| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Win Vista: BKA Trojaner (100€)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
04.09.2013, 17:09
| #16 |
| /// TB-Ausbilder   |  Win Vista: BKA Trojaner (100€) Kannst du mir bitte genau schildern, wann dieser schwarze Bildschirm genau kommt? Nach dem Anmelden? Oder zuvor?
__________________ cheers, Leo |
|
04.09.2013, 17:16
| #17 |
 | Win Vista: BKA Trojaner (100€) Noch vor dem Login Fenster.
__________________Ich sehe also noch den  , danach ist Schluss.EDIT: Ganz am Anfang wird mir beim booten noch eine Recovery Option (F3) angeboten (auf der Festplatte ist dafür extra eine 2. Partition drauf). Falls ich diese mal ausführen soll, bescheid geben. Geändert von Runifl (04.09.2013 um 17:58 Uhr) |
|
04.09.2013, 19:31
| #18 |
| /// TB-Ausbilder | Win Vista: BKA Trojaner (100€) Hi,
__________________dann versuchen wir mal, mit FRST über die Reperaturoptionen reinzuschauen: Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8) Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
__________________ |
|
05.09.2013, 17:35
| #19 |
| | Win Vista: BKA Trojaner (100€) So, das ganze hat jetzt etwas länger gedauert, ich musste noch einen Stick mit der Recovery ISO von Vista vorbereiten. frst.txt: FRST Logfile: FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 03-09-2013 02 Ran by SYSTEM on MINWINPC on 03-09-2013 21:52:00 Running from F:\#STUFF Windows Vista (TM) Home Premium Service Pack 1 (X86) OS Language: German Standard Internet Explorer Version 9 Boot Mode: Recovery The current controlset is ControlSet003 ATTENTION!:=====> If the system is bootable FRST could be run from normal or Safe mode to create a complete log. ==================== Registry (Whitelisted) ================== HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1033512 2008-01-04] (Synaptics, Inc.) HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [249064 2010-10-29] (Sun Microsystems, Inc.) HKLM\...\Run: [Skytel] - C:\Windows\Skytel.exe [1833504 2008-09-18] (Realtek Semiconductor Corp.) HKLM\...\Run: [RtHDVCpl] - C:\Windows\RtHDVCpl.exe [6294048 2008-09-18] (Realtek Semiconductor) HKLM\...\Run: [NvMediaCenter] - C:\Windows\system32\NvMcTray.dll [92704 2008-09-17] (NVIDIA Corporation) HKLM\...\Run: [NvCplDaemon] - C:\Windows\system32\NvCpl.dll [13552160 2008-09-17] (NVIDIA Corporation) HKLM\...\Run: [Microsoft Default Manager] - C:\Program Files\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe [439568 2010-05-10] (Microsoft Corporation) HKLM\...\Run: [LogMeIn Hamachi Ui] - C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe [2255184 2013-06-28] (LogMeIn Inc.) HKLM\...\Run: [HP Software Update] - C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [49208 2011-05-10] (Hewlett-Packard) HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [348664 2012-08-07] (Avira Operations GmbH & Co. KG) HKLM\...\Run: [Adobe Reader Speed Launcher] - C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe [35736 2011-01-30] (Adobe Systems Incorporated) HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [932288 2010-11-10] (Adobe Systems Incorporated) HKLM\...\RunOnce: [ Malwarebytes Anti-Malware ] - C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent [532040 2013-04-04] (Malwarebytes Corporation) HKLM\...\Runonce: [OTL] - "F:\OTL.exe" [x] HKLM\...\Policies\Explorer: [NoDrives] 0 HKU\******\...\Run: [WindowsWelcomeCenter] - C:\Windows\System32\oobefldr.dll [ 2009-04-10] (Microsoft Corporation) HKU\Default\...