Liebes Trojaner-Board Team!

Mein Rechner wurde, vermutlich durch eine mit Schadsoftware befallene Internetseite, mit Malware infiziert. Aufmerksam wurde ich durch eine E-Mail vom Abuse Team der Telekom, dass von meinem Internetanschluss SPAM Mails versendet würden. Der Befall bestätigte sich durch ein Scan mit der unter Windows 7 vorhandenen Software Windows Defender: "Auf dem Computer wurden Programme gefunden, die Ihre Privatshpäre gefährden oder den Computer schädigen können. Warnstufe: Schwerwiegend/Hoch. Zu meiner Schande muss ich gestehen, dass weder das Betriebssystem noch diverse Programme (ich bin sicher, ihr werdet sie alle finden ;-) wie auch der IE nicht "aktuell" sind. Bisher war ich der Meinung, dass eine Portion gesunder Menschenverstand und aktuelle Virensignaturen beim Surfen im Internet ausreichend schützen. Manchmal muss man seine Meinung ändern. Wieder was gelernt! Auch ein Backup zu haben ist sicher nicht schlecht. Aber es nützt wenig, wenn es zu alt ist: Noch was gelernt!

Eine erste Schnellüberprüfung des Systems meldete einen Befall mit Trojan:Win32/Necurs.A. Da ich nicht alles falsch machen und Spuren verwischen wollte, habe ich zunächst versucht, den Schädling unter Quarantäne zu stellen. Zugegeben mit begrenztem Erfolg: Fehler Code 0x8007054f. Interner Fehler. Alles klar? Naja, dann versuche ich halt ihn zu entfernen, dachte ich mir. Zunächst machte ich jedoch einen zweiten Scan, da ich noch nicht so ganz an einen erfolglosen ersten Versuch glauben konnte, oder sagen wir lieber wollte. Das Ergebnis eines zweiten Schnellscans: Befall mit Trojan:Win32/Necurs.A (leider immer noch da) und Trojan:WinNT/Necurs.A auch mit Warnstufe Schwerwiegend/Hoch. Diesmal hatte ich weniger Geduld und versuchte, beide Schädlinge zu entfernen. Windows Defender meldete den Status "Erfolgreich" für WinNT/Necurs.A, jedoch für Win32/Necurs.A mit Status "Fehlerhaft" den zweiten erfolglosen Versuch. Es folgte der Hinweis: "Der Computer muss neu gestartet werden um das entfernen von Spyware und anderer unerwünschter Software abzuschließen."

Bevor ich das tat, fragte ich mich, warum G Data InternetSecurity den Befall eigentlich nicht gemeldet hatte? Ich ahnte Schlimmes und versuchte, es zu starten. Der Splash blieb zunächst beim Initialisieren hängen, bevor G Data AntiVirus sich nach einigen Minuten Wartezeit mit dem Hinweis meldete: "G Data Antivirus kann nicht gestartet werden, weil nicht alle Komponenten initialisiert werden konnten. Bitte starten Sie den Rechner neu." Ich bestätigte mit "OK" und erhielt eine weitere Meldung: "Die RootKit-Prüfung kann nicht mit eingeschränkten Berechtigungen durchgeführt werden." Aha, so ist das also.

Mit einem zugegeben etwas unguten Gefühl startete ich meinen Rechner neu. Dieser bootete träger als sonst und startete mit einem Programm "Systemstartreparatur" und dem Hinweis: "Der Computer konnte nicht gestartet werden. Starthilfe überprüft, ob im System Probleme vorliegen." Für mich begannen bange Minuten, die scheinbar nicht enden wollten. Nach ca. 30 Minuten Wartezeit dann die Bestätigung: "Windows kann diesen Computer nicht automatisch reparieren." Die Diagnose- und Reparatur-Detailinformationen zeigten zum Problemereignis "StartupRepairOffline" einige Problemsignaturen (z.B. 07: CoruptFile) an. Außerdem hieß es: "Wenden Sie sich an den Systemadministrator oder den Computerhersteller, wenn diese Meldung weiterhin angezeigt wird. Klicken Sie auf "Fertig stellen", um den Vorgang zu beenden und den Computer herunterzufahren." Herunterfahren und das war's dann wohl.

Ich gab die Hoffnung noch nicht ganz auf und versuchte einen (normalen) Systemstart. Der Rechner begann zu booten, startete sein Betriebssystem und ist seitdem immer noch hochgefahren. Ein erneuter Scan warnte vor den zwei schon bekannten Trojanern.

Aufgrund der oben geschilderten Erfahrung beim Systemstart scheue ich mich, den Rechner herunterzufahren und/oder neu zu starten. Um nichts falsches zu tun, möchte ich gerne wissen, was ich tun soll bzw. welche Eurer Anleitungen ich verwenden soll. Auf jeden Fall wird es spätestens jetzt Zeit für professionelle Hilfe. Ich weiß, dass kontrovers darüber diskutiert wird: Wenn möglich würde ich mit Eurer Unterstützung gerne versuchen, das Rootkit erfolgreich zu entfernen, um das System zu erhalten und anschließend sicherer zu machen.

Hier noch einige Informationen, die u.U. hilfreich sein können:

- Trojan:Win32/Necurs.A C:\Windows\Installer\{49DD8...ABCE}\syshost.exe Dienst: syshost32
- Trojan:WinNT/Necurs.A C:\Windows\System32\Drivers\2af40...d782.sys Probleme mit Nicht-PnP-Treibern?
- Regkey [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\syshost32] ImagePath="C:\Windows\Installer\{49DD8...ABCE}\syshost.exe" /service
- Ein USB-Stick kann nicht verwendet werden (Treiberproblem ;-)
- CD/DVD-Laufwerk ist verfügbar
- G Data InternetSecurity ist an der Ausführung verhindert
- Zugriff auf bestimmte verdächtige Dateien/Verzeichnisse ist nicht möglich oder erfordert administrative Rechte

Die Internetverbindung habe ich vorsichtshalber zunächst temporär deaktiviert.

Sofern das Euch weiterhilft, kann ich das Logfile des Windows Defenders posten. Wenn ja, sagt mir bitte, wo ich es finde. Mit anderen Malware-Tools habe ich bisher noch nicht gearbeitet, nehme aber an, es wird nicht mehr lange dauern ...

Vielen Dank im Voraus für Eure Unterstützung :-)

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das!

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
• Führe bitte nur Scans durch zu denen Du von mir aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
• Speichere alle unsere Toosl auf dem Desktop ab.
• Poste die Logfiles direkt in deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 2 Tagen nichts von mir hörst, dann schreibe mir bitte eine PM.

Achtung:
Rootkit-Warnung
Dein Computer wurde mit einem besonderen Schädling infiziert, der sich vor herkömmlichen Virenscannern und dem Betriebssystem selbst verstecken kann. Zusätzlich hat so ein Schädling meist auch Backdoor-Funktionalität, reißt also ganz bewußt Löcher durch alle Schutzmaßnahmen, damit er weiteren Schadcode nachladen oder die Daten, die er so sammelt, an die "bösen Jungs" weiterleiten kann. Was heißt das jetzt für dich?

