interpool trojaner

krapfl · 03.02.2014, 21:57

hallo
habe auf einem laptop einen interpool trojaner
gescannt mit FRST
bräuchte die fix datei

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 01-02-2014 03
Ran by SYSTEM on MININT-O7UPTIF on 03-02-2014 22:20:48
Running from F:\
Windows 7 Professional Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> If the system is bootable FRST could be run from normal or Safe mode to create a complete log.



==================== Registry (Whitelisted) ==================

HKLM\...\Run: [HPCam_Menu] - C:\Program Files\Hewlett-Packard\HP Webcam\MUITransfer\MUIStartMenu.exe [218408 2009-02-25] (CyberLink Corp.)
HKLM\...\Run: [WatchDog] - C:\Program Files\InterVideo\DVD8SESD\DVDCheck.exe [200848 2009-04-03] (InterVideo Inc.)
HKLM\...\Run: [PDF Complete] - C:\Program Files\PDF Complete\pdfsty.exe [319000 2008-08-08] (PDF Complete Inc)
HKLM\...\Run: [SUPERDVR] - "C:\Program Files\PC DVR Guardian\PC DVR Guardian\SuperDVR.EXE" <AUTORUN>
HKLM\...\Run: [MobileConnect] - C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe [2412032 2009-09-18] (Vodafone)
HKLM\...\Run: [avast5] - C:\Program Files\Alwil Software\Avast5\avastUI.exe [2756488 2010-02-11] (ALWIL Software)
HKLM\...\Run: [Sepang Olivetti ModemListener] - C:\Program Files\Chiavetta Internet Olicard 200\BackgroundService\ModemListener.exe [106496 2010-07-23] ()
Startup: C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\7tfr0989.lnk
ShortcutTarget: 7tfr0989.lnk -> C:\ProgramData\9890rft7.jss (hxxp://tortoisesvn.net)
Startup: C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\My Vodafone.it.lnk
ShortcutTarget: My Vodafone.it.lnk ->  (No File)

========================== Services (Whitelisted) =================

S2 avast! Antivirus; C:\Program Files\Alwil Software\Avast5\AvastSvc.exe [40384 2010-02-11] (ALWIL Software)
S3 avast! Mail Scanner; C:\Program Files\Alwil Software\Avast5\AvastSvc.exe [40384 2010-02-11] (ALWIL Software)
S3 avast! Web Scanner; C:\Program Files\Alwil Software\Avast5\AvastSvc.exe [40384 2010-02-11] (ALWIL Software)
S2 Olivetti Silverstone Modem Device Helper; C:\Program Files\Chiavetta Internet Olicard 200\BackgroundService\ServiceManager.exe [45056 2010-07-23] ()
S2 pdfcDispatcher; C:\Program Files\PDF Complete\pdfsvc.exe [777240 2008-08-08] (PDF Complete Inc)
S2 VMCService; C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [9216 2009-09-18] (Vodafone)
S2 Winmgmt; C:\ProgramData\9890rft7.jss [260096 2013-12-19] (hxxp://tortoisesvn.net)

==================== Drivers (Whitelisted) ====================

S2 aswFsBlk; C:\Windows\System32\Drivers\aswFsBlk.sys [19024 2010-02-11] (ALWIL Software)
S2 aswMonFlt; C:\Windows\system32\drivers\aswMonFlt.sys [51792 2010-02-11] (ALWIL Software)
S1 aswRdr; C:\Windows\System32\Drivers\aswRdr.sys [23376 2010-02-11] (ALWIL Software)
S1 aswSP; C:\Windows\System32\Drivers\aswSP.sys [162512 2010-02-11] (ALWIL Software)
S1 aswTdi; C:\Windows\System32\Drivers\aswTdi.sys [46672 2010-02-11] (ALWIL Software)
S3 jrdusbser; C:\Windows\System32\DRIVERS\jrdusbser.sys [105344 2010-08-16] (Olivetti)
S3 Olicard200net; C:\Windows\System32\DRIVERS\Olicard200Usbnet.sys [117760 2010-08-16] (Olivetti)
S3 ZTEusbnet; C:\Windows\System32\DRIVERS\ZTEusbnet.sys [114688 2009-08-18] (ZTE Corporation)
S3 ZTEusbvoice; C:\Windows\System32\DRIVERS\ZTEusbvoice.sys [105088 2009-08-18] (ZTE Incorporated)
S3 MREMP50; \??\C:\PROGRA~1\COMMON~1\Motive\MREMP50.SYS [x]
S3 MREMP50a64; \??\C:\PROGRA~1\COMMON~1\Motive\MREMP50a64.SYS [x]
S3 MREMPR5; \??\C:\PROGRA~1\COMMON~1\Motive\MREMPR5.SYS [x]
S3 MRENDIS5; \??\C:\PROGRA~1\COMMON~1\Motive\MRENDIS5.SYS [x]
S3 MRESP50; \??\C:\PROGRA~1\COMMON~1\Motive\MRESP50.SYS [x]
S3 MRESP50a64; \??\C:\PROGRA~1\COMMON~1\Motive\MRESP50a64.SYS [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-02-03 22:20 - 2014-02-03 22:20 - 00000000 ____D () C:\FRST

