TR/Sirefef.A.40

kathrin226 · 05.09.2013, 20:02

Hallo an Alle,
habe mir den oben beschriebenen Trojaner eingefangen.
Da ich hier ein Posting mit dem selben Problem von gestern angesehen habe, wollte ich wie da beschrieben verfahren.
Aber leider kann ich keines der Tools installieren, da es nach runterladen immer heißt, es sei ein Virus um Programm gefunden worden, aus diesem Grund wurde es wieder gelöscht.
Hat jemand eine Idee?
Dieses Avira Free Antivirus zeigt mir immer an, dass der Trojaner da ist, kann ihn jedoch nicht entfernen.
Danke schonmal,
lieben Gruß,
Kathrin

Problem bei neu formatieren, wenn nötig - habe ein MacBook Pro und Windows mit drauf laufen, habe eine Windows 7 CD, von Mac habe ich keine Software, um sie wieder drauf zu spielen, habe auch keine Anleitung gefunden.

schrauber · 05.09.2013, 20:10

hi,

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

Starte den Rechner neu.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu und starte von der CD.

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

kathrin226 · 06.09.2013, 08:26

Danke für die Antwort.
Muss ich davor schon die Datensicherung gemacht haben?

Ich habe beim Download "speichern unter" ausgewählt und dann den Stick.
Trotzdem kommt wieder die Meldung, dass die Datei gelöscht wurde.

Gibt es noch eine Möglichkeit?

Durch einen anderen Laptop, mit dem ich die Datei runterladen und auf den Stick speichern konnte, habe ich zu mindest dies hinbekommen.

FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 05-09-2013
Ran by SYSTEM on MININT-RKTGPFT on 05-09-2013 23:05:51
Running from E:\
Windows 7 Home Premium (X86) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> If the system is bootable FRST could be run from normal or Safe mode to create a complete log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [Apple_KbdMgr] - C:\Program Files\Boot Camp\Bootcamp.exe [526208 2011-08-15] (Apple Inc.)
HKLM\...\Run: [APSDaemon] - C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-04-21] (Apple Inc.)
HKLM\...\Run: [NvCplDaemon] - C:\Windows\system32\NvCpl.dll [13826664 2010-01-05] (NVIDIA Corporation)
HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [347192 2013-09-02] (Avira Operations GmbH & Co. KG)
HKU\Kathrin L\...\Run: [SkyDrive] - C:\Users\Kathrin L\AppData\Local\Microsoft\SkyDrive\SkyDrive.exe [ 2013-08-24] (Microsoft Corporation)
HKU\Kathrin L\...\Run: [Google Update] -  [x]
IMEO\vpnui.exe: [Debugger] "C:\Program Files\TuneUp Utilities 2012\TUAutoReactivator32.exe"
Startup: C:\Users\Kathrin L\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk ->  (No File)

========================== Services (Whitelisted) =================

S2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [84024 2013-09-02] (Avira Operations GmbH & Co. KG)
S2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [108088 2013-09-02] (Avira Operations GmbH & Co. KG)
S2 AppleOSSMgr; C:\Windows\system32\AppleOSSMgr.exe [194432 2011-08-15] ()
S2 AppleTimeSrv; C:\Windows\system32\AppleTimeSrv.exe [99640 2010-01-16] (Apple Inc.)
S2 syshost32; C:\Windows\Installer\{4233D53D-28B6-C211-DD4B-E3C8BCEE8ED1}\syshost.exe [68608 2013-09-05] (Peter Pawlowski)
S2 TGCM_ImportWiFiSvc; C:\Program Files\o2\Mobile Connection Manager\ImpWiFiSvc.exe [201080 2011-06-14] (Telefónica)
S2 TuneUp.UtilitiesSvc; C:\Program Files\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe [1528672 2012-05-29] (TuneUp Software)
S2 *etadpug; "C:\Program Files\Google\Desktop\Install\{c4e37e19-410c-6d6e-18dc-2e6935b6de0a}\   \...\???\{c4e37e19-410c-6d6e-18dc-2e6935b6de0a}\GoogleUpdate.exe" < <==== ATTENTION (ZeroAccess)

