Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Grauer Bildschirm nach Start mit Windows Vista

Grauer Bildschirm nach Start mit Windows Vista


Plagegeister aller Art und deren Bekämpfung: Grauer Bildschirm nach Start mit Windows Vista

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 2 von 3 1 2 3
Alt 08.01.2013, 12:47   #16
snaggle
 
Grauer Bildschirm nach Start mit Windows Vista - Standard

Grauer Bildschirm nach Start mit Windows Vista


Hallo Ryder,
ich bin wieder da und habe Zeit mich um den Rechner zu kümmern.
Habe Combofix wie beschrieben installiert und ausgeführt. Allerdings ist das Programm auf halber Strecke stehen geblieben (seit 10 Minuten).
Letzte Meldung ist: <Zielverzeichnis: C:\32788R22FWJFW>
Snaggle

Alt 08.01.2013, 14:00   #17
ryder
/// TB-Ausbilder
 
Grauer Bildschirm nach Start mit Windows Vista - Standard

Grauer Bildschirm nach Start mit Windows Vista


Dann benenne die Combofix.exe bitte um in NoMBR.exe und probier es nochmals.
__________________

__________________
Alt 08.01.2013, 15:17   #18
snaggle
 
Grauer Bildschirm nach Start mit Windows Vista - Standard

Grauer Bildschirm nach Start mit Windows Vista


So, alles durchgelaufen.
Werde jetzt mal neu starten und sehen was passiert.
Hier das file:

