| |
| |||||||
Log-Analyse und Auswertung: Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch daWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
17.05.2014, 21:12
| #1 |
| |  Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da Nabend, wie im Titel schon kurz angerissen, habe ich vermutlich in den beiden genannten .exen vermutlich nen Virus, obwohl ich meine Festplatte schon mehfach formatiert habe und unter Linux den MBR formatiert habe. Nochmal ganz von vorne, es handelt sich bei dem Computer eigentlich um einen komplett neu zusammengebauten Rechner, nur eine alte HDD wurde übernommen (habe nachdem ich sie eingebaut hatte Windows von C: gelöscht) und nach und nach Programme nach der Neuinstallation auf der neuen SSD von der alten Platte runtergeschmissen. Der Rechner in dem die alte Festplatte vorher verbaut war hatte ein paar Macken, die aber eher nach Hardwarefehlern, als nach nem Virus aussahen (wollte bei jedem Runterfahren ein Windows Update aufpielen, was im bluescreen endete). Die ersten paar Tage sah beim neuen PC alles gut aus, bis er plötzlich ewig langsam hochfuhr (Eingabe des Benutzer-Passwortes geschah nur verzögert und der Begrüssungssound wurde abgehackt und verzerrt abgespielt) desweiteren lief die CPU häufig auf 100% Leistung, ohne das ein Programm auch nur 1% auslasten würde. Im Task-Manager traten dann csrss.exe und winlogon.exe ohne Benutzername und Beschreibung auf und man konnte ihren Dateipfad nich öffnen, noch ihre Eigenschaften aufrufen. Dieses Phänomen mit csrss.exe und winlogon.exe bleibt nun nach x-facher Formatierung/Neuinstallation von Windows 7 64bit/und löschen des MBR unter Linux von CD gestarten immer noch komisch im Taskmanager. Die alte Festplatte, von der ich vermute, dass der Virus kam habe ich nun abgestöpselt, sodass nur noch die neue PLatte benutzt wird, der Fehler bleibt aber weiterhin. Gibt es noch weitere Möglichekeiten sowas zu entfernen, außer Formatieren/MBR löschen und wenn ja, habe ich eine danach eine Möglichkeit die Daten der alten Festplatte (habe sie auf ne externe gezogen) wieder zu bekommen, ohne das ganze Spiel wieder von vorne zu beginnen? Hoffe mir kann geholfen werden, danke schonmal an alle die meinen zu langen Text lesen^^. anbei noch die log files |
|
17.05.2014, 21:16
| #2 |
| Ruhe in Frieden † 2019     | Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da Mein Name ist Sandra und ich werde Dir bei Deinem Problem behilflich sein.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und bei einem Befall durch Malware immer der sicherste Weg. Adware lässt sich in den allermeisten Fällen problemlos entfernen. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Dir jemand vom Team sagt, dass Du clean bist. Posten in Code Tags Bitte füge die Logs immer in Code-Tags ein. Wenn Du das nicht machst, erschwert es mir sehr das Auswerten. Danke. Dazu:
Schritt 1 Bitte poste deine Logfiles hier in Code-Tags ( Anleitung siehe oben) in deinen Thread
__________________ |
|
17.05.2014, 23:14
| #3 |
| | Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da Ok habe sie als Code-Tags eingefügt.
__________________defogger disable log Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 21:00 on 17/05/2014 (rkl)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
-=E.O.F=-
FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 17-05-2014
Ran by rkl (administrator) on ARBEITSZIMMER on 17-05-2014 21:00:54
Running from C:\Users\rkl\Downloads
Platform: Windows 7 Home Premium Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 8
Boot Mode: Normal
==================== Processes (Whitelisted) =================
(Intel) D:\Drivers\LAN\Intel\(v18.5_PV)\AUTORUN.EXE
(Microsoft Corporation) C:\Windows\System32\msiexec.exe
(Intel Corporation) C:\Windows\System32\IPROSetMonitor.exe
==================== Registry (Whitelisted) ==================
HKU\S-1-5-21-1918603426-3789014278-2537481345-1000\...\MountPoints2: {029e59ec-ddda-11e3-9df1-806e6f6e6963} - D:\ASRSetup.exe
==================== Internet (Whitelisted) ====================
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0xB8CD71D20172CF01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1
FireFox:
========
==================== Services (Whitelisted) =================
==================== Drivers (Whitelisted) ====================
R3 e1dexpress; C:\Windows\System32\DRIVERS\e1d62x64.sys [495376 2013-05-30] (Intel Corporation)
R1 Serial; C:\Windows\System32\DRIVERS\serial.sys [94208 2009-07-14] (Brother Industries Ltd.)