==================== One Month Modified Files and Folders =======

2014-02-03 22:20 - 2014-02-03 22:20 - 00000000 ____D () C:\FRST
2014-02-03 22:17 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\System32\LogFiles
2014-02-03 22:00 - 2013-12-19 20:49 - 95025368 ____T () C:\ProgramData\7tfr0989.fee
2014-02-03 22:00 - 2013-12-19 20:49 - 00000000 _____ () C:\ProgramData\7tfr0989.odd
2014-02-03 21:59 - 2009-07-14 05:39 - 00047234 _____ () C:\Windows\setupact.log
2014-02-03 21:52 - 2010-02-12 19:39 - 01079169 _____ () C:\Windows\WindowsUpdate.log
2014-02-03 21:49 - 2009-07-14 05:34 - 00015712 ____H () C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-02-03 21:49 - 2009-07-14 05:34 - 00015712 ____H () C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-02-03 21:27 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\Microsoft.NET
2014-02-03 21:19 - 2010-02-12 19:43 - 01528472 _____ () C:\Windows\System32\PerfStringBackup.INI

Files to move or delete:
====================
C:\ProgramData\7tfr0989.fee
C:\ProgramData\7tfr0989.odd
C:\ProgramData\7tfr0989.reg
C:\ProgramData\9890rft7.jss


Some content of TEMP:
====================
C:\Users\Hubert\AppData\Local\Temp\qdg.dll
C:\Users\Hubert\AppData\Local\Temp\SpOrder.dll
C:\Users\Hubert\AppData\Local\Temp\_is848A.exe


==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2011-05-31 19:42:44
Restore point made on: 2011-05-31 20:52:56
Restore point made on: 2011-06-22 19:07:45
Restore point made on: 2011-06-23 19:49:05
Restore point made on: 2011-06-26 08:53:40
Restore point made on: 2011-06-26 16:58:59
Restore point made on: 2011-08-09 21:07:01
Restore point made on: 2011-09-18 09:24:44
Restore point made on: 2012-07-15 20:17:53
Restore point made on: 2012-07-15 20:24:15
Restore point made on: 2013-01-25 22:04:41
Restore point made on: 2013-01-25 22:30:10
Restore point made on: 2013-07-25 14:32:06
Restore point made on: 2013-12-09 08:41:18
Restore point made on: 2013-12-09 13:07:28
Restore point made on: 2014-02-03 21:17:38

==================== Memory info ===========================

Percentage of memory in use: 13%
Total physical RAM: 4087.3 MB
Available physical RAM: 3554.63 MB
Total Pagefile: 4085.59 MB
Available Pagefile: 3558.78 MB
Total Virtual: 2047.88 MB
Available Virtual: 1940.88 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:297.99 GB) (Free:169.28 GB) NTFS
Drive e: (GSP1RMCSTFREO_DE_DVD) (CDROM) (Total:2.34 GB) (Free:0 GB) UDF
Drive f: () (Removable) (Total:0.24 GB) (Free:0.12 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 298 GB) (Disk ID: C38EA4DF)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=298 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 246 MB) (Disk ID: C3072E18)
Partition 1: (Not Active) - (Size=245 MB) - (Type=0B)


LastRegBack: 2013-12-09 08:35

==================== End Of Log ============================

--- --- ---

sunjojo · 03.02.2014, 22:22

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld

krapfl · 03.02.2014, 22:31

habe gerade probiert mit der MTDVD zu starten und bin gerade dabei die besagten dateien zu löschen darf ich das? oder gibt es da probleme

dann ein antivirus drüberlaufen lassen müsste gehn

Files to move or delete:
====================
C:\ProgramData\7tfr0989.fee
C:\ProgramData\7tfr0989.odd
C:\ProgramData\7tfr0989.reg
C:\ProgramData\9890rft7.jss

