Liebe TrojanerBoard-Gemeinde,

ich habe hier von einer Freundin einen Rechner vor mir stehen, der vermutlich von Viren und Trojanern befallen ist.

Laut Aussage meiner Freunind hatte sie zunächste das Problem, dass ein Werbebanner den Bildschirm blockierte, im jetzigen Zustand sieht man nur noch einen dunklen Acer Blank Screen abwechselnd mit der Aufforderung "Press F2 to enter setup". Das Drücken von F2 und jeglicher anderer Taste hat keinen Effekt.

Ich habe daraufhin die Avira Rescue CD auf dem Rechner eingesetzt. Diese hat beim ersten Durchlauf aller drei Partitionen 5 Viren und Trojaner gefunden und angeblich bereinigt. Ein Booten war jedoch danach immer noch nicht möglich, das gleiche Verhalten mit dem BlankScreen war zu beobachten. Ein erneuter Scan der Rescue CD fand dann 7 (?) Trojaner und Viruse, der dritte und vierte Scan ebenfalls. Irgendwie werden die Viren anscheinend nicht nachhaltig entfernt. Folgende Viren/Trojaner wurden gefunden:

ADWARE/CrossRider.Gen2
ADWARE/Adware.Gen
ADWARE/AirAdInstaller.1059672
ADWRAE/DealPly.Gen
TR/Crypt.Xpack.110046
TR/Dropper.Gen
ADWARE/DealPly.Gen

Über Hinweise für die weitere Vorgehensweise wäre ich sehr dankbar



Mariele

hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo Schrauber,

vielen Dank, dass Du mir hilfst. Leider scheitere ich schon ganz am Anfang:beide Dateien FRST.exe und auch FRST64.exe lassen sich nicht ausführen.Angeblich handele es sich um ZIP-Archive (s. Screenshot)?

Ich habe das Ausführen übrigens unter der Ubuntu-Umgebung von dem Avira-Rescue System ausgeführt, kann das vielleicht daran liegen?

Grüße

kaneda2000

Das wird nicht gehen. Die Tools müssen unter Windows laufen.

Hallo Schrauber,

o je, und was nun? Macht es denn Sinn andere Rescue CDs auszuprobieren, um weiter zu kommen?

Grüße

Kaneda2000

Naja, gehen wir von aussen ran:

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Hallo Schrauber,
leider klappt weder das Booten vom USB-Stick noch von einer CD.
In der Boot-Reihenfolge stehen folgende Devices zur Auswahl:
-IDE1: HL-DT-STDVDRAM FT32N
-USB HDD: Generic Flash Disc
-IDE0: WDC WD3200BEVT-22A23T0
-USB FDD
-Network Boot: Legacy PCI Device
-USB CD-Rom
Das erstere und das zweitere habe ich jeweils als erstes zu booten versucht. Das Verhalten ist jedoch immer das gleiche:
Ein leerer Screen mit einem Blank links oben, dann der Acer Bildschirm mit "Press F2 to enter setup", dann wieder Blank, dann schwarzer Bildschirm, dann wieder von vorne.

Wildes Drücken von F8 bringt leider auch nichts.

Windows-CD gibt es nicht, Laptop wurde ohne ausgeliefert.


Grüße

Kaneda2000

Von dem Stick booten wird auch nicht gehen. Es muss von der WIndows DVD gebootet werden, dann in der Recovery auf den Stick zugreifen.

Kannste eine Win7 DVD leihen? Wenn nicht:

http://www.trojaner-board.de/100776-...-download.html

Hallo schrauber,

das mit der Win7-DVD hat geklappt! Anbei die FRST.TXT, eine Addition.txt wurde nicht erzeugt.:


FRST Logfile:

FRST Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 06-12-2014 02
Ran by SYSTEM on MININT-ECH6197 on 08-12-2014 21:28:48
Running from g:\
Platform: Windows 7 Home Premium Service Pack 1 (X86) OS Language: Deutsch (Deutschland)
Internet Explorer Version 11
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> If the system is bootable FRST must be run from normal or Safe mode to create a complete log.