• Entscheide bitte ganz bewußt, ob du mit der Bereinigung fortfahren möchtest. Ein einmal derartig kompromittiertes System kann man niemals mit 100%iger Sicherheit wieder absichern. Auch wenn wir gute Chancen haben, deinen Computer zu bereinigen, kann es dennoch möglich sein, dass uns am Ende nur die Neuinstallation bleibt.
• Wenn du mit diesem Computer beispielsweise Onlinebanking machst, dann solltest du zumindest dein Passwort von deiner Bank ändern lassen, wenn du ein ansonsten sicheres Verfahren wie beispielsweise "chip-TAN-comfort" nutzt. Hast du noch alte TAN-Bögen auf Papierbasis? Dann ist es höchste Zeit dich bei deiner Bank zu melden und notfalls das Konto temporär sperren zu lassen. Der Sperrnotruf 116 116 von www.sperr-notruf.de kann Tag und Nacht dafür benutzt werden.
• Hast du ansonsten sensible Daten auf deinem Computer, dann solltest du auch darüber nachdenken, wie du damit umgehst, da sie sich praktisch "jeder" ansehen konnte.

Teile mir also mit, wie du dich entschieden hast.

Hinweise: Ich kann Dir niemals eine Garantie geben, dass wir alle schädlichen Dateien finden werden. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Dir jemand vom Team sagt, dass Du clean bist.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst. Siehe hier...

Ich bedanke mich für Deine Geduld!

Schritt 1 (Scan mit FRST)
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Schritt 2 (Scan mit GMER)
Bitte lade dir GMER herunter: (Dateiname zufällig)

• Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
• Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei: IAT/EAT und Show All
• Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
• Starte den Scan mit "Scan".
• Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Tauchen Probleme auf?

• Probiere alternativ den abgesicherten Modus.
• Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.

Bitte poste mir in Deiner nächsten Antwort den Inhalt der Logdateien von:
- FRST (FRST.txt und Addition.txt)
- GMER (Gmer.txt)

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Hallo Jürgen,

vielen Dank für Deine Unterstützung. Zu Deiner Frage wg. Rootkit-Warnung:

Ja, wir sollten versuchen, zu bereinigen. Ich denke auch: Zusammen schaffen wir das! Es schaut ja auch immer noch einer der Ausbilder mit dabei und kann unterstützen, wenn es drauf ankommt, oder?

Es sein denn, Ihr wisst aus Erfahrung, dass bei den (bisher) gefundenen Schädlingen, ein Clean noch nie möglich gewesen ist. Noch ein Hinweis, der hilfreich sein könnte: Bis auf das Thema SPAM ist mir (und nach deren Aussage auch dem Abuse Team der Telekom) kein weiterer Missbrauch bekannt geworden. Da man das aber nie ausschließen kann, habe ich sensible Zugangsdaten, die möglicherweise betroffen sein könnten von einem sauberen System aus geändert. M.E. ist die Infektion am 02.02.14 gewesen, aber warten wir die Logs mal ab.

Da ich den Computer z.Zt. nicht im Zugriff habe, melde ich mich wieder, sobald Du mir geantwortet hast und ich loslegen kann.

Einige Fragen noch, bevor ich starte:

1. Der Computer ist immer noch hochgefahren (vgl. meine Infos hierzu in meinem letzten Post). Ich starte nicht neu (wenn doch, wie?) und versuche ohne Neustart wie beschrieben mit FRST und GMER zu installieren?

2. Muss bei FRST zunächst auch der Virenscanner (G Data) deaktiviert werden? Wenn ja, muss ich sehen, ob ich das schaffe (läuft ja nicht mehr).

3. Muss nach Ausführen von FRST und vor Ausführen von GMER gebootet werden? Wenn ja, wie? Bzgl. GMER soll ich lt. Anleitung den Virenscanner deaktivieren. Wie und ob das geht, muss ich sehen. Notfalls frage ich vorher nochmal nach und hoffe, wir kriegen das dann gemeinsam hin.

4. Was soll ich mit den Windows 7 Bordmitteln Defender, Firewall und ggf. anderen tun (welche sind das noch?) vor Starten von FRST und GMER? Andere Third-Party Tools habe ich nicht installiert.

5. Wo finde ich im Editor das #-Symbol für's Einfügen der Logs (Will das ja richtig machen)?

Bedanke mich auch für Deine Geduld und Lesebereitschaft (meine Posts sind vllt. auch ohne Logs länger als mancher andere ;-)

Gruß Jo

Hallo Jo,
gerne beantworte ich Dir Deine Fragen folgendermaßen:

ad 1.)
Ich verstehe nicht ganz was Du meinst!
Es ist erforderlich, dass Du in normaler und gewohnter Weise Windows starten kannst.
Auch solltest Du auf den Desktop gelangen und via Browser aufs Internet zugreifen können.
Sollte das nicht möglich sein, teile es mir bitte mit.

ad 2.)
Es ist ausreichend, wenn GDATA offensichtlich nicht aktiv ist - auch wenn es sich dabei um eine malwarebedingte Nebenwirkung handelt. Es sollte aber gesichert sein, dass jegliche Scandienste inaktiv sind. (Ggf. im Task-Manager nachschauen)

ad 3.)
NEIN!

ad 4.)
Hier ist keine Aktion erforderlich.

ad 5.)
Das Symbol befindet sich in der oberen, rechten Hälfte der Antwortbox hier im Forumsthread. Such mal danach wenn Du mir eine Antwort schreibst.
Schau auch nochmal bei meinem Post oben unter Lesestoff. Dort auf dem Bild, der rote Pfeil zeigt auf das Symbol.
Kopiere zwischen die beiden Klammer-Gruppen den gesamten Text der Logfiles. Jeder Logfiletext in eine Klammergruppe, damit Du drei Codeboxen erhältst.

Code: Alles auswählenAufklappen

ATTFilter

Hier steht dann der Logfiletext
         

Durch Strg+A, Strg+C, Strg+V oder eben über das Kontextmenü der rechten Maustaste. Drücke im Threadfenster unten auf Vorschau bevor Du antwortest um zu prüfen ob alles OK ist.

Hallo Jürgen,

ich habe zunächst mal FRST laufen lassen (ich habe vorher keine Internetverbindung hergestellt) Hier die beiden Logs:

FRST.txt


FRST Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 07-03-2014
Ran by Jörg (administrator) on BEETHOVEN on 07-03-2014 22:08:03
Running from C:\Users\Jörg\Desktop
Microsoft Windows 7 Home Premium  (X86) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Normal



