BKA Trojaner , abgesicherter Modus -> Endlosschleife

submach · 25.11.2014, 10:39

Hi zusammen,

google sagte mir, dass ihr schon oft Leuten mit einem ähnlichen Problem im Bezug auf den BKA Trojaner geholfen habt.

Ich habe mir ihn eingefangen und wollte meinen Rechner im abgesicherten Modus starten um Avast mal laufen zu lassen. Habe dazu nach Systemstart win+r eingegeben. Dann "msconfig.exe" und da den Haken für den abgesicherten Modus gesetzt. Nach dem übernehmen neu gestartet und seit dem ist mein Rechner in einer Restart Endlosschleife. Nach dem Win 8.1 Ladebildschirm kommt direkt der blassblaue systemeigene Restartbildschirm.

Hättet ihr Tips für mich wie ich das wieder loswerden und den Trojaner gleich mit?

grüße

schrauber · 25.11.2014, 10:41

hi,

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

Starte den Rechner neu.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu und starte von der CD.

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

submach · 25.11.2014, 13:02

Ach ja, da war ich schon voraus - habe ich sofort gemacht hänge ich an!

Was vielleicht noch zu bemerken ist:

Der Rechner lässt nichtmal mehr per F8 (Shift+F8) booten zu.

Musste ihn mehrere Male gewaltsam vom Strom trennen beim Boot, damit die automatische Reparatur kommt um in die Eingabeaufforderung zu kommen.
FRST Logfile:

FRST Logfile:

FRST Logfile:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 23-11-2014 01
Ran by SYSTEM on MININT-TOVTVA8 on 25-11-2014 10:49:58
Running from e:\
Platform: Windows 8.1 Pro (X64) OS Language: English (United States)
Internet Explorer Version 11
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> If the system is bootable FRST must be run from normal or Safe mode to create a complete log.

Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Registry (Whitelisted) ==================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [IAStorIcon] => C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [287592 2013-08-07] (Intel Corporation)
HKLM\...\Run: [MacDrive 9 application] => C:\Program Files\Mediafour\MacDrive 9\MacDrive.exe [516480 2014-01-24] (Mediafour Corporation)
HKLM\...\Run: [RivaTuner] => C:\Program Files (x86)\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTunerWrapper.exe [24576 2009-08-22] ()
HKLM\...\Run: [AdobeAAMUpdater-1.0] => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [446392 2012-04-03] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [AvastUI.exe] => C:\Program Files\AVAST Software\Avast\AvastUI.exe [3890208 2014-08-08] (AVAST Software)
HKLM-x32\...\Run: [VirtualCloneDrive] => C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe [88984 2013-03-10] (Elaborate Bytes AG)
HKLM-x32\...\Run: [SwitchBoard] => C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-19] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [AdobeCS6ServiceManager] => C:\Program Files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe [1073312 2012-03-09] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [256896 2014-07-25] (Oracle Corporation)
HKLM-x32\...\Run: [StartCCC] => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe [767200 2014-09-15] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [Raptr] => C:\Program Files (x86)\Raptr\raptrstub.exe [55568 2014-11-20] (Raptr, Inc)
Winlogon\Notify\ScCertProp: wlnotify.dll [X]
HKU\Mave\...\Run: [EPSON41B43C (Epson Stylus Photo PX730)] => C:\Windows\system32\spool\DRIVERS\x64\3\E_IATIHQE.EXE [232448 2011-01-20] (SEIKO EPSON CORPORATION)
HKU\Mave\...\Run: [AdobeBridge] => [X]
HKU\Mave\...\RunOnce: [AsrOMG_Day0] => [X]
HKU\Mave\...\RunOnce: [AsrOMG_Day1] => [X]
HKU\Mave\...\RunOnce: [AsrOMG_Day2] => [X]
HKU\Mave\...\RunOnce: [AsrOMG_Day3] => [X]
HKU\Mave\...\RunOnce: [AsrOMG_Day4] => [X]
HKU\Mave\...\RunOnce: [AsrOMG_Day5] => [X]
HKU\Mave\...\RunOnce: [AsrOMG_Day6] => [X]
Startup: C:\Users\Mave\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk -> C:\windows\system32\config\systemprofile\AppData\Roaming\Dropbox\bin\Dropbox.exe (No File)
Startup: C:\Users\Mave\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MyPC Backup.lnk
ShortcutTarget: MyPC Backup.lnk -> C:\Program Files (x86)\MyPC Backup\MyPC Backup.exe (MyPCBackup.com)
Startup: C:\Users\Mave\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\program.lnk
ShortcutTarget: program.lnk -> C:\ProgramData\AC59D2E2.cpp (Sun Microsystems, Inc.)

