hallo zusammen,

habe mir gestern den GUV-trojaner eingefangen, seitdem geht dementsprechend nichts mehr. bin kein wirklicher IT-Experte, habe mich jedoch schon durch mehrere anleitungen geklickt, welche alle keinen erfolg aufweisen konnten.
betriebssystem ist windows 7.
ich komme nicht in den abgesicherten modus rein, wenn ich das versuche, kommt es zum neustart.

bitte um möglichst detallierte und laienfreundliche hilfe ^^

beste grüße

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

danke schonmal, geht ja sauschnell hier.
also wenn ich in der eingabemaske bin und den stick suche kommt "auf dem datenträger befindet sich kein erkanntes dateisystem."

Dann würd ich den Stick nochmals formatieren. Möglichst mit FAT32.

sorry, alles gut, hab ihn gefunden


FRST Logfile:

FRST Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 14-07-2013
Ran by SYSTEM on 14-07-2013 11:29:08
Running from I:\
Windows 7 Starter (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s [9755240 2010-10-19] (Realtek Semiconductor)
HKLM\...\Run: [AtherosBtStack] - "C:\Program Files\Atheros\Bluetooth Suite\BtvStack.exe" [486560 2010-11-25] (Atheros Communications)
HKLM\...\Run: [AthBtTray] - "C:\Program Files\Atheros\Bluetooth Suite\AthBtTray.exe" [302240 2010-11-25] (Atheros Commnucations)
HKLM\...\Run: [fspuip] - %ProgramFiles%\FSP\fspuip.exe [3704320 2010-09-09] (Sentelic Corporation)
HKLM\...\Run: [Hotkey] - C:\Program Files\Pegatron\Hotkey\FastUserSwitching.exe [258048 2009-06-03] ()
HKLM\...\Run: [Adobe ARM] - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [919008 2012-07-27] (Adobe Systems Incorporated)
HKLM\...\Run: [avgnt] - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [348664 2012-08-08] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [APSDaemon] - "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59280 2012-08-27] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] - "C:\Program Files\iTunes\iTunesHelper.exe" [421776 2012-09-09] (Apple Inc.)
HKU\Default\...\RunOnce: [mctadmin] - C:\Windows\System32\mctadmin.exe [ 2009-07-14] (Microsoft Corporation)
HKU\Default User\...\RunOnce: [mctadmin] - C:\Windows\System32\mctadmin.exe [ 2009-07-14] (Microsoft Corporation)
HKU\Thorben\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\Thorben\AppData\Local\Temp\jhjxsvtlujidgbxsq.exe [ 2013-07-13] (NVIDIA Corporation) <===== ATTENTION
HKU\Thorben\...\RunOnce: [FlashPlayerUpdate] - C:\Windows\system32\Macromed\Flash\FlashUtil32_11_7_700_224_Plugin.exe -update plugin [ 2013-06-23] (Adobe Systems Incorporated)
HKU\Thorben\...\Command Processor: "C:\Users\Thorben\AppData\Local\Temp\jhjxsvtlujidgbxsq.exe" <===== ATTENTION!
Startup: C:\ProgramData\Start Menu\Programs\Startup\Launcher.lnk
ShortcutTarget: Launcher.lnk -> C:\Program Files\ALDITALKVerbindungsassistent\ALDITALKVerbindungsassistent_Launcher.exe ()
Startup: C:\ProgramData\Start Menu\Programs\Startup\VPN Client.lnk
ShortcutTarget: VPN Client.lnk -> C:\Windows\Installer\{1CE60928-8325-49A8-8B06-633E48DD2B67}\Icon3E5562ED7.ico ()
Startup: C:\Users\Thorben\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk ->  (No File)
Startup: C:\Users\Thorben\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Versandhelfer.lnk
ShortcutTarget: Versandhelfer.lnk -> C:\Program Files\Versandhelfer\Versandhelfer.exe (No File)

========================== Services (Whitelisted) =================

S2 ALDITALKVerbindungsassistent_Service; C:\Program Files\ALDITALKVerbindungsassistent\ALDITALKVerbindungsassistent_Service.exe [343024 2012-09-08] ()
S2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [86224 2012-07-01] (Avira Operations GmbH & Co. KG)
S2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [110032 2012-07-01] (Avira Operations GmbH & Co. KG)
S2 Atheros Bt&Wlan Coex Agent; C:\Program Files\Atheros\Ath_CoexAgent.exe [151552 2010-05-24] (Atheros)
S2 AtherosSvc; C:\Program Files\Atheros\Bluetooth Suite\adminservice.exe [56480 2010-11-25] (Atheros Commnucations)
S2 CVPND; C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe [1528616 2010-09-27] (Cisco Systems, Inc.)

