| |
| |||||||
Log-Analyse und Auswertung: Windows 7 - BKA Trojaner erscheint nach der AnmeldungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
13.01.2014, 08:46
| #1 |
| |  Windows 7 - BKA Trojaner erscheint nach der Anmeldung Hallo Zusammen, ich hoffe, Ihr habt alle einen geruhsamen Start ins neue Jahr gehabt, und findet evtl. Zeit mir bei meinem Problem zu helfen. Seit ein paar Monaten ist mein Rechner von dem BKA-Trojaner befallen, und nach einigen erfolglosen Versuchen, das Problem selbst zu bereinigen, wende ich mich nun an euch, in der Hoffnung, dass Ihr mir helfen könnt. Nun zum Problem: Sobald ich mich in Windows 7 mit Benutzername und Kennwort anmelde, erscheint der BKA-Bildschirm und nichts geht mehr (mit dem Affengriff sieht man zwar, dass ein Prozess im Hintergrund abläuft, aber mehr kann ich als Laie auch nicht sehen). Ich habe mir FRST runtergeladen und den Scan durch geführt, unten anstehend poste ich nun das Logfile. Danke im Voraus für Eure Hilfe und viele Grüße FRST Logfile: FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 05-01-2014
Ran by SYSTEM on MININT-CLPMLAS on 11-01-2014 13:33:22
Running from F:\
Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Recovery
The current controlset is ControlSet001
ATTENTION!:=====> If the system is bootable FRST could be run from normal or Safe mode to create a complete log.
==================== Registry (Whitelisted) ==================
HKLM\...\Run: [Zune Launcher] - C:\Program Files\Zune\ZuneLauncher.exe [163552 2011-08-05] (Microsoft Corporation)
HKLM-x32\...\Run: [WinampAgent] - C:\Program Files (x86)\Winamp\winampa.exe [74752 2011-07-11] (Nullsoft, Inc.)
HKLM-x32\...\Run: [Conime] - %windir%\system32\conime.exe
HKLM-x32\...\Run: [AppleSyncNotifier] - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe [59240 2011-09-27] (Apple Inc.)
HKLM-x32\...\Run: [APSDaemon] - C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-01-28] (Apple Inc.)
HKLM-x32\...\Run: [SunJavaUpdateSched] - C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [254696 2012-01-18] (Sun Microsystems, Inc.)
HKLM-x32\...\Run: [ApnUpdater] - C:\Program Files (x86)\Ask.com\Updater\Updater.exe [1557160 2012-04-18] (Ask)
HKLM-x32\...\Run: [avgnt] - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [348664 2012-08-08] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [QuickTime Task] - C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2012-10-25] (Apple Inc.)
HKLM-x32\...\Run: [iTunesHelper] - C:\Program Files (x86)\iTunes\iTunesHelper.exe [152392 2013-02-20] (Apple Inc.)
HKLM-x32\...\Run: [] - [x]
HKLM-x32\...\Run: [SearchSettings] - C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe [1297728 2013-02-23] (Spigot, Inc.)
HKLM-x32\...\Run: [MailCheck IE Broker] - C:\Program Files (x86)\GMX MailCheck\IE\GMX_MailCheck_Broker.exe [1430592 2013-03-15] (1und1 Mail und Media GmbH)
HKU\Daniel Herschbach\...\Run: [Comrade.exe] - C:\Program Files (x86)\GameSpy\Comrade\Comrade.exe [36864 2007-06-29] (IGN Entertainment Inc.)
HKU\Daniel Herschbach\...\Run: [Google Update] - C:\Users\Daniel Herschbach\AppData\Local\Google\Update\GoogleUpdate.exe [136176 2011-07-10] (Google Inc.)