==================== Drivers (Whitelisted) ====================

S3 AppleBtBc; C:\Windows\System32\DRIVERS\AppleBtBc.sys [18944 2011-06-28] (Apple Inc.)
S0 AppleHFS; C:\Windows\System32\Drivers\AppleHFS.sys [58200 2011-08-15] (Apple Inc.)
S0 AppleMNT; C:\Windows\System32\Drivers\AppleMNT.sys [15320 2011-08-15] (Apple Inc.)
S3 applemtm; C:\Windows\System32\DRIVERS\applemtm.sys [10880 2011-01-31] (Apple Inc.)
S3 applemtp; C:\Windows\System32\DRIVERS\applemtp.sys [29824 2011-01-31] (Apple Inc.)
S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [88840 2013-09-02] (Avira Operations GmbH & Co. KG)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [136672 2013-09-02] (Avira Operations GmbH & Co. KG)
S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-04-19] (Avira Operations GmbH & Co. KG)
S3 CirrusFilter; C:\Windows\System32\DRIVERS\CS420x86.sys [14336 2010-10-14] (Cirrus Logic)
S0 CLFS; C:\Windows\System32\CLFS.sys [249408 2009-07-14] (Microsoft Corporation)
S3 InputFilter_Hid_FlexDef2b; C:\Windows\System32\DRIVERS\InputFilter_FlexDef2b.sys [14848 2010-06-18] (Siliten)
S3 IRRemoteFlt; C:\Windows\System32\DRIVERS\IRFilter.sys [16512 2009-07-22] (Apple Inc.)
S2 KeyAgent; C:\Windows\system32\drivers\KeyAgent.sys [15064 2011-08-15] (Apple Inc.)
S3 KeyMagic; C:\Windows\System32\DRIVERS\KeyMagic.sys [26624 2011-06-02] (Apple Inc.)
S2 MacHALDriver; C:\Windows\system32\drivers\MacHALDriver.sys [12928 2010-11-11] (Apple Inc.)
S3 RRNetCap; C:\Windows\System32\DRIVERS\rrnetcap.sys [31848 2010-04-28] (RapidSolution Software AG)
S3 RRNetCapMP; C:\Windows\System32\DRIVERS\rrnetcap.sys [31848 2010-04-28] (RapidSolution Software AG)
S1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-04-19] (Avira GmbH)
S3 tbhsd; C:\Windows\System32\drivers\tbhsd.sys [37920 2010-04-28] (RapidSolution Software AG)
S3 TuneUpUtilitiesDrv; C:\Program Files\TuneUp Utilities 2012\TuneUpUtilitiesDriver32.sys [10064 2012-05-08] (TuneUp Software)
S3 dgderdrv; System32\drivers\dgderdrv.sys [x]
S3 F-Secure Standalone Minifilter; \??\C:\Users\KATHRI~1\AppData\Local\Temp\OnlineScanner\Anti-Virus\fsgk.sys [x]
S3 FsUsbExDisk; \??\C:\Windows\system32\FsUsbExDisk.SYS [x]
S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [x]
S3 upperdev; system32\DRIVERS\usbser_lowerflt.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-09-05 22:52 - 2013-09-05 22:53 - 00000000 _____ C:\Users\Kathrin L\Desktop\notepad.txt
2013-09-05 17:51 - 2013-09-05 17:51 - 00000342 _____ C:\Windows\PFRO.log
2013-09-04 13:29 - 2013-09-04 13:32 - 00002496 _____ C:\Windows\logboot_04.09.2013.tureg.log
2013-09-02 00:00 - 2013-09-05 17:51 - 00000168 _____ C:\Windows\setupact.log
2013-08-28 20:46 - 2013-09-05 08:17 - 00000000 ____D C:\Users\Kathrin L\AppData\Local\CrashDumps
2013-08-28 15:06 - 2010-11-04 10:51 - 00085248 _____ (Huawei Technologies Co., Ltd.) C:\Windows\System32\Drivers\ew_jucdcacm.sys
2013-08-28 15:06 - 2010-10-09 07:48 - 00072576 _____ (Huawei Technologies Co., Ltd.) C:\Windows\System32\Drivers\ew_jubusenum.sys
2013-08-28 15:06 - 2010-09-26 11:00 - 00051456 _____ (Huawei Technologies Co., Ltd.) C:\Windows\System32\Drivers\ew_jucdcecm.sys
2013-08-28 15:06 - 2010-09-26 11:00 - 00026496 _____ (Huawei Technologies Co., Ltd.) C:\Windows\System32\Drivers\ew_juextctrl.sys
2013-08-28 15:06 - 2010-09-03 10:35 - 00168960 _____ (Huawei Technologies Co., Ltd.) C:\Windows\System32\Drivers\ew_juwwanecm.sys
2013-08-28 15:05 - 2013-08-28 15:06 - 00000000 ____D C:\Program Files\HUAWEI Modem Driver
2013-08-28 15:05 - 2013-08-28 15:05 - 00000000 ____D C:\Program Files\o2
2013-08-28 15:05 - 2010-08-31 11:09 - 00208896 _____ (Huawei Technologies Co., Ltd.) C:\Windows\System32\Drivers\ewusbnet.sys
2013-08-28 15:05 - 2010-08-07 10:48 - 00106880 _____ (Huawei Technologies Co., Ltd.) C:\Windows\System32\Drivers\ewusbmdm.sys
2013-08-28 15:05 - 2010-07-27 02:52 - 00102784 _____ (Huawei Technologies Co., Ltd.) C:\Windows\System32\Drivers\ew_hwusbdev.sys
2013-08-28 15:05 - 2010-05-10 07:18 - 00860928 _____ (DiBcom SA) C:\Windows\System32\Drivers\mod7700.sys
2013-08-28 15:05 - 2010-03-20 05:06 - 00011136 _____ (Huawei Technologies Co., Ltd.) C:\Windows\System32\Drivers\ew_usbenumfilter.sys
2013-08-28 15:05 - 2010-01-18 11:48 - 00027136 _____ (Huawei Tech. Co., Ltd.) C:\Windows\System32\Drivers\ewdcsc.sys
2013-08-28 14:59 - 2013-08-28 14:59 - 00000000 ____D C:\Users\Kathrin L\AppData\Roaming\Telefónica
2013-08-28 14:58 - 2013-08-28 14:58 - 00000000 ____H C:\Windows\System32\Drivers\Msft_Kernel_ew_jubusenum_01007.Wdf
2013-08-28 14:58 - 2013-08-28 14:58 - 00000000 ____D C:\Users\Kathrin L\AppData\Roaming\TGCMLog
2013-08-28 14:58 - 2008-03-27 09:49 - 01112288 _____ (Microsoft Corporation) C:\Windows\System32\WdfCoInstaller01007.dll
2013-08-28 14:58 - 2008-03-27 09:49 - 01112288 _____ (Microsoft Corporation) C:\Windows\System32\Drivers\WdfCoInstaller01007.dll
2013-08-27 13:01 - 2013-08-27 13:01 - 00000000 ____D C:\Program Files\Common Files\Adobe
2013-08-27 12:11 - 2013-08-27 12:11 - 00000000 ____D C:\Users\Kathrin L\AppData\Local\Macromedia
2013-08-26 21:50 - 2013-08-26 21:50 - 00000000 ____D C:\Program Files\StreamTransport
2013-08-26 21:50 - 2009-10-27 18:31 - 03982240 _____ (Adobe Systems, Inc.) C:\Windows\System32\Flash10d.ocx
2013-08-26 20:32 - 2013-08-26 20:32 - 00000000 ___HD C:\Users\Kathrin L\Documents\StreamTransport
2013-08-23 10:09 - 2013-09-05 17:59 - 00000000 ___RD C:\Users\Kathrin L\SkyDrive
2013-08-23 10:09 - 2013-08-23 10:09 - 00000000 ____D C:\Program Files\Microsoft SkyDrive
