Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   GUV TRojaner abgesicherter modus funtioniert nicht Frst64 ausgefürt (https://www.trojaner-board.de/138078-guv-trojaner-abgesicherter-modus-funtioniert-frst64-ausgefuert.html)

Freeway87 11.07.2013 22:40

GUV TRojaner abgesicherter modus funtioniert nicht Frst64 ausgefürt
 
Guten abend

Ich habe mir auch den Guv Trojaner eingefangen habe mich ein bisschen eingelesen und Frst 64 benutzt um eine log Datei zu erstellen könntet ihr sie mir bitte auswerten

System win7 64 bit

Code:

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 11-07-2013
Ran by SYSTEM on 11-07-2013 23:19:41
Running from K:\
Windows 7 Enterprise Service Pack 1 (X64) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [Launch LCore] - "C:\Program Files\Logitech Gaming Software\LCore.exe" /minimized [110360 2011-09-29] (Logitech Inc.)
HKLM\...\Run: [Ocs_SM] - C:\Users\Admin\AppData\Roaming\OCS\SM\SearchAnonymizer.exe [106496 2012-07-10] (OCS)
HKLM\...\Run: [BCSSync] - "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices [112512 2010-03-13] (Microsoft Corporation)
HKLM\...\Run: [Logitech Download Assistant] - C:\Windows\system32\rundll32.exe C:\Windows\System32\LogiLDA.dll,LogiFetch [1832760 2012-09-20] (Logitech, Inc.)
HKLM-x32\...\Run: [] -  [x]
HKLM-x32\...\Run: [ApnUpdater] - "C:\Program Files (x86)\Ask.com\Updater\Updater.exe" [397992 2011-07-26] (Ask)
HKLM-x32\...\Run: [StartCCC] - "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun [641704 2012-11-16] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [AMD AVT] - Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files (x86)\AMD AVT\bin\kdbsync.exe" aml [20992 2012-03-19] ()
HKLM-x32\...\Run: [vProt] - "C:\Program Files (x86)\AVG Secure Search\vprot.exe" [2236080 2013-06-27] ()
HKLM-x32\...\Run: [Adobe ARM] - "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [LogMeIn Hamachi Ui] - "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start [2255184 2013-06-28] (LogMeIn Inc.)
HKU\Admin\...\Run: [EADM] - "C:\Program Files (x86)\Origin\Origin.exe" -AutoStart [3456080 2013-06-13] (Electronic Arts)
HKU\Admin\...\Run: [Google Update] - "C:\Users\Admin\AppData\Local\Google\Update\GoogleUpdate.exe" /c [116648 2012-07-11] (Google Inc.)
HKU\Admin\...\Winlogon: [Shell] explorer.exe,C:\Users\Admin\AppData\Roaming\skype.dat [155648 2011-11-17] () <==== ATTENTION
HKU\Default\...\RunOnce: [mctadmin] - C:\Windows\System32\mctadmin.exe [97280 2009-07-14] (Microsoft Corporation)
HKU\Default User\...\RunOnce: [mctadmin] - C:\Windows\System32\mctadmin.exe [97280 2009-07-14] (Microsoft Corporation)

==================== Services (Whitelisted) =================

S2 AMD FUEL Service; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [361984 2012-11-16] (Advanced Micro Devices, Inc.)
S3 McComponentHostService; C:\Program Files (x86)\McAfee Security Scan\3.0.318\McCHSvc.exe [235216 2013-02-05] (McAfee, Inc.)
S3 npggsvc; C:\Windows\SysWow64\GameMon.des [4121080 2011-06-13] (INCA Internet Co., Ltd.)
S2 PnkBstrA; C:\Windows\SysWow64\PnkBstrA.exe [76888 2012-07-19] ()
S2 SearchAnonymizer; C:\Users\Admin\AppData\Roaming\OCS\SM\SearchAnonymizerHelper.exe [40960 2012-07-10] ()
S2 TuneUp.UtilitiesSvc; C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesService64.exe [2143072 2012-05-29] (TuneUp Software)
S3 TunngleService; C:\Program Files (x86)\Tunngle\TnglCtrl.exe [736104 2012-02-14] (Tunngle.net GmbH)
S2 vToolbarUpdater15.3.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\15.3.0\ToolbarUpdater.exe [1598128 2013-06-27] (AVG Secure Search)