Some content of TEMP:
====================
C:\Users\Hubert\AppData\Local\Temp\qdg.dll
C:\Users\Hubert\AppData\Local\Temp\SpOrder.dll
C:\Users\Hubert\AppData\Local\Temp\_is848A.exe

sunjojo · 03.02.2014, 22:36

Zitat:

habe gerade probiert mit der MTDVD zu starten und bin gerade dabei die besagten dateien zu löschen darf ich das? oder gibt es da probleme

Warte bitte auf meine Anweisungen. Ich werde die schädlichen Dateien schon alle löschen

.

krapfl · 03.02.2014, 22:37

ups hab sie schon gelöscht die oben genannten
Laptop startet wieder nur beim start kommt dll... nicht gefunden aber das werd ich vom autostart entfernen

Problem ist behoben! autostart eintrag entfernt
Pc ist wieder der alte

Malwarebytes Anti-Rootkit drauf durchzuchacken ob alles sauber ist

sunjojo · 03.02.2014, 22:49

Zitat:

ups hab sie schon gelöscht die oben genannten
Laptop startet wieder nur beim start kommt dll... nicht gefunden aber das werd ich vom autostart entfernen

Problem ist behoben! autostart eintrag entfernt

Na gut, wenn du die Dateien schon selber gelöscht hast, mach bitte mit dem nächsten Schritt weiter.

Zitat:

Malwarebytes Anti-Rootkit drauf durchzuchacken ob alles sauber ist

Wenn du ständig selbst Tools ausführst und Dateien löscht, ist es unmöglich dir zu helfen. Wenn du jetzt schon Malwarebytes Anti Rootkit ausgeführt hast, poste bitte auch das Logfile in deiner nächsten Antwort.

Verschiebe die FRST.exe von deinem USB-Stick auf deinen Computer.
Schritt 1
Starte noch einmal FRST.

Setze einen Haken bei Addition.txt und drücke auf Scan.
Wenn der Scan abgeschlossen ist, werden zwei neue Logfiles FRST.txt und Addition.txt erstellt und auf dem Desktop gespeichert.
Poste den Inhalt der Logfiles bitte hier in deinen Thread.

Poste folgende Logfiles in deiner nächsten Antwort:

FRST-Scan

krapfl · 03.02.2014, 23:01

Addition.txt

Code:

ATTFilter

ï»¿Additional scan result of Farbar Recovery Scan Tool (x86) Version: 01-02-2014 03
Ran by Hubert at 2014-02-03 23:31:28
Running from C:\
Boot Mode: Normal
==========================================================


==================== Security Center ========================


==================== Installed Programs ======================

Adobe Acrobat 4.0 (Version: 4.0 - Adobe Systems, Inc.)
Adobe Flash Player 10 ActiveX (Version: 10.0.45.2 - Adobe Systems Incorporated)
avast! Free Antivirus (Version: 5.0.418.0 - Alwil Software)
Chiavetta Internet Olicard 200 (Version:  - Olivetti)
DriverEasy version 1.0.2 (Version:  - Easeware)
HP Integrated Module with Bluetooth wireless technology (Version: 6.2.0.9602 - Broadcom Corporation)
HP User Guides 0140 (Version: 1.00.0000 - Hewlett-Packard)
HP Webcam (Version: 1.0.2710 - CyberLink Corp.)
HP Webcam (Version: 1.0.2710 - CyberLink Corp.) Hidden
Intel(R) Graphics Media Accelerator Driver (Version: 8.15.10.1930 - Intel Corporation)
Intel(R) TV Wizard (Version:  - Intel Corporation)
InterVideo WinDVD 8 (Version: 8.5-B0.156 - InterVideo Inc.)
InterVideo WinDVD 8 (Version: 8.5-B0.156 - InterVideo Inc.) Hidden
Marvell Miniport Driver (Version: 11.23.2.3 - Marvell)
Mercurius 4.3.0 Deutsch DEMO (Version:  - )
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319 - Microsoft Corporation) Hidden
Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319 - Microsoft Corporation)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319 - Microsoft Corporation) Hidden
Microsoft Office Professional Edition 2003 (Version: 11.0.5614.0 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (Version: 8.0.50727.42 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (Version: 8.0.56336 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (Version: 9.0.30729.4148 - Microsoft Corporation)
MSXML 4.0 SP2 (KB954430) (Version: 4.20.9870.0 - Microsoft Corporation)
MSXML 4.0 SP2 (KB973688) (Version: 4.20.9876.0 - Microsoft Corporation)
My Vodafone.it (Version:  - Vodafone)
nobox CADdy++ basic (Version:  - )
PC DVR Guardian (Version:  - )
PDF Complete (Version: 3.5.57 - PDF Complete, Inc.)
RealFlight Basic R/C Simulator (Version:  - )
Roxio Activation Module (Version: 1.0 - Roxio) Hidden
Roxio Creator Audio (Version: 3.7.0 - Roxio) Hidden
Roxio Creator Business (Version: 10.1 - Roxio)
Roxio Creator Business v10 (Version: 3.7.0 - Roxio) Hidden
Roxio Creator Copy (Version: 3.7.0 - Roxio) Hidden
Roxio Creator Data (Version: 3.7.0 - Roxio) Hidden
Roxio Creator Tools (Version: 3.7.0 - Roxio) Hidden
Roxio Express Labeler 3 (Version: 3.2.2 - Roxio) Hidden
Roxio MyDVD (Version: 10.1.048 - Roxio) Hidden
Sonic CinePlayer Decoder Pack (Version: 4.3.0 - Sonic Solutions) Hidden
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (Version: 1 - Microsoft Corporation)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (Version: 1 - Microsoft Corporation)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (Version: 1 - Microsoft Corporation)
Vodafone Mobile Connect (Version: 9.4.4.17702 - Vodafone)