==================== Services (Whitelisted) =================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

S2 AAV UpdateService; C:\Program Files (x86)\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [128296 2008-10-24] ()
S2 avast! Antivirus; C:\Program Files\AVAST Software\Avast\AvastSvc.exe [50344 2014-05-09] (AVAST Software)
S2 avast! Firewall; C:\Program Files\AVAST Software\Avast\afwServ.exe [109048 2014-05-09] (AVAST Software)
S2 BackupStack; C:\Program Files (x86)\MyPC Backup\BackupStack.exe [36936 2014-09-18] (Just Develop It) <==== ATTENTION
S3 BEService; C:\Program Files (x86)\Common Files\BattlEye\BEService.exe [49152 2014-07-18] ()
S2 IAStorDataMgrSvc; C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [15720 2013-08-07] (Intel Corporation)
S3 Intel(R) Capability Licensing Service TCP IP Interface; C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe [822232 2013-05-11] (Intel(R) Corporation)
S2 Intel(R) ME Service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe [131544 2013-08-19] (Intel Corporation)
S2 ISCTAgent; C:\Program Files\Intel\Intel(R) Smart Connect Technology Agent\iSCTAgent.exe [198120 2013-08-12] ()
S3 iumsvc; C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe [174368 2014-02-28] ()
S2 jhi_service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [169432 2013-08-19] (Intel Corporation)
S2 MacDrive9Service; C:\Program Files\Mediafour\MacDrive 9\MacDrive9Service.exe [187256 2014-01-24] (Mediafour Corporation)
S2 PnkBstrA; C:\Windows\SysWOW64\PnkBstrA.exe [76888 2014-06-04] ()
S2 Service KMSELDI; C:\Program Files\KMSpico\Service_KMS.exe [1050904 2013-12-11] ()
S3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [346872 2013-08-22] (Microsoft Corporation)
S3 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [23840 2013-08-22] (Microsoft Corporation)
S2 Winmgmt; C:\ProgramData\2E2D95CA.dot [351232 2014-11-24] ()

==================== Drivers (Whitelisted) ====================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