<Combofix Logfile:
Code:
ATTFilter
ComboFix 13-01-06.01 - Udo 08.01.2013  14:31:32.1.2 - x86 NETWORK>
<Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.49.1031.18.3070.2492 <[GMT 1:00]>
<ausgeführt von:: c:\users\Udo\Desktop\NoMBR.exe.exe>
<AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}>
<FW: ZoneAlarm Free Firewall *Enabled* {E6380B7E-D4B2-19F1-083E-56486607704B}>
<SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}>
<SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}>
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
<c:\users\Udo\2836862.exe>
<c:\users\Udo\AppData\Local\assembly\tmp>
<c:\windows\system32\drivers\~GLH0014.TMP>
<c:\windows\system32\URTTemp>
<c:\windows\system32\URTTemp\regtlib.exe>
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-12-08 bis 2013-01-08  ))))))))))))))))))))))))))))))
.
.
<2013-01-08 13:46 . 2013-01-08 13:49	--------	d-----w-	c:\users\Udo\AppData\Local\temp>
<2013-01-08 13:46 . 2013-01-08 13:46	--------	d-----w-	c:\users\Default\AppData\Local\temp>
<2013-01-04 17:46 . 2012-11-08 18:00	6812136	----a-w-	c:\programdata><\Microsoft\Windows Defender\Definition Updates\{1CB37C53-FDBE-4D91-B6FD-D74BB0506C26}\mpengine.dll>
<2012-12-16 13:22 . 2012-12-16 13:22	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin7.dll>
<2012-12-16 13:22 . 2012-12-16 13:22	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin6.dll>
<2012-12-16 13:22 . 2012-12-16 13:22	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin5.dll>
<2012-12-16 13:22 . 2012-12-16 13:22	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin4.dll>
<2012-12-16 13:22 . 2012-12-16 13:22	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin3.dll>
<2012-12-16 13:22 . 2012-12-16 13:22	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin2.dll>
<2012-12-16 13:22 . 2012-12-16 13:22	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin.dll>
<2012-12-16 13:21 . 2012-12-16 13:22	--------	d-----w-	c:\program files\QuickTime>
<2012-12-16 13:21 . 2012-12-16 13:21	--------	d-----w-	c:\programdata\Apple Computer>
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
<2012-12-14 11:34 . 2012-05-09 15:38	697272	----a-w-	c:\windows\system32\FlashPlayerApp.exe>
<2012-12-14 11:34 . 2011-07-14 17:53	73656	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl>
<2012-10-25 02:12 . 2012-10-25 02:12	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx>
<2012-10-25 02:12 . 2012-10-25 02:12	69632	----a-w-	c:\windows\system32\QuickTime.qts>
<2012-12-22 17:38 . 2012-12-22 17:38	262112	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll>
<2006-05-03 09:06	163328	--sh--r-	c:\windows\System32\flvDX.dll>
<2007-02-21 10:47	31232	--sh--r-	c:\windows\System32\msfDX.dll>
<2008-03-16 12:30	216064	--sh--r-	c:\windows\System32\nbDX.dll>
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
<[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}"= "c:\program files\ZoneAlarm-Sicherheit\tbZone.dll" [2010-05-09 2517088]>
.
<[HKEY_CLASSES_ROOT\clsid\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}]>
.
<[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]>
<"{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}"= "c:\program files\ZoneAlarm-Sicherheit\tbZone.dll" [2010-05-09 2517088]>
.
<[HKEY_CLASSES_ROOT\clsid\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}]>
.
<[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>
<"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]>
<"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]>
<"CAHeadless"="c:\program files\Adobe\Elements 10 Organizer\CAHeadless\ElementsAutoAnalyzer.exe" [2011-09-01 539800]>
<"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]>
.
<[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]>
<"RtHDVCpl"="RtHDVCpl.exe" [2008-07-03 6266880]>
<"Skytel"="Skytel.exe" [2008-06-25 1826816]>
<"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-08-31 102400]>
<"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2007-09-01 32768]>
<"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2007-09-06 188416]>
<"LMgrOSD"="c:\program files\Launch Manager\OSD.exe" [2006-12-26 180224]>
<"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2007-09-07 86016]>
<"OmniPass"="c:\program files\Softex\OmniPass\scureapp.exe" [2007-11-02 2564096]>
<"LanguageShortcut"="c:\program files\HomeCinema\PowerDVD\Language\Language.exe" [2007-01-08 52256]>
<"UCam_Menu"="c:\program files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]>
<"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-07-11 13543968]>
<"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-07-11 92704]>
<"toolbar_eula_launcher"="c:\program files\GoogleEULA\EULALauncher.exe" [2007-02-09 16896]>
<"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]>
<"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]>
<"ISW"="c:\program files\CheckPoint\ZAForceField\ForceField.exe" [2011-11-03 738944]>
<"ZoneAlarm"="c:\program files\CheckPoint\ZoneAlarm\zatray.exe" [2011-11-09 73360]>
<"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]>
<"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2011-06-16 499608]>
<"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-10-11 59280]>
<"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-10-25 421888]>
.
<c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520]>
.
<[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]>
<"EnableUIADesktopToggle"= 0 (0x0)>
.
<[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]>
<"aux1"=wdmaud.drv>
.
<[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]>
<"AntiVirusOverride"=dword:00000001>
.
<R2 AdobeActiveFileMonitor10.0;Adobe Active File Monitor V10;c:\program files\Adobe\Elements 10 Organizer\PhotoshopElementsFileAgent.exe [x]>
.
.
<[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]>
<HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12>
<hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc>
<WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr>
<LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr>
<bthsvcs	REG_MULTI_SZ   	BthServ>
.
Inhalt des "geplante Tasks" Ordners
.
<2013-01-06 c:\windows\Tasks\Adobe Flash Player Updater.job>
<- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-09 11:34]>
.
<2013-01-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-24 11:26]>
.
<2013-01-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job>
<- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-24 11:26]>
.
.
------- Zusätzlicher Suchlauf -------
.
<uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2613550>
<IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000>
<IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-25/4>
<TCP: DhcpNameServer = 192.168.2.1>
<FF - ProfilePath - c:\users\Udo\AppData\Roaming\Mozilla\Firefox\Profiles\tmushjmz.default\>
<FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com></ResultsExt.aspx?ctid=CT2613550&SearchSource=3&q={searchTerms}>
<FF - prefs.js: browser.search.selectedEngine - ZoneAlarm-Sicherheit Customized Web Search>
<FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/>
<FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&q=>
<FF - ExtSQL: !HIDDEN! 2009-09-04 15:07; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension>
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
<HKCU-Run-ZXPE - c:\users\Udo\AppData\Roaming\TABCTFR9.dll>
<HKCU-Run-svñhîst - c:\users\Udo\2836862.exe>
<HKLM-Run-CtrlVol - c:\program files\Launch Manager\CtrlVol.exe>
<HKLM-Run-WinampAgent - c:\program files\Winamp\winampa.exe>
<MSConfigStartUp-PLFSetL - c:\windows\PLFSetL.exe>
<MSConfigStartUp-snp2uvc - c:\windows\vsnp2uvc.exe>
<AddRemove-{592ED299-14EF-4C0F-92B4-B62E7CD5A2BE}_is1 - c:\program files\everpixx\unins000.exe>
.
.
.
**************************************************************************
.
<catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net>
<Rootkit scan 2013-01-08 14:49>
<Windows 6.0.6001 Service Pack 1 NTFS>
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
<[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{58821877-b6fb-4dbf-8b4f-0676ef7372e3}]>
<@DACL=(02 0000)>
<"Dhcpv6Iaid"=dword:1a000000>
<"Dhcpv6State"=dword:00000000>
.
<[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{82ca42df-4da4-4380-b0b9-18728c41d813}]>
<@DACL=(02 0000)>
<"Dhcpv6Iaid"=dword:0f001f16>
<Dhcpv6State"=dword:00000000>
.
<[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{981a2f81-a1c3-4cea-9a55-87e2ee8f9ef8}]>
<@DACL=(02 0000)>
<"Dhcpv6Iaid"=dword:0e000000>
<"Dhcpv6State"=dword:00000000>
.
<[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}]>
<@DACL=(02 0000)>
<"Dhcpv6Iaid"=dword:07001422>
<"Dhcpv6State"=dword:00000000>
.
<[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{ba32a50a-3d27-4fae-8591-5916311409be}]>
<@DACL=(02 0000)>
<"Dhcpv6Iaid"=dword:0c001422>
<"Dhcpv6State"=dword:00000000>
.
<[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}]>
<@DACL=(02 0000)>
<"Dhcpv6Iaid"=dword:06001422>
<"Dhcpv6State"=dword:00000000>
.
<[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f70a361f-6437-4fcc-91a4-cd88d468d91b}]>
<@DACL=(02 0000)>
<"Dhcpv6Iaid"=dword:0e001422>
<"Dhcpv6State"=dword:00000000>
.
<[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{fc7f7e1d-3f84-41e4-a0ad-4b31c550ff9c}]>
<@DACL=(02 0000)>
<"Dhcpv6Iaid"=dword:19020054>
<"Dhcpv6State"=dword:00000000>
.
<[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{fcfb50b4-b2ec-4c03-a7c6-60a690bfc64d}]>
<@DACL=(02 0000)>
<"Dhcpv6Iaid"=dword:10001f3b>
<"Dhcpv6State"=dword:00000000>
.
Zeit der Fertigstellung: 2013-01-08  14:52:16
ComboFix-quarantined-files.txt  2013-01-08 13:52
.
Vor Suchlauf: 11 Verzeichnis(se), 54.663.983.104 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 61.399.113.728 Bytes frei
.
- - End Of File - - 2BFAA071C65CA93BBCDF0CDF56E97ABF>
--- --- ---
__________________
Alt 08.01.2013, 15:22   #19
ryder
/// TB-Ausbilder
 
Grauer Bildschirm nach Start mit Windows Vista - Standard

Grauer Bildschirm nach Start mit Windows Vista


Das ist schon mal gut!

Dann geht es so weiter:


Schritt 1:
Deinstallation von Programmen
  • Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
  • Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren
  • ggf. Neustart zulassen
Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält.

