| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Weißer Bildschirm nach Start von Windows 7Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
27.02.2013, 19:59
| #16 |
| /// Malware-holic   |  Weißer Bildschirm nach Start von Windows 7 Hi, Scan mit Combofix
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
27.02.2013, 20:12
| #17 |
 | Weißer Bildschirm nach Start von Windows 7 Der Scanvorgang ist noch im Gang. Folgendes Fenster hat sich aber geöffnet: siehe Anhang 'Foto.jpg' Und es wird folgende Frage gestellt: 'Do you want the file removed also?' Do I? |
|
27.02.2013, 20:14
| #18 |
| /// Malware-holic | Weißer Bildschirm nach Start von Windows 7 sorry, kann leider schlecht sehen, deswegen mal als text bitte
__________________
__________________ |
|
27.02.2013, 20:22
| #19 |
| | Weißer Bildschirm nach Start von Windows 7 Folgende Meldung: Location of startup: FILE C:\32788R22FWJFW\EN-US\IEXPLORE.EXE This trojan horse program was found on your machine. It has been shut down, but the FILE from which it started still remains and can be started up again. Do you want the file removed also? Ja/Nein |
|
27.02.2013, 20:31
| #20 |
| /// Malware-holic | Weißer Bildschirm nach Start von Windows 7 ok klicke ja.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
27.02.2013, 20:37
| #21 |
| | Weißer Bildschirm nach Start von Windows 7 Erledigt. Folgendes Fenster hat sich jetzt noch (zweimal) geöffnet: BOCLEAN SHUTDOWN ORDERED!!! BOClean has been told to shut down. You have NO protection if BOClean is shut down. Should BOClean be shut down? Ja/Nein (Hinter diesen beiden Fenstern hat sich in der Zwischenzeit schon die log-Datei geöffnet) |
|
27.02.2013, 20:40
| #22 |
| /// Malware-holic | Weißer Bildschirm nach Start von Windows 7 ok dann poste mal das log und starte neu.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
27.02.2013, 20:53
| #23 |
| | Weißer Bildschirm nach Start von Windows 7 Hab den Computer neu gestartet (hat funktioniert). Anbei die log-Datei: Code:
ATTFilter ComboFix 13-02-26.01 - Thomas 27.02.2013 20:07:48.1.2 - x86
Microsoft Windows 7 Professional 6.1.7600.0.1252.43.1031.18.3067.1962 [GMT 1:00]
ausgeführt von:: c:\users\Thomas\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Roaming
c:\programdata\Roaming\Intel\Wireless\Settings\Settings.ini
c:\windows\IsUn0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-01-27 bis 2013-02-27 ))))))))))))))))))))))))))))))
.
.
2013-02-28 00:02 . 2013-02-28 00:02 -------- d-----w- C:\_OTL
2013-02-27 19:18 . 2013-02-27 19:18 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-02-27 03:40 . 2013-02-27 03:40 -------- d-----w- C:\FRST
2013-02-27 02:38 . 2013-02-27 02:38 -------- d-----w- c:\windows\WinClon
2013-02-26 16:10 . 2013-02-08 00:45 6954968 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{4950A564-A42F-4FA3-AC1A-E8245A1C70BD}\mpengine.dll
2013-02-13 11:37 . 2013-01-04 03:00 2345984 ----a-w- c:\windows\system32\win32k.sys
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-27 18:32 . 2012-04-13 10:25 691568 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-02-27 18:32 . 2011-05-20 15:09 71024 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-01-17 00:28 . 2010-01-05 15:03 232336 ------w- c:\windows\system32\MpSigStub.exe
2013-01-10 17:11 . 2003-03-19 04:14 499712 ----a-w- c:\windows\system32\msvcp71.dll
2013-01-10 17:11 . 2003-02-21 12:42 348160 ----a-w- c:\windows\system32\msvcr71.dll
2012-12-16 14:25 . 2012-12-22 14:57 295424 ----a-w- c:\windows\system32\atmfd.dll
2012-12-16 14:25 . 2012-12-22 14:57 34304 ----a-w- c:\windows\system32\atmlib.dll
2012-12-07 05:04 . 2013-01-09 10:19 308736 ----a-w- c:\windows\system32\Wpc.dll
