Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild.

Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild.


Log-Analyse und Auswertung: Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 17.10.2013, 18:26   #1
mssmike
 
Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild. - Standard

Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild.


Mein Laptop zeigt nach dem hochfahren ganz kurz den Desktop an,und danach nur noch ein weises Bild.Die Maus kann ich sehen und auch bewegen. Strg+Alt+Entf funktioniert, aber der Taskmanager nicht, dann kommt wieder nur das weise Bild.Im abgesichertem Modus fährt er hoch,aber dann automatisch wieder runter. Habe schon wie hier beschrieben mit FRST einen scan gemacht. Ich hoffe ich mache das mit dem posten jetzt richtig hier,und hoffe auch das mir einer von euch helfen kann.. Danke schon mal im vorraus.
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 03-10-2013
Ran by brAAA (administrator) on BRAAA-BOX on 16-10-2013 21:13:35
Running from G:\
Microsoft Windows 7 Home Premium  Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Safe Mode (minimal)

==================== Processes (Whitelisted) ===================

(Microsoft Corporation) C:\Windows\system32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\dinotify.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [cAudioFilterAgent] - C:\Program Files\Conexant\cAudioFilterAgent\cAudioFilterAgent.exe [474168 2008-11-05] (Conexant Systems, Inc.)
HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1430824 2009-02-06] (Synaptics Incorporated)
HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [281768 2011-01-10] (Avira GmbH)
HKLM\...\Run: [NvCplDaemon] - RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
HKLM\...\Run: [GrooveMonitor] - C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [31016 2006-10-27] (Microsoft Corporation)
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [937920 2011-06-06] (Adobe Systems Incorporated)
HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [252848 2012-07-03] (Sun Microsystems, Inc.)
HKLM\...\Run: [] - [x]
HKLM\...\Run: [ApnUpdater] - C:\Program Files\Ask.com\Updater\Updater.exe [1644680 2013-02-08] (Ask)
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$2869c73602d1af074c9f11e787e6dc97\n. ATTENTION! ====> ZeroAccess?
HKLM\...\Policies\Explorer\Run: [csrcs] - C:\Windows\system32\csrcs.exe [1196112 2010-11-20] ( ())
HKCU\...\Run: [Messenger (Yahoo!)] - C:\PROGRA~1\Yahoo!\Messenger\YahooMessenger.exe [5252408 2010-06-01] (Yahoo! Inc.)
HKCU\...\Run: [DAEMON Tools Lite] - C:\Program Files\DAEMON Tools Lite\DTLite.exe [4910912 2011-08-02] (DT Soft Ltd)
HKCU\...\Run: [msnmsgr] - C:\Program Files\Windows Live\Messenger\msnmsgr.exe [4280184 2012-03-08] (Microsoft Corporation)
HKCU\...\Run: [Ugziipom] - C:\Users\brAAA\AppData\Roaming\Numy\neyg.exe [262144 2012-07-20] ()
HKCU\...\Run: [Windows Update Server] - C:\Users\brAAA\1os0ieiryvktk-10083.exe [50176 2013-05-06] ()
HKCU\...\Winlogon: [Shell] explorer.exe,C:\Users\brAAA\AppData\Roaming\skype.dat [77312 2010-11-20] () <==== ATTENTION 
HKCU\...409d6c4515e9\InprocServer32: [Default-shell32] C:\$Recycle.Bin\S-1-5-21-1277417896-4029102762-3608986815-1001\$2869c73602d1af074c9f11e787e6dc97\n. ATTENTION! ====> ZeroAccess/Alureon?
HKU\123\...\Winlogon: [Shell] C:\Users\123\AppData\Roaming\gema\gema.exe,Explorer.exe, <==== ATTENTION 

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0xF3AA2F4C2304CC01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
HKCU\Software\Microsoft\Internet Explorer\Main,ICQ Search = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=sm
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://de.yahoo.com
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.yahoo.com
URLSearchHook: ATTENTION ==> Default URLSearchHook is missing.
URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (ICQ)
URLSearchHook: YTNavAssist.YTNavAssistPlugin Class - {81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\YTNavAssist.dll (Yahoo! Inc.)
SearchScopes: HKCU - {30F240BE-B4BA-45E3-9621-6192C2D09C88} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=de_DE&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^DE&apn_uid=A0088610-2DEF-4ACB-8F0F-85DC6429DA9D&apn_sauid=2B91FA50-487F-48D2-B91F-38923A9D9154
SearchScopes: HKCU - {6552C7DD-90A4-4387-B795-F8F96747DE19} URL = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=sm
SearchScopes: HKCU - {DECA3892-BA8F-44b8-A993-A466AD694AE4} URL = hxxp://de.search.yahoo.com/search?p={searchTerms}
BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)
BHO: MSS+ Identifier - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files\McAfee Security Scan\3.0.318\McAfeeMSS_IE.dll (McAfee, Inc.)
BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO: DivX Plus Web Player HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
BHO: DivX HiQ - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GR469A~1.DLL (Microsoft Corporation)
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
BHO: IMinent WebBooster (BHO) - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} - C:\Program Files\Iminent\IMBooster4Web\Iminent.WebBooster.dll (Iminent)
BHO: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll (Yahoo! Inc)
Toolbar: HKLM - ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (ICQ)
Toolbar: HKLM - Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)
Toolbar: HKLM - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
Toolbar: HKCU -Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GRA32A~1.DLL (Microsoft Corporation)
ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~1\MICROS~3\Office12\GR469A~1.DLL [2210608 2006-10-27] (Microsoft Corporation)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