2013-08-23 10:08 - 2013-08-23 10:08 - 00000000 ____D C:\ProgramData\Microsoft SkyDrive
2013-08-20 20:02 - 2013-08-20 20:02 - 00000000 ____D C:\Users\Kathrin L\AppData\Roaming\Mozilla
2013-08-20 20:02 - 2013-08-20 20:02 - 00000000 ____D C:\Users\Kathrin L\AppData\Local\Mozilla
2013-08-20 20:02 - 2013-08-20 20:02 - 00000000 ____D C:\ProgramData\Mozilla
2013-08-20 20:02 - 2013-08-20 20:02 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-08-20 20:02 - 2013-08-20 20:02 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-08-20 18:39 - 2013-08-20 18:39 - 00000000 ____D C:\Users\Kathrin L\AppData\Roaming\Corel
2013-08-20 18:33 - 2013-08-20 18:33 - 00000000 ___HD C:\Users\Kathrin L\Documents\Corel PaintShop Pro
2013-08-20 18:33 - 2013-08-20 18:33 - 00000000 ____D C:\Users\Kathrin L\AppData\Local\Corel PaintShop Pro
2013-08-20 18:31 - 2013-08-20 19:02 - 00000000 ____D C:\ProgramData\Corel
2013-08-20 18:31 - 2013-08-20 18:31 - 00000000 ____D C:\Program Files\Common Files\Protexis
2013-08-20 18:21 - 2013-08-20 18:21 - 00000000 ____D C:\Program Files\Corel
2013-08-20 18:21 - 2007-10-22 02:39 - 00267272 _____ (Microsoft Corporation) C:\Windows\System32\xactengine2_10.dll
2013-08-20 18:21 - 2007-10-22 02:37 - 00017928 _____ (Microsoft Corporation) C:\Windows\System32\X3DAudio1_2.dll
2013-08-20 18:21 - 2007-10-12 14:14 - 03734536 _____ (Microsoft Corporation) C:\Windows\System32\d3dx9_36.dll
2013-08-20 18:21 - 2007-10-12 14:14 - 01374232 _____ (Microsoft Corporation) C:\Windows\System32\D3DCompiler_36.dll
2013-08-20 18:21 - 2007-10-02 08:56 - 00444776 _____ (Microsoft Corporation) C:\Windows\System32\d3dx10_36.dll
2013-08-20 18:21 - 2007-07-19 23:57 - 00267112 _____ (Microsoft Corporation) C:\Windows\System32\xactengine2_9.dll
2013-08-20 18:21 - 2007-07-19 17:14 - 03727720 _____ (Microsoft Corporation) C:\Windows\System32\d3dx9_35.dll
2013-08-20 18:21 - 2007-07-19 17:14 - 01358192 _____ (Microsoft Corporation) C:\Windows\System32\D3DCompiler_35.dll
2013-08-20 18:21 - 2007-07-19 17:14 - 00444776 _____ (Microsoft Corporation) C:\Windows\System32\d3dx10_35.dll
2013-08-20 18:21 - 2007-06-20 19:46 - 00266088 _____ (Microsoft Corporation) C:\Windows\System32\xactengine2_8.dll
2013-08-20 18:21 - 2007-05-16 15:45 - 03497832 _____ (Microsoft Corporation) C:\Windows\System32\d3dx9_34.dll
2013-08-20 18:21 - 2007-05-16 15:45 - 01124720 _____ (Microsoft Corporation) C:\Windows\System32\D3DCompiler_34.dll
2013-08-20 18:21 - 2007-05-16 15:45 - 00443752 _____ (Microsoft Corporation) C:\Windows\System32\d3dx10_34.dll
2013-08-20 18:21 - 2007-04-04 17:55 - 00261480 _____ (Microsoft Corporation) C:\Windows\System32\xactengine2_7.dll
2013-08-20 18:21 - 2007-04-04 17:53 - 00081768 _____ (Microsoft Corporation) C:\Windows\System32\xinput1_3.dll
2013-08-20 18:21 - 2007-03-15 15:57 - 00443752 _____ (Microsoft Corporation) C:\Windows\System32\d3dx10_33.dll
2013-08-20 18:21 - 2007-03-12 15:42 - 03495784 _____ (Microsoft Corporation) C:\Windows\System32\d3dx9_33.dll
2013-08-20 18:21 - 2007-03-12 15:42 - 01123696 _____ (Microsoft Corporation) C:\Windows\System32\D3DCompiler_33.dll
2013-08-20 18:21 - 2007-03-05 11:42 - 00015128 _____ (Microsoft Corporation) C:\Windows\System32\x3daudio1_1.dll
2013-08-20 18:21 - 2007-01-24 14:27 - 00255848 _____ (Microsoft Corporation) C:\Windows\System32\xactengine2_6.dll
2013-08-20 18:21 - 2006-12-08 11:02 - 00251672 _____ (Microsoft Corporation) C:\Windows\System32\xactengine2_5.dll
2013-08-20 18:21 - 2006-11-29 12:06 - 00440080 _____ (Microsoft Corporation) C:\Windows\System32\d3dx10.dll
2013-08-20 18:21 - 2006-09-28 15:05 - 02414360 _____ (Microsoft Corporation) C:\Windows\System32\d3dx9_31.dll
2013-08-20 18:21 - 2006-09-28 15:05 - 00237848 _____ (Microsoft Corporation) C:\Windows\System32\xactengine2_4.dll
2013-08-20 18:21 - 2006-07-28 08:30 - 00236824 _____ (Microsoft Corporation) C:\Windows\System32\xactengine2_3.dll
2013-08-20 18:21 - 2006-07-28 08:30 - 00062744 _____ (Microsoft Corporation) C:\Windows\System32\xinput1_2.dll
2013-08-20 18:21 - 2006-05-31 06:24 - 00230168 _____ (Microsoft Corporation) C:\Windows\System32\xactengine2_2.dll
2013-08-20 18:21 - 2006-03-31 11:39 - 00229584 _____ (Microsoft Corporation) C:\Windows\System32\xactengine2_1.dll
2013-08-20 18:21 - 2006-03-31 11:39 - 00062672 _____ (Microsoft Corporation) C:\Windows\System32\xinput1_1.dll
2013-08-20 18:20 - 2006-03-31 11:40 - 02388176 _____ (Microsoft Corporation) C:\Windows\System32\d3dx9_30.dll
2013-08-20 18:20 - 2006-02-03 07:43 - 02332368 _____ (Microsoft Corporation) C:\Windows\System32\d3dx9_29.dll
2013-08-20 18:20 - 2006-02-03 07:42 - 00230096 _____ (Microsoft Corporation) C:\Windows\System32\xactengine2_0.dll
2013-08-20 18:20 - 2006-02-03 07:41 - 00014032 _____ (Microsoft Corporation) C:\Windows\System32\x3daudio1_0.dll
2013-08-20 18:20 - 2005-12-05 17:09 - 02323664 _____ (Microsoft Corporation) C:\Windows\System32\d3dx9_28.dll
2013-08-20 18:20 - 2005-07-22 18:59 - 02319568 _____ (Microsoft Corporation) C:\Windows\System32\d3dx9_27.dll
2013-08-20 18:20 - 2005-05-26 14:34 - 02297552 _____ (Microsoft Corporation) C:\Windows\System32\d3dx9_26.dll
2013-08-20 18:20 - 2005-03-18 16:19 - 02337488 _____ (Microsoft Corporation) C:\Windows\System32\d3dx9_25.dll
2013-08-20 18:20 - 2005-02-05 18:45 - 02222800 _____ (Microsoft Corporation) C:\Windows\System32\d3dx9_24.dll
2013-08-19 09:13 - 2013-09-01 12:56 - 00000000 ____D C:\Windows\Minidump
2013-08-19 09:09 - 2013-08-19 09:09 - 00000000 ____D C:\Program Files\MSXML 4.0
