Hallo Leute, bin neu hier und hab auch das Problem mit dem fiesen Trojaner.
Wer kann mir helfen???
Starten im abgesicherter Modus mit Netzwektreibern nicht möglich. Laptop mit Windoof 7.
Normalmodus erscheint immer der Sperrbildschirm von der GVU!!!

Für Hilfe bin ich sehr dankbar

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
  Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
• Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
  Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
  Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
  Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Wir versuchen mal den abgesicherten Modus mit Eingabeaufforderung und OTL:



Lade dir auf einem Zweitrechner bitte OTL (von Oldtimer) herunter und speichere es auf einen USB-Stick (nicht in einen Unterordner!).

• Schließe diesen USB-Stick nun an den infizierten Rechner an.
• Starte den infizierten Computer in den abgesicherten Modus mit Eingabeaufforderung.
• In der Kommandozeile gib nun notepad ein und drücke Enter.
  • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Arbeitsplatz.
  • Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
  • Schließe Notepad wieder.
• Gib nun bitte folgenden Befehl in die Kommandozeile ein und drücke Enter:

  e:\OTL.exe

  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
  Es sollte sich nun das Fenster von OTL öffnen.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) angezeigt und auf dem USB-Stick gespeichert.
• Poste bitte auf dem Zweitrechner den Inhalt dieser Logfiles hier in den Thread.

Hi Matthias, vielen Dank für die direkte Antwort.
Abgesicheter Modus mit Eingabeauforderung funzt nich!der bootet windows bis zum log in und meldet sich direkt wieder ab. Wie lange meinste dauert des ich glaub ich brauch ne boot cd, ich kenn mich halt garnich aus!!!

Servus,


dann nehmen wir eben FRST:

Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einem USB Stick:
Farbar Recovery Scan Tool 32-Bit-Version
Farbar Recovery Scan Tool 64-Bit-Version

Scanne jetzt nach der bebilderten Anleitung.

- oder verwende die folgende -

Kurzanleitung:

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Über den Boot Manager

• Starte den Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und starte von der CD
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !!
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Hi hier ist der Scan!




Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 10-05-2013 01
Ran by SYSTEM on 10-05-2013 19:32:41
Running from I:\
Windows 7 Home Premium (X64) OS Language: English(US)
Internet Explorer Version 9
Boot Mode: Recovery
The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [SysTrayApp] C:\Program Files\IDT\WDM\sttray64.exe [1128448 2011-03-11] (IDT, Inc.)
HKLM\...\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe [2480936 2010-12-16] (Synaptics Incorporated)
HKLM\...\Run: [IntelWireless] "C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray [1933584 2011-02-04] (Intel(R) Corporation)
HKLM\...\Run: [BTMTrayAgent] rundll32.exe "C:\Program Files (x86)\Intel\Bluetooth\btmshell.dll",TrayApp [10355200 2011-01-24] (Intel Corporation)
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$126aa3d8d5656a5636d55943be9dc34b\n. ATTENTION! ====> ZeroAccess
HKLM-x32\...\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [283160 2011-01-12] (Intel Corporation)
HKLM-x32\...\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun [336384 2011-05-07] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [NUSB3MON] "C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [113288 2010-11-17] (Renesas Electronics Corporation)
HKLM-x32\...\Run: [HP Quick Launch] C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe [586296 2010-11-09] (Hewlett-Packard Development Company, L.P.)
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" [35736 2012-01-03] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [843712 2012-01-02] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe [61112 2011-03-16] (EasyBits Software AS)
HKLM-x32\...\Run: [HPOSD] C:\Program Files (x86)\Hewlett-Packard\HP On Screen Display\HPOSD.exe [318520 2011-01-27] (Hewlett-Packard Development Company, L.P.)
HKLM-x32\...\Run: [HPConnectionManager] C:\Program Files (x86)\Hewlett-Packard\HP Connection Manager\HPCMDelayStart.exe [103992 2011-06-14] (Hewlett-Packard Development Company L.P.)
HKU\minimoa\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Users\minimoa\Documents\57da0a2d.exe [34304 2013-05-09] ()
HKU\minimoa\...\RunOnce: [FlashPlayerUpdate] C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_6_602_180_ActiveX.exe -update activex [706776 2013-03-13] (Adobe Systems Incorporated)
HKU\minimoa\...\Winlogon: [Shell] cmd.exe [345088 2010-11-20] (Microsoft Corporation)