==================== Processes (Whitelisted) =================

(G Data Software AG) C:\Program Files\Common Files\G Data\GDScan\GDScan.exe
() C:\Program Files\G Data\InternetSecurity\AVK\AVKWCtl.exe
(AMD) C:\Windows\system32\atiesrxx.exe
(AMD) C:\Windows\system32\atieclxx.exe
(Apple Inc.) C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
(G Data Software AG) C:\Program Files\Common Files\G Data\AVKProxy\AVKProxy.exe
(G Data Software AG) C:\Program Files\G Data\InternetSecurity\AVK\AVKService.exe
(Apple Inc.) C:\Program Files\Bonjour\mDNSResponder.exe
() C:\ProgramData\DatacardService\DCService.exe
(Deutsche Telekom AG) C:\Program Files\Netzmanager\NMInfraIS2\Netzmanager_Service.exe
(Huawei Technologies Co., Ltd.) C:\ProgramData\DatacardService\DCSHelper.exe
(shbox.de) C:\Program Files\FreePDF_XP\fpassist.exe
(G Data Software AG) C:\Program Files\G Data\InternetSecurity\AVKTray\AVKTray.exe
(G Data Software AG) C:\Program Files\G Data\InternetSecurity\Firewall\GDFirewallTray.exe
(Synaptics, Inc.) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
(Sun Microsystems, Inc.) C:\Program Files\Common Files\Java\Java Update\jusched.exe
(Nokia) C:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
(Apple Inc.) C:\Program Files\iTunes\iTunesHelper.exe
(Microsoft Corporation) C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE
(Nokia Corp.) C:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe
(Apple Inc.) C:\Program Files\iPod\bin\iPodService.exe
(Synaptics, Inc.) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
(G Data Software AG) C:\Program Files\G Data\InternetSecurity\Firewall\GDFwSvc.exe
(Microsoft Corporation) C:\Windows\system32\taskmgr.exe
(Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
(Microsoft Corporation) C:\Windows\system32\mmc.exe
(Microsoft Corporation) C:\Windows\system32\cmd.exe
(Microsoft Corporation) C:\Windows\system32\prevhost.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe
(Microsoft Corporation) C:\Windows\System32\cmd.exe


==================== Registry (Whitelisted) ==================

HKLM\...\Run: [FreePDF Assistant] - C:\Program Files\FreePDF_XP\fpassist.exe [370176 2010-06-17] (shbox.de)
HKLM\...\Run: [G Data AntiVirus Tray Application] - C:\Program Files\G Data\InternetSecurity\AVKTray\AVKTray.exe [996936 2010-08-26] (G Data Software AG)
HKLM\...\Run: [GDFirewallTray] - C:\Program Files\G Data\InternetSecurity\Firewall\GDFirewallTray.exe [1538120 2010-08-26] (G Data Software AG)
HKLM\...\Run: [SynTPEnh] - C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1348904 2008-08-14] (Synaptics, Inc.)
HKLM\...\Run: [SunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [248040 2010-02-18] (Sun Microsystems, Inc.)
HKLM\...\Run: [BCSSync] - C:\Program Files\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation)
HKLM\...\Run: [DataCardMonitor] - C:\Program Files\Telekom\InternetManager_H\DataCardMonitor.exe [253952 2011-04-22] (Huawei Technologies Co., Ltd.)
HKLM\...\Run: [APSDaemon] - C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-09-13] (Apple Inc.)
HKLM\...\Run: [Nokia Tray Application] - C:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe [425984 2003-01-03] (Nokia)
HKLM\...\Run: [CanonMyPrinter] - C:\Program Files\Canon\MyPrinter\BJMyPrt.exe [2567272 2011-07-19] (CANON INC.)
HKLM\...\Run: [CanonSolutionMenuEx] - C:\Program Files\Canon\Solution Menu EX\CNSEMAIN.EXE [1637496 2011-08-04] (CANON INC.)
HKLM\...\Run: [IJNetworkScannerSelectorEX] - C:\Program Files\Canon\IJ Network Scanner Selector EX\CNMNSST.exe [468112 2011-07-25] (CANON INC.)
HKLM\...\Run: [QuickTime Task] - C:\Program Files\QuickTime\QTTask.exe [421888 2013-05-01] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] - C:\Program Files\iTunes\iTunesHelper.exe [152392 2013-11-02] (Apple Inc.)
HKU\S-1-5-21-3956389187-1643806333-1776510576-1000\...\MountPoints2: {391dea39-7420-11e0-85dc-001e337fa516} - F:\AutoRun.exe
HKU\S-1-5-21-3956389187-1643806333-1776510576-1000\...\MountPoints2: {9648ae83-6b89-11e0-ad8d-001e337fa516} - F:\AutoRun.exe
HKU\S-1-5-21-3956389187-1643806333-1776510576-1000\...\MountPoints2: {9648ae8f-6b89-11e0-ad8d-001e337fa516} - F:\AutoRun.exe
Startup: C:\Users\Jörg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE (Microsoft Corporation)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x131F0EDEDC2BCF01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
BHO: G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G Data\InternetSecurity\WebFilter\AvkWebIE.dll (G Data Software AG)
BHO: Office Document Cache Handler - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
Toolbar: HKLM - G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G Data\InternetSecurity\WebFilter\AvkWebIE.dll (G Data Software AG)
DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} https://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://javadl-esd.sun.com/update/1.6.0/jinstall-6u20-windows-i586.cab
DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} hxxp://www.o2c.de/download/O2CPlayer.CAB
DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
Winsock: Catalog5 07 C:\Program Files\Bonjour\mdnsNSP.dll [121704] (Apple Inc.)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

========================== Services (Whitelisted) =================

R2 AVKProxy; C:\Program Files\Common Files\G Data\AVKProxy\AVKProxy.exe [1178184 2010-08-27] (G Data Software AG)
R2 AVKService; C:\Program Files\G Data\InternetSecurity\AVK\AVKService.exe [410696 2010-03-31] (G Data Software AG)
R2 AVKWCtl; C:\Program Files\G Data\InternetSecurity\AVK\AVKWCtl.exe [1330792 2010-08-25] ()
R2 DCService.exe; C:\ProgramData\DatacardService\DCService.exe [229376 2010-08-19] ()
R3 GDFwSvc; C:\Program Files\G Data\InternetSecurity\Firewall\GDFwSvc.exe [1607344 2010-08-25] (G Data Software AG)
R3 GDScan; C:\Program Files\Common Files\G Data\GDScan\GDScan.exe [340552 2010-08-25] (G Data Software AG)
R2 Netzmanager Service; C:\Program Files\Netzmanager\NMInfraIS2\Netzmanager_Service.exe [2635776 2012-07-20] (Deutsche Telekom AG)
R2 syshost32; C:\Windows\Installer\{49DD8FF3-6331-EFC6-FD30-0817DCDEABCE}\syshost.exe [70144 2014-02-02] ()