FireFox:
========
FF ProfilePath: C:\Users\brAAA\AppData\Roaming\Mozilla\Firefox\Profiles\b5wxekq9.default
FF user.js: detected! => C:\Users\brAAA\AppData\Roaming\Mozilla\Firefox\Profiles\b5wxekq9.default\user.js
FF DefaultSearchEngine: Ask.com
FF SearchEngineOrder.1: Ask.com
FF SelectedSearchEngine: Google
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()
FF Plugin: @divx.com/DivX Browser Plugin,version=1.0.0 - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF Plugin: @divx.com/DivX VOD Helper,version=1.0.0 - C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF Plugin: @java.com/DTPlugin,version=10.9.2 - C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=10.9.2 - C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF Plugin: @mcafee.com/McAfeeMssPlugin - C:\Program Files\McAfee Security Scan\3.0.318\npMcAfeeMss.dll (McAfee, Inc.)
FF Plugin: @messenger.yahoo.com/YahooMessengerStatePlugin;version=1.0.0.6 - C:\Program Files\Yahoo!\Shared\npYState.dll (Yahoo! Inc.)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKCU: @yahoo.com/BrowserPlus,version=2.9.8 - C:\Users\brAAA\AppData\Local\Yahoo!\BrowserPlus\2.9.8\Plugins\npybrowserplus_2.9.8.dll (Yahoo! Inc.)
FF SearchPlugin: C:\Users\brAAA\AppData\Roaming\Mozilla\Firefox\Profiles\b5wxekq9.default\searchplugins\askcom.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
FF Extension: Ask Toolbar - C:\Users\brAAA\AppData\Roaming\Mozilla\Firefox\Profiles\b5wxekq9.default\Extensions\toolbar@ask.com
FF Extension: No Name - C:\Users\brAAA\AppData\Roaming\Mozilla\Firefox\Profiles\b5wxekq9.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
FF Extension: Iminent WebBooster - C:\Program Files\Mozilla Firefox\extensions\webbooster@iminent.com
FF HKLM\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files\DivX\DivX Plus Web Player\firefox\html5video
FF Extension: DivX Plus Web Player HTML5 &lt;video&gt; - C:\Program Files\DivX\DivX Plus Web Player\firefox\html5video
FF HKLM\...\Firefox\Extensions: [{6904342A-8307-11DF-A508-4AE2DFD72085}] - C:\Program Files\DivX\DivX Plus Web Player\firefox\wpa
FF Extension: DivX HiQ - C:\Program Files\DivX\DivX Plus Web Player\firefox\wpa
FF HKLM\...\Firefox\Extensions: [{184AA5E6-741D-464a-820E-94B3ABC2F3B4}] - C:\Users\brAAA\AppData\Roaming\10016
FF HKCU\...\Firefox\Extensions: [{184AA5E6-741D-464a-820E-94B3ABC2F3B4}] - C:\Users\brAAA\AppData\Roaming\10016

========================== Services (Whitelisted) =================

S2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [136360 2011-04-30] (Avira GmbH)
S2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [269480 2011-07-03] (Avira GmbH)
S4 ICQ Service; C:\Program Files\ICQ6Toolbar\ICQ Service.exe [246584 2010-06-21] ()
S2 MBAMScheduler; C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe [398184 2012-12-14] (Malwarebytes Corporation)
S2 MBAMService; C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe [682344 2012-12-14] (Malwarebytes Corporation)
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.0.318\McCHSvc.exe [235216 2013-02-05] (McAfee, Inc.)

