Polizei Trojaner weder abgesicherter Modus noch Boot von USB/CD

pumosch · 07.12.2012, 17:17

Liebe Community,
bin ein wenig verzweifelt.

Habe mir auf meinem Win7 ThinkPad einen "Polizei Trojaner" eingefangen.
Folge: Computer gesperrt.

Hab versucht im abgesicherten Modus zu starten. Kein Erfolg.

Habe versucht den "WindowsUnlocker" von Kaspersky über einen USB Stick zu verwenden. Hat nicht funktioniert.

Dann bin auf das Trojaner Board gestoßen und habe versucht die Schritte zu befolgen, die vorgesehen sind. Leider bootet der Rechner nicht von USB/CD, deshalb kann ich auch keine LOGFiles erstellen.

Aktuell startet der Rechner hoch und wenn ich nicht ins BIOS gehe, lande ich in der "Windows Fehlerbehebung" , welche mir die Auswahl zwischen:

1) Starhilfe starten und
2) Windows normal starten vorgibt.

Wähle ich 1) Starthilfe versucht zu reparieren, dauert ewig (hab Stunden lang gewartet, abrechen nicht möglich, letzten Endes abgewürgt und Neustart

Wähle ich 2) WinStart beginnt, dann Blue Screen und wieder von vorn.

Ich Id**t hab schon länger kein backup mehr gemacht und Sorge mich um die Daten. Ich weiß eh, selber Schuld. Trotzdem sehr ärgerlich.

Bitte um Rat, was ich machen kann um wieder in Richtung funktionierendem Rechner zu kommen.

Tausend Dank und bitte um Hilfe,
Christoph

ryder · 08.12.2012, 16:56

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Zitat:

Lesestoff:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast.

Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.

Bitte kein Crossposting (posten in mehreren Foren).

Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.

Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.

Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags). Nicht anhängen ausser ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.

Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.

Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.

Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.

Eine Bitte: Mache bitte solange mit, bis ich oder ein anderer Helfer dir mitteilt, dass du "sauber" bist. Das gebietet alleine schon die Höflichkeit und ein Verschwinden der Symptome bedeutet nicht, dass die Schädlinge auch wirklich alle entfernt wurden.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.

Wenn du das alles gelesen und verstanden hast, kannst du loslegen!

Scan und Unlock mit SREP

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.

Starte den infizierten Rechner neu auf.
Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
Logge dich nun in das infizierte Benutzerkonto ein.
Schließe den USB Stick an den infizierten Rechner an.
Nun ist etwas Handarbeit gefragt.
- Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
- Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
  
  Zitat:
  
  Das System kann das angegeben Laufwerk nicht finden
  
  versuche einen anderen Laufwerksbuchstaben. ( zB F: )
Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
start srep.exe
Drücke nun auf Scan.
Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Hinweis: Es ist gut möglich, dass du bereits nach dem Scan wieder auf deinen Rechner zugreifen kannst.

pumosch · 10.12.2012, 12:13

Hallo Ryder,
danke schön für die Hilfe!

Erster Schritt -> Erstes Problem:

Ich komm in das "Erweiterte Starthilfe Menü" rein. Kann dort auch "Abgesicherter Modus mit Eingabeaufforderung" auswählen.

Es werden dann einige Verzeichnisse geladen, bis ein Bluescreen erscheint. Dann ist aus.

Würde dir gern schreiben, welcher Fehler angegeben wird. Aber der Screen ist nur ne knappe Sekunde zu sehen. So schnell kann ich nicht lesen.

Es gelingt mir allerdings in die Eingabeaufforderung zu gelangen.

Wenn ich dort den USB Stick anwähle und start srep.exe eingebe, kommt der von dir prophezeite scan button.
Klicke ich diesen an, dauert es ein paar Sekunden und dann kommt: AutoIt Error / Error: Variable used without beeing declared.

Was soll ich tun?

Genieße deinen Ruhtag

Warte ganz geduldig auf weitere Instruktionen.

Lg,
pumosch

ryder · 10.12.2012, 17:42

Hach es hätte so einfach sein können.

Ist das Windows 7 32 oder 64 bit?

pumosch · 10.12.2012, 18:08

Win7 32 bit. Hätt ich auch schon vorher schreiben können

ryder · 10.12.2012, 18:10

Ja hättest du mal ...

Scan mit Farbar's Recovery Scan Tool (FRST 32bit)

Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick.

Schließe den USB Stick an das infizierte System an

Du musst das System nun in die System Reparatur Option booten.

Über den Boot Manager
Starte den Rechner neu auf.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD
Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu auf und starte von der CD

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !!

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung
Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

pumosch · 11.12.2012, 00:52

Hey Ryder,
hat geklappt.

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 06-12-2012
Ran by SYSTEM at 11-12-2012 00:43:15
Running from D:\
Windows 7 Professional   (X86) OS Language: German Standard 
The current controlset is ControlSet001

==================== Registry (Whitelisted) ===================

HKLM\...\Run: [TrackPointSrv] C:\Program Files\Lenovo\TrackPoint\tp4serv.exe [93032 2009-11-24] (Lenovo Group Limited)
HKLM\...\Run: [RotateImage] C:\Program Files\RotateImage\RCIMGDIR.exe [31744 2008-10-30] (Ricoh co.,Ltd.)
HKLM\...\Run: [picon] "C:\Program Files\Common Files\Intel\Privacy Icon\PrivacyIconClient.exe" -startup [358424 2009-08-04] (Intel Corporation)
HKLM\...\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h [2554696 2011-07-21] (COMODO)
HKLM\...\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [30040 2009-02-26] (Microsoft Corporation)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [254696 2011-04-08] (Sun Microsystems, Inc.)
HKLM\...\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe" [1107552 2012-07-11] ()
HKLM\...\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime [421888 2012-04-18] (Apple Inc.)
HKLM\...\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59240 2012-02-20] (Apple Inc.)
HKLM\...\Run: [AVG_UI] "C:\Program Files\AVG\AVG2013\avgui.exe" /TRAYONLY [3143800 2012-11-06] (AVG Technologies CZ, s.r.o.)
HKLM\...\Run: [DivXMediaServer] C:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe [450560 2012-11-13] ()
HKLM\...\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW [1263512 2012-11-01] ()
HKU\Christoph\...\Run: [MSSMSGS] rundll32.exe winkha32.rom,xJCOHEGay [x]
HKU\Christoph\...\Run: [AdobeBridge]  [x]
HKU\Christoph\...\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun [17418928 2012-07-13] (Skype Technologies S.A.)
HKU\Christoph\...\Run: [uTorrent] "C:\Programme\uTorrent\uTorrent.exe" [270128 2009-02-19] (BitTorrent, Inc.)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1
AppInit_DLLs:  C:\Windows\system32\guard32.dll
Startup: C:\Users\All Users\Start Menu\Programs\Startup\Digital Line Detect.lnk
ShortcutTarget: Digital Line Detect.lnk -> C:\Program Files\Digital Line Detect\DLG.exe (Avanquest Software )