S0 amdkmafd; C:\Windows\System32\drivers\amdkmafd.sys [21160 2012-09-22] (Advanced Micro Devices, Inc.)
S3 AsrDrv101; C:\Windows\SysWOW64\Drivers\AsrDrv101.sys [22280 2014-04-19] (ASRock Incorporation)
S0 AsrRamDisk; C:\Windows\System32\DRIVERS\AsrRamDisk.sys [40200 2013-05-09] (ASRock Inc.)
S2 aswHwid; C:\Windows\system32\drivers\aswHwid.sys [29208 2014-05-09] ()
S1 aswKbd; C:\Windows\system32\drivers\aswKbd.sys [28184 2014-05-09] (AVAST Software)
S2 aswMonFlt; C:\Windows\system32\drivers\aswMonFlt.sys [79184 2014-05-09] (AVAST Software)
S0 aswNdisFlt; C:\Windows\System32\DRIVERS\aswNdisFlt.sys [447888 2014-05-15] (AVAST Software)
S1 aswRdr; C:\Windows\system32\drivers\aswRdr2.sys [93568 2014-05-09] (AVAST Software)
S0 aswRvrt; C:\Windows\System32\Drivers\aswRvrt.sys [65776 2014-05-09] ()
S1 aswSnx; C:\Windows\system32\drivers\aswSnx.sys [1039096 2014-05-15] (AVAST Software)
S1 aswSP; C:\Windows\system32\drivers\aswSP.sys [423240 2014-05-15] (AVAST Software)
S2 aswStm; C:\Windows\system32\drivers\aswStm.sys [85328 2014-05-15] (AVAST Software)
S0 aswVmm; C:\Windows\System32\Drivers\aswVmm.sys [208416 2014-05-09] ()
S3 athr; C:\Windows\system32\DRIVERS\athwnx.sys [3680256 2013-06-18] (Qualcomm Atheros Communications, Inc.)
S3 AtiHDAudioService; C:\Windows\system32\drivers\AtihdWB6.sys [222720 2014-03-11] (Advanced Micro Devices)
S1 CBDisk; C:\Windows\system32\drivers\CBDisk.sys [70344 2011-05-05] (EldoS Corporation)
S3 hcwhdpvr; C:\Windows\system32\DRIVERS\hcwhdpvr.sys [192072 2012-03-26] (Hauppauge, Inc.)
S1 HWiNFO32; C:\Windows\system32\drivers\HWiNFO64A.SYS [31648 2014-04-21] (REALiX(tm))
S3 ikbevent; C:\Windows\system32\DRIVERS\ikbevent.sys [21408 2013-08-08] ()
S3 imsevent; C:\Windows\system32\DRIVERS\imsevent.sys [21920 2013-08-08] ()
S3 INETMON; C:\Windows\System32\Drivers\INETMON.sys [29088 2013-08-07] ()
S3 ISCT; C:\Windows\System32\drivers\ISCTD64.sys [47008 2013-07-30] ()
S0 MDFSYSNT; C:\Windows\System32\Drivers\MDFSYSNT.sys [332104 2014-01-24] (Mediafour Corporation)
S0 MDPMGRNT; C:\Windows\System32\DRIVERS\MDPMGRNT.SYS [41800 2013-11-04] (Mediafour Corporation)
S0 MDRAID; C:\Windows\System32\drivers\MDRAID.sys [188776 2013-08-01] (Mediafour Corporation)
S3 MEIx64; C:\Windows\system32\DRIVERS\TeeDriverx64.sys [99288 2013-08-19] (Intel Corporation)
S3 RivaTuner64; C:\Program Files (x86)\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTuner64.sys [19952 2014-04-21] ()
S3 S3XXx64; C:\Windows\system32\DRIVERS\S3XXx64.sys [73984 2013-06-05] (Identive)
S3 WdNisDrv; C:\Windows\System32\Drivers\WdNisDrv.sys [124256 2013-08-22] (Microsoft Corporation)
S3 WinDivert1.1; C:\Program Files\KMSpico\WinDivert.sys [35376 2014-04-19] (Basil Projects)

==================== NetSvcs (Whitelisted) ===================

(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)


==================== One Month Created Files and Folders ========

(If an entry is included in the fixlist, the file\folder will be moved.)