==================== NetSvcs (Whitelisted) ===================
==================== One Month Created Files and Folders ========
2014-05-17 21:00 - 2014-05-17 21:00 - 00002152 _____ () C:\Users\rkl\Downloads\FRST.txt
2014-05-17 21:00 - 2014-05-17 21:00 - 00000468 _____ () C:\Users\rkl\Downloads\defogger_disable.log
2014-05-17 21:00 - 2014-05-17 21:00 - 00000000 ____D () C:\FRST
2014-05-17 21:00 - 2014-05-17 21:00 - 00000000 _____ () C:\Users\rkl\defogger_reenable
2014-05-17 20:59 - 2014-05-17 20:59 - 02067456 _____ (Farbar) C:\Users\rkl\Downloads\FRST64.exe
2014-05-17 20:59 - 2014-05-17 20:59 - 00380416 _____ () C:\Users\rkl\Downloads\Gmer-19357.exe
2014-05-17 20:58 - 2014-05-17 20:58 - 00050477 _____ () C:\Users\rkl\Downloads\Defogger.exe
2014-05-17 20:56 - 2014-05-17 20:56 - 00000000 ____D () C:\Program Files\Intel
2014-05-17 20:56 - 2013-07-03 20:05 - 00552760 ____R (Intel Corporation) C:\Windows\system32\PROUnstl.exe
2014-05-17 20:56 - 2013-05-30 02:54 - 00495376 _____ (Intel Corporation) C:\Windows\system32\Drivers\e1d62x64.sys
2014-05-17 20:56 - 2013-05-10 21:48 - 00073480 _____ (Intel Corporation) C:\Windows\system32\e1dmsg.dll
2014-05-17 20:56 - 2013-03-01 22:42 - 00101152 _____ (Intel Corporation) C:\Windows\system32\NicInstD.dll
2014-05-17 20:56 - 2012-01-06 08:03 - 00003114 _____ () C:\Windows\system32\e1d62x64.din
2014-05-17 20:56 - 2009-05-26 04:05 - 00036472 _____ (Intel Corporation) C:\Windows\system32\NicCo36.dll
2014-05-17 20:56 - 2006-01-12 09:52 - 00001904 ____N () C:\Windows\system32\SetupBD.din
2014-05-17 18:43 - 2014-05-17 17:57 - 00000000 ____D () C:\Windows\Panther
2014-05-17 18:12 - 2014-05-17 18:15 - 00000000 _____ () C:\Windows\dir
2014-05-17 18:09 - 2014-05-17 18:09 - 00000000 _____ () C:\Windows\csrss.exe
2014-05-17 18:09 - 2014-05-17 18:09 - 00000000 _____ () C:\Windows\csrss
2014-05-17 18:09 - 2014-05-17 18:09 - 00000000 _____ () C:\Windows\cd
2014-05-17 18:04 - 2014-05-17 18:04 - 00270896 _____ () C:\Windows\Minidump\051714-1934-01.dmp
2014-05-17 18:02 - 2014-05-17 20:57 - 00004578 _____ () C:\Windows\WindowsUpdate.log
2014-05-17 18:02 - 2014-05-17 18:04 - 229294639 _____ () C:\Windows\MEMORY.DMP
2014-05-17 18:02 - 2014-05-17 18:04 - 00000000 ____D () C:\Windows\Minidump
2014-05-17 18:02 - 2014-05-17 18:02 - 00270896 _____ () C:\Windows\Minidump\051714-2449-01.dmp
2014-05-17 17:57 - 2014-05-17 21:00 - 00000000 ____D () C:\Users\rkl
2014-05-17 17:57 - 2014-05-17 17:57 - 00001443 _____ () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2014-05-17 17:57 - 2014-05-17 17:57 - 00001409 _____ () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk
2014-05-17 17:57 - 2014-05-17 17:57 - 00000020 ___SH () C:\Users\rkl\ntuser.ini
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Vorlagen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Startmenü
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Netzwerkumgebung
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Lokale Einstellungen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Eigene Dateien
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Druckumgebung
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Documents\Eigene Musik
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Documents\Eigene Bilder
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\AppData\Local\Verlauf
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\AppData\Local\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Public\Documents\Eigene Musik
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Public\Documents\Eigene Bilder
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Vorlagen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Startmenü
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Netzwerkumgebung
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Lokale Einstellungen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Eigene Dateien
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Druckumgebung
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Documents\Eigene Musik
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Documents\Eigene Bilder
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\AppData\Local\Verlauf
