Hallo, mein Bruder hat sich einen Bundespolizei Virus eingefangen dass ist aber schon c.a 3-4 Monate her. Kann uns da jemand helfen? er hat einen Windows 7 Laptop. Und beim hochfahren erscheint nicht mehr das Bundespolizei Bild sondern der Bildschirm ist ganz weiß.

wenn uns jemand helfen würde währen wir sehr dankbar

Hi,
[indent]
Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

hallo danke für die schnelle Antwort, es funktioniert leider nicht mit der F8 taste, was soll ich jetzt tun?

Was funktioniert nicht?

Es gibt keinen Win7 Rechner der nicht auf F8 reagiert . Was machst du genau?

ich habe beide datein auf einen Usb stick geladen und ihn an den infizierten computer angeschlossen dann habe ich den computer gestartet musste das pw eingeben und dann habe ich öfters F8 gedrückt aber es ist nichts passiert also der computer hat sich hochgefahren und der weiße bildschirm ist wieder da

Du musst den Rechner starten und DIREKT mehrfach F8 drücken. Wenn Du zur Passworteingabe kommst biste schon viel zu weit.

ah jetzt hat es geklappt sorry ich kenne mich nicht sehr gut mit dem computer aus. ich bin jetzt bei dem abschnitt Systemwiederherstellungsoptionen...dass mit der Windows CD habe ich nicht verstanden..ich habe keine CD...

Eingabeaufforderung aufrufen, dann frst wie beschrieben vom Stick laufen lassen.

das funktioniert auch nicht...weder die eingabe E: noch D:...das fenster bleibt unverändert

Wo genau bist du jetzt?
in der Eingabeaufforderung? Wenn ja gib

notepad

ein und drücke Enter. Dann Datei > Speichern unter. Such den USB Stick,dann kennst Du den Laufwerksbuchstaben.

das habe ich jetzt gemacht kenne jetzt den laufwerksbuchstaben, doch es hat immer noch nicht geklappt es öffnet sich nichts. ich bin verzweifelt

jetzt läd etwas habe es endlich geschafft führe jetzt den scan durch

hier der logfile

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 09-06-2013
Ran by SYSTEM on 10-06-2013 16:51:49
Running from G:\
Windows 7 Home Premium (X64) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [cAudioFilterAgent] C:\Program Files\Conexant\cAudioFilterAgent\cAudioFilterAgent64.exe [518784 2011-03-29] (Conexant Systems, Inc.)
HKLM\...\Run: [AtherosBtStack] "C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe" [790688 2011-04-29] (Atheros Communications)
HKLM\...\Run: [AthBtTray] "C:\Program Files (x86)\Bluetooth Suite\AthBtTray.exe" [657568 2011-04-29] (Atheros Commnucations)
HKLM\...\Run: [Apoint] %ProgramFiles%\Apoint\Apoint.exe [226672 2011-02-17] (Alps Electric Co., Ltd.)
HKLM-x32\...\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [283160 2010-09-13] (Intel Corporation)
HKLM-x32\...\Run: [ISBMgr.exe] "C:\Program Files (x86)\Sony\ISB Utility\ISBMgr.exe" [2757312 2011-02-15] (Sony Corporation)
HKLM-x32\...\Run: [PMBVolumeWatcher] C:\Program Files (x86)\Sony\PMB\PMBVolumeWatcher.exe [648032 2010-11-26] (Sony Corporation)
HKLM-x32\...\Run: [DATAMNGR] C:\PROGRA~2\WI3C8A~1\Datamngr\DATAMN~1.EXE [1694608 2011-12-06] (Bandoo Media, inc)
HKLM-x32\...\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min [348664 2012-08-09] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59280 2012-08-27] (Apple Inc.)
HKLM-x32\...\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe" [421776 2012-09-09] (Apple Inc.)
HKU\kevin\...\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background [4280184 2012-03-08] (Microsoft Corporation)
HKU\kevin\...\Run: [Facebook Update] "C:\Users\kevin\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver [138096 2012-07-15] (Facebook Inc.)
HKU\kevin\...\Run: [wxwijvmopaekvnl] C:\ProgramData\wxwijvmopaekvnlhvkzv.exe [x]
HKU\kevin\...\Winlogon: [Shell] explorer.exe,C:\Users\kevin\AppData\Roaming\skype.dat [90112 2011-11-17] () <==== ATTENTION 
AppInit_DLLs: C:\PROGRA~2\WI3C8A~1\Datamngr\x64\datamngr.dll C:\PROGRA~2\WI3C8A~1\Datamngr\x64\IEBHO.dll  [1791384 2011-12-06] (Bandoo Media, inc)