==================== Drivers (Whitelisted) ====================

S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [66616 2011-07-03] (Avira GmbH)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [138192 2011-07-03] (Avira GmbH)
R0 CLFS; C:\Windows\System32\CLFS.sys [249408 2009-07-14] (Microsoft Corporation)
S3 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [232512 2013-02-15] (DT Soft Ltd)
S3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [21104 2012-12-14] (Malwarebytes Corporation)
S0 sptd; C:\Windows\System32\Drivers\sptd.sys [443448 2011-08-26] (Duplex Secure Ltd.)
S3 srvnet; C:\Windows\System32\DRIVERS\srvnet.sys [114176 2011-02-23] ()
S1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2010-06-17] (Avira GmbH)
S3 stexstor; C:\Windows\system32\DRIVERS\stexstor.sys [21072 2009-07-14] ()
R3 swenum; C:\Windows\system32\drivers\swenum.sys [12240 2009-07-14] ()
R3 SynTP; C:\Windows\System32\DRIVERS\SynTP.sys [205232 2009-02-06] ()
R0 Tcpip; C:\Windows\System32\drivers\tcpip.sys [1290112 2010-11-20] ()
S3 TCPIP6; C:\Windows\System32\DRIVERS\tcpip.sys [1290112 2010-11-20] ()
S2 tcpipreg; C:\Windows\System32\drivers\tcpipreg.sys [35328 2010-11-20] ()
S3 TDPIPE; C:\Windows\System32\drivers\tdpipe.sys [18432 2010-11-20] ()
S3 TDTCP; C:\Windows\System32\drivers\tdtcp.sys [24576 2010-11-20] ()
S1 tdx; C:\Windows\System32\DRIVERS\tdx.sys [74752 2010-11-20] ()
R1 TermDD; C:\Windows\system32\drivers\termdd.sys [53120 2010-11-20] ()
S3 tssecsrv; C:\Windows\System32\DRIVERS\tssecsrv.sys [31232 2010-11-20] ()
S3 TsUsbFlt; C:\Windows\System32\drivers\tsusbflt.sys [52224 2010-11-20] ()
S3 tunnel; C:\Windows\System32\DRIVERS\tunnel.sys [108544 2010-11-20] ()
S3 uagp35; C:\Windows\system32\DRIVERS\uagp35.sys [55888 2009-07-14] ()
S4 udfs; C:\Windows\System32\DRIVERS\udfs.sys [246784 2010-11-20] ()
S3 uliagpkx; C:\Windows\system32\drivers\uliagpkx.sys [57424 2009-07-14] ()
R3 umbus; C:\Windows\system32\drivers\umbus.sys [39936 2010-11-20] ()
S3 UmPass; C:\Windows\system32\DRIVERS\umpass.sys [8192 2009-07-14] ()
R3 usbccgp; C:\Windows\System32\DRIVERS\usbccgp.sys [75776 2010-11-20] ()
S3 usbcir; C:\Windows\system32\drivers\usbcir.sys [86016 2009-07-14] ()
R3 usbehci; C:\Windows\system32\drivers\usbehci.sys [42496 2010-11-20] ()
R3 usbhub; C:\Windows\system32\drivers\usbhub.sys [258560 2010-11-20] ()
S3 usbohci; C:\Windows\system32\DRIVERS\usbohci.sys [20480 2009-07-14] ()
S3 usbprint; C:\Windows\system32\DRIVERS\usbprint.sys [19968 2009-07-14] ()
R3 USBSTOR; C:\Windows\System32\DRIVERS\USBSTOR.SYS [76288 2010-11-20] ()
R3 usbuhci; C:\Windows\system32\drivers\usbuhci.sys [24064 2009-07-14] ()
S3 usbvideo; C:\Windows\System32\Drivers\usbvideo.sys [146432 2010-11-20] ()
R0 vdrvroot; C:\Windows\System32\drivers\vdrvroot.sys [32832 2009-07-14] ()
S3 vga; C:\Windows\System32\DRIVERS\vgapnp.sys [26112 2009-07-14] ()
R1 VgaSave; C:\Windows\System32\drivers\vga.sys [25088 2009-07-14] ()
S3 vhdmp; C:\Windows\system32\drivers\vhdmp.sys [160128 2010-11-20] ()
S3 viaagp; C:\Windows\system32\drivers\viaagp.sys [53328 2009-07-14] ()
S3 ViaC7; C:\Windows\system32\DRIVERS\viac7.sys [52736 2009-07-14] ()
S3 viaide; C:\Windows\system32\drivers\viaide.sys [16976 2009-07-14] ()
R0 volmgr; C:\Windows\System32\drivers\volmgr.sys [53120 2010-11-20] ()
R0 volmgrx; C:\Windows\System32\drivers\volmgrx.sys [297040 2009-07-14] ()
R0 volsnap; C:\Windows\System32\drivers\volsnap.sys [245632 2010-11-20] ()
S3 vsmraid; C:\Windows\system32\DRIVERS\vsmraid.sys [141904 2009-07-14] ()
S3 vwifibus; C:\Windows\System32\DRIVERS\vwifibus.sys [19968 2009-07-14] ()
S1 vwififlt; C:\Windows\System32\DRIVERS\vwififlt.sys [48128 2009-07-14] ()
S3 WacomPen; C:\Windows\system32\DRIVERS\wacompen.sys [21632 2009-07-14] ()
S3 WANARP; C:\Windows\System32\DRIVERS\wanarp.sys [63488 2010-11-20] ()
S1 Wanarpv6; C:\Windows\System32\DRIVERS\wanarp.sys [63488 2010-11-20] ()
S3 Wd; C:\Windows\system32\DRIVERS\wd.sys [19024 2009-07-14] ()
R0 Wdf01000; C:\Windows\System32\drivers\Wdf01000.sys [445008 2009-07-14] ()
S1 WfpLwf; C:\Windows\System32\DRIVERS\wfplwf.sys [9728 2009-07-14] ()
S3 WIMMount; C:\Windows\System32\drivers\wimmount.sys [19008 2009-07-14] ()
S3 WinUsb; C:\Windows\System32\DRIVERS\WinUsb.sys [35968 2010-11-20] ()
R3 WmiAcpi; C:\Windows\system32\drivers\wmiacpi.sys [11264 2009-07-14] ()
S4 ws2ifsl; C:\Windows\system32\drivers\ws2ifsl.sys [16384 2009-07-14] ()
R3 WudfPf; C:\Windows\System32\drivers\WudfPf.sys [92672 2010-11-20] ()
S3 WUDFRd; C:\Windows\System32\DRIVERS\WUDFRd.sys [132224 2010-11-20] ()
S2 10083; \??\C:\Users\brAAA\AppData\Local\Temp\10083.sys [x]
U5 fe8c5976a499541; C:\Windows\System32\Drivers\fe8c5976a499541.sys [59392 2013-02-15] ()

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-10-16 21:13 - 2013-10-16 21:13 - 00000000 ____D C:\FRST
2013-10-16 21:05 - 2013-10-16 21:05 - 00000000 ____D C:\Users\brAAA\AppData\Local\{5D575B21-3A82-4361-86DA-5644FE057140}
2013-10-16 20:41 - 2013-10-16 20:41 - 00000000 ____D C:\Users\brAAA\AppData\Local\{15320DF8-EEAF-45D3-BE4F-BE7C8246230D}
2013-10-16 18:22 - 2013-10-16 18:22 - 00000000 ____D C:\Users\brAAA\AppData\Local\{67F6673C-4FB6-4468-AC43-31B334F273D4}
2013-10-16 18:11 - 2013-10-16 18:11 - 00000000 ____D C:\Users\brAAA\AppData\Local\{36A47035-189B-4A67-BA17-2B3F83E10E10}
2013-10-16 18:08 - 2013-10-16 18:08 - 00000000 ____D C:\Users\brAAA\AppData\Local\{390A8BA8-F351-4B99-B336-B1EFB029E53C}
2013-10-16 18:00 - 2013-10-16 18:00 - 00000000 ____D C:\Users\brAAA\AppData\Local\{DF09CD93-D2E0-4B0A-8554-B839C75D131A}
2013-10-16 17:34 - 2013-10-16 17:34 - 00000000 ____D C:\Users\brAAA\AppData\Local\{D62A2297-38BC-4095-8B43-D96C8FB5AA85}
2013-10-16 17:27 - 2013-10-16 17:27 - 00000000 ____D C:\Users\brAAA\AppData\Local\{76C9F636-FBA9-42B6-A8F6-6B64EC07669A}
2013-09-20 19:14 - 2013-09-20 19:14 - 00000000 ____D C:\Users\brAAA\AppData\Local\{57D3F040-E45D-4663-A581-51AA031EEBEA}