==================== Restore Points  =========================

Could not list Restore Points. Check WMI.


==================== Hosts content: ==========================

2009-07-14 03:04 - 2009-06-10 22:39 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

Task: {ABF343FB-AC54-4D3A-9B0C-01BD23FAD54C} - System32\Tasks\IHUninstallTrackingTASK => CMD
Task: {EA635852-B377-4034-BFCB-6FC8A7BF5EBD} - System32\Tasks\IHSelfDeleteTASK => CMD

==================== Loaded Modules (whitelisted) =============


==================== Alternate Data Streams (whitelisted) =========


==================== Safe Mode (whitelisted) ===================


==================== Faulty Device Manager Devices =============

Could not list Devices. Check WMI.


==================== Event log errors: =========================

Application errors:
==================
Error: (02/03/2014 09:54:53 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: taskmgr.exe, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc13c
Name des fehlerhaften Moduls: taskmgr.exe, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc13c
Ausnahmecode: 0xc0000005
Fehleroffset: 0x0000c24a
ID des fehlerhaften Prozesses: 0xe84
Startzeit der fehlerhaften Anwendung: 0xtaskmgr.exe0
Pfad der fehlerhaften Anwendung: taskmgr.exe1
Pfad des fehlerhaften Moduls: taskmgr.exe2
Berichtskennung: taskmgr.exe3

Error: (02/03/2014 09:51:27 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: taskmgr.exe, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc13c
Name des fehlerhaften Moduls: taskmgr.exe, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc13c
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00001a70
ID des fehlerhaften Prozesses: 0xf50
Startzeit der fehlerhaften Anwendung: 0xtaskmgr.exe0
Pfad der fehlerhaften Anwendung: taskmgr.exe1
Pfad des fehlerhaften Moduls: taskmgr.exe2
Berichtskennung: taskmgr.exe3

Error: (02/03/2014 09:51:19 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: taskmgr.exe, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc13c
Name des fehlerhaften Moduls: taskmgr.exe, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc13c
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00001a70
ID des fehlerhaften Prozesses: 0xeb0
Startzeit der fehlerhaften Anwendung: 0xtaskmgr.exe0
Pfad der fehlerhaften Anwendung: taskmgr.exe1
Pfad des fehlerhaften Moduls: taskmgr.exe2
Berichtskennung: taskmgr.exe3

Error: (12/31/2013 07:01:55 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: taskmgr.exe, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc13c
Name des fehlerhaften Moduls: taskmgr.exe, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc13c
Ausnahmecode: 0xc0000005
Fehleroffset: 0x0000c24a
ID des fehlerhaften Prozesses: 0xc34
Startzeit der fehlerhaften Anwendung: 0xtaskmgr.exe0
Pfad der fehlerhaften Anwendung: taskmgr.exe1
Pfad des fehlerhaften Moduls: taskmgr.exe2
Berichtskennung: taskmgr.exe3

