Windows Vista, Virus, abgsicherter Modus geht nicht mehr

woberneder · 19.09.2013, 17:04

Habe den GVU Virus auf dem Rechner. Abgsicherter Modus mit Eingabeaufforderung geht nicht mehr.
Habe frst.exe schon ausgeführt Logfile ist anbei.
Kann mir jemand weiterhelfen.
Danke im voraus

schrauber · 19.09.2013, 17:28

hi,

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

woberneder · 20.09.2013, 07:35

Hallo,
sorry bin neu in diesem Forum.
Folgend das Logfile

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 18-09-2013
Ran by SYSTEM on MININT-1D10DN0 on 19-09-2013 17:28:17
Running from F:\
Windows 7 Professional (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> If the system is bootable FRST could be run from normal or Safe mode to create a complete log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1602856 2010-01-07] (Synaptics Incorporated)
HKLM\...\Run: [SysTrayApp] - C:\Program Files\IDT\WDM\sttray.exe [495708 2010-04-06] (IDT, Inc.)
HKLM\...\Run: [QuickSet] - C:\Program Files\Dell\QuickSet\QuickSet.exe [3873648 2010-01-15] (Dell Inc.)
HKLM\...\Run: [FreeFallProtection] - C:\Program Files\STMicroelectronics\AccelerometerP11\FF_Protection.exe [726640 2010-08-02] ()
HKLM\...\Run: [HotKeysCmds] - C:\Windows\system32\hkcmd.exe [ ] ()
HKLM\...\Run: [NvCplDaemon] - RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
HKLM\...\Run: [Broadcom Wireless Manager UI] - C:\Program Files\Dell\DW WLAN Card\WLTRAY.exe [5249024 2010-12-05] (Dell Inc.)
HKLM\...\Run: [PDVDDXSrv] - C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe [140520 2009-12-29] (CyberLink Corp.)
HKLM\...\Run: [Dell Webcam Central] - C:\Program Files\Dell Webcam\Dell Webcam Central\WebcamDell2.exe [409744 2009-06-24] (Creative Technology Ltd)
HKLM\...\Run: [DpAgent] - C:\Program Files\DigitalPersona\Bin\dpagent.exe [842816 2009-05-13] (DigitalPersona, Inc.)
HKLM\...\Run: [DBRMTray] - C:\Dell\DBRM\Reminder\DbrmTrayIcon.exe [206336 2010-05-20] (Microsoft)
HKLM\...\Run: [OfficeScanNT Monitor] - c:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe [1099088 2010-06-25] (Trend Micro Inc.)
HKLM\...\Run: [G Data AntiVirus Tray] - C:\Program Files\G Data\InternetSecurity\AVKTray\AVKTray.exe [1444304 2013-03-22] (G Data Software AG)
HKLM\...\Run: [GDFirewallTray] - C:\Program Files\G Data\InternetSecurity\Firewall\GDFirewallTray.exe [1854928 2013-03-22] (G Data Software AG)
HKLM\...\RunOnce: [DBRMTray] - C:\Dell\DBRM\Reminder\TrayApp.exe [7168 2010-02-04] (Microsoft)
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,c:\program files\g data\internetsecurity\avkkid\avkcks.exe
HKU\maxp\...\Run: [swg] - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [ 2010-12-24] (Google Inc.)
Lsa: [Notification Packages] scecli DPPWDFLT
Startup: C:\Users\maxp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lfd77t1.lnk
ShortcutTarget: lfd77t1.lnk -> C:\PROGRA~2\1t77dfl.plz ()