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\AppData\Local\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default User\Documents\Eigene Musik
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default User\Documents\Eigene Bilder
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default User\AppData\Local\Verlauf
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default User\AppData\Local\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Programme
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Vorlagen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Startmenü
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Microsoft\Windows\Start Menu\Programme
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Favoriten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Dokumente
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Program Files\Gemeinsame Dateien
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Dokumente und Einstellungen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 __SHD () C:\Recovery
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 ___RD () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 ___RD () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 ____D () C:\Users\rkl\AppData\Local\VirtualStore
2014-05-17 17:57 - 2009-07-14 06:54 - 00000000 ___RD () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
2014-05-17 17:57 - 2009-07-14 06:49 - 00000000 ___RD () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance
2014-05-17 17:44 - 2014-05-17 17:44 - 00001355 _____ () C:\Windows\TSSysprep.log
2014-05-17 17:44 - 2014-05-17 17:44 - 00001345 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Center.lnk
2014-05-17 17:44 - 2014-05-17 17:44 - 00001326 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows DVD Maker.lnk
==================== One Month Modified Files and Folders =======
2014-05-17 21:00 - 2014-05-17 21:00 - 00002152 _____ () C:\Users\rkl\Downloads\FRST.txt
2014-05-17 21:00 - 2014-05-17 21:00 - 00000468 _____ () C:\Users\rkl\Downloads\defogger_disable.log
2014-05-17 21:00 - 2014-05-17 21:00 - 00000000 ____D () C:\FRST
2014-05-17 21:00 - 2014-05-17 21:00 - 00000000 _____ () C:\Users\rkl\defogger_reenable
2014-05-17 21:00 - 2014-05-17 17:57 - 00000000 ____D () C:\Users\rkl
2014-05-17 20:59 - 2014-05-17 20:59 - 02067456 _____ (Farbar) C:\Users\rkl\Downloads\FRST64.exe
2014-05-17 20:59 - 2014-05-17 20:59 - 00380416 _____ () C:\Users\rkl\Downloads\Gmer-19357.exe
2014-05-17 20:58 - 2014-05-17 20:58 - 00050477 _____ () C:\Users\rkl\Downloads\Defogger.exe
2014-05-17 20:57 - 2014-05-17 18:02 - 00004578 _____ () C:\Windows\WindowsUpdate.log
2014-05-17 20:56 - 2014-05-17 20:56 - 00000000 ____D () C:\Program Files\Intel
2014-05-17 20:35 - 2009-07-14 06:45 - 00016832 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-05-17 20:35 - 2009-07-14 06:45 - 00016832 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-05-17 19:28 - 2009-07-14 07:32 - 00000000 ____D () C:\Windows\system32\restore
2014-05-17 19:07 - 2011-04-12 09:43 - 00643628 _____ () C:\Windows\system32\perfh007.dat
2014-05-17 19:07 - 2011-04-12 09:43 - 00126188 _____ () C:\Windows\system32\perfc007.dat
2014-05-17 19:07 - 2009-07-14 07:13 - 01472002 _____ () C:\Windows\system32\PerfStringBackup.INI
2014-05-17 19:03 - 2009-07-14 07:08 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2014-05-17 19:03 - 2009-07-14 06:51 - 00022242 _____ () C:\Windows\setupact.log
2014-05-17 18:43 - 2009-07-14 07:38 - 00025600 ___SH () C:\Windows\system32\config\BCD-Template.LOG
2014-05-17 18:43 - 2009-07-14 07:32 - 00028672 _____ () C:\Windows\system32\config\BCD-Template
2014-05-17 18:15 - 2014-05-17 18:12 - 00000000 _____ () C:\Windows\dir
2014-05-17 18:09 - 2014-05-17 18:09 - 00000000 _____ () C:\Windows\csrss.exe
2014-05-17 18:09 - 2014-05-17 18:09 - 00000000 _____ () C:\Windows\csrss
2014-05-17 18:09 - 2014-05-17 18:09 - 00000000 _____ () C:\Windows\cd
2014-05-17 18:04 - 2014-05-17 18:04 - 00270896 _____ () C:\Windows\Minidump\051714-1934-01.dmp
2014-05-17 18:04 - 2014-05-17 18:02 - 229294639 _____ () C:\Windows\MEMORY.DMP
2014-05-17 18:04 - 2014-05-17 18:02 - 00000000 ____D () C:\Windows\Minidump