==================== Drivers (Whitelisted) ====================

S0 GDBehave; C:\Windows\System32\drivers\GDBehave.sys [33480 2011-01-04] (G Data Software AG)
S1 GDMnIcpt; C:\Windows\system32\drivers\MiniIcpt.sys [62024 2011-01-04] (G Data Software AG)
S3 GDPkIcpt; C:\Windows\system32\drivers\PktIcpt.sys [47560 2011-01-04] (G Data Software AG)
S1 gdwfpcd; C:\Windows\System32\drivers\gdwfpcd32.sys [40904 2011-01-04] (G DATA Software AG)
S1 GRD; C:\Windows\system32\drivers\GRD.sys [29992 2011-01-04] (G Data Software)
S1 HookCentre; C:\Windows\system32\drivers\HookCentre.sys [38856 2011-01-04] (G Data Software AG)
R1 RDPREFMP; C:\Windows\System32\drivers\rdprefmp.sys [7168 2009-07-14] ()
S3 RDPWD; C:\Windows\system32\Drivers\RDPWD.sys [177152 2009-07-14] ()
R0 rdyboost; C:\Windows\System32\drivers\rdyboost.sys [173648 2009-07-14] ()
R2 rismxdp; C:\Windows\System32\DRIVERS\rixdptsk.sys [37376 2006-11-14] ()
R2 rspndr; C:\Windows\System32\DRIVERS\rspndr.sys [60928 2009-07-14] ()
R3 RTL8167; C:\Windows\System32\DRIVERS\Rt86win7.sys [275048 2010-06-23] ()
S3 sbp2port; C:\Windows\system32\DRIVERS\sbp2port.sys [85568 2009-07-14] ()
S3 scfilter; C:\Windows\System32\DRIVERS\scfilter.sys [26624 2009-07-14] ()
R3 sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [84992 2009-10-10] ()
R2 secdrv; C:\Windows\system32\Drivers\secdrv.sys [20480 2009-07-13] ()
S3 Serenum; C:\Windows\system32\DRIVERS\serenum.sys [17920 2009-07-14] ()
S3 Serial; C:\Windows\system32\DRIVERS\serial.sys [83456 2009-07-14] ()
S3 sermouse; C:\Windows\system32\DRIVERS\sermouse.sys [19968 2009-07-14] ()
S3 sffdisk; C:\Windows\System32\DRIVERS\sffdisk.sys [11264 2009-07-14] ()
S3 sffp_mmc; C:\Windows\system32\DRIVERS\sffp_mmc.sys [12288 2009-07-14] ()
S3 sffp_sd; C:\Windows\System32\DRIVERS\sffp_sd.sys [12800 2009-10-10] ()
S3 sfloppy; C:\Windows\system32\DRIVERS\sfloppy.sys [13824 2009-07-14] ()
S3 sisagp; C:\Windows\system32\DRIVERS\sisagp.sys [52304 2009-07-14] ()
S3 SiSRaid2; C:\Windows\system32\DRIVERS\SiSRaid2.sys [40016 2009-07-14] ()
S3 SiSRaid4; C:\Windows\system32\DRIVERS\sisraid4.sys [77888 2009-07-14] ()
S3 Smb; C:\Windows\System32\DRIVERS\smb.sys [71168 2009-07-14] ()
R0 spldr; C:\Windows\system32\Drivers\spldr.sys [17472 2009-07-14] ()
R3 srv; C:\Windows\System32\DRIVERS\srv.sys [310784 2010-08-27] ()
R3 srv2; C:\Windows\System32\DRIVERS\srv2.sys [308736 2010-08-27] ()
R3 srvnet; C:\Windows\System32\DRIVERS\srvnet.sys [113664 2010-08-27] ()
S3 stexstor; C:\Windows\system32\DRIVERS\stexstor.sys [21072 2009-07-14] ()
R3 swenum; C:\Windows\System32\DRIVERS\swenum.sys [12240 2009-07-14] ()
R3 SynTP; C:\Windows\System32\DRIVERS\SynTP.sys [203312 2008-08-14] ()
R0 Tcpip; C:\Windows\System32\drivers\tcpip.sys [1286016 2010-06-14] ()
S3 TCPIP6; C:\Windows\System32\DRIVERS\tcpip.sys [1286016 2010-06-14] ()
R1 tcpipBM; C:\Windows\system32\drivers\tcpipBM.sys [24192 2009-12-15] ()
R2 tcpipreg; C:\Windows\System32\drivers\tcpipreg.sys [34816 2009-07-14] ()
S3 TDPIPE; C:\Windows\System32\drivers\tdpipe.sys [17920 2009-07-14] ()
S3 TDTCP; C:\Windows\System32\drivers\tdtcp.sys [24064 2009-07-14] ()
R1 tdx; C:\Windows\System32\DRIVERS\tdx.sys [74240 2009-07-14] ()
S3 TelekomNM3; C:\Program Files\Netzmanager\NMInfraIS2\Driver\TelekomNM3.sys [35040 2010-09-16] ()
R1 TermDD; C:\Windows\System32\DRIVERS\termdd.sys [51776 2009-07-14] ()
S3 tssecsrv; C:\Windows\System32\DRIVERS\tssecsrv.sys [30208 2009-07-14] ()
R3 tunnel; C:\Windows\System32\DRIVERS\tunnel.sys [108544 2009-07-14] ()
R0 TVALZ; C:\Windows\System32\DRIVERS\TVALZ_O.SYS [23640 2007-11-09] ()
S3 uagp35; C:\Windows\system32\DRIVERS\uagp35.sys [55888 2009-07-14] ()
R4 udfs; C:\Windows\System32\DRIVERS\udfs.sys [246784 2009-07-14] ()
S3 uliagpkx; C:\Windows\system32\DRIVERS\uliagpkx.sys [57424 2009-07-14] ()
R3 umbus; C:\Windows\System32\DRIVERS\umbus.sys [39936 2009-07-14] ()
S3 UmPass; C:\Windows\system32\DRIVERS\umpass.sys [8192 2009-07-14] ()
S3 USBAAPL; C:\Windows\System32\Drivers\usbaapl.sys [45056 2012-12-13] ()
R3 usbccgp; C:\Windows\System32\DRIVERS\usbccgp.sys [75264 2009-07-14] ()
S3 usbcir; C:\Windows\system32\DRIVERS\usbcir.sys [86016 2009-07-14] ()
R3 usbehci; C:\Windows\System32\DRIVERS\usbehci.sys [41472 2009-07-14] ()
R3 usbhub; C:\Windows\System32\DRIVERS\usbhub.sys [258560 2009-07-14] ()
S3 usbohci; C:\Windows\system32\DRIVERS\usbohci.sys [20480 2009-07-14] ()
S3 usbprint; C:\Windows\system32\DRIVERS\usbprint.sys [19968 2009-07-14] ()
S3 USBSTOR; C:\Windows\System32\DRIVERS\USBSTOR.SYS [74752 2009-07-14] ()
R3 usbuhci; C:\Windows\System32\DRIVERS\usbuhci.sys [24064 2009-07-14] ()
S3 usbvideo; C:\Windows\System32\Drivers\usbvideo.sys [146304 2010-03-04] ()
R0 vdrvroot; C:\Windows\System32\DRIVERS\vdrvroot.sys [32832 2009-07-14] ()
S3 vga; C:\Windows\System32\DRIVERS\vgapnp.sys [26112 2009-07-14] ()
R1 VgaSave; C:\Windows\System32\drivers\vga.sys [25088 2009-07-14] ()
S3 vhdmp; C:\Windows\system32\DRIVERS\vhdmp.sys [159824 2009-07-14] ()
S3 viaagp; C:\Windows\system32\DRIVERS\viaagp.sys [53328 2009-07-14] ()
S3 ViaC7; C:\Windows\system32\DRIVERS\viac7.sys [52736 2009-07-14] ()
S3 viaide; C:\Windows\system32\DRIVERS\viaide.sys [16976 2009-07-14] ()
R0 volmgr; C:\Windows\System32\DRIVERS\volmgr.sys [53312 2009-07-14] ()
R0 volmgrx; C:\Windows\System32\drivers\volmgrx.sys [297040 2009-07-14] ()
R0 volsnap; C:\Windows\System32\DRIVERS\volsnap.sys [245328 2009-07-14] ()
S3 vsmraid; C:\Windows\system32\DRIVERS\vsmraid.sys [141904 2009-07-14] ()
R3 vwifibus; C:\Windows\System32\DRIVERS\vwifibus.sys [19968 2009-07-14] ()
R1 vwififlt; C:\Windows\System32\DRIVERS\vwififlt.sys [48128 2009-07-14] ()
R3 vwifimp; C:\Windows\System32\DRIVERS\vwifimp.sys [14336 2009-07-14] ()
S3 WacomPen; C:\Windows\system32\DRIVERS\wacompen.sys [21632 2009-07-14] ()
S3 WANARP; C:\Windows\System32\DRIVERS\wanarp.sys [63488 2009-07-14] ()
R1 Wanarpv6; C:\Windows\System32\DRIVERS\wanarp.sys [63488 2009-07-14] ()
S3 Wd; C:\Windows\system32\DRIVERS\wd.sys [19024 2009-07-14] ()
R0 Wdf01000; C:\Windows\System32\drivers\Wdf01000.sys [445008 2009-07-14] ()
R1 WfpLwf; C:\Windows\System32\DRIVERS\wfplwf.sys [9728 2009-07-14] ()
S3 WIMMount; C:\Windows\System32\drivers\wimmount.sys [19008 2009-07-14] ()
S3 WinUsb; C:\Windows\System32\DRIVERS\WinUsb.sys [34944 2009-07-14] ()
S3 WmiAcpi; C:\Windows\system32\DRIVERS\wmiacpi.sys [11264 2009-07-14] ()
S4 ws2ifsl; C:\Windows\system32\drivers\ws2ifsl.sys [16384 2009-07-14] ()
R3 WudfPf; C:\Windows\System32\drivers\WudfPf.sys [92672 2009-07-14] ()
S3 WUDFRd; C:\Windows\System32\DRIVERS\WUDFRd.sys [132224 2009-07-14] ()
U5 2af407cd8554d782; C:\Windows\System32\Drivers\2af407cd8554d782.sys [61952 2014-02-02] ()
U5 ewusbnet; C:\Windows\System32\Drivers\ewusbnet.sys [208896 2010-08-31] (Huawei Technologies Co., Ltd.)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-03-07 22:08 - 2014-03-07 22:08 - 00015096 _____ () C:\Users\Jörg\Desktop\FRST.txt
2014-03-07 22:06 - 2014-03-07 13:57 - 01145344 _____ (Farbar) C:\Users\Jörg\Desktop\FRST.exe
2014-03-07 22:05 - 2014-03-07 22:08 - 00000000 ____D () C:\FRST
2014-03-04 15:10 - 2014-03-04 15:26 - 232837912 _____ () C:\Users\Jörg\Documents\Documents.7z
2014-03-01 16:35 - 2014-03-04 10:32 - 00000000 ____D () C:\Users\Jörg\Desktop\2014-03-01 Necurs.A