==================== Drivers (Whitelisted) ====================

S1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [45856 2013-06-27] (AVG Technologies)
S1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [279616 2011-11-16] (DT Soft Ltd)
S3 NPPTNT2; C:\Windows\SysWow64\npptNT2.sys [4682 2005-01-04] (INCA Internet Co., Ltd.)
S3 tap0901t; C:\Windows\System32\DRIVERS\tap0901t.sys [31232 2009-09-16] (Tunngle.net)
S3 TuneUpUtilitiesDrv; C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesDriver64.sys [11856 2011-12-12] (TuneUp Software)
S3 dump_wmimmc; \??\C:\gPotato\Rappelz\GameGuard\dump_wmimmc.sys [x]
S3 NPPTNT2; \??\C:\Windows\system32\npptNT2.sys [x]
S3 VGPU; System32\drivers\rdvgkmd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-11 23:19 - 2013-07-11 23:19 - 00000000 ____D C:\FRST
2013-07-11 22:42 - 2013-07-11 22:42 - 00000000 __SHD C:\found.000
2013-07-11 20:54 - 2013-07-11 20:54 - 00023824 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0.bak
2013-07-11 20:54 - 2013-07-11 20:54 - 00023824 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0.bak
2013-07-11 20:54 - 2013-07-11 20:54 - 00000552 ____A C:\Windows\System32\spsys.log
2013-07-09 23:28 - 2013-07-11 20:51 - 00002100 ____A C:\Windows\PFRO.log
2013-07-02 13:09 - 2013-07-02 13:09 - 00000000 ____D C:\Program Files (x86)\LogMeIn Hamachi
2013-07-01 10:28 - 2013-07-11 21:39 - 00000004 ____A C:\Users\Admin\AppData\Roaming\skype.ini
2013-06-30 22:41 - 2013-06-30 22:41 - 00002078 ____A C:\Users\Public\Desktop\Zoo Tycoon.lnk
2013-06-30 22:40 - 2013-06-30 22:40 - 00000000 ____D C:\Program Files (x86)\Microsoft Games
2013-06-27 07:19 - 2013-06-27 07:19 - 00003718 ____A C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml
2013-06-25 16:04 - 2013-06-25 16:04 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-06-23 23:08 - 2012-11-22 21:49 - 710006784 ____A C:\Users\Admin\Desktop\break.bad.s05.e08.5.1.xvid-pret.avi
2013-06-16 02:00 - 2013-06-08 15:08 - 01365504 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-06-16 02:00 - 2013-06-08 15:07 - 19233792 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-06-16 02:00 - 2013-06-08 15:06 - 15404544 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-06-16 02:00 - 2013-06-08 15:06 - 02648064 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-06-16 02:00 - 2013-06-08 15:06 - 00526336 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-06-16 02:00 - 2013-06-08 13:28 - 02706432 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-06-16 02:00 - 2013-06-08 12:42 - 01141248 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-06-16 02:00 - 2013-06-08 12:40 - 14327808 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-06-16 02:00 - 2013-06-08 12:40 - 13760512 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-06-16 02:00 - 2013-06-08 12:40 - 02046976 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-06-16 02:00 - 2013-06-08 12:40 - 00391168 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-06-16 02:00 - 2013-06-08 12:13 - 02706432 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-06-13 02:02 - 2013-05-17 02:25 - 02877440 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2013-06-13 02:02 - 2013-05-17 02:25 - 01767936 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-06-13 02:02 - 2013-05-17 02:25 - 00690688 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2013-06-13 02:02 - 2013-05-17 02:25 - 00493056 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2013-06-13 02:02 - 2013-05-17 02:25 - 00109056 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iesysprep.dll
2013-06-13 02:02 - 2013-05-17 02:25 - 00061440 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iesetup.dll