2014-11-24 18:49 - 2014-11-25 10:49 - 00000000 _____ () C:\Recovery.txt
2014-11-24 18:12 - 2014-11-24 18:12 - 00000000 ____D () C:\FRST
2014-11-24 09:37 - 2014-11-24 09:37 - 00000000 ____D () C:\Windows\pss
2014-11-24 08:36 - 2014-11-24 08:36 - 00000000 ____D () C:\avast! sandbox
2014-11-24 07:17 - 2014-11-24 07:17 - 00351232 ____T () C:\ProgramData\2E2D95CA.dot
2014-11-24 07:17 - 2014-11-24 07:17 - 00203264 _____ (Sun Microsystems, Inc.) C:\ProgramData\AC59D2E2.cpp
2014-11-10 10:09 - 2014-11-10 10:09 - 00002117 _____ () C:\Users\Mave\Desktop\JDownloader 2.lnk
2014-11-10 10:08 - 2014-11-24 09:32 - 00000000 ____D () C:\Users\Mave\AppData\Local\JDownloader 2.0
2014-11-10 10:07 - 2014-11-10 10:07 - 00251611 _____ () C:\Users\Mave\Downloads\JDownloader1 Setup.zip
2014-11-10 04:26 - 2014-11-10 04:26 - 00000973 _____ () C:\Users\Public\Desktop\BMWi Businessplan.lnk
2014-11-10 04:26 - 2014-11-10 04:26 - 00000000 ____D () C:\Users\Mave\AppData\Roaming\de.bmwi.businessplan
2014-11-10 04:26 - 2014-11-10 04:26 - 00000000 ____D () C:\Users\Default\AppData\Roaming\Macromedia
2014-11-10 04:26 - 2014-11-10 04:26 - 00000000 ____D () C:\Users\Default User\AppData\Roaming\Macromedia
2014-11-10 04:26 - 2014-11-10 04:26 - 00000000 ____D () C:\Program Files (x86)\BMWi Businessplan
2014-11-10 04:25 - 2014-11-10 04:25 - 04745145 _____ () C:\Users\Mave\Downloads\businessplaner2014.zip
2014-10-30 06:19 - 2014-10-30 06:19 - 00001125 _____ () C:\Users\Public\Desktop\XSplit Broadcaster.lnk
2014-10-29 05:06 - 2014-10-29 05:06 - 00000000 ____D () C:\ProgramData\ATI
2014-10-28 22:47 - 2014-10-28 22:47 - 00056548 _____ () C:\Windows\SysWOW64\CCCInstall_201410290747069126.log
2014-10-28 22:47 - 2014-10-28 22:47 - 00000000 ____D () C:\Program Files (x86)\AMD AVT
2014-10-28 22:46 - 2014-10-28 22:46 - 00000000 ____D () C:\Windows\LastGood
2014-10-28 22:42 - 2014-10-28 22:44 - 286582040 _____ (AMD Inc.) C:\Users\Mave\Downloads\amd-catalyst-14-9-win7-win8.1-64bit-dd-ccc-whql.exe

==================== One Month Modified Files and Folders =======

(If an entry is included in the fixlist, the file\folder will be moved.)