2012-12-07 04:57 . 2013-01-09 10:19 2576384 ----a-w- c:\windows\system32\gameux.dll
2012-12-07 03:21 . 2013-01-09 10:19 45568 ----a-w- c:\windows\system32\oflc-nz.rs
2012-12-07 03:21 . 2013-01-09 10:19 44544 ----a-w- c:\windows\system32\pegibbfc.rs
2012-12-07 03:21 . 2013-01-09 10:19 43520 ----a-w- c:\windows\system32\csrr.rs
2012-12-07 03:21 . 2013-01-09 10:19 30720 ----a-w- c:\windows\system32\usk.rs
2012-12-07 03:21 . 2013-01-09 10:19 23552 ----a-w- c:\windows\system32\oflc.rs
2012-12-07 03:21 . 2013-01-09 10:19 20480 ----a-w- c:\windows\system32\pegi-pt.rs
2012-12-07 03:21 . 2013-01-09 10:19 20480 ----a-w- c:\windows\system32\pegi.rs
2012-12-07 03:21 . 2013-01-09 10:19 20480 ----a-w- c:\windows\system32\pegi-fi.rs
2012-12-07 03:21 . 2013-01-09 10:19 46592 ----a-w- c:\windows\system32\fpb.rs
2012-12-07 03:21 . 2013-01-09 10:19 21504 ----a-w- c:\windows\system32\grb.rs
2012-12-07 03:21 . 2013-01-09 10:19 55296 ----a-w- c:\windows\system32\cero.rs
2012-12-07 03:21 . 2013-01-09 10:19 51712 ----a-w- c:\windows\system32\esrb.rs
2012-12-07 03:21 . 2013-01-09 10:19 40960 ----a-w- c:\windows\system32\cob-au.rs
2012-12-07 03:21 . 2013-01-09 10:19 15360 ----a-w- c:\windows\system32\djctq.rs
2008-08-16 15:42 . 2013-02-08 17:28 13112 ----a-w- c:\program files\mozilla firefox\plugins\cgpcfg.dll
2008-08-16 15:42 . 2013-02-08 17:28 70456 ----a-w- c:\program files\mozilla firefox\plugins\CgpCore.dll
2008-08-16 15:42 . 2013-02-08 17:28 91448 ----a-w- c:\program files\mozilla firefox\plugins\confmgr.dll
2008-08-16 15:42 . 2013-02-08 17:28 20800 ----a-w- c:\program files\mozilla firefox\plugins\ctxlogging.dll
2008-08-16 15:43 . 2013-02-08 17:28 206136 ----a-w- c:\program files\mozilla firefox\plugins\ctxmui.dll
2008-08-16 15:42 . 2013-02-08 17:28 31032 ----a-w- c:\program files\mozilla firefox\plugins\icafile.dll
2008-08-16 15:42 . 2013-02-08 17:28 40248 ----a-w- c:\program files\mozilla firefox\plugins\icalogon.dll
2008-05-21 06:41 . 2013-02-08 17:28 479232 ----a-w- c:\program files\mozilla firefox\plugins\msvcm80.dll
2008-05-21 06:41 . 2013-02-08 17:28 548864 ----a-w- c:\program files\mozilla firefox\plugins\msvcp80.dll
2008-05-21 06:41 . 2013-02-08 17:28 626688 ----a-w- c:\program files\mozilla firefox\plugins\msvcr80.dll
2008-06-05 11:58 . 2013-02-08 17:28 648504 ----a-w- c:\program files\mozilla firefox\plugins\sslsdk_b.dll
2008-08-16 15:42 . 2013-02-08 17:28 23864 ----a-w- c:\program files\mozilla firefox\plugins\TcpPServ.dll
2013-02-08 17:29 . 2013-02-08 17:28 262552 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 1029416]
"BOC-427"="c:\progra~1\Comodo\CBOClean\BOC427.exe" [2008-07-14 351480]
"FreePDF Assistant"="c:\program files\FreePDF_XP\fpassist.exe" [2011-02-23 371200]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-09 348664]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-11-28 59280]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-04-18 421888]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-11-28 151952]
"Adobe Version Cue CS2"="c:\program files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" [2005-04-06 856064]
"TkBellExe"="c:\program files\Real\RealPlayer\update\realsched.exe" [2013-01-10 295072]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux3"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^BTTray.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\BTTray.lnk
backup=c:\windows\pss\BTTray.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^Users^Thomas^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Gamma.lnk]
path=c:\users\Thomas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnk.Startup
backupExtension=.Startup
.