==================== Services (Whitelisted) =================

S3 ACDaemon; C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [113152 2010-03-18] (ArcSoft Inc.)
S2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [86224 2012-05-12] (Avira Operations GmbH & Co. KG)
S2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [110032 2012-05-12] (Avira Operations GmbH & Co. KG)
S2 Atheros Bt&Wlan Coex Agent; C:\Program Files (x86)\Bluetooth Suite\Ath_CoexAgent.exe [146592 2011-04-29] (Atheros)
S2 SampleCollector; C:\Program Files\Sony\VAIO Care\VCPerfService.exe [259192 2011-01-29] (Sony Corporation)
S2 uCamMonitor; C:\Program Files (x86)\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe [105024 2011-02-23] (ArcSoft, Inc.)
S3 VUAgent; C:\Program Files\Sony\VAIO Update 5\VUAgent.exe [1021112 2011-03-30] (Sony Corporation)

==================== Drivers (Whitelisted) ====================

S3 ArcSoftKsUFilter; C:\Windows\System32\DRIVERS\ArcSoftKsUFilter.sys [19968 2009-05-26] (ArcSoft, Inc.)
S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [98848 2012-05-12] (Avira GmbH)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [132832 2012-05-12] (Avira GmbH)
S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [27760 2011-12-15] (Avira GmbH)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-06-10 16:51 - 2013-06-10 16:51 - 00000000 ____D C:\FRST
2013-06-10 14:33 - 2013-06-10 14:34 - 00000000 ____D C:\Users\kevin\AppData\Local\{45DA0538-15AF-4A7C-81EB-86AC3055073F}
2013-06-10 14:31 - 2013-06-10 14:31 - 00000000 ____D C:\Users\kevin\AppData\Local\{CAE4CE50-A0C7-4998-89FB-10AEE18B5947}
2013-06-09 09:34 - 2013-06-09 09:35 - 00000000 ____D C:\Users\kevin\AppData\Local\{25D574E8-C267-488C-B810-C1CBEC1D0B57}
2013-06-09 09:32 - 2013-06-09 09:32 - 00000000 ____D C:\Users\kevin\AppData\Local\{CAB08AA7-6B97-43AB-B472-A59E89FD9074}
2013-05-11 22:32 - 2013-05-11 22:32 - 00000000 ____D C:\Users\kevin\AppData\Local\{4C060700-F3D2-4909-BEB4-B5F96F5C28EB}
2013-05-11 22:28 - 2013-05-11 22:28 - 00000000 ____D C:\Users\kevin\AppData\Local\{BDCFADBC-F6A2-467B-B7DC-5951AB03E056}
2013-05-11 22:26 - 2013-05-11 22:26 - 00003544 ____N C:\bootsqm.dat
2013-05-11 22:20 - 2013-05-11 22:20 - 00000000 ____D C:\Users\kevin\AppData\Local\{3B7B78C9-2D2E-4AFD-8147-10E9BC72553D}

==================== One Month Modified Files and Folders =======

2013-06-10 16:51 - 2013-06-10 16:51 - 00000000 ____D C:\FRST
2013-06-10 15:12 - 2013-04-05 20:06 - 00000004 ____A C:\Users\kevin\AppData\Roaming\skype.ini
2013-06-10 15:10 - 2011-12-30 17:06 - 00000000 ____D C:\Users\kevin\Tracing
2013-06-10 15:10 - 2011-08-08 04:50 - 00000000 ____D C:\ProgramData\NVIDIA
2013-06-10 15:09 - 2009-07-14 06:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-06-10 15:09 - 2009-07-14 05:51 - 00094354 ____A C:\Windows\setupact.log
2013-06-10 14:34 - 2013-06-10 14:33 - 00000000 ____D C:\Users\kevin\AppData\Local\{45DA0538-15AF-4A7C-81EB-86AC3055073F}
2013-06-10 14:31 - 2013-06-10 14:31 - 00000000 ____D C:\Users\kevin\AppData\Local\{CAE4CE50-A0C7-4998-89FB-10AEE18B5947}
2013-06-09 09:35 - 2013-06-09 09:34 - 00000000 ____D C:\Users\kevin\AppData\Local\{25D574E8-C267-488C-B810-C1CBEC1D0B57}
2013-06-09 09:32 - 2013-06-09 09:32 - 00000000 ____D C:\Users\kevin\AppData\Local\{CAB08AA7-6B97-43AB-B472-A59E89FD9074}
2013-06-09 09:11 - 2011-08-08 14:28 - 00696620 ____A C:\Windows\System32\perfh007.dat
2013-06-09 09:11 - 2011-08-08 14:28 - 00147916 ____A C:\Windows\System32\perfc007.dat
2013-06-09 09:11 - 2009-07-14 06:13 - 01612484 ____A C:\Windows\System32\PerfStringBackup.INI
2013-05-11 22:45 - 2011-12-30 16:52 - 02055664 ____A C:\Windows\WindowsUpdate.log
2013-05-11 22:32 - 2013-05-11 22:32 - 00000000 ____D C:\Users\kevin\AppData\Local\{4C060700-F3D2-4909-BEB4-B5F96F5C28EB}
2013-05-11 22:28 - 2013-05-11 22:28 - 00000000 ____D C:\Users\kevin\AppData\Local\{BDCFADBC-F6A2-467B-B7DC-5951AB03E056}
2013-05-11 22:26 - 2013-05-11 22:26 - 00003544 ____N C:\bootsqm.dat
2013-05-11 22:20 - 2013-05-11 22:20 - 00000000 ____D C:\Users\kevin\AppData\Local\{3B7B78C9-2D2E-4AFD-8147-10E9BC72553D}
2013-05-11 22:20 - 2012-01-14 00:06 - 00001138 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3409851441-3307503595-2544698122-1001UA.job
2013-05-11 22:20 - 2012-01-14 00:06 - 00001116 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3409851441-3307503595-2544698122-1001Core.job

