|
Plagegeister aller Art und deren Bekämpfung: Weißer Bildschirm nach Anmeldung [Windows 7]Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.02.2013, 09:33 | #1 |
| Weißer Bildschirm nach Anmeldung [Windows 7] Guten morgen liebes Trojaner-Team, Mein Problem scheint ein bereits bekanntes Problem zu sein, sodass ich mir schon mehrere Beiträge in diesem Forum dazu durchgelesen habe, aber nicht wusste, ob man den dort beschriebenen Anweisungen auch einfach folgen kann. In den Regeln steht nämlich "1. Auch wenn es den Anschein hat, dass ein anderer User das selbe Problem hat, befolge keinesfalls blind die selben Schritte. Jede Infizierung bedarf individuelle Behandlung." Außerdem will ich mit meinem Thema nicht sofort in der "Mülltonne" landen - was scheinbar der Fall ist, wenn bereits abgehandelte Themen nochmal aufgegriffen werden (siehe hier http://www.trojaner-board.de/130518-...-anmelden.html) - da sich auf dem Rechner wichtige Arbeiten befinden, die ich für meine Prüfungen notwendigerweise brauche. Ein Verlorengehen dieser Daten wäre die reinste Katastrophe. So, nun zum Problem: Beim Hochfahren des Rechners gibt es keine Probleme. Nach der Anmeldung erscheint der Desktop für etwa eine Sekunde, und wird dann komplett weiß. Nur den Cursor kann man dann noch sehen und bewegen. Die Funktion, ALT+STRG+ENTF lässt sich ausführen. Wenn man allerdings auf den Task-Manager zurückgreifen will, landet man wieder auf dem weißen Desktop, wo nur der Cursor drauf zusehen ist. Wenn ich versuche mit dem abgesicherten Modus reinzukommen, erscheint der Desktop wieder für etwa eine Sekunde. Danach fährt der Rechner runter. Das Problem tauchte vor 4 Tagen auf, als ich mir im Internet Musik anhören wollte. Als ich auf der Seite gelandet bin - habe den Namen leider vergessen, war aber keine bekannte Plattform wie "youtube" oder so - öffnete sich ein kleines Fenster, wo man entweder "ausführen" oder "abbrechen" auswählen konnte. Als Herausgeber war "Windows" angegeben. Jedes mal, wenn ich auf "abbrechen" gedrückt habe, hat sich das Fenster sofort wieder geöffnet. Schließlich habe ich auf "ausführen" gedrückt, sodass ich auf bereits genanntes Problem gestoßen bin: Bildschirm weiß. Wie ich euch jetzt Informationen zu meinem System liefern kann, so wie ihr das in Punkt 2 beschreibt, also mittels "delogger" und "OTL", weiß ich leider nicht, da ich ja keinen Zugriff auf den Desktop habe und somit die Programme nicht runterladen und ausführen kann. Wie gesagt, über eine Hilfe würde ich mich sehr freuen. Es wäre auch sehr schön, wenn der/die Helfende nicht in einer Fachsprache mir die Anweisungen geben könnte, da ich, was Computer angeht, nicht sehr bewandert bin. Beste Grüße Beet |
23.02.2013, 10:12 | #2 |
/// TB-Ausbilder | Weißer Bildschirm nach Anmeldung [Windows 7] Kein Problem, kriegen wir hin.
__________________Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich. Bitte Lesen: Regeln für die Bereinigung Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
Gelesen und verstanden? Scan mit Farbar's Recovery Scan Tool
__________________ |
24.02.2013, 18:37 | #3 |
| Weißer Bildschirm nach Anmeldung [Windows 7] Vielen vielen Dank für die schnelle Antwort und die Mühe!