[HKLM\~\startupfolder\C:^Users^Thomas^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\users\Thomas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power2GoExpress]
NA [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-12-03 07:35 946352 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2012-01-03 21:51 37296 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
2010-09-21 22:28 47904 ----a-w- c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]
2012-11-28 13:13 59280 ----a-w- c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2010-04-01 09:16 357696 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-07-28 23:08 1259376 ----a-w- c:\program files\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
2011-02-23 20:19 371200 ----a-w- c:\program files\FreePDF_XP\fpassist.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2009-02-26 17:36 30040 ----a-w- c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2012-11-28 23:49 151952 ----a-w- c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
2007-01-08 21:17 52256 ----a-w- c:\program files\CyberLink\PowerDVD\Language\Language.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
2008-03-17 16:59 2289664 ----a-w- c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PureSync]
2010-10-23 22:24 800832 ----a-w- c:\program files\PureSync\PureSyncTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2012-04-18 18:56 421888 ----a-w- c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2007-03-14 20:01 71216 ------w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2013-01-10 17:11 295072 ----a-w- c:\program files\Real\RealPlayer\Update\realsched.exe
.
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
R3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\DRIVERS\netaapl.sys [x]
R3 netw5v32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows Vista 32-Bit;c:\windows\system32\DRIVERS\netw5v32.sys [x]
R3 WatAdminSvc;Windows-Aktivierungstechnologieservice;c:\windows\system32\Wat\WatAdminSvc.exe [x]
R3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\DRIVERS\yk62x86.sys [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]
S2 AntiVirSchedulerService;Avira Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [x]
S2 BOCore;BOCore;c:\program files\Comodo\CBOClean\BOCORE.exe [x]
S2 KMDFMEMIO;SAMSUNG Kernel Driver;c:\windows\system32\DRIVERS\kmdfmemio.sys [x]
S2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe [x]
S2 RealNetworks Downloader Resolver Service;RealNetworks Downloader Resolver Service;c:\program files\RealNetworks\RealDownloader\rndlresolversvc.exe [x]
S2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\System32\StkCSrv.exe [x]
S2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [x]
S2 TeamViewer7;TeamViewer 7;c:\program files\TeamViewer\Version7\TeamViewer_Service.exe [x]
S3 NETw5s32;Intel(R) Wireless WiFi Link Adaptertreiber für Windows 7 32-Bit;c:\windows\system32\DRIVERS\NETw5s32.sys [x]
S3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;c:\windows\system32\Drivers\StkCMini.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 46364508
*Deregistered* - 46364508
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-03-17 16:56 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-02-27 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-13 18:32]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.orf.at/
uInternet Settings,ProxyOverride = *.local
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Free YouTube Download - c:\users\Thomas\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\users\Thomas\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 10.0.0.138
FF - ProfilePath - c:\users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\zqu00hmt.default\
FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)
FF - prefs.js: browser.startup.homepage - hxxp://diepresse.com/
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=f6298d3200000000000000216b057bbf&tlver=1.4.19.19&instlRef=sst&ss=1&affID=17395&q=
FF - ExtSQL: 2013-01-10 18:12; {34712C68-7391-4c47-94F3-8F88D49AD632}; c:\programdata\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-S4Uninst - c:\windows\IsUn0407.exe
AddRemove-Siedler3Deinstall - c:\windows\IsUn0407.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-2222114163-3763952628-3265587354-1001\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
"??"=hex:6b,dd,49,50,fa,dc,bb,40,1e,3d,93,d1,38,bd,52,b6,fb,25,e8,b1,fc,ce,9d,
1c,89,05,8f,bb,8e,57,61,ec,71,d8,09,90,25,7c,65,37,2e,e1,cf,4a,45,2c,72,b1,\
"??"=hex:7f,0f,46,d7,b4,e1,be,eb,43,0d,ea,94,03,e2,70,30
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-02-27 20:23:29
ComboFix-quarantined-files.txt 2013-02-27 19:23
.