==================== Services (Whitelisted) ===================

3 AVG Security Toolbar Service; C:\Program Files\AVG\AVG10\Toolbar\ToolbarBroker.exe [1025352 2011-05-30] ()
2 AVGIDSAgent; "C:\Program Files\AVG\AVG2013\avgidsagent.exe" [5814392 2012-11-06] (AVG Technologies CZ, s.r.o.)
2 avgwd; "C:\Program Files\AVG\AVG2013\avgwdsvc.exe" [196664 2012-10-22] (AVG Technologies CZ, s.r.o.)
2 cmdAgent; "C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe" [1793712 2011-07-21] (COMODO)
2 dgdersvc; C:\Windows\system32\dgdersvc.exe [95568 2010-09-15] (Devguru Co., Ltd.)
2 Fabs; C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe /DisableUI [1840128 2011-05-24] (MAGIX AG)
3 FirebirdServerMAGIXInstance; "C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe" [2702848 2011-04-26] (MAGIXÆ)
2 SUService; "C:\Program Files\Lenovo\System Update\SUService.exe" [28672 2009-10-19] (Lenovo Group Limited)
2 UNS; C:\Program Files\Common Files\Intel\Privacy Icon\UNS\UNS.exe [2058776 2009-08-04] (Intel Corporation)
2 vToolbarUpdater11.2.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\11.2.0\ToolbarUpdater.exe [935008 2012-07-11] ()

==================== Drivers (Whitelisted) ====================

3 5U875UVC; C:\Windows\System32\DRIVERS\RCUVCMNP.sys [187776 2009-10-23] (Ricoh co.,Ltd.)
1 AVGIDSDriver; C:\Windows\System32\DRIVERS\avgidsdriverx.sys [179936 2012-10-22] (AVG Technologies CZ, s.r.o. )
0 AVGIDSHX; C:\Windows\System32\DRIVERS\avgidshx.sys [55776 2012-10-15] (AVG Technologies CZ, s.r.o. )
1 AVGIDSShim; C:\Windows\System32\DRIVERS\avgidsshimx.sys [19936 2012-09-21] (AVG Technologies CZ, s.r.o. )
1 Avgldx86; C:\Windows\System32\DRIVERS\avgldx86.sys [159712 2012-10-02] (AVG Technologies CZ, s.r.o.)
0 Avglogx; C:\Windows\System32\DRIVERS\avglogx.sys [177376 2012-09-21] (AVG Technologies CZ, s.r.o.)
0 Avgmfx86; C:\Windows\System32\DRIVERS\avgmfx86.sys [93536 2012-10-05] (AVG Technologies CZ, s.r.o.)
0 Avgrkx86; C:\Windows\System32\DRIVERS\avgrkx86.sys [35552 2012-09-14] (AVG Technologies CZ, s.r.o.)
1 Avgtdix; C:\Windows\System32\DRIVERS\avgtdix.sys [164832 2012-09-21] (AVG Technologies CZ, s.r.o.)
1 cmdGuard; C:\Windows\System32\DRIVERS\cmdguard.sys [238960 2011-07-21] (COMODO)
1 cmdHlp; C:\Windows\System32\DRIVERS\cmdhlp.sys [37592 2011-07-21] (COMODO)
3 dgderdrv; C:\Windows\System32\drivers\dgderdrv.sys [18120 2010-09-15] (Devguru Co., Ltd)
3 FsUsbExDisk; \??\C:\Windows\system32\FsUsbExDisk.SYS [36640 2010-09-15] ()
1 inspect; C:\Windows\System32\DRIVERS\inspect.sys [82400 2011-07-21] (COMODO)
3 ST330; C:\Windows\System32\drivers\st330.sys [30464 2010-04-15] (THOMSON Telecom Belgium)
3 STBUS; C:\Windows\System32\drivers\stbus.sys [12672 2010-04-15] (THOMSON Telecom Belgium)
3 stppp; C:\Windows\System32\DRIVERS\stppp.sys [32000 2010-04-15] (THOMSON Telecom Belgium)
3 Tp4Track; C:\Windows\System32\DRIVERS\tp4track.sys [23152 2009-11-24] (Lenovo Group Limited)
3 ewusbnet; C:\Windows\System32\DRIVERS\ewusbnet.sys [x]
3 hwusbdev; C:\Windows\System32\DRIVERS\ewusbdev.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2012-12-11 00:43 - 2012-12-11 00:43 - 00000000 ____D C:\FRST
2012-12-07 04:00 - 2012-12-07 13:08 - 95023320 ___AT C:\Users\All Users\dsgsdgdsgdsgw.pad
2012-12-07 04:00 - 2012-12-07 04:00 - 00233472 ____A (?????????? ??????????) C:\Users\Christoph\wgsdgsdgdsgsd.exe
2012-12-06 11:29 - 2012-12-06 14:29 - 00000000 ____D C:\Program Files\Mozilla Thunderbird
2012-12-03 22:41 - 2012-12-03 22:43 - 26176872 ____A C:\Users\Christoph\Desktop\Mein Film.mp4