2015-07-24 18:24 - 2014-04-21 11:44 - 00000000 ____D () C:\Users\Mave\Downloads\Guru3D.com
2014-11-24 09:37 - 2014-05-10 05:05 - 00001130 _____ () C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2014-11-24 09:37 - 2014-04-19 07:57 - 00000000 ____D () C:\users\Mave
2014-11-24 09:37 - 2013-08-22 06:46 - 00088061 _____ () C:\Windows\setupact.log
2014-11-24 09:37 - 2013-08-22 06:45 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2014-11-24 09:36 - 2014-04-19 08:00 - 00004182 _____ () C:\Windows\System32\Tasks\avast! Emergency Update
2014-11-24 09:32 - 2014-04-19 09:04 - 00000000 ____D () C:\Users\Mave\AppData\Roaming\TS3Client
2014-11-24 09:30 - 2014-04-19 08:02 - 00003598 _____ () C:\Windows\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-4291302274-1133300859-1692203032-1001
2014-11-24 09:26 - 2014-06-23 00:13 - 00000000 ____D () C:\Users\Mave\AppData\Local\Adobe
2014-11-24 09:24 - 2014-04-26 01:26 - 00000000 ____D () C:\Users\Mave\AppData\Roaming\Raptr
2014-11-24 09:24 - 2014-04-26 01:26 - 00000000 ____D () C:\Program Files (x86)\Raptr
2014-11-24 08:40 - 2014-04-19 08:24 - 00000000 ____D () C:\Users\Mave\AppData\Local\CrashDumps
2014-11-24 08:40 - 2014-04-19 07:53 - 01113349 _____ () C:\Windows\WindowsUpdate.log
2014-11-24 08:35 - 2014-04-30 04:49 - 00227328 ___SH () C:\Users\Mave\Desktop\Thumbs.db
2014-11-24 08:34 - 2014-05-10 05:05 - 00001134 _____ () C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2014-11-24 08:30 - 2014-04-19 11:46 - 00000000 ____D () C:\Program Files (x86)\MyPC Backup
2014-11-24 08:22 - 2014-04-19 07:58 - 00003918 _____ () C:\Windows\System32\Tasks\User_Feed_Synchronization-{30C33501-9D56-413C-82EC-3DE4DADD80ED}
2014-11-24 08:10 - 2014-04-21 07:10 - 00000304 _____ () C:\Windows\Tasks\Digital Sites.job
2014-11-24 08:00 - 2013-08-22 07:36 - 00000000 ____D () C:\Windows\System32\sru
2014-11-24 07:45 - 2014-04-19 08:02 - 00865408 _____ () C:\Windows\System32\PerfStringBackup.INI
2014-11-24 07:39 - 2014-04-30 16:30 - 00000000 ___RD () C:\Users\Mave\Dropbox
2014-11-24 07:39 - 2014-04-30 16:29 - 00000000 ____D () C:\Users\Mave\AppData\Roaming\Dropbox
2014-11-24 07:10 - 2014-04-21 23:10 - 00000098 _____ () C:\Users\Mave\AppData\Roaming\WB.CFG
2014-11-24 07:04 - 2014-04-20 00:38 - 00000000 ____D () C:\Users\Mave\AppData\Roaming\vlc
2014-11-18 08:37 - 2013-08-22 05:25 - 00262144 ___SH () C:\Windows\System32\config\BBI
2014-11-15 11:29 - 2014-05-10 05:05 - 00004106 _____ () C:\Windows\System32\Tasks\GoogleUpdateTaskMachineUA
2014-11-15 11:29 - 2014-05-10 05:05 - 00003870 _____ () C:\Windows\System32\Tasks\GoogleUpdateTaskMachineCore
2014-11-15 11:22 - 2014-04-30 16:30 - 00001063 _____ () C:\Users\Mave\Desktop\Dropbox.lnk
2014-11-10 04:26 - 2014-06-23 00:17 - 00000000 ____D () C:\Program Files (x86)\Adobe
2014-11-10 04:26 - 2014-06-23 00:13 - 00000000 ____D () C:\ProgramData\Adobe
2014-11-10 04:26 - 2014-04-19 07:57 - 00000000 ____D () C:\Users\Mave\AppData\Roaming\Adobe
2014-10-30 06:25 - 2014-10-20 11:30 - 00000000 ____D () C:\Users\Mave\AppData\Roaming\OBS
2014-10-30 06:19 - 2014-08-03 03:22 - 00000000 __SHD () C:\Windows\SysWOW64\AI_RecycleBin
2014-10-29 10:29 - 2014-05-10 05:06 - 00002203 _____ () C:\Users\Public\Desktop\Google Chrome.lnk
2014-10-28 22:47 - 2014-04-19 08:14 - 00000000 ____D () C:\ProgramData\AMD
2014-10-28 22:46 - 2014-04-19 08:13 - 00000000 ____D () C:\Program Files\ATI Technologies
2014-10-28 22:45 - 2014-04-19 08:01 - 00000000 ____D () C:\AMD