========================== Services (Whitelisted) =================

S2 AVKProxy; C:\Program Files\Common Files\G Data\AVKProxy\AVKProxy.exe [1957840 2013-03-22] (G Data Software AG)
S2 AVKService; C:\Program Files\G Data\InternetSecurity\AVK\AVKService.exe [635344 2013-02-25] (G Data Software AG)
S2 AVKWCtl; C:\Program Files\G Data\InternetSecurity\AVK\AVKWCtl.exe [2095944 2013-06-21] (G Data Software AG)
S3 GDFwSvc; C:\Program Files\G Data\InternetSecurity\Firewall\GDFwSvc.exe [2362744 2013-03-22] (G Data Software AG)
S3 GDScan; C:\Program Files\Common Files\G Data\GDScan\GDScan.exe [696808 2013-02-25] (G Data Software AG)
S2 ntrtscan; c:\Program Files\Trend Micro\Client Server Security Agent\ntrtscan.exe [1323912 2010-06-22] (Trend Micro Inc.)
S2 svcGenericHost; c:\Program Files\Trend Micro\Client Server Security Agent\HostedAgent\svcGenericHost.exe [45056 2010-07-05] (Trend Micro Inc.)
S2 tmlisten; c:\Program Files\Trend Micro\Client Server Security Agent\tmlisten.exe [1358160 2010-06-22] (Trend Micro Inc.)
S3 TmPfw; c:\Program Files\Trend Micro\Client Server Security Agent\TmPfw.exe [497008 2009-07-16] (Trend Micro Inc.)
S3 TmProxy; c:\Program Files\Trend Micro\Client Server Security Agent\TmProxy.exe [689416 2009-07-16] (Trend Micro Inc.)
S2 vcsFPService; C:\Windows\system32\vcsFPService.exe [1664304 2010-06-03] (Validity Sensors, Inc.)
S2 Winmgmt; C:\PROGRA~2\1t77dfl.plz [97792 2013-09-13] ()
S2 wltrysvc; C:\Program Files\Dell\DW WLAN Card\bcmwltry.exe [4539392 2010-12-05] (Dell Inc.)

==================== Drivers (Whitelisted) ====================

S3 Acceler; C:\Windows\System32\DRIVERS\Accelern.sys [43888 2010-07-09] (ST Microelectronics)
S3 BCM42RLY; C:\Windows\System32\drivers\BCM42RLY.sys [18424 2010-12-05] (Broadcom Corporation)
S0 CLFS; C:\Windows\System32\CLFS.sys [249408 2009-07-14] (Microsoft Corporation)
S3 CtAudDrv; C:\Windows\system32\Drivers\CtAudDrv.sys [134144 2009-05-28] (Creative Technology Ltd.)
S0 GDBehave; C:\Windows\System32\drivers\GDBehave.sys [45912 2013-06-20] (G Data Software AG)
S1 GDMnIcpt; C:\Windows\system32\drivers\MiniIcpt.sys [96344 2013-06-20] (G Data Software AG)
S3 GDPkIcpt; C:\Windows\system32\drivers\PktIcpt.sys [52056 2013-06-20] (G Data Software AG)
S1 gdwfpcd; C:\Windows\System32\drivers\gdwfpcd32.sys [54104 2013-06-26] (G Data Software AG)
S1 GRD; C:\Windows\system32\drivers\GRD.sys [30896 2013-06-20] (G Data Software)
S1 HookCentre; C:\Windows\system32\drivers\HookCentre.sys [51032 2013-06-20] (G Data Software AG)
S0 stdcfltn; C:\Windows\System32\DRIVERS\stdcfltn.sys [17648 2010-07-09] (ST Microelectronics)
S2 tmcomm; C:\Windows\System32\DRIVERS\tmcomm.sys [158224 2009-07-06] (Trend Micro Inc.)
S2 TmFilter; c:\Program Files\Trend Micro\Client Server Security Agent\TmXPFlt.sys [230928 2010-05-11] (Trend Micro Inc.)
S1 tmlwf; C:\Windows\System32\DRIVERS\tmlwf.sys [146448 2009-07-16] (Trend Micro Inc.)
S2 TmPreFilter; c:\Program Files\Trend Micro\Client Server Security Agent\TmPreFlt.sys [36368 2010-05-11] (Trend Micro Inc.)
S1 tmtdi; C:\Windows\System32\DRIVERS\tmtdi.sys [89872 2009-07-16] (Trend Micro Inc.)
S2 tmwfp; C:\Windows\System32\DRIVERS\tmwfp.sys [283152 2009-07-16] (Trend Micro Inc.)
S3 vpcbus; C:\Windows\System32\DRIVERS\vpchbus.sys [165376 2010-12-05] (Microsoft Corporation)
S1 vpcnfltr; C:\Windows\System32\DRIVERS\vpcnfltr.sys [55040 2010-12-05] (Microsoft Corporation)
S3 vpcusb; C:\Windows\System32\DRIVERS\vpcusb.sys [78336 2010-12-05] (Microsoft Corporation)
S1 vpcvmm; C:\Windows\System32\drivers\vpcvmm.sys [295128 2009-12-01] (Microsoft Corporation)
S2 VSApiNt; c:\Program Files\Trend Micro\Client Server Security Agent\VSApiNt.sys [1322808 2010-05-11] (Trend Micro Inc.)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-09-19 17:27 - 2013-09-19 17:27 - 00000000 ____D C:\FRST
2013-09-13 22:12 - 2013-09-13 22:12 - 00016181 ____T C:\ProgramData\g2r.exe
2013-09-13 22:06 - 2013-09-19 15:24 - 00000000 _____ C:\ProgramData\lfd77t1.ctrl
2013-09-13 22:06 - 2013-09-13 22:17 - 95025368 ____T C:\ProgramData\lfd77t1.pff
2013-09-13 22:06 - 2013-09-13 22:06 - 00097792 _____ C:\ProgramData\1t77dfl.plz
2013-09-13 22:06 - 2013-09-13 22:06 - 00000000 ____D C:\Users\maxp\AppData\Local\KB8005266
2013-09-13 18:14 - 2013-09-13 18:14 - 368002389 _____ C:\Windows\MEMORY.DMP
2013-09-13 18:14 - 2013-09-13 18:14 - 00131072 _____ C:\Windows\Minidump\091313-18657-01.dmp
2013-09-13 18:14 - 2013-09-13 18:14 - 00000000 ____D C:\Windows\Minidump