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy



Schritt 2:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Löschen.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.
Schritt 3:
Temporäre Dateien löschen mit TFC

Bitte lade dir TFC auf deinen Desktop und starte es. Es wird automatisch alle temporären Dateien entfernen.
Schritt 4:
Windows-Defender abschalten

Da du einen anderen Virenscanner benutzt solltest du dringend den windowseigenen Scanner abschalten:
  • Gehe in die Systemsteuerung und klicke auf Windows Defender.
  • Klicke Extras > Optionen.
  • Administratoroptionen > Haken entfernen bei Windows Defender verwenden.
  • Bestätige und schliesse alle offenen Fenster.

Schritt 5:

Nochmal Combofix laufen lassen.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!
Alt 08.01.2013, 15:56   #20
snaggle
 
Grauer Bildschirm nach Start mit Windows Vista - Standard

Grauer Bildschirm nach Start mit Windows Vista


Hier schon mal die Datei

Code:
ATTFilter
<# AdwCleaner v2.105 - Datei am 08/01/2013 um 15:48:45 erstellt
# Aktualisiert am 08/01/2013 von Xplode
# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 1 (32 bits)
# Benutzer : Udo - HNPC1
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Udo\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Users\Udo\AppData\Roaming\Mozilla\Firefox\Profiles\tmushjmz.default\searchplugins\Conduit.xml
Ordner Gelöscht : C:\Program Files\Conduit
Ordner Gelöscht : C:\Users\Udo\AppData\LocalLow\Conduit
Ordner Gelöscht : C:\Users\Udo\AppData\Roaming\Mozilla\Firefox\Profiles\tmushjmz.default\Conduit
Ordner Gelöscht : C:\Users\Udo\AppData\Roaming\Mozilla\Firefox\Profiles\tmushjmz.default\ConduitEngine
Ordner Gelöscht : C:\Users\Udo\AppData\Roaming\Mozilla\Firefox\Profiles\tmushjmz.default\extensions\engine@conduit.com

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2613550
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine

***** [Internet Browser] *****

-\\ Internet Explorer v7.0.6001.18639

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.conduit.com?SearchSource=10&ctid=CT2613550 --> hxxp://www.google.com

-\\ Mozilla Firefox v17.0.1 (de)

Datei : C:\Users\Udo\AppData\Roaming\Mozilla\Firefox\Profiles\tmushjmz.default\prefs.js