2014-05-17 18:02 - 2014-05-17 18:02 - 00270896 _____ () C:\Windows\Minidump\051714-2449-01.dmp
2014-05-17 17:57 - 2014-05-17 18:43 - 00000000 ____D () C:\Windows\Panther
2014-05-17 17:57 - 2014-05-17 17:57 - 00001443 _____ () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2014-05-17 17:57 - 2014-05-17 17:57 - 00001409 _____ () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk
2014-05-17 17:57 - 2014-05-17 17:57 - 00000020 ___SH () C:\Users\rkl\ntuser.ini
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Vorlagen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Startmenü
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Netzwerkumgebung
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Lokale Einstellungen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Eigene Dateien
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Druckumgebung
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Documents\Eigene Musik
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Documents\Eigene Bilder
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\AppData\Local\Verlauf
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\AppData\Local\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\rkl\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Public\Documents\Eigene Musik
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Public\Documents\Eigene Bilder
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Vorlagen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Startmenü
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Netzwerkumgebung
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Lokale Einstellungen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Eigene Dateien
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Druckumgebung
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Documents\Eigene Musik
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Documents\Eigene Bilder
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\AppData\Local\Verlauf
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\AppData\Local\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default User\Documents\Eigene Musik
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default User\Documents\Eigene Bilder
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default User\AppData\Local\Verlauf
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Users\Default User\AppData\Local\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Programme
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Vorlagen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Startmenü
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Microsoft\Windows\Start Menu\Programme
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Favoriten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Dokumente
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\ProgramData\Anwendungsdaten
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Program Files\Gemeinsame Dateien
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 _SHDL () C:\Dokumente und Einstellungen
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 __SHD () C:\Recovery
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 ___RD () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 ___RD () C:\Users\rkl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
2014-05-17 17:57 - 2014-05-17 17:57 - 00000000 ____D () C:\Users\rkl\AppData\Local\VirtualStore
2014-05-17 17:57 - 2009-07-14 05:20 - 00000000 __RHD () C:\Users\Default
2014-05-17 17:57 - 2009-07-14 05:20 - 00000000 ____D () C:\Windows\rescache
2014-05-17 17:57 - 2009-07-14 05:20 - 00000000 ____D () C:\Program Files\Windows NT
2014-05-17 17:45 - 2009-07-14 06:45 - 00274464 _____ () C:\Windows\system32\FNTCACHE.DAT
2014-05-17 17:44 - 2014-05-17 17:44 - 00001355 _____ () C:\Windows\TSSysprep.log
2014-05-17 17:44 - 2014-05-17 17:44 - 00001345 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Center.lnk
2014-05-17 17:44 - 2014-05-17 17:44 - 00001326 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows DVD Maker.lnk
2014-05-17 17:44 - 2009-07-14 07:32 - 00000000 ___RD () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games