==================== One Month Modified Files and Folders =======

2013-10-16 21:13 - 2013-10-16 21:13 - 00000000 ____D C:\FRST
2013-10-16 21:12 - 2011-04-26 17:05 - 01472002 _____ C:\Windows\system32\PerfStringBackup.INI
2013-10-16 21:08 - 2011-04-26 17:02 - 00000000 ____D C:\Users\brAAA
2013-10-16 21:07 - 2013-05-06 06:08 - 00000004 _____ C:\Users\brAAA\AppData\Roaming\skype.ini
2013-10-16 21:07 - 2009-07-14 06:39 - 00289652 _____ C:\Windows\setupact.log
2013-10-16 21:05 - 2013-10-16 21:05 - 00000000 ____D C:\Users\brAAA\AppData\Local\{5D575B21-3A82-4361-86DA-5644FE057140}
2013-10-16 21:05 - 2011-04-26 18:26 - 00000000 ____D C:\Users\brAAA\Tracing
2013-10-16 21:05 - 2009-07-14 06:53 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-10-16 20:49 - 2009-07-14 06:34 - 00014016 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-10-16 20:49 - 2009-07-14 06:34 - 00014016 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-10-16 20:41 - 2013-10-16 20:41 - 00000000 ____D C:\Users\brAAA\AppData\Local\{15320DF8-EEAF-45D3-BE4F-BE7C8246230D}
2013-10-16 19:19 - 2012-03-26 16:04 - 00000000 ____D C:\Users\123
2013-10-16 19:19 - 2011-11-30 22:46 - 00000000 ____D C:\ProgramData\McAfee Security Scan
2013-10-16 19:19 - 2011-08-26 00:25 - 00000000 ____D C:\Program Files\DAEMON Tools Lite
2013-10-16 19:19 - 2009-07-14 04:37 - 00000000 ____D C:\Windows\registration
2013-10-16 18:22 - 2013-10-16 18:22 - 00000000 ____D C:\Users\brAAA\AppData\Local\{67F6673C-4FB6-4468-AC43-31B334F273D4}
2013-10-16 18:11 - 2013-10-16 18:11 - 00000000 ____D C:\Users\brAAA\AppData\Local\{36A47035-189B-4A67-BA17-2B3F83E10E10}
2013-10-16 18:08 - 2013-10-16 18:08 - 00000000 ____D C:\Users\brAAA\AppData\Local\{390A8BA8-F351-4B99-B336-B1EFB029E53C}
2013-10-16 18:00 - 2013-10-16 18:00 - 00000000 ____D C:\Users\brAAA\AppData\Local\{DF09CD93-D2E0-4B0A-8554-B839C75D131A}
2013-10-16 17:34 - 2013-10-16 17:34 - 00000000 ____D C:\Users\brAAA\AppData\Local\{D62A2297-38BC-4095-8B43-D96C8FB5AA85}
2013-10-16 17:27 - 2013-10-16 17:27 - 00000000 ____D C:\Users\brAAA\AppData\Local\{76C9F636-FBA9-42B6-A8F6-6B64EC07669A}
2013-09-20 19:14 - 2013-09-20 19:14 - 00000000 ____D C:\Users\brAAA\AppData\Local\{57D3F040-E45D-4663-A581-51AA031EEBEA}
2013-09-20 19:13 - 2011-04-26 17:31 - 00026584 _____ C:\Windows\PFRO.log

ZeroAccess:
C:\$Recycle.Bin\S-1-5-21-1277417896-4029102762-3608986815-1001\$2869c73602d1af074c9f11e787e6dc97

ZeroAccess:
C:\$Recycle.Bin\S-1-5-18\$2869c73602d1af074c9f11e787e6dc97

Files to move or delete:
====================
C:\Users\brAAA\AppData\Roaming\skype.dat
C:\Users\brAAA\AppData\Roaming\skype.ini
C:\ProgramData\go_0molg.pad
C:\Users\brAAA\1os0ieiryvktk-10083.exe
C:\Users\brAAA\SoftonicDownloader_fuer_microsoft-word-viewer.exe


Some content of TEMP:
====================
C:\Users\brAAA\AppData\Local\Temp\APNStub.exe
C:\Users\brAAA\AppData\Local\Temp\contentDATs.exe
C:\Users\brAAA\AppData\Local\Temp\hfgTy68aaa.tmp.exe
C:\Users\brAAA\AppData\Local\Temp\hfgTy68ccc.tmp.exe
C:\Users\brAAA\AppData\Local\Temp\jre-7u9-windows-i586-iftw.exe
C:\Users\brAAA\AppData\Local\Temp\ockwlcu.exe
C:\Users\brAAA\AppData\Local\Temp\SecurityScan_Release.exe
C:\Users\brAAA\AppData\Local\Temp\setup.exe


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys
[2012-08-14 23:13] - [2010-11-20 04:30] - 0245632 ____A () D41D8CD98F00B204E9800998ECF8427E

C:\Windows\System32\Drivers\volsnap.sys IS INFECTED. <===== ATTENTION!

C:\Program Files\Windows Defender\mpsvc.dll => ATTENTION: ZeroAccess. Use DeleteJunctionsIndirectory: C:\Program Files\Windows Defender


LastRegBack: 2012-10-27 22:12

==================== End Of Log ============================

Alt 17.10.2013, 18:32   #2
M-K-D-B
/// TB-Ausbilder
 
Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild. - Standard

Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild.





Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:
  • Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.
  • Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags.
  • Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
  • Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
    Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
  • Während der Bereinigung bitte nichts installieren oder deinstallieren, außer ich bitte dich darum!
  • Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
    Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
    Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.




Führe den folgenden Fix im abgesicherten Modus durch:



Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Code:
ATTFilter
start
HKLM\...\Policies\Explorer\Run: [csrcs] - C:\Windows\system32\csrcs.exe [1196112 2010-11-20] ( ())
C:\Windows\system32\csrcs.exe
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$2869c73602d1af074c9f11e787e6dc97\n. ATTENTION! ====> ZeroAccess?
HKCU\...\Run: [Ugziipom] - C:\Users\brAAA\AppData\Roaming\Numy\neyg.exe [262144 2012-07-20] ()
C:\Users\brAAA\AppData\Roaming\Numy
HKCU\...\Run: [Windows Update Server] - C:\Users\brAAA\1os0ieiryvktk-10083.exe [50176 2013-05-06] ()
HKCU\...\Winlogon: [Shell] explorer.exe,C:\Users\brAAA\AppData\Roaming\skype.dat [77312 2010-11-20] () <==== ATTENTION 
C:\Users\brAAA\AppData\Roaming\skype.dat
HKCU\...409d6c4515e9\InprocServer32: [Default-shell32] C:\$Recycle.Bin\S-1-5-21-1277417896-4029102762-3608986815-1001\$2869c73602d1af074c9f11e787e6dc97\n. ATTENTION! ====> ZeroAccess/Alureon?
HKU\123\...\Winlogon: [Shell] C:\Users\123\AppData\Roaming\gema\gema.exe,Explorer.exe, <==== ATTENTION 
C:\Users\123\AppData\Roaming\gema
S2 10083; \??\C:\Users\brAAA\AppData\Local\Temp\10083.sys [x]
U5 fe8c5976a499541; C:\Windows\System32\Drivers\fe8c5976a499541.sys [59392 2013-02-15] ()
C:\Users\brAAA\AppData\Roaming\skype.ini
C:\Windows\System32\Drivers\fe8c5976a499541.sys
C:\Users\brAAA\AppData\Local\Temp\10083.sys
C:\$Recycle.Bin\S-1-5-21-1277417896-4029102762-3608986815-1001\$2869c73602d1af074c9f11e787e6dc97
C:\$Recycle.Bin\S-1-5-18\$2869c73602d1af074c9f11e787e6dc97
C:\Users\brAAA\AppData\Roaming\skype.dat
C:\Users\brAAA\AppData\Roaming\skype.ini
C:\ProgramData\go_0molg.pad
C:\Users\brAAA\1os0ieiryvktk-10083.exe
C:\Users\brAAA\SoftonicDownloader_fuer_microsoft-word-viewer.exe
C:\Users\brAAA\AppData\Local\Temp\*.exe
C:\Users\brAAA\AppData\Local\Temp\*.dll
FF HKLM\...\Firefox\Extensions: [{184AA5E6-741D-464a-820E-94B3ABC2F3B4}] - C:\Users\brAAA\AppData\Roaming\10016
FF HKCU\...\Firefox\Extensions: [{184AA5E6-741D-464a-820E-94B3ABC2F3B4}] - C:\Users\brAAA\AppData\Roaming\10016
C:\Users\brAAA\AppData\Roaming\10016
DeleteJunctionsIndirectory: C:\Program Files\Windows Defender
end

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.





Berichte mir bitte, ob der Rechner wieder normal bootet.
Wir sind noch nicht fertig.
__________________
Alt 17.10.2013, 18:54   #3
mssmike
 
Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild. - Standard

Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild.


Hallo Matthias, erst mal vielen dank für die schnelle Antwort. Jetzt fährt er wieder so hoch das ich den Desktop wieder sehen kann,und das weise Bild kommt nicht mehr. Hier nun der Fixlog.
Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 03-10-2013
Ran by brAAA at 2013-10-17 19:54:01 Run:1
Running from G:\
Boot Mode: Safe Mode (minimal)

==============================================

Content of fixlist:
*****************
start
HKLM\...\Policies\Explorer\Run: [csrcs] - C:\Windows\system32\csrcs.exe [1196112 2010-11-20] ( ())
C:\Windows\system32\csrcs.exe
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$2869c73602d1af074c9f11e787e6dc97\n. ATTENTION! ====> ZeroAccess?
HKCU\...\Run: [Ugziipom] - C:\Users\brAAA\AppData\Roaming\Numy\neyg.exe [262144 2012-07-20] ()
C:\Users\brAAA\AppData\Roaming\Numy
HKCU\...\Run: [Windows Update Server] - C:\Users\brAAA\1os0ieiryvktk-10083.exe [50176 2013-05-06] ()
HKCU\...\Winlogon: [Shell] explorer.exe,C:\Users\brAAA\AppData\Roaming\skype.dat [77312 2010-11-20] () <==== ATTENTION 
C:\Users\brAAA\AppData\Roaming\skype.dat
HKCU\...409d6c4515e9\InprocServer32: [Default-shell32] C:\$Recycle.Bin\S-1-5-21-1277417896-4029102762-3608986815-1001\$2869c73602d1af074c9f11e787e6dc97\n. ATTENTION! ====> ZeroAccess/Alureon?
HKU\123\...\Winlogon: [Shell] C:\Users\123\AppData\Roaming\gema\gema.exe,Explorer.exe, <==== ATTENTION 
C:\Users\123\AppData\Roaming\gema
S2 10083; \??\C:\Users\brAAA\AppData\Local\Temp\10083.sys [x]
U5 fe8c5976a499541; C:\Windows\System32\Drivers\fe8c5976a499541.sys [59392 2013-02-15] ()
C:\Users\brAAA\AppData\Roaming\skype.ini
C:\Windows\System32\Drivers\fe8c5976a499541.sys
C:\Users\brAAA\AppData\Local\Temp\10083.sys
C:\$Recycle.Bin\S-1-5-21-1277417896-4029102762-3608986815-1001\$2869c73602d1af074c9f11e787e6dc97
C:\$Recycle.Bin\S-1-5-18\$2869c73602d1af074c9f11e787e6dc97
C:\Users\brAAA\AppData\Roaming\skype.dat
C:\Users\brAAA\AppData\Roaming\skype.ini
C:\ProgramData\go_0molg.pad
C:\Users\brAAA\1os0ieiryvktk-10083.exe
C:\Users\brAAA\SoftonicDownloader_fuer_microsoft-word-viewer.exe
C:\Users\brAAA\AppData\Local\Temp\*.exe
C:\Users\brAAA\AppData\Local\Temp\*.dll
FF HKLM\...\Firefox\Extensions: [{184AA5E6-741D-464a-820E-94B3ABC2F3B4}] - C:\Users\brAAA\AppData\Roaming\10016
FF HKCU\...\Firefox\Extensions: [{184AA5E6-741D-464a-820E-94B3ABC2F3B4}] - C:\Users\brAAA\AppData\Roaming\10016
C:\Users\brAAA\AppData\Roaming\10016
DeleteJunctionsIndirectory: C:\Program Files\Windows Defender
end
         