2013-08-17 19:02 - 2013-08-17 19:02 - 00000000 ____D C:\Users\Kathrin L\AppData\Roaming\Nikon
2013-08-17 19:02 - 2013-08-17 19:02 - 00000000 ____D C:\Users\Kathrin L\AppData\Local\Nikon
2013-08-17 18:37 - 2013-08-17 18:37 - 00000000 ____D C:\ProgramData\Nikon
2013-08-17 18:27 - 2013-08-17 18:31 - 00000000 ____D C:\Program Files\Common Files\Nikon
2013-08-17 18:27 - 2013-08-17 18:26 - 00106496 _____ (Microsoft Corporation) C:\Windows\System32\ATL71.DLL
2013-08-17 18:26 - 2013-08-19 17:12 - 00000000 ____D C:\Program Files\Nikon
2013-08-17 18:26 - 2013-08-19 13:16 - 00000020 ____H C:\ProgramData\PKP_DLes.DAT
2013-08-17 18:26 - 2013-08-17 19:02 - 00000020 ____H C:\ProgramData\PKP_DLet.DAT
2013-08-17 18:26 - 2013-08-17 18:26 - 00000268 ___RH C:\Users\Kathrin L\AppData\Roaming\Nature Sounds
2013-08-17 18:26 - 2013-08-17 18:26 - 00000268 ___RH C:\Users\Kathrin L\AppData\Roaming\Nature
2013-08-17 18:26 - 2013-08-17 18:26 - 00000268 ___RH C:\Users\Kathrin L\AppData\Roaming\Multipressor
2013-08-17 18:26 - 2013-08-17 18:26 - 00000268 ___RH C:\ProgramData\Organs
2013-08-17 18:26 - 2013-08-17 18:26 - 00000268 ___RH C:\ProgramData\Organic
2013-08-17 18:26 - 2013-08-17 18:26 - 00000268 ___RH C:\ProgramData\Noise Gate
2013-08-17 18:26 - 2013-08-17 18:26 - 00000020 ____H C:\ProgramData\PKP_DLev.DAT
2013-08-17 18:26 - 2013-08-17 18:26 - 00000012 ___RH C:\ProgramData\Pipe Organ
2013-08-17 18:26 - 2013-08-17 18:26 - 00000012 ___RH C:\ProgramData\Pianos and Keyboards
2013-08-17 18:26 - 2013-08-17 18:26 - 00000012 ___RH C:\ProgramData\Piano Hard
2013-08-17 18:26 - 2013-08-17 18:26 - 00000000 ____D C:\ProgramData\Ultima_T15
2013-08-17 18:26 - 2013-08-17 18:26 - 00000000 ____D C:\ProgramData\EnterNHelp
2013-08-15 08:04 - 2013-08-15 08:08 - 00000000 ____D C:\Windows\System32\MRT
2013-08-15 07:50 - 2013-07-26 04:13 - 01767936 _____ (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-08-15 07:50 - 2013-07-26 04:13 - 01141248 _____ (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-08-15 07:50 - 2013-07-26 04:13 - 00042496 _____ (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe
2013-08-15 07:50 - 2013-07-26 04:12 - 14329344 _____ (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-08-15 07:50 - 2013-07-26 04:12 - 02877440 _____ (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-08-15 07:50 - 2013-07-26 04:12 - 02048512 _____ (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-08-15 07:50 - 2013-07-26 04:12 - 00690688 _____ (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-08-15 07:50 - 2013-07-26 04:12 - 00493056 _____ (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-08-15 07:50 - 2013-07-26 04:12 - 00391168 _____ (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-08-15 07:50 - 2013-07-26 04:12 - 00109056 _____ (Microsoft Corporation) C:\Windows\System32\iesysprep.dll
2013-08-15 07:50 - 2013-07-26 04:12 - 00061440 _____ (Microsoft Corporation) C:\Windows\System32\iesetup.dll
2013-08-15 07:50 - 2013-07-26 04:12 - 00039936 _____ (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-08-15 07:50 - 2013-07-26 04:11 - 13761024 _____ (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-08-15 07:50 - 2013-07-26 04:11 - 00033280 _____ (Microsoft Corporation) C:\Windows\System32\iernonce.dll
2013-08-15 07:50 - 2013-07-26 03:49 - 02706432 _____ (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-08-15 07:50 - 2013-07-26 02:59 - 00071680 _____ (Microsoft Corporation) C:\Windows\System32\RegisterIEPKEYs.exe
2013-08-14 19:04 - 2013-07-09 06:03 - 03968960 _____ (Microsoft Corporation) C:\Windows\System32\ntkrnlpa.exe
2013-08-14 19:04 - 2013-07-09 06:03 - 03913664 _____ (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2013-08-14 19:04 - 2013-07-09 05:53 - 01289096 _____ (Microsoft Corporation) C:\Windows\System32\ntdll.dll
2013-08-14 19:04 - 2013-07-09 05:52 - 00175104 _____ (Microsoft Corporation) C:\Windows\System32\wintrust.dll
2013-08-14 19:04 - 2013-07-09 05:50 - 00652800 _____ (Microsoft Corporation) C:\Windows\System32\rpcrt4.dll
2013-08-14 19:04 - 2013-07-09 05:46 - 01166848 _____ (Microsoft Corporation) C:\Windows\System32\crypt32.dll
2013-08-14 19:04 - 2013-07-09 05:46 - 00140288 _____ (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll
2013-08-14 19:04 - 2013-07-09 05:46 - 00103936 _____ (Microsoft Corporation) C:\Windows\System32\cryptnet.dll
2013-08-14 19:03 - 2013-07-25 09:57 - 01620992 _____ (Microsoft Corporation) C:\Windows\System32\WMVDECOD.DLL
2013-08-14 19:03 - 2013-07-19 02:41 - 00002048 _____ (Microsoft Corporation) C:\Windows\System32\tzres.dll
2013-08-14 19:03 - 2013-07-06 06:05 - 01293760 _____ (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys
2013-08-14 19:03 - 2013-06-15 04:38 - 00031232 _____ (Microsoft Corporation) C:\Windows\System32\Drivers\tssecsrv.sys
2013-08-06 21:08 - 2013-08-06 21:09 - 145394418 _____ C:\Users\Kathrin L\AppData\Local\ACCCx189.zip.aamdownload
2013-08-06 21:08 - 2013-08-06 21:09 - 00001811 _____ C:\Users\Kathrin L\AppData\Local\ACCCx189.zip.aamdownload.aamd
2013-08-06 20:12 - 2013-08-06 20:12 - 00000000 ____D C:\Users\Kathrin L\AppData\Local\FreeOCR
2013-08-06 20:07 - 2007-03-10 08:11 - 02680320 _____ (HiComponents) C:\Windows\System32\ImageEnXLibrary.ocx
2013-08-06 15:38 - 2013-08-06 15:39 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-08-06 15:38 - 2013-08-06 15:39 - 00000000 ____D C:\Program Files\iTunes
2013-08-06 15:38 - 2013-08-06 15:38 - 00000000 ____D C:\Program Files\iPod
2013-08-06 15:25 - 2013-08-06 15:26 - 00000000 ____D C:\Program Files\QuickTime