2014-05-17 17:44 - 2009-07-14 06:46 - 00002790 _____ () C:\Windows\DtcInstall.log
2014-05-17 17:44 - 2009-07-14 05:20 - 00000000 ___RD () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories
2014-05-17 17:44 - 2009-07-14 05:20 - 00000000 ____D () C:\Windows\system32\sysprep
==================== Bamital & volsnap Check =================
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
LastRegBack: 2014-05-17 19:21
==================== End Of Log ============================
FRST Addition log Code:
ATTFilter Additional scan result of Farbar Recovery Scan Tool (x64) Version: 17-05-2014
Ran by rkl at 2014-05-17 21:01:02
Running from C:\Users\rkl\Downloads
Boot Mode: Normal
==========================================================
==================== Security Center ========================
AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
==================== Installed Programs ======================
Intel(R) Network Connections 18.5.54.0 (HKLM\...\PROSetDX) (Version: 18.5.54.0 - Intel)
Intel(R) Network Connections 18.5.54.0 (Version: 18.5.54.0 - Intel) Hidden
VC_CRT_x64 (Version: 1.02.0000 - Intel Corporation) Hidden
==================== Restore Points =========================
17-05-2014 17:28:06 Geplanter Prüfpunkt
17-05-2014 18:56:08 Installed Intel(R) Network Connections.
==================== Hosts content: ==========================
2009-07-14 04:34 - 2009-06-10 23:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts
==================== Scheduled Tasks (whitelisted) =============
==================== Loaded Modules (whitelisted) =============
==================== Alternate Data Streams (whitelisted) =========
==================== Safe Mode (whitelisted) ===================
==================== EXE Association (whitelisted) =============
==================== Disabled items from MSCONFIG ==============
==================== Faulty Device Manager Devices =============
Name: USB (Universal Serial Bus)-Controller
Description: USB (Universal Serial Bus)-Controller
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.
Name: PCI-Kommunikationscontroller (einfach)
Description: PCI-Kommunikationscontroller (einfach)
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.
Name: SM-Bus-Controller
Description: SM-Bus-Controller
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.
Name:
Description:
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.
==================== Event log errors: =========================
Application errors:
==================
Error: (05/17/2014 07:05:12 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (05/17/2014 06:06:26 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (05/17/2014 05:57:24 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
System errors:
=============
Error: (05/17/2014 07:33:56 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Der Dienst "Superfetch" wurde mit folgendem Fehler beendet:
%%1062
Error: (05/17/2014 06:04:28 PM) (Source: Service Control Manager) (EventID: 7026) (User: )
Description: Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
AFD
DfsC
discache
NetBIOS
NetBT
nsiproxy
Psched
rdbss
spldr
tdx
Wanarpv6
WfpLwf
Error: (05/17/2014 06:04:28 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "NLA (Network Location Awareness)" ist vom Dienst "Netzwerkspeicher-Schnittstellendienst" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%1068
Error: (05/17/2014 06:04:28 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "SMB 2.0-Miniredirector" ist vom Dienst "SMB-Miniredirector-Wrapper und -Modul" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%1068
Error: (05/17/2014 06:04:28 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "SMB 1.x-Miniredirector" ist vom Dienst "SMB-Miniredirector-Wrapper und -Modul" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%1068
Error: (05/17/2014 06:04:28 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "SMB-Miniredirector-Wrapper und -Modul" ist vom Dienst "Umgeleitetes Puffersubsystem" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%31
Error: (05/17/2014 06:04:28 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "IP-Hilfsdienst" ist vom Dienst "Netzwerkspeicher-Schnittstellendienst" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%1068