2013-06-13 02:02 - 2013-05-17 02:25 - 00039424 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-06-13 02:02 - 2013-05-17 02:25 - 00033280 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iernonce.dll
2013-06-13 02:02 - 2013-05-17 01:59 - 02241024 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-06-13 02:02 - 2013-05-17 01:59 - 00051712 ____A (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe
2013-06-13 02:02 - 2013-05-17 01:58 - 03958784 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-06-13 02:02 - 2013-05-17 01:58 - 00855552 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-06-13 02:02 - 2013-05-17 01:58 - 00603136 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-06-13 02:02 - 2013-05-17 01:58 - 00136704 ____A (Microsoft Corporation) C:\Windows\System32\iesysprep.dll
2013-06-13 02:02 - 2013-05-17 01:58 - 00067072 ____A (Microsoft Corporation) C:\Windows\System32\iesetup.dll
2013-06-13 02:02 - 2013-05-17 01:58 - 00053248 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-06-13 02:02 - 2013-05-17 01:58 - 00039936 ____A (Microsoft Corporation) C:\Windows\System32\iernonce.dll
2013-06-13 02:02 - 2013-05-14 13:23 - 00089600 ____A (Microsoft Corporation) C:\Windows\System32\RegisterIEPKEYs.exe
2013-06-13 02:02 - 2013-05-14 09:40 - 00071680 ____A (Microsoft Corporation) C:\Windows\SysWOW64\RegisterIEPKEYs.exe
2013-06-12 22:46 - 2013-06-12 22:46 - 00018435 ____A C:\Windows\DirectX.log
2013-06-12 22:45 - 2013-06-12 22:45 - 00000811 ____A C:\Users\Public\Desktop\Sniper Ghost Warrior 2.lnk
2013-06-12 21:36 - 2013-05-13 06:51 - 01464320 ____A (Microsoft Corporation) C:\Windows\System32\crypt32.dll
2013-06-12 21:36 - 2013-05-13 06:51 - 00184320 ____A (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll
2013-06-12 21:36 - 2013-05-13 06:51 - 00139776 ____A (Microsoft Corporation) C:\Windows\System32\cryptnet.dll
2013-06-12 21:36 - 2013-05-13 06:50 - 00052224 ____A (Microsoft Corporation) C:\Windows\System32\certenc.dll
2013-06-12 21:36 - 2013-05-13 05:45 - 01160192 ____A (Microsoft Corporation) C:\Windows\SysWOW64\crypt32.dll
2013-06-12 21:36 - 2013-05-13 05:45 - 00140288 ____A (Microsoft Corporation) C:\Windows\SysWOW64\cryptsvc.dll
2013-06-12 21:36 - 2013-05-13 05:45 - 00103936 ____A (Microsoft Corporation) C:\Windows\SysWOW64\cryptnet.dll
2013-06-12 21:36 - 2013-05-13 04:43 - 01192448 ____A (Microsoft Corporation) C:\Windows\System32\certutil.exe
2013-06-12 21:36 - 2013-05-13 04:08 - 00903168 ____A (Microsoft Corporation) C:\Windows\SysWOW64\certutil.exe
2013-06-12 21:36 - 2013-05-13 04:08 - 00043008 ____A (Microsoft Corporation) C:\Windows\SysWOW64\certenc.dll
2013-06-12 21:36 - 2013-05-10 06:49 - 00030720 ____A (Microsoft Corporation) C:\Windows\System32\cryptdlg.dll
2013-06-12 21:36 - 2013-05-10 04:20 - 00024576 ____A (Microsoft Corporation) C:\Windows\SysWOW64\cryptdlg.dll
2013-06-12 21:36 - 2013-05-08 07:39 - 01910632 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys
2013-06-12 21:36 - 2013-04-26 06:51 - 00751104 ____A (Microsoft Corporation) C:\Windows\System32\win32spl.dll
2013-06-12 21:36 - 2013-04-26 05:55 - 00492544 ____A (Microsoft Corporation) C:\Windows\SysWOW64\win32spl.dll
2013-06-12 21:36 - 2013-04-17 08:02 - 01230336 ____A (Microsoft Corporation) C:\Windows\SysWOW64\WindowsCodecs.dll
2013-06-12 21:36 - 2013-04-17 07:24 - 01424384 ____A (Microsoft Corporation) C:\Windows\System32\WindowsCodecs.dll
2013-06-12 21:36 - 2013-03-31 23:52 - 01887232 ____A (Microsoft Corporation) C:\Windows\System32\d3d11.dll
2013-06-12 21:35 - 2013-04-26 00:30 - 01505280 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d3d11.dll