==================== Services (Whitelisted) =================

S3 MyWiFiDHCPDNS; C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe [340240 2011-02-04] ()
S2 NIS; C:\Program Files (x86)\Norton Internet Security\Engine\20.3.1.22\diMaster.dll [554288 2013-03-29] (Symantec Corporation)

==================== Drivers (Whitelisted) ====================

S1 BHDrvx64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.0.36\Definitions\BASHDefs\20130502.001\BHDrvx64.sys [1390680 2013-04-12] (Symantec Corporation)
S1 eeCtrl; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys [484512 2013-03-08] (Symantec Corporation)
S3 EraserUtilRebootDrv; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [138912 2013-03-08] (Symantec Corporation)
S1 IDSVia64; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.0.36\Definitions\IPSDefs\20130508.001\IDSvia64.sys [513184 2013-03-07] (Symantec Corporation)
S3 NAVENG; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.0.36\Definitions\VirusDefs\20130508.022\ENG64.SYS [126192 2013-03-08] (Symantec Corporation)
S3 NAVEX15; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.3.0.36\Definitions\VirusDefs\20130508.022\EX64.SYS [2087664 2013-03-08] (Symantec Corporation)
S3 SymEvent; C:\Windows\system32\Drivers\SYMEVENT64x86.SYS [177312 2013-03-08] (Symantec Corporation)
S1 ccSet_NIS; \SystemRoot\system32\drivers\NISx64\1403010.016\ccSetx64.sys [x]
S3 CpqDfw; system32\drivers\CpqDfw.sys [x]
S3 SRTSP; \SystemRoot\System32\Drivers\NISx64\1403010.016\SRTSP64.SYS [x]
S1 SRTSPX; \SystemRoot\system32\drivers\NISx64\1403010.016\SRTSPX64.SYS [x]
S0 SymDS; system32\drivers\NISx64\1403010.016\SYMDS64.SYS [x]
S0 SymEFA; system32\drivers\NISx64\1403010.016\SYMEFA64.SYS [x]
S1 SymIRON; \SystemRoot\system32\drivers\NISx64\1403010.016\Ironx64.SYS [x]
S1 SymNetS; \SystemRoot\System32\Drivers\NISx64\1403010.016\SYMNETS.SYS [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-05-10 19:32 - 2013-05-10 19:32 - 00000000 ____D C:\FRST
2013-05-09 08:32 - 2013-05-09 08:32 - 00393563 ____A C:\ProgramData\Application Data\2433f433
2013-05-09 08:32 - 2013-05-09 08:32 - 00393563 ____A C:\ProgramData\2433f433
2013-05-09 08:32 - 2013-05-09 08:32 - 00393549 ____A C:\Users\minimoa\AppData\Roaming\2433f433
2013-05-09 08:32 - 2013-05-09 08:32 - 00393516 ____A C:\Users\minimoa\AppData\Local\2433f433
2013-05-09 08:32 - 2013-05-09 08:32 - 00034304 ____A C:\Users\minimoa\Documents\57da0a2d.exe
2013-04-26 11:19 - 2013-04-26 11:19 - 00000000 ____D C:\Users\minimoa\Documents\SimCity
2013-04-26 10:59 - 2013-04-26 10:59 - 00001274 ____A C:\Users\Public\Desktop\SimCity™.lnk
2013-04-26 10:59 - 2013-04-26 10:59 - 00001274 ____A C:\ProgramData\Desktop\SimCity™.lnk
2013-04-24 12:33 - 2013-04-12 06:45 - 01656680 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\ntfs.sys
2013-04-23 08:33 - 2013-04-23 08:33 - 00352145 ____A C:\Users\minimoa\Downloads\message-rfc822-attachment (1)
2013-04-18 09:39 - 2013-04-18 09:39 - 00002503 ____A C:\Users\Public\Desktop\Norton Internet Security.lnk
2013-04-18 09:39 - 2013-04-18 09:39 - 00002503 ____A C:\ProgramData\Desktop\Norton Internet Security.lnk
2013-04-16 09:44 - 2013-04-16 09:44 - 00000000 ____D C:\Steuererklärungen
2013-04-12 07:26 - 2013-02-21 22:57 - 17817088 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-04-12 07:26 - 2013-02-21 22:29 - 10925568 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-04-12 07:26 - 2013-02-21 22:27 - 02312704 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-04-12 07:26 - 2013-02-21 22:21 - 01346560 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-04-12 07:26 - 2013-02-21 22:20 - 01392128 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-04-12 07:26 - 2013-02-21 22:19 - 01494528 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2013-04-12 07:26 - 2013-02-21 22:18 - 00237056 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2013-04-12 07:26 - 2013-02-21 22:17 - 00085504 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-04-12 07:26 - 2013-02-21 22:15 - 00816640 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-04-12 07:26 - 2013-02-21 22:15 - 00599040 ____A (Microsoft Corporation) C:\Windows\System32\vbscript.dll