Error: (05/17/2014 06:04:28 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Arbeitsstationsdienst" ist vom Dienst "Netzwerkspeicher-Schnittstellendienst" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%1068
Error: (05/17/2014 06:04:28 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "Netzwerkspeicher-Schnittstellendienst" ist vom Dienst "NSI proxy service driver." abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%31
Error: (05/17/2014 06:04:28 PM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Der Dienst "TCP/IP-NetBIOS-Hilfsdienst" ist vom Dienst "Ancillary Function Driver for Winsock" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%31
Microsoft Office Sessions:
=========================
Error: (05/17/2014 07:05:12 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (05/17/2014 06:06:26 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
Error: (05/17/2014 05:57:24 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
==================== Memory info ===========================
Percentage of memory in use: 23%
Total physical RAM: 3749.08 MB
Available physical RAM: 2861.02 MB
Total Pagefile: 7496.36 MB
Available Pagefile: 6633.04 MB
Total Virtual: 8192 MB
Available Virtual: 8191.82 MB
==================== Drives ================================
Drive c: () (Fixed) (Total:111.69 GB) (Free:97.21 GB) NTFS
Drive d: (ASRock SupportCD) (CDROM) (Total:3.42 GB) (Free:0 GB) CDFS
==================== MBR & Partition Table ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 112 GB) (Disk ID: 2C158E28)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=112 GB) - (Type=07 NTFS)
==================== End Of Log ============================
Code:
ATTFilter GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2014-05-17 21:04:21
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1 Samsung_SSD_840_EVO_120GB rev.EXT0BB6Q 111,79GB
Running: Gmer-19357.exe; Driver: C:\Users\rkl\AppData\Local\Temp\kgtoipog.sys
---- User code sections - GMER 2.1 ----
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\USER32.dll!CreateWindowExW 0000000075918a29 5 bytes JMP 00000001725a3834
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\USER32.dll!DialogBoxIndirectParamW 000000007593cbf3 5 bytes JMP 00000001726ddcd8
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\USER32.dll!DialogBoxParamW 000000007593cfca 5 bytes JMP 00000001724d7f59
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\USER32.dll!DialogBoxParamA 000000007595cb0c 5 bytes JMP 00000001726ddc75
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\USER32.dll!DialogBoxIndirectParamA 000000007595ce64 5 bytes JMP 00000001726ddd3b
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\USER32.dll!MessageBoxIndirectA 000000007596fbd1 5 bytes JMP 00000001726ddc0a
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\USER32.dll!MessageBoxIndirectW 000000007596fc9d 5 bytes JMP 00000001726ddb9f
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\USER32.dll!MessageBoxExA 000000007596fcd6 5 bytes JMP 00000001726ddb3d
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\USER32.dll!MessageBoxExW 000000007596fcfa 5 bytes JMP 00000001726ddadb
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\OLEAUT32.dll!OleCreatePropertyFrameIndirect 0000000076aa93fc 5 bytes JMP 00000001726de83a
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 00000000753a1465 2 bytes [3A, 75]
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000753a14bb 2 bytes [3A, 75]
.text ... * 2
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2\comctl32.dll!PropertySheetW 0000000073b1388e 5 bytes JMP 00000001726df282
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2\comctl32.dll!PropertySheet 0000000073bb7922 5 bytes JMP 00000001726df323
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2472] C:\Windows\syswow64\comdlg32.dll!PageSetupDlgW 00000000767e2694 5 bytes JMP 00000001726dea33
? C:\Windows\system32\mssprxy.dll [2472] entry point in ".rdata" section 00000000732371e6
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!CreateWindowExW 0000000075918a29 5 bytes JMP 00000001725a3834
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!GetKeyState 000000007592291f 5 bytes JMP 00000001724d0f59