==================== One Month Modified Files and Folders =======

2013-07-11 23:19 - 2013-07-11 23:19 - 00000000 ____D C:\FRST
2013-07-11 22:42 - 2013-07-11 22:42 - 00000000 __SHD C:\found.000
2013-07-11 21:39 - 2013-07-01 10:28 - 00000004 ____A C:\Users\Admin\AppData\Roaming\skype.ini
2013-07-11 21:06 - 2012-07-13 21:49 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-07-11 21:00 - 2012-07-11 22:28 - 00001120 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2386316364-143952952-860566610-1001UA.job
2013-07-11 21:00 - 2011-10-27 03:52 - 01403267 ____A C:\Windows\WindowsUpdate.log
2013-07-11 20:54 - 2013-07-11 20:54 - 00023824 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0.bak
2013-07-11 20:54 - 2013-07-11 20:54 - 00023824 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0.bak
2013-07-11 20:54 - 2013-07-11 20:54 - 00000552 ____A C:\Windows\System32\spsys.log
2013-07-11 20:54 - 2009-07-14 05:45 - 00001184 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-11 20:54 - 2009-07-14 05:45 - 00001184 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-11 20:53 - 2013-03-15 20:30 - 00000000 ____D C:\Program Files (x86)\Origin
2013-07-11 20:52 - 2011-11-18 22:17 - 00000000 ____D C:\Users\Admin\AppData\Local\LogMeIn Hamachi
2013-07-11 20:51 - 2013-07-09 23:28 - 00002100 ____A C:\Windows\PFRO.log
2013-07-11 20:51 - 2013-04-08 21:49 - 00002716 ____A C:\Windows\setupact.log
2013-07-11 20:51 - 2009-07-14 06:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-07-10 23:45 - 2011-10-10 16:39 - 65642496 ____A C:\Windows\System32\config\SOFTWAREwag
2013-07-10 23:45 - 2011-10-10 16:39 - 00204800 ____A C:\Windows\System32\config\wag7
2013-07-10 23:45 - 2011-10-10 16:39 - 00032768 ____A C:\Windows\System32\config\wag5
2013-07-10 23:45 - 2011-10-10 16:39 - 00024576 ____A C:\Windows\System32\config\wag4
2013-07-10 23:45 - 2011-10-10 16:38 - 16777216 ____A C:\Windows\System32\config\wag
2013-07-10 23:45 - 2009-07-14 03:34 - 07012864 ___AH C:\Windows\System32\config\wag8
2013-07-10 23:45 - 2009-07-14 03:34 - 00193536 ___AH C:\Windows\System32\config\wag6
2013-07-10 23:45 - 2009-07-14 03:34 - 00021504 ___AH C:\Windows\System32\config\wag2
2013-07-10 23:43 - 2009-07-14 03:34 - 00025600 ___AH C:\Windows\System32\config\wag9
2013-07-10 00:44 - 2009-07-14 03:34 - 00262144 ___AH C:\Windows\System32\config\wag10
2013-07-09 23:34 - 2009-07-14 03:34 - 44040192 ____A C:\Windows\System32\config\wag11
2013-07-09 23:28 - 2012-04-25 20:45 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2013-07-09 00:53 - 2012-07-11 22:28 - 00001068 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2386316364-143952952-860566610-1001Core.job
2013-07-07 23:34 - 2013-05-15 07:05 - 00000000 ____D C:\Program Files (x86)\Mozilla Thunderbird
2013-07-02 13:09 - 2013-07-02 13:09 - 00000000 ____D C:\Program Files (x86)\LogMeIn Hamachi
2013-07-02 13:09 - 2013-05-24 18:52 - 00000926 ____A C:\Users\Public\Desktop\LogMeIn Hamachi.lnk
