Hallo,

ich muss für einen Freund einen Laptop bereinigen, der Polizei Trojaner in folgendem Bild ist der Bösewicht. Er startet auch im abgesicherten Modus.
Windows 7, 64 Bit ist das Betriebssystem, kann mir jemand helfen?

Danke schon mal im Voraus!

mfg Robert

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
• Führe bitte nur Scans durch, zu denen Du von mir aufgefordert wurdest.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
• Speichere alle unsere Tools auf dem Desktop ab.
• Poste die Logfiles direkt in Deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 24 Stunden nichts von mir liest, dann schreibe mir bitte eine PM.

Hinweis:
Ich kann Dir niemals eine Garantie geben, dass wir alle schädlichen Dateien finden werden.
Eine Formatierung ist meist der schnellere und immer der sicherste Weg, aber auch nur bei wirklicher Malware empfehlenswert.
Adware & Co. können wir sehr gut entfernen.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Du mein clean bekommst.

Los geht's:

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Lesestoff
Posten in CODE-Tags: So gehts...
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert uns massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

FRST Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 10-09-2014
Ran by SYSTEM on MININT-EDBKS7H on 12-09-2014 15:51:28
Running from h:\
Platform: Windows 7 Home Premium (X64) OS Language: Deutsch (Deutschland)
Internet Explorer Version 9
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> If the system is bootable FRST must be run from normal or Safe mode to create a complete log.




==================== Registry (Whitelisted) ==================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [10144288 2010-04-06] (Realtek Semiconductor)
HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2107176 2010-03-11] (Synaptics Incorporated)
HKLM-x32\...\Run: [avgnt] => C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe [348664 2012-08-22] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [BCSSync] => C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [89184 2012-11-05] (Microsoft Corporation)
HKLM-x32\...\Run: [CanonQuickMenu] => C:\Program Files (x86)\Canon\Quick Menu\CNQMMAIN.EXE [1282632 2013-04-02] (CANON INC.)
HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-12-21] (Adobe Systems Incorporated)
Winlogon\Notify\igfxcui: C:\Windows\system32\igfxdev.dll (Intel Corporation)
HKU\Default\...\Run: [TOSHIBA Online Product Information] => C:\Program Files (x86)\TOSHIBA\TOSHIBA Online Product Information\topi.exe [4581280 2010-03-03] (TOSHIBA)
HKU\Default User\...\Run: [TOSHIBA Online Product Information] => C:\Program Files (x86)\TOSHIBA\TOSHIBA Online Product Information\topi.exe [4581280 2010-03-03] (TOSHIBA)
HKU\Thomas Steidl\...\Run: [swg] => C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [39408 2012-06-08] (Google Inc.)
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk
ShortcutTarget: TRDCReminder.lnk -> C:\Program Files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe (TOSHIBA Europe)
Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk
ShortcutTarget: TRDCReminder.lnk -> C:\Program Files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe (TOSHIBA Europe)

==================== Services (Whitelisted) =================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

S2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [86224 2012-05-02] (Avira Operations GmbH & Co. KG)
S2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [110032 2012-05-01] (Avira Operations GmbH & Co. KG)
S2 IJPLMSVC; C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE [138192 2011-02-07] ()
S2 KMService; C:\Windows\SysWOW64\srvany.exe [8192 2012-10-30] ()
S3 TemproMonitoringService; C:\Program Files (x86)\Toshiba TEMPRO\TemproSvc.exe [124368 2010-05-11] (Toshiba Europe GmbH)

==================== Drivers (Whitelisted) ====================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [98848 2012-04-24] (Avira GmbH)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [132832 2012-04-27] (Avira GmbH)
S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [27760 2012-05-02] (Avira GmbH)
S3 ewusbnet; C:\Windows\System32\DRIVERS\ewusbnet.sys [256000 2010-08-31] (Huawei Technologies Co., Ltd.)
S3 Tosrfcom; No ImagePath

==================== NetSvcs (Whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)


==================== One Month Created Files and Folders ========

(If an entry is included in the fixlist, the file\folder will be moved.)

