Bundespolizei Trojaner - anscheinend neueste Version - kein abgesicherter Modus möglich

Boris · 30.07.2013, 22:47

Liebes Trojaner-Board Team,

ich verzweifele - ja ich habe mir wirklich viele Foreneinträge durchgelesen, You Tube Videos usw. angeschaut - nichts hilft.

Folgende "Rahmenbedingungen":

1. Abgesicherter Modus nicht möglich - wird automatisch wieder heruntergefahren (System Windows 7 Enterprise)
2. Ich habe einen zweiten PC, aber kein CD Laufwerk, daher muss die Lösung über USB-Stick geschehen
3. Start über Kaspersky Rescue Disk 10 möglich, ABER meine Festplatte wird nicht erkannt - das liegt wohl daran, dass sie über Bitlocker gesperrt ist, oder?

Ich brauche an sich nur einmal auf meinen Rechner, um Daten zu sichern, danach lasse ich ihn "platt" machen

Hab wirklich schon Stunden mit Recherche verbracht

wäre sehr froh über direkt Hilfe

Danke an Euch im Voraus

schrauber · 31.07.2013, 06:47

hi,

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

Starte den Rechner neu.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu und starte von der CD.

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Boris · 31.07.2013, 08:44

Da wo"Attention" steht scheints der Trojaner zu sein - das ist auch immer was ich sehe, wenn Windows hochgefahren wird und über CMD etwas ausgeführt wird

FRST Logfile:

FRST Logfile:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 30-07-2013 03
Ran by SYSTEM on 31-07-2013 09:39:57
Running from G:\
Windows 7 Enterprise (X64) OS Language: English(US)
Internet Explorer Version 8
Boot Mode: Recovery

The current controlset is ControlSet002
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2097960 2011-04-04] (Synaptics Incorporated)
HKLM\...\Run: [AcWin7Hlpr] - C:\Program Files (x86)\Lenovo\Access Connections\AcTBenabler.exe [31592 2011-04-14] (Lenovo)
HKLM\...\Run: [SACMonitor] - C:\Program Files\SafeNet\Authentication\SAC\x64\SACMonitor.exe [1197256 2010-07-27] (SafeNet, Inc.)
HKLM-x32\...\Winlogon: [Userinit] C:\WINDOWS\SysWOW64\userinit.exe, [x]
Winlogon\Notify\ScCertProp: 
HKLM-x32\...\Run: [Communicator] - C:\Program Files (x86)\Microsoft Lync\communicator.exe [12107432 2013-04-11] (Microsoft Corporation)
HKLM-x32\...\Run: [DcaTray] - C:\Program Files (x86)\DirectAccess Connectivity Assistant\DcaTray.exe [526224 2010-11-25] (Microsoft Corporation)
HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKU\*****\...\Run: [OfficeSyncProcess] - C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE [719672 2012-01-20] (Microsoft Corporation)
HKU\*****\...\Run: [Google Update] - C:\Users\*****\AppData\Local\Google\Update\GoogleUpdate.exe [136176 2011-05-31] (Google Inc.)
HKU\*****\...\Run: [Akamai NetSession Interface] - C:\Users\*****\AppData\Local\Akamai\netsession_win.exe [4489472 2013-06-04] (Akamai Technologies, Inc.)
HKU\*****\...\Run: [Skype] - C:\Program Files (x86)\Skype\Phone\Skype.exe [18679912 2013-05-09] (Skype Technologies S.A.)
HKU\*****\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\*****\AppData\Local\Temp\pfganbvsvubembcrp.exe [75264 2013-07-27] () <===== ATTENTION
HKU\*****\...\Winlogon: [Shell] cmd.exe [344576 2009-07-13] (Microsoft Corporation) <==== ATTENTION 
HKU\*****\...\Command Processor: "C:\Users\*****\AppData\Local\Temp\pfganbvsvubembcrp.exe" <===== ATTENTION!
HKU\Default\...\RunOnce: [Custom User Settings] - C:\Windows\CustomUserSettings.vbs [20076 2011-04-05] ()
HKU\Default User\...\RunOnce: [Custom User Settings] - C:\Windows\CustomUserSettings.vbs [20076 2011-04-05] ()
HKU\support\...\RunOnce: [] -  [x]
AppInit_DLLs-x32: c:\progra~3\browse~1\261095~1.52\{c16c1~1\browse~1.dll [20076 2011-04-05] ()
Lsa: [Notification Packages] scecli ACGina
Startup: C:\Users\*****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WISO Mein Steuer-Sparbuch heute.lnk
ShortcutTarget: WISO Mein Steuer-Sparbuch heute.lnk -> C:\Program Files (x86)\WISO\Steuersoftware 2013\mshaktuell.exe ()