==================== One Month Modified Files and Folders =======

2014-03-07 22:08 - 2014-03-07 22:08 - 00015096 _____ () C:\Users\Jörg\Desktop\FRST.txt
2014-03-07 22:08 - 2014-03-07 22:05 - 00000000 ____D () C:\FRST
2014-03-07 19:31 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\system32\NDF
2014-03-07 13:57 - 2014-03-07 22:06 - 01145344 _____ (Farbar) C:\Users\Jörg\Desktop\FRST.exe
2014-03-04 16:06 - 2012-02-13 20:46 - 00000000 ____D () C:\Users\Jörg\Documents\Mein Steuer-Sparbuch Heute
2014-03-04 15:26 - 2014-03-04 15:10 - 232837912 _____ () C:\Users\Jörg\Documents\Documents.7z
2014-03-04 12:55 - 2009-07-14 05:34 - 00013216 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-03-04 12:55 - 2009-07-14 05:34 - 00013216 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-03-04 10:32 - 2014-03-01 16:35 - 00000000 ____D () C:\Users\Jörg\Desktop\2014-03-01 Necurs.A
2014-03-03 15:11 - 2014-01-19 16:24 - 00000000 ____D () C:\Users\Jörg\Desktop\desk und URL 14
2014-03-02 17:57 - 2013-08-02 15:50 - 00000000 ____D () C:\test
2014-03-02 14:58 - 2010-12-28 00:00 - 00000000 ____D () C:\Users\Jörg
2014-02-28 20:33 - 2010-12-27 23:53 - 01761089 _____ () C:\Windows\WindowsUpdate.log
2014-02-28 20:28 - 2009-07-14 05:53 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2014-02-28 20:28 - 2009-07-14 05:39 - 00048924 _____ () C:\Windows\setupact.log
2014-02-28 20:10 - 2011-01-23 22:31 - 00000000 ____D () C:\Users\Jörg\AppData\Local\Microsoft Help
2014-02-28 20:10 - 2009-07-14 09:56 - 00000000 ___RD () C:\Users\Public\Recorded TV
2014-02-28 20:10 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\system32\wfp
2014-02-28 20:10 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\registration
2014-02-28 20:10 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\AppCompat
2014-02-28 20:08 - 2009-07-14 03:37 - 00000000 ____D () C:\Windows\system32\LogFiles
2014-02-22 22:19 - 2010-12-28 13:06 - 00000000 ____D () C:\ProgramData\FreePDF
2014-02-07 17:02 - 2010-12-28 00:03 - 01472002 _____ () C:\Windows\system32\PerfStringBackup.INI
2014-02-05 19:10 - 2011-12-17 15:49 - 00000000 ____D () C:\Users\Jörg\Desktop\Emma

Some content of TEMP:
====================
C:\Users\Jörg\AppData\Local\Temp\2SKKKKKKK.exe
C:\Users\Jörg\AppData\Local\Temp\FileSystemView.dll
C:\Users\Jörg\AppData\Local\Temp\jre-7u40-windows-i586-iftw.exe
C:\Users\Jörg\AppData\Local\Temp\MSETUP4.EXE
C:\Users\Jörg\AppData\Local\Temp\uninstall.exe


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\system32\winlogon.exe => MD5 is legit
C:\Windows\system32\wininit.exe => MD5 is legit
C:\Windows\system32\svchost.exe => MD5 is legit
C:\Windows\system32\services.exe => MD5 is legit
C:\Windows\system32\User32.dll => MD5 is legit
C:\Windows\system32\userinit.exe => MD5 is legit
C:\Windows\system32\rpcss.dll => MD5 is legit
C:\Windows\system32\Drivers\volsnap.sys
[2009-07-14 00:11] - [2009-07-14 02:19] - 0245328 ____A () D41D8CD98F00B204E9800998ECF8427E

C:\Windows\system32\Drivers\volsnap.sys IS INFECTED. <===== ATTENTION!