==================== Drivers (Whitelisted) ====================

S3 ACPIService; C:\Windows\system32\DRIVERS\ATKACPI.SYS [16456 2009-06-09] ()
S3 AmUStor; C:\Windows\system32\drivers\AmUStor.SYS [31232 2010-03-01] (Alcor Micro, Corp.)
S3 AthBTPort; C:\Windows\System32\DRIVERS\btath_flt.sys [34976 2010-11-25] (Atheros)
S3 ATHDFU; C:\Windows\System32\Drivers\AthDfu.sys [43680 2010-11-25] (Windows (R) Win 7 DDK provider)
S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [83392 2012-07-01] (Avira GmbH)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [137928 2012-07-01] (Avira GmbH)
S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [36000 2011-12-15] (Avira GmbH)
S3 BTATH_A2DP; C:\Windows\System32\drivers\btath_a2dp.sys [258720 2010-11-25] (Atheros)
S3 BTATH_BUS; C:\Windows\system32\DRIVERS\btath_bus.sys [24736 2010-11-25] (Atheros)
S3 BTATH_HCRP; C:\Windows\system32\DRIVERS\btath_hcrp.sys [175776 2010-11-25] (Atheros)
S3 BTATH_LWFLT; C:\Windows\System32\DRIVERS\btath_lwflt.sys [49312 2010-11-25] (Atheros)
S3 BTATH_RCP; C:\Windows\system32\DRIVERS\btath_rcp.sys [141088 2010-11-25] (Atheros)
S3 BtFilter; C:\Windows\System32\DRIVERS\btfilter.sys [239776 2010-11-25] (Atheros)
S3 CVirtA; C:\Windows\System32\DRIVERS\CVirtA.sys [5275 2007-01-18] (Cisco Systems, Inc.)
S2 CVPNDRVA; C:\Windows\system32\Drivers\CVPNDRVA.sys [308859 2010-09-27] (Cisco Systems, Inc.)
S3 DNE; C:\Windows\System32\DRIVERS\dne2000.sys [131984 2008-11-16] (Deterministic Networks, Inc.)
S3 FLxHCIc; C:\Windows\system32\DRIVERS\FLxHCIc.sys [174080 2010-11-19] (Fresco Logic)
S3 FLxHCIh; C:\Windows\system32\DRIVERS\FLxHCIh.sys [38400 2010-11-19] (Fresco Logic)
S1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2010-06-17] (Avira GmbH)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-14 11:29 - 2013-07-14 11:29 - 00000000 ____D C:\FRST
2013-07-13 12:15 - 2013-07-13 12:15 - 00393522 _____ C:\Users\Thorben\AppData\Local\2433f433
2013-07-13 12:15 - 2013-07-13 12:15 - 00393494 _____ C:\ProgramData\2433f433
2013-07-13 12:15 - 2013-07-13 12:15 - 00393488 _____ C:\Users\Thorben\AppData\Roaming\2433f433

