| |
| |||||||
Log-Analyse und Auswertung: Schwarzer Bildschirm nach Virenbefall.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
03.09.2013, 18:56
| #1 |
 |  Schwarzer Bildschirm nach Virenbefall. Ich grüsse Euch... Ich habe eine Laptop zur Reperatur von einem Arbeitskollegen entgegengenommen. Der meinte er habe den Polizeivirus. Ich habe mir die Sache angesehen und ja.. ich konnte einen Trojaner mit Stinger ausfindig machen. Er hatte sich in eine Skypedatei hineingesetzt. Ich konnte ihn entfernen und das System schien wieder richtig zu laufen. Doch dann. Ich startete am nächsten Tag den Laptop nochmal und führte einen Virenscan durch. Neuerlich wurden 10 infzierte Dateien gefunden. Nach entfernung dieser durch das Antivirenprogram und einem Neustart blieb der Monitor schwarz und es war nur eine weisser Mauszeiger zu sehen, so als wäre das System zwar aktiv, aber immer noch durch den Polizeivirus abegedeckt. Über F8 bin ich dann in die Reperaturkonsole gestiegen und versucht 1. den Startvorgang wieder zum laufen zu bringen. weiters über die Eingabekonsole zugriff zu erlangen. Alles blieb ohne erfolg und beim schwarzen Bildschirm. Im normalen Systemstart und im abgesicherten Modus. Wenn es nicht darum ginge die Daten zu retten, um die mich mein Arbeitskollege geben hätte, würde ich das Ding einfach formatieren. Ich habe mich durch zufall auf eurem Forum widergefunden und bin in erster Linie sehr positiv überrascht. Ich habe einige Beiträge gesehen, die ein gleiches oder ähnliches Problem schildern und habe somit dort angefangen wo ihr Rat erteilt habt. Das System ist ein Laptop Win 7 32 bit. bezugnehment auf den link http://www.trojaner-board.de/138960-...isse-maus.html bin ich die schritte durchgegangen und möchte euch nun den log zeigen, den ich von frst.exe erhalten habe. Ich bin mir sicher, dass ihr mir einen Rat geben könnt und danke schon im Vorfeld. Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 03-09-2013 02
Ran by SYSTEM on MININT-Q2GJ5N4 on 03-09-2013 19:35:44
Running from F:\
Windows 7 Professional (X86) OS Language: English(US)
Internet Explorer Version 9
Boot Mode: Recovery
The current controlset is ControlSet002
ATTENTION!:=====> If the system is bootable FRST could be run from normal or Safe mode to create a complete log.
==================== Registry (Whitelisted) ==================
HKLM\...\Run: [NvCplDaemon] - C:\Windows\system32\NvCpl.dll [13797992 2009-08-31] (NVIDIA Corporation)
HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1545512 2009-07-20] (Synaptics Incorporated)
HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [248040 2010-02-18] (Sun Microsystems, Inc.)
HKLM\...\Run: [NBKeyScan] - C:\Program Files\Nero\Nero BackItUp 4\NBKeyScan.exe [2254120 2008-12-05] (Nero AG)
HKLM\...\Run: [PDFHook] - C:\Program Files\Nuance\PDF Create! 5\pdfcreate5hook.exe [795936 2008-07-30] (Nuance Communications, Inc.)
HKLM\...\Run: [PDF5 Registry Controller] - C:\Program Files\Nuance\PDF Create! 5\RegistryController.exe [58656 2008-07-30] (Nuance Communications, Inc.)
HKLM\...\Run: [ISUSScheduler] - C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe [81920 2005-02-16] (InstallShield Software Corporation)
HKLM\...\Run: [avast] - C:\Program Files\AVAST Software\Avast\avastUI.exe [4767304 2013-03-06] (AVAST Software)
HKLM\...\Run: [Adobe Reader Speed Launcher] - C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [37296 2012-01-03] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [946352 2012-12-02] (Adobe Systems Incorporated)
HKLM\...\RunOnce: [*Restore] - C:\Windows\system32\rstrui.exe /RUNONCE [262656 2010-11-20] (Microsoft Corporation)
HKU\Karl\...\Run: [ISUSPM Startup] - c:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe [ 2005-02-16] (InstallShield Software Corporation)
HKU\Karl\...\Winlogon: [Shell] explorer.exe <==== ATTENTION
========================== Services (Whitelisted) =================
S2 avast! Antivirus; C:\Program Files\AVAST Software\Avast\AvastSvc.exe [45248 2013-03-06] (AVAST Software)
S2 PLFlash DeviceIoControl Service; C:\Program Files\Nero\Nero BackItUp 4\IoctlSvc.exe [81920 2008-12-05] (Prolific Technology Inc.)
==================== Drivers (Whitelisted) ====================
S2 aswFsBlk; C:\Windows\System32\Drivers\aswFsBlk.sys [29816 2013-03-06] (AVAST Software)
S1 aswKbd; C:\Windows\System32\Drivers\aswKbd.sys [21576 2013-03-06] (AVAST Software)
S2 aswMonFlt; C:\Windows\system32\drivers\aswMonFlt.sys [66336 2013-03-06] (AVAST Software)
S1 aswRdr; C:\Windows\System32\Drivers\aswrdr2.sys [60656 2013-03-06] (AVAST Software)
S0 aswRvrt; C:\Windows\System32\Drivers\aswRvrt.sys [49248 2013-03-06] ()
S1 aswSnx; C:\Windows\System32\Drivers\aswSnx.sys [765736 2013-03-06] (AVAST Software)
S1 aswSP; C:\Windows\System32\Drivers\aswSP.sys [368176 2013-03-06] (AVAST Software)
S1 aswTdi; C:\Windows\System32\Drivers\aswTdi.sys [62376 2013-03-06] (AVAST Software)
S3 aswVmm; C:\Windows\System32\Drivers\aswVmm.sys [164736 2013-03-06] ()
S0 CLFS; C:\Windows\System32\CLFS.sys [249408 2009-07-13] (Microsoft Corporation)
S3 FSCSLII; C:\Windows\System32\DRIVERS\FSCSLII.sys [16384 2009-05-18] (Fujitsu)
==================== NetSvcs (Whitelisted) ===================
==================== One Month Created Files and Folders ========
2013-09-02 21:23 - 2013-09-02 21:23 - 00000000 ____D C:\96f3389910d5162ef3339e1855e1b9
2013-09-02 06:17 - 2013-09-02 06:17 - 00000552 _____ C:\Windows\System32\spsys.log
2013-09-02 06:16 - 2013-09-03 06:25 - 00007248 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-09-02 06:16 - 2013-09-03 06:25 - 00007248 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-09-02 05:56 - 2013-09-02 05:56 - 00000000 ____D C:\Quarantine
2013-09-02 05:49 - 2013-09-02 05:44 - 09945120 _____ (McAfee Inc) C:\Users\Karl\Desktop\stinger32_12.0.0.508.exe
2013-09-02 05:48 - 2013-09-02 06:10 - 00000000 ____D C:\Program Files\stinger
2013-09-02 05:19 - 2013-09-02 05:19 - 00000000 ____D C:\Windows\pss
==================== One Month Modified Files and Folders =======
2013-09-03 09:32 - 2009-07-13 20:39 - 00107003 _____ C:\Windows\setupact.log
2013-09-03 09:15 - 2010-03-23 05:39 - 00000000 ____D C:\users\Karl
2013-09-03 09:15 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\wfp
2013-09-03 09:15 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\registration
2013-09-03 08:55 - 2010-03-23 05:33 - 01060705 _____ C:\Windows\WindowsUpdate.log
2013-09-03 06:25 - 2013-09-02 06:16 - 00007248 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-09-03 06:25 - 2013-09-02 06:16 - 00007248 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-09-03 06:23 - 2010-03-23 05:41 - 01507104 _____ C:\Windows\System32\PerfStringBackup.INI