2013-06-30 22:41 - 2013-06-30 22:41 - 00002078 ____A C:\Users\Public\Desktop\Zoo Tycoon.lnk
2013-06-30 22:40 - 2013-06-30 22:40 - 00000000 ____D C:\Program Files (x86)\Microsoft Games
2013-06-29 02:03 - 2010-11-21 07:22 - 00654150 ____A C:\Windows\System32\perfh007.dat
2013-06-29 02:03 - 2010-11-21 07:22 - 00130022 ____A C:\Windows\System32\perfc007.dat
2013-06-29 02:03 - 2009-07-14 06:13 - 01519798 ____A C:\Windows\System32\PerfStringBackup.INI
2013-06-28 22:29 - 2011-11-02 20:58 - 00000000 ____D C:\Program Files (x86)\JDownloader
2013-06-28 15:27 - 2013-05-29 16:44 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox.bak
2013-06-27 07:19 - 2013-06-27 07:19 - 00003718 ____A C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml
2013-06-27 07:19 - 2013-04-08 12:03 - 00045856 ____A (AVG Technologies) C:\Windows\System32\Drivers\avgtpx64.sys
2013-06-27 07:19 - 2013-04-08 12:03 - 00000000 ____D C:\ProgramData\AVG Secure Search
2013-06-27 07:19 - 2013-04-07 12:02 - 00000000 ____D C:\Program Files (x86)\AVG Secure Search
2013-06-25 16:04 - 2013-06-25 16:04 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-06-16 02:17 - 2011-10-27 03:53 - 00000000 ____D C:\users\Admin
2013-06-13 08:22 - 2013-03-15 20:31 - 00000000 ____D C:\Users\Admin\AppData\Local\Origin
2013-06-13 07:01 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\rescache
2013-06-13 02:03 - 2011-10-10 16:51 - 75825640 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-06-12 22:46 - 2013-06-12 22:46 - 00018435 ____A C:\Windows\DirectX.log
2013-06-12 22:45 - 2013-06-12 22:45 - 00000811 ____A C:\Users\Public\Desktop\Sniper Ghost Warrior 2.lnk
2013-06-11 23:06 - 2012-07-13 21:49 - 00692104 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-06-11 23:06 - 2012-07-13 21:49 - 00003822 ____A C:\Windows\System32\Tasks\Adobe Flash Player Updater
2013-06-11 23:06 - 2011-10-27 23:14 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl

Files to move or delete:
====================
C:\Users\Admin\AppData\Roaming\skype.dat
C:\Users\Admin\AppData\Roaming\skype.ini

==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-07-05 19:16:08

==================== Memory info ===========================

Percentage of memory in use: 14%
Total physical RAM: 4095.3 MB
Available physical RAM: 3510.54 MB
Total Pagefile: 4093.5 MB
Available Pagefile: 3419.75 MB
Total Virtual: 8192 MB
Available Virtual: 8191.85 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:97.65 GB) (Free:10.39 GB) NTFS (Disk=0 Partition=1) ==>[Drive with boot components (obtained from BCD)]
Drive d: () (Fixed) (Total:135.22 GB) (Free:35.14 GB) NTFS (Disk=0 Partition=2)
Drive j: (Externe) (Fixed) (Total:465.76 GB) (Free:5.11 GB) NTFS (Disk=6 Partition=1)
Drive k: () (Removable) (Total:3.75 GB) (Free:3.74 GB) FAT32 (Disk=1 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 233 GB) (Disk ID: E57A00FD)
Partition 1: (Active) - (Size=98 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=135 GB) - (Type=OF Extended)