ATTENTION!:=====> THE OPERATING SYSTEM IS A X64 SYSTEM BUT THE BOOT DISK THAT IS USED TO BOOT TO RECOVERY ENVIRONMENT IS A X86 SYSTEM DISK.
Tutorial for Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Registry (Whitelisted) ==================

(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)

HKLM\...\Run: [mwlDaemon] => C:\Program Files (x86)\EgisTec MyWinLocker\x86\mwlDaemon.exe [349552 2010-05-27] (Egis Technology Inc.)
HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [10920552 2010-06-22] (Realtek Semiconductor)
HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1890088 2009-12-10] (Synaptics Incorporated)
HKLM\...\Run: [Acer ePower Management] => C:\Program Files\Acer\Acer ePower Management\ePowerTray.exe [861216 2010-06-11] (Acer Incorporated)
HKLM\...\Run: [AdobeAAMUpdater-1.0] => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [499608 2011-06-16] (Adobe Systems Incorporated)
HKU\Default\...\RunOnce: [ScrSav] => C:\Program Files (x86)\Acer\Screensaver\run_Acer.exe [154144 2010-01-15] ()
HKU\Default User\...\RunOnce: [ScrSav] => C:\Program Files (x86)\Acer\Screensaver\run_Acer.exe [154144 2010-01-15] ()
HKU\Freude\...\Run: [swg] => C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [39408 2010-07-13] (Google Inc.)
HKU\Freude\...\Run: [msnmsgr] => "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
HKU\Freude\...\Run: [EPLTarget\P0000000000000000] => C:\Windows\system32\spool\DRIVERS\x64\3\E_IATIILE.EXE [283232 2012-02-29] (SEIKO EPSON CORPORATION)
HKU\Freude\...\Run: [EPLTarget\P0000000000000001] => C:\Windows\system32\spool\DRIVERS\x64\3\E_IATIILE.EXE [283232 2012-02-29] (SEIKO EPSON CORPORATION)
HKU\Freude\...\Run: [Skype] => C:\Program Files (x86)\Skype\Phone\Skype.exe [22065760 2014-10-01] (Skype Technologies S.A.)
HKU\Freude\...\Run: [GoogleUpdate] => C:\Users\Freude\AppData\Roaming\FrameworkUpdate\GoogleUpdate.exe [89600 2014-11-29] ()
Startup: C:\Users\Freude\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE (No File)

========================== Services (Whitelisted) =================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