Files to move or delete:
====================
C:\Users\kevin\AppData\Roaming\skype.dat
C:\Users\kevin\AppData\Roaming\skype.ini
C:\ProgramData\dsgsdgdsgdsgw.pad

==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-01-20 02:07:58
Restore point made on: 2013-01-29 00:06:42
Restore point made on: 2013-02-01 21:15:01
Restore point made on: 2013-02-06 01:25:55
Restore point made on: 2013-02-11 19:32:08
Restore point made on: 2013-02-17 18:19:52
Restore point made on: 2013-02-22 17:17:12
Restore point made on: 2013-02-26 18:29:02
Restore point made on: 2013-02-26 18:42:17
Restore point made on: 2013-03-12 21:16:48
Restore point made on: 2013-03-13 02:24:42
Restore point made on: 2013-03-17 23:38:08
Restore point made on: 2013-03-24 00:15:41
Restore point made on: 2013-03-28 22:40:02
Restore point made on: 2013-03-29 02:45:24
Restore point made on: 2013-04-03 22:02:45
Restore point made on: 2013-04-04 00:07:51

==================== Memory info =========================== 

Percentage of memory in use: 15%
Total physical RAM: 4077.86 MB
Available physical RAM: 3450.03 MB
Total Pagefile: 4076.01 MB
Available Pagefile: 3445.22 MB
Total Virtual: 8192 MB
Available Virtual: 8191.86 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:451.77 GB) (Free:369.53 GB) NTFS (Disk=0 Partition=3)
Drive e: (Recovery) (Fixed) (Total:13.89 GB) (Free:1.1 GB) NTFS (Disk=0 Partition=1) ==>[System with boot components (obtained from reading drive)]
Drive g: () (Removable) (Total:3.7 GB) (Free:3.7 GB) FAT32 (Disk=1 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (System Reserved) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS (Disk=0 Partition=2) ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: 68A796D5)
Partition 1: (Not Active) - (Size=14 GB) - (Type=27)
Partition 2: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=452 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 4 GB) (Disk ID: 6F20736B)
Partition 1: (Not Active) - (Size=544 GB) - (Type=72)
Partition 2: (Not Active) - (Size=923 GB) - (Type=65)
Partition 3: (Not Active) - (Size=923 GB) - (Type=79)
Partition 4: (Not Active) - (Size=27 MB) - (Type=0D)


LastRegBack: 2012-09-19 23:32

==================== End Of Log ============================
         

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

HKU\kevin\...\Run: [wxwijvmopaekvnl] C:\ProgramData\wxwijvmopaekvnlhvkzv.exe [x]
HKU\kevin\...\Winlogon: [Shell] explorer.exe,C:\Users\kevin\AppData\Roaming\skype.dat [90112 2011-11-17] () <==== ATTENTION 
2013-06-10 15:12 - 2013-04-05 20:06 - 00000004 ____A C:\Users\kevin\AppData\Roaming\skype.ini
C:\Users\kevin\AppData\Roaming\skype.dat
C:\Users\kevin\AppData\Roaming\skype.ini
C:\ProgramData\dsgsdgdsgdsgw.pad
         

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

ich bin immer noch in den Systemwiederherstellungsoptionen und es passiert wieder nichts wenn ich die Tastenkombination eingebe. muss ich den USB stick anschließen?

Die Textdatei auf einem anderen Rechner erstellen, die TExtdatei auf den Stick packen.

Code: Alles auswählenAufklappen

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 09-06-2013
Ran by SYSTEM at 2013-06-10 17:19:21 Run:1
Running from G:\
Boot Mode: Recovery
==============================================

HKU\kevin\Software\Microsoft\Windows\CurrentVersion\Run\\wxwijvmopaekvnl => Value deleted successfully.
HKU\kevin\...\Run: [wxwijvmopaekvnl] C:\ProgramData\wxwijvmopaekvnlhvkzv.exe [x] HKU\kevin\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value not found.

==== End of Fixlog ====