Some content of TEMP:
====================
C:\Users\Mave\AppData\Local\Temp\130601164531337524.exe
C:\Users\Mave\AppData\Local\Temp\13060116454997078552.exe
C:\Users\Mave\AppData\Local\Temp\BackupSetup.exe
C:\Users\Mave\AppData\Local\Temp\BASSMOD.dll
C:\Users\Mave\AppData\Local\Temp\bdfilters.dll
C:\Users\Mave\AppData\Local\Temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmppc4wiq.dll
C:\Users\Mave\AppData\Local\Temp\DseShExt-x64.dll
C:\Users\Mave\AppData\Local\Temp\DseShExt-x86.dll
C:\Users\Mave\AppData\Local\Temp\keygen.exe
C:\Users\Mave\AppData\Local\Temp\proxy_vole8849663908256951034.dll
C:\Users\Mave\AppData\Local\Temp\R2RTT.dll
C:\Users\Mave\AppData\Local\Temp\raptrpatch.exe
C:\Users\Mave\AppData\Local\Temp\raptr_stub.exe
C:\Users\Mave\AppData\Local\Temp\SDShelEx-win32.dll
C:\Users\Mave\AppData\Local\Temp\SDShelEx-x64.dll
C:\Users\Mave\AppData\Local\Temp\sonarinst.exe
C:\Users\Mave\AppData\Local\Temp\Sqlite3.dll
C:\Users\Mave\AppData\Local\Temp\swt-win32-3349.dll
C:\Users\Mave\AppData\Local\Temp\utt1304.tmp.exe
C:\Users\Mave\AppData\Local\Temp\vcredist_x64.exe


==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\explorer.exe
[2013-08-22 01:01] - [2013-08-22 04:39] - 2328880 ____A (Microsoft Corporation) 8479DC46E9A09015C0777A16BC22A15D

C:\Windows\SysWOW64\explorer.exe
[2013-08-21 18:06] - [2013-08-21 21:25] - 2063408 ____A (Microsoft Corporation) 2CA8E3C9335C3C8BAEB335345E48364D

C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

TDL4: custom:26000022 <===== ATTENTION!

==================== Restore Points  =========================

Restore point made on: 2014-10-30 06:19:17
Restore point made on: 2014-11-07 05:59:16
Restore point made on: 2014-11-17 07:06:20

==================== Memory info =========================== 

Percentage of memory in use: 16%
Total physical RAM: 4035.33 MB
Available physical RAM: 3359.57 MB
Total Pagefile: 4035.33 MB
Available Pagefile: 3387.02 MB
Total Virtual: 131072 MB
Available Virtual: 131071.87 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:118.9 GB) (Free:15.28 GB) NTFS
Drive d: (Fraps) (Fixed) (Total:465.76 GB) (Free:184.32 GB) NTFS
Drive e: (UNTITLED) (Removable) (Total:1.86 GB) (Free:1.86 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.5 GB) (Free:0.49 GB) NTFS
Drive y: (System Reserved) (Fixed) (Total:0.34 GB) (Free:0.09 GB) NTFS ==>[System with boot components (obtained from reading drive)]
ATTENTION: Malware custom entry on BCD on drive y: detected.

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 119.2 GB) (Disk ID: 1C385FCC)
Partition 1: (Active) - (Size=350 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=118.9 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows 7 or Vista) (Size: 465.8 GB) (Disk ID: 5FCC0397)
Partition 1: (Not Active) - (Size=465.8 GB) - (Type=07 NTFS)

========================================================
Disk: 2 (Size: 1.9 GB) (Disk ID: 00000000)

Partition: GPT Partition Type.


LastRegBack: 2014-11-17 07:00

==================== End Of Log ============================

--- --- ---

--- --- ---

--- --- ---

--- --- ---

Kannst du mit dem Log was anfangen? Habe ich den richtig eingefügt?

gruß

schrauber · 26.11.2014, 08:37

Drücke bitte die

+ R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

HKU\Mave\...\RunOnce: [AsrOMG_Day0] => [X]
HKU\Mave\...\RunOnce: [AsrOMG_Day1] => [X]
HKU\Mave\...\RunOnce: [AsrOMG_Day2] => [X]
HKU\Mave\...\RunOnce: [AsrOMG_Day3] => [X]
HKU\Mave\...\RunOnce: [AsrOMG_Day4] => [X]
HKU\Mave\...\RunOnce: [AsrOMG_Day5] => [X]
HKU\Mave\...\RunOnce: [AsrOMG_Day6] => [X]
Startup: C:\Users\Mave\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\program.lnk
ShortcutTarget: program.lnk -> C:\ProgramData\AC59D2E2.cpp (Sun Microsystems, Inc.)
S2 Winmgmt; C:\ProgramData\2E2D95CA.dot [351232 2014-11-24] ()
2014-11-24 07:17 - 2014-11-24 07:17 - 00351232 ____T () C:\ProgramData\2E2D95CA.dot
2014-11-24 07:17 - 2014-11-24 07:17 - 00203264 _____ (Sun Microsystems, Inc.) C:\ProgramData\AC59D2E2.cpp