2013-09-03 00:29 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\rescache
2013-09-03 00:01 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\LogFiles
2013-09-02 21:23 - 2013-09-02 21:23 - 00000000 ____D C:\96f3389910d5162ef3339e1855e1b9
2013-09-02 07:00 - 2010-03-24 00:22 - 00000406 __RSH C:\ProgramData\ntuser.pol
2013-09-02 06:59 - 2009-07-13 20:52 - 00000000 ____D C:\Program Files\Windows Defender
2013-09-02 06:59 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\de-DE
2013-09-02 06:17 - 2013-09-02 06:17 - 00000552 _____ C:\Windows\System32\spsys.log
2013-09-02 06:10 - 2013-09-02 05:48 - 00000000 ____D C:\Program Files\stinger
2013-09-02 05:56 - 2013-09-02 05:56 - 00000000 ____D C:\Quarantine
2013-09-02 05:44 - 2013-09-02 05:49 - 09945120 _____ (McAfee Inc) C:\Users\Karl\Desktop\stinger32_12.0.0.508.exe
2013-09-02 05:22 - 2013-05-07 06:17 - 00000004 _____ C:\Users\Karl\AppData\Roaming\skype.ini
2013-09-02 05:19 - 2013-09-02 05:19 - 00000000 ____D C:\Windows\pss
Files to move or delete:
====================
C:\Users\Karl\AppData\Roaming\skype.ini
C:\Users\Karl\AppData\Local\Temp\comver.dll
C:\Users\Karl\AppData\Local\Temp\DRPCUNLR.dll
C:\Users\Karl\AppData\Local\Temp\GLF6C7D.tmp.ConduitEngineSetup.exe
C:\Users\Karl\AppData\Local\Temp\GoogleToolbarInstaller_en32_signed.exe
C:\Users\Karl\AppData\Local\Temp\ose00000.exe
C:\Users\Karl\AppData\Local\Temp\prxGLF6C7D.tmp.tbDVDV.dll
C:\Users\Karl\AppData\Local\Temp\TB_3CF0.exe
C:\Users\Karl\AppData\Local\Temp\{E7FDFA05-81BD-4E65-89A0-3B42B25297BE}-28.0.1500.72_chrome_installer.exe
C:\Users\Karl\AppData\Local\Temp\{DBD0D921-EBAE-4E11-AFB0-F9047597CCB9}\{D417C96A-FCC7-4590-A1BB-FAF73F5BC98E}\isrt.dll
C:\Users\Karl\AppData\Local\Temp\{DBD0D921-EBAE-4E11-AFB0-F9047597CCB9}\{D417C96A-FCC7-4590-A1BB-FAF73F5BC98E}\_IsRes.dll
C:\Users\Karl\AppData\Local\Temp\{DBD0D921-EBAE-4E11-AFB0-F9047597CCB9}\{D417C96A-FCC7-4590-A1BB-FAF73F5BC98E}\_ISUser.dll
C:\Users\Karl\AppData\Local\Temp\ispC1FA.tmp\_Setup.dll
C:\Users\Karl\AppData\Local\Temp\ispB435.tmp\_Setup.dll
C:\Users\Karl\AppData\Local\Temp\isp539E.tmp\_Setup.dll
C:\Users\Karl\AppData\Local\Temp\isp3610.tmp\_Setup.dll
C:\Users\Karl\AppData\Local\Temp\isp147C.tmp\_Setup.dll
==================== Known DLLs (Whitelisted) ============
==================== Bamital & volsnap Check =================
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
==================== EXE ASSOCIATION =====================
HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK
==================== Restore Points =========================
Restore point made on: 2013-04-13 11:00:56
Restore point made on: 2013-04-20 07:35:52
Restore point made on: 2013-04-26 06:13:47
Restore point made on: 2013-04-26 08:18:28
Restore point made on: 2013-04-26 20:47:01
Restore point made on: 2013-04-27 03:05:30
Restore point made on: 2013-04-28 10:51:38
Restore point made on: 2013-04-30 03:32:37
Restore point made on: 2013-05-01 21:40:53
Restore point made on: 2013-05-01 22:18:56
Restore point made on: 2013-05-04 03:16:26
Restore point made on: 2013-05-04 06:30:13
Restore point made on: 2013-05-04 08:52:55
Restore point made on: 2013-05-04 10:03:54
Restore point made on: 2013-05-05 12:10:38
Restore point made on: 2013-05-06 11:12:13
Restore point made on: 2013-07-16 04:12:45
Restore point made on: 2013-09-02 06:26:50
Restore point made on: 2013-09-02 21:17:55
Restore point made on: 2013-09-02 21:36:27
Restore point made on: 2013-09-02 23:56:04
Restore point made on: 2013-09-03 00:37:11
Restore point made on: 2013-09-03 00:37:15
Restore point made on: 2013-09-03 00:37:16
Restore point made on: 2013-09-03 00:37:16
Restore point made on: 2013-09-03 00:37:21
Restore point made on: 2013-09-03 00:37:22
Restore point made on: 2013-09-03 00:37:23
==================== Memory info ===========================
Percentage of memory in use: 17%
Total physical RAM: 2558.42 MB
Available physical RAM: 2098.23 MB
Total Pagefile: 2554.64 MB
Available Pagefile: 2095.81 MB
Total Virtual: 2047.88 MB
Available Virtual: 1936.21 MB
==================== Drives ================================
Drive c: () (Fixed) (Total:232.79 GB) (Free:146.17 GB) NTFS
Drive f: () (Removable) (Total:1.87 GB) (Free:0.23 GB) FAT
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]
==================== MBR & Partition Table ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 233 GB) (Disk ID: B43DDC96)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=233 GB) - (Type=07 NTFS)
========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 2 GB) (Disk ID: C3072E18)
Partition 1: (Active) - (Size=2 GB) - (Type=06)
LastRegBack: 2013-09-03 00:22
==================== End Of Log ============================
|
|
03.09.2013, 20:13
| #2 |
| /// the machine /// TB-Ausbilder    | Schwarzer Bildschirm nach Virenbefall. hi,
__________________Drücke bitte die  + R Taste und schreibe notepad in das Ausführen Fenster.Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter HKU\Karl\...\Winlogon: [Shell] explorer.exe <==== ATTENTION
C:\Users\Karl\AppData\Roaming\skype.ini
C:\Users\Karl\AppData\Local\Temp\comver.dll
C:\Users\Karl\AppData\Local\Temp\DRPCUNLR.dll
C:\Users\Karl\AppData\Local\Temp\GLF6C7D.tmp.ConduitEngineSetup.exe
C:\Users\Karl\AppData\Local\Temp\GoogleToolbarInstaller_en32_signed.exe
C:\Users\Karl\AppData\Local\Temp\ose00000.exe
C:\Users\Karl\AppData\Local\Temp\prxGLF6C7D.tmp.tbDVDV.dll
C:\Users\Karl\AppData\Local\Temp\TB_3CF0.exe
C:\Users\Karl\AppData\Local\Temp\{E7FDFA05-81BD-4E65-89A0-3B42B25297BE}-28.0.1500.72_chrome_installer.exe
C:\Users\Karl\AppData\Local\Temp\{DBD0D921-EBAE-4E11-AFB0-F9047597CCB9}\{D417C96A-FCC7-4590-A1BB-FAF73F5BC98E}\isrt.dll
C:\Users\Karl\AppData\Local\Temp\{DBD0D921-EBAE-4E11-AFB0-F9047597CCB9}\{D417C96A-FCC7-4590-A1BB-FAF73F5BC98E}\_IsRes.dll
C:\Users\Karl\AppData\Local\Temp\{DBD0D921-EBAE-4E11-AFB0-F9047597CCB9}\{D417C96A-FCC7-4590-A1BB-FAF73F5BC98E}\_ISUser.dll
C:\Users\Karl\AppData\Local\Temp\ispC1FA.tmp\_Setup.dll
C:\Users\Karl\AppData\Local\Temp\ispB435.tmp\_Setup.dll
C:\Users\Karl\AppData\Local\Temp\isp539E.tmp\_Setup.dll
C:\Users\Karl\AppData\Local\Temp\isp3610.tmp\_Setup.dll
C:\Users\Karl\AppData\Local\Temp\isp147C.tmp\_Setup.dll
Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier. Rechner normal starten 
__________________ |
|
03.09.2013, 21:01
| #3 |
| | Schwarzer Bildschirm nach Virenbefall. Erstmal Danke für die schnelle Antwort..