==================== Services (Whitelisted) =================

S2 BPAdminReset; C:\WINDOWS\BearingPoint.AdminReset.ClientService.exe [15872 2010-12-22] ()
S2 CVPND; C:\Program Files (x86)\Cisco\VPNClientx64_5.0.07.0290\cvpnd.exe [1528616 2010-03-23] (Cisco Systems, Inc.)
S2 DcaSvc; C:\Program Files (x86)\DirectAccess Connectivity Assistant\DcaSvc.exe [122768 2010-11-25] (Microsoft Corporation)
S2 MBAMAgent; C:\Program Files\Microsoft\MBAM Client x64_1.0.1237.1\MBAMAgent.exe [239528 2011-06-14] (Microsoft Corp.)
S2 NMSAccess; C:\Program Files (x86)\CDBurnerXP_4.3.7\NMSAccessU.exe [71096 2010-03-04] ()
S2 QDLService2kLenovo; C:\Program Files (x86)\QUALCOMM\QDLService2k\QDLService2kLenovo.exe [332536 2010-06-25] (QUALCOMM, Inc.)
S2 SACSrv; C:\Program Files\SafeNet\Authentication\SAC\x64\SACSrv.exe [8904 2010-07-27] (SafeNet, Inc.)
S2 SepMasterService; C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\Bin\ccSvcHst.exe [137208 2012-04-18] (Symantec Corporation)
S3 SmcService; C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\Bin64\Smc.exe [2601544 2012-04-18] (Symantec Corporation)
S3 smstsmgr; C:\Windows\SysWOW64\CCM\TSManager.exe [246624 2009-09-17] (Microsoft Corporation)
S3 SNAC; C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\Bin64\snac64.exe [325040 2012-04-18] (Symantec Corporation)