2014-09-12 15:51 - 2014-09-12 15:51 - 00000000 ____D () C:\FRST
2014-09-11 22:09 - 2014-09-11 22:09 - 00026118 _____ () C:\Windows\PFRO.log
2014-09-11 18:20 - 2014-09-11 18:20 - 00000000 ____D () C:\Intel
2014-09-11 18:19 - 2014-09-12 13:50 - 00000224 _____ () C:\Windows\setupact.log
2014-09-11 18:19 - 2014-09-11 18:19 - 00000000 _____ () C:\Windows\setuperr.log
2014-09-11 18:12 - 2014-09-11 18:12 - 00000829 _____ () C:\Users\Public\Desktop\CCleaner.lnk
2014-09-11 18:06 - 2014-09-11 18:07 - 03826912 _____ (Piriform Ltd) C:\Users\Thomas Steidl\Downloads\ccsetup417_slim.exe
2014-09-11 18:05 - 2014-09-11 18:05 - 00001986 _____ () C:\Users\Public\Desktop\Adobe Reader XI.lnk
2014-09-11 18:05 - 2014-09-11 18:05 - 00000000 ____D () C:\Program Files (x86)\Adobe
2014-09-11 17:59 - 2014-09-11 18:09 - 101694776 _____ (Microsoft Corporation) C:\Windows\System32\MRT.exe
2014-09-11 17:59 - 2014-09-11 18:09 - 00000000 ____D () C:\Windows\System32\MRT
2014-09-09 11:51 - 2014-09-09 11:51 - 00332532 ____T (Microsoft Corporation) C:\ProgramData\1160487.dot
2014-09-09 11:49 - 2014-09-09 11:49 - 00135168 _____ () C:\ProgramData\7840611.cpp
2014-08-29 07:47 - 2014-08-29 07:47 - 00000000 ___HD () C:\ProgramData\CanonIJMIG

==================== One Month Modified Files and Folders =======

(If an entry is included in the fixlist, the file\folder will be moved.)