\Run: [WindowsWelcomeCenter] - C:\Windows\System32\oobefldr.dll [ 2009-04-10] (Microsoft Corporation) HKU\Default User\...\Run: [WindowsWelcomeCenter] - C:\Windows\System32\oobefldr.dll [ 2009-04-10] (Microsoft Corporation) HKU\****\...\Run: [ehTray.exe] - C:\Windows\ehome\ehTray.exe [ 2008-01-21] (Microsoft Corporation) ========================== Services (Whitelisted) ================= S2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [86224 2012-05-02] (Avira Operations GmbH & Co. KG) S2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [110032 2012-05-01] (Avira Operations GmbH & Co. KG) S2 Hamachi2Svc; C:\Program Files\LogMeIn Hamachi\hamachi-2.exe [1440080 2013-06-28] (LogMeIn Inc.) S2 WTGService; C:\Program Files\Verbindungsassistent\wtgservice.exe [330696 2011-05-08] () ==================== Drivers (Whitelisted) ==================== S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [83392 2012-04-24] (Avira GmbH) S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [137928 2012-04-27] (Avira GmbH) S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [36000 2012-04-16] (Avira GmbH) S0 CLFS; C:\Windows\System32\CLFS.sys [245736 2009-04-10] (Microsoft Corporation) S3 hamachi; C:\Windows\System32\DRIVERS\hamachi.sys [26176 2009-03-18] (LogMeIn, Inc.) S3 MBAMSwissArmy; C:\Windows\system32\drivers\mbamswissarmy.sys [40776 2013-09-02] (Malwarebytes Corporation) S3 NxpCap; C:\Windows\System32\DRIVERS\NxpCap.sys [1332576 2008-09-25] (NXP Semiconductors Germany GmbH) S1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2010-06-17] (Avira GmbH) S3 XUIF; C:\Windows\System32\Drivers\x10ufx2.sys [27416 2006-11-30] (X10 Wireless Technology, Inc.) S5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [x] S3 IpInIp; system32\DRIVERS\ipinip.sys [x] S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x] S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x] ==================== NetSvcs (Whitelisted) =================== ==================== One Month Created Files and Folders ======== 2013-09-03 16:43 - 2013-09-03 16:43 - 00048331 _____ C:\ComboFix.txt 2013-09-03 16:18 - 2013-09-03 16:43 - 00000000 ____D C:\ComboFix 2013-09-03 16:18 - 2013-09-03 00:23 - 05119472 ____R (Swearware) C:\Users\****\Desktop\ComboFix.exe 2013-09-03 16:13 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe 2013-09-03 16:13 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe 2013-09-03 16:13 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe 2013-09-03 16:13 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe 2013-09-03 16:13 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe 2013-09-03 16:13 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe 2013-09-03 16:13 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe 2013-09-03 16:13 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe 2013-09-03 16:12 - 2013-09-03 16:43 - 00000000 ____D C:\Qoobox 2013-09-03 16:12 - 2013-09-03 16:38 - 00000000 ____D C:\Windows\erdnt 2013-09-02 19:46 - 2013-09-02 19:46 - 00000013 _____ C:\Users\****\AppData\Roaming\mbam.context.scan 2013-09-02 19:43 - 2013-09-02 19:43 - 00000000 _____ C:\Users\****\defogger_reenable 2013-09-01 23:42 - 2013-09-01 23:45 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware 2013-09-01 23:42 - 2013-09-01 23:42 - 00000906 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk 2013-09-01 23:42 - 2013-04-04 13:50 - 00022856 _____ (Malwarebytes Corporation) C:\Windows\System32\Drivers\mbam.sys 