========================================================
Disk: 1 (MBR Code: Windows 7 or 8) (Size: 4 GB) (Disk ID: 00000000)
Partition 1: (Active) - (Size=4 GB) - (Type=0B)

========================================================
Disk: 6 (MBR Code: Windows XP) (Size: 466 GB) (Disk ID: 91F59E4E)
Partition 1: (Not Active) - (Size=466 GB) - (Type=07 NTFS)


LastRegBack: 2013-07-03 01:41

==================== End Of Log ============================


aharonov 11.07.2013 22:48

Hi,

Aus deinem FRST-Log:
Zitat:

Windows 7 Enterprise Service Pack 1 (X64) OS Language: German Standard
Ist das also ein Firmenrechner?


Kannst du nach folgendem Fix den Rechner wieder normal starten?


Drücke auf einem Zweitrechner bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:
Code:

HKU\Admin\...\Winlogon: [Shell] explorer.exe,C:\Users\Admin\AppData\Roaming\skype.dat [155648 2011-11-17] () <==== ATTENTION
C:\Users\Admin\AppData\Roaming\skype.dat
C:\Users\Admin\AppData\Roaming\skype.ini

Speichere dieses dann bitte unter dem Dateinamen Fixlist.txt auf deinen USB Stick neben FRST.
  • Schliesse den USB Stick wieder an den infizierten Rechner an.
  • Starte deinen Rechner erneut in die Reparaturoptionen.
  • Starte nun wiederum FRST, aber klicke dieses Mal auf den Fix Button.
Das Tool erstellt eine Datei Fixlog.txt auf deinem USB Stick. Poste deren Inhalt bitte hier.

Freeway87 11.07.2013 22:58

ja so das normale starten ist wieder möglich Danke ;) wie geht's jetzt weiter gibt es die Möglichkeit das System zu bereinigen oder muss es neu aufgesetzt werden ?
vielen Dank für die schnelle Hilfe ;)

aharonov 11.07.2013 23:00

Beantworte mir bitte zuerst noch die oben gestellte Frage:
Zitat:

Ist das also ein Firmenrechner?

Freeway87 11.07.2013 23:07

Nein ist kein Firmen Rechner steht bei mir zu hause :) ist diese Windows 7 version nur für Firmenrechner gedacht ?

aharonov 11.07.2013 23:22

Als Privatperson erhält man meines Wissens keine Enterprise-Lizenzen... Windows gecrackt?

Freeway87 11.07.2013 23:29

Ja habe mir vor einiger Zeit diese version runtergeladen mittlerweile habe ich eine Windows 7 Prof Original war bis jetzt nur noch zu faul um den Rechner platt zu machen :( also im prinzip ist das einzige was ich noch wissen sollte muss ich aufpassen beim Daten sichern ? damit ich die Trojanerdateien nicht mit ins neue windows übernehme? Danke noch mals für deine Hilfe

aharonov 11.07.2013 23:42

Solchen gecrackten Betriebssystemen kann man nicht trauen. Dort könnte alles mögliche bereits drin sein.

Sichere einfach nur deine persönlichen Dateien (keine Programme oder sonstigen Dinge, die man wieder herunterladen kann) extern, formatiere dann die ganze Platte und installiere das neue Windows. Bevor du dann deine Dateien wieder zurückspielst, scanne sie gründlich durch. Dann sollte das kein Problem sein.

Freeway87 11.07.2013 23:44

Danke für die hilfe ;) und gute nacht

aharonov 12.07.2013 00:06

Dir auch gute Nacht. ;)


Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:42 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131