2014-09-12 15:51 - 2014-09-12 15:51 - 00000000 ____D () C:\FRST
2014-09-12 14:36 - 2012-05-26 10:31 - 01341650 _____ () C:\Windows\WindowsUpdate.log
2014-09-12 14:27 - 2012-06-08 11:49 - 00001124 _____ () C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2014-09-12 14:17 - 2012-06-08 11:49 - 00000884 _____ () C:\Windows\Tasks\Adobe Flash Player Updater.job
2014-09-12 13:57 - 2009-07-14 05:45 - 00016304 ____H () C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-09-12 13:57 - 2009-07-14 05:45 - 00016304 ____H () C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-09-12 13:50 - 2014-09-11 18:19 - 00000224 _____ () C:\Windows\setupact.log
2014-09-12 13:50 - 2012-06-08 11:49 - 00001120 _____ () C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2014-09-12 13:50 - 2009-07-14 06:08 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2014-09-11 22:09 - 2014-09-11 22:09 - 00026118 _____ () C:\Windows\PFRO.log
2014-09-11 18:45 - 2012-05-26 11:11 - 00000000 ____D () C:\users\Thomas Steidl
2014-09-11 18:45 - 2009-07-14 04:20 - 00000000 ____D () C:\Windows\registration
2014-09-11 18:21 - 2012-08-30 10:39 - 00000000 ____D () C:\ProgramData\Microsoft Help
2014-09-11 18:20 - 2014-09-11 18:20 - 00000000 ____D () C:\Intel
2014-09-11 18:19 - 2014-09-11 18:19 - 00000000 _____ () C:\Windows\setuperr.log
2014-09-11 18:19 - 2014-09-11 17:59 - 00000000 ____D () C:\Windows\System32\MRT
2014-09-11 18:17 - 2013-03-20 15:43 - 00000000 ____D () C:\Windows\Minidump
2014-09-11 18:15 - 2009-07-14 18:58 - 00654400 _____ () C:\Windows\System32\perfh007.dat
2014-09-11 18:15 - 2009-07-14 18:58 - 00130240 _____ () C:\Windows\System32\perfc007.dat
2014-09-11 18:15 - 2009-07-14 06:13 - 01498742 _____ () C:\Windows\System32\PerfStringBackup.INI
2014-09-11 18:13 - 2012-06-08 11:49 - 00701104 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2014-09-11 18:13 - 2012-06-08 11:49 - 00071344 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2014-09-11 18:13 - 2012-06-08 11:49 - 00003822 _____ () C:\Windows\System32\Tasks\Adobe Flash Player Updater
2014-09-11 18:12 - 2014-09-11 18:12 - 00000829 _____ () C:\Users\Public\Desktop\CCleaner.lnk
2014-09-11 18:12 - 2012-10-19 16:49 - 00000000 ____D () C:\Program Files\CCleaner
2014-09-11 18:09 - 2014-09-11 17:59 - 101694776 _____ (Microsoft Corporation) C:\Windows\System32\MRT.exe
2014-09-11 18:07 - 2014-09-11 18:06 - 03826912 _____ (Piriform Ltd) C:\Users\Thomas Steidl\Downloads\ccsetup417_slim.exe
2014-09-11 18:05 - 2014-09-11 18:05 - 00001986 _____ () C:\Users\Public\Desktop\Adobe Reader XI.lnk
2014-09-11 18:05 - 2014-09-11 18:05 - 00000000 ____D () C:\Program Files (x86)\Adobe
2014-09-11 18:05 - 2010-06-08 13:54 - 00000000 ____D () C:\ProgramData\Adobe
2014-09-11 18:04 - 2012-05-31 15:32 - 00000000 ____D () C:\Users\Thomas Steidl\AppData\Local\Adobe
2014-09-09 11:51 - 2014-09-09 11:51 - 00332532 ____T (Microsoft Corporation) C:\ProgramData\1160487.dot
2014-09-09 11:49 - 2014-09-09 11:49 - 00135168 _____ () C:\ProgramData\7840611.cpp
2014-09-08 08:07 - 2014-02-11 12:55 - 00000000 ____D () C:\ProgramData\CanonIJPLM
2014-09-03 05:30 - 2012-10-19 16:54 - 00002142 _____ () C:\Users\Public\Desktop\Google Chrome.lnk
2014-08-29 07:47 - 2014-08-29 07:47 - 00000000 ___HD () C:\ProgramData\CanonIJMIG
2014-08-29 07:47 - 2014-02-12 14:06 - 00000000 ____D () C:\Users\Thomas Steidl\AppData\Roaming\Canon
2014-08-27 06:38 - 2009-07-14 06:08 - 00032632 _____ () C:\Windows\Tasks\SCHEDLGU.TXT
2014-08-14 11:26 - 2012-06-09 16:31 - 00000000 ____D () C:\Users\Thomas Steidl\Desktop\Papa

==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE Association (whitelisted) =============


==================== Restore Points  =========================

Restore point made on: 2014-09-11 22:16:56
Restore point made on: 2014-09-12 14:31:01

==================== Memory info =========================== 

Percentage of memory in use: 15%
Total physical RAM: 3824.43 MB
Available physical RAM: 3219.77 MB
Total Pagefile: 3822.57 MB
Available Pagefile: 3218.2 MB
Total Virtual: 8192 MB
Available Virtual: 8191.88 MB