2012-11-29 21:10 - 2012-11-30 14:55 - 00000000 ____D C:\Users\Christoph\Desktop\abgabe
2012-11-27 18:02 - 2012-11-27 18:02 - 00000000 ____D C:\Windows\de
2012-11-27 18:01 - 2012-11-27 18:01 - 00000000 ____D C:\Program Files\Microsoft SQL Server Compact Edition
2012-11-27 17:55 - 2010-06-02 04:55 - 00527192 ____A (Microsoft Corporation) C:\Windows\System32\XAudio2_7.dll
2012-11-27 17:55 - 2010-06-02 04:55 - 00074072 ____A (Microsoft Corporation) C:\Windows\System32\XAPOFX1_5.dll
2012-11-27 17:55 - 2010-05-26 11:41 - 02106216 ____A (Microsoft Corporation) C:\Windows\System32\D3DCompiler_43.dll
2012-11-27 17:55 - 2010-05-26 11:41 - 00248672 ____A (Microsoft Corporation) C:\Windows\System32\d3dx11_43.dll
2012-11-27 17:53 - 2009-09-04 17:29 - 00453456 ____A (Microsoft Corporation) C:\Windows\System32\d3dx10_42.dll
2012-11-27 17:51 - 2006-11-29 13:06 - 03426072 ____A (Microsoft Corporation) C:\Windows\System32\d3dx9_32.dll
2012-11-27 17:49 - 2010-08-11 05:44 - 02983424 ____A (Microsoft Corporation) C:\Windows\System32\UIRibbon.dll
2012-11-27 17:49 - 2010-08-11 05:35 - 01164800 ____A (Microsoft Corporation) C:\Windows\System32\UIRibbonRes.dll
2012-11-26 19:02 - 2012-11-26 19:55 - 00001137 ____A C:\Users\Christoph\Desktop\geb.txt
2012-11-21 21:08 - 2012-11-21 21:08 - 00000000 ____D C:\Users\Christoph\AppData\Local\DDMSettings
2012-11-21 21:06 - 2012-11-21 21:07 - 00000000 ____D C:\Program Files\Common Files\DivX Shared
2012-11-21 20:54 - 2012-11-21 20:54 - 00000000 ____D C:\Users\Christoph\Desktop\piefke_saga
2012-11-20 12:35 - 2012-11-20 12:35 - 00000294 ____A C:\Users\Christoph\Desktop\anfrage_foerderung_kontakt_johler_hofer.txt
2012-11-19 22:05 - 2012-11-21 20:55 - 00000000 ____D C:\Users\Christoph\Downloads\Die_Piefke_Saga
2012-11-15 11:09 - 2012-07-26 04:39 - 00526952 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\Wdf01000.sys
2012-11-15 11:09 - 2012-07-26 04:39 - 00047720 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\WdfLdr.sys
2012-11-15 11:09 - 2012-07-26 03:46 - 00009728 ____A (Microsoft Corporation) C:\Windows\System32\Wdfres.dll
2012-11-15 11:09 - 2012-06-02 15:34 - 00000003 ____A C:\Windows\System32\Drivers\MsftWdf_Kernel_01011_Inbox_Critical.Wdf
2012-11-15 11:08 - 2012-07-26 03:33 - 00066560 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\WUDFPf.sys
2012-11-15 11:08 - 2012-07-26 03:32 - 00155136 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\WUDFRd.sys
2012-11-15 11:07 - 2012-07-26 04:21 - 00196608 ____A (Microsoft Corporation) C:\Windows\System32\WUDFHost.exe
2012-11-15 11:07 - 2012-07-26 04:20 - 00613888 ____A (Microsoft Corporation) C:\Windows\System32\WUDFx.dll
2012-11-15 11:07 - 2012-07-26 04:20 - 00172032 ____A (Microsoft Corporation) C:\Windows\System32\WUDFPlatform.dll
2012-11-15 11:07 - 2012-07-26 04:20 - 00073216 ____A (Microsoft Corporation) C:\Windows\System32\WUDFSvc.dll
2012-11-15 11:07 - 2012-07-26 04:20 - 00038912 ____A (Microsoft Corporation) C:\Windows\System32\WUDFCoinstaller.dll
2012-11-15 11:07 - 2012-06-02 15:57 - 00000003 ____A C:\Windows\System32\Drivers\MsftWdf_User_01_11_00_Inbox_Critical.Wdf
2012-11-15 09:22 - 2012-10-18 18:57 - 02344960 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2012-11-15 09:22 - 2012-09-25 22:55 - 00078336 ____A (Microsoft Corporation) C:\Windows\System32\synceng.dll
2012-11-13 21:29 - 2012-11-13 21:29 - 00354216 ____A (DivX, Inc.) C:\Windows\System32\DivXControlPanelApplet.cpl