==================== One Month Modified Files and Folders =======

2013-07-14 11:29 - 2013-07-14 11:29 - 00000000 ____D C:\FRST
2013-07-13 16:50 - 2009-07-14 05:39 - 00029903 _____ C:\Windows\setupact.log
2013-07-13 12:15 - 2013-07-13 12:15 - 00393522 _____ C:\Users\Thorben\AppData\Local\2433f433
2013-07-13 12:15 - 2013-07-13 12:15 - 00393494 _____ C:\ProgramData\2433f433
2013-07-13 12:15 - 2013-07-13 12:15 - 00393488 _____ C:\Users\Thorben\AppData\Roaming\2433f433
2013-07-13 12:15 - 2011-01-07 13:24 - 00000004 _____ C:\ProgramData\RELED.INI
2013-07-13 12:12 - 2011-01-07 08:42 - 01500254 _____ C:\Windows\System32\PerfStringBackup.INI
2013-07-13 12:10 - 2011-03-03 09:22 - 00000000 ____D C:\Users\Thorben\Documents\Bluetooth Folder
2013-07-13 12:09 - 2011-03-03 09:16 - 01131633 _____ C:\Windows\WindowsUpdate.log
2013-07-13 12:09 - 2011-01-07 13:22 - 00000035 _____ C:\Users\Public\Documents\AtherosServiceConfig.ini
2013-07-12 19:20 - 2013-02-26 20:02 - 00000000 ____D C:\Users\Thorben\AppData\Roaming\Dropbox
2013-07-10 14:49 - 2009-07-14 05:34 - 00009696 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-10 14:49 - 2009-07-14 05:34 - 00009696 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-10 13:10 - 2011-03-27 23:37 - 00000000 ____D C:\Users\Thorben\AppData\Local\CrashDumps
2013-07-10 08:22 - 2011-03-04 01:47 - 00000000 ____D C:\Users\Thorben\AppData\Roaming\SoftGrid Client
2013-07-03 14:20 - 2013-02-26 20:07 - 00000000 ___RD C:\Users\Thorben\Dropbox
2013-07-03 14:15 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-07-03 14:13 - 2011-11-03 21:07 - 00000000 ____D C:\Users\Thorben\AppData\Roaming\Skype
2013-06-23 16:59 - 2012-09-09 11:55 - 00692104 _____ (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2013-06-23 16:59 - 2011-06-20 10:49 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2013-06-23 16:25 - 2013-02-26 20:07 - 00001029 _____ C:\Users\Thorben\Desktop\Dropbox.lnk
2013-06-23 16:25 - 2011-03-03 09:21 - 00000000 ___RD C:\Users\Thorben\Desktop

==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2012-02-15 11:08:49
Restore point made on: 2012-02-23 23:31:20
Restore point made on: 2012-07-01 11:17:24
Restore point made on: 2012-07-01 11:25:03
Restore point made on: 2012-08-08 12:37:26
Restore point made on: 2012-08-09 15:34:56
Restore point made on: 2012-09-20 08:15:12
Restore point made on: 2012-09-20 08:39:22
Restore point made on: 2012-12-02 10:25:12
Restore point made on: 2012-12-30 15:26:41
Restore point made on: 2013-01-25 15:16:07
Restore point made on: 2013-01-27 16:31:29
Restore point made on: 2013-02-27 03:00:43
Restore point made on: 2013-03-18 14:47:08
Restore point made on: 2013-05-01 14:56:18
Restore point made on: 2013-05-23 09:25:29
Restore point made on: 2013-06-23 16:19:43

==================== Memory info =========================== 

Percentage of memory in use: 38%
Total physical RAM: 1014.18 MB
Available physical RAM: 619.46 MB
Total Pagefile: 1014.18 MB
Available Pagefile: 619.81 MB
Total Virtual: 2047.88 MB
Available Virtual: 1928.85 MB

==================== Drives ================================

Drive c: (BOOT) (Fixed) (Total:191.78 GB) (Free:155.1 GB) NTFS
Drive d: (Recover) (Fixed) (Total:37.99 GB) (Free:26.11 GB) NTFS
Drive i: () (Removable) (Total:7.45 GB) (Free:7.45 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: () (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 233 GB) (Disk ID: 2BD2C32A)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=192 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=40 GB) - (Type=OF Extended)
Partition 4: (Not Active) - (Size=1 GB) - (Type=12)

========================================================
Disk: 1 (Size: 7 GB) (Disk ID: 00000000)
Partition 1: (Active) - (Size=7 GB) - (Type=0B)


LastRegBack: 2011-12-30 19:07

==================== End Of Log ============================
         

--- --- ---

--- --- ---

Hier haben wir es schon.


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Fix mit FRST

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

HKU\Thorben\...\Command Processor: "C:\Users\Thorben\AppData\Local\Temp\jhjxsvtlujidgbxsq.exe" <===== ATTENTION!
C:\Users\Thorben\AppData\Local\Temp\jhjxsvtlujidgbxsq.exe
HKU\Thorben\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\Thorben\AppData\Local\Temp\jhjxsvtlujidgbxsq.exe [ 2013-07-13] (NVIDIA Corporation) <===== ATTENTION

2013-07-13 12:15 - 2013-07-13 12:15 - 00393522 _____ C:\Users\Thorben\AppData\Local\2433f433
2013-07-13 12:15 - 2013-07-13 12:15 - 00393494 _____ C:\ProgramData\2433f433
2013-07-13 12:15 - 2013-07-13 12:15 - 00393488 _____ C:\Users\Thorben\AppData\Roaming\2433f433
         

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Schritt 2:
Normal booten.