Gelöscht : user_pref("CT2613550.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx");
Gelöscht : user_pref("CT2613550.CTID", "ct2613550");
Gelöscht : user_pref("CT2613550.CurrentServerDate", "12-3-2011");
Gelöscht : user_pref("CT2613550.DialogsAlignMode", "LTR");
Gelöscht : user_pref("CT2613550.DownloadReferralCookieData", "");
Gelöscht : user_pref("CT2613550.EMailNotifierPollDate", "Sat Mar 12 2011 19:27:36 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602533", "Sat Mar 12 2011 19:27:38 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602539", "Sat Mar 12 2011 19:27:38 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602545", "Sat Mar 12 2011 19:27:38 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602551", "Sat Mar 12 2011 19:27:38 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602557", "Sat Mar 12 2011 19:27:38 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602563", "Sat Mar 12 2011 19:27:38 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602569", "Sat Mar 12 2011 19:27:38 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602575", "Sat Mar 12 2011 19:27:38 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602581", "Sat Mar 12 2011 19:27:38 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602587", "Sat Mar 12 2011 19:27:38 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602593", "Sat Mar 12 2011 19:27:38 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602599", "Sat Mar 12 2011 19:27:39 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602605", "Sat Mar 12 2011 19:27:39 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602611", "Sat Mar 12 2011 19:27:39 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602617", "Sat Mar 12 2011 19:27:39 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602623", "Sat Mar 12 2011 19:27:39 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedPollDate129254982599602629", "Sat Mar 12 2011 19:27:39 GMT+0100");
Gelöscht : user_pref("CT2613550.FeedTTL129254982599602545", 5);
Gelöscht : user_pref("CT2613550.FeedTTL129254982599602551", 5);
Gelöscht : user_pref("CT2613550.FeedTTL129254982599602575", 2);
Gelöscht : user_pref("CT2613550.FeedTTL129254982599602605", 5);
Gelöscht : user_pref("CT2613550.FeedTTL129254982599602617", 30);
Gelöscht : user_pref("CT2613550.FirstServerDate", "12-3-2011");
Gelöscht : user_pref("CT2613550.FirstTime", true);
Gelöscht : user_pref("CT2613550.FirstTimeFF3", true);
Gelöscht : user_pref("CT2613550.FirstTimeSettingsDone", true);
Gelöscht : user_pref("CT2613550.FixPageNotFoundErrors", true);
Gelöscht : user_pref("CT2613550.GroupingServerCheckInterval", 1440);
Gelöscht : user_pref("CT2613550.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/");
Gelöscht : user_pref("CT2613550.Initialize", true);
Gelöscht : user_pref("CT2613550.InitializeCommonPrefs", true);
Gelöscht : user_pref("CT2613550.InstallationAndCookieDataSentCount", 3);
Gelöscht : user_pref("CT2613550.InstallationType", "UnknownIntegration");
Gelöscht : user_pref("CT2613550.InstalledDate", "Sat Mar 12 2011 19:27:36 GMT+0100");
Gelöscht : user_pref("CT2613550.IsGrouping", false);
Gelöscht : user_pref("CT2613550.IsMulticommunity", false);
Gelöscht : user_pref("CT2613550.IsOpenThankYouPage", false);
Gelöscht : user_pref("CT2613550.IsOpenUninstallPage", false);
Gelöscht : user_pref("CT2613550.LanguagePackLastCheckTime", "Sat Mar 12 2011 19:27:36 GMT+0100");
Gelöscht : user_pref("CT2613550.LanguagePackReloadIntervalMM", 1440);
Gelöscht : user_pref("CT2613550.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx[...]
Gelöscht : user_pref("CT2613550.LastLogin_2.7.1.3", "Sat Mar 12 2011 19:27:43 GMT+0100");
Gelöscht : user_pref("CT2613550.LatestVersion", "2.7.1.3");
Gelöscht : user_pref("CT2613550.Locale", "de-de");
Gelöscht : user_pref("CT2613550.LoginCache", 4);
Gelöscht : user_pref("CT2613550.MCDetectTooltipHeight", "83");
Gelöscht : user_pref("CT2613550.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1");
Gelöscht : user_pref("CT2613550.MCDetectTooltipWidth", "295");
Gelöscht : user_pref("CT2613550.RadioIsPodcast", false);
Gelöscht : user_pref("CT2613550.RadioMediaID", "8546");
Gelöscht : user_pref("CT2613550.RadioMediaType", "Media Player");
Gelöscht : user_pref("CT2613550.RadioMenuSelectedID", "EBRadioMenu_CT26135508546");
Gelöscht : user_pref("CT2613550.RadioStationName", "Radio%208");
Gelöscht : user_pref("CT2613550.RadioStationURL", "hxxp://stream.radio8.de:8000/live.m3u");
Gelöscht : user_pref("CT2613550.SavedHomepage", "www.google.de");
Gelöscht : user_pref("CT2613550.SearchEngine", "Suchen||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER[...]
Gelöscht : user_pref("CT2613550.SearchFromAddressBarIsInit", true);
Gelöscht : user_pref("CT2613550.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT261[...]
Gelöscht : user_pref("CT2613550.SearchInNewTabEnabled", true);
Gelöscht : user_pref("CT2613550.SearchInNewTabIntervalMM", 1440);
Gelöscht : user_pref("CT2613550.SearchInNewTabLastCheckTime", "Sat Mar 12 2011 19:27:43 GMT+0100");
Gelöscht : user_pref("CT2613550.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_T[...]
Gelöscht : user_pref("CT2613550.SearchInNewTabUsageUrl", "hxxp://Usage.Hosting.conduit-services.com/UsageServic[...]
Gelöscht : user_pref("CT2613550.SettingsCheckIntervalMin", 120);
Gelöscht : user_pref("CT2613550.SettingsLastCheckTime", "Sat Mar 12 2011 19:20:21 GMT+0100");
Gelöscht : user_pref("CT2613550.SettingsLastUpdate", "1298419708");
Gelöscht : user_pref("CT2613550.ThirdPartyComponentsInterval", 504);
Gelöscht : user_pref("CT2613550.ThirdPartyComponentsLastCheck", "Sat Mar 12 2011 19:20:21 GMT+0100");
Gelöscht : user_pref("CT2613550.ThirdPartyComponentsLastUpdate", "1255348257");
Gelöscht : user_pref("CT2613550.TrusteLinkUrl", "hxxp://trust.conduit.com/EB_ORIGINAL_CTID");
Gelöscht : user_pref("CT2613550.UserID", "UN13651211601722069");
Gelöscht : user_pref("CT2613550.WeatherNetwork", "");
Gelöscht : user_pref("CT2613550.WeatherPollDate", "Sat Mar 12 2011 19:27:41 GMT+0100");
Gelöscht : user_pref("CT2613550.WeatherUnit", "C");
Gelöscht : user_pref("CT2613550.alertChannelId", "1006347");
Gelöscht : user_pref("CT2613550.clientLogIsEnabled", true);
Gelöscht : user_pref("CT2613550.clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.asm[...]
Gelöscht : user_pref("CT2613550.ct2613550.DialogsAlignMode", "LTR");
Gelöscht : user_pref("CT2613550.ct2613550.FeedLastCount3082739963941193807", 418);
Gelöscht : user_pref("CT2613550.ct2613550.FirstTimeSettingsDone", true);