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!EnableWindow 0000000075922da4 5 bytes JMP 00000001724ca855
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!CallNextHookEx 0000000075926285 5 bytes JMP 0000000172513c96
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!SetWindowsHookExW 0000000075927603 5 bytes JMP 0000000172567df9
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!CreateDialogIndirectParamA 000000007592b029 5 bytes JMP 00000001726de9c5
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!CreateDialogIndirectParamW 000000007592c63e 5 bytes JMP 00000001726de9fc
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!IsDialogMessage 00000000759350ed 5 bytes JMP 00000001726de191
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!CreateDialogParamA 0000000075935246 5 bytes JMP 00000001726de957
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!EndDialog 000000007593b99c 5 bytes JMP 00000001724cb000
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!IsDialogMessageW 000000007593c701 5 bytes JMP 00000001724cadae
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!DialogBoxIndirectParamW 000000007593cbf3 5 bytes JMP 00000001726ddcd8
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!DialogBoxParamW 000000007593cfca 5 bytes JMP 00000001724d7f59
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!GetAsyncKeyState 000000007593eb96 5 bytes JMP 00000001724cb202
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!UnhookWindowsHookEx 000000007593f52b 5 bytes JMP 00000001725cd963
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!SendInput 000000007593ff4a 5 bytes JMP 00000001726df11c
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!CreateDialogParamW 00000000759410dc 5 bytes JMP 00000001726de98e
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!SetKeyboardState 00000000759414b2 5 bytes JMP 00000001726de4f6
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!SetCursorPos 0000000075959cfd 5 bytes JMP 00000001726df174
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!DialogBoxParamA 000000007595cb0c 5 bytes JMP 00000001726ddc75
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!DialogBoxIndirectParamA 000000007595ce64 5 bytes JMP 00000001726ddd3b
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!MessageBoxIndirectA 000000007596fbd1 5 bytes JMP 00000001726ddc0a
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!MessageBoxIndirectW 000000007596fc9d 5 bytes JMP 00000001726ddb9f
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!MessageBoxExA 000000007596fcd6 5 bytes JMP 00000001726ddb3d
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!MessageBoxExW 000000007596fcfa 5 bytes JMP 00000001726ddadb
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\USER32.dll!keybd_event 00000000759702bf 5 bytes JMP 00000001726df4a7
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\ole32.dll!OleLoadFromStream 00000000768e6143 5 bytes JMP 00000001726de036
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\ole32.dll!CoCreateInstance 0000000076929d0b 5 bytes JMP 00000001725a33c2
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\OLEAUT32.dll!SysFreeString 0000000076a43e59 5 bytes JMP 00000001725bd8fb
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\OLEAUT32.dll!VariantClear 0000000076a43eae 5 bytes JMP 00000001725be408
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\OLEAUT32.dll!SysAllocStringByteLen 0000000076a44731 5 bytes JMP 00000001726dec33
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\OLEAUT32.dll!VariantChangeType 0000000076a45dee 5 bytes JMP 00000001726dec7e
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\OLEAUT32.dll!OleCreatePropertyFrameIndirect 0000000076aa93fc 5 bytes JMP 00000001726de83a
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 00000000753a1465 2 bytes [3A, 75]
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000753a14bb 2 bytes [3A, 75]
.text ... * 2
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2\comctl32.dll!PropertySheetW 0000000073b1388e 5 bytes JMP 00000001726df282
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2\comctl32.dll!PropertySheet 0000000073bb7922 5 bytes JMP 00000001726df323