__________________und hier kommt der Fixlog Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 03-09-2013 02
Ran by SYSTEM at 2013-09-03 21:57:55 Run:1
Running from F:\
Boot Mode: Recovery
==============================================
Content of fixlist:
*****************
HKU\Karl\...\Winlogon: [Shell] explorer.exe <==== ATTENTION
C:\Users\Karl\AppData\Roaming\skype.ini
C:\Users\Karl\AppData\Local\Temp\comver.dll
C:\Users\Karl\AppData\Local\Temp\DRPCUNLR.dll
C:\Users\Karl\AppData\Local\Temp\GLF6C7D.tmp.ConduitEngineSetup.exe
C:\Users\Karl\AppData\Local\Temp\GoogleToolbarInstaller_en32_signed.exe
C:\Users\Karl\AppData\Local\Temp\ose00000.exe
C:\Users\Karl\AppData\Local\Temp\prxGLF6C7D.tmp.tbDVDV.dll
C:\Users\Karl\AppData\Local\Temp\TB_3CF0.exe
C:\Users\Karl\AppData\Local\Temp\{E7FDFA05-81BD-4E65-89A0-3B42B25297BE}-28.0.1500.72_chrome_installer.exe
C:\Users\Karl\AppData\Local\Temp\{DBD0D921-EBAE-4E11-AFB0-F9047597CCB9}\{D417C96A-FCC7-4590-A1BB-FAF73F5BC98E}\isrt.dll
C:\Users\Karl\AppData\Local\Temp\{DBD0D921-EBAE-4E11-AFB0-F9047597CCB9}\{D417C96A-FCC7-4590-A1BB-FAF73F5BC98E}\_IsRes.dll
C:\Users\Karl\AppData\Local\Temp\{DBD0D921-EBAE-4E11-AFB0-F9047597CCB9}\{D417C96A-FCC7-4590-A1BB-FAF73F5BC98E}\_ISUser.dll
C:\Users\Karl\AppData\Local\Temp\ispC1FA.tmp\_Setup.dll
C:\Users\Karl\AppData\Local\Temp\ispB435.tmp\_Setup.dll
C:\Users\Karl\AppData\Local\Temp\isp539E.tmp\_Setup.dll
C:\Users\Karl\AppData\Local\Temp\isp3610.tmp\_Setup.dll
C:\Users\Karl\AppData\Local\Temp\isp147C.tmp\_Setup.dll
*****************
HKU\Karl\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
C:\Users\Karl\AppData\Roaming\skype.ini => Moved successfully.
C:\Users\Karl\AppData\Local\Temp\comver.dll => Moved successfully.
C:\Users\Karl\AppData\Local\Temp\DRPCUNLR.dll => Moved successfully.
C:\Users\Karl\AppData\Local\Temp\GLF6C7D.tmp.ConduitEngineSetup.exe => Moved successfully.
C:\Users\Karl\AppData\Local\Temp\GoogleToolbarInstaller_en32_signed.exe => Moved successfully.
C:\Users\Karl\AppData\Local\Temp\ose00000.exe => Moved successfully.
C:\Users\Karl\AppData\Local\Temp\prxGLF6C7D.tmp.tbDVDV.dll => Moved successfully.
C:\Users\Karl\AppData\Local\Temp\TB_3CF0.exe => Moved successfully.
C:\Users\Karl\AppData\Local\Temp\{E7FDFA05-81BD-4E65-89A0-3B42B25297BE}-28.0.1500.72_chrome_installer.exe => Moved successfully.
C:\Users\Karl\AppData\Local\Temp\{DBD0D921-EBAE-4E11-AFB0-F9047597CCB9}\{D417C96A-FCC7-4590-A1BB-FAF73F5BC98E}\isrt.dll => Moved successfully.
C:\Users\Karl\AppData\Local\Temp\{DBD0D921-EBAE-4E11-AFB0-F9047597CCB9}\{D417C96A-FCC7-4590-A1BB-FAF73F5BC98E}\_IsRes.dll => Moved successfully.
C:\Users\Karl\AppData\Local\Temp\{DBD0D921-EBAE-4E11-AFB0-F9047597CCB9}\{D417C96A-FCC7-4590-A1BB-FAF73F5BC98E}\_ISUser.dll => Moved successfully.
C:\Users\Karl\AppData\Local\Temp\ispC1FA.tmp\_Setup.dll => Moved successfully.
C:\Users\Karl\AppData\Local\Temp\ispB435.tmp\_Setup.dll => Moved successfully.
C:\Users\Karl\AppData\Local\Temp\isp539E.tmp\_Setup.dll => Moved successfully.
C:\Users\Karl\AppData\Local\Temp\isp3610.tmp\_Setup.dll => Moved successfully.
C:\Users\Karl\AppData\Local\Temp\isp147C.tmp\_Setup.dll => Moved successfully.
