237056 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2012-11-30 08:13 - 2012-10-08 03:20 - 00085504 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2012-11-30 08:13 - 2012-10-08 03:18 - 00173056 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2012-11-30 08:13 - 2012-10-08 03:17 - 00816640 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2012-11-30 08:13 - 2012-10-08 03:17 - 00599040 ____A (Microsoft Corporation) C:\Windows\System32\vbscript.dll
2012-11-30 08:13 - 2012-10-08 03:15 - 02144768 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2012-11-30 08:13 - 2012-10-08 03:15 - 00729088 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2012-11-30 08:13 - 2012-10-08 03:13 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2012-11-30 08:13 - 2012-10-08 03:13 - 00096768 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2012-11-30 08:13 - 2012-10-08 03:09 - 00248320 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2012-11-30 08:13 - 2012-10-08 00:28 - 12320768 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2012-11-30 08:13 - 2012-10-08 00:02 - 09738240 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2012-11-30 08:13 - 2012-10-07 23:56 - 01800704 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2012-11-30 08:13 - 2012-10-07 23:48 - 01129472 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2012-11-30 08:13 - 2012-10-07 23:48 - 01103872 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2012-11-30 08:13 - 2012-10-07 23:47 - 01427968 ____A (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2012-11-30 08:13 - 2012-10-07 23:46 - 00231936 ____A (Microsoft Corporation) C:\Windows\SysWOW64\url.dll
2012-11-30 08:13 - 2012-10-07 23:45 - 00065024 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2012-11-30 08:13 - 2012-10-07 23:44 - 00142848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2012-11-30 08:13 - 2012-10-07 23:43 - 00717824 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2012-11-30 08:13 - 2012-10-07 23:43 - 00420864 ____A (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2012-11-30 08:13 - 2012-10-07 23:42 - 00607744 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2012-11-30 08:13 - 2012-10-07 23:41 - 01793024 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2012-11-30 08:13 - 2012-10-07 23:41 - 00073216 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2012-11-30 08:13 - 2012-10-07 23:40 - 02382848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2012-11-30 08:13 - 2012-10-07 23:37 - 00176640 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2012-11-30 08:10 - 2012-10-18 10:18 - 03147264 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2012-11-30 08:10 - 2012-09-25 14:39 - 00095744 ____A (Microsoft Corporation) C:\Windows\System32\synceng.dll
2012-11-30 08:10 - 2012-09-25 13:55 - 00078336 ____A (Microsoft Corporation) C:\Windows\SysWOW64\synceng.dll
2012-11-30 08:09 - 2012-07-25 19:08 - 00744448 ____A (Microsoft Corporation) C:\Windows\System32\WUDFx.dll
2012-11-30 08:09 - 2012-07-25 19:08 - 00229888 ____A (Microsoft Corporation) C:\Windows\System32\WUDFHost.exe
2012-11-30 08:09 - 2012-07-25 19:08 - 00194048 ____A (Microsoft Corporation) C:\Windows\System32\WUDFPlatform.dll
2012-11-30 08:09 - 2012-07-25 19:08 - 00084992 ____A (Microsoft Corporation) C:\Windows\System32\WUDFSvc.dll
2012-11-30 08:09 - 2012-07-25 19:08 - 00045056 ____A (Microsoft Corporation) C:\Windows\System32\WUDFCoinstaller.dll
2012-11-30 08:09 - 2012-07-25 18:26 - 00198656 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\WUDFRd.sys
2012-11-30 08:09 - 2012-07-25 18:26 - 00087040 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\WUDFPf.sys
2012-11-30 08:09 - 2012-06-02 06:57 - 00000003 ____A C:\Windows\System32\Drivers\MsftWdf_User_01_11_00_Inbox_Critical.Wdf
2012-11-23 01:25 - 2012-11-23 01:25 - 00000000 __SHD C:\found.000
2012-11-22 06:11 - 2012-11-25 08:50 - 00000000 ____D C:\Users\XXX\Desktop\Karten
2012-11-06 04:45 - 2012-11-06 04:45 - 00000000 ____D C:\Users\XXX\AppData\Roaming\Opera
2012-11-03 01:13 - 2012-11-03 03:59 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox

==================== One Month Modified Files and Folders =======

2012-12-01 17:54 - 2012-12-01 17:54 - 00000000 ____D C:\FRST
2012-12-01 08:47 - 2011-05-24 10:55 - 00000000 ____D C:\Program Files (x86)\PC Tools Security
2012-12-01 08:46 - 2009-11-02 10:21 - 00000000 ____D C:\Users\All Users\Sonic
2012-12-01 08:45 - 2010-02-03 00:12 - 00001106 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2012-12-01 08:45 - 2009-07-13 21:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2012-12-01 08:45 - 2009-07-13 20:51 - 00279581 ____A C:\Windows\setupact.log
2012-12-01 08:43 - 2009-07-13 20:45 - 00009696 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2012-12-01 08:43 - 2009-07-13 20:45 - 00009696 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2012-12-01 08:42 - 2009-10-29 10:21 - 00153760 ____A C:\Users\XXX\AppData\Local\GDIPFONTCACHEV1.DAT
2012-12-01 08:39 - 2009-07-13 20:45 - 00505248 ____A C:\Windows\System32\FNTCACHE.DAT
2012-12-01 08:37 - 2007-10-10 02:53 - 01211206 ____A C:\Windows\WindowsUpdate.log
2012-12-01 08:34 - 2009-07-13 21:13 - 01519798 ____A C:\Windows\System32\PerfStringBackup.INI
2012-12-01 08:34 - 2007-10-10 12:47 - 00654150 ____A C:\Windows\System32\perfh007.dat
2012-12-01 08:34 - 2007-10-10 12:47 - 00130022 ____A C:\Windows\System32\perfc007.dat
2012-12-01 08:32 - 2011-05-24 10:55 - 02208410 ____A C:\Windows\System32\Drivers\Cat.DB
2012-12-01 08:32 - 2009-08-14 10:48 - 00000000 ____D C:\Users\All Users\Microsoft Help
2012-12-01 08:23 - 2012-04-12 01:50 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2012-11-30 16:39 - 2010-08-17 01:27 - 00000000 ____D C:\Users\All Users\McAfee Security Scan
2012-11-30 16:39 - 2009-10-29 10:21 - 00000000 ____D C:\users\XXX
2012-11-30 16:39 - 2009-07-13 19:20 - 00000000 ____D C:\Windows\rescache
2012-11-30 16:39 - 2009-07-13 19:20 - 00000000 ____D C:\Windows\AppCompat
2012-11-30 16:38 - 2009-07-13 19:20 - 00000000 ____D C:\Windows\registration
2012-11-30 16:37 - 2009-12-01 11:35 - 00000000 ____D C:\Users\XXX\AppData\Roaming\ArcSoft
2012-11-30 16:36 - 2009-08-14 11:21 - 00000000 ___HD C:\OEM
2012-11-30 08:13 - 2010-02-03 00:12 - 00001110 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2012-11-30 08:10 - 2009-11-22 13:36 - 66395536 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2012-11-30 08:09 - 2009-07-13 18:34 - 00000668 ____A C:\Windows\win.ini
2012-11-25 08:50 - 2012-11-22 06:11 - 00000000 ____D C:\Users\XXX\Desktop\Karten
2012-11-23 01:25 - 2012-11-23 01:25 - 00000000 __SHD C:\found.000
2012-11-21 22:27 - 2012-05-02 05:32 - 00000000 ____D C:\Users\XXX\Desktop\Jetten
2012-11-21 22:27 - 2011-10-27 21:52 - 00000000 ____D C:\Users\XXX\Desktop\Mutti
2012-11-21 22:27 - 2011-10-27 21:50 - 00000000 ____D C:\Users\XXX\Desktop\aktuelle Pojekte
2012-11-21 03:21 - 2009-11-15 02:17 - 00000000 ____D C:\Users\XXX\Documents\Zimmer
2012-11-20 06:09 - 2012-03-23 04:46 - 00000000 ____D C:\Users\XXX\Desktop\allerlei Zeug
2012-11-14 02:03 - 2009-07-13 21:08 - 00032640 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2012-11-13 23:26 - 2010-06-28 02:16 - 00009728 ____A C:\Users\XXX\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2012-11-06 04:45 - 2012-11-06 04:45 - 00000000 ____D C:\Users\XXX\AppData\Roaming\Opera
2012-11-03 05:42 - 2012-05-31 23:33 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2012-11-03 03:59 - 2012-11-03 01:13 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox


==================== Known DLLs (Whitelisted) =================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2012-11-06 09:59:51
Restore point made on: 2012-11-15 02:36:16
Restore point made on: 2012-11-16 03:38:09
Restore point made on: 2012-11-25 03:23:13
Restore point made on: 2012-11-30 08:08:35
Restore point made on: 2012-12-01 08:31:09

==================== Memory info =========================== 

Percentage of memory in use: 16%
Total physical RAM: 4095.18 MB
Available physical RAM: 3424.4 MB
Total Pagefile: 4093.32 MB
Available Pagefile: 3420.18 MB
Total Virtual: 8192 MB
Available Virtual: 8191.9 MB

==================== Partitions =============================

1 Drive c: (Acer) (Fixed) (Total:458.87 GB) (Free:314.62 GB) NTFS
2 Drive d: () (Removable) (Total:7.82 GB) (Free:5.66 GB) FAT32
3 Drive f: (DATA) (Fixed) (Total:458.87 GB) (Free:458.76 GB) NTFS
4 Drive g: (PQSERVICE) (Fixed) (Total:13.67 GB) (Free:4.07 GB) NTFS
8 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
9 Drive y: (SYSTEM RESERVED) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

  Datentr„ger ###  Status         Gr”áe    Frei     Dyn  GPT
  ---------------  -------------  -------  -------  ---  ---
  Datentr„ger 0    Online          931 GB      0 B         
  Datentr„ger 1    Online         8024 MB      0 B         
  Datentr„ger 2    Kein Medium        0 B      0 B         
  Datentr„ger 3    Kein Medium        0 B      0 B         

Partitions of Disk 0:
===============

  Partition ###  Typ               GrӇe    Offset
  -------------  ----------------  -------  -------
  Partition 1    Wiederherstellun    13 GB  1024 KB
  Partition 2    Prim„r             100 MB    13 GB
  Partition 3    Prim„r             458 GB    13 GB
  Partition 4    Prim„r             458 GB   472 GB

==================================================================================

Disk: 0
Partition 1
Typ      : 27
Versteckt: Ja
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         GrӇe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 4     G   PQSERVICE    NTFS   Partition     13 GB  Fehlerfre  Versteck

=========================================================

Disk: 0
Partition 2
Typ      : 07
Versteckt: Nein
Aktiv    : Ja

  Volume ###  Bst  Bezeichnung  DS     Typ         GrӇe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 1     Y   SYSTEM RESE  NTFS   Partition    100 MB  Fehlerfre          

=========================================================

Disk: 0
Partition 3
Typ      : 07
Versteckt: Nein
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         GrӇe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 2     C   Acer         NTFS   Partition    458 GB  Fehlerfre          

=========================================================

Disk: 0
Partition 4
Typ      : 07
Versteckt: Nein
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         GrӇe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 3     F   DATA         NTFS   Partition    458 GB  Fehlerfre          

=========================================================

Disk: 0
Partition 4
Typ      : 07
Versteckt: Nein
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         GrӇe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 3     F   DATA         NTFS   Partition    458 GB  Fehlerfre          

=========================================================

Partitions of Disk 1:
===============

  Partition ###  Typ               GrӇe    Offset
  -------------  ----------------  -------  -------
  Partition 1    Prim„r            8023 MB   340 KB

==================================================================================

Disk: 1
Partition 1
Typ      : 0B
Versteckt: Nein
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         GrӇe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 5     D                FAT32  Wechselmed  8023 MB  Fehlerfre          

=========================================================

Disk: 1
Partition 1
Typ      : 0B
Versteckt: Nein
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         GrӇe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 5     D                FAT32  Wechselmed  8023 MB  Fehlerfre          

=========================================================

Last Boot: 2012-11-25 03:16

==================== End Of Log =============================
         

Ich wünsche einen schönen Sonntag!