==================== Drivers (Whitelisted) ====================

S3 AKSIFDH; C:\Windows\System32\DRIVERS\aksifdh.sys [62632 2008-07-30] (Aladdin Knowledge Systems, Ltd.)
S1 BHDrvx64; C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\Data\Definitions\BASHDefs\20130716.011\BHDrvx64.sys [1393240 2013-06-12] (Symantec Corporation)
S3 CVPNDRVA; C:\Windows\system32\Drivers\CVPNDRVA.sys [304784 2010-03-23] ()
S3 CVPNDRVA; C:\Windows\system32\Drivers\CVPNDRVA.sys [304784 2010-03-23] ()
S1 DNE; C:\Windows\System32\DRIVERS\dnelwf64.sys [131160 2011-02-07] (Citrix Systems, Inc.)
S1 eeCtrl; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys [484512 2012-09-10] (Symantec Corporation)
S1 eeCtrl; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys [484512 2012-09-10] (Symantec Corporation)
S3 EraserUtilRebootDrv; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [138912 2012-09-10] (Symantec Corporation)
S1 IDSVia64; C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\Data\Definitions\IPSDefs\20130726.001\IDSvia64.sys [513184 2012-10-02] (Symantec Corporation)
S3 iKeyEnum; C:\Windows\System32\DRIVERS\ikeyenum.sys [16160 2010-03-18] (SafeNet, Inc.)
S3 iKeyIFD; C:\Windows\System32\DRIVERS\ikeyifd.sys [22304 2010-03-18] (SafeNet, Inc.)
S3 NAVENG; C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\Data\Definitions\VirusDefs\20130727.004\ENG64.SYS [126040 2013-06-06] (Symantec Corporation)
S3 NAVEX15; C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\Data\Definitions\VirusDefs\20130727.004\EX64.SYS [2098776 2013-06-06] (Symantec Corporation)
S3 prepdrvr; C:\Windows\SysWOW64\CCM\prepdrv.sys [26992 2009-09-17] (Microsoft Corporation)
S3 prepdrvr; C:\Windows\SysWOW64\CCM\prepdrv.sys [26992 2009-09-17] (Microsoft Corporation)
S3 qcfilterlno2k; C:\Windows\System32\DRIVERS\qcfilterlno2k.sys [6400 2011-04-04] (QUALCOMM Incorporated)
S3 qcusbnetlno2k; C:\Windows\System32\DRIVERS\qcusbnetlno2k.sys [443392 2010-06-25] (QUALCOMM Incorporated)
S3 qcusbserlno2k; C:\Windows\System32\DRIVERS\qcusbserlno2k.sys [230784 2011-04-04] (QUALCOMM Incorporated)
S3 RimUsb; C:\Windows\System32\Drivers\RimUsb_AMD64.sys [74752 2011-07-25] (Research In Motion Limited)
S3 RimVSerPort; C:\Windows\System32\DRIVERS\RimSerial_AMD64.sys [44032 2011-07-20] (Research in Motion Ltd)
S1 SRTSP; C:\Windows\System32\Drivers\SEP\0C01044D\0191.105\x64\SRTSP64.SYS [678008 2012-04-18] (Symantec Corporation)
S1 SRTSPX; C:\Windows\System32\Drivers\SEP\0C01044D\0191.105\x64\SRTSPX64.SYS [39032 2012-04-18] (Symantec Corporation)
S3 SyDvCtrl; C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\Bin64\SyDvCtrl64.sys [29664 2012-04-18] (Symantec Corporation)
S0 SymDS; C:\Windows\System32\Drivers\SEP\0C01044D\0191.105\x64\SYMDS64.SYS [451192 2012-04-18] (Symantec Corporation)
S0 SymEFA; C:\Windows\System32\Drivers\SEP\0C01044D\0191.105\x64\SYMEFA64.SYS [932472 2012-04-18] (Symantec Corporation)
S3 SymEvent; C:\WINDOWS\system32\Drivers\SYMEVENT64x86.SYS [175736 2012-10-11] (Symantec Corporation)
S1 SymIRON; C:\Windows\System32\Drivers\SEP\0C01044D\0191.105\x64\Ironx64.SYS [171128 2012-04-18] (Symantec Corporation)
S1 SYMNETS; C:\Windows\System32\Drivers\SEP\0C01044D\0191.105\x64\SYMNETS.SYS [386168 2012-04-18] (Symantec Corporation)
S1 SysPlant; C:\Windows\System32\Drivers\SysPlant.sys [119816 2012-10-11] (Symantec Corporation)
S1 Teefer2; C:\Windows\System32\DRIVERS\Teefer.sys [62672 2012-04-18] (Symantec Corporation)
S3 ZTEusbwwan; C:\Windows\System32\DRIVERS\ZTEusbwwan.sys [223232 2009-11-23] (ZTE Incorporated)
S3 StarOpen; No ImagePath

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-31 09:39 - 2013-07-31 09:39 - 00000000 ____D C:\FRST
2013-07-27 18:48 - 2013-07-27 18:48 - 00163069 _____ C:\Users\*****\AppData\Roaming\2433f433
2013-07-27 18:48 - 2013-07-27 18:48 - 00162992 _____ C:\ProgramData\2433f433
2013-07-27 18:48 - 2013-07-27 18:48 - 00162985 _____ C:\Users\*****\AppData\Local\2433f433
2013-07-25 12:16 - 2013-07-25 12:16 - 00793536 _____ C:\Users\*****\Downloads\ZipOpenerSetup.exe
2013-07-24 08:10 - 2013-07-24 08:10 - 00672296 _____ C:\Users\*****\Downloads\67832_DRA_PRO_20120717_Angebot_HSH_Nordbank_E-Bilanz.pptx
2013-07-24 08:09 - 2013-07-24 08:09 - 00695105 _____ C:\Users\*****\Downloads\67832_DRA_PRO_20120718_67832_20120717_Angebot_HSH_Nordbank_E-BilanzRQM.pptx
2013-07-21 02:14 - 2013-07-24 00:46 - 00000000 ____D C:\Users\*****\Desktop\Eritrea
2013-07-12 05:14 - 2013-07-12 05:14 - 00187292 _____ C:\Users\*****\Downloads\Outlook (1).zip
2013-07-08 07:34 - 2013-07-08 13:31 - 00101888 _____ C:\Users\*****\Desktop\Profitabilität SoTo_Store_Omer.xls
2013-07-08 07:32 - 2013-07-08 07:32 - 00108032 _____ C:\Users\*****\Desktop\Profitabilität SoTo_Store.xls
2013-07-08 07:31 - 2013-07-08 07:31 - 00097280 _____ C:\Users\*****\Downloads\Teil_3_Rentabilitaetsplanung.xls
2013-07-08 07:29 - 2013-07-08 07:29 - 00179712 _____ C:\Users\*****\Downloads\immorendite.xls
2013-07-08 07:25 - 2013-07-08 07:25 - 00157696 _____ C:\Users\*****\Downloads\SOTO online REVS June 2012 - Feb 2013.xls
2013-07-04 22:23 - 2013-07-04 22:23 - 00187292 _____ C:\Users\*****\Downloads\Outlook.zip