*****************

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\csrcs => Value deleted successfully.
C:\Windows\system32\csrcs.exe => Moved successfully.
HKLM\Software\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32\\Default => Value was restored successfully.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\Ugziipom => Value deleted successfully.
C:\Users\brAAA\AppData\Roaming\Numy => Moved successfully.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Update Server => Value deleted successfully.
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
C:\Users\brAAA\AppData\Roaming\skype.dat => Moved successfully.
HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} => Key deleted successfully. If the key returned, move the associated file, reboot and list the key for deletion.
HKU\123\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
C:\Users\123\AppData\Roaming\gema => Moved successfully.
10083 => Service deleted successfully.
fe8c5976a499541 => Service not found.
C:\Users\brAAA\AppData\Roaming\skype.ini => Moved successfully.
Could not move "C:\Windows\System32\Drivers\fe8c5976a499541.sys" => Scheduled to move on reboot.
"C:\Users\brAAA\AppData\Local\Temp\10083.sys" => File/Directory not found.
C:\$Recycle.Bin\S-1-5-21-1277417896-4029102762-3608986815-1001\$2869c73602d1af074c9f11e787e6dc97 => Moved successfully.

"C:\$Recycle.Bin\S-1-5-18\$2869c73602d1af074c9f11e787e6dc97" directory move:

C:\$Recycle.Bin\S-1-5-18\$2869c73602d1af074c9f11e787e6dc97\n => Moved successfully.
Could not move "C:\$Recycle.Bin\S-1-5-18\$2869c73602d1af074c9f11e787e6dc97" directory. => Scheduled to move on reboot.

"C:\Users\brAAA\AppData\Roaming\skype.dat" => File/Directory not found.
"C:\Users\brAAA\AppData\Roaming\skype.ini" => File/Directory not found.
C:\ProgramData\go_0molg.pad => Moved successfully.
C:\Users\brAAA\1os0ieiryvktk-10083.exe => Moved successfully.
C:\Users\brAAA\SoftonicDownloader_fuer_microsoft-word-viewer.exe => Moved successfully.
C:\Users\brAAA\AppData\Local\Temp\*.exe => Moved successfully.
"C:\Users\brAAA\AppData\Local\Temp\*.dll" => File/Directory not found.
HKLM\Software\Mozilla\Firefox\Extensions\\{184AA5E6-741D-464a-820E-94B3ABC2F3B4} => Value deleted successfully.
HKCU\Software\Mozilla\Firefox\Extensions\\{184AA5E6-741D-464a-820E-94B3ABC2F3B4} => Value deleted successfully.
"C:\Users\brAAA\AppData\Roaming\10016" => File/Directory not found.
"C:\Program Files\Windows Defender" => Deleting reparse point and unlocking started.
"C:\Program Files\Windows Defender\de-DE" => Deleting reparse point and unlocking done.
"C:\Program Files\Windows Defender\MpAsDesc.dll" => Deleting reparse point and unlocking done.
"C:\Program Files\Windows Defender\MpClient.dll" => Deleting reparse point and unlocking done.
"C:\Program Files\Windows Defender\MpCmdRun.exe" => Deleting reparse point and unlocking done.
"C:\Program Files\Windows Defender\MpCommu.dll" => Deleting reparse point and unlocking done.
"C:\Program Files\Windows Defender\MpEvMsg.dll" => Deleting reparse point and unlocking done.
"C:\Program Files\Windows Defender\MpOAV.dll" => Deleting reparse point and unlocking done.
"C:\Program Files\Windows Defender\MpRTP.dll" => Deleting reparse point and unlocking done.
"C:\Program Files\Windows Defender\MpSvc.dll" => Deleting reparse point and unlocking done.
"C:\Program Files\Windows Defender\MSASCui.exe" => Deleting reparse point and unlocking done.
"C:\Program Files\Windows Defender\MsMpCom.dll" => Deleting reparse point and unlocking done.
"C:\Program Files\Windows Defender\MsMpLics.dll" => Deleting reparse point and unlocking done.
"C:\Program Files\Windows Defender\MsMpRes.dll" => Deleting reparse point and unlocking done.
"C:\Program Files\Windows Defender" => Deleting reparse point and unlocking completed.