2013-09-01 23:40 - 2013-09-02 19:46 - 00040776 _____ (Malwarebytes Corporation) C:\Windows\System32\Drivers\mbamswissarmy.sys 2013-09-01 23:40 - 2013-09-01 23:40 - 00000000 ____D C:\Users\****\AppData\Roaming\Malwarebytes 2013-09-01 23:40 - 2013-09-01 23:40 - 00000000 ____D C:\ProgramData\Malwarebytes 2013-09-01 23:26 - 2013-09-02 13:24 - 00000000 ____D C:\Windows\pss ==================== One Month Modified Files and Folders ======= 2013-09-03 21:51 - 2013-09-03 21:51 - 00000000 ____D C:\FRST 2013-09-03 17:34 - 2008-01-21 08:16 - 01445310 _____ C:\Windows\System32\PerfStringBackup.INI 2013-09-03 17:18 - 2006-11-02 13:47 - 00003712 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 2013-09-03 17:18 - 2006-11-02 13:47 - 00003712 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 2013-09-03 16:43 - 2013-09-03 16:43 - 00048331 _____ C:\ComboFix.txt 2013-09-03 16:43 - 2013-09-03 16:18 - 00000000 ____D C:\ComboFix 2013-09-03 16:43 - 2013-09-03 16:12 - 00000000 ____D C:\Qoobox 2013-09-03 16:43 - 2006-11-02 12:18 - 00000000 ___RD C:\users\Public 2013-09-03 16:38 - 2013-09-03 16:12 - 00000000 ____D C:\Windows\erdnt 2013-09-03 16:33 - 2006-11-02 11:23 - 00000215 _____ C:\Windows\system.ini 2013-09-03 16:31 - 2008-01-21 03:47 - 00089414 _____ C:\Windows\PFRO.log 2013-09-03 16:24 - 2012-06-02 10:36 - 00000000 ____D C:\Program Files\Searchqu Toolbar 2013-09-03 00:23 - 2013-09-03 16:18 - 05119472 ____R (Swearware) C:\Users\****\Desktop\ComboFix.exe 2013-09-02 19:46 - 2013-09-02 19:46 - 00000013 _____ C:\Users\****\AppData\Roaming\mbam.context.scan 2013-09-02 19:46 - 2013-09-01 23:40 - 00040776 _____ (Malwarebytes Corporation) C:\Windows\System32\Drivers\mbamswissarmy.sys 2013-09-02 19:43 - 2013-09-02 19:43 - 00000000 _____ C:\Users\****\defogger_reenable 2013-09-02 19:43 - 2011-03-27 14:56 - 00000000 ____D C:\users\**** 2013-09-02 13:24 - 2013-09-01 23:26 - 00000000 ____D C:\Windows\pss 2013-09-01 23:45 - 2013-09-01 23:42 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware 2013-09-01 23:42 - 2013-09-01 23:42 - 00000906 _____ C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk 2013-09-01 23:40 - 2013-09-01 23:40 - 00000000 ____D C:\Users\****\AppData\Roaming\Malwarebytes 2013-09-01 23:40 - 2013-09-01 23:40 - 00000000 ____D C:\ProgramData\Malwarebytes 2013-09-01 21:57 - 2008-01-21 02:35 - 01148047 _____ C:\Windows\WindowsUpdate.log 2013-09-01 21:32 - 2006-11-02 12:18 - 00000000 ____D C:\Windows\Microsoft.NET 2013-09-01 21:15 - 2011-03-28 08:18 - 00067368 _____ C:\ProgramData\nvModes.dat 2013-08-06 19:54 - 2011-03-27 14:56 - 00002032 _____ C:\Users\****\AppData\Local\d3d9caps.dat ZeroAccess: C:\Users\****\AppData\Local\{e616ae02-b60d-5551-16eb-eedf449d2993} C:\Users\****\AppData\Local\{e616ae02-b60d-5551-16eb-eedf449d2993}\@ Files to move or delete: ==================== C:\ProgramData\nvModes.dat ==================== Known DLLs (Whitelisted) ============ ==================== Bamital & volsnap Check ================= C:\Windows\explorer.exe => MD5 is legit C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\System32\services.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit ==================== EXE ASSOCIATION ===================== HKLM\...\.exe: exefile => OK HKLM\...\exefile\DefaultIcon: %1 => OK HKLM\...