S2 ABBYY.Licensing.FineReader.Sprint.9.0; C:\Program Files (x86)\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe [759048 2009-05-14] (ABBYY)
S2 AdobeActiveFileMonitor10.0; C:\Program Files (x86)\Adobe\Elements 10 Organizer\PhotoshopElementsFileAgent.exe [169624 2011-09-14] (Adobe Systems Incorporated)
S2 AdobeARMservice; C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [64704 2014-09-12] (Adobe Systems Incorporated)
S3 AdobeFlashPlayerUpdateSvc; C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [267440 2014-11-26] (Adobe Systems Incorporated)
S2 AntiVirSchedulerService; C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [432888 2014-11-06] (Avira Operations GmbH & Co. KG)
S2 AntiVirService; C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [432888 2014-11-06] (Avira Operations GmbH & Co. KG)
S2 Apple Mobile Device; C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe [55624 2013-09-07] (Apple Inc.)
S4 aspnet_state; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_state.exe [51808 2013-09-11] (Microsoft Corporation)
S2 Avira.OE.ServiceHost; C:\Program Files (x86)\Avira\My Avira\Avira.OE.ServiceHost.exe [164656 2014-10-22] (Avira Operations GmbH & Co. KG)
S3 BBSvc; C:\Program Files (x86)\Microsoft\BingBar\BBSvc.EXE [183560 2011-04-01] (Microsoft Corporation.)
S4 clr_optimization_v2.0.50727_64; C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe [90776 2014-03-20] (Microsoft Corporation)
S2 clr_optimization_v4.0.30319_64; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [124088 2013-09-11] (Microsoft Corporation)
S2 DsiWMIService; C:\Program Files (x86)\Launch Manager\dsiwmis.exe [321104 2010-06-22] (Dritek System Inc.)
S2 ePowerSvc; C:\Program Files\Acer\Acer ePower Management\ePowerSvc.exe [868896 2010-06-11] (Acer Incorporated)
S2 EpsonScanSvc; C:\Windows\system32\EscSvc64.exe [135824 2011-12-11] (Seiko Epson Corporation)
S3 FLEXnet Licensing Service; C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [655624 2010-07-13] (Acresso Software Inc.)
S3 FontCache3.0.0.0; C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe [42856 2010-11-05] (Microsoft Corporation)
S3 fsssvc; C:\Program Files (x86)\Windows Live\Family Safety\fsssvc.exe [1492840 2012-03-08] (Microsoft Corporation)
S2 GREGService; C:\Program Files (x86)\Acer\Registration\GREGsvc.exe [23584 2010-01-08] (Acer Incorporated)
S2 gupdate; C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [107912 2014-10-22] (Google Inc.)
S3 gupdatem; C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [107912 2014-10-22] (Google Inc.)
S2 gusvc; C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe [194032 2012-08-16] (Google)
S2 HTCMonitorService; C:\Program Files (x86)\HTC\HTC Sync Manager\HSMServiceEntry.exe [87368 2013-01-29] (Nero AG)
S2 IAStorDataMgrSvc; C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [13336 2010-04-13] (Intel Corporation)
S3 idsvc; C:\Windows\Microsoft.NET\Framework64\v3.0\Windows Communication Foundation\infocard.exe [859280 2014-06-30] (Microsoft Corporation)
S2 LMS; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe [268824 2010-03-18] (Intel Corporation)
S2 lxbk_device; C:\Windows\system32\lxbkcoms.exe [565928 2008-02-19] ( )
S2 MWLService; C:\Program Files (x86)\EgisTec MyWinLocker\x86\MWLService.exe [305520 2010-05-27] (Egis Technology Inc.)