Gelöscht : user_pref("CT2613550.ct2613550.InvalidateCache", false);
Gelöscht : user_pref("CT2613550.ct2613550.LanguagePackLastCheckTime", "Sat Mar 12 2011 19:27:42 GMT+0100");
Gelöscht : user_pref("CT2613550.ct2613550.Locale", "de-de");
Gelöscht : user_pref("CT2613550.ct2613550.RadioLastCheckTime", "Sat Mar 12 2011 19:27:38 GMT+0100");
Gelöscht : user_pref("CT2613550.ct2613550.RadioLastUpdateIPServer", "3");
Gelöscht : user_pref("CT2613550.ct2613550.RadioLastUpdateServer", "0");
Gelöscht : user_pref("CT2613550.ct2613550.SearchEngine", "Suchen||hxxp://search.conduit.com/Results.aspx?q=UCM_[...]
Gelöscht : user_pref("CT2613550.ct2613550.SearchInNewTabLastCheckTime", "Sat Mar 12 2011 19:28:28 GMT+0100");
Gelöscht : user_pref("CT2613550.ct2613550.SettingsCheckIntervalMin", 120);
Gelöscht : user_pref("CT2613550.ct2613550.SettingsLastCheckTime", "Sat Mar 12 2011 19:27:36 GMT+0100");
Gelöscht : user_pref("CT2613550.ct2613550.SettingsLastUpdate", "1298419708");
Gelöscht : user_pref("CT2613550.ct2613550.ThirdPartyComponentsLastCheck", "Sat Mar 12 2011 19:27:36 GMT+0100");
Gelöscht : user_pref("CT2613550.ct2613550.ThirdPartyComponentsLastUpdate", "1255348257");
Gelöscht : user_pref("CT2613550.myStuffEnabled", true);
Gelöscht : user_pref("CT2613550.myStuffPublihserMinWidth", 400);
Gelöscht : user_pref("CT2613550.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOr[...]
Gelöscht : user_pref("CT2613550.myStuffServiceIntervalMM", 1440);
Gelöscht : user_pref("CT2613550.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?Co[...]
Gelöscht : user_pref("CT2613550.uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Reg[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/909619/905414/DE", "\"0\"")[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.engine.conduit-services.com/DLG.pkg?ver=3.3.3[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=0", "63[...]
Gelöscht : user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=3/13/20[...]
Gelöscht : user_pref("CommunityToolbar.EngineHiddenByUser", true);
Gelöscht : user_pref("CommunityToolbar.EngineOwner", "ConduitEngine");
Gelöscht : user_pref("CommunityToolbar.EngineOwnerGuid", "engine@conduit.com");
Gelöscht : user_pref("CommunityToolbar.EngineOwnerToolbarId", "conduitengine");
Gelöscht : user_pref("CommunityToolbar.IsEngineShown", true);
Gelöscht : user_pref("CommunityToolbar.IsMyStuffImportedToEngine", true);
Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwner", "ConduitEngine");
Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwnerGuid", "engine@conduit.com");
Gelöscht : user_pref("CommunityToolbar.OriginalEngineOwnerToolbarId", "conduitengine");
Gelöscht : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr[...]
Gelöscht : user_pref("CommunityToolbar.ToolbarsList", "CT2613550,ConduitEngine");
Gelöscht : user_pref("CommunityToolbar.ToolbarsList2", "CT2613550");
Gelöscht : user_pref("CommunityToolbar.alert.alertDialogsGetterLastCheckTime", "Tue May 10 2011 10:01:22 GMT+02[...]
Gelöscht : user_pref("CommunityToolbar.alert.alertInfoInterval", 1440);
Gelöscht : user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Sat Jun 25 2011 19:21:00 GMT+0200");
Gelöscht : user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com");
Gelöscht : user_pref("CommunityToolbar.alert.locale", "en");
Gelöscht : user_pref("CommunityToolbar.alert.loginIntervalMin", 1440);
Gelöscht : user_pref("CommunityToolbar.alert.loginLastCheckTime", "Sat Jun 25 2011 19:20:52 GMT+0200");
Gelöscht : user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1305622559");
Gelöscht : user_pref("CommunityToolbar.alert.messageShowTimeSec", 20);
Gelöscht : user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com");
Gelöscht : user_pref("CommunityToolbar.alert.showTrayIcon", false);
Gelöscht : user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300);
Gelöscht : user_pref("CommunityToolbar.alert.userId", "98b3ad57-c8a4-480e-8eaa-5a695a8a62b8");
Gelöscht : user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Sat Mar 12 2011 19:27:43 GMT+0100");
Gelöscht : user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true);
Gelöscht : user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true);
Gelöscht : user_pref("CommunityToolbar.keywordURLSelectedCTID", "CT2613550");
Gelöscht : user_pref("ConduitEngine.AppTrackingLastCheckTime", "Tue May 10 2011 18:36:45 GMT+0200");
Gelöscht : user_pref("ConduitEngine.CTID", "ConduitEngine");
Gelöscht : user_pref("ConduitEngine.DialogsGetterLastCheckTime", "Sat Jun 25 2011 15:07:41 GMT+0200");
Gelöscht : user_pref("ConduitEngine.FirstServerDate", "05/10/2011 11");
Gelöscht : user_pref("ConduitEngine.FirstTime", true);
Gelöscht : user_pref("ConduitEngine.FirstTimeFF3", true);
Gelöscht : user_pref("ConduitEngine.HasUserGlobalKeys", true);
Gelöscht : user_pref("ConduitEngine.Initialize", true);
Gelöscht : user_pref("ConduitEngine.InitializeCommonPrefs", true);
Gelöscht : user_pref("ConduitEngine.InstalledDate", "Tue May 10 2011 10:01:22 GMT+0200");
Gelöscht : user_pref("ConduitEngine.IsMulticommunity", false);
Gelöscht : user_pref("ConduitEngine.IsOpenThankYouPage", false);
Gelöscht : user_pref("ConduitEngine.IsOpenUninstallPage", true);
Gelöscht : user_pref("ConduitEngine.LanguagePackLastCheckTime", "Sat Jun 25 2011 19:20:52 GMT+0200");
Gelöscht : user_pref("ConduitEngine.LastLogin_3.3.3.2", "Sat Jun 25 2011 19:20:52 GMT+0200");
Gelöscht : user_pref("ConduitEngine.SearchFromAddressBarIsInit", true);
Gelöscht : user_pref("ConduitEngine.SettingsLastCheckTime", "Sat Jun 25 2011 19:20:52 GMT+0200");
Gelöscht : user_pref("ConduitEngine.UserID", "UN02646177092418578");
Gelöscht : user_pref("ConduitEngine.componentAlertEnabled", false);
Gelöscht : user_pref("ConduitEngine.engineLocale", "de");
Gelöscht : user_pref("ConduitEngine.enngineContextMenuLastCheckTime", "Sat Jun 25 2011 19:20:52 GMT+0200");
Gelöscht : user_pref("ConduitEngine.globalFirstTimeInfoLastCheckTime", "Sat Jun 25 2011 19:20:52 GMT+0200");
Gelöscht : user_pref("ConduitEngine.initDone", true);
Gelöscht : user_pref("ConduitEngine.isAppTrackingManagerOn", true);
Gelöscht : user_pref("browser.search.defaultthis.engineName", "ZoneAlarm-Sicherheit Customized Web Search");
Gelöscht : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&Sea[...]
Gelöscht : user_pref("browser.search.selectedEngine", "ZoneAlarm-Sicherheit Customized Web Search");
Gelöscht : user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&q=");