=========== Result of Scheduled Files to move ===========

"C:\Windows\System32\Drivers\fe8c5976a499541.sys" => File could not move.
C:\$Recycle.Bin\S-1-5-18\$2869c73602d1af074c9f11e787e6dc97 => Moved successfully.

==== End of Fixlog ====
__________________
Alt 17.10.2013, 18:57   #4
M-K-D-B
/// TB-Ausbilder
 
Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild. - Standard

Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild.


Servus,



sehr gut gemacht.


Und so geht es weiter:



Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
Alt 18.10.2013, 06:08   #5
mssmike
 
Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild. - Standard

Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild.


Hallo Matthias, combofix ist ohne zu meckern durchgelaufen.. hier nun der log.
Code:
ATTFilter
ComboFix 13-10-16.02 - brAAA 17.10.2013  20:11:50.1.2 - x86
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.3067.2414 [GMT 2:00]
ausgeführt von:: c:\users\brAAA\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\khq
c:\program files\Windows Live\Messenger\msacm32.dll
c:\programdata\gema
c:\programdata\NVIDIA
c:\programdata\NVIDIA\NvApps.xml
c:\programdata\NVIDIA\NvStarted
c:\programdata\windows
c:\programdata\windows\dumd.dat
c:\programdata\windows\xdor.dat
c:\users\brAAA\AppData\Roaming\gema
c:\windows\system32\AutoRun.inf
c:\windows\system32\drivers\fe8c5976a499541.sys
D:\khq
F:\khq
.
Infizierte Kopie von c:\windows\system32\drivers\ntfs.sys wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-ntfs_31bf3856ad364e35_6.1.7601.17514_none_a87893a87b2db29e\ntfs.sys wurde wiederhergestellt
Infizierte Kopie von c:\windows\system32\drivers\AGP440.sys wurde gefunden und desinfiziert 
Kopie von - c:\windows\System32\DriverStore\FileRepository\machine.inf_x86_neutral_a97a2a0d0fbc6696\AGP440.sys wurde wiederhergestellt
Infizierte Kopie von c:\windows\system32\drivers\asyncmac.sys wurde gefunden und desinfiziert 
Kopie von - c:\windows\winsxs\x86_microsoft-windows-rasbase-asyncmac_31bf3856ad364e35_6.1.7600.16385_none_242e2506962cd3e0\asyncmac.sys wurde wiederhergestellt
Infizierte Kopie von c:\windows\system32\drivers\cdrom.sys wurde gefunden und desinfiziert 
Kopie von - c:\windows\System32\DriverStore\FileRepository\cdrom.inf_x86_neutral_6381e09675524225\cdrom.sys wurde wiederhergestellt
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_fe8c5976a499541
-------\Service_fe8c5976a499541
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-09-17 bis 2013-10-17  ))))))))))))))))))))))))))))))
.
.
2013-10-17 18:43 . 2013-10-17 18:43	--------	d-----w-	c:\programdata\NVIDIA
2013-10-17 18:40 . 2013-10-17 18:43	--------	d-----w-	c:\users\brAAA\AppData\Local\temp
2013-10-17 18:40 . 2013-10-17 18:40	--------	d-----w-	c:\users\Default\AppData\Local\temp
2013-10-17 18:40 . 2013-10-17 18:40	--------	d-----w-	c:\users\123\AppData\Local\temp
2013-10-16 19:13 . 2013-10-17 17:55	--------	d-----w-	C:\FRST
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-19 20:10 . 2011-04-26 15:13	136672	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2013-02-08 1520776]
"{81017EA9-9AA8-4A6A-9734-7AF40E7D593F}"= "c:\program files\Yahoo!\Companion\Installs\cpn0\YTNavAssist.dll" [2011-01-21 213816]
.
[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
.
[HKEY_CLASSES_ROOT\clsid\{81017ea9-9aa8-4a6a-9734-7af40e7d593f}]
[HKEY_CLASSES_ROOT\YTNavAssist.YTNavAssistPlugin.1]
[HKEY_CLASSES_ROOT\TypeLib\{A31F34A1-EBD2-45A2-BF6D-231C1B987CC8}]
[HKEY_CLASSES_ROOT\YTNavAssist.YTNavAssistPlugin]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Messenger (Yahoo!)"="c:\progra~1\Yahoo!\Messenger\YahooMessenger.exe" [2010-06-01 5252408]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2011-08-02 4910912]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cAudioFilterAgent"="c:\program files\Conexant\cAudioFilterAgent\cAudioFilterAgent.exe" [2008-11-05 474168]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-02-06 1430824]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-28 13797920]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"ApnUpdater"="c:\program files\Ask.com\Updater\Updater.exe" [2013-02-08 1644680]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\3.0.318\SSScheduler.exe [2013-2-5 272248]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
backup=c:\windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^Users^brAAA^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^0.29740347800231215.exe.lnk]
path=c:\users\brAAA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0.29740347800231215.exe.lnk
backup=c:\windows\pss\0.29740347800231215.exe.lnk.Startup
backupExtension=.Startup
.
[HKLM\~\startupfolder\C:^Users^brAAA^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^ctfmon.lnk]
path=c:\users\brAAA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
backup=c:\windows\pss\ctfmon.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-03-21 18:56	1230704	----a-w-	c:\program files\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gema.]
c:\programdata\gema\gema.exe [BU]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMBooster]
2011-03-30 14:44	1324008	----a-w-	c:\program files\Iminent\IMBooster\IMBooster.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Search Protection]
2009-02-23 13:05	111856	----a-w-	c:\program files\Yahoo!\Search Protection\SearchProtection.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\YSearchProtection]
2009-02-23 13:05	111856	----a-w-	c:\program files\Yahoo!\Search Protection\SearchProtection.exe
.
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2013-02-15 232512]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-29 136360]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - MBAMPROTECTOR
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2013-05-06 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-23 22:53]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = hxxp://de.yahoo.com
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\ICQ7.5\ICQ.exe
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\brAAA\AppData\Roaming\Mozilla\Firefox\Profiles\b5wxekq9.default\
FF - prefs.js: browser.search.defaulturl - hxxp://de.search.yahoo.com/search?fr=ffsp1&p=
FF - prefs.js: browser.search.selectedEngine - Google
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-gema - c:\windows\system32\gema.exe
MSConfigStartUp-WinampAgent - c:\program files\Winamp\winampa.exe
MSConfigStartUp-{5620DB93-2577-AD40-BA45-DF7DDC982DEF} - c:\users\brAAA\AppData\Roaming\Soba\arukdi.exe
AddRemove-Yahoo! BrowserPlus - c:\users\brAAA\AppData\Local\Yahoo!\BrowserPlus\BrowserPlusUninstaller.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(2548)
c:\windows\System32\ieframe.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\conhost.exe
c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\windows\system32\taskhost.exe
c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32\WUDFHost.exe
c:\windows\System32\rundll32.exe
c:\windows\system32\conhost.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\windows\System32\dinotify.exe
c:\program files\Yahoo!\Messenger\ymsgr_tray.exe
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-10-17  20:47:19 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-10-17 18:47
.
Vor Suchlauf: 7 Verzeichnis(se), 33.029.931.008 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 37.185.851.392 Bytes frei
.
- - End Of File - - 2B1CF3167539CC65C791C9B9BF5F53DB
A36C5E4F47E84449FF07ED3517B43A31