==================== Drives ================================

Drive c: (WINDOWS) (Fixed) (Total:74.52 GB) (Free:30.02 GB) NTFS
Drive e: (Data) (Fixed) (Total:148.65 GB) (Free:141.03 GB) NTFS
Drive f: (SYSTEM) (Fixed) (Total:0.39 GB) (Free:0.18 GB) NTFS ==>[System with boot components (obtained from reading drive)]
Drive g: (BeiAnrufTermin) (CDROM) (Total:3.6 GB) (Free:0 GB) UDF
Drive h: (MULTIBOOT) (Removable) (Total:0.94 GB) (Free:0.83 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (Volume) (Fixed) (Total:74.52 GB) (Free:74.43 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 298.1 GB) (Disk ID: B2B421DE)
Partition 1: (Active) - (Size=400 MB) - (Type=27)
Partition 2: (Not Active) - (Size=74.5 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=74.5 GB) - (Type=OF Extended)
Partition 4: (Not Active) - (Size=148.7 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 963.3 MB) (Disk ID: B0BCD68E)
No partition Table on disk 1.


LastRegBack: 2014-09-06 17:33

==================== End Of Log ============================
         

--- --- ---

Wir machen jetzt erstmal einen Fix in den Reparatur-Oprionen:

Schritt 1


(Mit Hilfe eines anderen PCs)
Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.
Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument:

Code: Alles auswählenAufklappen

ATTFilter

S2 KMService; C:\Windows\SysWOW64\srvany.exe [8192 2012-10-30] ()
C:\Windows\SysWOW64\srvany.exe
C:\Users\Thomas Steidl\AppData\Local\Temp\*.dll
C:\Users\Thomas Steidl\AppData\Local\Temp\*.exe
2014-09-09 11:51 - 2014-09-09 11:51 - 00332532 ____T (Microsoft Corporation) C:\ProgramData\1160487.dot
2014-09-09 11:49 - 2014-09-09 11:49 - 00135168 _____ () C:\ProgramData\7840611.cpp
         

Speichere dieses bitte als Fixlist.txt auf den USB-Stick, in das gleiche Verzeichnis in dem sich auch die FRST.exe befindet.

• Stecke den USB-Stick mit FRST.exe und Fixlist.txt an den infizierten PC an und boote wieder in die Reparaturoptionen.
• Wähle in den Reparaturoptionen: Eingabeaufforderung
• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird Dir der Laufwerksbuchstabe Deines USB Sticks angezeigt (Sollte H:\sein).
• Schließe das notepad-Fenster wieder.
• Starte die FRST.exe durch den Befehl
  
  Code: Alles auswählenAufklappen

  ATTFilter

  h:\frst.exe
           

  in der Eingabeaufforderung.
• Drücke auf den Fix Button.
  Es wird auf dem USB-Stick eine Fixlog.txt erstellt, deren Inhalt bitte ich Dich zu posten.

Kannst Du den Rechner wieder im Normalmodus starten? Falls ja, dann gleich weiter mit Schritt 2.

Schritt 2



Verschiebe FRST vom USB-Stick auf den Desktop.

• Starte dann FRST. FRST sollte sich nun mit einem Update aktualisieren.
• Markiere auch die checkbox und drücke Scan.
• Wenn der Scan abgeschlossen ist, werden zwei neue Logfiles FRST.txt und Addition.txt erstellt und auf dem Desktop gespeichert.

Bitte poste Fixlog.txt, FRST.txt und Addition.txt in Deiner nächsten Antwort.

Hi,

nach der Systemwiederherstellung und den Windows Updates scheint der Computer wieder normal zu laufen.

Hier noch die zwei Log Files

Im Anhang => das Zipü file, leider wurde die Zeichengrenze überschritten...

Hi, hast Du den Fix dann garnicht ausgeführt? Logs bitte posten und auf mehrere Postings aufteilen. Danke

nein habe ich gar nicht gebraucht, aber tausend Dank für die Hilfe, ich glaube der Thread kann geschlossen werden.

Zitat:

nein habe ich gar nicht gebraucht

Schade, das hätte mich schon interessiert...

Zitat:

aber tausend Dank für die Hilfe, ich glaube der Thread kann geschlossen werden.

OK.

Du weißt aber schon, dass die Kiste trotzdem überprüft gehört?