S4 NetMsmqActivator; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe [139856 2013-09-11] (Microsoft Corporation)
S4 NetPipeActivator; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe [139856 2013-09-11] (Microsoft Corporation)
S4 NetTcpActivator; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe [139856 2013-09-11] (Microsoft Corporation)
S4 NetTcpPortSharing; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe [139856 2013-09-11] (Microsoft Corporation)
S2 NTI IScheduleSvc; C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe [255744 2010-06-28] (NewTech Infosystems, Inc.)
S3 ose; C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE [149352 2010-01-09] (Microsoft Corporation)
S2 PassThru Service; C:\Program Files (x86)\HTC\Internet Pass-Through\PassThruSvr.exe [167424 2012-12-07] ()
S2 PCToolsSSDMonitorSvc; C:\Program Files (x86)\Common Files\PC Tools\sMonitor\StartManSvc.exe [794272 2012-08-21] (PC Tools)
S3 PerfHost; C:\Windows\SysWow64\perfhost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 SeaPort; C:\Program Files (x86)\Microsoft\BingBar\SeaPort.EXE [249648 2011-03-28] (Microsoft Corporation)
S2 UNS; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2320920 2010-03-18] (Intel Corporation)
S2 Updater Service; C:\Program Files\Acer\Acer Updater\UpdaterService.exe [243232 2010-01-29] (Acer Group)

==================== Drivers (Whitelisted) ====================

(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)

S3 athr; C:\Windows\System32\DRIVERS\athrx.sys [2229608 2010-05-11] (Atheros Communications, Inc.)
S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [119272 2014-10-14] (Avira Operations GmbH & Co. KG)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [131608 2014-10-14] (Avira Operations GmbH & Co. KG)
S1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-11-28] (Avira Operations GmbH & Co. KG)
S3 b06bdrv; C:\Windows\system32\DRIVERS\bxvbda.sys [468480 2009-06-10] (Broadcom Corporation)
S3 b57nd60a; C:\Windows\System32\DRIVERS\b57nd60a.sys [270848 2009-06-10] (Broadcom Corporation)
S3 ebdrv; C:\Windows\system32\DRIVERS\evbda.sys [3286016 2009-06-10] (Broadcom Corporation)
S3 HECIx64; C:\Windows\system32\DRIVERS\HECIx64.sys [56344 2009-09-17] (Intel Corporation)
S3 HTCAND64; C:\Windows\System32\Drivers\ANDROIDUSB.sys [33736 2009-11-02] (HTC, Corporation)
S3 IntcAzAudAddService; C:\Windows\System32\drivers\RTKVHD64.sys [2399848 2010-06-22] (Realtek Semiconductor Corp.)
S3 k57nd60a; C:\Windows\System32\DRIVERS\k57nd60a.sys [384040 2010-05-15] (Broadcom Corporation)
S3 ksthunk; C:\Windows\system32\drivers\ksthunk.sys [20992 2009-07-14] (Microsoft Corporation)
S1 mwlPSDFilter; C:\Windows\System32\DRIVERS\mwlPSDFilter.sys [22576 2009-06-03] (Egis Technology Inc.)
S1 mwlPSDNServ; C:\Windows\System32\DRIVERS\mwlPSDNServ.sys [20016 2009-06-03] (Egis Technology Inc.)
S1 mwlPSDVDisk; C:\Windows\System32\DRIVERS\mwlPSDVDisk.sys [60464 2009-06-03] (Egis Technology Inc.)
S3 NTIDrvr; C:\Windows\system32\drivers\NTIDrvr.sys [18432 2010-04-20] (NTI Corporation)
S0 PxHlpa64; C:\Windows\System32\Drivers\PxHlpa64.sys [55856 2010-03-19] (Sonic Solutions)
S3 RTHDMIAzAudService; C:\Windows\System32\drivers\RtHDMIVX.sys [231328 2010-01-27] (Realtek Semiconductor Corp.)
S3 UBHelper; C:\Windows\system32\drivers\UBHelper.sys [17408 2010-07-09] (NTI Corporation)

