Problem: Unerwartete Abstürze nach Virenfund
 

Hallo,

ich habe ein ganz bödes Problem mit meinem Computer und weiß langsam nicht mehr weiter.

Seit einigen Tagen stürzt mein Compter ständig ab - das heißt sich (unabhängig bestimmter Prozesse/Aktionen) auf, sodass sich nichts mehr machen lässt. Es kann nach dem hochfahren mal länger oder eben kürzer dauern bis dies passiert. Teilweise tut er dies sogar während des Herunterfahrens oder des Neustarts. (Er hängt sich dann entsprechend auf, wartet einen Moment und startet von selbst neu) Mein erster Tipp war ein Virus. Es hat zwar einige Zeit gedauert, doch habe ich es schließlich geschafft Avira drüber laufen zu lassen: er hat mehrere Dateien gefunden, die ich daraufhin direkt gelöscht habe.
Auf Anraten eines Computerspezialisten habe ich auch ein zweites Antivirenprogramm drüber laufen lassen. Nach einer kompletten Systemprüfung haben schließlich beide nichts mehr gefunden.

Ich war bereits bei einem Computerspezialisten und habe den Tipp bekommen, mal das komplette Innenleben auf Defekte zu überprüfen oder meine Programme neu zu installieren. Habe beides getan, aber das Problem bisher nicht beheben können.

Ich hoffe es findet sich hier noch jemand, der mir weiterhelfen kann!

Grüße

Hi,

Poste mir bitte alle Reporte, welche einen Fund dokumentieren.

Dies hier ist Bericht Nr.1 (Avira):

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 16. April 2013 12:49

Es wird nach 4418494 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet

Versionsinformationen:
BUILD.DAT : 12.1.9.1236 Bytes 11.10.2012 15:29:00
AVSCAN.EXE : 12.3.0.48 468256 Bytes 15.11.2012 01:00:29
AVSCAN.DLL : 12.3.0.15 66256 Bytes 02.05.2012 00:02:50
LUKE.DLL : 12.3.0.15 68304 Bytes 01.05.2012 23:31:47
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 01.05.2012 22:13:36
AVREG.DLL : 12.3.0.17 232200 Bytes 10.07.2012 21:57:59
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 15:53:57
VBASE001.VDF : 7.11.70.1 2048 Bytes 04.04.2013 15:53:57
VBASE002.VDF : 7.11.70.2 2048 Bytes 04.04.2013 15:53:57
VBASE003.VDF : 7.11.70.3 2048 Bytes 04.04.2013 15:53:57
VBASE004.VDF : 7.11.70.4 2048 Bytes 04.04.2013 15:53:57
VBASE005.VDF : 7.11.70.5 2048 Bytes 04.04.2013 15:53:57
VBASE006.VDF : 7.11.70.6 2048 Bytes 04.04.2013 15:53:57
VBASE007.VDF : 7.11.70.7 2048 Bytes 04.04.2013 15:53:57
VBASE008.VDF : 7.11.70.8 2048 Bytes 04.04.2013 15:53:57
VBASE009.VDF : 7.11.70.9 2048 Bytes 04.04.2013 15:53:57
VBASE010.VDF : 7.11.70.10 2048 Bytes 04.04.2013 15:53:57
VBASE011.VDF : 7.11.70.11 2048 Bytes 04.04.2013 15:53:57
VBASE012.VDF : 7.11.70.12 2048 Bytes 04.04.2013 15:53:57
VBASE013.VDF : 7.11.70.13 2048 Bytes 04.04.2013 15:53:57
VBASE014.VDF : 7.11.70.103 136192 Bytes 05.04.2013 14:33:56
VBASE015.VDF : 7.11.70.183 183808 Bytes 06.04.2013 14:33:57
VBASE016.VDF : 7.11.71.9 145920 Bytes 08.04.2013 14:33:57
VBASE017.VDF : 7.11.71.115 169472 Bytes 10.04.2013 14:33:57
VBASE018.VDF : 7.11.71.197 172544 Bytes 11.04.2013 14:33:58
VBASE019.VDF : 7.11.72.17 135168 Bytes 12.04.2013 14:34:00
VBASE020.VDF : 7.11.72.18 2048 Bytes 12.04.2013 14:34:00
VBASE021.VDF : 7.11.72.19 2048 Bytes 12.04.2013 14:34:00
VBASE022.VDF : 7.11.72.20 2048 Bytes 12.04.2013 14:34:00
VBASE023.VDF : 7.11.72.21 2048 Bytes 12.04.2013 14:34:00
VBASE024.VDF : 7.11.72.22 2048 Bytes 12.04.2013 14:34:00
VBASE025.VDF : 7.11.72.23 2048 Bytes 12.04.2013 14:34:00
VBASE026.VDF : 7.11.72.24 2048 Bytes 12.04.2013 14:34:00
VBASE027.VDF : 7.11.72.25 2048 Bytes 12.04.2013 14:34:00
VBASE028.VDF : 7.11.72.26 2048 Bytes 12.04.2013 14:34:00
VBASE029.VDF : 7.11.72.27 2048 Bytes 12.04.2013 14:34:00
VBASE030.VDF : 7.11.72.28 2048 Bytes 12.04.2013 14:34:00
VBASE031.VDF : 7.11.72.100 156672 Bytes 14.04.2013 21:36:23
Engineversion : 8.2.12.26
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 21:57:59
AESCRIPT.DLL : 8.1.4.106 483709 Bytes 12.04.2013 14:34:06
AESCN.DLL : 8.1.10.4 131446 Bytes 26.03.2013 22:43:43
AESBX.DLL : 8.2.5.12 606578 Bytes 10.07.2012 21:57:59
AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 19:12:46
AEPACK.DLL : 8.3.2.6 827767 Bytes 02.04.2013 15:53:13
AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 17:14:56
AEHEUR.DLL : 8.1.4.286 5845369 Bytes 12.04.2013 14:34:03
AEHELP.DLL : 8.1.25.2 258423 Bytes 12.10.2012 17:41:04
AEGEN.DLL : 8.1.7.2 442741 Bytes 26.03.2013 22:43:43
AEEXP.DLL : 8.4.0.18 192886 Bytes 12.04.2013 14:34:06
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 21:57:57
AECORE.DLL : 8.1.31.2 201080 Bytes 22.02.2013 10:39:35
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 20:23:29
AVWINLL.DLL : 12.3.0.15 27344 Bytes 01.05.2012 22:59:21
AVPREF.DLL : 12.3.0.32 50720 Bytes 15.11.2012 01:00:29
AVREP.DLL : 12.3.0.15 179208 Bytes 01.05.2012 22:13:35
AVARKT.DLL : 12.3.0.33 209696 Bytes 15.11.2012 01:00:29
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 01.05.2012 22:28:49
SQLITE3.DLL : 3.7.0.1 398288 Bytes 16.04.2012 21:11:02
AVSMTP.DLL : 12.3.0.32 63480 Bytes 17.08.2012 15:47:34
NETNT.DLL : 12.3.0.15 17104 Bytes 01.05.2012 23:33:29
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 17.08.2012 15:47:26
RCTEXT.DLL : 12.3.0.32 98848 Bytes 15.11.2012 01:00:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Festplatten
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\alldiscs.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:, I:, J:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Dienstag, 16. April 2013 12:49