Error: (12/31/2013 07:01:48 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: taskmgr.exe, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc13c
Name des fehlerhaften Moduls: taskmgr.exe, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc13c
Ausnahmecode: 0xc0000005
Fehleroffset: 0x0000c24a
ID des fehlerhaften Prozesses: 0x440
Startzeit der fehlerhaften Anwendung: 0xtaskmgr.exe0
Pfad der fehlerhaften Anwendung: taskmgr.exe1
Pfad des fehlerhaften Moduls: taskmgr.exe2
Berichtskennung: taskmgr.exe3

Error: (12/31/2013 07:01:40 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: taskmgr.exe, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc13c
Name des fehlerhaften Moduls: taskmgr.exe, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc13c
Ausnahmecode: 0xc0000005
Fehleroffset: 0x0000c24a
ID des fehlerhaften Prozesses: 0xc54
Startzeit der fehlerhaften Anwendung: 0xtaskmgr.exe0
Pfad der fehlerhaften Anwendung: taskmgr.exe1
Pfad des fehlerhaften Moduls: taskmgr.exe2
Berichtskennung: taskmgr.exe3

Error: (12/19/2013 09:10:00 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: taskmgr.exe, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc13c
Name des fehlerhaften Moduls: taskmgr.exe, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc13c
Ausnahmecode: 0xc0000005
Fehleroffset: 0x0000c24a
ID des fehlerhaften Prozesses: 0xe8c
Startzeit der fehlerhaften Anwendung: 0xtaskmgr.exe0
Pfad der fehlerhaften Anwendung: taskmgr.exe1
Pfad des fehlerhaften Moduls: taskmgr.exe2
Berichtskennung: taskmgr.exe3

Error: (12/19/2013 09:09:52 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: taskmgr.exe, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc13c
Name des fehlerhaften Moduls: taskmgr.exe, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc13c
Ausnahmecode: 0xc0000005
Fehleroffset: 0x000033be
ID des fehlerhaften Prozesses: 0x9bc
Startzeit der fehlerhaften Anwendung: 0xtaskmgr.exe0
Pfad der fehlerhaften Anwendung: taskmgr.exe1
Pfad des fehlerhaften Moduls: taskmgr.exe2
Berichtskennung: taskmgr.exe3

Error: (12/19/2013 09:09:43 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: taskmgr.exe, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc13c
Name des fehlerhaften Moduls: taskmgr.exe, Version: 6.1.7600.16385, Zeitstempel: 0x4a5bc13c
Ausnahmecode: 0xc0000005
Fehleroffset: 0x0000c24a
ID des fehlerhaften Prozesses: 0xd94
Startzeit der fehlerhaften Anwendung: 0xtaskmgr.exe0
Pfad der fehlerhaften Anwendung: taskmgr.exe1
Pfad des fehlerhaften Moduls: taskmgr.exe2
Berichtskennung: taskmgr.exe3

Error: (07/25/2013 02:20:32 PM) (Source: Microsoft-Windows-CAPI2) (User: )
Description: Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>. Fehler: Ein erforderliches Zertifikat befindet sich nicht im GÃ¼ltigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.


System errors:
=============
Error: (02/03/2014 11:36:27 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet:
%%126

Error: (02/03/2014 11:35:57 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet:
%%126

Error: (02/03/2014 11:35:27 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet:
%%126

Error: (02/03/2014 11:34:57 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet:
%%126

Error: (02/03/2014 11:34:27 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet:
%%126

Error: (02/03/2014 11:33:57 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet:
%%126

Error: (02/03/2014 11:33:27 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet:
%%126

Error: (02/03/2014 11:32:57 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet:
%%126

Error: (02/03/2014 11:32:27 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet:
%%126

Error: (02/03/2014 11:31:57 PM) (Source: Service Control Manager) (User: )
Description: Der Dienst "Windows-Verwaltungsinstrumentation" wurde mit folgendem Fehler beendet:
%%126


Microsoft Office Sessions:
=========================
Error: (02/03/2014 09:54:53 PM) (Source: Application Error)(User: )
Description: taskmgr.exe6.1.7600.163854a5bc13ctaskmgr.exe6.1.7600.163854a5bc13cc00000050000c24ae8401cf21222f056b61C:\Windows\system32\taskmgr.exeC:\Windows\system32\taskmgr.exe6dba2eff-8d15-11e3-b824-0025b36dc32d