*************************

AdwCleaner[S1].txt - [16068 octets] - [08/01/2013 15:48:45]

########## EOF - C:\AdwCleaner[S1].txt - [16129 octets] ##########>
bis Punkt 3 hat alles gut funktioniert.
In den Windows Defender komme ich aber nicht rein: Meldung:
Fehler bei Anwendungsinitialisierung. Trotz Neustarts komme ich nicht rein.

ist das angekommen? Hat sich in den letzten Post reingeschlichen:

bis Punkt 3 hat alles gut funktioniert.
In den Windows Defender komme ich aber nicht rein: Meldung:
Fehler bei Anwendungsinitialisierung. Trotz Neustarts komme ich nicht rein.

ist das angekommen? Hat sich in den letzten Post reingeschlichen:

bis Punkt 3 hat alles gut funktioniert.
In den Windows Defender komme ich aber nicht rein: Meldung:
Fehler bei Anwendungsinitialisierung. Trotz Neustarts komme ich nicht rein.


Alt 08.01.2013, 16:30   #21
ryder
/// TB-Ausbilder
 
Grauer Bildschirm nach Start mit Windows Vista - Standard

Grauer Bildschirm nach Start mit Windows Vista


Dann lass den Defender mal sein, wir kümmern uns später noch darum. Zusätzlich aber bitte:

Scan mit Farbar's Service Scanner

Downloade dir bitte Farbar's Service Scanner
  • Starte das Tool mit Doppelklick auf die FSS.exe
  • Gehe sicher, dass folgende Optionen angehakt sind.
    • Internet Services
    • Windows Firewall
    • System Restore
    • Security Center/Action Center
    • Windows Update
    • Windows Defender
    • Other Services
  • Klicke auf Scan.
  • Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.
Poste bitte den Inhalt hier.
__________________
--> Grauer Bildschirm nach Start mit Windows Vista

Alt 08.01.2013, 16:34   #22
snaggle
 
Grauer Bildschirm nach Start mit Windows Vista - Standard

Grauer Bildschirm nach Start mit Windows Vista


soll ich Combofix noch davor oder dachnach laufen lassen?

Alt 08.01.2013, 16:35   #23
ryder
/// TB-Ausbilder
 
Grauer Bildschirm nach Start mit Windows Vista - Standard

Grauer Bildschirm nach Start mit Windows Vista


Spielt keine Rolle. Diese beiden Werkzeuge stören sich nicht.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!
Alt 08.01.2013, 16:41   #24
snaggle
 
Grauer Bildschirm nach Start mit Windows Vista - Standard

Grauer Bildschirm nach Start mit Windows Vista


hier schon mal die Datei

c[HhTML]Farboar Servince Scanner Version: 05-01-2013
Ran by Udo (administrator) on 08-01-2013 at 16:37:47
Running from "C:\Users\Udo\Desktop"
Windows Vista (TM) Home Premium Service Pack 1 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo IP is accessible.
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy:
==================


System Restore:
============

System Restore Disabled Policy:
========================


Security Center:
============

Windows Update:
============

Windows Autoupdate Disabled Policy:
============================


Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
The start type of WinDefend service is set to Demand. The default start type is Auto.
The ImagePath of WinDefend service is OK.
The ServiceDll of WinDefend service is OK.


Other Services:
==============


File Check:
========
C:\Windows\system32\nsisvc.dll => MD5 is legit
C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit
C:\Windows\system32\dhcpcsvc.dll => MD5 is legit
C:\Windows\system32\Drivers\afd.sys
[2011-06-18 11:45] - [2011-04-21 14:16] - 0273408 ____A (Microsoft Corporation) 48EB99503533C27AC6135648E5474457

C:\Windows\system32\Drivers\tdx.sys => MD5 is legit
C:\Windows\system32\Drivers\tcpip.sys
[2010-08-13 12:40] - [2010-06-16 16:55] - 0902032 ____A (Microsoft Corporation) 6216A954ED7045B62880A92D6C9B9FC7

C:\Windows\system32\dnsrslvr.dll
[2011-04-17 10:03] - [2011-03-02 15:49] - 0086528 ____A (Microsoft Corporation) 4805D9A6D281C7A7DEFD9094DEC6AF7D

C:\Windows\system32\mpssvc.dll
[2008-01-21 03:24] - [2008-01-21 03:24] - 0393216 ____A (Microsoft Corporation) D1639BA315B0D79DEC49A4B0E1FB929B

C:\Windows\system32\bfe.dll
[2010-08-13 12:40] - [2010-06-16 16:09] - 0328704 ____A (Microsoft Corporation) D3E6D78285529962349A7F1617035938

C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit
C:\Windows\system32\SDRSVC.dll => MD5 is legit
C:\Windows\system32\vssvc.exe
[2008-01-21 03:23] - [2008-01-21 03:23] - 1054720 ____A (Microsoft Corporation) D5FB73D19C46ADE183F968E13F186B23

C:\Windows\system32\wscsvc.dll
[2008-01-21 03:23] - [2008-01-21 03:23] - 0061440 ____A (Microsoft Corporation) 683DD16B590372F2C9661D277F35E49C

C:\Windows\system32\wbem\WMIsvc.dll
[2008-01-21 03:24] - [2008-01-21 03:24] - 0161792 ____A (Microsoft Corporation) 00B79A7C984678F24CF052E5BEB3A2F5

C:\Windows\system32\wuaueng.dll => MD5 is legit
C:\Windows\system32\qmgr.dll
[2008-01-21 03:25] - [2008-01-21 03:25] - 0758272 ____A (Microsoft Corporation) 02ED7B4DBC2A3232A389106DA7515C3D

C:\Windows\system32\es.dll
[2008-09-09 17:34] - [2008-04-18 06:48] - 0269312 ____A (Microsoft Corporation) 3CB3343D720168B575133A0A20DC2465

C:\Windows\system32\cryptsvc.dll
[2008-01-21 03:24] - [2008-01-21 03:24] - 0128000 ____A (Microsoft Corporation) 6DE363F9F99334514C46AEC02D3E3678

C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\Windows\system32\ipnathlp.dll => MD5 is legit
C:\Windows\system32\iphlpsvc.dll
[2010-04-17 11:21] - [2010-02-18 15:11] - 0190464 ____A (Microsoft Corporation) 6A35D233693EDC29A12742049BC5E37F