HKU\Daniel Herschbach\...\Run: [Pando Media Booster] - C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe [3077528 2011-07-17] ()
HKU\Daniel Herschbach\...\Run: [Steam] - C:\Program Files (x86)\Steam\Steam.exe [1631144 2013-03-29] (Valve Corporation)
HKU\Daniel Herschbach\...\Run: [MobileDocuments] - C:\Program Files (x86)\Common Files\Apple\Internet Services\ubd.exe
HKU\Daniel Herschbach\...\Run: [WA5H2V3Y9CUB1D6ZQSICBDEAEE] - C:\4gEJsVyiA73\58A59837006.exe /q
HKU\Daniel Herschbach\...\Winlogon: [Shell] explorer.exe,C:\Users\Daniel Herschbach\AppData\Roaming\skype.dat [107520 2011-11-17] () <==== ATTENTION
Startup: C:\Users\Daniel Herschbach\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
ShortcutTarget: ctfmon.lnk -> C:\ProgramData\lsass.exe (Microsoft Corporation)
Startup: C:\Users\Daniel Herschbach\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk
ShortcutTarget: OpenOffice.org 3.3.lnk -> C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe ()
Startup: C:\Users\Daniel Herschbach\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\setup_9.0.0.722_14.10.2012_06-07.lnk
ShortcutTarget: setup_9.0.0.722_14.10.2012_06-07.lnk -> C:\windows\system32\config\systemprofile\Desktop\DE-Cleaner powered by Kaspersky\setup_9.0.0.722_14.10.2012_06-07\startup.exe (No File)
==================== Services (Whitelisted) =================
S2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [86224 2012-05-02] (Avira Operations GmbH & Co. KG)
S2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [110032 2012-05-01] (Avira Operations GmbH & Co. KG)
S2 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE [465360 2012-05-01] (Avira Operations GmbH & Co. KG)
S2 Freemake Improver; C:\ProgramData\Freemake\FreemakeUtilsService\FreemakeUtilsService.exe [82944 2012-03-27] (Freemake)
S2 NitroReaderDriverReadSpool2; C:\Program Files\Common Files\Nitro PDF\Reader\2.0\NitroPDFReaderDriverService2x64.exe [341296 2011-06-21] (Nitro PDF Software)
S2 PnkBstrA; C:\Windows\SysWow64\PnkBstrA.exe [66872 2011-07-09] ()
S3 aspnet_state; %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [x]
==================== Drivers (Whitelisted) ====================
S1 30480661; C:\Windows\System32\DRIVERS\30480661.sys [157712 2009-09-25] (Kaspersky Lab)
S0 30480662; C:\Windows\System32\DRIVERS\30480662.sys [40464 2009-10-22] (Kaspersky Lab)
S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [98848 2012-04-24] (Avira GmbH)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [132832 2012-04-27] (Avira GmbH)
S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [27760 2012-05-02] (Avira GmbH)
S1 setup_9.0.0.722_14.10.2012_06-07drv; C:\Windows\System32\DRIVERS\3048066.sys [352784 2009-10-09] (Kaspersky Lab)
==================== NetSvcs (Whitelisted) ===================
==================== One Month Created Files and Folders ========
2014-01-11 13:33 - 2014-01-11 13:33 - 00000000 ____D C:\FRST
==================== One Month Modified Files and Folders =======
2014-01-11 13:33 - 2014-01-11 13:33 - 00000000 ____D C:\FRST
2014-01-11 13:28 - 2011-07-31 11:15 - 00000000 ____D C:\ProgramData\Kodak
2014-01-11 13:28 - 2011-07-09 16:42 - 00000000 ____D C:\ProgramData\NVIDIA
2014-01-11 13:28 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2014-01-11 13:28 - 2009-07-14 05:51 - 00110143 _____ C:\Windows\setupact.log
Files to move or delete:
====================
C:\Users\Daniel Herschbach\AppData\Roaming\skype.dat
C:\Users\Daniel Herschbach\AppData\Roaming\skype.ini
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\lsass.exe
Some content of TEMP:
====================
C:\Users\Daniel Herschbach\AppData\Local\Temp\1TPE8AA.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\2jfuweif.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\2VVD7DA.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\3S58D66.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\5zB8CDE.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\8L8311B.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\8LUB630.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\9NZ488D.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\AskSLib.dll
C:\Users\Daniel Herschbach\AppData\Local\Temp\AutoRun.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\AutoRunGUI.dll