LastRegBack: 2014-02-28 23:39

==================== End Of Log ============================
         

--- --- ---


Addition.txt

Code: Alles auswählenAufklappen

ATTFilter

Additional scan result of Farbar Recovery Scan Tool (x86) Version: 07-03-2014
Ran by Jörg at 2014-03-07 22:08:26
Running from C:\Users\Jörg\Desktop
Boot Mode: Normal
==========================================================


==================== Security Center ========================

AV: G Data InternetSecurity 2011 (Enabled - Out of date) {54ACC2FC-837E-E665-7A92-5352D560D5EF}
AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
FW: G Data Personal Firewall (Enabled) {6C9743D9-C911-E73D-51CD-FA672BB39294}

==================== Installed Programs ======================

32 Bit HP CIO Components Installer (Version: 8.1.1 - Hewlett-Packard) Hidden
7-Zip 9.20 (HKLM\...\7-Zip) (Version:  - )
Adobe Flash Player 11 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 11.5.502.135 - Adobe Systems Incorporated)
Ant Renamer (HKLM\...\Ant Renamer 2_is1) (Version: 2.10.0 - Ant Software)
Apple Application Support (HKLM\...\{46F044A5-CE8B-4196-984E-5BD6525E361D}) (Version: 2.3.6 - Apple Inc.)
Apple Mobile Device Support (HKLM\...\{0592EF96-69D8-4E4B-9CC9-88F58EA86F01}) (Version: 7.0.0.117 - Apple Inc.)
Apple Software Update (HKLM\...\{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}) (Version: 2.1.3.127 - Apple Inc.)
Bonjour (HKLM\...\{79155F2B-9895-49D7-8612-D92580E0DE5B}) (Version: 3.0.0.10 - Apple Inc.)
Canon Easy-PhotoPrint EX (HKLM\...\Easy-PhotoPrint EX) (Version:  - )
Canon IJ Network Scanner Selector EX (HKLM\...\Canon_IJ_Network_Scanner_Selector_EX) (Version:  - )
Canon IJ Network Tool (HKLM\...\Canon_IJ_Network_UTILITY) (Version:  - )
Canon Kurzwahlprogramm (HKLM\...\Speed Dial Utility) (Version:  - )
Canon MP Navigator EX 5.1 (HKLM\...\MP Navigator EX 5.1) (Version:  - )
Canon MX890 series Benutzerregistrierung (HKLM\...\Canon MX890 series Benutzerregistrierung) (Version:  - )
Canon MX890 series MP Drivers (HKLM\...\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MX890_series) (Version:  - )
Canon MX890 series On-screen Manual (HKLM\...\Canon MX890 series On-screen Manual) (Version:  - )
Canon My Printer (HKLM\...\CanonMyPrinter) (Version:  - )
Canon Solution Menu EX (HKLM\...\CanonSolutionMenuEX) (Version:  - )
FreePDF (Remove only) (HKLM\...\FreePDF_XP) (Version:  - )
G Data InternetSecurity 2011 (HKLM\...\{C670480D-10CE-4E2E-929E-EE453EDE6BE2}) (Version: 21.0.0.0 - G Data Software AG)
GPL Ghostscript 8.64 (HKLM\...\GPL Ghostscript 8.64) (Version:  - )
iTunes (HKLM\...\{C197BC08-3D82-4651-8886-E68C21578A38}) (Version: 11.1.3.8 - Apple Inc.)
Java Auto Updater (Version: 2.0.2.1 - Sun Microsystems, Inc.) Hidden
Java(TM) 6 Update 20 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216020FF}) (Version: 6.0.200 - Sun Microsystems, Inc.)
Microsoft Office Access MUI (German) 2010 (Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Excel MUI (German) 2010 (Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Groove MUI (German) 2010 (Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office InfoPath MUI (German) 2010 (Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office OneNote MUI (German) 2010 (Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Outlook MUI (German) 2010 (Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office PowerPoint MUI (German) 2010 (Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Professional Plus 2010 (HKLM\...\Office14.PROPLUSR) (Version: 14.0.4763.1000 - Microsoft Corporation)
Microsoft Office Professional Plus 2010 (Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Proof (English) 2010 (Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Proof (French) 2010 (Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Proof (German) 2010 (Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Proof (Italian) 2010 (Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Proofing (German) 2010 (Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Publisher MUI (German) 2010 (Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Shared MUI (German) 2010 (Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Office Word MUI (German) 2010 (Version: 14.0.4763.1000 - Microsoft Corporation) Hidden
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (HKLM\...\{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (HKLM\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation)
Microsoft WSE 3.0 Runtime (HKLM\...\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}) (Version: 3.0.5305.0 - Microsoft Corp.)
Netzmanager (HKLM\...\Netzmanager) (Version: 1.071 - Deutsche Telekom AG)
Netzmanager (Version: 1.071 - Deutsche Telekom AG, Marmiko IT-Solutions GmbH) Hidden
Nokia PC Suite 4.88 (HKLM\...\{BCB8B85E-E28A-424F-AE81-A7553DAA32A4}) (Version:  - )
PDF-Viewer (HKLM\...\{A278382D-4F1B-4D47-9885-8523F7261E8D}_is1) (Version: 2.5.190.0 - Tracker Software Products Ltd)
QuickTime (HKLM\...\{B67BAFBA-4C9F-48FA-9496-933E3B255044}) (Version: 7.74.80.86 - Apple Inc.)
Ravensburger tiptoi (HKLM\...\Ravensburger tiptoi) (Version:  - )
RedMon - Redirection Port Monitor (HKLM\...\Redirection Port Monitor) (Version:  - )
Synaptics Pointing Device Driver (HKLM\...\SynTPDeinstKey) (Version: 11.2.4.0 - Synaptics)
Telekom Internet Manager (HKLM\...\Telekom Internet Manager) (Version: 11.301.05.05.748 - Huawei Technologies Co.,Ltd)
VLC media player 1.1.8 (HKLM\...\VLC media player) (Version: 1.1.8 - VideoLAN)
WISO Sparbuch 2010 (HKLM\...\{46B70DEB-97B3-4E38-B746-EC16905E6A8F}) (Version: 17.00.6531 - Buhl Data Service GmbH)
WISO Steuer-Sparbuch 2011 (HKLM\...\{02F0B8AE-7501-4333-AFBE-6BAABFEC7637}) (Version: 18.09.7121 - Buhl Data Service GmbH)
WISO Steuer-Sparbuch 2012 (HKLM\...\{0CC1DAFB-40C8-4903-953D-471E541477C7}) (Version: 19.00.7303 - Buhl Data Service GmbH)
WISO Steuer-Sparbuch 2013 (HKLM\...\{D6CC2FAF-F827-4091-96A1-D32CC9B69C79}) (Version: 20.00.8137 - Buhl Data Service GmbH)

==================== Restore Points  =========================


==================== Hosts content: ==========================

2009-07-14 03:04 - 2009-06-10 22:39 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts

==================== Scheduled Tasks (whitelisted) =============

Task: {9C31B752-9308-4229-A5BA-A7044D24CE7A} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2011-06-01] (Apple Inc.)