==================== NetSvcs (Whitelisted) ===================


(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)


==================== One Month Created Files and Folders ========

(If an entry is included in the fixlist, the file\folder will be moved.)

2014-12-08 21:28 - 2014-12-08 21:28 - 00000000 ____D () C:\FRST
2014-11-29 17:10 - 2014-11-29 17:10 - 00372392 _____ () C:\Windows\Minidump\112914-32978-01.dmp
2014-11-29 15:42 - 2014-11-29 15:42 - 00003288 ____N () C:\bootsqm.dat
2014-11-29 15:24 - 2014-11-29 15:24 - 00906120 _____ () C:\Windows\Minidump\112914-32916-01.dmp
2014-11-29 15:05 - 2014-11-29 15:05 - 00000000 __SHD () C:\Users\Freude\AppData\Local\EmieUserList
2014-11-29 15:05 - 2014-11-29 15:05 - 00000000 __SHD () C:\Users\Freude\AppData\Local\EmieSiteList
2014-11-29 15:05 - 2014-11-29 15:05 - 00000000 __SHD () C:\Users\Freude\AppData\Local\EmieBrowserModeList
2014-11-29 15:04 - 2014-11-30 08:48 - 00000000 _____ () C:\ProgramData\@system.temp
2014-11-29 15:04 - 2014-11-29 17:14 - 00000288 ____H () C:\ProgramData\@system3.att
2014-11-29 15:03 - 2014-11-29 15:03 - 00000480 ____H () C:\Users\Freude\AppData\Roaming\麽鎒駓覜
2014-11-29 15:03 - 2014-11-29 15:03 - 00000000 ____D () C:\Users\Freude\AppData\Roaming\FrameworkUpdate
2014-11-24 08:18 - 2014-11-24 08:18 - 00632232 _____ () C:\Windows\Minidump\112414-23462-01.dmp
2014-11-21 18:25 - 2014-11-21 18:25 - 00001704 _____ () C:\Users\Freude\Downloads\Nicht bestätigt 399630.crdownload
2014-11-19 05:26 - 2014-11-11 04:08 - 00728064 _____ (Microsoft Corporation) C:\Windows\System32\kerberos.dll
2014-11-19 05:26 - 2014-11-11 04:08 - 00241152 _____ (Microsoft Corporation) C:\Windows\System32\pku2u.dll
2014-11-13 18:18 - 2014-11-05 18:56 - 00304640 _____ (Microsoft Corporation) C:\Windows\System32\generaltel.dll
2014-11-13 18:18 - 2014-11-05 18:56 - 00228864 _____ (Microsoft Corporation) C:\Windows\System32\aepdu.dll
2014-11-13 18:18 - 2014-11-05 18:52 - 00424448 _____ (Microsoft Corporation) C:\Windows\System32\aeinv.dll
2014-11-13 18:17 - 2014-10-14 03:16 - 00155064 _____ (Microsoft Corporation) C:\Windows\System32\Drivers\ksecpkg.sys
2014-11-13 18:17 - 2014-10-14 03:13 - 00683520 _____ (Microsoft Corporation) C:\Windows\System32\termsrv.dll
2014-11-13 18:17 - 2014-10-14 03:12 - 01460736 _____ (Microsoft Corporation) C:\Windows\System32\lsasrv.dll
2014-11-13 18:17 - 2014-10-14 03:09 - 00146432 _____ (Microsoft Corporation) C:\Windows\System32\msaudite.dll
2014-11-13 18:17 - 2014-10-14 03:07 - 00681984 _____ (Microsoft Corporation) C:\Windows\System32\adtschema.dll
2014-11-13 18:15 - 2014-11-07 20:49 - 00388272 _____ (Microsoft Corporation) C:\Windows\System32\iedkcs32.dll
2014-11-13 18:15 - 2014-11-06 05:04 - 02724864 _____ (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2014-11-13 18:15 - 2014-11-06 05:03 - 25110016 _____ (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2014-11-13 18:15 - 2014-11-06 05:03 - 00004096 _____ (Microsoft Corporation) C:\Windows\System32\ieetwcollectorres.dll
2014-11-13 18:15 - 2014-11-06 04:47 - 00066560 _____ (Microsoft Corporation) C:\Windows\System32\iesetup.dll
2014-11-13 18:15 - 2014-11-06 04:46 - 00580096 _____ (Microsoft Corporation) C:\Windows\System32\vbscript.dll
2014-11-13 18:15 - 2014-11-06 04:46 - 00048640 _____ (Microsoft Corporation) C:\Windows\System32\ieetwproxystub.dll
2014-11-13 18:15 - 2014-11-06 04:44 - 00088064 _____ (Microsoft Corporation) C:\Windows\System32\MshtmlDac.dll
2014-11-13 18:15 - 2014-11-06 04:43 - 02884096 _____ (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2014-11-13 18:15 - 2014-11-06 04:36 - 00054784 _____ (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2014-11-13 18:15 - 2014-11-06 04:35 - 00034304 _____ (Microsoft Corporation) C:\Windows\System32\iernonce.dll
2014-11-13 18:15 - 2014-11-06 04:31 - 00633856 _____ (Microsoft Corporation) C:\Windows\System32\ieui.dll