==================== One Month Modified Files and Folders =======

2013-09-05 23:05 - 2013-09-05 23:05 - 00000000 ____D C:\FRST
2013-09-05 22:53 - 2013-09-05 22:52 - 00000000 _____ C:\Users\Kathrin L\Desktop\notepad.txt
2013-09-05 21:48 - 2010-05-05 18:25 - 01974417 _____ C:\Windows\WindowsUpdate.log
2013-09-05 20:51 - 2011-11-24 19:51 - 00000000 ___RD C:\Users\Kathrin L\Dropbox
2013-09-05 20:51 - 2011-11-24 19:48 - 00000000 ____D C:\Users\Kathrin L\AppData\Roaming\Dropbox
2013-09-05 20:44 - 2010-05-05 20:36 - 01507312 _____ C:\Windows\System32\PerfStringBackup.INI
2013-09-05 18:02 - 2009-07-14 05:34 - 00015008 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-09-05 18:02 - 2009-07-14 05:34 - 00015008 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-09-05 17:59 - 2013-08-23 10:09 - 00000000 ___RD C:\Users\Kathrin L\SkyDrive
2013-09-05 17:51 - 2013-09-05 17:51 - 00000342 _____ C:\Windows\PFRO.log
2013-09-05 17:51 - 2013-09-02 00:00 - 00000168 _____ C:\Windows\setupact.log
2013-09-05 12:50 - 2010-05-05 21:19 - 00000000 ____D C:\Program Files\Google
2013-09-05 12:49 - 2010-05-05 21:19 - 00000000 ____D C:\Users\Kathrin L\AppData\Local\Google
2013-09-05 08:17 - 2013-08-28 20:46 - 00000000 ____D C:\Users\Kathrin L\AppData\Local\CrashDumps
2013-09-04 13:36 - 2010-05-05 20:34 - 00000000 ____D C:\users\Kathrin L
2013-09-04 13:32 - 2013-09-04 13:29 - 00002496 _____ C:\Windows\logboot_04.09.2013.tureg.log
2013-09-04 13:32 - 2009-07-14 03:03 - 47710208 _____ C:\Windows\System32\config\SOFTWARE_tureg_old
2013-09-04 13:32 - 2009-07-14 03:03 - 19136512 _____ C:\Windows\System32\config\SYSTEM_tureg_old
2013-09-04 13:32 - 2009-07-14 03:03 - 00024576 _____ C:\Windows\System32\config\SECURITY_tureg_old
2013-09-04 11:18 - 2009-07-14 03:03 - 00262144 _____ C:\Windows\System32\config\DEFAULT_tureg_old
2013-09-04 11:18 - 2009-07-14 03:03 - 00024576 _____ C:\Windows\System32\config\SAM_tureg_old
2013-09-04 08:38 - 2009-07-14 03:03 - 34340864 _____ C:\Windows\System32\config\COMPONENTS_tureg_old
2013-09-02 15:20 - 2013-06-17 14:24 - 00000000 ____D C:\Users\Kathrin L\Documents\Uni
2013-09-02 13:50 - 2013-05-06 12:20 - 00066144 _____ (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avnetflt.sys
2013-09-02 13:50 - 2013-04-19 09:14 - 00136672 _____ (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avipbb.sys
2013-09-02 13:50 - 2013-04-19 09:14 - 00088840 _____ (Avira Operations GmbH & Co. KG) C:\Windows\System32\Drivers\avgntflt.sys
2013-09-01 12:56 - 2013-08-19 09:13 - 00000000 ____D C:\Windows\Minidump
2013-08-31 16:24 - 2010-05-06 18:34 - 00000000 ____D C:\ProgramData\Adobe
2013-08-28 20:46 - 2013-06-17 14:20 - 00000000 ____D C:\Users\Kathrin L\Documents\Privat
2013-08-28 15:06 - 2013-08-28 15:05 - 00000000 ____D C:\Program Files\HUAWEI Modem Driver
2013-08-28 15:05 - 2013-08-28 15:05 - 00000000 ____D C:\Program Files\o2
2013-08-28 14:59 - 2013-08-28 14:59 - 00000000 ____D C:\Users\Kathrin L\AppData\Roaming\Telefónica
2013-08-28 14:58 - 2013-08-28 14:58 - 00000000 ____H C:\Windows\System32\Drivers\Msft_Kernel_ew_jubusenum_01007.Wdf
2013-08-28 14:58 - 2013-08-28 14:58 - 00000000 ____D C:\Users\Kathrin L\AppData\Roaming\TGCMLog
2013-08-27 13:37 - 2010-05-05 21:20 - 00000000 ____D C:\Users\Kathrin L\AppData\Roaming\Adobe
2013-08-27 13:01 - 2013-08-27 13:01 - 00000000 ____D C:\Program Files\Common Files\Adobe
2013-08-27 13:01 - 2012-05-17 21:58 - 00000000 ____D C:\Program Files\Adobe
2013-08-27 13:00 - 2010-05-06 18:31 - 00000000 ____D C:\Users\Kathrin L\AppData\Local\Adobe
2013-08-27 12:31 - 2013-04-19 09:03 - 00692104 _____ (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2013-08-27 12:31 - 2012-01-06 20:22 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2013-08-27 12:11 - 2013-08-27 12:11 - 00000000 ____D C:\Users\Kathrin L\AppData\Local\Macromedia
2013-08-26 21:50 - 2013-08-26 21:50 - 00000000 ____D C:\Program Files\StreamTransport
2013-08-26 20:32 - 2013-08-26 20:32 - 00000000 ___HD C:\Users\Kathrin L\Documents\StreamTransport
2013-08-26 20:32 - 2013-01-29 11:13 - 00000000 ____D C:\Users\Kathrin L\AppData\Roaming\vlc
2013-08-23 22:20 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\rescache
2013-08-23 10:09 - 2013-08-23 10:09 - 00000000 ____D C:\Program Files\Microsoft SkyDrive
2013-08-23 10:08 - 2013-08-23 10:08 - 00000000 ____D C:\ProgramData\Microsoft SkyDrive
2013-08-20 20:02 - 2013-08-20 20:02 - 00000000 ____D C:\Users\Kathrin L\AppData\Roaming\Mozilla
2013-08-20 20:02 - 2013-08-20 20:02 - 00000000 ____D C:\Users\Kathrin L\AppData\Local\Mozilla
2013-08-20 20:02 - 2013-08-20 20:02 - 00000000 ____D C:\ProgramData\Mozilla
2013-08-20 20:02 - 2013-08-20 20:02 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-08-20 20:02 - 2013-08-20 20:02 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-08-20 19:02 - 2013-08-20 18:31 - 00000000 ____D C:\ProgramData\Corel
2013-08-20 18:39 - 2013-08-20 18:39 - 00000000 ____D C:\Users\Kathrin L\AppData\Roaming\Corel
2013-08-20 18:33 - 2013-08-20 18:33 - 00000000 ___HD C:\Users\Kathrin L\Documents\Corel PaintShop Pro
2013-08-20 18:33 - 2013-08-20 18:33 - 00000000 ____D C:\Users\Kathrin L\AppData\Local\Corel PaintShop Pro
2013-08-20 18:33 - 2010-05-07 12:18 - 00000000 ____D C:\Users\Kathrin L\AppData\Roaming\Ulead Systems
2013-08-20 18:31 - 2013-08-20 18:31 - 00000000 ____D C:\Program Files\Common Files\Protexis
2013-08-20 18:21 - 2013-08-20 18:21 - 00000000 ____D C:\Program Files\Corel
2013-08-20 18:20 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-08-19 17:12 - 2013-08-17 18:26 - 00000000 ____D C:\Program Files\Nikon
2013-08-19 17:12 - 2010-05-05 21:15 - 00000000 ___HD C:\Program Files\InstallShield Installation Information
2013-08-19 17:09 - 2013-07-31 10:46 - 00000000 ____D C:\Users\Kathrin L\AppData\Roaming\FileZilla
2013-08-19 15:52 - 2009-07-14 03:37 - 00000000 ___RD C:\users\Public
2013-08-19 13:16 - 2013-08-17 18:26 - 00000020 ____H C:\ProgramData\PKP_DLes.DAT
2013-08-19 12:49 - 2013-05-22 16:32 - 00000000 ____D C:\Users\Kathrin L\AppData\Local\Windows Live
2013-08-19 09:09 - 2013-08-19 09:09 - 00000000 ____D C:\Program Files\MSXML 4.0
2013-08-17 19:02 - 2013-08-17 19:02 - 00000000 ____D C:\Users\Kathrin L\AppData\Roaming\Nikon
2013-08-17 19:02 - 2013-08-17 19:02 - 00000000 ____D C:\Users\Kathrin L\AppData\Local\Nikon
2013-08-17 19:02 - 2013-08-17 18:26 - 00000020 ____H C:\ProgramData\PKP_DLet.DAT
2013-08-17 18:37 - 2013-08-17 18:37 - 00000000 ____D C:\ProgramData\Nikon
2013-08-17 18:31 - 2013-08-17 18:27 - 00000000 ____D C:\Program Files\Common Files\Nikon
2013-08-17 18:26 - 2013-08-17 18:27 - 00106496 _____ (Microsoft Corporation) C:\Windows\System32\ATL71.DLL
2013-08-17 18:26 - 2013-08-17 18:26 - 00000268 ___RH C:\Users\Kathrin L\AppData\Roaming\Nature Sounds
2013-08-17 18:26 - 2013-08-17 18:26 - 00000268 ___RH C:\Users\Kathrin L\AppData\Roaming\Nature
2013-08-17 18:26 - 2013-08-17 18:26 - 00000268 ___RH C:\Users\Kathrin L\AppData\Roaming\Multipressor
2013-08-17 18:26 - 2013-08-17 18:26 - 00000268 ___RH C:\ProgramData\Organs
2013-08-17 18:26 - 2013-08-17 18:26 - 00000268 ___RH C:\ProgramData\Organic
2013-08-17 18:26 - 2013-08-17 18:26 - 00000268 ___RH C:\ProgramData\Noise Gate
2013-08-17 18:26 - 2013-08-17 18:26 - 00000020 ____H C:\ProgramData\PKP_DLev.DAT
2013-08-17 18:26 - 2013-08-17 18:26 - 00000012 ___RH C:\ProgramData\Pipe Organ
2013-08-17 18:26 - 2013-08-17 18:26 - 00000012 ___RH C:\ProgramData\Pianos and Keyboards
2013-08-17 18:26 - 2013-08-17 18:26 - 00000012 ___RH C:\ProgramData\Piano Hard
2013-08-17 18:26 - 2013-08-17 18:26 - 00000000 ____D C:\ProgramData\Ultima_T15
2013-08-17 18:26 - 2013-08-17 18:26 - 00000000 ____D C:\ProgramData\EnterNHelp
2013-08-15 08:27 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\de-DE
2013-08-15 08:08 - 2013-08-15 08:04 - 00000000 ____D C:\Windows\System32\MRT
2013-08-15 08:04 - 2010-05-06 15:32 - 75778376 _____ (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-08-15 08:03 - 2010-05-06 10:00 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-08-06 21:09 - 2013-08-06 21:08 - 145394418 _____ C:\Users\Kathrin L\AppData\Local\ACCCx189.zip.aamdownload
2013-08-06 21:09 - 2013-08-06 21:08 - 00001811 _____ C:\Users\Kathrin L\AppData\Local\ACCCx189.zip.aamdownload.aamd
2013-08-06 20:12 - 2013-08-06 20:12 - 00000000 ____D C:\Users\Kathrin L\AppData\Local\FreeOCR
2013-08-06 15:39 - 2013-08-06 15:38 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-08-06 15:39 - 2013-08-06 15:38 - 00000000 ____D C:\Program Files\iTunes
2013-08-06 15:38 - 2013-08-06 15:38 - 00000000 ____D C:\Program Files\iPod
2013-08-06 15:38 - 2010-05-06 10:47 - 00000000 ____D C:\Program Files\Common Files\Apple
2013-08-06 15:26 - 2013-08-06 15:25 - 00000000 ____D C:\Program Files\QuickTime