Vor Suchlauf: 16 Verzeichnis(se), 62.291.603.456 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 67.338.248.192 Bytes frei
.
- - End Of File - - 8460DB84C3FA1614E153DD9EA526D5BD
|
|
27.02.2013, 21:52
| #24 |
| /// Malware-holic | Weißer Bildschirm nach Start von Windows 7 Hi http://www.trojaner-board.de/125889-...en-posten.html poste alle bisher erstellten Malwarebytes logs mit funden. Dann updaten, vollständiger Scan und neues Log posten
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
28.02.2013, 10:09
| #25 |
| | Weißer Bildschirm nach Start von Windows 7 Hallo, von Malewarebytes habe ich keine aktuellen log-Dateien mit Funden. Allerdings folgende log-Datei von Avira Antivir: Code:
ATTFilter Exportierte Ereignisse:
30.01.2013 17:45 [System Scanner] Malware gefunden
Die Datei 'C:\Users\Thomas\AppData\Local\Microsoft\Windows\Temporary Internet
Files\Content.IE5\TI1QQQ6T\regular[1].htm'
enthielt einen Virus oder unerwünschtes Programm 'EXP/CVE-2011-3402.B'
[exploit].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5413e3a4.qua'
verschoben!
30.01.2013 17:44 [Echtzeit Scanner] Malware gefunden
In der Datei 'C:\Users\Thomas\AppData\Local\Microsoft\Windows\Temporary
Internet Files\Content.IE5\TI1QQQ6T\regular[1].htm'
wurde ein Virus oder unerwünschtes Programm 'EXP/CVE-2011-3402.B' [exploit]
gefunden.
Ausgeführte Aktion: Übergeben an Scanner
Code:
ATTFilter Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.02.27.11 Windows 7 x86 NTFS Internet Explorer 9.0.8112.16421 Thomas :: LAPTOPTHOMAS [Administrator] 28.02.2013 07:31:23 MBAM-log-2013-02-28 (09-51-24).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 451925 Laufzeit: 2 Stunde(n), 18 Minute(n), 19 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\_OTL\MovedFiles\02272013_190238\C_Users\Thomas\AppData\Roaming\skype.dat (Trojan.Winlock) -> Keine Aktion durchgeführt. (Ende) Soll ich auf 'Entferne Auswahl' klicken? |
|
28.02.2013, 13:23
| #26 |
| /// Malware-holic | Weißer Bildschirm nach Start von Windows 7 Kannst du, aber wir löschen die eh, wenn wir später otl löschen. lade den CCleaner standard: CCleaner - Download - Filepony falls der CCleaner bereits instaliert, überspringen. öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
28.02.2013, 14:32
| #27 |
| | Weißer Bildschirm nach Start von Windows 7 Anbei die Liste: Code:
ATTFilter Adobe Creative Suite 2 09.01.2013 (notwendig) Adobe Flash Player 11 ActiveX Adobe Systems Incorporated 27.02.2013 6,00MB 11.6.602.171 (notwendig) Adobe Flash Player 11 Plugin Adobe Systems Incorporated 27.02.2013 6,00MB 11.6.602.171 (notwendig) Adobe Reader 9.5.0 - Deutsch Adobe Systems Incorporated 12.01.2012 118MB 9.5.0 (notwendig) Adobe SVG Viewer 3.0 Adobe Systems, Inc. 09.01.2013 3.0 (notwendig) Apple Application Support Apple Inc. 29.11.2012 65,0MB 2.3.2 (notwendig) Apple Mobile Device Support Apple Inc. 29.11.2012 24,5MB 6.0.1.3 (notwendig) Apple Software Update Apple Inc. 13.10.2011 2,38MB 2.1.3.127 (notwendig) Avira Free Antivirus Avira 14.11.2012 108MB 12.1.9.1236 (notwendig) BOClean 16.01.2012 (unbekannt) Bonjour Apple Inc. 13.10.2011 934KB 3.0.0.10 (notwendig) Canon MP250 series MP Drivers 02.01.2012 (notwendig) CCleaner Piriform 25.02.2013 3.28 (notwendig) Citrix XenApp Web Plugin Citrix Systems, Inc. 02.04.2010 25,3MB 