C:\Windows\system32\svchost.exe => MD5 is legit
C:\Windows\system32\rpcss.dll
[2009-04-17 16:22] - [2009-03-03 05:39] - 0551424 ____A (Microsoft Corporation) 301AE00E12408650BADDC04DBC832830



**** End of log ****[/HTML]

Alt 08.01.2013, 16:42   #25
ryder
/// TB-Ausbilder
 
Grauer Bildschirm nach Start mit Windows Vista - Standard

Grauer Bildschirm nach Start mit Windows Vista


Ah alles klar, der Defender ist eh schon abgeschalten ... fein, dann weiter!
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!
Alt 08.01.2013, 17:04   #26
snaggle
 
Grauer Bildschirm nach Start mit Windows Vista - Standard

Grauer Bildschirm nach Start mit Windows Vista


Hier noch das Combofix logfile

Combofix Logfile:
Code:
ATTFilter
ComboFix 13-01-08.01 - Udo 08.01.2013  16:45:56.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.49.1031.18.3070.1948 [GMT 1:00]
ausgeführt von:: c:\users\Udo\Desktop\NoMBR.exe.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\AutoRun.inf
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-12-08 bis 2013-01-08  ))))))))))))))))))))))))))))))
.
.
2013-01-08 15:58 . 2013-01-08 15:58	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-01-08 13:52 . 2013-01-08 15:58	--------	d-----w-	c:\users\Udo\AppData\Local\temp
2013-01-04 17:46 . 2012-11-08 18:00	6812136	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{1CB37C53-FDBE-4D91-B6FD-D74BB0506C26}\mpengine.dll
2012-12-16 13:22 . 2012-12-16 13:22	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin7.dll
2012-12-16 13:22 . 2012-12-16 13:22	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin6.dll
2012-12-16 13:22 . 2012-12-16 13:22	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin5.dll
2012-12-16 13:22 . 2012-12-16 13:22	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin4.dll
2012-12-16 13:22 . 2012-12-16 13:22	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin3.dll
2012-12-16 13:22 . 2012-12-16 13:22	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin2.dll
2012-12-16 13:22 . 2012-12-16 13:22	159744	----a-w-	c:\program files\Internet Explorer\Plugins\npqtplugin.dll
2012-12-16 13:21 . 2012-12-16 13:22	--------	d-----w-	c:\program files\QuickTime
2012-12-16 13:21 . 2012-12-16 13:21	--------	d-----w-	c:\programdata\Apple Computer
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-14 11:34 . 2012-05-09 15:38	697272	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-12-14 11:34 . 2011-07-14 17:53	73656	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-10-25 02:12 . 2012-10-25 02:12	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2012-10-25 02:12 . 2012-10-25 02:12	69632	----a-w-	c:\windows\system32\QuickTime.qts
2012-12-22 17:38 . 2012-12-22 17:38	262112	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
2006-05-03 09:06	163328	--sh--r-	c:\windows\System32\flvDX.dll
2007-02-21 10:47	31232	--sh--r-	c:\windows\System32\msfDX.dll
2008-03-16 12:30	216064	--sh--r-	c:\windows\System32\nbDX.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}"= "c:\program files\ZoneAlarm-Sicherheit\tbZone.dll" [2010-05-09 2517088]
.
[HKEY_CLASSES_ROOT\clsid\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}"= "c:\program files\ZoneAlarm-Sicherheit\tbZone.dll" [2010-05-09 2517088]
.
[HKEY_CLASSES_ROOT\clsid\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
"CAHeadless"="c:\program files\Adobe\Elements 10 Organizer\CAHeadless\ElementsAutoAnalyzer.exe" [2011-09-01 539800]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]
"RtHDVCpl"="RtHDVCpl.exe" [2008-07-03 6266880]
"Skytel"="Skytel.exe" [2008-06-25 1826816]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-08-31 102400]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2007-09-01 32768]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2007-09-06 188416]
"LMgrOSD"="c:\program files\Launch Manager\OSD.exe" [2006-12-26 180224]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2007-09-07 86016]
"OmniPass"="c:\program files\Softex\OmniPass\scureapp.exe" [2007-11-02 2564096]
"LanguageShortcut"="c:\program files\HomeCinema\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"UCam_Menu"="c:\program files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-07-11 13543968]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-07-11 92704]
"toolbar_eula_launcher"="c:\program files\GoogleEULA\EULALauncher.exe" [2007-02-09 16896]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2011-06-16 499608]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-10-11 59280]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-10-25 421888]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
.
S2 AdobeActiveFileMonitor10.0;Adobe Active File Monitor V10;c:\program files\Adobe\Elements 10 Organizer\PhotoshopElementsFileAgent.exe [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
bthsvcs	REG_MULTI_SZ   	BthServ
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-08 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-09 11:34]
.
2013-01-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-24 11:26]
.
2013-01-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-24 11:26]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-25/4
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\Udo\AppData\Roaming\Mozilla\Firefox\Profiles\tmushjmz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - ExtSQL: !HIDDEN! 2009-09-04 15:07; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-ISW - c:\program files\CheckPoint\ZAForceField\ForceField.exe
AddRemove-ZoneAlarm Toolbar - c:\program files\CheckPoint\ZAForceField\Clean_tool.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-01-08 16:58
Windows 6.0.6001 Service Pack 1 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-01-08  17:00:59
ComboFix-quarantined-files.txt  2013-01-08 16:00
ComboFix2.txt  2013-01-08 13:52
.
Vor Suchlauf: 15 Verzeichnis(se), 60.968.882.176 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 60.937.666.560 Bytes frei
.
- - End Of File - - 0FA19D3DBE35F88FBCBFB8B08341AA85
--- --- ---

Alt 08.01.2013, 17:06   #27
ryder
/// TB-Ausbilder
 
Grauer Bildschirm nach Start mit Windows Vista - Standard

Grauer Bildschirm nach Start mit Windows Vista


Gut!