\exefile\open\command: "%1" %* => OK ==================== Restore Points ========================= Restore point made on: 2013-09-01 22:00:55 ==================== Memory info =========================== Percentage of memory in use: 11% Total physical RAM: 3837.44 MB Available physical RAM: 3381.48 MB Total Pagefile: 3590.28 MB Available Pagefile: 3436.18 MB Total Virtual: 2047.88 MB Available Virtual: 1966.3 MB ==================== Drives ================================ Drive c: () (Fixed) (Total:282.27 GB) (Free:230.47 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive d: (RECOVER) (Fixed) (Total:15.81 GB) (Free:4.74 GB) FAT32 Drive f: (VISTZA) (Removable) (Total:1.83 GB) (Free:1.69 GB) FAT32 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 298 GB) (Disk ID: DAE4C35C) Partition 1: (Active) - (Size=282 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=16 GB) - (Type=0C) ======================================================== Disk: 1 (MBR Code: Windows 7 or 8) (Size: 2 GB) (Disk ID: 00000000) Partition 1: (Active) - (Size=2 GB) - (Type=0B) LastRegBack: 2013-09-03 17:47 ==================== End Of Log ============================ --- --- --- Soll ich mal per Recovery Disc versuchen eine Systemwiederherstellung durchzuführen? Vielleicht löst das ja schon mal einen Teil der Probleme. |
|
05.09.2013, 17:41
| #20 |
| /// TB-Ausbilder | Win Vista: BKA Trojaner (100€) Versuch zuerst mal, mit der "letzten als funktionierend bekannten Konfiguration" zu booten. Also beim Aufstarten F8 drücken (wie wenn du in die abgesicherten Modi wolltest) und dann diese Option auswählen. Klappt das?
__________________ cheers, Leo |
|
05.09.2013, 17:47
| #21 |
| | Win Vista: BKA Trojaner (100€) Bringt leider nichts -> schwarzer Bildschirm + Mauszeiger |
|
05.09.2013, 17:49
| #22 |
| /// TB-Ausbilder | Win Vista: BKA Trojaner (100€) Ok, dann versuch mal eine Systemwiederherstellung auf einen Punkt vor diesem Vorfall.
__________________ cheers, Leo |
|
05.09.2013, 17:55
| #23 |
| | Win Vista: BKA Trojaner (100€) Okay, das wird wohl nicht wirklich weiter helfen. Ich habe lediglich einen Punkt von vor 4 Tagen, der Vorfall liegt schon ein ganzes Stück weiter zurück. Eine andere Möglichkeit wäre noch die Recovery Funktion des Laptops (wohl über die Recovery Partition, die er beim Bootvorgang mit F3 starten will), soll ich mich mal an diese wagen? EDIT: Ich gehe auch mal davon aus, das der FRST log (von Seite 2) nicht viel geholfen hat? Geändert von Runifl (05.09.2013 um 18:13 Uhr) |
|
09.09.2013, 12:43
| #24 |
| /// TB-Ausbilder | Win Vista: BKA Trojaner (100€) Mach bitte im abgesicherten Modus mal das folgende:
__________________ cheers, Leo |
|
09.09.2013, 12:55
| #25 |
| | Win Vista: BKA Trojaner (100€) Hallo aharonov, ich habe mich gestern Abend dazu entschieden, den Laptop doch einfach einer Formatierung zu unterwerfen, da er für einen anstehenden Urlaub benötigt wird. Ich danke dir trotzdem für deine eifrige Hilfe! |
|
09.09.2013, 13:08
| #26 |
| /// TB-Ausbilder | Win Vista: BKA Trojaner (100€) Ok, alles klar, danke für die Mitteilung. Tut mir leid, dass es nicht anders geklappt hat, aber manchmal will es halt nicht.. Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten. Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter. Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.
__________________ cheers, Leo |
|
| Themen zu Win Vista: BKA Trojaner (100€) |
| abgesicherten, beachten, befindet, bildschirm, booten, dinge, dll, ebenfalls, fehler, freund, guten, initialisiert, interne, internetverbindung, laptop, modus, posten, programme, schwarzer bildschirm, stelle, systemwiederherstellung, trojaner, verbindung, vista, win |
Linear-Darstellung