==================== Loaded Modules (whitelisted) =============

2009-07-14 00:11 - 2009-07-14 02:15 - 00038912 _____ () C:\Windows\system32\CSRSRV.dll
2009-07-14 00:11 - 2009-07-14 02:16 - 00033280 _____ () C:\Windows\system32\pcwum.dll
2009-07-14 00:11 - 2009-07-14 02:16 - 00033280 _____ () c:\windows\system32\pcwum.DLL
2011-01-04 01:03 - 2010-08-25 23:28 - 01330792 _____ () C:\Program Files\G Data\InternetSecurity\AVK\AVKWCtl.exe
2009-07-14 00:11 - 2009-07-14 02:16 - 00033280 _____ () c:\windows\system32\pcwum.dll
2010-12-28 13:06 - 2010-06-17 21:56 - 00116224 _____ () C:\Windows\System32\redmonnt.dll
2012-02-20 20:29 - 2012-02-20 20:29 - 00087912 _____ () C:\Program Files\Common Files\Apple\Apple Application Support\zlib1.dll
2012-02-20 20:28 - 2012-02-20 20:28 - 01242472 _____ () C:\Program Files\Common Files\Apple\Apple Application Support\libxml2.dll
2010-08-19 09:52 - 2010-08-19 09:52 - 00229376 _____ () C:\ProgramData\DatacardService\DCService.exe
2011-01-04 01:03 - 2010-08-25 23:38 - 00211016 _____ () C:\Program Files\G Data\InternetSecurity\Firewall\PktIcpt2.dll

==================== Alternate Data Streams (whitelisted) =========


==================== Safe Mode (whitelisted) ===================


==================== Disabled items from MSCONFIG ==============


==================== Faulty Device Manager Devices =============

Name: GDBehave
Description: GDBehave
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer: 
Service: GDBehave
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

Name: GDMnIcpt
Description: GDMnIcpt
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer: 
Service: GDMnIcpt
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

Name: GDPkIcpt
Description: GDPkIcpt
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer: 
Service: GDPkIcpt
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

Name: G DATA WFP CD
Description: G DATA WFP CD
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer: 
Service: gdwfpcd
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

Name: G Data Rootkit Detector Driver
Description: G Data Rootkit Detector Driver
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer: 
Service: GRD
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

Name: Base System Device
Description: Base System Device
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name: HookCentre
Description: HookCentre
Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer: 
Service: HookCentre
Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)
Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.
Devices stay in this state if they have been prepared for removal.
After you remove the device, this error disappears.Remove the device, and this error should be resolved.

Name: Base System Device
Description: Base System Device
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name: 
Description: 
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name: 
Description: 
Class Guid: 
Manufacturer: 
Service: 
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Name: USB-Massenspeichergerät
Description: USB-Massenspeichergerät
Class Guid: {36fc9e60-c465-11cf-8056-444553540000}
Manufacturer: Kompatibles USB-Speichergerät
Service: USBSTOR
Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39)
Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded.
Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver.


==================== Event log errors: =========================

Application errors:
==================
Error: (03/04/2014 05:15:35 PM) (Source: Application Hang) (User: )
Description: Programm Ribbons.scr, Version 6.1.7600.16385 kann nicht mehr unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem zu suchen.

Prozess-ID: cb4

Startzeit: 01cf37c489828e36

Endzeit: 14652

Anwendungspfad: C:\Windows\system32\Ribbons.scr

Berichts-ID: f8778adc-a3b7-11e3-827a-001e337fa516

Error: (03/04/2014 02:44:59 PM) (Source: Application Error) (User: )
Description: Name der fehlerhaften Anwendung: POWERPNT.EXE, Version: 14.0.4754.1000, Zeitstempel: 0x4b967cf0
Name des fehlerhaften Moduls: ppcore.dll, Version: 14.0.4754.1000, Zeitstempel: 0x4b967d28
Ausnahmecode: 0xc0000005
Fehleroffset: 0x0017bd88
ID des fehlerhaften Prozesses: 0x61c
Startzeit der fehlerhaften Anwendung: 0xPOWERPNT.EXE0
Pfad der fehlerhaften Anwendung: POWERPNT.EXE1
Pfad des fehlerhaften Moduls: POWERPNT.EXE2
Berichtskennung: POWERPNT.EXE3

Error: (03/04/2014 10:08:55 AM) (Source: Bonjour Service) (User: )
Description: Task Scheduling Error: m->NextScheduledSPRetry 38624772

Error: (03/04/2014 10:08:55 AM) (Source: Bonjour Service) (User: )
Description: Task Scheduling Error: m->NextScheduledEvent 38624772

Error: (03/04/2014 10:08:55 AM) (Source: Bonjour Service) (User: )
Description: Task Scheduling Error: Continuously busy for more than a second

Error: (03/04/2014 05:25:22 AM) (Source: Bonjour Service) (User: )
Description: Task Scheduling Error: m->NextScheduledSPRetry 21611303

Error: (03/04/2014 05:25:22 AM) (Source: Bonjour Service) (User: )
Description: Task Scheduling Error: m->NextScheduledEvent 21611303

Error: (03/04/2014 05:25:21 AM) (Source: Bonjour Service) (User: )
Description: Task Scheduling Error: Continuously busy for more than a second

Error: (03/04/2014 05:25:20 AM) (Source: Bonjour Service) (User: )
Description: Task Scheduling Error: m->NextScheduledSPRetry 21610226

Error: (03/04/2014 05:25:20 AM) (Source: Bonjour Service) (User: )
Description: Task Scheduling Error: m->NextScheduledEvent 21610226


System errors:
=============
Error: (03/07/2014 09:31:13 PM) (Source: DCOM) (User: )
Description: {BCB3CC02-761B-4C74-8B04-891A31034D19}

Error: (03/04/2014 02:33:49 PM) (Source: DCOM) (User: Beethoven)
Description: ComputerstandardLokalAktivierung{9BA05972-F6A8-11CF-A442-00A0C90A8F39}{9BA05972-F6A8-11CF-A442-00A0C90A8F39}BeethovenJörgS-1-5-21-3956389187-1643806333-1776510576-1000LocalHost (unter Verwendung von LRPC)

Error: (03/04/2014 02:08:05 PM) (Source: DCOM) (User: Beethoven)
Description: ComputerstandardLokalAktivierung{9BA05972-F6A8-11CF-A442-00A0C90A8F39}{9BA05972-F6A8-11CF-A442-00A0C90A8F39}BeethovenJörgS-1-5-21-3956389187-1643806333-1776510576-1000LocalHost (unter Verwendung von LRPC)

Error: (03/04/2014 10:08:55 AM) (Source: atikmdag) (User: )
Description: Display is not active

Error: (03/04/2014 05:25:15 AM) (Source: atikmdag) (User: )
Description: Display is not active

Error: (03/03/2014 08:45:58 PM) (Source: atikmdag) (User: )
Description: Display is not active

Error: (03/03/2014 06:54:52 PM) (Source: atikmdag) (User: )
Description: Display is not active

Error: (03/03/2014 02:35:23 PM) (Source: atikmdag) (User: )
Description: Display is not active

Error: (03/03/2014 00:33:49 PM) (Source: atikmdag) (User: )
Description: Display is not active

Error: (03/03/2014 11:08:39 AM) (Source: atikmdag) (User: )
Description: Display is not active


Microsoft Office Sessions:
=========================
Error: (03/04/2014 05:15:35 PM) (Source: Application Hang)(User: )
Description: Ribbons.scr6.1.7600.16385cb401cf37c489828e3614652C:\Windows\system32\Ribbons.scrf8778adc-a3b7-11e3-827a-001e337fa516

Error: (03/04/2014 02:44:59 PM) (Source: Application Error)(User: )
Description: POWERPNT.EXE14.0.4754.10004b967cf0ppcore.dll14.0.4754.10004b967d28c00000050017bd8861c01cf37afdfd58327C:\PROGRA~1\MICROS~2\Office14\POWERPNT.EXEC:\PROGRA~1\MICROS~2\Office14\ppcore.dll2cf43315-a3a3-11e3-827a-001e337fa516