==================== One Month Modified Files and Folders ========

2012-12-07 13:08 - 2012-12-07 04:00 - 95023320 ___AT C:\Users\All Users\dsgsdgdsgdsgw.pad
2012-12-07 13:08 - 2010-03-26 02:23 - 01507342 ____A C:\Windows\System32\PerfStringBackup.INI
2012-12-07 13:06 - 2010-03-26 02:08 - 02054705 ____A C:\Windows\WindowsUpdate.log
2012-12-07 13:05 - 2010-03-26 02:31 - 00000000 ____D C:\Users\Christoph\AppData\Roaming\Skype
2012-12-07 13:03 - 2010-04-24 21:41 - 00000000 ___RD C:\Users\Christoph\Documents\My Dropbox
2012-12-07 13:03 - 2010-04-24 21:39 - 00000000 ____D C:\Users\Christoph\AppData\Roaming\Dropbox
2012-12-07 13:02 - 2012-04-01 08:56 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2012-12-07 13:01 - 2012-08-16 14:53 - 00000374 ____A C:\Windows\System32\Drivers\etc\hosts.ics
2012-12-07 13:01 - 2010-03-29 20:14 - 00001100 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2012-12-07 13:01 - 2009-07-14 05:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2012-12-07 13:00 - 2009-07-14 05:39 - 00151632 ____A C:\Windows\setupact.log
2012-12-07 04:10 - 2009-07-14 05:34 - 00019136 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2012-12-07 04:10 - 2009-07-14 05:34 - 00019136 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2012-12-07 04:09 - 2010-04-24 14:31 - 00000000 ____D C:\Users\Christoph\AppData\Roaming\uTorrent
2012-12-07 04:05 - 2012-05-14 23:38 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2012-12-07 04:00 - 2012-12-07 04:00 - 00233472 ____A (?????????? ??????????) C:\Users\Christoph\wgsdgsdgdsgsd.exe
2012-12-07 04:00 - 2010-03-26 02:18 - 00000000 ____D C:\users\Christoph
2012-12-07 03:49 - 2010-03-29 20:14 - 00001104 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2012-12-06 18:09 - 2012-10-19 15:11 - 00000000 ____D C:\Program Files\Mozilla Firefox
2012-12-06 18:01 - 2011-07-21 08:57 - 00000000 ____D C:\Users\All Users\MFAData
2012-12-06 14:29 - 2012-12-06 11:29 - 00000000 ____D C:\Program Files\Mozilla Thunderbird
2012-12-05 22:40 - 2012-04-01 14:38 - 00000000 ____D C:\Users\Christoph\Desktop\masterarbeit_kapitel
2012-12-05 22:35 - 2010-03-26 10:31 - 00000000 ____D C:\Users\Christoph\Desktop\Schi-Schuh-Tennis
2012-12-03 22:43 - 2012-12-03 22:41 - 26176872 ____A C:\Users\Christoph\Desktop\Mein Film.mp4
2012-12-03 22:40 - 2010-11-02 01:30 - 00000000 ____D C:\Users\Christoph\AppData\Local\Windows Live
2012-12-02 00:11 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\NDF
2012-11-30 14:55 - 2012-11-29 21:10 - 00000000 ____D C:\Users\Christoph\Desktop\abgabe
2012-11-29 21:10 - 2012-10-25 14:03 - 00000000 ____D C:\Users\Christoph\Desktop\masterabschluss
2012-11-28 14:12 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\rescache
2012-11-27 18:02 - 2012-11-27 18:02 - 00000000 ____D C:\Windows\de
2012-11-27 18:01 - 2012-11-27 18:01 - 00000000 ____D C:\Program Files\Microsoft SQL Server Compact Edition
2012-11-27 17:58 - 2010-11-02 01:32 - 00000000 ____D C:\Program Files\Windows Live
2012-11-27 17:56 - 2009-07-14 03:37 - 00000000 ____D C:\Program Files\Common Files\microsoft shared
2012-11-26 19:55 - 2012-11-26 19:02 - 00001137 ____A C:\Users\Christoph\Desktop\geb.txt
2012-11-21 21:08 - 2012-11-21 21:08 - 00000000 ____D C:\Users\Christoph\AppData\Local\DDMSettings
2012-11-21 21:07 - 2012-11-21 21:06 - 00000000 ____D C:\Program Files\Common Files\DivX Shared
2012-11-21 21:07 - 2010-11-28 15:46 - 00000000 ____D C:\Users\Christoph\AppData\Roaming\DivX
2012-11-21 21:07 - 2010-11-28 15:44 - 00000000 ____D C:\Program Files\DivX
2012-11-21 21:07 - 2010-11-28 15:43 - 00000000 ____D C:\Users\All Users\DivX
2012-11-21 20:55 - 2012-11-19 22:05 - 00000000 ____D C:\Users\Christoph\Downloads\Die_Piefke_Saga
2012-11-21 20:54 - 2012-11-21 20:54 - 00000000 ____D C:\Users\Christoph\Desktop\piefke_saga
2012-11-20 12:35 - 2012-11-20 12:35 - 00000294 ____A C:\Users\Christoph\Desktop\anfrage_foerderung_kontakt_johler_hofer.txt
2012-11-20 12:21 - 2012-10-12 22:07 - 00000000 ____D C:\Users\Christoph\Desktop\logo_2
2012-11-20 12:20 - 2012-05-15 11:55 - 00000000 ____D C:\Users\Christoph\Desktop\la_masutra
2012-11-20 08:22 - 2012-11-02 17:41 - 00009616 ____A C:\Users\Christoph\Desktop\kontaktliste_ssto.xlsx
2012-11-18 17:29 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\DriverStore
2012-11-18 11:35 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\Microsoft.NET
2012-11-17 15:30 - 2010-04-03 21:57 - 00000000 ____D C:\Users\Christoph\AppData\Roaming\vlc
2012-11-15 15:03 - 2010-03-26 12:24 - 00161856 ____A C:\Users\Christoph\AppData\Local\GDIPFONTCACHEV1.DAT
2012-11-15 15:02 - 2009-07-14 05:33 - 02641880 ____A C:\Windows\System32\FNTCACHE.DAT
2012-11-15 14:59 - 2009-07-14 09:49 - 00000000 ____D C:\Windows\System32\Drivers\de-DE
2012-11-15 14:59 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\de-DE
2012-11-15 11:20 - 2010-04-03 20:26 - 00000000 ____D C:\Users\All Users\Microsoft Help
2012-11-15 11:10 - 2011-06-23 11:06 - 64010424 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2012-11-15 11:07 - 2009-07-14 03:04 - 00000568 ____A C:\Windows\win.ini
2012-11-13 21:29 - 2012-11-13 21:29 - 00354216 ____A (DivX, Inc.) C:\Windows\System32\DivXControlPanelApplet.cpl
2012-11-13 11:45 - 2010-03-26 13:59 - 00000000 ____D C:\Users\All Users\Adobe
2012-11-13 11:34 - 2012-04-01 08:56 - 00697272 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2012-11-13 11:34 - 2011-05-20 12:22 - 00073656 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl


==================== Known DLLs (Whitelisted) =================


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================


==================== Memory info =========================== 

Percentage of memory in use: 12%
Total physical RAM: 3992.03 MB
Available physical RAM: 3496.95 MB
Total Pagefile: 3990.3 MB
Available Pagefile: 3499.71 MB
Total Virtual: 2047.88 MB
Available Virtual: 1960.7 MB

==================== Partitions =============================

1 Drive c: (Preload) (Fixed) (Total:227.25 GB) (Free:58 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
2 Drive d: (USB DISK) (Removable) (Total:0.95 GB) (Free:0.19 GB) FAT
3 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

  DatentrÑger ###  Status         Grî·e    Frei     Dyn  GPT
  ---------------  -------------  -------  -------  ---  ---
  DatentrÑger 0    Online          232 GB      0 B         
  DatentrÑger 1    Online          974 MB      0 B         

Partitions of Disk 0:
===============

  Partition ###  Typ               Grî·e    Offset
  -------------  ----------------  -------  -------
  Partition 1    PrimÑr             227 GB  1024 KB
  Partition 2    OEM               5771 MB   227 GB

=========================================================

Disk: 0
Partition 1
Typ      : 07
Versteckt: Nein
Aktiv    : Ja

  Volume ###  Bst  Bezeichnung  DS     Typ         Grî·e    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 0     C   Preload      NTFS   Partition    227 GB  Fehlerfre          

=========================================================

Disk: 0
Partition 2
Typ      : 12
Versteckt: Ja
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         Grî·e    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 2         SERVICEV001  FAT32  Partition   5771 MB  Fehlerfre  Versteck

=========================================================

Disk: 0
Partition 2
Typ      : 12
Versteckt: Ja
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         Grî·e    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 2         SERVICEV001  FAT32  Partition   5771 MB  Fehlerfre  Versteck

=========================================================

Partitions of Disk 1:
===============

  Partition ###  Typ               Grî·e    Offset
  -------------  ----------------  -------  -------
  Partition 1    PrimÑr             973 MB    31 KB