==================== One Month Modified Files and Folders =======

2013-09-19 17:27 - 2013-09-19 17:27 - 00000000 ____D C:\FRST
2013-09-19 15:30 - 2009-07-14 05:34 - 00014032 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-09-19 15:30 - 2009-07-14 05:34 - 00014032 ____H C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-09-19 15:29 - 2009-07-14 05:55 - 01780312 _____ C:\Windows\WindowsUpdate.log
2013-09-19 15:24 - 2013-09-13 22:06 - 00000000 _____ C:\ProgramData\lfd77t1.ctrl
2013-09-19 15:24 - 2009-07-14 05:39 - 00096000 _____ C:\Windows\setupact.log
2013-09-13 22:17 - 2013-09-13 22:06 - 95025368 ____T C:\ProgramData\lfd77t1.pff
2013-09-13 22:12 - 2013-09-13 22:12 - 00016181 ____T C:\ProgramData\g2r.exe
2013-09-13 22:10 - 2013-09-13 22:06 - 00000000 ____D C:\Users\maxp\AppData\Local\KB8005266
2013-09-13 22:06 - 2013-09-13 22:06 - 00097792 _____ C:\ProgramData\1t77dfl.plz
2013-09-13 22:02 - 2010-12-05 08:51 - 00000032 _____ C:\tmuninst.ini
2013-09-13 20:06 - 2013-08-17 07:46 - 00000000 ____D C:\Windows\System32\MRT
2013-09-13 20:06 - 2013-07-22 09:53 - 76725432 _____ (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-09-13 18:14 - 2013-09-13 18:14 - 368002389 _____ C:\Windows\MEMORY.DMP
2013-09-13 18:14 - 2013-09-13 18:14 - 00131072 _____ C:\Windows\Minidump\091313-18657-01.dmp
2013-09-13 18:14 - 2013-09-13 18:14 - 00000000 ____D C:\Windows\Minidump
2013-09-13 17:59 - 2010-12-24 19:19 - 00000000 ____D C:\Users\maxp\AppData\Local\Google

Files to move or delete:
====================
C:\ProgramData\17irof.pad
C:\ProgramData\1t77dfl.plz
C:\ProgramData\g2r.exe
C:\ProgramData\lfd77t1.ctrl
C:\ProgramData\lfd77t1.pff
C:\Users\maxp\AppData\Roaming\skype.dat


Some content of TEMP:
====================
C:\Users\maxp\AppData\Local\Temp\nbjpnhtssprkachqyfb.bfg


==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-06-25 22:23:21
Restore point made on: 2013-06-28 22:56:24
Restore point made on: 2013-06-28 23:05:07
Restore point made on: 2013-07-04 22:12:25
Restore point made on: 2013-07-10 21:31:42
Restore point made on: 2013-07-22 09:17:11
Restore point made on: 2013-07-22 09:28:23
Restore point made on: 2013-07-22 09:53:43
Restore point made on: 2013-07-27 07:37:54
Restore point made on: 2013-08-03 08:10:50
Restore point made on: 2013-08-10 17:09:46
Restore point made on: 2013-08-15 21:16:55
Restore point made on: 2013-08-17 07:46:15
Restore point made on: 2013-08-25 09:27:41
Restore point made on: 2013-09-01 09:05:19
Restore point made on: 2013-09-13 18:03:27
Restore point made on: 2013-09-13 18:48:52
Restore point made on: 2013-09-13 20:06:14