__________________Hier der FRST.txt: PHP-Code: |
24.02.2013, 18:57 | #4 |
/// TB-Ausbilder | Weißer Bildschirm nach Anmeldung [Windows 7] Bitte keine PHP-Tags sondern CODE. So funktioniert es: Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
Und du machst auch sonst keine halben Sachen oder? Habe selten so viel Malware gesehen. Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!) Fix mit FRST
Schritt 2: Normal booten Schritt 3: AdwCleaner: Werbeprogramme suchen und löschen Downloade Dir bitte AdwCleaner auf deinen Desktop. Schritt 4: Temporäre Dateien löschen mit TFC
Schritt 5: Scan mit Combofix
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
24.02.2013, 20:00 | #5 |
| Weißer Bildschirm nach Anmeldung [Windows 7] Bin mit Schritt 1-4 durch. Wollte gerade Combofix starten; doch das Programm meldet, dass "Avira AntiVir Desktop" noch nicht deaktiviert ist, obwohl aber im Control Center steht, dass das bereits deaktiviert sei. Wie kann ich das denn jetzt "wirklich" deaktivieren? |
24.02.2013, 20:11 | #6 | |
/// TB-Ausbilder | Weißer Bildschirm nach Anmeldung [Windows 7]Zitat:
__________________ --> Weißer Bildschirm nach Anmeldung [Windows 7] |
24.02.2013, 20:40 | #7 |
| Weißer Bildschirm nach Anmeldung [Windows 7] Jap, tut mir leid. Habe es dann auch noch gesehen. Die geforderten Dateien: Fixlog Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 23-02-2013 01 Ran by SYSTEM at 2013-02-24 19:26:40 Run:1 Running from J:\ ============================================== C:\Windows\System32\Drivers\a37bf0f4fddcc762.sys moved successfully. syshost32 service deleted successfully. C:\Windows\Installer\{F4CB8E55-01B1-1E4E-7171-09E75122202E}\syshost.exe moved successfully. 257c7f service deleted successfully. X6va005 service deleted successfully. C:\Users\Sever\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk moved successfully. C:\Users\Sever\wgsdgsdgdsgsd.exe not found. HKEY_USERS\Sever\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell Value deleted successfully. C:\Users\Sever\AppData\Roaming\skype.dat moved successfully. HKEY_USERS\Sever\Software\Microsoft\Windows\CurrentVersion\Run\\WA5H2V3Y6CUAXIYHQEZZRGIT Value deleted successfully. C:\4gEJsVyiA73\58A59837BA9.exe moved successfully. C:\Users\Sever\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk moved successfully. C:\$Recycle.Bin\S-1-5-21-513823673-3397401628-271577299-1000 moved successfully. ==== End of Fixlog ==== AdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v2.113 - Datei am 24/02/2013 um 19:33:43 erstellt # Aktualisiert am 23/02/2013 von Xplode # Betriebssystem : Windows 7 Home Premium (64 bits) # Benutzer : Sever - SEVER-PC # Bootmodus : Normal # Ausgeführt unter : C:\Users\Sever\Desktop\adwcleaner.exe # Option [Löschen] **** [Dienste] **** ***** [Dateien / Ordner] ***** Datei Gelöscht : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml Datei Gelöscht : C:\user.js Datei Gelöscht : C:\Users\Sever\AppData\Roaming\Mozilla\Firefox\Profiles\u9l3twd3.default\searchplugins\Conduit.xml Datei Gelöscht : C:\Users\Sever\AppData\Roaming\Mozilla\Firefox\Profiles\u9l3twd3.default\searchplugins\MyStart Search.xml Ordner Gelöscht : C:\Program Files\Babylon Ordner Gelöscht : C:\ProgramData\InstallMate Ordner Gelöscht : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TheBflix Ordner Gelöscht : C:\ProgramData\Premium Ordner Gelöscht : C:\ProgramData\TheBflix Ordner Gelöscht : C:\Users\Sever\AppData\Local\Temp\BabylonToolbar Ordner Gelöscht : C:\Users\Sever\AppData\LocalLow\boost_interprocess Ordner Gelöscht : C:\Users\Sever\AppData\LocalLow\TheBflix Ordner Gelöscht : C:\Users\Sever\AppData\Roaming\dvdvideosoftiehelpers ***** [Registrierungsdatenbank] ***** Schlüssel Gelöscht : HKCU\Software\IM Schlüssel Gelöscht : HKCU\Software\ImInstaller Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9} Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\BabylonHelper.EXE Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr.1 Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\bhoclass.bho.bhoclass.bho Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{C2CF0D01-7657-48AA-98C9-AE5E64757FCC} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{2EECD738-5844-4A99-B4B6-146BF802613B} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{98889811-442D-49DD-99D7-DC866BE87DBC} Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\Babylon_RASAPI32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\Babylon_RASMANCS Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\BabylonTC_RASAPI32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\BabylonTC_RASMANCS Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_install_RASAPI32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_install_RASMANCS Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASAPI32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASMANCS Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32 Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B} Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1} Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{BBA74401-6D6F-4BBD-9F65-E8623814F3BB} Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D2F39980-399F-492E-8D88-5FF7CCB3B47F} Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{BBA74401-6D6F-4BBD-9F65-E8623814F3BB} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{D2F39980-399F-492E-8D88-5FF7CCB3B47F} ***** [Internet Browser] ***** -\\ Internet Explorer v9.0.8112.16464 [OK] Die Registrierungsdatenbank ist sauber. -\\ Mozilla Firefox v3.6.14 (de) Datei : C:\Users\Sever\AppData\Roaming\Mozilla\Firefox\Profiles\u9l3twd3.default\prefs.js C:\Users\Sever\AppData\Roaming\Mozilla\Firefox\Profiles\u9l3twd3.default\user.js ... Gelöscht ! Gelöscht : user_pref("browser.babylon.HPOnNewTab", "search.babylon.com"); Gelöscht : user_pref("browser.search.defaultthis.engineName", "Stardoll Customized Web Search"); Gelöscht : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2836015&Sea[...] Gelöscht : user_pref("extensions.4f81f012e49cb.scode", "\n(function(){var bdomains={\"search.babylon.com\":1,\"[...] Gelöscht : user_pref("extensions.BabylonToolbar.admin", false); Gelöscht : user_pref("extensions.BabylonToolbar.aflt", "babclient"); Gelöscht : user_pref("extensions.BabylonToolbar.babExt", ""); Gelöscht : user_pref("extensions.BabylonToolbar.babTrack", "affID=8836&tt=010312_latest"); Gelöscht : user_pref("extensions.BabylonToolbar.bbDpng", 5); Gelöscht : user_pref("extensions.BabylonToolbar.dfltLng", "de"); Gelöscht : user_pref("extensions.BabylonToolbar.dfltSrch", true); Gelöscht : user_pref("extensions.BabylonToolbar.hmpg", true); Gelöscht : user_pref("extensions.BabylonToolbar.id", "ee6b733c0000000000001c6f658231dc"); Gelöscht : user_pref("extensions.BabylonToolbar.instlDay", "15435"); Gelöscht : user_pref("extensions.BabylonToolbar.instlRef", "std"); Gelöscht : user_pref("extensions.BabylonToolbar.keyWordUrl", "hxxp://search.babylon.com/?affID=8836&tt=010312_l[...] Gelöscht : user_pref("extensions.BabylonToolbar.lastDP", 5); Gelöscht : user_pref("extensions.BabylonToolbar.lastVrsnTs", "1.5.3.1714:34:41"); Gelöscht : user_pref("extensions.BabylonToolbar.mntrFFxVrsn", "3.6"); Gelöscht : user_pref("extensions.BabylonToolbar.newTab", true); Gelöscht : user_pref("extensions.BabylonToolbar.newTabUrl", "hxxp://search.babylon.com/?babsrc=NT_bb"); Gelöscht : user_pref("extensions.BabylonToolbar.noFFXTlbr", false); Gelöscht : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar"); Gelöscht : user_pref("extensions.BabylonToolbar.propectorlck", 