C:\Users\Daniel Herschbach\AppData\Local\Temp\C99B3B2.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\cci.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\D7XF57F.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\drm_dyndata_7340014.dll
C:\Users\Daniel Herschbach\AppData\Local\Temp\drm_dyndata_7380009.dll
C:\Users\Daniel Herschbach\AppData\Local\Temp\drm_dyndata_7380015.dll
C:\Users\Daniel Herschbach\AppData\Local\Temp\EUV4E1B.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\ffunzip.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\FreemakeVideoConverter_3.0.2.5.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\GLFC0F7.tmp.ConduitEngineSetup.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\GUR9356.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\GURECC0.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\h2Y295D.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\i3B7E67.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\ihE700.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\installChecker.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\jre-6u31-windows-i586-iftw-rv.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\jre-6u35-windows-i586-iftw.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\neu1gt8d.dll
C:\Users\Daniel Herschbach\AppData\Local\Temp\OCI60E7.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\preisspion.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\prxGLFC0F7.tmp.tbDVDV.dll
C:\Users\Daniel Herschbach\AppData\Local\Temp\prxGLFC9D4.tmp.tbWinl.dll
C:\Users\Daniel Herschbach\AppData\Local\Temp\q3u17E8.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\swt-win32-3349.dll
C:\Users\Daniel Herschbach\AppData\Local\Temp\TW_autoskip.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\winload_community_tb.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\wmfdist.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\wvc1dmo.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\XCX24DE.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\yIAD2D0.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\Zil8CDE.exe
C:\Users\Daniel Herschbach\AppData\Local\Temp\zrbdvdwj.dll
C:\Users\Daniel Herschbach\AppData\Local\Temp\_is35FF.exe
==================== Known DLLs (Whitelisted) ================
==================== Bamital & volsnap Check =================
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
==================== EXE ASSOCIATION =====================
HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK
==================== Restore Points =========================
Restore point made on: 2013-04-10 06:02:24
Restore point made on: 2013-04-10 06:14:53
Restore point made on: 2013-04-16 07:04:47
Restore point made on: 2013-04-19 17:34:17
Restore point made on: 2013-04-23 18:34:03
Restore point made on: 2013-04-23 19:00:00
Restore point made on: 2013-04-27 20:18:28
Restore point made on: 2013-05-02 06:01:45
Restore point made on: 2013-05-07 19:28:41
Restore point made on: 2013-05-11 23:49:55
==================== Memory info ===========================
Percentage of memory in use: 15%
Total physical RAM: 4095.18 MB
Available physical RAM: 3452.74 MB
Total Pagefile: 4093.38 MB
Available Pagefile: 3450.57 MB
Total Virtual: 8192 MB
Available Virtual: 8191.87 MB
==================== Drives ================================
Drive c: () (Fixed) (Total:465.66 GB) (Free:193.05 GB) NTFS
Drive f: (INTENSO) (Removable) (Total:7.37 GB) (Free:5.88 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]
==================== MBR & Partition Table ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: 06139180)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=466 GB) - (Type=07 NTFS)
========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 7 GB) (Disk ID: C3072E18)
Partition 1: (Active) - (Size=7 GB) - (Type=0C)
LastRegBack: 2013-05-17 17:08
==================== End Of Log ============================
--- --- --- |
| Themen zu Windows 7 - BKA Trojaner erscheint nach der Anmeldung |
| anmeldung, association, benutzer, griff, hallo zusammen, hintergrund, hoffe, kennwort, logfile, meldung, nichts geht mehr, pup.optional.freegames.a, pup.optional.installbrain, pup.optional.opencandy, pup.optional.speedanalysis.a, pup.optional.speedtest.a, rechner, trojan.ransom.gen, trojaner, win32/lockscreen.aqd, win32/spy.spyeye.cfg.a, windows 7 |
Baum-Darstellung