Files to move or delete:
====================
ZeroAccess:
C:\Users\Kathrin L\AppData\Local\Google\Desktop\Install\{c4e37e19-410c-6d6e-18dc-2e6935b6de0a}
ZeroAccess:
C:\Program Files\Google\Desktop\Install\{c4e37e19-410c-6d6e-18dc-2e6935b6de0a}

==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
C:\Program Files\Windows Defender\mpsvc.dll => ATTENTION: ZeroAccess. Use DeleteJunctionsIndirectory: C:\Program Files\Windows Defender

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-09-05 19:19:53

==================== Memory info =========================== 

Percentage of memory in use: 21%
Total physical RAM: 1766.71 MB
Available physical RAM: 1382.42 MB
Total Pagefile: 1766.71 MB
Available Pagefile: 1386.2 MB
Total Virtual: 2047.88 MB
Available Virtual: 1944.7 MB

==================== Drives ================================

Drive c: (BOOTCAMP) (Fixed) (Total:101.96 GB) (Free:36.24 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive e: () (Removable) (Total:3.74 GB) (Free:3.73 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 149 GB) (Disk ID: 00005A36)

Partition: GPT Partition TypePartition 2: (Not Active) - (Size=46 GB) - (Type=AF)
Partition 3: (Not Active) - (Size=620 MB) - (Type=AB)
Partition 4: (Active) - (Size=102 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 4 GB) (Disk ID: 00000000)
Partition 1: (Not Active) - (Size=4 GB) - (Type=0B)


LastRegBack: 2013-08-31 23:59

==================== End Of Log ============================

--- --- ---

--- --- ---

--- --- ---

--- --- ---
.

Danke :-)

zu mindest hat dies geklappt!

schrauber · 06.09.2013, 10:03

Drücke bitte die

+ R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

HKU\Kathrin L\...\Run: [Google Update] -  [x]
S2 *etadpug; "C:\Program Files\Google\Desktop\Install\{c4e37e19-410c-6d6e-18dc-2e6935b6de0a}\   \...\???\{c4e37e19-410c-6d6e-18dc-2e6935b6de0a}\GoogleUpdate.exe" < <==== ATTENTION (ZeroAccess)
ZeroAccess:
C:\Users\Kathrin L\AppData\Local\Google\Desktop\Install\{c4e37e19-410c-6d6e-18dc-2e6935b6de0a}
ZeroAccess:
C:\Program Files\Google\Desktop\Install\{c4e37e19-410c-6d6e-18dc-2e6935b6de0a}
DeleteJunctionsIndirectory: C:\Program Files\Windows Defender

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Kannst den Rechner normal starten`?

kathrin226 · 06.09.2013, 13:22

Danke, wollte ich gerade versuchen, nur kann ich dem Laptop nicht mehr unter Windows starten, komme vom Mac auch nicht wieder rüber in Windows.
Auch mit Tastenkombinationen beim Start komme ich nicht weiter.