==================== One Month Modified Files and Folders =======

2013-07-30 13:13 - 2009-07-13 21:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-07-30 13:12 - 2009-07-13 20:51 - 00126884 _____ C:\Windows\setupact.log
2013-07-28 05:35 - 2011-07-20 08:37 - 00000000 ____D C:\Users\*****\Tracing
2013-07-28 05:35 - 2011-05-11 05:49 - 01669985 _____ C:\Windows\WindowsUpdate.log
2013-07-28 05:33 - 2011-03-01 09:29 - 00000462 _____ C:\Windows\SMSCFG.INI
2013-07-27 18:49 - 2012-02-03 13:05 - 00000000 ____D C:\Program Files\Microsoft Silverlight
2013-07-27 18:49 - 2012-02-03 13:05 - 00000000 ____D C:\Program Files (x86)\Microsoft Silverlight
2013-07-27 18:49 - 2011-03-01 11:06 - 00435812 _____ C:\Windows\PFRO.log
2013-07-27 18:48 - 2013-07-27 18:48 - 00163069 _____ C:\Users\*****\AppData\Roaming\2433f433
2013-07-27 18:48 - 2013-07-27 18:48 - 00162992 _____ C:\ProgramData\2433f433
2013-07-27 18:48 - 2013-07-27 18:48 - 00162985 _____ C:\Users\*****\AppData\Local\2433f433
2013-07-27 18:32 - 2011-06-01 12:28 - 00000000 ____D C:\Program Files (x86)\JDownloader
2013-07-27 18:20 - 2011-05-31 05:35 - 00000360 _____ C:\Windows\System32\config\netlogon.ftl
2013-07-27 18:19 - 2011-05-31 02:18 - 00001160 _____ C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-220523388-1202660629-682003330-219717UA.job
2013-07-27 18:19 - 2011-05-31 02:17 - 00001108 _____ C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-220523388-1202660629-682003330-219717Core.job
2013-07-27 00:16 - 2011-05-30 23:46 - 00000000 ____D C:\Users\*****\Documents\Outlook Mail
2013-07-27 00:16 - 2011-05-30 23:37 - 00000000 ____D C:\users\*****
2013-07-25 22:05 - 2011-05-31 05:37 - 00138046 __RSH C:\ProgramData\ntuser.pol
2013-07-25 22:05 - 2011-05-30 23:37 - 00010342 __RSH C:\Users\*****\ntuser.pol
2013-07-25 12:16 - 2013-07-25 12:16 - 00793536 _____ C:\Users\*****\Downloads\ZipOpenerSetup.exe
2013-07-25 12:08 - 2011-03-01 10:20 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-07-24 08:10 - 2013-07-24 08:10 - 00672296 _____ C:\Users\*****\Downloads\67832_DRA_PRO_20120717_Angebot_HSH_Nordbank_E-Bilanz.pptx
2013-07-24 08:09 - 2013-07-24 08:09 - 00695105 _____ C:\Users\*****\Downloads\67832_DRA_PRO_20120718_67832_20120717_Angebot_HSH_Nordbank_E-BilanzRQM.pptx
2013-07-24 07:42 - 2011-10-15 22:42 - 00000000 ____D C:\Program Files (x86)\Handbrake
2013-07-24 00:46 - 2013-07-21 02:14 - 00000000 ____D C:\Users\*****\Desktop\Eritrea
2013-07-23 03:59 - 2009-07-13 20:45 - 00012048 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-23 03:59 - 2009-07-13 20:45 - 00012048 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-22 00:03 - 2011-03-01 10:07 - 00718974 _____ C:\Windows\System32\perfh019.dat
2013-07-22 00:03 - 2011-03-01 10:07 - 00150810 _____ C:\Windows\System32\perfc019.dat