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

Starte deinen Rechner erneut in die Reparaturoptionen
Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Rechner normal starten.

submach · 26.11.2014, 10:26

Hi schrauber,

Ich konnte ja nicht bis windows starten, habe aber über Umwege und den Rep - Modus deine Fix Datei ausgeführt.

Das Ergebnis steht im code.

Rechner startet jetzt durch. Was ist nun zu tun?

gruß

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 23-11-2014 01
Ran by SYSTEM at 2014-11-26 10:24:33 Run:1
Running from e:\
Boot Mode: Recovery
==============================================

Content of fixlist:
*****************
HKU\Mave\...\RunOnce: [AsrOMG_Day0] => [X]
HKU\Mave\...\RunOnce: [AsrOMG_Day1] => [X]
HKU\Mave\...\RunOnce: [AsrOMG_Day2] => [X]
HKU\Mave\...\RunOnce: [AsrOMG_Day3] => [X]
HKU\Mave\...\RunOnce: [AsrOMG_Day4] => [X]
HKU\Mave\...\RunOnce: [AsrOMG_Day5] => [X]
HKU\Mave\...\RunOnce: [AsrOMG_Day6] => [X]
Startup: C:\Users\Mave\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\program.lnk
ShortcutTarget: program.lnk -> C:\ProgramData\AC59D2E2.cpp (Sun Microsystems, Inc.)
S2 Winmgmt; C:\ProgramData\2E2D95CA.dot [351232 2014-11-24] ()
2014-11-24 07:17 - 2014-11-24 07:17 - 00351232 ____T () C:\ProgramData\2E2D95CA.dot
2014-11-24 07:17 - 2014-11-24 07:17 - 00203264 _____ (Sun Microsystems, Inc.) C:\ProgramData\AC59D2E2.cpp
*****************

HKU\Mave\Software\Microsoft\Windows\CurrentVersion\RunOnce\\AsrOMG_Day0 => value deleted successfully.
HKU\Mave\Software\Microsoft\Windows\CurrentVersion\RunOnce\\AsrOMG_Day1 => value deleted successfully.
HKU\Mave\Software\Microsoft\Windows\CurrentVersion\RunOnce\\AsrOMG_Day2 => value deleted successfully.
HKU\Mave\Software\Microsoft\Windows\CurrentVersion\RunOnce\\AsrOMG_Day3 => value deleted successfully.
HKU\Mave\Software\Microsoft\Windows\CurrentVersion\RunOnce\\AsrOMG_Day4 => value deleted successfully.
HKU\Mave\Software\Microsoft\Windows\CurrentVersion\RunOnce\\AsrOMG_Day5 => value deleted successfully.
HKU\Mave\Software\Microsoft\Windows\CurrentVersion\RunOnce\\AsrOMG_Day6 => value deleted successfully.
C:\Users\Mave\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\program.lnk => Moved successfully.
C:\ProgramData\AC59D2E2.cpp => Moved successfully.
Winmgmt => Service restored successfully.
C:\ProgramData\2E2D95CA.dot => Moved successfully.
"C:\ProgramData\AC59D2E2.cpp" => File/Directory not found.

==== End of Fixlog ====

schrauber · 27.11.2014, 08:09

Dann jetzt im normalen Modus:

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

BKA Trojaner , abgesicherter Modus -> Endlosschleife

Log-Analyse und Auswertung: BKA Trojaner , abgesicherter Modus -> Endlosschleife