Error: (02/03/2014 09:51:27 PM) (Source: Application Error)(User: )
Description: taskmgr.exe6.1.7600.163854a5bc13ctaskmgr.exe6.1.7600.163854a5bc13cc000000500001a70f5001cf2121b4a09ec0C:\Windows\system32\taskmgr.exeC:\Windows\system32\taskmgr.exef2f16893-8d14-11e3-bac2-0025b36dc32d

Error: (02/03/2014 09:51:19 PM) (Source: Application Error)(User: )
Description: taskmgr.exe6.1.7600.163854a5bc13ctaskmgr.exe6.1.7600.163854a5bc13cc000000500001a70eb001cf2121af5fb545C:\Windows\system32\taskmgr.exeC:\Windows\system32\taskmgr.exeeddb57dd-8d14-11e3-bac2-0025b36dc32d

Error: (12/31/2013 07:01:55 PM) (Source: Application Error)(User: )
Description: taskmgr.exe6.1.7600.163854a5bc13ctaskmgr.exe6.1.7600.163854a5bc13cc00000050000c24ac3401cf065263749949C:\Windows\system32\taskmgr.exeC:\Windows\system32\taskmgr.exea1c0a05b-7245-11e3-8df8-0025b36dc32d

Error: (12/31/2013 07:01:48 PM) (Source: Application Error)(User: )
Description: taskmgr.exe6.1.7600.163854a5bc13ctaskmgr.exe6.1.7600.163854a5bc13cc00000050000c24a44001cf06525f456e0dC:\Windows\system32\taskmgr.exeC:\Windows\system32\taskmgr.exe9d87ef9f-7245-11e3-8df8-0025b36dc32d

Error: (12/31/2013 07:01:40 PM) (Source: Application Error)(User: )
Description: taskmgr.exe6.1.7600.163854a5bc13ctaskmgr.exe6.1.7600.163854a5bc13cc00000050000c24ac5401cf06525a615a3dC:\Windows\system32\taskmgr.exeC:\Windows\system32\taskmgr.exe98f98d59-7245-11e3-8df8-0025b36dc32d

Error: (12/19/2013 09:10:00 PM) (Source: Application Error)(User: )
Description: taskmgr.exe6.1.7600.163854a5bc13ctaskmgr.exe6.1.7600.163854a5bc13cc00000050000c24ae8c01cefcf64b334538C:\Windows\system32\taskmgr.exeC:\Windows\system32\taskmgr.exe8981adab-68e9-11e3-8df8-0025b36dc32d

Error: (12/19/2013 09:09:52 PM) (Source: Application Error)(User: )
Description: taskmgr.exe6.1.7600.163854a5bc13ctaskmgr.exe6.1.7600.163854a5bc13cc0000005000033be9bc01cefcf64609db38C:\Windows\system32\taskmgr.exeC:\Windows\system32\taskmgr.exe850193a7-68e9-11e3-8df8-0025b36dc32d

Error: (12/19/2013 09:09:43 PM) (Source: Application Error)(User: )
Description: taskmgr.exe6.1.7600.163854a5bc13ctaskmgr.exe6.1.7600.163854a5bc13cc00000050000c24ad9401cefcf640835d31C:\Windows\system32\taskmgr.exeC:\Windows\system32\taskmgr.exe7f54b153-68e9-11e3-8df8-0025b36dc32d

Error: (07/25/2013 02:20:32 PM) (Source: Microsoft-Windows-CAPI2)(User: )
Description: hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cabEin erforderliches Zertifikat befindet sich nicht im GÃ¼ltigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.


==================== Memory info ===========================

Percentage of memory in use: 34%
Total physical RAM: 3063.3 MB
Available physical RAM: 2002.73 MB
Total Pagefile: 6124.89 MB
Available Pagefile: 5032.16 MB
Total Virtual: 2047.88 MB
Available Virtual: 1914.64 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:297.99 GB) (Free:169.33 GB) NTFS
Drive e: () (Removable) (Total:0.24 GB) (Free:0.11 GB) FAT32

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 298 GB) (Disk ID: C38EA4DF)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=298 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 246 MB) (Disk ID: C3072E18)
Partition 1: (Not Active) - (Size=245 MB) - (Type=0B)

==================== End Of Log ============================

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 01-02-2014 03
Ran by Hubert (administrator) on HUBERT-PC on 03-02-2014 23:29:23
Running from C:\
Windows 7 Professional (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Normal


ATTENTION: If processes are not listed WMI should be repaired.