2013-04-12 07:26 - 2013-02-21 22:15 - 00173056 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2013-04-12 07:26 - 2013-02-21 22:14 - 00729088 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-04-12 07:26 - 2013-02-21 22:13 - 02147840 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-04-12 07:26 - 2013-02-21 22:13 - 00096768 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2013-04-12 07:26 - 2013-02-21 22:12 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-04-12 07:26 - 2013-02-21 22:09 - 00248320 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-04-12 07:26 - 2013-02-21 20:05 - 12324352 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-04-12 07:26 - 2013-02-21 19:47 - 09738752 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-04-12 07:26 - 2013-02-21 19:46 - 01800704 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2013-04-12 07:26 - 2013-02-21 19:38 - 01129472 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-04-12 07:26 - 2013-02-21 19:38 - 01104384 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-04-12 07:26 - 2013-02-21 19:37 - 01427968 ____A (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2013-04-12 07:26 - 2013-02-21 19:36 - 00231936 ____A (Microsoft Corporation) C:\Windows\SysWOW64\url.dll
2013-04-12 07:26 - 2013-02-21 19:35 - 00065024 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-04-12 07:26 - 2013-02-21 19:34 - 00717824 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2013-04-12 07:26 - 2013-02-21 19:34 - 00420864 ____A (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2013-04-12 07:26 - 2013-02-21 19:34 - 00142848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2013-04-12 07:26 - 2013-02-21 19:33 - 00607744 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2013-04-12 07:26 - 2013-02-21 19:32 - 01796096 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-04-12 07:26 - 2013-02-21 19:31 - 02382848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-04-12 07:26 - 2013-02-21 19:31 - 00073216 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2013-04-12 07:26 - 2013-02-21 19:28 - 00176640 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-04-11 07:24 - 2013-03-18 22:04 - 05550424 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2013-04-11 07:24 - 2013-03-18 21:46 - 00043520 ____A (Microsoft Corporation) C:\Windows\System32\csrsrv.dll
2013-04-11 07:24 - 2013-03-18 21:04 - 03968856 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntkrnlpa.exe
2013-04-11 07:24 - 2013-03-18 21:04 - 03913560 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntoskrnl.exe
2013-04-11 07:24 - 2013-03-18 20:47 - 00006656 ____A (Microsoft Corporation) C:\Windows\SysWOW64\apisetschema.dll
2013-04-11 07:24 - 2013-03-18 19:06 - 00112640 ____A (Microsoft Corporation) C:\Windows\System32\smss.exe
2013-04-11 07:24 - 2013-02-28 19:36 - 03153408 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2013-04-11 07:24 - 2013-02-14 22:08 - 00044032 ____A (Microsoft Corporation) C:\Windows\System32\tsgqec.dll
2013-04-11 07:24 - 2013-02-14 22:06 - 03717632 ____A (Microsoft Corporation) C:\Windows\System32\mstscax.dll
2013-04-11 07:24 - 2013-02-14 22:02 - 00158720 ____A (Microsoft Corporation) C:\Windows\System32\aaclient.dll
2013-04-11 07:24 - 2013-02-14 20:37 - 03217408 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mstscax.dll
2013-04-11 07:24 - 2013-02-14 20:34 - 00131584 ____A (Microsoft Corporation) C:\Windows\SysWOW64\aaclient.dll
2013-04-11 07:24 - 2013-02-14 19:25 - 00036864 ____A (Microsoft Corporation) C:\Windows\SysWOW64\tsgqec.dll
2013-04-11 07:24 - 2013-01-23 22:01 - 00223752 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\fvevol.sys