Schritt 3:
Deinstallation von Programmen

• Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
• Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren
• ggf. Neustart zulassen

Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält, sowie Downloader-Anwendungen

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
Registry-Cleaner Software, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall (ist unnötig), McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle Varianten, Java 7 kann bleiben), Pokersoftware, xp-Antispy, Hotspot Shield, iLivid, Amazon Icon, DriverEasy, Advanced Driver Updater, DriverCure, Uniblue DriverScanner, FireJump, SearchAnonymizer, SpeedMaxPC, Optimzer Pro, Webcake, OpenCandy

Ich persönlich empfehle auch alles zu deinstallieren, was mit Bing zu tun hat (Bing Desktop, -toolbar), aber das ist deine Entscheidung.

Schritt 4:
AdwCleaner: Werbeprogramme suchen und löschen
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 5:
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

windows+r auf dem nicht infizierten rechner nehme ich an?

Machts anders Sinn?

hast recht, sorry ^^ okay, und was verstehe ich unter "normal booten"?

So wie du es normal machst.

wie gesagt, bin eher laie. booten heißt system neu aufsetzen? vllt sollte ich noch erwähnen, dass der infizierte laptop kein CD-Fach für eventuelle windows-cds hat. muss alles über usb geschehen. oder gibts hier im forum ne anleitung fürs booten?

wär super, wenn du mir nur sagen könntest, obs hier eine anleitung dafür gibt und wo ich die finde.

Code: Alles auswählenAufklappen

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 14-07-2013
Ran by SYSTEM at 2013-07-14 11:43:34 Run:1
Running from I:\
Boot Mode: Recovery

==============================================

HKU\Thorben\Software\Microsoft\Command Processor\\AutoRun => Value deleted successfully.
C:\Users\Thorben\AppData\Local\Temp\jhjxsvtlujidgbxsq.exe => Moved successfully.
HKU\Thorben\Software\Microsoft\Windows\CurrentVersion\Run\\qcgce2mrvjq91kk1e7pnbb19m52fx => Value deleted successfully.
C:\Users\Thorben\AppData\Local\2433f433 => Moved successfully.
C:\ProgramData\2433f433 => Moved successfully.
C:\Users\Thorben\AppData\Roaming\2433f433 => Moved successfully.

==== End of Fixlog ====
         

Mach mir bitte nochmal ein frisches FRST-Logfile.

FRST Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 14-07-2013
Ran by SYSTEM on 14-07-2013 14:32:07
Running from I:\
Windows 7 Starter (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s [9755240 2010-10-19] (Realtek Semiconductor)
HKLM\...\Run: [AtherosBtStack] - "C:\Program Files\Atheros\Bluetooth Suite\BtvStack.exe" [486560 2010-11-25] (Atheros Communications)
HKLM\...\Run: [AthBtTray] - "C:\Program Files\Atheros\Bluetooth Suite\AthBtTray.exe" [302240 2010-11-25] (Atheros Commnucations)
HKLM\...\Run: [fspuip] - %ProgramFiles%\FSP\fspuip.exe [3704320 2010-09-09] (Sentelic Corporation)
HKLM\...\Run: [Hotkey] - C:\Program Files\Pegatron\Hotkey\FastUserSwitching.exe [258048 2009-06-03] ()
HKLM\...\Run: [Adobe ARM] - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [919008 2012-07-27] (Adobe Systems Incorporated)
HKLM\...\Run: [avgnt] - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [348664 2012-08-08] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [APSDaemon] - "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59280 2012-08-27] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] - "C:\Program Files\iTunes\iTunesHelper.exe" [421776 2012-09-09] (Apple Inc.)
HKU\Default\...\RunOnce: [mctadmin] - C:\Windows\System32\mctadmin.exe [ 2009-07-14] (Microsoft Corporation)
HKU\Default User\...\RunOnce: [mctadmin] - C:\Windows\System32\mctadmin.exe [ 2009-07-14] (Microsoft Corporation)
HKU\Thorben\...\RunOnce: [FlashPlayerUpdate] - C:\Windows\system32\Macromed\Flash\FlashUtil32_11_7_700_224_Plugin.exe -update plugin [ 2013-06-23] (Adobe Systems Incorporated)
Startup: C:\ProgramData\Start Menu\Programs\Startup\Launcher.lnk
ShortcutTarget: Launcher.lnk -> C:\Program Files\ALDITALKVerbindungsassistent\ALDITALKVerbindungsassistent_Launcher.exe ()
Startup: C:\ProgramData\Start Menu\Programs\Startup\VPN Client.lnk
ShortcutTarget: VPN Client.lnk -> C:\Windows\Installer\{1CE60928-8325-49A8-8B06-633E48DD2B67}\Icon3E5562ED7.ico ()
Startup: C:\Users\Thorben\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk ->  (No File)
Startup: C:\Users\Thorben\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Versandhelfer.lnk
ShortcutTarget: Versandhelfer.lnk -> C:\Program Files\Versandhelfer\Versandhelfer.exe (No File)