==== End of Fixlog ====
Ergebnis....schwarzer Bildschirm, weisse maus Geändert von Rickalon (03.09.2013 um 21:42 Uhr) |
|
04.09.2013, 08:57
| #4 |
| /// the machine /// TB-Ausbilder | Schwarzer Bildschirm nach Virenbefall. Weird. Poste bitte ein frisches FRST log aus der Recovery. Wann kommt der Bildschirm? Direkt oder erst nach Benutzeranmeldung?
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
04.09.2013, 11:19
| #5 |
| | Schwarzer Bildschirm nach Virenbefall. Hallo,.. Ich poste dir zuerst mal den Log den ich gestern Abend noch angefertig habe.: FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 03-09-2013 02
Ran by SYSTEM on MININT-7O01RKF on 03-09-2013 22:33:44
Running from F:\
Windows 7 Professional (X86) OS Language: English(US)
Internet Explorer Version 9
Boot Mode: Recovery
The current controlset is ControlSet002
ATTENTION!:=====> If the system is bootable FRST could be run from normal or Safe mode to create a complete log.
==================== Registry (Whitelisted) ==================
HKLM\...\Run: [NvCplDaemon] - C:\Windows\system32\NvCpl.dll [13797992 2009-08-31] (NVIDIA Corporation)
HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1545512 2009-07-20] (Synaptics Incorporated)
HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [248040 2010-02-18] (Sun Microsystems, Inc.)
HKLM\...\Run: [NBKeyScan] - C:\Program Files\Nero\Nero BackItUp 4\NBKeyScan.exe [2254120 2008-12-05] (Nero AG)
HKLM\...\Run: [PDFHook] - C:\Program Files\Nuance\PDF Create! 5\pdfcreate5hook.exe [795936 2008-07-30] (Nuance Communications, Inc.)
HKLM\...\Run: [PDF5 Registry Controller] - C:\Program Files\Nuance\PDF Create! 5\RegistryController.exe [58656 2008-07-30] (Nuance Communications, Inc.)
HKLM\...\Run: [ISUSScheduler] - C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe [81920 2005-02-16] (InstallShield Software Corporation)
HKLM\...\Run: [avast] - C:\Program Files\AVAST Software\Avast\avastUI.exe [4767304 2013-03-06] (AVAST Software)
HKLM\...\Run: [Adobe Reader Speed Launcher] - C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [37296 2012-01-03] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [946352 2012-12-02] (Adobe Systems Incorporated)
HKLM\...\RunOnce: [*Restore] - C:\Windows\system32\rstrui.exe /RUNONCE [262656 2010-11-20] (Microsoft Corporation)
HKU\Karl\...\Run: [ISUSPM Startup] - c:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe [ 2005-02-16] (InstallShield Software Corporation)
========================== Services (Whitelisted) =================
S2 avast! Antivirus; C:\Program Files\AVAST Software\Avast\AvastSvc.exe [45248 2013-03-06] (AVAST Software)
S2 PLFlash DeviceIoControl Service; C:\Program Files\Nero\Nero BackItUp 4\IoctlSvc.exe [81920 2008-12-05] (Prolific Technology Inc.)
==================== Drivers (Whitelisted) ====================
S2 aswFsBlk; C:\Windows\System32\Drivers\aswFsBlk.sys [29816 2013-03-06] (AVAST Software)
S1 aswKbd; C:\Windows\System32\Drivers\aswKbd.sys [21576 2013-03-06] (AVAST Software)
S2 aswMonFlt; C:\Windows\system32\drivers\aswMonFlt.sys [66336 2013-03-06] (AVAST Software)
S1 aswRdr; C:\Windows\System32\Drivers\aswrdr2.sys [60656 2013-03-06] (AVAST Software)
S0 aswRvrt; C:\Windows\System32\Drivers\aswRvrt.sys [49248 2013-03-06] ()
S1 aswSnx; C:\Windows\System32\Drivers\aswSnx.sys [765736 2013-03-06] (AVAST Software)
S1 aswSP; C:\Windows\System32\Drivers\aswSP.sys [368176 2013-03-06] (AVAST Software)
S1 aswTdi; C:\Windows\System32\Drivers\aswTdi.sys [62376 2013-03-06] (AVAST Software)
S3 aswVmm; C:\Windows\System32\Drivers\aswVmm.sys [164736 2013-03-06] ()
S0 CLFS; C:\Windows\System32\CLFS.sys [249408 2009-07-13] (Microsoft Corporation)
S3 FSCSLII; C:\Windows\System32\DRIVERS\FSCSLII.sys [16384 2009-05-18] (Fujitsu)
==================== NetSvcs (Whitelisted) ===================
==================== One Month Created Files and Folders ========
2013-09-02 21:23 - 2013-09-02 21:23 - 00000000 ____D C:\96f3389910d5162ef3339e1855e1b9
2013-09-02 06:17 - 2013-09-02 06:17 - 00000552 _____ C:\Windows\System32\spsys.log
2013-09-02 06:16 - 2013-09-03 06:25 - 00007248 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-09-02 06:16 - 2013-09-03 06:25 - 00007248 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-09-02 05:56 - 2013-09-02 05:56 - 00000000 ____D C:\Quarantine
2013-09-02 05:49 - 2013-09-02 05:44 - 09945120 _____ (McAfee Inc) C:\Users\Karl\Desktop\stinger32_12.0.0.508.exe
2013-09-02 05:48 - 2013-09-02 06:10 - 00000000 ____D C:\Program Files\stinger
2013-09-02 05:19 - 2013-09-02 05:19 - 00000000 ____D C:\Windows\pss
==================== One Month Modified Files and Folders =======
2013-09-03 19:35 - 2013-09-03 19:35 - 00000000 ____D C:\FRST
2013-09-03 11:59 - 2009-07-13 20:39 - 00107059 _____ C:\Windows\setupact.log
2013-09-03 09:32 - 2010-03-23 05:33 - 01064952 _____ C:\Windows\WindowsUpdate.log
2013-09-03 09:15 - 2010-03-23 05:39 - 00000000 ____D C:\users\Karl
2013-09-03 09:15 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\wfp
2013-09-03 09:15 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\registration
2013-09-03 06:25 - 2013-09-02 06:16 - 00007248 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-09-03 06:25 - 2013-09-02 06:16 - 00007248 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-09-03 06:23 - 2010-03-23 05:41 - 01507104 _____ C:\Windows\System32\PerfStringBackup.INI
2013-09-03 00:29 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\rescache
2013-09-03 00:01 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\LogFiles
2013-09-02 21:23 - 2013-09-02 21:23 - 00000000 ____D C:\96f3389910d5162ef3339e1855e1b9
2013-09-02 07:00 - 2010-03-24 00:22 - 00000406 __RSH C:\ProgramData\ntuser.pol
2013-09-02 06:59 - 2009-07-13 20:52 - 00000000 ____D C:\Program Files\Windows Defender
2013-09-02 06:59 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\de-DE
2013-09-02 06:17 - 2013-09-02 06:17 - 00000552 _____ C:\Windows\System32\spsys.log
2013-09-02 06:10 - 2013-09-02 05:48 - 00000000 ____D C:\Program Files\stinger