=========================================================

Disk: 1
Partition 1
Typ      : 06
Versteckt: Nein
Aktiv    : Ja

  Volume ###  Bst  Bezeichnung  DS     Typ         Grî·e    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 1     D   USB DISK     FAT    Wechselmed   973 MB  Fehlerfre          

=========================================================

Disk: 1
Partition 1
Typ      : 06
Versteckt: Nein
Aktiv    : Ja

  Volume ###  Bst  Bezeichnung  DS     Typ         Grî·e    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 1     D   USB DISK     FAT    Wechselmed   973 MB  Fehlerfre          

=========================================================

Last Boot: 2012-12-05 11:25

==================== End Of Log ============================

Thx,
pumosch

ryder · 11.12.2012, 14:10

OK dann weg damit

Fix mit FRST

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
ATTFilter
HKU\Christoph\...\Run: [MSSMSGS] rundll32.exe winkha32.rom,xJCOHEGay [x]
C:\Users\Christoph\wgsdgsdgdsgsd.exe
C:\Users\All Users\dsgsdgdsgdsgw.pad
         
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
Starte deinen Rechner erneut in die Reparaturoptionen

Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

pumosch · 11.12.2012, 15:05

Hey Ryder,

done!

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 06-12-2012
Ran by SYSTEM at 2012-12-11 15:01:15 Run:1
Running from D:\

==============================================

HKEY_USERS\Christoph\Software\Microsoft\Windows\CurrentVersion\Run\\MSSMSGS Value deleted successfully.
C:\Users\Christoph\wgsdgsdgdsgsd.exe moved successfully.
C:\Users\All Users\dsgsdgdsgdsgw.pad moved successfully.

==== End of Fixlog ====

Das schaut schon besser aus als vor zwei Tagen.

Ich brenne auf weitere Anweisungen

Lg,
pumosch

ryder · 11.12.2012, 15:06

Dann schau mal ob du wieder normal booten kannst - dann gehts weiter.

pumosch · 11.12.2012, 15:29

Hey Ryder,
leider immer noch Blue Screen

Da hats noch was.

Was tun?

Bin wohl ein schwer Fall. Sorry!

Lg,
Pumosch

ryder · 11.12.2012, 15:39

Bluescreen heißt nicht, dass es Malware sein muss.

Mach bitte nochmal ein neues FRST-Logfile und notiere dir bitte mal die Fehlercodes.

pumosch · 11.12.2012, 15:49

Voila!

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 06-12-2012
Ran by SYSTEM at 11-12-2012 15:45:15
Running from D:\
Windows 7 Professional   (X86) OS Language: German Standard 
The current controlset is ControlSet001

==================== Registry (Whitelisted) ===================

HKLM\...\Run: [TrackPointSrv] C:\Program Files\Lenovo\TrackPoint\tp4serv.exe [93032 2009-11-24] (Lenovo Group Limited)
HKLM\...\Run: [RotateImage] C:\Program Files\RotateImage\RCIMGDIR.exe [31744 2008-10-30] (Ricoh co.,Ltd.)
HKLM\...\Run: [picon] "C:\Program Files\Common Files\Intel\Privacy Icon\PrivacyIconClient.exe" -startup [358424 2009-08-04] (Intel Corporation)
HKLM\...\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h [2554696 2011-07-21] (COMODO)
HKLM\...\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [30040 2009-02-26] (Microsoft Corporation)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [254696 2011-04-08] (Sun Microsystems, Inc.)
HKLM\...\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe" [1107552 2012-07-11] ()
HKLM\...\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime [421888 2012-04-18] (Apple Inc.)
HKLM\...\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59240 2012-02-20] (Apple Inc.)
HKLM\...\Run: [AVG_UI] "C:\Program Files\AVG\AVG2013\avgui.exe" /TRAYONLY [3143800 2012-11-06] (AVG Technologies CZ, s.r.o.)
HKLM\...\Run: [DivXMediaServer] C:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe [450560 2012-11-13] ()
HKLM\...\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW [1263512 2012-11-01] ()
HKU\Christoph\...\Run: [AdobeBridge]  [x]
HKU\Christoph\...\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun [17418928 2012-07-13] (Skype Technologies S.A.)
HKU\Christoph\...\Run: [uTorrent] "C:\Programme\uTorrent\uTorrent.exe" [270128 2009-02-19] (BitTorrent, Inc.)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1
AppInit_DLLs:  C:\Windows\system32\guard32.dll
Startup: C:\Users\All Users\Start Menu\Programs\Startup\Digital Line Detect.lnk
ShortcutTarget: Digital Line Detect.lnk -> C:\Program Files\Digital Line Detect\DLG.exe (Avanquest Software )

==================== Services (Whitelisted) ===================

3 AVG Security Toolbar Service; C:\Program Files\AVG\AVG10\Toolbar\ToolbarBroker.exe [1025352 2011-05-30] ()
2 AVGIDSAgent; "C:\Program Files\AVG\AVG2013\avgidsagent.exe" [5814392 2012-11-06] (AVG Technologies CZ, s.r.o.)
2 avgwd; "C:\Program Files\AVG\AVG2013\avgwdsvc.exe" [196664 2012-10-22] (AVG Technologies CZ, s.r.o.)
2 cmdAgent; "C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe" [1793712 2011-07-21] (COMODO)
2 dgdersvc; C:\Windows\system32\dgdersvc.exe [95568 2010-09-15] (Devguru Co., Ltd.)
2 Fabs; C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe /DisableUI [1840128 2011-05-24] (MAGIX AG)
3 FirebirdServerMAGIXInstance; "C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe" [2702848 2011-04-26] (MAGIXÆ)
2 SUService; "C:\Program Files\Lenovo\System Update\SUService.exe" [28672 2009-10-19] (Lenovo Group Limited)
2 UNS; C:\Program Files\Common Files\Intel\Privacy Icon\UNS\UNS.exe [2058776 2009-08-04] (Intel Corporation)
2 vToolbarUpdater11.2.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\11.2.0\ToolbarUpdater.exe [935008 2012-07-11] ()