==================== Processes (Whitelisted) ===================



==================== Registry (Whitelisted) ==================

HKLM\...\Run: [HPCam_Menu] - C:\Program Files\Hewlett-Packard\HP Webcam\MUITransfer\MUIStartMenu.exe [218408 2009-02-25] (CyberLink Corp.)
HKLM\...\Run: [WatchDog] - C:\Program Files\InterVideo\DVD8SESD\DVDCheck.exe [200848 2009-04-03] (InterVideo Inc.)
HKLM\...\Run: [PDF Complete] - C:\Program Files\PDF Complete\pdfsty.exe [319000 2008-08-08] (PDF Complete Inc)
HKLM\...\Run: [SUPERDVR] - "C:\Program Files\PC DVR Guardian\PC DVR Guardian\SuperDVR.EXE" <AUTORUN>
HKLM\...\Run: [MobileConnect] - C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe [2412032 2009-09-18] (Vodafone)
HKLM\...\Run: [avast5] - C:\Program Files\Alwil Software\Avast5\avastUI.exe [2756488 2010-02-11] (ALWIL Software)
HKLM\...\Run: [Sepang Olivetti ModemListener] - C:\Program Files\Chiavetta Internet Olicard 200\BackgroundService\ModemListener.exe [106496 2010-07-23] ()
HKU\S-1-5-21-942501431-2388128473-4280592344-1000\...\MountPoints2: E - E:\setup_vmc_lite.exe /checkApplicationPresence
HKU\S-1-5-21-942501431-2388128473-4280592344-1000\...\MountPoints2: {d13d0765-9fc8-11e0-87a4-0025b36dc32d} - E:\StartVMCLite.exe
HKU\S-1-5-21-942501431-2388128473-4280592344-1000\...\MountPoints2: {d13d0767-9fc8-11e0-87a4-0025b36dc32d} - E:\StartVMCLite.exe
HKU\S-1-5-21-942501431-2388128473-4280592344-1000\...\MountPoints2: {e264d223-214e-11df-b887-00247e96ab89} - E:\setup_vmc_lite.exe /checkApplicationPresence
Startup: C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\My Vodafone.it.lnk
ShortcutTarget: My Vodafone.it.lnk -> C:\Users\Hubert\AppData\Roaming\mioObjects\[objects]\69GWEU9386MTAR08.mio ()

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0xC96D5F9FF3FCCE01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
Handler: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
Winsock: Catalog9 01 bmnet.dll File Not found ()
Winsock: Catalog9 02 bmnet.dll File Not found ()
Winsock: Catalog9 03 bmnet.dll File Not found ()

========================== Services (Whitelisted) =================

R2 avast! Antivirus; C:\Program Files\Alwil Software\Avast5\AvastSvc.exe [40384 2010-02-11] (ALWIL Software)
S3 avast! Mail Scanner; C:\Program Files\Alwil Software\Avast5\AvastSvc.exe [40384 2010-02-11] (ALWIL Software)
S3 avast! Web Scanner; C:\Program Files\Alwil Software\Avast5\AvastSvc.exe [40384 2010-02-11] (ALWIL Software)
R2 Olivetti Silverstone Modem Device Helper; C:\Program Files\Chiavetta Internet Olicard 200\BackgroundService\ServiceManager.exe [45056 2010-07-23] ()
R2 pdfcDispatcher; C:\Program Files\PDF Complete\pdfsvc.exe [777240 2008-08-08] (PDF Complete Inc)
S2 VMCService; C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [9216 2009-09-18] (Vodafone)
S2 Winmgmt; C:\PROGRA~2\9890rft7.jss [x]