========================== Services (Whitelisted) =================

S2 ALDITALKVerbindungsassistent_Service; C:\Program Files\ALDITALKVerbindungsassistent\ALDITALKVerbindungsassistent_Service.exe [343024 2012-09-08] ()
S2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [86224 2012-07-01] (Avira Operations GmbH & Co. KG)
S2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [110032 2012-07-01] (Avira Operations GmbH & Co. KG)
S2 Atheros Bt&Wlan Coex Agent; C:\Program Files\Atheros\Ath_CoexAgent.exe [151552 2010-05-24] (Atheros)
S2 AtherosSvc; C:\Program Files\Atheros\Bluetooth Suite\adminservice.exe [56480 2010-11-25] (Atheros Commnucations)
S2 CVPND; C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe [1528616 2010-09-27] (Cisco Systems, Inc.)

==================== Drivers (Whitelisted) ====================

S3 ACPIService; C:\Windows\system32\DRIVERS\ATKACPI.SYS [16456 2009-06-09] ()
S3 AmUStor; C:\Windows\system32\drivers\AmUStor.SYS [31232 2010-03-01] (Alcor Micro, Corp.)
S3 AthBTPort; C:\Windows\System32\DRIVERS\btath_flt.sys [34976 2010-11-25] (Atheros)
S3 ATHDFU; C:\Windows\System32\Drivers\AthDfu.sys [43680 2010-11-25] (Windows (R) Win 7 DDK provider)
S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [83392 2012-07-01] (Avira GmbH)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [137928 2012-07-01] (Avira GmbH)
S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [36000 2011-12-15] (Avira GmbH)
S3 BTATH_A2DP; C:\Windows\System32\drivers\btath_a2dp.sys [258720 2010-11-25] (Atheros)
S3 BTATH_BUS; C:\Windows\system32\DRIVERS\btath_bus.sys [24736 2010-11-25] (Atheros)
S3 BTATH_HCRP; C:\Windows\system32\DRIVERS\btath_hcrp.sys [175776 2010-11-25] (Atheros)
S3 BTATH_LWFLT; C:\Windows\System32\DRIVERS\btath_lwflt.sys [49312 2010-11-25] (Atheros)
S3 BTATH_RCP; C:\Windows\system32\DRIVERS\btath_rcp.sys [141088 2010-11-25] (Atheros)
S3 BtFilter; C:\Windows\System32\DRIVERS\btfilter.sys [239776 2010-11-25] (Atheros)
S3 CVirtA; C:\Windows\System32\DRIVERS\CVirtA.sys [5275 2007-01-18] (Cisco Systems, Inc.)
S2 CVPNDRVA; C:\Windows\system32\Drivers\CVPNDRVA.sys [308859 2010-09-27] (Cisco Systems, Inc.)
S3 DNE; C:\Windows\System32\DRIVERS\dne2000.sys [131984 2008-11-16] (Deterministic Networks, Inc.)
S3 FLxHCIc; C:\Windows\system32\DRIVERS\FLxHCIc.sys [174080 2010-11-19] (Fresco Logic)
S3 FLxHCIh; C:\Windows\system32\DRIVERS\FLxHCIh.sys [38400 2010-11-19] (Fresco Logic)
S1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2010-06-17] (Avira GmbH)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-14 11:29 - 2013-07-14 11:29 - 00000000 ____D C:\FRST