2013-07-22 00:03 - 2011-03-01 09:57 - 00737620 _____ C:\Windows\System32\perfh013.dat
2013-07-22 00:03 - 2011-03-01 09:57 - 00153246 _____ C:\Windows\System32\perfc013.dat
2013-07-22 00:03 - 2011-03-01 09:48 - 00739906 _____ C:\Windows\System32\perfh00C.dat
2013-07-22 00:03 - 2011-03-01 09:48 - 00149622 _____ C:\Windows\System32\perfc00C.dat
2013-07-22 00:03 - 2011-03-01 09:40 - 00702126 _____ C:\Windows\System32\perfh007.dat
2013-07-22 00:03 - 2011-03-01 09:40 - 00149744 _____ C:\Windows\System32\perfc007.dat
2013-07-22 00:03 - 2009-07-13 21:13 - 04275010 _____ C:\Windows\System32\PerfStringBackup.INI
2013-07-20 23:55 - 2012-10-21 11:06 - 00000000 ____D C:\Program Files (x86)\phonostar-Player
2013-07-20 00:46 - 2011-06-01 11:45 - 00000000 ____D C:\Users\*****\AppData\Roaming\vlc
2013-07-20 00:32 - 2012-04-28 19:11 - 00000000 ____D C:\Users\*****\AppData\Roaming\dvdcss
2013-07-18 11:55 - 2012-11-15 09:26 - 00000000 ____D C:\Users\*****\Desktop\Leoni
2013-07-18 00:48 - 2011-05-31 13:11 - 00000000 ____D C:\Users\*****\AppData\Roaming\Skype
2013-07-16 04:43 - 2011-05-30 23:37 - 00000000 ____D C:\Users\*****\SapWorkDir
2013-07-12 21:01 - 2011-05-31 02:19 - 00002380 _____ C:\Users\*****\Desktop\Google Chrome.lnk
2013-07-12 12:54 - 2011-05-31 02:18 - 00004150 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskUserS-1-5-21-220523388-1202660629-682003330-219717UA
2013-07-12 12:54 - 2011-05-31 02:17 - 00003754 _____ C:\Windows\System32\Tasks\GoogleUpdateTaskUserS-1-5-21-220523388-1202660629-682003330-219717Core
2013-07-12 05:14 - 2013-07-12 05:14 - 00187292 _____ C:\Users\*****\Downloads\Outlook (1).zip
2013-07-08 13:31 - 2013-07-08 07:34 - 00101888 _____ C:\Users\*****\Desktop\Profitabilität SoTo_Store_Omer.xls
2013-07-08 07:32 - 2013-07-08 07:32 - 00108032 _____ C:\Users\*****\Desktop\Profitabilität SoTo_Store.xls
2013-07-08 07:31 - 2013-07-08 07:31 - 00097280 _____ C:\Users\*****\Downloads\Teil_3_Rentabilitaetsplanung.xls
2013-07-08 07:29 - 2013-07-08 07:29 - 00179712 _____ C:\Users\*****\Downloads\immorendite.xls
2013-07-08 07:25 - 2013-07-08 07:25 - 00157696 _____ C:\Users\*****\Downloads\SOTO online REVS June 2012 - Feb 2013.xls
2013-07-07 12:53 - 2013-03-11 11:42 - 00000000 ___RD C:\Program Files (x86)\Skype
2013-07-07 12:53 - 2011-05-31 13:11 - 00000000 ____D C:\ProgramData\Skype
2013-07-04 22:23 - 2013-07-04 22:23 - 00187292 _____ C:\Users\*****\Downloads\Outlook.zip
2013-07-03 00:04 - 2011-07-29 07:24 - 00000000 ___SD C:\Users\*****\SharePoint-Websites
2013-07-01 06:54 - 2013-06-30 22:52 - 00064522 _____ C:\Users\*****\Desktop\Timesheet LEONI_externe Dienstleister_Boris_Sosnizkij.xlsx

Files to move or delete:
====================
C:\Users\*****\AppData\Local\Temp\pfganbvsvubembcrp.exe
C:\Users\*****\printkey.exe