2014-11-13 18:15 - 2014-11-06 04:30 - 00144384 _____ (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2014-11-13 18:15 - 2014-11-06 04:30 - 00114688 _____ (Microsoft Corporation) C:\Windows\System32\ieetwcollector.exe
2014-11-13 18:15 - 2014-11-06 04:29 - 00814080 _____ (Microsoft Corporation) C:\Windows\System32\jscript9diag.dll
2014-11-13 18:15 - 2014-11-06 04:23 - 06040064 _____ (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2014-11-13 18:15 - 2014-11-06 04:20 - 00968704 _____ (Microsoft Corporation) C:\Windows\System32\MsSpellCheckingFacility.exe
2014-11-13 18:15 - 2014-11-06 04:16 - 00490496 _____ (Microsoft Corporation) C:\Windows\System32\dxtmsft.dll
2014-11-13 18:15 - 2014-11-06 04:07 - 00077824 _____ (Microsoft Corporation) C:\Windows\System32\JavaScriptCollectionAgent.dll
2014-11-13 18:15 - 2014-11-06 04:02 - 00199680 _____ (Microsoft Corporation) C:\Windows\System32\msrating.dll
2014-11-13 18:15 - 2014-11-06 04:00 - 00092160 _____ (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2014-11-13 18:15 - 2014-11-06 03:57 - 00316928 _____ (Microsoft Corporation) C:\Windows\System32\dxtrans.dll
2014-11-13 18:15 - 2014-11-06 03:41 - 00800768 _____ (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2014-11-13 18:15 - 2014-11-06 03:41 - 00716800 _____ (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe
2014-11-13 18:15 - 2014-11-06 03:39 - 01359360 _____ (Microsoft Corporation) C:\Windows\System32\mshtmlmedia.dll
2014-11-13 18:15 - 2014-11-06 03:38 - 02124288 _____ (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2014-11-13 18:15 - 2014-11-06 03:30 - 14390272 _____ (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2014-11-13 18:15 - 2014-11-06 03:17 - 02365440 _____ (Microsoft Corporation) C:\Windows\System32\wininet.dll
2014-11-13 18:15 - 2014-11-06 03:04 - 01550336 _____ (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2014-11-13 18:15 - 2014-11-06 02:53 - 00799232 _____ (Microsoft Corporation) C:\Windows\System32\ieapfltr.dll
2014-11-13 18:15 - 2014-10-25 02:57 - 00077824 _____ (Microsoft Corporation) C:\Windows\System32\packager.dll
2014-11-13 07:45 - 2014-10-03 03:12 - 00500224 _____ (Microsoft Corporation) C:\Windows\System32\AUDIOKSE.dll
2014-11-13 07:45 - 2014-10-03 03:11 - 00680960 _____ (Microsoft Corporation) C:\Windows\System32\audiosrv.dll
2014-11-13 07:45 - 2014-10-03 03:11 - 00440832 _____ (Microsoft Corporation) C:\Windows\System32\AudioEng.dll
2014-11-13 07:45 - 2014-10-03 03:11 - 00296448 _____ (Microsoft Corporation) C:\Windows\System32\AudioSes.dll
2014-11-13 07:45 - 2014-10-03 03:11 - 00284672 _____ (Microsoft Corporation) C:\Windows\System32\EncDump.dll
2014-11-13 07:45 - 2014-09-19 10:42 - 00342016 _____ (Microsoft Corporation) C:\Windows\System32\schannel.dll
2014-11-13 07:45 - 2014-09-19 10:42 - 00309760 _____ (Microsoft Corporation) C:\Windows\System32\ncrypt.dll
2014-11-13 07:45 - 2014-08-21 07:43 - 01882624 _____ (Microsoft Corporation) C:\Windows\System32\msxml3.dll
2014-11-13 07:45 - 2014-08-21 07:40 - 00002048 _____ (Microsoft Corporation) C:\Windows\System32\msxml3r.dll
2014-11-13 07:45 - 2014-08-12 03:02 - 00878080 _____ (Microsoft Corporation) C:\Windows\System32\IMJP10K.DLL
2014-11-13 07:44 - 2014-09-19 10:42 - 00314880 _____ (Microsoft Corporation) C:\Windows\System32\msv1_0.dll
2014-11-13 07:44 - 2014-09-19 10:42 - 00210944 _____ (Microsoft Corporation) C:\Windows\System32\wdigest.dll
2014-11-13 07:44 - 2014-09-19 10:42 - 00086528 _____ (Microsoft Corporation) C:\Windows\System32\TSpkg.dll
2014-11-13 07:44 - 2014-09-19 10:42 - 00022016 _____ (Microsoft Corporation) C:\Windows\System32\credssp.dll
2014-11-13 07:41 - 2014-10-10 01:57 - 03198976 _____ (Microsoft Corporation) C:\Windows\System32\win32k.sys
2014-11-13 07:40 - 2014-10-14 03:13 - 03241984 _____ (Microsoft Corporation) C:\Windows\System32\msi.dll
2014-11-13 07:39 - 2014-10-18 03:05 - 00861696 _____ (Microsoft Corporation) C:\Windows\System32\oleaut32.dll
2014-11-10 00:52 - 2014-11-10 00:53 - 03226916 _____ () C:\Users\Freude\Downloads\Präsentation1.ppsx