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quickscan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
Schritt 2:
ESET Online Scanner


Wichtig:
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten!
Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

  • Bitte hier klicken --->
    • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden, installieren und starten.
    • IE-User müssen das Installieren eines ActiveX Elements erlauben.
  • Setze den einen Haken bei Yes, i accept the Terms of Use/Ja, ich stimme ... zu und drücke den Button.
  • Warte bis die Komponenten herunter geladen wurden.
  • Setze einen Haken bei "Scan archives/Archive prüfen" und entferne den Haken bei Remove Found Threads/Entdeckte Bedrohungen entfernen.
  • drücken. Die Signaturen werden herunter geladen und der Scan beginnt automatisch und kann sehr lange (einige Stunden) dauern!
Wenn der Scan beendet wurde
  • Klicke und dann
  • Speichere das Logfile als ESET.txt auf dem Desktop.
  • Klicke Back und Finish
Bitte poste die ESET.txt hier oder teile mir mit, dass nichts gefunden wurde.

Schritt 3:
Scan mit SecurityCheck
Downloade Dir bitte SecurityCheck: LINK1 LINK2
  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!
Alt 08.01.2013, 17:12   #28
snaggle
 
Grauer Bildschirm nach Start mit Windows Vista - Standard

Grauer Bildschirm nach Start mit Windows Vista


Ok, soweit klar.
Bzgl. der externen Festplatten: davon habe ich drei - kann ich die nacheinander laufen lassen? D.h. den Vorgang dreimal durchführen?

Alt 08.01.2013, 17:18   #29
ryder
/// TB-Ausbilder
 
Grauer Bildschirm nach Start mit Windows Vista - Standard

Grauer Bildschirm nach Start mit Windows Vista


Das würde sehr lange dauern schätze ich, aber was muss, das muss ...
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!
Alt 08.01.2013, 17:36   #30
snaggle
 
Grauer Bildschirm nach Start mit Windows Vista - Standard

Grauer Bildschirm nach Start mit Windows Vista


Hat keine infizierten Objekte gefunden.
Denke ich melde mich dann die Tage wieder wenn alle Platten gescannt sind
Schon mal vielen vielen Dank.

HTML-Code:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.08.09

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 7.0.6001.18000
Udo :: HNPC1 [Administrator]

08.01.2013 17:27:40
mbam-log-2013-01-08 (17-27-40).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 213617
Laufzeit: 6 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Antwort
Seite 2 von 3 1 2 3

Themen zu Grauer Bildschirm nach Start mit Windows Vista
arten, bildschirm, brauche, einfach, erschein, erscheint, grauer, grauer bildschirm, hochgefahren, leitung, nach start, nichts, rechner, sekunden, start, starte, starten, taskma, taskmanager, virus/trojaner, vista, windows, windows vista


« Windows 7 Fehler 0x0000225 | GVU Virus "Ihr Computer ist gesperrt" wie entfernen? »


Ähnliche Themen: Grauer Bildschirm nach Start mit Windows Vista


  1. Vista: normaler Windows-Start, dann weißer Bildschirm
    Log-Analyse und Auswertung - 04.03.2014 (7)
  2. Windows 8 Grauer Bildschirm verhindert Windows Start
    Alles rund um Windows - 27.02.2014 (11)
  3. Grauer Bildschirm bei Windows Start (Win 7)
    Log-Analyse und Auswertung - 14.11.2013 (5)
  4. Windows 8 64-Bit: Grauer Bildschirm verhindert Windows-Start
    Log-Analyse und Auswertung - 06.11.2013 (11)
  5. Windows Vista weißer Bildschirm nach Windows Start
    Plagegeister aller Art und deren Bekämpfung - 06.08.2013 (17)
  6. weißer Bildschirm beim Start von Windows vista 64bit
    Log-Analyse und Auswertung - 20.05.2013 (11)
  7. Windows Vista: Weißer Bildschirm nach Start (ohne Text)! - abgesicherter Modus geht.
    Log-Analyse und Auswertung - 11.05.2013 (22)
  8. 2x Windows Vista: Weißer Bildschirm nach Start (ohne Text, abgesicherter Modus geht)!
    Mülltonne - 04.05.2013 (1)
  9. Grauer Bildschirm nach Windows XP Start
    Plagegeister aller Art und deren Bekämpfung - 22.02.2013 (14)
  10. Grauer Bildschirm nach Windowsstart
    Plagegeister aller Art und deren Bekämpfung - 13.02.2013 (16)
  11. Nach Laptop start grauer Bildschirm Windows 8
    Plagegeister aller Art und deren Bekämpfung - 30.01.2013 (1)
  12. Weißer Bildschirm nach Windows Start (Vista)
    Log-Analyse und Auswertung - 14.01.2013 (7)
  13. grauer Bildschirm nach Anmeldung, Windows XP
    Log-Analyse und Auswertung - 01.01.2013 (13)
  14. Grauer Bildschirm nach dem Anmelden...Meldung: Nach Problemlösung im Internet suchen
    Log-Analyse und Auswertung - 22.06.2012 (1)
  15. Weisser Bildschirm nach PC Start verbindung wird hergestellt bei Windows Vista
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (1)
  16. Bei Start von Windows Vista kommt ein weißer Bildschirm - Trojaner
    Plagegeister aller Art und deren Bekämpfung - 17.05.2012 (1)
  17. Virus: Beim Start Grauer Bildschirm, Öffnet Werbung in Firefox und IE
    Plagegeister aller Art und deren Bekämpfung - 10.04.2010 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Grauer Bildschirm nach Start mit Windows Vista - Hallo Ryder, ich bin wieder da und habe Zeit mich um den Rechner zu kümmern. Habe Combofix wie beschrieben installiert und ausgeführt. Allerdings ist das Programm auf halber Strecke stehen - Grauer Bildschirm nach Start mit Windows Vista...
Archiv
Du betrachtest: Grauer Bildschirm nach Start mit Windows Vista auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131