2013-09-02 05:56 - 2013-09-02 05:56 - 00000000 ____D C:\Quarantine
2013-09-02 05:44 - 2013-09-02 05:49 - 09945120 _____ (McAfee Inc) C:\Users\Karl\Desktop\stinger32_12.0.0.508.exe
2013-09-02 05:19 - 2013-09-02 05:19 - 00000000 ____D C:\Windows\pss
==================== Known DLLs (Whitelisted) ============
==================== Bamital & volsnap Check =================
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
==================== EXE ASSOCIATION =====================
HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK
==================== Restore Points =========================
Restore point made on: 2013-04-13 11:00:56
Restore point made on: 2013-04-20 07:35:52
Restore point made on: 2013-04-26 06:13:47
Restore point made on: 2013-04-26 08:18:28
Restore point made on: 2013-04-26 20:47:01
Restore point made on: 2013-04-27 03:05:30
Restore point made on: 2013-04-28 10:51:38
Restore point made on: 2013-04-30 03:32:37
Restore point made on: 2013-05-01 21:40:53
Restore point made on: 2013-05-01 22:18:56
Restore point made on: 2013-05-04 03:16:26
Restore point made on: 2013-05-04 06:30:13
Restore point made on: 2013-05-04 08:52:55
Restore point made on: 2013-05-04 10:03:54
Restore point made on: 2013-05-05 12:10:38
Restore point made on: 2013-05-06 11:12:13
Restore point made on: 2013-07-16 04:12:45
Restore point made on: 2013-09-02 06:26:50
Restore point made on: 2013-09-02 21:17:55
Restore point made on: 2013-09-02 21:36:27
Restore point made on: 2013-09-02 23:56:04
Restore point made on: 2013-09-03 00:37:11
Restore point made on: 2013-09-03 00:37:15
Restore point made on: 2013-09-03 00:37:16
Restore point made on: 2013-09-03 00:37:16
Restore point made on: 2013-09-03 00:37:21
Restore point made on: 2013-09-03 00:37:22
Restore point made on: 2013-09-03 00:37:23
==================== Memory info ===========================
Percentage of memory in use: 17%
Total physical RAM: 2558.42 MB
Available physical RAM: 2106.11 MB
Total Pagefile: 2554.64 MB
Available Pagefile: 2104.22 MB
Total Virtual: 2047.88 MB
Available Virtual: 1945.11 MB
==================== Drives ================================
Drive c: () (Fixed) (Total:232.79 GB) (Free:146.17 GB) NTFS
Drive f: () (Removable) (Total:1.87 GB) (Free:0.23 GB) FAT
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]
==================== MBR & Partition Table ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 233 GB) (Disk ID: B43DDC96)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=233 GB) - (Type=07 NTFS)
========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 2 GB) (Disk ID: C3072E18)
Partition 1: (Active) - (Size=2 GB) - (Type=06)
LastRegBack: 2013-09-03 00:22
==================== End Of Log ============================
So nun weiter...  Also per Knopfdruck startet der Laptop... das Bios fährt hoch.. nach Beendigung wechselt er auf einen schwarzen Bildschirm mit der Schrift Windows wird gestartet... es erscheinen die 4 verschiedenfärbigen Punkte die sich zum Windowslogo verbinden. Nun wechselt er wieder in einen schwarzen Bildschirm und es erscheint ein weisser Mauszeiger. Ich vermute... da der Laptop/ Benutzer nicht mit einem Passwort abgesichert ist, dass er nach dem Windowslogo direkt auf den Desktop geht und dort seine Arbeit verrichten will.. denn hin und wieder.. taucht bei diesem schwarzen Bildschirm mit der weissen Maus.. ein blauer Kreis auf, als würde er etwas laden.. Die Festplatte verarbeitet vermutlich die Programme die beim Start geladen werden, denn nach einiger Zeit beendet sie ihre Arbeit. Dies geschied beim Normalstart sowie im abgesicherten Modus (hier natürlich ohne Windowslogo und blauen Ladekreis neben der Maus) Hier im Anschluss habe ich jetzt nochmal einen ganz frischen frst.txt. den ich gerade eben gemacht habe. FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 03-09-2013 02
Ran by SYSTEM on MININT-PUSS9IC on 04-09-2013 12:14:00
Running from F:\
Windows 7 Professional (X86) OS Language: English(US)
Internet Explorer Version 9
Boot Mode: Recovery
The current controlset is ControlSet002
ATTENTION!:=====> If the system is bootable FRST could be run from normal or Safe mode to create a complete log.
==================== Registry (Whitelisted) ==================
HKLM\...\Run: [NvCplDaemon] - C:\Windows\system32\NvCpl.dll [13797992 2009-08-31] (NVIDIA Corporation)
HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1545512 2009-07-20] (Synaptics Incorporated)
HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [248040 2010-02-18] (Sun Microsystems, Inc.)
HKLM\...\Run: [NBKeyScan] - C:\Program Files\Nero\Nero BackItUp 4\NBKeyScan.exe [2254120 2008-12-05] (Nero AG)
HKLM\...\Run: [PDFHook] - C:\Program Files\Nuance\PDF Create! 5\pdfcreate5hook.exe [795936 2008-07-30] (Nuance Communications, Inc.)
HKLM\...\Run: [PDF5 Registry Controller] - C:\Program Files\Nuance\PDF Create! 5\RegistryController.exe [58656 2008-07-30] (Nuance Communications, Inc.)
HKLM\...\Run: [ISUSScheduler] - C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe [81920 2005-02-16] (InstallShield Software Corporation)
HKLM\...\Run: [avast] - C:\Program Files\AVAST Software\Avast\avastUI.exe [4767304 2013-03-06] (AVAST Software)
HKLM\...\Run: [Adobe Reader Speed Launcher] - C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [37296 2012-01-03] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [946352 2012-12-02] (Adobe Systems Incorporated)
HKLM\...\RunOnce: [*Restore] - C:\Windows\system32\rstrui.exe /RUNONCE [262656 2010-11-20] (Microsoft Corporation)
HKU\Karl\...\Run: [ISUSPM Startup] - c:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe [ 2005-02-16] (InstallShield Software Corporation)
========================== Services (Whitelisted) =================
S2 avast! Antivirus; C:\Program Files\AVAST Software\Avast\AvastSvc.exe [45248 2013-03-06] (AVAST Software)
S2 PLFlash DeviceIoControl Service; C:\Program Files\Nero\Nero BackItUp 4\IoctlSvc.exe [81920 2008-12-05] (Prolific Technology Inc.)