==================== One Month Modified Files and Folders =======

2013-05-10 19:32 - 2013-05-10 19:32 - 00000000 ____D C:\FRST
2013-05-10 09:12 - 2009-07-13 20:45 - 00031856 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-05-10 09:12 - 2009-07-13 20:45 - 00031856 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-05-10 09:09 - 2011-09-03 00:22 - 00654798 ____A C:\Windows\System32\perfh007.dat
2013-05-10 09:09 - 2011-09-03 00:22 - 00130380 ____A C:\Windows\System32\perfc007.dat
2013-05-10 09:09 - 2009-07-13 21:13 - 01500062 ____A C:\Windows\System32\PerfStringBackup.INI
2013-05-10 09:04 - 2009-07-13 21:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-05-10 09:04 - 2009-07-13 20:51 - 00088709 ____A C:\Windows\setupact.log
2013-05-10 08:37 - 2012-04-28 04:34 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-05-10 08:37 - 2012-03-08 23:05 - 00001112 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-05-10 08:37 - 2012-03-08 23:05 - 00001108 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-05-10 08:27 - 2011-11-08 14:04 - 01244622 ____A C:\Windows\WindowsUpdate.log
2013-05-09 08:32 - 2013-05-09 08:32 - 00393563 ____A C:\ProgramData\Application Data\2433f433
2013-05-09 08:32 - 2013-05-09 08:32 - 00393563 ____A C:\ProgramData\2433f433
2013-05-09 08:32 - 2013-05-09 08:32 - 00393549 ____A C:\Users\minimoa\AppData\Roaming\2433f433
2013-05-09 08:32 - 2013-05-09 08:32 - 00393516 ____A C:\Users\minimoa\AppData\Local\2433f433
2013-05-09 08:32 - 2013-05-09 08:32 - 00034304 ____A C:\Users\minimoa\Documents\57da0a2d.exe
2013-05-09 08:32 - 2012-03-29 04:16 - 00000000 ____D C:\Users\minimoa\Documents\Youcam
2013-05-09 01:34 - 2012-03-11 03:42 - 00000000 ____D C:\Users\minimoa\AppData\Local\CrashDumps
2013-05-09 01:34 - 2009-07-13 21:08 - 00032632 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-05-04 01:44 - 2012-06-15 22:39 - 00000340 ____A C:\Windows\Tasks\HPCeeScheduleForminimoa.job
2013-05-03 09:17 - 2012-05-11 22:40 - 00000000 ____A C:\Windows\System32\HP_ActiveX_Patch_NOT_DETECTED.txt
2013-05-03 09:17 - 2012-02-17 12:18 - 00000052 ____A C:\Windows\SysWOW64\DOErrors.log
2013-04-27 15:24 - 2012-12-26 06:03 - 00007619 ____A C:\Users\minimoa\AppData\Local\Resmon.ResmonCfg
2013-04-26 11:19 - 2013-04-26 11:19 - 00000000 ____D C:\Users\minimoa\Documents\SimCity
2013-04-26 11:19 - 2012-11-04 00:32 - 00000000 ____D C:\ProgramData\Origin
2013-04-26 11:19 - 2012-11-04 00:32 - 00000000 ____D C:\ProgramData\Application Data\Origin
2013-04-26 11:19 - 2012-11-04 00:30 - 00000000 ____D C:\ProgramData\Electronic Arts
2013-04-26 11:19 - 2012-11-04 00:30 - 00000000 ____D C:\ProgramData\Application Data\Electronic Arts
2013-04-26 10:59 - 2013-04-26 10:59 - 00001274 ____A C:\Users\Public\Desktop\SimCity™.lnk
2013-04-26 10:59 - 2013-04-26 10:59 - 00001274 ____A C:\ProgramData\Desktop\SimCity™.lnk
2013-04-26 10:53 - 2012-11-04 00:34 - 00000000 ____D C:\Program Files (x86)\Origin Games
2013-04-23 08:33 - 2013-04-23 08:33 - 00352145 ____A C:\Users\minimoa\Downloads\message-rfc822-attachment (1)
2013-04-23 08:31 - 2013-04-07 02:53 - 00000000 ____D C:\Users\minimoa\AppData\Roaming\SoftGrid Client
2013-04-18 09:40 - 2013-03-08 12:51 - 00000000 ____D C:\Windows\System32\Drivers\NISx64
2013-04-18 09:39 - 2013-04-18 09:39 - 00002503 ____A C:\Users\Public\Desktop\Norton Internet Security.lnk
2013-04-18 09:39 - 2013-04-18 09:39 - 00002503 ____A C:\ProgramData\Desktop\Norton Internet Security.lnk
2013-04-16 09:44 - 2013-04-16 09:44 - 00000000 ____D C:\Steuererklärungen
2013-04-13 06:25 - 2009-07-13 20:45 - 00276904 ____A C:\Windows\System32\FNTCACHE.DAT
2013-04-12 07:28 - 2012-03-03 13:48 - 72702784 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-04-12 06:45 - 2013-04-24 12:33 - 01656680 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\ntfs.sys