==================== Drivers (Whitelisted) ====================

R2 aswFsBlk; C:\Windows\system32\Drivers\aswFsBlk.sys [19024 2010-02-11] (ALWIL Software)
R2 aswMonFlt; C:\Windows\system32\drivers\aswMonFlt.sys [51792 2010-02-11] (ALWIL Software)
R1 aswRdr; C:\Windows\system32\Drivers\aswRdr.sys [23376 2010-02-11] (ALWIL Software)
R1 aswSP; C:\Windows\system32\Drivers\aswSP.sys [162512 2010-02-11] (ALWIL Software)
R1 aswTdi; C:\Windows\system32\Drivers\aswTdi.sys [46672 2010-02-11] (ALWIL Software)
S3 jrdusbser; C:\Windows\System32\DRIVERS\jrdusbser.sys [105344 2010-08-16] (Olivetti)
S3 Olicard200net; C:\Windows\System32\DRIVERS\Olicard200Usbnet.sys [117760 2010-08-16] (Olivetti)
S3 ZTEusbnet; C:\Windows\System32\DRIVERS\ZTEusbnet.sys [114688 2009-08-18] (ZTE Corporation)
S3 ZTEusbvoice; C:\Windows\System32\DRIVERS\ZTEusbvoice.sys [105088 2009-08-18] (ZTE Incorporated)
S3 MREMP50; \??\C:\PROGRA~1\COMMON~1\Motive\MREMP50.SYS [x]
S3 MREMP50a64; \??\C:\PROGRA~1\COMMON~1\Motive\MREMP50a64.SYS [x]
S3 MREMPR5; \??\C:\PROGRA~1\COMMON~1\Motive\MREMPR5.SYS [x]
S3 MRENDIS5; \??\C:\PROGRA~1\COMMON~1\Motive\MRENDIS5.SYS [x]
S3 MRESP50; \??\C:\PROGRA~1\COMMON~1\Motive\MRESP50.SYS [x]
S3 MRESP50a64; \??\C:\PROGRA~1\COMMON~1\Motive\MRESP50a64.SYS [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-02-03 23:29 - 2014-02-03 23:30 - 00005554 _____ () C:\FRST.txt
2014-02-03 23:28 - 2014-02-03 20:34 - 01137152 _____ (Farbar) C:\FRST.exe
2014-02-03 23:20 - 2014-02-03 23:20 - 00000000 ____D () C:\Windows\pss
2014-02-03 22:20 - 2014-02-03 23:29 - 00000000 ____D () C:\FRST

==================== One Month Modified Files and Folders =======

2014-02-03 23:31 - 2010-02-12 19:39 - 01505254 _____ () C:\Windows\WindowsUpdate.log
2014-02-03 23:30 - 2014-02-03 23:29 - 00005554 _____ () C:\FRST.txt
2014-02-03 23:29 - 2014-02-03 22:20 - 00000000 ____D () C:\FRST
2014-02-03 23:29 - 2009-07-14 05:34 - 00015712 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-02-03 23:29 - 2009-07-14 05:34 - 00015712 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-02-03 23:21 - 2009-07-14 05:53 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2014-02-03 23:21 - 2009-07-14 05:39 - 00047402 _____ () C:\Windows\setupact.log
2014-02-03 23:20 - 2014-02-03 23:20 - 00000000 ____D () C:\Windows\pss
2014-02-03 22:17 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\system32\LogFiles
2014-02-03 21:27 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\Microsoft.NET
2014-02-03 21:19 - 2010-02-12 19:43 - 01528472 _____ () C:\Windows\system32\PerfStringBackup.INI
2014-02-03 20:34 - 2014-02-03 23:28 - 01137152 _____ (Farbar) C:\FRST.exe

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\system32\winlogon.exe => MD5 is legit
C:\Windows\system32\wininit.exe => MD5 is legit
C:\Windows\system32\svchost.exe => MD5 is legit
C:\Windows\system32\services.exe => MD5 is legit
C:\Windows\system32\User32.dll => MD5 is legit
C:\Windows\system32\userinit.exe => MD5 is legit
C:\Windows\system32\rpcss.dll => MD5 is legit
C:\Windows\system32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-12-09 08:35

==================== End Of Log ============================

--- --- ---

cccleander startet gerade durch!!!

sunjojo · 04.02.2014, 11:56

Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

S2 Winmgmt; C:\PROGRA~2\9890rft7.jss [x]

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Schritt 2
Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4
Starte noch einmal FRST.

Ändere keine der Voreinstellungen und drücke auf Scan.
Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Gibt es noch Probleme mit dem Rechner?

Poste folgende Logfiles in deiner nächsten Antwort:

FRST-Fix
MBAM-Scan
ESET-Scan
FRST-Scan

sunjojo · 07.02.2014, 17:11

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen

sunjojo · 09.02.2014, 11:42

Fehlende Rückmeldung

Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten. Falls du weitermachen willst, schicke mir bitte eine private Nachricht.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte folgendes lesen: http://www.trojaner-board.de/69886-a...-beachten.html und einen eigenen Thread erstellen.

03.02.2014, 22:22	#2
sunjojo /// Malwareteam	interpool trojaner Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen. Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst. Ich bedanke mich für deine Geduld __________________ __________________

interpool trojaner

Log-Analyse und Auswertung: interpool trojaner