72193961); Gelöscht : user_pref("extensions.BabylonToolbar.prtkHmpg", 1); Gelöscht : user_pref("extensions.BabylonToolbar.prtnrId", "babylon"); Gelöscht : user_pref("extensions.BabylonToolbar.ptch_0717", true); Gelöscht : user_pref("extensions.BabylonToolbar.smplGrp", "none"); Gelöscht : user_pref("extensions.BabylonToolbar.srcExt", "def"); Gelöscht : user_pref("extensions.BabylonToolbar.tlbrId", "base"); Gelöscht : user_pref("extensions.BabylonToolbar.vrsn", "1.5.3.17"); Gelöscht : user_pref("extensions.BabylonToolbar.vrsnTs", "1.5.3.1714:34:41"); Gelöscht : user_pref("extensions.BabylonToolbar.vrsni", "1.5.3.17"); Gelöscht : user_pref("extensions.BabylonToolbar_i.aflt", "babclient"); Gelöscht : user_pref("extensions.BabylonToolbar_i.babExt", ""); Gelöscht : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=8836&tt=010312_latest"); Gelöscht : user_pref("extensions.BabylonToolbar_i.hardId", "ee6b733c0000000000001c6f658231dc"); Gelöscht : user_pref("extensions.BabylonToolbar_i.id", "ee6b733c0000000000001c6f658231dc"); Gelöscht : user_pref("extensions.BabylonToolbar_i.instlDay", "15435"); Gelöscht : user_pref("extensions.BabylonToolbar_i.instlRef", "std"); Gelöscht : user_pref("extensions.BabylonToolbar_i.newTab", false); Gelöscht : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar"); Gelöscht : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon"); Gelöscht : user_pref("extensions.BabylonToolbar_i.smplGrp", "none"); Gelöscht : user_pref("extensions.BabylonToolbar_i.srcExt", "def"); Gelöscht : user_pref("extensions.BabylonToolbar_i.tlbrId", "base"); Gelöscht : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17"); Gelöscht : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1714:34:41"); Gelöscht : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17"); Gelöscht : user_pref("extensions.incredibar.admin", false); Gelöscht : user_pref("extensions.incredibar.aflt", "orgnl"); Gelöscht : user_pref("extensions.incredibar.cntry", "DE"); Gelöscht : user_pref("extensions.incredibar.dfltLng", ""); Gelöscht : user_pref("extensions.incredibar.dfltSrch", false); Gelöscht : user_pref("extensions.incredibar.did", "10650"); Gelöscht : user_pref("extensions.incredibar.envrmnt", "production"); Gelöscht : user_pref("extensions.incredibar.excTlbr", false); Gelöscht : user_pref("extensions.incredibar.hdrMd5", "D3F6A58D7B4B58BE2C523EE721A19200"); Gelöscht : user_pref("extensions.incredibar.hmpg", false); Gelöscht : user_pref("extensions.incredibar.id", "ee6b733c0000000000001c6f658231dc"); Gelöscht : user_pref("extensions.incredibar.installerproductid", "26"); Gelöscht : user_pref("extensions.incredibar.instlDay", "15438"); Gelöscht : user_pref("extensions.incredibar.instlRef", ""); Gelöscht : user_pref("extensions.incredibar.lastVrsnTs", "1.5.11.1422:47:30"); Gelöscht : user_pref("extensions.incredibar.mntrvrsn", "1.2.0"); Gelöscht : user_pref("extensions.incredibar.newTab", false); Gelöscht : user_pref("extensions.incredibar.noFFXTlbr", false); Gelöscht : user_pref("extensions.incredibar.ppd", "27%5F4"); Gelöscht : user_pref("extensions.incredibar.prdct", "incredibar"); Gelöscht : user_pref("extensions.incredibar.productid", "26"); Gelöscht : user_pref("extensions.incredibar.prtnrId", "Incredibar"); Gelöscht : user_pref("extensions.incredibar.sg", "none"); Gelöscht : user_pref("extensions.incredibar.smplGrp", "none"); Gelöscht : user_pref("extensions.incredibar.tlbrId", "base"); Gelöscht : user_pref("extensions.incredibar.