Ich überlege nun die Partition von Windows über Mac zu löschen, dann müsste der Trojaner mitgelöscht sein?
Dann OS X Mountain Lion auch neu drauf machen, damit wirklich alles gelöscht ist und dann Windows neu draufspielen!?

Denn ich habe es nun zwei Stunden versucht, aber komme nicht mehr in Windows rein, wir unter Mac nun zwar noch als Neustart Alternative angezeigt, wenn ich neu draufklicke tut sich nichts.

Viele Grüße,
Kathrin

schrauber · 06.09.2013, 17:35

Poste zuerst bitte ein neues FRST log aus der Recovery wenn möglich.

kathrin226 · 09.09.2013, 13:27

Danke, mache ich.
Muss nur warten, bis mir meine Windows 7 von meinem Semesterwohnort zum Wohnort meiner Eltern, wo ich zur Zeit bin geschickt wird.
Melde mich dann wieder :-).

schrauber · 09.09.2013, 17:24

ok

kathrin226 · 10.09.2013, 10:35

Nun endlich der Code ...
Ist alles ok damit?
Kann ich nun alles wieder drauf installieren?
Danke :-)

FRST Logfile:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 09-09-2013 01
Ran by SYSTEM on MININT-QLM9DU0 on 10-09-2013 09:31:31
Running from F:\
Windows 7 Home Premium (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> If the system is bootable FRST could be run from normal or Safe mode to create a complete log.

==================== Registry (Whitelisted) ==================


========================== Services (Whitelisted) =================


==================== Drivers (Whitelisted) ====================

S0 CLFS; C:\Windows\System32\CLFS.sys [249408 2009-07-14] (Microsoft Corporation)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-09-10 08:24 - 2013-09-10 08:24 - 00008192 __RSH C:\BOOTSECT.BAK
2013-09-10 08:24 - 2013-09-10 07:53 - 00000000 ____D C:\Windows\Panther
2013-09-10 08:24 - 2009-07-14 02:38 - 00383562 __RSH C:\bootmgr
2013-09-10 08:01 - 2013-08-07 03:22 - 00238872 ____N (Microsoft Corporation) C:\Windows\System32\MpSigStub.exe
2013-09-10 08:00 - 2012-02-15 06:44 - 00826368 _____ (Microsoft Corporation) C:\Windows\System32\rdpcore.dll
2013-09-10 08:00 - 2012-02-15 05:22 - 00177152 _____ (Microsoft Corporation) C:\Windows\System32\Drivers\rdpwd.sys
2013-09-10 08:00 - 2012-02-15 05:22 - 00024064 _____ (Microsoft Corporation) C:\Windows\System32\Drivers\tdtcp.sys
2013-09-10 08:00 - 2010-01-09 07:52 - 00132608 _____ (Microsoft Corporation) C:\Windows\System32\cabview.dll
2013-09-10 07:54 - 2013-09-10 07:54 - 00000000 ____D C:\Users\Kathrin L\AppData\Local\VirtualStore
2013-09-10 07:54 - 2012-06-02 23:19 - 01933848 _____ (Microsoft Corporation) C:\Windows\System32\wuaueng.dll
2013-09-10 07:54 - 2012-06-02 23:19 - 00577048 _____ (Microsoft Corporation) C:\Windows\System32\wuapi.dll
2013-09-10 07:54 - 2012-06-02 23:19 - 00053784 _____ (Microsoft Corporation) C:\Windows\System32\wuauclt.exe
2013-09-10 07:54 - 2012-06-02 23:19 - 00045080 _____ (Microsoft Corporation) C:\Windows\System32\wups2.dll
2013-09-10 07:54 - 2012-06-02 23:19 - 00035864 _____ (Microsoft Corporation) C:\Windows\System32\wups.dll
2013-09-10 07:54 - 2012-06-02 23:12 - 02422272 _____ (Microsoft Corporation) C:\Windows\System32\wucltux.dll
2013-09-10 07:54 - 2012-06-02 23:12 - 00088576 _____ (Microsoft Corporation) C:\Windows\System32\wudriver.dll
2013-09-10 07:54 - 2012-06-02 14:19 - 00171904 _____ (Microsoft Corporation) C:\Windows\System32\wuwebv.dll
2013-09-10 07:54 - 2012-06-02 14:12 - 00033792 _____ (Microsoft Corporation) C:\Windows\System32\wuapp.exe
2013-09-10 07:53 - 2013-09-10 07:54 - 00000000 ____D C:\users\Kathrin L
2013-09-10 07:53 - 2013-09-10 07:53 - 00000020 ___SH C:\Users\Kathrin L\ntuser.ini
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Public\Documents\Eigene Musik
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Public\Documents\Eigene Bilder
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Kathrin L\Startmenü
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Kathrin L\Netzwerkumgebung
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Kathrin L\Druckumgebung
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Kathrin L\Documents\Eigene Musik
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Kathrin L\Documents\Eigene Bilder
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Kathrin L\AppData\Local\Verlauf
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Default\Startmenü
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Default\Netzwerkumgebung
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Default\Druckumgebung
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Default\Documents\Eigene Musik
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Default\Documents\Eigene Bilder
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Default\AppData\Local\Verlauf
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Default User\Documents\Eigene Musik
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Default User\Documents\Eigene Bilder
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Default User\AppData\Local\Verlauf
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Programme
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\ProgramData\Startmenü
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\ProgramData\Dokumente
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 __SHD C:\Recovery
2013-09-10 07:44 - 2013-09-10 07:44 - 01472002 _____ C:\Windows\System32\PerfStringBackup.INI
2013-09-10 07:28 - 2013-09-10 08:04 - 00340474 _____ C:\Windows\WindowsUpdate.log
2013-09-10 07:28 - 2013-09-10 07:28 - 00000000 ____H C:\Windows\System32\Drivers\Msft_User_WpdFs_01_09_00.Wdf
2013-09-10 07:26 - 2013-09-10 07:30 - 00001313 _____ C:\Windows\TSSysprep.log