Das sieht aber so aus als ob der Rechner schon bootet und dran herumgedokert worden wäre!

Oder woher kommt durch Zauberhand der Spyware Doctor?

Ausserdem bitte keine Namen ersetzen wenns nicht sein muss!

Ich habe keine Ahnung welche Programme sie benutzt oder was sie mit dem "Spyware Doctor" anstellen mag, bzw. in der Vergangenheit angestellt hat.

Allerdings hab ich doch oben folgendes geschrieben:

Zitat:

Aber ich muss gestehen, dass ich mir den Rechner heute angesehen habe und etwas dran rumgespielt habe (ich bin nicht so oft bei meinen Eltern).

Ich habe eine Systemwiederherstellung durchgeführt, wonach der Rechner meldete, dass keine Änderung am System vorlag. Dann habe ich eine Boot-Prüfung durchführen lassen und im Anschluss ging das Booten wieder. Es wäre vermutlich dennoch vorteilhaft ihn mal durchzuchecken.

Das Logfile zeigt eindeutig, dass da am 1.12. gegen 8 Uhr Aktivitäten waren. Wir hatten vereinbart, dass da nichts verändert wird solange ich dich betreue. Außerdem ist es wesentlich einfacher mit den normalen Tools was zu ändern. Also ist der Rechner bootbar oder nicht?

Naja, ich hatte ihr gesagt sie solle einfach der Anleitung folgen. Am Samstag (01.12.) hatte sie dann Farbar durchlaufen lassen. Wenn sie sonst noch was gemacht hat, tut es mir leid, hatte ich ihr aber nicht angeordnet.

Der Rechner bootet wieder, bringt aber wohl eine Fehlermeldung beim Start. Ich hatte ihr gesagt sie solle einen Screenshot von der Meldung machen. Geschickt hat sie mir den jedoch nicht, daher weiß ich grad auch nicht, welche Meldung kommt. Was soll sie denn nun als nächstes tun?

/e: Hab eben mit ihr telefoniert. Sie meint, sie hätte den Rechner "nicht mehr angerührt" außer um das Farbar Tool durchlaufen zu lassen. Den Spydoctor hatte sie wohl drauf um einen Trojaner zu entfernen, das sei aber schon eine ganze Weile her. Seitdem hat sie den nicht mehr benutzt. Die Fehlermeldung beim Booten komme wohl auch nicht mehr. Er bootet aktuell scheinbar ganz normal.

Meine Güte, das ist doch ein Krampf, dass du ihr diese Anweisungen alle telefonisch durchgibst, wenn sie ins Internet kommt, dann soll sie bitte hier selbst antworten.

Bis dahin bitte Combofix laufen lassen.

Scan mit Combofix

Zitat:

WARNUNG:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Sie hat sich hier einen Account erstellt, kann aber nicht antworten in diesem Thread. Soll sie dann einfach einen neuen erstellen?

Combofix läuft nun gerade durch. Es hat gemeldet, dass Avira Antivir noch aktiv wäre, woraufhin sie es zunächst ausgeschaltet und dann deinstalliert hat über den Programmmanager. Trotzdem hieß es, das Programm sei noch aktiv (war bei mir damals übrigens auch so). Sie hat es dann einfach trotzdem gestartet!

Vielen Dank schonmal. Ihr Acc-Name ist luvundlee oder so. Den hatte sie am Wochenende schon erstellt, aber wollte nicht hier posten, weil ihre Computerkenntnisse sehr gering sind.

Sie soll einen Thead erstellen, du postest hier den Link und dann geht es los.

http://www.trojaner-board.de/127819-...-teil-2-a.html

Danke

Ok wir übernehmen dort.

Dieses Thema ist hiermit beendet.