ZeroAccess:
C:\$Recycle.Bin\S-1-5-21-2498402363-115163587-3545894226-1000\$126aa3d8d5656a5636d55943be9dc34b

ZeroAccess:
C:\$Recycle.Bin\S-1-5-18\$126aa3d8d5656a5636d55943be9dc34b

==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points =========================

Restore point made on: 2013-04-01 04:05:14
Restore point made on: 2013-04-04 09:34:04
Restore point made on: 2013-04-08 22:28:07
Restore point made on: 2013-04-09 05:39:32
Restore point made on: 2013-04-12 07:25:37
Restore point made on: 2013-04-15 09:48:04
Restore point made on: 2013-04-21 10:28:18
Restore point made on: 2013-04-25 10:27:44
Restore point made on: 2013-04-26 10:58:46
Restore point made on: 2013-04-29 07:54:56
Restore point made on: 2013-05-06 10:07:06

==================== Memory info ===========================

Percentage of memory in use: 11%
Total physical RAM: 8139.86 MB
Available physical RAM: 7219.68 MB
Total Pagefile: 8138.01 MB
Available Pagefile: 7204.06 MB
Total Virtual: 8192 MB
Available Virtual: 8191.88 MB

==================== Drives ================================

Drive c: (OS) (Fixed) (Total:680.14 GB) (Free:539.23 GB) NTFS (Disk=0 Partition=2) ==>[System with boot components (obtained from reading drive)]
Drive d: (DATA) (Fixed) (Total:698.63 GB) (Free:257.92 GB) NTFS (Disk=1 Partition=1)
Drive f: (RECOVERY) (Fixed) (Total:18.2 GB) (Free:1.64 GB) NTFS (Disk=0 Partition=3) ==>[System with boot components (obtained from reading drive)]
Drive g: (HP_TOOLS) (Fixed) (Total:0.1 GB) (Free:0.09 GB) FAT32 (Disk=0 Partition=4)
Drive i: () (Removable) (Total:14.72 GB) (Free:14.72 GB) FAT32 (Disk=2 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.25 GB) (Free:0.25 GB) NTFS
Drive y: (SYSTEM) (Fixed) (Total:0.19 GB) (Free:0.13 GB) NTFS (Disk=0 Partition=1) ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 699 GB) (Disk ID: 527073E8)
Partition 1: (Active) - (Size=199 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=680 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=18 GB) - (Type=07 NTFS)
Partition 4: (Not Active) - (Size=103 MB) - (Type=0C)

========================================================
Disk: 1 (MBR Code: Windows 7 or 8) (Size: 699 GB) (Disk ID: 2B9EF27D)
Partition 1: (Not Active) - (Size=699 GB) - (Type=07 NTFS)

========================================================
Disk: 2 (MBR Code: Windows XP) (Size: 15 GB) (Disk ID: C3072E18)
Partition 1: (Active) - (Size=15 GB) - (Type=0C)


Last Boot: 2013-05-09 05:35

==================== End Of Log ============================

Servus,

Lesestoff:
Rootkit-Warnung
Dein Computer wurde mit einem besonderen Schädling infiziert, der sich vor herkömmlichen Virenscannern und dem Betriebssystem selbst verstecken kann. Zusätzlich hat so ein Schädling meist auch Backdoor-Funktionalität, reißt also ganz bewußt Löcher durch alle Schutzmaßnahmen, damit er weiteren Schadcode nachladen oder die Daten, die er so sammelt, an die "bösen Jungs" weiterleiten kann. Was heißt das jetzt für dich?

• Entscheide bitte ganz bewußt, ob du mit der Bereinigung fortfahren möchtest. Ein einmal derartig kompromittiertes System kann man niemals mit 100%iger Sicherheit wieder absichern. Auch wenn wir gute Chancen haben, deinen Computer zu bereinigen, kann es dennoch möglich sein, dass uns am Ende nur die Neuinstallation bleibt.
• Wenn du mit diesem Computer beispielsweise Onlinebanking machst, dann solltest du zumindest dein Passwort von deiner Bank ändern lassen, wenn du ein ansonsten sicheres Verfahren wie beispielsweise "chip-TAN-comfort" nutzt. Hast du noch alte TAN-Bögen auf Papierbasis? Dann ist es höchste Zeit dich bei deiner Bank zu melden und notfalls das Konto temporär sperren zu lassen. Der Sperrnotruf 116 116 von www.sperr-notruf.de kann Tag und Nacht dafür benutzt werden.
• Hast du ansonsten sensible Daten auf deinem Computer, dann solltest du auch darüber nachdenken, wie du damit umgehst, da sie sich praktisch "jeder" ansehen konnte.