Alt 18.10.2013, 17:00   #6
M-K-D-B
/// TB-Ausbilder
 
Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild. - Standard

Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild.


Servus,


gut. Wir kontrollieren wie es jetzt aussieht:



Kontrollscan mit FRST
Führe wie zuvor beschrieben einen Scan mit FRST aus.
Setze dazu eine Haken bei Addition.txt rechts unten und klicke auf Scan.
Es werden wieder zwei Logdateien erzeugt. Poste mir diese.

Alt 22.10.2013, 14:30   #7
M-K-D-B
/// TB-Ausbilder
 
Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild. - Standard

Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild.


Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!

Antwort

Themen zu Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild.
administrator, adobe, antivir, avg, avira, browser, defender, desktop, explorer, farbar, farbar recovery scan tool, helper, home, maus, mozilla, plug-in, registry, rundll, scan, security, services.exe, software, svchost.exe, system, taskmanager, temp, tunnel, usbvideo.sys, windows, winlogon.exe


« Windows 7 mehrere EXP/CVE... Viren nach dem Surfen. | Windows 7: PC voller Trojaner »


Ähnliche Themen: Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild.


  1. Windows 7 Bildschirm bei hochfahren an / beim Einlog-Bildschirm kein Bild
    Alles rund um Windows - 23.08.2015 (1)
  2. Beim Windows Hochfahren zahlreiche ".exe Ungültiges Bild" Meldungen
    Plagegeister aller Art und deren Bekämpfung - 14.03.2015 (6)
  3. Windows/Desktop läd ganz normal, bleibt dann doch hängen
    Plagegeister aller Art und deren Bekämpfung - 03.03.2015 (33)
  4. Windows 7: BIOS und Win. start up sind schwarz. Bild erst bei Desktop wieder.
    Log-Analyse und Auswertung - 16.05.2014 (7)
  5. Nur noch Desktop Hintergrund-Bild oder weißer Bildschirm zu sehen
    Plagegeister aller Art und deren Bekämpfung - 07.07.2013 (9)
  6. Kein Bild nach Hochfahren!
    Plagegeister aller Art und deren Bekämpfung - 28.04.2013 (0)
  7. Windows XP fährt hoch, zeigt erst Desktop Bild, dann weißer Bildschirm
    Plagegeister aller Art und deren Bekämpfung - 28.01.2013 (21)
  8. Kein Bild beim Hochfahren
    Netzwerk und Hardware - 08.12.2012 (2)
  9. Nach Win7-Benutzer Anmeldung, kurz Desktop. dann weißer Bildschirm mit Cursor
    Plagegeister aller Art und deren Bekämpfung - 28.11.2012 (23)
  10. Kurze Hänger, Sound und Bild ruckeln, CPU kurz bei 100%
    Alles rund um Windows - 01.05.2012 (2)
  11. Trojaner, Desktop-Bild ändert sich ungewollt
    Log-Analyse und Auswertung - 25.04.2012 (29)
  12. Pc lässt sich nicht hochfahren nur schwarzes bild mit blau weißen Streifen!
    Netzwerk und Hardware - 03.01.2011 (1)
  13. Beim Start kommt ganz ganz kurz ein Bluescreen und dann ist vorbei! :-(
    Log-Analyse und Auswertung - 18.01.2010 (49)
  14. Bild beim Hochfahren verschoben
    Alles rund um Windows - 26.07.2009 (2)
  15. Beim Start schwarzes Bild
    Log-Analyse und Auswertung - 21.07.2009 (46)
  16. Problem mit dme bild beim laptop
    Alles rund um Windows - 10.06.2008 (1)
  17. HILFEEEEEEEE!!!!!!!!Rechner bleibt hängen und Bild wird kurz schwarz!!!!!!!!!!
    Mülltonne - 27.07.2007 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild. - Mein Laptop zeigt nach dem hochfahren ganz kurz den Desktop an,und danach nur noch ein weises Bild.Die Maus kann ich sehen und auch bewegen. Strg+Alt+Entf funktioniert, aber der Taskmanager nicht, - Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild....
Archiv
Du betrachtest: Weises Bild, beim hochfahren sehe ich nur ganz kurz den Desktop,dann nur noch weises bild. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55