11.0.0.5357 (unbekannt) CyberLink DVD Suite CyberLink Corp. 06.01.2010 5.0.2403 (notwendig) CyberLink Power2Go CyberLink Corp. 06.01.2010 5.0.3825 (notwendig) DER ERSTE KAISER: Aufstieg des Reichs der Mitte 1.0.1.0 08.08.2011 (notwendig) Die Siedler 7 Ubisoft 26.04.2010 1.11.1371 (notwendig) Die Siedler II - Die nächste Generation 12.02.2010 (unnötig) DivX-Setup DivX, LLC 28.12.2011 2.6.1.3 (notwendig) DVD Decrypter (Remove Only) 17.07.2010 (notwendig) DVD Shrink 3.2 deutsch (DeCSS-frei) DVD Shrink 20.11.2011 (notwendig) Easy Battery Manager 05.01.2010 3.2.1.7 (notwendig) Easy Display Manager Samsung 31.10.2010 2.0.0.0 (notwendig) Easy Network Manager 3.0 Ihr Firmenname 05.01.2010 37,3MB 3.0.0.0 (notwendig) Easy SpeedUp Manager 05.01.2010 2.0.1.0 (notwendig) Free Audio CD Burner version 1.4.7 DVDVideoSoft Limited. 26.03.2011 10,6MB (unnötig) Free YouTube Download version 3.0.22.221 DVDVideoSoft Ltd. 10.03.2012 70,2MB 3.0.22.221 (unnötig) Free YouTube to MP3 Converter version 3.11.32.918 DVDVideoSoft Ltd. 21.09.2012 60,8MB 3.11.32.918 (notwendig) FreePDF (Remove only) 24.01.2010 (notwendig) GPL Ghostscript Artifex Software Inc. 26.03.2012 9.04 (notwendig) GPL Ghostscript 8.70 24.01.2010 (notwendig) HappyFoto-Designer 4.4 05.12.2011 (unnötig) HP Photosmart Plus B209a-m All-in-One Driver 14.0 Rel. 6 HP 03.09.2010 14.0 (notwendig) imagine digital freedom - Samsung Samsung Electronics Co., LTD 05.01.2010 7,50MB 1.0.2.0 (unbekannt) Intel(R) PROSet/Wireless WiFi-Software Intel Corporation 21.07.2010 77,1MB 13.01.1000 (notwendig) iTunes Apple Inc. 29.11.2012 187MB 11.0.0.163 (notwendig) Java 7 Update 9 Oracle 06.10.2012 128MB 7.0.90 (notwendig) Java(TM) 6 Update 29 Sun Microsystems, Inc. 24.05.2010 94,5MB 6.0.290 (unnötig) JavaFX 2.1.1 Oracle Corporation 07.07.2012 20,8MB 2.1.1 (unbekannt) LabelPrint CyberLink Corp. 06.01.2010 .2406 (unnötig) Leisure Suit Larry 7 Sierra 06.08.2010 86,8MB 1.0.59 (unnötig) LightScribe System Software 1.12.37.1 LightScribe 06.01.2010 20,8MB 1.12.37.1 (unnötig) Malwarebytes Anti-Malware Version 1.70.0.1100 Malwarebytes Corporation 27.02.2013 18,4MB 1.70.0.1100 (notwendig) Mario Forever 5.05 05.08.2011 (unnötig) Microsoft .NET Framework 4 Client Profile Microsoft Corporation 11.03.2012 38,8MB 4.0.30319 (unbekannt) Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Corporation 11.03.2012 2,93MB 4.0.30319 (unbekannt) Microsoft Office Enterprise 2007 Microsoft Corporation 10.03.2012 12.0.6612.1000 (notwendig) Microsoft SQL Server 2005 Compact Edition [ENU] Microsoft Corporation 10.03.2012 1,69MB 3.1.0000 (unbekannt) Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 10.03.2012 298KB 8.0.61001 (unbekannt) Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 Microsoft Corporation 26.04.2010 1,42MB 9.0.21022 (unbekannt) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 05.01.2010 596KB 9.0.30729 (unbekannt) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 27.03.2010 596KB 9.0.30729.4148 (unbekannt) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 10.03.2012 600KB 9.0.30729.6161 (unbekannt) Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Corporation 02.05.2012 16,5MB 10.0.40219 (unbekannt) MobileMe Control Panel Apple Inc. 22.10.2010 11,8MB 3.1.3.0 (notwendig) Mozilla Firefox 18.0.2 (x86 de) Mozilla 10.02.2013 