==================== Drivers (Whitelisted) ====================
S2 aswFsBlk; C:\Windows\System32\Drivers\aswFsBlk.sys [29816 2013-03-06] (AVAST Software)
S1 aswKbd; C:\Windows\System32\Drivers\aswKbd.sys [21576 2013-03-06] (AVAST Software)
S2 aswMonFlt; C:\Windows\system32\drivers\aswMonFlt.sys [66336 2013-03-06] (AVAST Software)
S1 aswRdr; C:\Windows\System32\Drivers\aswrdr2.sys [60656 2013-03-06] (AVAST Software)
S0 aswRvrt; C:\Windows\System32\Drivers\aswRvrt.sys [49248 2013-03-06] ()
S1 aswSnx; C:\Windows\System32\Drivers\aswSnx.sys [765736 2013-03-06] (AVAST Software)
S1 aswSP; C:\Windows\System32\Drivers\aswSP.sys [368176 2013-03-06] (AVAST Software)
S1 aswTdi; C:\Windows\System32\Drivers\aswTdi.sys [62376 2013-03-06] (AVAST Software)
S3 aswVmm; C:\Windows\System32\Drivers\aswVmm.sys [164736 2013-03-06] ()
S0 CLFS; C:\Windows\System32\CLFS.sys [249408 2009-07-13] (Microsoft Corporation)
S3 FSCSLII; C:\Windows\System32\DRIVERS\FSCSLII.sys [16384 2009-05-18] (Fujitsu)
==================== NetSvcs (Whitelisted) ===================
==================== One Month Created Files and Folders ========
2013-09-02 21:23 - 2013-09-02 21:23 - 00000000 ____D C:\96f3389910d5162ef3339e1855e1b9
2013-09-02 06:17 - 2013-09-02 06:17 - 00000552 _____ C:\Windows\System32\spsys.log
2013-09-02 06:16 - 2013-09-03 06:25 - 00007248 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-09-02 06:16 - 2013-09-03 06:25 - 00007248 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-09-02 05:56 - 2013-09-02 05:56 - 00000000 ____D C:\Quarantine
2013-09-02 05:49 - 2013-09-02 05:44 - 09945120 _____ (McAfee Inc) C:\Users\Karl\Desktop\stinger32_12.0.0.508.exe
2013-09-02 05:48 - 2013-09-02 06:10 - 00000000 ____D C:\Program Files\stinger
2013-09-02 05:19 - 2013-09-02 05:19 - 00000000 ____D C:\Windows\pss
==================== One Month Modified Files and Folders =======
2013-09-03 19:35 - 2013-09-03 19:35 - 00000000 ____D C:\FRST
2013-09-03 12:42 - 2009-07-13 20:39 - 00107171 _____ C:\Windows\setupact.log
2013-09-03 12:02 - 2010-03-23 05:33 - 01064952 _____ C:\Windows\WindowsUpdate.log
2013-09-03 09:15 - 2010-03-23 05:39 - 00000000 ____D C:\users\Karl
2013-09-03 09:15 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\wfp
2013-09-03 09:15 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\registration
2013-09-03 06:25 - 2013-09-02 06:16 - 00007248 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-09-03 06:25 - 2013-09-02 06:16 - 00007248 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-09-03 06:23 - 2010-03-23 05:41 - 01507104 _____ C:\Windows\System32\PerfStringBackup.INI
2013-09-03 00:29 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\rescache
2013-09-03 00:01 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\LogFiles
2013-09-02 21:23 - 2013-09-02 21:23 - 00000000 ____D C:\96f3389910d5162ef3339e1855e1b9
2013-09-02 07:00 - 2010-03-24 00:22 - 00000406 __RSH C:\ProgramData\ntuser.pol
2013-09-02 06:59 - 2009-07-13 20:52 - 00000000 ____D C:\Program Files\Windows Defender
2013-09-02 06:59 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\de-DE
2013-09-02 06:17 - 2013-09-02 06:17 - 00000552 _____ C:\Windows\System32\spsys.log
2013-09-02 06:10 - 2013-09-02 05:48 - 00000000 ____D C:\Program Files\stinger
2013-09-02 05:56 - 2013-09-02 05:56 - 00000000 ____D C:\Quarantine
2013-09-02 05:44 - 2013-09-02 05:49 - 09945120 _____ (McAfee Inc) C:\Users\Karl\Desktop\stinger32_12.0.0.508.exe
2013-09-02 05:19 - 2013-09-02 05:19 - 00000000 ____D C:\Windows\pss
==================== Known DLLs (Whitelisted) ============
==================== Bamital & volsnap Check =================
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
==================== EXE ASSOCIATION =====================
HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK
==================== Restore Points =========================
Restore point made on: 2013-04-13 11:00:56
Restore point made on: 2013-04-20 07:35:52
Restore point made on: 2013-04-26 06:13:47
Restore point made on: 2013-04-26 08:18:28
Restore point made on: 2013-04-26 20:47:01
Restore point made on: 2013-04-27 03:05:30
Restore point made on: 2013-04-28 10:51:38
Restore point made on: 2013-04-30 03:32:37
Restore point made on: 2013-05-01 21:40:53
Restore point made on: 2013-05-01 22:18:56
Restore point made on: 2013-05-04 03:16:26
Restore point made on: 2013-05-04 06:30:13
Restore point made on: 2013-05-04 08:52:55
Restore point made on: 2013-05-04 10:03:54
Restore point made on: 2013-05-05 12:10:38
Restore point made on: 2013-05-06 11:12:13
Restore point made on: 2013-07-16 04:12:45
Restore point made on: 2013-09-02 06:26:50
Restore point made on: 2013-09-02 21:17:55
Restore point made on: 2013-09-02 21:36:27
Restore point made on: 2013-09-02 23:56:04
Restore point made on: 2013-09-03 00:37:11
Restore point made on: 2013-09-03 00:37:15
Restore point made on: 2013-09-03 00:37:16
Restore point made on: 2013-09-03 00:37:16
Restore point made on: 2013-09-03 00:37:21
Restore point made on: 2013-09-03 00:37:22
Restore point made on: 2013-09-03 00:37:23
==================== Memory info ===========================
Percentage of memory in use: 17%
Total physical RAM: 2558.42 MB
Available physical RAM: 2106.25 MB
Total Pagefile: 2554.64 MB
Available Pagefile: 2104.21 MB
Total Virtual: 2047.88 MB
Available Virtual: 1953.11 MB
==================== Drives ================================
Drive c: () (Fixed) (Total:232.79 GB) (Free:146.18 GB) NTFS
Drive f: () (Removable) (Total:1.87 GB) (Free:0.23 GB) FAT
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]
==================== MBR & Partition Table ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 233 GB) (Disk ID: B43DDC96)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=233 GB) - (Type=07 NTFS)
========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 2 GB) (Disk ID: C3072E18)
Partition 1: (Active) - (Size=2 GB) - (Type=06)
LastRegBack: 2013-09-03 00:22
==================== End Of Log ============================
|
|
04.09.2013, 13:48
| #6 |
| /// the machine /// TB-Ausbilder | Schwarzer Bildschirm nach Virenbefall. win7 DVD zur Hand?