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\comdlg32.dll!PrintDlgW 00000000767d33a3 5 bytes JMP 00000001726deacd
.text C:\Program Files (x86)\Internet Explorer\iexplore.exe[2476] C:\Windows\syswow64\comdlg32.dll!PageSetupDlgW 00000000767e2694 5 bytes JMP 00000001726dea33
---- EOF - GMER 2.1 ----
|
|
18.05.2014, 00:08
| #4 | |
| Ruhe in Frieden † 2019 | Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da Hallo, zuerst, es ist normal, dass du von diesen Dateien den Benutzer und den Dateipfad nicht angezeigt bekommst. Hast du diesen Ordner und diese Datei unter Windows erstellt? Zitat:
|
|
18.05.2014, 18:55
| #5 |
| | Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da csrss.exe C:\Windows\System32 winlogon.exe C:\Windows\System32 Das es normal ist, dass diese beiden keine Dateipfad/Beschreibung haben, ist bei zwei anderen PCs von mir jedoch nicht der Fall, bei diesen sind von Anfang an die Beschreibungen beider Prozesse da, bei einem dritten PC, mit dem ich es nun verglichen habe jedoch nicht. Vielleicht ist der Fehler ja weg, es hat nach dem Formatieren immer einige Zeit gebraucht, bis die Fehler (verzögerte Eingabe des Passworts, verzerrte Sounds beim Hochfahren) auftraten. Momentan läuft der PC rund, aber es ist auch nur Windows + der Lan Treiber drauf (und die Porgramme um die drei Logs zu erstellen). Der Pc lief nun ein paar Stunden wieder normal, aber jetzt fängt er (wenn auch leichter) wieder damit an den Begrüßungssound leicht verzerrt abzuspielen und bei der Eingabe des Benutzerpassworts alles leicht verzögert anzunehmen. Sobald man dann aufm desktop ist, ist alles normal. |
|
18.05.2014, 23:31
| #6 | ||
| Ruhe in Frieden † 2019 | Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da Hallo Gen, hattest du meine Frage nach der csrss.exe und dem Ordner gelesen? Es ist in diesem Fall normal, weil dir die entsprechenden administrativen Berechtigungen fehlen. Die Pfade sind absolut in Ordnung. Zitat:
Zitat:
__________________ --> Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da |
|
19.05.2014, 14:42
| #7 |
| | Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da Welche Frage meinst du jetzt genau zu der csrss.exe: "Hast du diesen Ordner und diese Datei unter Windows erstellt?" also von Hand habe ich nix gemacht, wird ja wohl bei der Installation von Windows gemacht, den Ort der beiden Dateien hatte ich dir gepostet. Aber ich glaube mittlerweile nicht mehr, dass es sich um nen Virus handelt, (das die beiden genannten exen manchmal ohne Beschreibung im Taskmanager sind habe ich nun gelernt) irgentwo im Netz hatte ich halt aufgeschnappt, dass das nicht normal ist und zwei andere Rechner die als Vergleich dienten hatten mir dies ja auch bestätigt. Meine jetzige Vermutung ist, dass die neue Festplatte beschädigt ist (installiere morgen mal zum Testen auf einer anderen) und das hat im Zusammenspiel mit einem mal gefundenen Virus, der wohl drauf war so ausgesehen, als wenn der immernoch da ist. Sollte es nicht an der Festplatte liegen wäre ich aber sehr ratlos, bei 50% der Hochfahrvorgänge hängt der PC sich halt halb auf und der Sound stottert, läuft danach aber 100% einwandfrei. Trotzdem danke für die Hilfe und Mühe, hoffentlich klärt sich das nachher auf. Ok es hat sich geklärt, es liegt an der neuen/kaputt gelieferten Festplatte... Und das mit dem csrss.exe und winlogon.exe hat sich auch geklärt, wenn man die Benutzerkontensteuerung auf's niedrigste stellt wird alles angezeigt... Naja trotzdem danke nochmal, Problem hat sich gelöst^^. |
|
19.05.2014, 22:26
| #8 |
| Ruhe in Frieden † 2019 | Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da Hallo Gen, sehr schön, dass sich das Problem gelöst hat. Alles Gute. Somit ist dieses Thema erledigt, falls du noch Fragen haben solltest oder es Probleme gibt, so schicke mir bitte eine PN Jeder andere bitte hier klicken und einen eigenen Thread erstellen |
|
| Themen zu Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da |
| 100%, bluescreen, computer, cpu, csrss.exe, entfernen, festplatte, file, formatierung, gelöscht, langsam, linux, log file, löschen, neu, neue, programme, rechner, runterfahren, task-manager, update, virus, windows, windows update, winlogon.exe |
Linear-Darstellung