==================== Memory info =========================== 

Percentage of memory in use: 13%
Total physical RAM: 3894.6 MB
Available physical RAM: 3385.03 MB
Total Pagefile: 3892.88 MB
Available Pagefile: 3386.08 MB
Total Virtual: 2047.88 MB
Available Virtual: 1935.52 MB

==================== Drives ================================

Drive c: (OS) (Fixed) (Total:283.4 GB) (Free:244.84 GB) NTFS
Drive f: () (Removable) (Total:7.42 GB) (Free:7.42 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (RECOVERY) (Fixed) (Total:14.65 GB) (Free:8.94 GB) NTFS ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 298 GB) (Disk ID: E46BDF93)
Partition 1: (Not Active) - (Size=39 MB) - (Type=DE)
Partition 2: (Active) - (Size=15 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=283 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 7 GB) (Disk ID: C3072E18)
Partition 1: (Active) - (Size=7 GB) - (Type=0C)


LastRegBack: 2013-09-13 19:43

==================== End Of Log ============================

--- --- ---

schrauber · 20.09.2013, 11:25

Drücke bitte die

+ R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

Startup: C:\Users\maxp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lfd77t1.lnk
ShortcutTarget: lfd77t1.lnk -> C:\PROGRA~2\1t77dfl.plz ()
C:\ProgramData\17irof.pad
C:\ProgramData\1t77dfl.plz
C:\ProgramData\g2r.exe
C:\ProgramData\lfd77t1.ctrl
C:\ProgramData\lfd77t1.pff
C:\Users\maxp\AppData\Roaming\skype.dat
C:\Users\maxp\AppData\Local\Temp\nbjpnhtssprkachqyfb.bfg

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Rechner normal starten

woberneder · 20.09.2013, 11:48

Hallo Schrauber,
vielen Dank für die schnelle Antwort.
Windows startet jetzt wieder normal

folgend der Inhalt von fixlog.txt

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 18-09-2013
Ran by SYSTEM at 2013-09-20 12:40:35 Run:1
Running from F:\
Boot Mode: Recovery

==============================================

Content of fixlist:
*****************
Startup: C:\Users\maxp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lfd77t1.lnk
ShortcutTarget: lfd77t1.lnk -> C:\PROGRA~2\1t77dfl.plz ()
C:\ProgramData\17irof.pad
C:\ProgramData\1t77dfl.plz
C:\ProgramData\g2r.exe
C:\ProgramData\lfd77t1.ctrl
C:\ProgramData\lfd77t1.pff
C:\Users\maxp\AppData\Roaming\skype.dat
C:\Users\maxp\AppData\Local\Temp\nbjpnhtssprkachqyfb.bfg
*****************

C:\Users\maxp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lfd77t1.lnk => Moved successfully.
C:\PROGRA~2\1t77dfl.plz => Moved successfully.
C:\ProgramData\17irof.pad => Moved successfully.
"C:\ProgramData\1t77dfl.plz" => File/Directory not found.
C:\ProgramData\g2r.exe => Moved successfully.
C:\ProgramData\lfd77t1.ctrl => Moved successfully.
C:\ProgramData\lfd77t1.pff => Moved successfully.
C:\Users\maxp\AppData\Roaming\skype.dat => Moved successfully.
C:\Users\maxp\AppData\Local\Temp\nbjpnhtssprkachqyfb.bfg => Moved successfully.

==== End of Fixlog ====

schrauber · 20.09.2013, 15:35

Dann ab jetzt Kontrollscans im normalen Modus:

Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
Drücke eine beliebige Taste, um das Tool zu starten.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

woberneder · 21.09.2013, 08:32

Hallo Schrauber,
alles erledigt. Habe aber vorsichtshalber das System neu aufgebaut. Musste nur an die Daten ran. Nochmal vielen Dank.

schrauber · 21.09.2013, 16:15

ok.

21.09.2013, 16:15	#8
schrauber /// the machine /// TB-Ausbilder	Windows Vista, Virus, abgsicherter Modus geht nicht mehr ok. __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

Windows Vista, Virus, abgsicherter Modus geht nicht mehr

Log-Analyse und Auswertung: Windows Vista, Virus, abgsicherter Modus geht nicht mehr