48,9MB 18.0.2 (notwendig) Mozilla Maintenance Service Mozilla 10.02.2013 330KB 18.0.2 (unbekannt) MSXML 4.0 SP2 (KB954430) Microsoft Corporation 04.09.2010 1,27MB 4.20.9870.0 (unbekannt) MSXML 4.0 SP2 (KB973688) Microsoft Corporation 05.09.2010 1,33MB 4.20.9876.0 (unbekannt) NVIDIA Grafiktreiber 260.99 NVIDIA Corporation 31.10.2010 260.99 (notwendig) NVIDIA PhysX-Systemsoftware 260.99 NVIDIA Corporation 31.10.2010 260.99 (notwendig) PDF Blender 13.09.2010 (notwendig) Play AVStation Ihr Firmenname 05.01.2010 118MB 4.1.20.50 (notwendig) Play Camera Ihr Firmenname 05.01.2010 2,01MB 2.0.0.13 (notwendig) PowerDirector CyberLink Corp. 06.01.2010 5.0.3927 (notwendig) PowerDVD CyberLink Corp. 06.01.2010 7.0.3118.0 (notwendig) PowerProducer CyberLink Corp. 06.01.2010 085120(3.7)_Vista_SSPC (notwendig) PureSync 2.7.3 Jumping Bytes 02.11.2010 2.7.3 (notwendig) QuickTime Apple Inc. 07.07.2012 73,2MB 7.72.80.56 (notwendig) ratDVD 0.78.1444 ratDVD 06.01.2010 0.78.1444 (notwendig) RealPlayer RealNetworks 10.01.2013 91,7MB 16.0.0 (notwendig) RedMon - Redirection Port Monitor 24.01.2010 (unbekannt) Samsung Magic Doctor Samsung Electronics Co., LTD 05.01.2010 5.00 (unnötig) Samsung Update Plus Samsung Electronics Co., Ltd. 05.01.2010 2.0 (unnötig) Smart Cutter for DV and DVB FameRing 10.03.2012 20,5MB 1.00.0000 (unnötig) Stronghold 2 Firefly Studios 23.04.2011 1.40.1000 (notwendig) Synaptics Pointing Device Driver Synaptics 05.01.2010 10.1.2.0 (unbekannt) TeamViewer 5 TeamViewer GmbH 03.08.2010 5.0.8703 (unnötig) TeamViewer 7 TeamViewer 04.10.2012 7.0.14563 (notwendig) Ubisoft Game Launcher UBISOFT 26.04.2010 1.0.0.0 (notwendig) Uninstall 1.0.0.1 13.08.2010 10,5MB (unbekannt) USB2.0 UVC 1.3M WebCam 11.03.2012 (unbekannt) USB2.0 UVC WebCam D-MAX 05.01.2010 6.11.706.012 (unbekannt) Vuze Vuze Inc. 11.02.2010 (notwendig) WIDCOMM Bluetooth Software 6.0.1.6300 WIDCOMM, Inc. 05.01.2010 35,5MB 6.0.1.6300 (unbekannt) Windows Live Essentials Microsoft Corporation 10.03.2012 15.4.3538.0513 (unnötig) Windows Media Player Firefox Plugin Microsoft Corp 14.06.2011 296KB 1.0.0.8 (notwendig) WinRAR 05.01.2010 (notwendig) |
|
28.02.2013, 16:51
| #28 |
| /// Malware-holic | Weißer Bildschirm nach Start von Windows 7 deinstaliere: Adobe Flash Player alle Adobe - Adobe Flash Player installieren neueste version laden, instalieren. adobe reader: Adobe - Adobe Reader herunterladen - Alle Versionen haken bei mcafee security scan raus nehmen bitte auch mal den adobe reader wie folgt konfigurieren: adobe reader öffnen, bearbeiten, voreinstellungen. allgemein: nur zertifizierte zusatz module verwenden, anhaken. Sicherheit (erweitert) Erweiterte Sicherheit anhaken und alle Dateien auswählen. internet: hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc. es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht. bei javascript den haken bei java script verwenden raus nehmen bei updater, automatisch instalieren wählen. übernehmen /ok deinstaliere: BOClean Die Siedler II Free : alle unnötigen. HappyFoto Java : alle downloade Java jre: Java-Downloads für alle Betriebssysteme klicke: Download der Java-Software für Windows Offline laden, und instalieren deinstaliere: LabelPrint Leisure LightScribe Mario Samsung : beide Smart TeamViewer : würde ich allgemein nur instalieren wenn nötig, falls er drauf bleiben muss, beide weg, und Version 8 drauf. Windows Live Öffne CCleaner, analysieren, starten, PC neustarten. Downloade Dir bitte  AdwCleaner auf deinen Desktop.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