==================== One Month Modified Files and Folders =======

(If an entry is included in the fixlist, the file\folder will be moved.)

2014-12-02 22:28 - 2014-02-11 04:41 - 00000000 ____D () C:\Users\Freude\AppData\Local\SaveSense
2014-11-30 09:16 - 2011-04-04 12:38 - 00000000 ____D () C:\Users\Freude\AppData\Roaming\Skype
2014-11-30 09:12 - 2010-10-04 18:59 - 01221649 _____ () C:\Windows\WindowsUpdate.log
2014-11-30 07:55 - 2009-07-14 05:45 - 00018512 ____H () C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2014-11-30 07:55 - 2009-07-14 05:45 - 00018512 ____H () C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2014-11-30 07:47 - 2012-11-14 15:51 - 00000000 ____D () C:\Users\Freude\AppData\Local\Htc
2014-11-30 07:47 - 2012-06-19 18:38 - 00000000 ____D () C:\Users\Freude\AppData\Local\HTC MediaHub
2014-11-30 07:45 - 2014-04-26 16:26 - 00011978 _____ () C:\Windows\setupact.log
2014-11-29 17:10 - 2014-07-01 17:27 - 510238288 _____ () C:\Windows\MEMORY.DMP
2014-11-29 17:10 - 2012-10-26 21:06 - 00000000 ____D () C:\Windows\Minidump
2014-11-29 15:09 - 2010-10-04 19:19 - 00000000 ____D () C:\ProgramData\Temp
2014-11-27 19:10 - 2009-07-14 04:20 - 00000000 ____D () C:\Windows\SysWOW64
2014-11-27 17:26 - 2009-07-14 06:13 - 01620684 _____ () C:\Windows\System32\PerfStringBackup.INI
2014-11-24 08:43 - 2011-04-02 17:15 - 00000000 ____D () C:\ProgramData\Skype
2014-11-21 14:57 - 2014-04-30 18:16 - 00002958 _____ () C:\Windows\PFRO.log
2014-11-19 06:50 - 2014-07-31 19:12 - 00005230 ____H () C:\Users\Freude\Downloads\.picasa.ini
2014-11-16 09:48 - 2009-07-14 04:20 - 00000000 ____D () C:\Windows\rescache
2014-11-16 09:08 - 2009-07-14 04:20 - 00000000 ____D () C:\Windows\Microsoft.NET
2014-11-14 16:35 - 2009-07-14 04:20 - 00000000 ___RD () C:\Program Files (x86)
2014-11-14 07:51 - 2011-04-02 16:29 - 00088400 _____ () C:\Users\Freude\AppData\Local\GDIPFONTCACHEV1.DAT
2014-11-14 07:49 - 2009-07-14 05:45 - 00349200 _____ () C:\Windows\System32\FNTCACHE.DAT
2014-11-14 07:46 - 2014-05-07 05:13 - 00000000 ___SD () C:\Windows\System32\CompatTel
2014-11-14 07:46 - 2009-07-14 04:20 - 00000000 ____D () C:\Windows\System32\de-DE
2014-11-14 07:29 - 2012-05-14 20:49 - 00000000 ____D () C:\ProgramData\Microsoft Help
2014-11-14 07:23 - 2013-08-15 04:16 - 00000000 ____D () C:\Windows\System32\MRT
2014-11-14 07:13 - 2011-04-03 12:19 - 103374192 _____ (Microsoft Corporation) C:\Windows\System32\MRT.exe

Files to move or delete:
====================
C:\Users\Freude\AudibleDM_iTunesSetup.exe
C:\Users\Freude\install_flashplayer11x32au_ltr5x64d_awc_aih.exe
C:\Users\Freude\install_flashplayer11x32au_mssa_aih.exe
C:\Users\Freude\Nero-12.0.02900_trial.exe
C:\Users\Freude\wordview_de-de.exe


Some content of TEMP:
====================
C:\Users\Freude\AppData\Local\Temp\avgnt.exe
C:\Users\Freude\AppData\Local\Temp\jre-7u65-windows-i586-iftw.exe
C:\Users\Freude\AppData\Local\Temp\jre-7u67-windows-i586-iftw.exe
C:\Users\Freude\AppData\Local\Temp\setup.exe
C:\Users\Freude\AppData\Local\Temp\SkypeSetup.exe
C:\Users\Freude\AppData\Local\Temp\update.exe


==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

(There is no automatic fix for files that do not pass verification.)

C:\Windows\explorer.exe
[2011-04-28 05:09] - [2011-02-25 07:19] - 2871808 ____A (Microsoft Corporation) 332FEAB1435662FC6C672E25BEB37BE3

C:\Windows\System32\winlogon.exe
[2014-10-15 07:48] - [2014-07-17 03:07] - 0455168 ____A (Microsoft Corporation) 8CEBD9D0A0A879CDE9F36F4383B7CAEA

C:\Windows\System32\wininit.exe
[2009-07-14 00:52] - [2009-07-14 02:39] - 0129024 ____A (Microsoft Corporation) 94355C28C1970635A31B3FE52EB7CEBA

C:\Windows\System32\svchost.exe
[2009-07-14 00:31] - [2009-07-14 02:39] - 0027136 ____A (Microsoft Corporation) C78655BC80301D76ED4FEF1C1EA40A7D

C:\Windows\System32\services.exe
[2009-07-14 00:19] - [2009-07-14 02:39] - 0328704 ____A (Microsoft Corporation) 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\System32\User32.dll
[2011-06-24 14:51] - [2010-11-20 14:27] - 1008128 ____A (Microsoft Corporation) FE70103391A64039A921DBFFF9C7AB1B