==================== Drivers (Whitelisted) ====================

3 5U875UVC; C:\Windows\System32\DRIVERS\RCUVCMNP.sys [187776 2009-10-23] (Ricoh co.,Ltd.)
1 AVGIDSDriver; C:\Windows\System32\DRIVERS\avgidsdriverx.sys [179936 2012-10-22] (AVG Technologies CZ, s.r.o. )
0 AVGIDSHX; C:\Windows\System32\DRIVERS\avgidshx.sys [55776 2012-10-15] (AVG Technologies CZ, s.r.o. )
1 AVGIDSShim; C:\Windows\System32\DRIVERS\avgidsshimx.sys [19936 2012-09-21] (AVG Technologies CZ, s.r.o. )
1 Avgldx86; C:\Windows\System32\DRIVERS\avgldx86.sys [159712 2012-10-02] (AVG Technologies CZ, s.r.o.)
0 Avglogx; C:\Windows\System32\DRIVERS\avglogx.sys [177376 2012-09-21] (AVG Technologies CZ, s.r.o.)
0 Avgmfx86; C:\Windows\System32\DRIVERS\avgmfx86.sys [93536 2012-10-05] (AVG Technologies CZ, s.r.o.)
0 Avgrkx86; C:\Windows\System32\DRIVERS\avgrkx86.sys [35552 2012-09-14] (AVG Technologies CZ, s.r.o.)
1 Avgtdix; C:\Windows\System32\DRIVERS\avgtdix.sys [164832 2012-09-21] (AVG Technologies CZ, s.r.o.)
1 cmdGuard; C:\Windows\System32\DRIVERS\cmdguard.sys [238960 2011-07-21] (COMODO)
1 cmdHlp; C:\Windows\System32\DRIVERS\cmdhlp.sys [37592 2011-07-21] (COMODO)
3 dgderdrv; C:\Windows\System32\drivers\dgderdrv.sys [18120 2010-09-15] (Devguru Co., Ltd)
3 FsUsbExDisk; \??\C:\Windows\system32\FsUsbExDisk.SYS [36640 2010-09-15] ()
1 inspect; C:\Windows\System32\DRIVERS\inspect.sys [82400 2011-07-21] (COMODO)
3 ST330; C:\Windows\System32\drivers\st330.sys [30464 2010-04-15] (THOMSON Telecom Belgium)
3 STBUS; C:\Windows\System32\drivers\stbus.sys [12672 2010-04-15] (THOMSON Telecom Belgium)
3 stppp; C:\Windows\System32\DRIVERS\stppp.sys [32000 2010-04-15] (THOMSON Telecom Belgium)
3 Tp4Track; C:\Windows\System32\DRIVERS\tp4track.sys [23152 2009-11-24] (Lenovo Group Limited)
3 ewusbnet; C:\Windows\System32\DRIVERS\ewusbnet.sys [x]
3 hwusbdev; C:\Windows\System32\DRIVERS\ewusbdev.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2012-12-11 00:43 - 2012-12-11 00:43 - 00000000 ____D C:\FRST
2012-12-06 11:29 - 2012-12-06 14:29 - 00000000 ____D C:\Program Files\Mozilla Thunderbird
2012-12-03 22:41 - 2012-12-03 22:43 - 26176872 ____A C:\Users\Christoph\Desktop\Mein Film.mp4
2012-11-29 21:10 - 2012-11-30 14:55 - 00000000 ____D C:\Users\Christoph\Desktop\abgabe
2012-11-27 18:02 - 2012-11-27 18:02 - 00000000 ____D C:\Windows\de
2012-11-27 18:01 - 2012-11-27 18:01 - 00000000 ____D C:\Program Files\Microsoft SQL Server Compact Edition
2012-11-27 17:55 - 2010-06-02 04:55 - 00527192 ____A (Microsoft Corporation) C:\Windows\System32\XAudio2_7.dll
2012-11-27 17:55 - 2010-06-02 04:55 - 00074072 ____A (Microsoft Corporation) C:\Windows\System32\XAPOFX1_5.dll
2012-11-27 17:55 - 2010-05-26 11:41 - 02106216 ____A (Microsoft Corporation) C:\Windows\System32\D3DCompiler_43.dll
2012-11-27 17:55 - 2010-05-26 11:41 - 00248672 ____A (Microsoft Corporation) C:\Windows\System32\d3dx11_43.dll
2012-11-27 17:53 - 2009-09-04 17:29 - 00453456 ____A (Microsoft Corporation) C:\Windows\System32\d3dx10_42.dll
2012-11-27 17:51 - 2006-11-29 13:06 - 03426072 ____A (Microsoft Corporation) C:\Windows\System32\d3dx9_32.dll
2012-11-27 17:49 - 2010-08-11 05:44 - 02983424 ____A (Microsoft Corporation) C:\Windows\System32\UIRibbon.dll
2012-11-27 17:49 - 2010-08-11 05:35 - 01164800 ____A (Microsoft Corporation) C:\Windows\System32\UIRibbonRes.dll
2012-11-26 19:02 - 2012-11-26 19:55 - 00001137 ____A C:\Users\Christoph\Desktop\geb.txt
2012-11-21 21:08 - 2012-11-21 21:08 - 00000000 ____D C:\Users\Christoph\AppData\Local\DDMSettings
2012-11-21 21:06 - 2012-11-21 21:07 - 00000000 ____D C:\Program Files\Common Files\DivX Shared
2012-11-21 20:54 - 2012-11-21 20:54 - 00000000 ____D C:\Users\Christoph\Desktop\piefke_saga
2012-11-20 12:35 - 2012-11-20 12:35 - 00000294 ____A C:\Users\Christoph\Desktop\anfrage_foerderung_kontakt_johler_hofer.txt
2012-11-19 22:05 - 2012-11-21 20:55 - 00000000 ____D C:\Users\Christoph\Downloads\Die_Piefke_Saga
2012-11-15 11:09 - 2012-07-26 04:39 - 00526952 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\Wdf01000.sys
2012-11-15 11:09 - 2012-07-26 04:39 - 00047720 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\WdfLdr.sys
2012-11-15 11:09 - 2012-07-26 03:46 - 00009728 ____A (Microsoft Corporation) C:\Windows\System32\Wdfres.dll
2012-11-15 11:09 - 2012-06-02 15:34 - 00000003 ____A C:\Windows\System32\Drivers\MsftWdf_Kernel_01011_Inbox_Critical.Wdf
2012-11-15 11:08 - 2012-07-26 03:33 - 00066560 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\WUDFPf.sys
2012-11-15 11:08 - 2012-07-26 03:32 - 00155136 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\WUDFRd.sys
2012-11-15 11:07 - 2012-07-26 04:21 - 00196608 ____A (Microsoft Corporation) C:\Windows\System32\WUDFHost.exe
2012-11-15 11:07 - 2012-07-26 04:20 - 00613888 ____A (Microsoft Corporation) C:\Windows\System32\WUDFx.dll
2012-11-15 11:07 - 2012-07-26 04:20 - 00172032 ____A (Microsoft Corporation) C:\Windows\System32\WUDFPlatform.dll
2012-11-15 11:07 - 2012-07-26 04:20 - 00073216 ____A (Microsoft Corporation) C:\Windows\System32\WUDFSvc.dll
2012-11-15 11:07 - 2012-07-26 04:20 - 00038912 ____A (Microsoft Corporation) C:\Windows\System32\WUDFCoinstaller.dll
2012-11-15 11:07 - 2012-06-02 15:57 - 00000003 ____A C:\Windows\System32\Drivers\MsftWdf_User_01_11_00_Inbox_Critical.Wdf
2012-11-15 09:22 - 2012-10-18 18:57 - 02344960 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2012-11-15 09:22 - 2012-09-25 22:55 - 00078336 ____A (Microsoft Corporation) C:\Windows\System32\synceng.dll
2012-11-13 21:29 - 2012-11-13 21:29 - 00354216 ____A (DivX, Inc.) C:\Windows\System32\DivXControlPanelApplet.cpl