==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
ATTENTION: ZeroAccess. Use DeleteJunctionsIndirectory: C:\Windows\system64

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-07-16 07:36:54
Restore point made on: 2013-07-25 12:06:53

==================== Memory info =========================== 

Percentage of memory in use: 16%
Total physical RAM: 3892.45 MB
Available physical RAM: 3243.72 MB
Total Pagefile: 3890.6 MB
Available Pagefile: 3247.69 MB
Total Virtual: 8192 MB
Available Virtual: 8191.85 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:144.75 GB) (Free:4.45 GB) NTFS (Disk=0 Partition=1)
Drive d: () (Fixed) (Total:4 GB) (Free:3.64 GB) NTFS (Disk=0 Partition=3)
Drive g: (USB STICK) (Removable) (Total:3.73 GB) (Free:3.11 GB) FAT32 (Disk=1 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: () (Fixed) (Total:0.29 GB) (Free:0.09 GB) NTFS (Disk=0 Partition=2) ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 149 GB) (Disk ID: FBEE1924)
Partition 1: (Not Active) - (Size=4 GB) - (Type=OF Extended)
Partition 2: (Not Active) - (Size=145 GB) - (Type=07 NTFS)
Partition 3: (Active) - (Size=300 MB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 4 GB) (Disk ID: C3072E18)
Partition 1: (Active) - (Size=4 GB) - (Type=0C)


LastRegBack: 2013-07-23 02:43

==================== End Of Log ============================

--- --- ---

--- --- ---

--- --- ---

schrauber · 31.07.2013, 10:02

Drücke bitte die

+ R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

HKLM-x32\...\Winlogon: [Userinit] C:\WINDOWS\SysWOW64\userinit.exe, [x]
Winlogon\Notify\ScCertProp: 
HKU\*****\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] - C:\Users\*****\AppData\Local\Temp\pfganbvsvubembcrp.exe [75264 2013-07-27] () <===== ATTENTION
HKU\*****\...\Winlogon: [Shell] cmd.exe [344576 2009-07-13] (Microsoft Corporation) <==== ATTENTION 
HKU\*****\...\Command Processor: "C:\Users\*****\AppData\Local\Temp\pfganbvsvubembcrp.exe" <===== ATTENTION!
C:\Users\*****\AppData\Local\Temp\pfganbvsvubembcrp.exe
C:\Users\*****\printkey.exe

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

neu booten

Boris · 31.07.2013, 11:05

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 30-07-2013 03
Ran by SYSTEM at 2013-07-31 11:20:37 Run:1
Running from G:\
Boot Mode: Recovery
==============================================

HKLM\Software\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit => Value was restored successfully.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\\\ScCertProp => Value not found.
HKU\*****\Software\Microsoft\Windows\CurrentVersion\Run\\qcgce2mrvjq91kk1e7pnbb19m52fx => Value deleted successfully.
HKU\*****\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
HKU\*****\Software\Microsoft\Command Processor\\AutoRun => Value deleted successfully.
C:\Users\*****\AppData\Local\Temp\pfganbvsvubembcrp.exe => Moved successfully.
C:\Users\*****\printkey.exe => Moved successfully.

==== End of Fixlog ====

"... deleted successfully ... "
soll ich jetzt mal probieren wieder normal hochzufahren? Oder zuerst im abgesicherten Modus und evtl Malwarebytes laufen lassen?

schrauber · 31.07.2013, 11:53

nee, gleich volle Kanne normal starten und freuen

Boris · 31.07.2013, 14:47

was sollte ich (falls es klappt) danach mal laufen lassen - da ist bestimmt noch anderer schrott drauf. Malwarebytes oder etwas anderes?

Hat geklappt - Danke für die Hilfe ....

schrauber · 31.07.2013, 19:26

Kontrollscans

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

31.07.2013, 11:53	#6
schrauber /// the machine /// TB-Ausbilder	Bundespolizei Trojaner - anscheinend neueste Version - kein abgesicherter Modus möglich nee, gleich volle Kanne normal starten und freuen __________________ --> Bundespolizei Trojaner - anscheinend neueste Version - kein abgesicherter Modus möglich

Bundespolizei Trojaner - anscheinend neueste Version - kein abgesicherter Modus möglich

Plagegeister aller Art und deren Bekämpfung: Bundespolizei Trojaner - anscheinend neueste Version - kein abgesicherter Modus möglich