Error: (03/04/2014 10:08:55 AM) (Source: Bonjour Service)(User: )
Description: Task Scheduling Error: m->NextScheduledSPRetry 38624772

Error: (03/04/2014 10:08:55 AM) (Source: Bonjour Service)(User: )
Description: Task Scheduling Error: m->NextScheduledEvent 38624772

Error: (03/04/2014 10:08:55 AM) (Source: Bonjour Service)(User: )
Description: Task Scheduling Error: Continuously busy for more than a second

Error: (03/04/2014 05:25:22 AM) (Source: Bonjour Service)(User: )
Description: Task Scheduling Error: m->NextScheduledSPRetry 21611303

Error: (03/04/2014 05:25:22 AM) (Source: Bonjour Service)(User: )
Description: Task Scheduling Error: m->NextScheduledEvent 21611303

Error: (03/04/2014 05:25:21 AM) (Source: Bonjour Service)(User: )
Description: Task Scheduling Error: Continuously busy for more than a second

Error: (03/04/2014 05:25:20 AM) (Source: Bonjour Service)(User: )
Description: Task Scheduling Error: m->NextScheduledSPRetry 21610226

Error: (03/04/2014 05:25:20 AM) (Source: Bonjour Service)(User: )
Description: Task Scheduling Error: m->NextScheduledEvent 21610226


==================== Memory info =========================== 

Percentage of memory in use: 34%
Total physical RAM: 3070 MB
Available physical RAM: 1999.45 MB
Total Pagefile: 6138.28 MB
Available Pagefile: 4601.27 MB
Total Virtual: 2047.88 MB
Available Virtual: 1907.91 MB

==================== Drives ================================

Drive c: (Win 7) (Fixed) (Total:148.89 GB) (Free:73.74 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive d: (Data) (Fixed) (Total:147.73 GB) (Free:90.12 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 298 GB) (Disk ID: D39222F7)

Partition: GPT Partition Type.

==================== End Of Log ============================
         

Zur Vorbereitung von Schritt "Scan mit GMER": Die G Data GUI funktioniert ja wie gesagt nicht. Es sind laut Dienstekonsole einige G Data Dienste gestartet, die m.E. mit Scanvorgängen zu tun haben könnten: z.B. G Data Scanner = GDScan, G Data Dateisystem Wächter = AVKWCtl, G Data AntiVirus Proxy = AVKProxy. Ich habe deren Eigenschaften mal mit sc query <Dienstname> mal abgefragt.

Das sieht dann z.B. so aus:

C:>sc query gdscan

SERVICE_NAME: gdscan
TYPE : 10 WIN32_OWN_PROCESS
STATE : 4 RUNNING
(NOT_STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

Soll ich versuchen, diese Dienste über die Dienstekonsole zu beenden und wenn das nicht funktioniert, die Dienste einfach ignorieren bevor ich mit den Scan per GMER starte?

Vielen Dank vorab.
Gruß Jo

Hallo Jo,
hast Du gut gemacht....

Bitte führe den GMER-Scan einfach aus...

Hallo Jürgen,

ich habe alle G Data Dienste so gelassen. Es sind alle anderen Programme geschlossen und keine Internetverbindung hergestellt. Ich bekomme beim Start von GMER eine Fehlermeldung:

"Load Driver(C:\Users\JRG~1\AppData\Local\Temp\fwlyapow.sys) error 0xC0000001: Ein an das System angeschlossenes Gerät funktioniert nicht."

Ich kann nur mit "OK" bestätigen.

Es ist noch ein USB-Stick (ohne Daten) an meinem Computer angeschlossen. Den habe ich seitdem ich die Schadsoftware bemerkt habe angeschlossen gelassen (eigentlich wollte ich auf den Stick seinerzeit noch einige Dateien sichern). Der Zugriff darauf war allerdings nicht möglich (vgl. Mein erster Post, Treiberproblem). Kann die Fehlermeldung damit zusammen hängen?

Was soll ich tun? Danke

Gruß Jo

Bestätige und führe den Scan durch.

Habe mit "OK" bestätigt. GUI von GMER ist jetzt da, allerdings mit Fehlermeldung:

C:\Windows\system32\config\system: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

Habe wieder mit "OK" bestätigt und mit "Scan" versucht, den Scan zu starten.

Es erscheint wieder die Fehlermeldung "C:\Windows\system32\config\system: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird." Mit "OK" bestätigen bringt diese Meldung noch dreimal.

Dann kommt eine Hinweismeldung "GMER hasn't found any System modifications." Mit "OK" bestätigt.

Nochmal ein Versuch mit "Scan" zu starten. Dann kommt wieder die Fehlermeldung "C:\Windows\system32\config\system: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird." Gleiches Vorgehen wie oben ...

Habe GMER beendet.

Habe dann mal versucht, auf den config-Ordner unter "C:\Windows\system32" zuzugreifen. Es kommt eine Warnmeldung: "Sie verfügen momentan nicht über die Berechtigung des Zugriffs auf diesen Ordner." Man könnte zwar auf "Fortsetzen" klicken, aber ich habe es hier mit "Abbrechen" erst mal sein lassen.

Was soll ich jetzt tun?

Danke und Gruß
Jo

Jo, kein Problem. Breche den GMER-Scan ab.

Das Rootkit hat uns lange genug geärgert, jetzt schießen wir zurück.

Schritt 1 (Necurs-Cleaner)
Lade Dir bitte von hier den Necurs-Cleaner herunter.
Starte ihn und drücke "Y" wenn Du gefragt wirst

Zitat:

"Do you want to remove the rootkit"

Wenn das Rootkit entfernt wurde, bestätige die Meldung zum Reboot.
Poste mir den Inhalt des ESETNecursCleaner.exe_***.log

Wie verhält sich der Rechner jetzt?

Hallo Jürgen!

Sorry, hatte Deine Nachricht zu spät gelesen. Geht aber jetzt weiter mit ESET Necurs-Cleaner. Muss die exe nur noch ausführen. Ist vorher sonst noch was spezielles zu beachten (Scan-Dienste, Internetverbindung etc.)?

Nein, Feuer frei!

Habe das so gemacht. Win32/Necurs gefunden und removed. Neustart. Die ESETNecursCleaner.exe_***.log will zum Öffnen ein Kennwort. Kennst Du es?

Achso, noch was: Gerade meldet Windows Defender den Fund von Trojan:Win32/Necurs.A

Habe mal vorab zwei Sachen angeschaut: Der verdächtige Dienst "syshost32" ist im Taskmanager immer noch vorhanden (Status: "Wird ausgeführt"). Auf den USB-Stick kann ich aber jetzt wieder zugreifen :-)

Bekommen wir schon hin Jo!

Starte jetzt nochmal FRST.
Ändere keine der Checkboxen und klicke auf Scan.
Die Logdatei wird nun erstellt und befindet sich danach im gleichen Verzeichnis wie FRST.
Poste mir bitte den Inhalt der FRST.txt in deinen Thread (#-Symbol im Eingabefenster der Webseite anklicken).