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6R8pkpxGGi&loc=IB_T[...] Gelöscht : user_pref("extensions.incredibar.upn2", "6R8pkpxGGi"); Gelöscht : user_pref("extensions.incredibar.upn2n", "92824156496413998"); Gelöscht : user_pref("extensions.incredibar.vrsn", "1.5.11.14"); Gelöscht : user_pref("extensions.incredibar.vrsnTs", "1.5.11.1422:47:30"); Gelöscht : user_pref("extensions.incredibar.vrsni", "1.5.11.14"); Gelöscht : user_pref("extensions.incredibar_i.aflt", "orgnl"); Gelöscht : user_pref("extensions.incredibar_i.dfltLng", ""); Gelöscht : user_pref("extensions.incredibar_i.did", "10650"); Gelöscht : user_pref("extensions.incredibar_i.excTlbr", false); Gelöscht : user_pref("extensions.incredibar_i.id", "ee6b733c0000000000001c6f658231dc"); Gelöscht : user_pref("extensions.incredibar_i.installerproductid", "26"); Gelöscht : user_pref("extensions.incredibar_i.instlDay", "15438"); Gelöscht : user_pref("extensions.incredibar_i.instlRef", ""); Gelöscht : user_pref("extensions.incredibar_i.ms_url_id", ""); Gelöscht : user_pref("extensions.incredibar_i.newTab", false); Gelöscht : user_pref("extensions.incredibar_i.ppd", "27%5F4"); Gelöscht : user_pref("extensions.incredibar_i.prdct", "incredibar"); Gelöscht : user_pref("extensions.incredibar_i.productid", "26"); Gelöscht : user_pref("extensions.incredibar_i.prtnrId", "Incredibar"); Gelöscht : user_pref("extensions.incredibar_i.smplGrp", "none"); Gelöscht : user_pref("extensions.incredibar_i.tlbrId", "base"); Gelöscht : user_pref("extensions.incredibar_i.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6R8pkpxGGi&loc=IB[...] Gelöscht : user_pref("extensions.incredibar_i.upn2", "6R8pkpxGGi"); Gelöscht : user_pref("extensions.incredibar_i.upn2n", "92824156496413998"); Gelöscht : user_pref("extensions.incredibar_i.vrsn", "1.5.11.14"); Gelöscht : user_pref("extensions.incredibar_i.vrsnTs", "1.5.11.1422:47:30"); Gelöscht : user_pref("extensions.incredibar_i.vrsni", "1.5.11.14"); Gelöscht : user_pref("keyword.URL", "hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q="); ************************* AdwCleaner[S1].txt - [12002 octets] - [24/02/2013 19:33:43] ########## EOF - C:\AdwCleaner[S1].txt - [12063 octets] ########## [/CODE] ComboFix Code:
ATTFilter Combofix Logfile: |
24.02.2013, 20:57 | #8 |
/// TB-Ausbilder | Weißer Bildschirm nach Anmeldung [Windows 7] Na das hat ja mal richtig gerockt ... wir müssen das nochmal gegenchecken: Scan mit MBAR Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
24.02.2013, 22:12 | #9 |
| Weißer Bildschirm nach Anmeldung [Windows 7] Hier die Logfile: Code:
ATTFilter Malwarebytes Anti-Rootkit BETA 1.01.0.1020 www.malwarebytes.org Database version: v2013.02.24.06 Windows 7 x64 NTFS Internet Explorer 9.0.8112.16421 Sever :: SEVER-PC [administrator] 24.02.2013 21:39:17 mbar-log-2013-02-24 (21-39-17).txt Scan type: Quick scan Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P Scan options disabled: Objects scanned: 31972 Time elapsed: 23 minute(s), 35 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 0 (No malicious items detected) Registry Values Detected: 0 (No malicious items detected) Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 1 c:\Program Files (x86)\Mozilla Firefox\plugins\npmieze.dll (PUP.LoadTubes) -> Delete on reboot. (end) |
24.02.2013, 22:15 | #10 |
/// TB-Ausbilder | Weißer Bildschirm nach Anmeldung [Windows 7] Prima! Dann noch 2 Checks und wir sind durch: Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!) Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! Schritt 2: Scan mit SecurityCheck Downloade Dir bitte SecurityCheck und:
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
24.02.2013, 23:59 | #11 |
| Weißer Bildschirm nach Anmeldung [Windows 7] ESET-Log Code:
ATTFilter ESETSmartInstaller@High as downloader log: all ok # version=8 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6920 # api_version=3.0.2 # EOSSerial=273e9ce8e4798447abc1a7b9de66f6e9 # engine=13233 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=false # unsafe_checked=false # antistealth_checked=true # utc_time=2013-02-24 10:42:33 # local_time=2013-02-24 11:42:33 (+0100, Mitteleuropäische Zeit) # country="Germany" # lang=1033 # osver=6.1.7600 NT # compatibility_mode=1797 16775165 100 94 18404 98282574 11469 0 # compatibility_mode=5893 16776573 100 94 14875 114151424 0 0 # scanned=207503 # found=7 # cleaned=0 # scan_time=4701 sh=4E9D905EBB0A6B641A001A770EBA05DCC0B7620B ft=0 fh=0000000000000000 vn="Win32/Spy.SpyEye.CFG.A trojan" ac=I fn="C:\4gEJsVyiA73\529C0B990331BB6" sh=2899186963348F5EFE5C068EB0F4C5318447E9B3 ft=1 fh=baac2afaff10518a vn="a variant of Win32/Injector.ACPT trojan" ac=I fn="C:\FRST\Quarantine\58A59837BA9.exe" sh=8B394D68E987BD7DAA6049E1E67515FBA39B69F8 ft=1 fh=3fb076afe9e1af79 vn="Win32/LockScreen.APR trojan" ac=I fn="C:\FRST\Quarantine\skype.dat" sh=BEBCD135E9DC5BA075B6EEB4D8F90E64F94699FA ft=1 fh=255fe3ed8ae5f45a vn="a variant of Win32/Kryptik.AUXA trojan" ac=I fn="C:\FRST\Quarantine\syshost.exe" sh=C28B947D9B9ADED0247B4FD978C2B2A1A0F2B5CB ft=1 fh=9a4687d617aeaa8a vn="a variant of Win32/Delf.QZL trojan" ac=I fn="C:\Program Files (x86)\Counter-Strike 1.6\cstrike\config.exe" sh=48E1F4ACA5A2156924D25D6D0FF6583D18587E56 ft=0 fh=0000000000000000 vn="HTML/Ransom.B trojan" ac=I fn="C:\ProgramData\cryaihvwaprzvus\main.html" sh=48E1F4ACA5A2156924D25D6D0FF6583D18587E56 ft=0 fh=0000000000000000 vn="HTML/Ransom.B trojan" ac=I fn="C:\Users\All Users\cryaihvwaprzvus\main.html" Code:
ATTFilter Results of screen317's Security Check version 0.99.59 Windows 7 x64 Out of date service pack!! Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` AntiVir Desktop Antivirus out of date! `````````Anti-malware/Other Utilities Check:````````` JavaFX 2.1.0 Java(TM) 6 Update 22 Java(TM) 6 Update 29 Java(TM) 7 Update 4 Java version out of Date! Adobe Flash Player 11.5.502.149 Flash Player out of Date! Adobe Reader 10.1.5 Adobe Reader out of Date! Mozilla Firefox (3.6.14) Firefox out of Date! ````````Process Check: objlist.exe by Laurent```````` Avira Antivir avgnt.exe Avira Antivir avguard.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` |
25.02.2013, 09:32 | #12 |
/// TB-Ausbilder | Weißer Bildschirm nach Anmeldung [Windows 7] Hm da ist uns wirklich noch was durch die Lappen gegangen und dann ist da noch ne Menge Arbeit für dich Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!) Combofix-Skript
Schritt 2: Windows 7 Service Pack 1 installieren
Schritt 3: Java Update (Windows XP, Vista, 7) Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.Schritt 4: Update: Adobe Flash Player
Schritt 5: Update: Adobe Reader
Probiere einen alternativen Viewer für pdf-Dokumente aus. Diese sind meist schlanker, schneller und schleusen sehr viel seltener Schädlinge ein. Mein Vorschlag:
Schritt 6: Update: Firefox, Addons und Plugins Schritt 7: Scan mit SecurityCheck Downloade Dir bitte SecurityCheck und:
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
27.02.2013, 14:48 | #13 |
/// TB-Ausbilder | Weißer Bildschirm nach Anmeldung [Windows 7] Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
28.02.2013, 19:33 | #14 |
| Weißer Bildschirm nach Anmeldung [Windows 7] Hey, habe die Tage viel zu tun, sodass ich die Schritte noch nicht durchführen konnte. Werde mich auch erst am Wochenende frühestens darum kümmern können. Wäre super, wenn Du dann noch Zeit für mich hättest. Hoffe das klappt noch, auch wenn die 24 Stunden schon vorbei sind. |
03.03.2013, 12:48 | #15 |
/// TB-Ausbilder | Weißer Bildschirm nach Anmeldung [Windows 7] Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
Themen zu Weißer Bildschirm nach Anmeldung [Windows 7] |
anmeldung, bildschirm, bli, computer, cursor, desktop, folge, forum, hochfahren, internet, meldung, musik, namen, problem, programme, rechner, seite, strg, system, task-manager, windows, windows 7, youtube, zugriff |