__________________ --> Schwarzer Bildschirm nach Virenbefall. |
|
04.09.2013, 15:16
| #7 |
| | Schwarzer Bildschirm nach Virenbefall. Ja habe eine hier... aber können wir die Daten der Arbeitskollegen noch retten? oder müssen wir Notschlachten? |
|
04.09.2013, 20:01
| #8 |
| /// the machine /// TB-Ausbilder | Schwarzer Bildschirm nach Virenbefall. Ich will eigentlich nur ne Rep-Installation machen. Reparaturinstallation unter Windows Vista / Windows 7 » WinTotal.de
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
05.09.2013, 07:31
| #9 |
| | Schwarzer Bildschirm nach Virenbefall. ich hatte dies schon erwogen gehabt,.. hatte nur Angst dass ich hierbei Daten verliere. Die Anleitung klingt irgendwie etwas viel,. aber ich werde es gerne versuchen. bin jetzt ab Heute 5 Tage in Nürnberg um versuche am Dienstag die Anleitung durchzugehen. vielen Danke jedenfalls bis hierher.. ihr kennt euch wirklich gut aus  Wenn ich darf werde ich am Dienstag eine Zwischenmeldung abgeben, wie es aussieht. gruss Chris |
|
05.09.2013, 10:37
| #10 |
| /// the machine /// TB-Ausbilder | Schwarzer Bildschirm nach Virenbefall. ok
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
28.09.2013, 13:19
| #11 |
| | Schwarzer Bildschirm nach Virenbefall. Sei gegrüßt,.. Ich muss mich erstmal entschuldigen, dass ich etwas länger nicht mehr online war, als ursprünglich geplant. Ich bin nun mal die Anleitung zur Reperatur durchgegangen. Allerdings. Der Laptop, den ich richten soll,.. hat selbst keine Win 7 DVD /CD,.. die Reperatur über das eigene X: laufwerk /Installation verlangt selbst dann ein Medium. Da der Arbeitskollege dies ebenso nicht gemacht hat wie eine Datensicherung... oder zumindest mal einen Virenschutz zu kaufen, mit dem das Problem angefangen hat. *ärg* Habe ich versucht über meine Win 7 DvD im da auzuhelfen.. diese wird allerdings als nicht kompatible Version empfunden. Jetzt hat sich der Arbeitskollege eine Versino besorgt, die geladen wird... ich kann die Schritte bis zum Punkt "wählen sie das Upgrade aus" gekommen. es kommt auch wie schon in der Anleitung angegeben die Warnmeldung. Hier befindet sich allerdings nur ein Schliessen Button. Man landet also wieder draussen. Jetzt die Frage von mir.. wenn ich die Benutzerdefnierte Installation auswähle, würde dort stehen, dass eine Kopie von Win erstellt wird. die Programme etc. gelöscht.. die Löschung bezieht sich auch auf die Dateien des Users? Wie Bilder, Dokumente etc? Ich bin jetzt noch einen Schritt davon entfernt, den PC einfach zu formatieren und neu zu Installieren. Kennst du vielleicht noch einen Trick, einen Schme oder irgendwas um seine Daten zu retten? gruss Chris |
|
29.09.2013, 05:47
| #12 |
| /// the machine /// TB-Ausbilder | Schwarzer Bildschirm nach Virenbefall. Ich glaube die Daten werden in einem Windows.Old Ordner gesichert, aber bin nicht genau sicher.
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
30.09.2013, 08:44
| #13 |
| | Schwarzer Bildschirm nach Virenbefall. Sei gegrüsst. Ich bin jetzt noch beim überlegen. Das windwos scheint ja irgendwie zu funktionieren nur eben schwarzer bildschirm, weisse maus, und dass eben im normalmodus und abgesicherten. Der cd/dvd autostart geht immer noch. Angefangen hat das ganze ja mit dem polizeivirus. Könnte dieser immer noch auf dem system sein und sich so verbreitet haben, dass wir deshalb weder im abgesicherten bzw normalmodus arbeiten können? Wenn ja, haben wir eine möglichkeit über msdos diesen zu entfernen? Oder sollte in diesem fall doch eine Neuinstallation in betracht gezogen werden? Vielleicht könntest du mir eine richtung vorgeben als rat. Neuinstallation ist halt wirklich der letzte weg den ich gehen möchte. Gruss chris |
|
30.09.2013, 16:34
| #14 |
| /// the machine /// TB-Ausbilder | Schwarzer Bildschirm nach Virenbefall. Poste bitte nochmal ein frisches FRST log aus der REcovery, lad vorher ne neue Version von FRST.
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
|
01.10.2013, 09:29
| #15 |
| | Schwarzer Bildschirm nach Virenbefall. Hier kommt das aktuelle Frstlog FRST Logfile: FRST Logfile: FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 27-09-2013 01
Ran by SYSTEM on MININT-P2IRAG4 on 30-09-2013 22:29:26
Running from F:\
Windows 7 Professional (X86) OS Language: English(US)
Internet Explorer Version 9
Boot Mode: Recovery
The current controlset is ControlSet002
ATTENTION!:=====> If the system is bootable FRST could be run from normal or Safe mode to create a complete log.
==================== Registry (Whitelisted) ==================
HKLM\...\Run: [NvCplDaemon] - RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1545512 2009-07-20] (Synaptics Incorporated)
HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [248040 2010-02-18] (Sun Microsystems, Inc.)
HKLM\...\Run: [NBKeyScan] - C:\Program Files\Nero\Nero BackItUp 4\NBKeyScan.exe [2254120 2008-12-05] (Nero AG)
HKLM\...\Run: [PDFHook] - C:\Program Files\Nuance\PDF Create! 5\pdfcreate5hook.exe [795936 2008-07-30] (Nuance Communications, Inc.)
HKLM\...\Run: [PDF5 Registry Controller] - C:\Program Files\Nuance\PDF Create! 5\RegistryController.exe [58656 2008-07-30] (Nuance Communications, Inc.)
HKLM\...\Run: [ISUSScheduler] - C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe [81920 2005-02-16] (InstallShield Software Corporation)
HKLM\...\Run: [avast] - C:\Program Files\AVAST Software\Avast\avastUI.exe [4767304 2013-03-06] (AVAST Software)
HKLM\...\Run: [Adobe Reader Speed Launcher] - C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [37296 2012-01-03] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [946352 2012-12-02] (Adobe Systems Incorporated)
HKLM\...\RunOnce: [*Restore] - C:\Windows\system32\rstrui.exe /RUNONCE [262656 2010-11-20] (Microsoft Corporation)
HKU\Karl\...\Run: [ISUSPM Startup] - c:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe [ 2005-02-16] (InstallShield Software Corporation)
========================== Services (Whitelisted) =================
S2 avast! Antivirus; C:\Program Files\AVAST Software\Avast\AvastSvc.exe [45248 2013-03-06] (AVAST Software)
S2 PLFlash DeviceIoControl Service; C:\Program Files\Nero\Nero BackItUp 4\IoctlSvc.exe [81920 2008-12-05] (Prolific Technology Inc.)