28.02.2013, 20:43
| #29 |
| | Weißer Bildschirm nach Start von Windows 7 Hi, habe alle Programme wie beschrieben deinstalliert (bzw wieder neu installiert). Dann den CCleaner ausgeführt. Anschließend wie beschrieben den AdwCleaner ausgeführt. Anbei die log-Datei Code:
ATTFilter # AdwCleaner v2.113 - Datei am 28/02/2013 um 20:33:45 erstellt
# Aktualisiert am 23/02/2013 von Xplode
# Betriebssystem : Windows 7 Professional (32 bits)
# Benutzer : Thomas - LAPTOPTHOMAS
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Thomas\Desktop\adwcleaner.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Datei Gelöscht : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
Ordner Gelöscht : C:\Users\Thomas\AppData\LocalLow\BabylonToolbar
Ordner Gelöscht : C:\Users\Thomas\AppData\LocalLow\boost_interprocess
Ordner Gelöscht : C:\Users\Thomas\AppData\Roaming\dvdvideosoftiehelpers
***** [Registrierungsdatenbank] *****
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{2EECD738-5844-4A99-B4B6-146BF802613B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{98889811-442D-49DD-99D7-DC866BE87DBC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\BabylonToolbarsrv_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\BabylonToolbarsrv_RASMANCS
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
***** [Internet Browser] *****
-\\ Internet Explorer v9.0.8112.16464
[OK] Die Registrierungsdatenbank ist sauber.
-\\ Mozilla Firefox v18.0.2 (de)
Datei : C:\Users\Thomas\AppData\Roaming\Mozilla\Firefox\Profiles\zqu00hmt.default\prefs.js
Gelöscht : user_pref("browser.search.selectedEngine", "Search the web (Babylon)");
Gelöscht : user_pref("extensions.BabylonToolbar.bbDpng", 30);
Gelöscht : user_pref("extensions.BabylonToolbar.cntry", "AT");
Gelöscht : user_pref("extensions.BabylonToolbar.firstRun", false);
Gelöscht : user_pref("extensions.BabylonToolbar.hdrMd5", "BE085D940DF651C7A56E76EAEFC5740D");
Gelöscht : user_pref("extensions.BabylonToolbar.lastActv", "30");
Gelöscht : user_pref("extensions.BabylonToolbar.lastDP", 30);
Gelöscht : user_pref("keyword.URL", "hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=f6298d3200000000000000216b0[...]
*************************
AdwCleaner[S1].txt - [3335 octets] - [28/02/2013 20:33:45]
########## EOF - C:\AdwCleaner[S1].txt - [3395 octets] ##########
|
|
28.02.2013, 20:45
| #30 |
| /// Malware-holic | Weißer Bildschirm nach Start von Windows 7 Hi, is kein Ding. HitmanPro - Download - Filepony Lade hitmanpro, doppelklick, Lizenz, Testlizenz. Auf Scan, nichts löschen. auf weiter, Log als xml exportieren und posten, bzw packen und anhängen
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
| Themen zu Weißer Bildschirm nach Start von Windows 7 |
| 32 bit, abgesicherten, anderer, bildschirm, bli, computer, dasselbe, euren, folge, interne, komplett, laptop, modus, passwort, problem, regeln, start, start von windows, start windows 7, startet, strg, thread, trojaner-board, verschwindet, website, weißer, weißer bildschirm, windows, windows 7, wirklich |
WARNUNG an die MITLESER: 
Linear-Darstellung