C:\Windows\System32\userinit.exe
[2011-06-24 14:50] - [2010-11-20 14:25] - 0030720 ____A (Microsoft Corporation) BAFE84E637BF7388C96EF48D4D3FDD53

C:\Windows\System32\rpcss.dll
[2011-06-24 14:51] - [2010-11-20 14:27] - 0512000 ____A (Microsoft Corporation) 5C627D1B1138676C0A7AB2C2C190D123

 ATTENTION ======> If the system is having audio adware rpcss.dll is patched. Google the MD5, if the MD5 is unique the file is infected.
C:\Windows\System32\Drivers\volsnap.sys
[2011-06-24 14:51] - [2010-11-20 14:34] - 0295808 ____A (Microsoft Corporation) 0D08D2F3B3FF84E433346669B5E0F639


==================== Restore Points  =========================

Restore point made on: 2014-11-08 09:07:50
Restore point made on: 2014-11-13 07:41:39
Restore point made on: 2014-11-14 07:09:53
Restore point made on: 2014-11-18 07:50:58
Restore point made on: 2014-11-21 13:13:53
Restore point made on: 2014-11-25 08:00:25
Restore point made on: 2014-11-28 09:29:31

==================== Memory info =========================== 

Percentage of memory in use: 14%
Total physical RAM: 3958.71 MB
Available physical RAM: 3390.03 MB
Total Pagefile: 3957 MB
Available Pagefile: 3389.54 MB
Total Virtual: 2047.88 MB
Available Virtual: 1939.43 MB

==================== Drives ================================

Drive c: (Acer) (Fixed) (Total:284.99 GB) (Free:174.53 GB) NTFS
Drive e: (PQSERVICE) (Fixed) (Total:13 GB) (Free:1.27 GB) NTFS
Drive f: (GRMCPRFRER_DE_DVD) (CDROM) (Total:2.34 GB) (Free:0 GB) UDF
Drive g: () (Removable) (Total:3.91 GB) (Free:3.91 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (SYSTEM RESERVED) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 298.1 GB) (Disk ID: 70A83CF6)
Partition 1: (Not Active) - (Size=13 GB) - (Type=27)
Partition 2: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=285 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 3.9 GB) (Disk ID: 6AFEA38A)
Partition 1: (Not Active) - (Size=3.9 GB) - (Type=0B)


LastRegBack: 2014-11-26 16:38

==================== End Of Log ============================
         

--- --- ---

--- --- ---

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

LastRegBack: 2014-11-26 16:38
         

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen Rechner erneut in die Reparaturoptionen
• Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Hallo Schrauber,

es ist alles nicht so einfach

Fahre ich in den Reparieren-Modus hoch, werde ich aufgefordert, in dem Dialog "Systemwiederherstellungsoptionen" ein Kennwort einzugeben. Auswählbar sind zwei Benutzernamen, davon heißt einer HomeGroupUser$). Das Problem sit, dass meine Freundin keines der Passwörter (mehr) kennt. Wenn der Computer normal hochfährt, wird auch kein Passwort verlangt.
Die Frst.exe kann ich aber nur im Reparieren-Modus ausführen.

Was tun?

Grüße

Kaneda

Dann würde ich mal langsam anfangen mit ner Linux CD oder ähnlichem Daten zu sichern.

Ähem, könntest Du das etwas konkretisieren? Kann man die Passwortabfrage nicht umgehen?
Und warum sichern? Ist hier nichts mehr zu retten?
Und wie?

Entschuldige für die vielen Fragen und dank für die Antworten im Voraus

Grüße

Kaneda

Passwortabfrage cracken ist evtl möglich, aber nicht legal

http://www.trojaner-board.de/82533-d...ted-magic.html
Damit Daten sichern, dann schauen wir weiter, denke aber nicht dass da noch was geht.

Hallo,

ja ich werde mich mal ans Sichern machen.

Aber wieso wird im Reaprieren-Modus ein Passswort abgefragt (übrigens beim ersten Mal wurde gar kein Passwort abgefragt, sonst hätte ich ja gar keine FRST ausführen können) und nicht beim normalen Hochfahren? Seufz...

Grüße

Kaneda