==================== Drivers (Whitelisted) ====================
S2 aswFsBlk; C:\Windows\System32\Drivers\aswFsBlk.sys [29816 2013-03-06] (AVAST Software)
S1 aswKbd; C:\Windows\System32\Drivers\aswKbd.sys [21576 2013-03-06] (AVAST Software)
S2 aswMonFlt; C:\Windows\system32\drivers\aswMonFlt.sys [66336 2013-03-06] (AVAST Software)
S1 aswRdr; C:\Windows\System32\Drivers\aswrdr2.sys [60656 2013-03-06] (AVAST Software)
S0 aswRvrt; C:\Windows\System32\Drivers\aswRvrt.sys [49248 2013-03-06] ()
S1 aswSnx; C:\Windows\System32\Drivers\aswSnx.sys [765736 2013-03-06] (AVAST Software)
S1 aswSP; C:\Windows\System32\Drivers\aswSP.sys [368176 2013-03-06] (AVAST Software)
S1 aswTdi; C:\Windows\System32\Drivers\aswTdi.sys [62376 2013-03-06] (AVAST Software)
S3 aswVmm; C:\Windows\System32\Drivers\aswVmm.sys [164736 2013-03-06] ()
S0 CLFS; C:\Windows\System32\CLFS.sys [249408 2009-07-13] (Microsoft Corporation)
S3 FSCSLII; C:\Windows\System32\DRIVERS\FSCSLII.sys [16384 2009-05-18] (Fujitsu)
==================== NetSvcs (Whitelisted) ===================
==================== One Month Created Files and Folders ========
2013-09-03 19:35 - 2013-09-03 19:35 - 00000000 ____D C:\FRST
2013-09-02 21:23 - 2013-09-02 21:23 - 00000000 ____D C:\96f3389910d5162ef3339e1855e1b9
2013-09-02 06:17 - 2013-09-02 06:17 - 00000552 _____ C:\Windows\System32\spsys.log
2013-09-02 06:16 - 2013-09-28 04:33 - 00007248 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-09-02 06:16 - 2013-09-28 04:33 - 00007248 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-09-02 05:56 - 2013-09-02 05:56 - 00000000 ____D C:\Quarantine
2013-09-02 05:49 - 2013-09-02 05:44 - 09945120 _____ (McAfee Inc) C:\Users\Karl\Desktop\stinger32_12.0.0.508.exe
2013-09-02 05:48 - 2013-09-02 06:10 - 00000000 ____D C:\Program Files\stinger
2013-09-02 05:19 - 2013-09-02 05:19 - 00000000 ____D C:\Windows\pss
==================== One Month Modified Files and Folders =======
2013-09-28 13:39 - 2010-03-23 05:39 - 00000000 ____D C:\users\Karl
2013-09-28 13:39 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\wfp
2013-09-28 13:39 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\registration
2013-09-28 04:33 - 2013-09-02 06:16 - 00007248 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-09-28 04:33 - 2013-09-02 06:16 - 00007248 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-09-28 04:29 - 2010-03-23 05:41 - 01507104 _____ C:\Windows\System32\PerfStringBackup.INI
2013-09-28 04:29 - 2010-03-23 05:33 - 01235954 _____ C:\Windows\WindowsUpdate.log
2013-09-28 04:25 - 2009-07-13 20:39 - 00107507 _____ C:\Windows\setupact.log
2013-09-03 19:35 - 2013-09-03 19:35 - 00000000 ____D C:\FRST
2013-09-03 00:29 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\rescache
2013-09-03 00:01 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\LogFiles
2013-09-02 21:23 - 2013-09-02 21:23 - 00000000 ____D C:\96f3389910d5162ef3339e1855e1b9
2013-09-02 07:00 - 2010-03-24 00:22 - 00000406 __RSH C:\ProgramData\ntuser.pol
2013-09-02 06:59 - 2009-07-13 20:52 - 00000000 ____D C:\Program Files\Windows Defender
2013-09-02 06:59 - 2009-07-13 18:37 - 00000000 ____D C:\Windows\System32\de-DE
2013-09-02 06:17 - 2013-09-02 06:17 - 00000552 _____ C:\Windows\System32\spsys.log
2013-09-02 06:10 - 2013-09-02 05:48 - 00000000 ____D C:\Program Files\stinger
2013-09-02 05:56 - 2013-09-02 05:56 - 00000000 ____D C:\Quarantine
2013-09-02 05:44 - 2013-09-02 05:49 - 09945120 _____ (McAfee Inc) C:\Users\Karl\Desktop\stinger32_12.0.0.508.exe
2013-09-02 05:19 - 2013-09-02 05:19 - 00000000 ____D C:\Windows\pss
==================== Known DLLs (Whitelisted) ============
==================== Bamital & volsnap Check =================
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
==================== EXE ASSOCIATION =====================
HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK
==================== Restore Points =========================
29
Restore point made on: 2013-04-20 07:35:52
Restore point made on: 2013-04-26 06:13:47
Restore point made on: 2013-04-26 08:18:28
Restore point made on: 2013-04-26 20:47:01
Restore point made on: 2013-04-27 03:05:30
Restore point made on: 2013-04-28 10:51:38
Restore point made on: 2013-04-30 03:32:37
Restore point made on: 2013-05-01 21:40:53
Restore point made on: 2013-05-01 22:18:56
Restore point made on: 2013-05-04 03:16:26
Restore point made on: 2013-05-04 06:30:13
Restore point made on: 2013-05-04 08:52:55
Restore point made on: 2013-05-04 10:03:54
Restore point made on: 2013-05-05 12:10:38
Restore point made on: 2013-05-06 11:12:13
Restore point made on: 2013-07-16 04:12:45
Restore point made on: 2013-09-02 06:26:50
Restore point made on: 2013-09-02 21:17:55
Restore point made on: 2013-09-02 21:36:27
Restore point made on: 2013-09-02 23:56:04
Restore point made on: 2013-09-04 02:22:46
Restore point made on: 2013-09-04 06:38:02
Restore point made on: 2013-09-04 06:38:06
Restore point made on: 2013-09-04 06:38:06
Restore point made on: 2013-09-04 06:38:07
Restore point made on: 2013-09-04 06:38:13
Restore point made on: 2013-09-04 06:38:15
Restore point made on: 2013-09-04 06:38:16
Restore point made on: 2013-09-28 03:27:32
==================== Memory info ===========================
Percentage of memory in use: 17%
Total physical RAM: 2558.42 MB
Available physical RAM: 2104.96 MB
Total Pagefile: 2554.64 MB
Available Pagefile: 2102.48 MB
Total Virtual: 2047.88 MB
Available Virtual: 1952.73 MB
==================== Drives ================================
Drive c: () (Fixed) (Total:232.79 GB) (Free:145.97 GB) NTFS
Drive f: () (Removable) (Total:1.87 GB) (Free:0.01 GB) FAT
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]
==================== MBR & Partition Table ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 233 GB) (Disk ID: B43DDC96)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=233 GB) - (Type=07 NTFS)
========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 2 GB) (Disk ID: C3072E18)
Partition 1: (Active) - (Size=2 GB) - (Type=06)
LastRegBack: 2013-09-03 00:22
==================== End Of Log ============================
--- --- --- --- --- --- Allerdings bin ich mir jetzt nicht ganz sicher, ob ich wenn du recovery meinst, dass gleiche verstehe wie du. Also hab unter F8 gestartet und die frst ausgeführt. |
|
| Themen zu Schwarzer Bildschirm nach Virenbefall. |
| adobe, antivirus, association, avast, bildschirm, desktop, entfernen, explorer, farbar, farbar recovery scan tool, google, log, microsoft, monitor, monitor schwarz, neustart, nvidia, polizeivirus, problem, registry, scan, schwarze bildschirm, schwarzer bildschirm, services.exe, software, svchost.exe, system, temp, trojaner, windows xp, winlogon.exe |
Linear-Darstellung