Teile mir also mit, wie du dich entschieden hast.

Solltest du dich für eine Bereinigung entschieden haben, beginnen wir folgendermaßen:




Schritt 1 sollte den Rechner entsperren, Schritt 2 und 3 dann bitte im normalen Modus ausführen!


Schritt 1
Drücke auf dem sauberen Rechner bitte die + R Taste und schreibe notepad in das Ausführen Fenster und drücke Enter.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

start
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$126aa3d8d5656a5636d55943be9dc34b\n. ATTENTION! ====> ZeroAccess
HKU\minimoa\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Users\minimoa\Documents\57da0a2d.exe [34304 2013-05-09] ()
C:\Users\minimoa\Documents\57da0a2d.exe
2013-05-09 08:32 - 2013-05-09 08:32 - 00393563 ____A C:\ProgramData\Application Data\2433f433
2013-05-09 08:32 - 2013-05-09 08:32 - 00393563 ____A C:\ProgramData\2433f433
2013-05-09 08:32 - 2013-05-09 08:32 - 00393549 ____A C:\Users\minimoa\AppData\Roaming\2433f433
2013-05-09 08:32 - 2013-05-09 08:32 - 00393516 ____A C:\Users\minimoa\AppData\Local\2433f433
2013-05-09 08:32 - 2013-05-09 08:32 - 00034304 ____A C:\Users\minimoa\Documents\57da0a2d.exe
C:\$Recycle.Bin\S-1-5-21-2498402363-115163587-3545894226-1000\$126aa3d8d5656a5636d55943be9dc34b
C:\$Recycle.Bin\S-1-5-18\$126aa3d8d5656a5636d55943be9dc34b
end
         

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen infizierten Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.





Schritt 2
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 3
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop (falls noch nicht vorhanden).

• Starte bitte die OTL.exe.
• Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Standard Ausgabe.
• Setze einen Haken bei Scanne alle Benutzer.
• Unter Extra Registry, wähle bitte Use SafeList.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
msconfig
CREATERESTOREPOINT
         

• Schließe bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Scan Button.
• Am Ende des Suchlaufs werden 2 Logdateien erstellt.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Bitte poste mit deiner nächsten Antwort

• die Logdatei von FRST,
• die Logdatei von ComboFix,
• die beiden Logdateien von OTL.

Also das kling nich prickelnd!
Müssen wir platt machen, wie geh ich vor, hab nen hp pavilion dv 7 ohne win cd
Danke schonmal

Zitat:

Zitat von paco1177

Also das kling nich prickelnd!
Müssen wir platt machen, wie geh ich vor, hab nen hp pavilion dv 7 ohne win cd
Danke schonmal

Platt machen ohne Windows CD... hmm... bin ich kein Fan von.

Wenn du bereinigen willst, führe die Schritte wie beschrieben aus und poste die Logdateien.
Mit FRST und CF stehen die Chancen gut... neu aufsetzen ist sowieso was für Feiglinge...

ich möchte gerne neuinstallieren,
ich hab hier nicht viele Sachen drauf, wenn es eh sein kann, dass eine Neuinstallation erforderlich ist???... auf dem Rechner ist windows schon vorinstalliert gewesen, deshalb frag ich

Servus,


besitzt der Computer eine Recovery Funktion?

Wenn es so ist, dann kann man diese meist beim Neustart aktivieren, über f9-f10 oder alt+f10 bzw f4.

Ja hab ich geoffnet, die frage ist was soll ich machen:
1:Microsoft Systemwiederherstellung
2:Systemwiederherstellung
3:Minimal-Image wiederherstellen

was ist sinnvoll?

Zitat:

Zitat von paco1177

was ist sinnvoll?

Ich frag mal intern nach, denn eigentlich solltest du zu dieser Auswahl gar nicht kommen.

Um welches Modell handelt es sich bei diesem HP notebook?

Hi Matthias,
danke nochmals für dein Engagement.
Also der HP nennt sich Pavilion DV 7
Grüßle

Servus,


wähle Option 2: Systemwiederherstellung

So, das ist nun erledigt.
Ist jetzt alles wieder ok?