==================== One Month Modified Files and Folders =======

2013-09-10 08:24 - 2013-09-10 08:24 - 00008192 __RSH C:\BOOTSECT.BAK
2013-09-10 08:24 - 2009-07-14 05:57 - 00025600 ___SH C:\Windows\System32\config\BCD-Template.LOG
2013-09-10 08:24 - 2009-07-14 05:52 - 00028672 _____ C:\Windows\System32\config\BCD-Template
2013-09-10 08:22 - 2009-07-14 05:39 - 00017307 _____ C:\Windows\setupact.log
2013-09-10 08:04 - 2013-09-10 07:28 - 00340474 _____ C:\Windows\WindowsUpdate.log
2013-09-10 08:04 - 2009-07-14 05:34 - 00013776 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-09-10 08:04 - 2009-07-14 05:34 - 00013776 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-09-10 08:04 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\de-DE
2013-09-10 07:54 - 2013-09-10 07:54 - 00000000 ____D C:\Users\Kathrin L\AppData\Local\VirtualStore
2013-09-10 07:54 - 2013-09-10 07:53 - 00000000 ____D C:\users\Kathrin L
2013-09-10 07:54 - 2009-07-14 05:52 - 00000000 ____D C:\Windows\System32\restore
2013-09-10 07:53 - 2013-09-10 08:24 - 00000000 ____D C:\Windows\Panther
2013-09-10 07:53 - 2013-09-10 07:53 - 00000020 ___SH C:\Users\Kathrin L\ntuser.ini
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Public\Documents\Eigene Musik
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Public\Documents\Eigene Bilder
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Kathrin L\Startmenü
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Kathrin L\Netzwerkumgebung
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Kathrin L\Druckumgebung
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Kathrin L\Documents\Eigene Musik
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Kathrin L\Documents\Eigene Bilder
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Kathrin L\AppData\Local\Verlauf
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Default\Startmenü
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Default\Netzwerkumgebung
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Default\Druckumgebung
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Default\Documents\Eigene Musik
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Default\Documents\Eigene Bilder
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Default\AppData\Local\Verlauf
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Default User\Documents\Eigene Musik
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Default User\Documents\Eigene Bilder
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Users\Default User\AppData\Local\Verlauf
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\Programme
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\ProgramData\Startmenü
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 _SHDL C:\ProgramData\Dokumente
2013-09-10 07:53 - 2013-09-10 07:53 - 00000000 __SHD C:\Recovery
2013-09-10 07:53 - 2009-07-14 03:37 - 00000000 __RHD C:\Users\Public\Libraries
2013-09-10 07:53 - 2009-07-14 03:37 - 00000000 __RHD C:\users\Default
2013-09-10 07:53 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\Recovery
2013-09-10 07:53 - 2009-07-14 03:37 - 00000000 ____D C:\Program Files\Windows NT
2013-09-10 07:44 - 2013-09-10 07:44 - 01472002 _____ C:\Windows\System32\PerfStringBackup.INI
2013-09-10 07:41 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-09-10 07:39 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\rescache
2013-09-10 07:32 - 2009-07-14 05:33 - 00265640 _____ C:\Windows\System32\FNTCACHE.DAT
2013-09-10 07:30 - 2013-09-10 07:26 - 00001313 _____ C:\Windows\TSSysprep.log
2013-09-10 07:28 - 2013-09-10 07:28 - 00000000 ____H C:\Windows\System32\Drivers\Msft_User_WpdFs_01_09_00.Wdf
2013-09-10 07:26 - 2009-07-14 05:34 - 00001774 _____ C:\Windows\DtcInstall.log

==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-09-10 07:54:23
Restore point made on: 2013-09-10 08:00:30

==================== Memory info =========================== 

Percentage of memory in use: 19%
Total physical RAM: 1766.71 MB
Available physical RAM: 1422.55 MB
Total Pagefile: 1766.71 MB
Available Pagefile: 1420.64 MB
Total Virtual: 2047.88 MB
Available Virtual: 1942.3 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:18.62 GB) (Free:10.02 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive f: (TOSHIBA) (Removable) (Total:29.05 GB) (Free:19.15 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 149 GB) (Disk ID: 00005A36)

Partition: GPT Partition TypePartition 2: (Not Active) - (Size=130 GB) - (Type=AF)
Partition 3: (Not Active) - (Size=620 MB) - (Type=AB)
Partition 4: (Active) - (Size=19 GB) - (Type=07 NTFS)

========================================================
Disk: 2 (MBR Code: Windows XP) (Size: 29 GB) (Disk ID: C3072E18)
Partition 1: (Not Active) - (Size=29 GB) - (Type=0C)


LastRegBack: 2013-09-10 07:25

==================== End Of Log ============================

--- --- ---

--- --- ---

schrauber · 10.09.2013, 11:21

Hast Du die Windows partition jetzt schon gelöscht? dann war der Scan unnötig, eigentlich wollte ich davor nen nen frischen Scan um zu sehen ob ich das Teil nit doch erwische

kathrin226 · 10.09.2013, 11:39

sorry, da haben wir uns falsch verstanden.
Hatte ja schonmal den Code gepostet, danach konnte ich ja auf nichts mehr zugreifen und habe hier geschrieben, ich werde ihn wohl platt machen müssen ...
Trotzdem danke für alles :-)

schrauber · 10.09.2013, 13:53

null problemo

06.09.2013, 17:35	#6
schrauber /// the machine /// TB-Ausbilder	TR/Sirefef.A.40 Poste zuerst bitte ein neues FRST log aus der Recovery wenn möglich. __________________ --> TR/Sirefef.A.40

09.09.2013, 17:24	#8
schrauber /// the machine /// TB-Ausbilder	TR/Sirefef.A.40 ok __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

10.09.2013, 11:21	#10
schrauber /// the machine /// TB-Ausbilder	TR/Sirefef.A.40 Hast Du die Windows partition jetzt schon gelöscht? dann war der Scan unnötig, eigentlich wollte ich davor nen nen frischen Scan um zu sehen ob ich das Teil nit doch erwische __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

10.09.2013, 13:53	#12
schrauber /// the machine /// TB-Ausbilder	TR/Sirefef.A.40 null problemo __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

TR/Sirefef.A.40

Plagegeister aller Art und deren Bekämpfung: TR/Sirefef.A.40

TR/Sirefef.A.40

TR/Sirefef.A.40

TR/Sirefef.A.40

TR/Sirefef.A.40

TR/Sirefef.A.40

TR/Sirefef.A.40

TR/Sirefef.A.40

TR/Sirefef.A.40

TR/Sirefef.A.40

TR/Sirefef.A.40

TR/Sirefef.A.40

TR/Sirefef.A.40

Ähnliche Themen: TR/Sirefef.A.40

09.09.2013, 13:27	#7
kathrin226	TR/Sirefef.A.40 Danke, mache ich. Muss nur warten, bis mir meine Windows 7 von meinem Semesterwohnort zum Wohnort meiner Eltern, wo ich zur Zeit bin geschickt wird. Melde mich dann wieder :-).

10.09.2013, 11:39	#11
kathrin226	TR/Sirefef.A.40 sorry, da haben wir uns falsch verstanden. Hatte ja schonmal den Code gepostet, danach konnte ich ja auf nichts mehr zugreifen und habe hier geschrieben, ich werde ihn wohl platt machen müssen ... Trotzdem danke für alles :-)