==================== One Month Modified Files and Folders =======

2013-07-14 13:22 - 2009-07-14 05:39 - 00029959 _____ C:\Windows\setupact.log
2013-07-14 11:29 - 2013-07-14 11:29 - 00000000 ____D C:\FRST
2013-07-13 12:15 - 2011-01-07 13:24 - 00000004 _____ C:\ProgramData\RELED.INI
2013-07-13 12:12 - 2011-01-07 08:42 - 01500254 _____ C:\Windows\System32\PerfStringBackup.INI
2013-07-13 12:10 - 2011-03-03 09:22 - 00000000 ____D C:\Users\Thorben\Documents\Bluetooth Folder
2013-07-13 12:09 - 2011-03-03 09:16 - 01131633 _____ C:\Windows\WindowsUpdate.log
2013-07-13 12:09 - 2011-01-07 13:22 - 00000035 _____ C:\Users\Public\Documents\AtherosServiceConfig.ini
2013-07-12 19:20 - 2013-02-26 20:02 - 00000000 ____D C:\Users\Thorben\AppData\Roaming\Dropbox
2013-07-10 14:49 - 2009-07-14 05:34 - 00009696 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-10 14:49 - 2009-07-14 05:34 - 00009696 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-10 13:10 - 2011-03-27 23:37 - 00000000 ____D C:\Users\Thorben\AppData\Local\CrashDumps
2013-07-10 08:22 - 2011-03-04 01:47 - 00000000 ____D C:\Users\Thorben\AppData\Roaming\SoftGrid Client
2013-07-03 14:20 - 2013-02-26 20:07 - 00000000 ___RD C:\Users\Thorben\Dropbox
2013-07-03 14:15 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-07-03 14:13 - 2011-11-03 21:07 - 00000000 ____D C:\Users\Thorben\AppData\Roaming\Skype
2013-06-23 16:59 - 2012-09-09 11:55 - 00692104 _____ (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2013-06-23 16:59 - 2011-06-20 10:49 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2013-06-23 16:25 - 2013-02-26 20:07 - 00001029 _____ C:\Users\Thorben\Desktop\Dropbox.lnk
2013-06-23 16:25 - 2011-03-03 09:21 - 00000000 ___RD C:\Users\Thorben\Desktop

==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2012-02-15 11:08:49
Restore point made on: 2012-02-23 23:31:20
Restore point made on: 2012-07-01 11:17:24
Restore point made on: 2012-07-01 11:25:03
Restore point made on: 2012-08-08 12:37:26
Restore point made on: 2012-08-09 15:34:56
Restore point made on: 2012-09-20 08:15:12
Restore point made on: 2012-09-20 08:39:22
Restore point made on: 2012-12-02 10:25:12
Restore point made on: 2012-12-30 15:26:41
Restore point made on: 2013-01-25 15:16:07
Restore point made on: 2013-01-27 16:31:29
Restore point made on: 2013-02-27 03:00:43
Restore point made on: 2013-03-18 14:47:08
Restore point made on: 2013-05-01 14:56:18
Restore point made on: 2013-05-23 09:25:29
Restore point made on: 2013-06-23 16:19:43

==================== Memory info =========================== 

Percentage of memory in use: 39%
Total physical RAM: 1014.18 MB
Available physical RAM: 618.14 MB
Total Pagefile: 1014.18 MB
Available Pagefile: 612.99 MB
Total Virtual: 2047.88 MB
Available Virtual: 1937.75 MB

==================== Drives ================================

Drive c: (BOOT) (Fixed) (Total:191.78 GB) (Free:155.1 GB) NTFS
Drive d: (Recover) (Fixed) (Total:37.99 GB) (Free:26.11 GB) NTFS
Drive i: () (Removable) (Total:7.44 GB) (Free:7.44 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: () (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 233 GB) (Disk ID: 2BD2C32A)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=192 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=40 GB) - (Type=OF Extended)
Partition 4: (Not Active) - (Size=1 GB) - (Type=12)

========================================================
Disk: 1 (Size: 7 GB) (Disk ID: 0217934C)
Partition 1: (Active) - (Size=7 GB) - (Type=0B)


LastRegBack: 2011-12-30 19:07

==================== End Of Log ============================
         

--- --- ---

Echt witzig, laut FRST ist alles oaky

Probieren wir es so:

Computer mit Combofix entsperren

Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!

1. Combofix kopieren
   • Lade dir Combofix an einem sauberen Rechner (evtl. Nachbar, Freund, ...) von einem dieser Downloadlinks: Link
   • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
2. Start mit Eingabeaufforderung
   • Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
   • Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
   • Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
3. Combofix starten
   • Tippe explorer (Enter)
   • Finde den USB-Stick und starte Combofix mit einem Doppelklick.
   • Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
   • Übergehe alle anderen Warnungen mit OK.
4. Logfile posten
   • Es könnte eine Warnung erscheinen, ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
   • Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
   • Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor anklicken - Anleitung)
   • Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

wenn ich Abgesicherter Modus mit Eingabeaufforderung wähle, gelange ich quasi auf den startbildschirm mit passworteingabe. erfolgt diese, startet der rechner neu und der bildschirm von gvu erscheint wieder.