==================== One Month Modified Files and Folders ========

2012-12-11 15:01 - 2010-03-26 02:18 - 00000000 ____D C:\users\Christoph
2012-12-11 00:43 - 2012-12-11 00:43 - 00000000 ____D C:\FRST
2012-12-07 13:08 - 2010-03-26 02:23 - 01507342 ____A C:\Windows\System32\PerfStringBackup.INI
2012-12-07 13:06 - 2010-03-26 02:08 - 02054705 ____A C:\Windows\WindowsUpdate.log
2012-12-07 13:05 - 2010-03-26 02:31 - 00000000 ____D C:\Users\Christoph\AppData\Roaming\Skype
2012-12-07 13:03 - 2010-04-24 21:41 - 00000000 ___RD C:\Users\Christoph\Documents\My Dropbox
2012-12-07 13:03 - 2010-04-24 21:39 - 00000000 ____D C:\Users\Christoph\AppData\Roaming\Dropbox
2012-12-07 13:02 - 2012-04-01 08:56 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2012-12-07 13:01 - 2012-08-16 14:53 - 00000374 ____A C:\Windows\System32\Drivers\etc\hosts.ics
2012-12-07 13:01 - 2010-03-29 20:14 - 00001100 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2012-12-07 13:01 - 2009-07-14 05:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2012-12-07 13:00 - 2009-07-14 05:39 - 00151632 ____A C:\Windows\setupact.log
2012-12-07 04:10 - 2009-07-14 05:34 - 00019136 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2012-12-07 04:10 - 2009-07-14 05:34 - 00019136 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2012-12-07 04:09 - 2010-04-24 14:31 - 00000000 ____D C:\Users\Christoph\AppData\Roaming\uTorrent
2012-12-07 04:05 - 2012-05-14 23:38 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2012-12-07 03:49 - 2010-03-29 20:14 - 00001104 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2012-12-06 18:09 - 2012-10-19 15:11 - 00000000 ____D C:\Program Files\Mozilla Firefox
2012-12-06 18:01 - 2011-07-21 08:57 - 00000000 ____D C:\Users\All Users\MFAData
2012-12-06 14:29 - 2012-12-06 11:29 - 00000000 ____D C:\Program Files\Mozilla Thunderbird
2012-12-05 22:40 - 2012-04-01 14:38 - 00000000 ____D C:\Users\Christoph\Desktop\masterarbeit_kapitel
2012-12-05 22:35 - 2010-03-26 10:31 - 00000000 ____D C:\Users\Christoph\Desktop\Schi-Schuh-Tennis
2012-12-03 22:43 - 2012-12-03 22:41 - 26176872 ____A C:\Users\Christoph\Desktop\Mein Film.mp4
2012-12-03 22:40 - 2010-11-02 01:30 - 00000000 ____D C:\Users\Christoph\AppData\Local\Windows Live
2012-12-02 00:11 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\NDF
2012-11-30 14:55 - 2012-11-29 21:10 - 00000000 ____D C:\Users\Christoph\Desktop\abgabe
2012-11-29 21:10 - 2012-10-25 14:03 - 00000000 ____D C:\Users\Christoph\Desktop\masterabschluss
2012-11-28 14:12 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\rescache
2012-11-27 18:02 - 2012-11-27 18:02 - 00000000 ____D C:\Windows\de
2012-11-27 18:01 - 2012-11-27 18:01 - 00000000 ____D C:\Program Files\Microsoft SQL Server Compact Edition
2012-11-27 17:58 - 2010-11-02 01:32 - 00000000 ____D C:\Program Files\Windows Live
2012-11-27 17:56 - 2009-07-14 03:37 - 00000000 ____D C:\Program Files\Common Files\microsoft shared
2012-11-26 19:55 - 2012-11-26 19:02 - 00001137 ____A C:\Users\Christoph\Desktop\geb.txt
2012-11-21 21:08 - 2012-11-21 21:08 - 00000000 ____D C:\Users\Christoph\AppData\Local\DDMSettings
2012-11-21 21:07 - 2012-11-21 21:06 - 00000000 ____D C:\Program Files\Common Files\DivX Shared
2012-11-21 21:07 - 2010-11-28 15:46 - 00000000 ____D C:\Users\Christoph\AppData\Roaming\DivX
2012-11-21 21:07 - 2010-11-28 15:44 - 00000000 ____D C:\Program Files\DivX
2012-11-21 21:07 - 2010-11-28 15:43 - 00000000 ____D C:\Users\All Users\DivX
2012-11-21 20:55 - 2012-11-19 22:05 - 00000000 ____D C:\Users\Christoph\Downloads\Die_Piefke_Saga
2012-11-21 20:54 - 2012-11-21 20:54 - 00000000 ____D C:\Users\Christoph\Desktop\piefke_saga
2012-11-20 12:35 - 2012-11-20 12:35 - 00000294 ____A C:\Users\Christoph\Desktop\anfrage_foerderung_kontakt_johler_hofer.txt
2012-11-20 12:21 - 2012-10-12 22:07 - 00000000 ____D C:\Users\Christoph\Desktop\logo_2
2012-11-20 12:20 - 2012-05-15 11:55 - 00000000 ____D C:\Users\Christoph\Desktop\la_masutra
2012-11-20 08:22 - 2012-11-02 17:41 - 00009616 ____A C:\Users\Christoph\Desktop\kontaktliste_ssto.xlsx
2012-11-18 17:29 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\DriverStore
2012-11-18 11:35 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\Microsoft.NET
2012-11-17 15:30 - 2010-04-03 21:57 - 00000000 ____D C:\Users\Christoph\AppData\Roaming\vlc
2012-11-15 15:03 - 2010-03-26 12:24 - 00161856 ____A C:\Users\Christoph\AppData\Local\GDIPFONTCACHEV1.DAT
2012-11-15 15:02 - 2009-07-14 05:33 - 02641880 ____A C:\Windows\System32\FNTCACHE.DAT
2012-11-15 14:59 - 2009-07-14 09:49 - 00000000 ____D C:\Windows\System32\Drivers\de-DE
2012-11-15 14:59 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\de-DE
2012-11-15 11:20 - 2010-04-03 20:26 - 00000000 ____D C:\Users\All Users\Microsoft Help
2012-11-15 11:10 - 2011-06-23 11:06 - 64010424 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2012-11-15 11:07 - 2009-07-14 03:04 - 00000568 ____A C:\Windows\win.ini
2012-11-13 21:29 - 2012-11-13 21:29 - 00354216 ____A (DivX, Inc.) C:\Windows\System32\DivXControlPanelApplet.cpl
2012-11-13 11:45 - 2010-03-26 13:59 - 00000000 ____D C:\Users\All Users\Adobe
2012-11-13 11:34 - 2012-04-01 08:56 - 00697272 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2012-11-13 11:34 - 2011-05-20 12:22 - 00073656 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl


==================== Known DLLs (Whitelisted) =================


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================


==================== Memory info =========================== 

Percentage of memory in use: 12%
Total physical RAM: 3992.03 MB
Available physical RAM: 3499.16 MB
Total Pagefile: 3990.3 MB
Available Pagefile: 3500.21 MB
Total Virtual: 2047.88 MB
Available Virtual: 1969.4 MB

==================== Partitions =============================

1 Drive c: (Preload) (Fixed) (Total:227.25 GB) (Free:58 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
2 Drive d: (USB DISK) (Removable) (Total:0.95 GB) (Free:0.19 GB) FAT
3 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

  DatentrÑger ###  Status         Grî·e    Frei     Dyn  GPT
  ---------------  -------------  -------  -------  ---  ---
  DatentrÑger 0    Online          232 GB      0 B         
  DatentrÑger 1    Online          974 MB      0 B         

Partitions of Disk 0:
===============

  Partition ###  Typ               Grî·e    Offset
  -------------  ----------------  -------  -------
  Partition 1    PrimÑr             227 GB  1024 KB
  Partition 2    OEM               5771 MB   227 GB

=========================================================

Disk: 0
Partition 1
Typ      : 07
Versteckt: Nein
Aktiv    : Ja

  Volume ###  Bst  Bezeichnung  DS     Typ         Grî·e    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 0     C   Preload      NTFS   Partition    227 GB  Fehlerfre          

=========================================================

Disk: 0
Partition 2
Typ      : 12
Versteckt: Ja
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         Grî·e    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 2         SERVICEV001  FAT32  Partition   5771 MB  Fehlerfre  Versteck

=========================================================

Disk: 0
Partition 2
Typ      : 12
Versteckt: Ja
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         Grî·e    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 2         SERVICEV001  FAT32  Partition   5771 MB  Fehlerfre  Versteck

=========================================================

Partitions of Disk 1:
===============

  Partition ###  Typ               Grî·e    Offset
  -------------  ----------------  -------  -------
  Partition 1    PrimÑr             973 MB    31 KB

=========================================================

Disk: 1
Partition 1
Typ      : 06
Versteckt: Nein
Aktiv    : Ja

  Volume ###  Bst  Bezeichnung  DS     Typ         Grî·e    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 1     D   USB DISK     FAT    Wechselmed   973 MB  Fehlerfre          

=========================================================

Disk: 1
Partition 1
Typ      : 06
Versteckt: Nein
Aktiv    : Ja

  Volume ###  Bst  Bezeichnung  DS     Typ         Grî·e    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 1     D   USB DISK     FAT    Wechselmed   973 MB  Fehlerfre          

=========================================================

Last Boot: 2012-12-05 11:25

==================== End Of Log ============================

hey ryder,

hab mir das log file jetzt länger angesehen und kann keine Fehlercodes identifizieren.

Meist du die Fehlercodes auf dem Bluescreen?

Lg,
pumosch

hier die informationen vom bluescreen:

0x0000007B (0x80786B50, 0xC0000034, 0x00000000), 0x00000000)

sind diese infos brauchbar?

lg,
pumosch

ryder · 11.12.2012, 17:12

Genau das meine ich.

Fragen:
Kannst du abgesichert Booten?
Funktioniert booten mit der "letzten bekannten funktionierenden Konfiguratation" ?
Verwenden der letzten als funktionierend bekannten Konfiguration

pumosch · 11.12.2012, 17:38

leider nicht! selbe fehlermeldung auf dem bluescreen

was hab ich da nur angerichtet?

tut mit leid, dass ich so viel arbeit mache.

lg,
pumosch

10.12.2012, 17:42	#4
ryder /// TB-Ausbilder	Polizei Trojaner weder abgesicherter Modus noch Boot von USB/CD Hach es hätte so einfach sein können. Ist das Windows 7 32 oder 64 bit? __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

11.12.2012, 15:06	#10
ryder /// TB-Ausbilder	Polizei Trojaner weder abgesicherter Modus noch Boot von USB/CD Dann schau mal ob du wieder normal booten kannst - dann gehts weiter. __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

11.12.2012, 15:39	#12
ryder /// TB-Ausbilder	Polizei Trojaner weder abgesicherter Modus noch Boot von USB/CD Bluescreen heißt nicht, dass es Malware sein muss. Mach bitte nochmal ein neues FRST-Logfile und notiere dir bitte mal die Fehlercodes. __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

11.12.2012, 17:12	#14
ryder /// TB-Ausbilder	Polizei Trojaner weder abgesicherter Modus noch Boot von USB/CD Genau das meine ich. Fragen: Kannst du abgesichert Booten? Funktioniert booten mit der "letzten bekannten funktionierenden Konfiguratation" ? Verwenden der letzten als funktionierend bekannten Konfiguration __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

Polizei Trojaner weder abgesicherter Modus noch Boot von USB/CD

Plagegeister aller Art und deren Bekämpfung: Polizei Trojaner weder abgesicherter Modus noch Boot von USB/CD