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'I:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'J:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'updrgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ipmGui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIGGE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1413' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\----\AppData\Local\Temp\~!#CD41.tmp
[FUND] Ist das Trojanische Pferd TR/Ransom.Foreign.awuq
C:\Users\----\AppData\Local\Temp\~!#D54D.tmp
[FUND] Ist das Trojanische Pferd TR/Buzus.HL.64
C:\Users\----\AppData\Roaming\skype.dat
[FUND] Ist das Trojanische Pferd TR/Ransom.Foreign.awuq
Beginne mit der Suche in 'E:\' <RECOVER>
Beginne mit der Suche in 'I:\' <BOOT>
Beginne mit der Suche in 'J:\' <System-reserviert>

Beginne mit der Desinfektion:
C:\Users\----\AppData\Roaming\skype.dat
[FUND] Ist das Trojanische Pferd TR/Ransom.Foreign.awuq
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '548f954f.qua' verschoben!
C:\Users\----\AppData\Local\Temp\~!#D54D.tmp
[FUND] Ist das Trojanische Pferd TR/Buzus.HL.64
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c6eba57.qua' verschoben!
C:\Users\----\AppData\Local\Temp\~!#CD41.tmp
[FUND] Ist das Trojanische Pferd TR/Ransom.Foreign.awuq
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1e31e0bf.qua' verschoben!


Ende des Suchlaufs: Dienstag, 16. April 2013 13:25
Benötigte Zeit: 34:27 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

19781 Verzeichnisse wurden überprüft
393710 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
393707 Dateien ohne Befall
3479 Archive wurden durchsucht
0 Warnungen
3 Hinweise


Dies ist Nr. 2 (Malwarebytes Anti-Malware):

Malwarebytes Anti-Malware (Test) 1.75.0.1300
Malwarebytes : Free anti-malware download

Datenbank Version: v2013.04.16.09

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421


Schutz: Aktiviert

16.04.2013 21:37:57
mbam-log-2013-04-16 (21-37-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|I:\|J:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 311384
Laufzeit: 44 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\$Recycle.Bin\S-1-5-21-3950097478-995871601-3625859196-1000\$be6ac247def913acb2488bfb7024c22d\n (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-3950097478-995871601-3625859196-1000\$be6ac247def913acb2488bfb7024c22d\U\00000001.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Ah ja, ZeroAccess..


Schritt 1

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button.
• Bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
• Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!



Schritt 2

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

• Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
• Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
• Schliesse bitte alle anderen Programme.
• Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Sollte sich ein Fenster mit folgender Warnung öffnen

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  dann klicke unbedingt auf No.
• Entferne rechts den Haken bei:
  • IAT/EAT
  • Show all
• Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
• Starte den Scan mit einem Klick auf Scan.
• Mache gar nichts am Computer, während der Scan läuft!
• Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
• Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
• Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Doppelklick auf die OTL.exe.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
• Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Gmer
• Logs von OTL

So,

der Neustart hat leider nicht funktioniert (und hinzugekommen ist, dass ich innerhalb bestimmter - aber nicht aller - Programme nicht ale Funktionen meiner Tastatur nutzen kann).

Hier die Ergebnisse:
Defogger:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 15:29 on 19/04/2013

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

Gmer:

GMER Logfile:
--- --- ---

OTL: - OTLOTL Logfile:
--- --- ---

- Extra:OTL Logfile:
--- --- ---

Ok, dann weiter:


Schritt 1

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.

• WICHTIG: Speichere Combofix auf deinen Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
• Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 2

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Combofix
• Log von OTL

Bei dem Neustart bekomme ich eine andere Fehlermeldung, die allerdings nur besagt, dass der Computer nach "unerwartetem Herunterfahren" wieder hochgefahren ist (und deshalb eventuell laufende Programme nicht ausgeführt werden konnten).

Combofix:

Combofix Logfile:
--- --- ---


OTL:OTL Logfile:
--- --- ---

Jep, gut gemacht. Hier der nächste Schritt:


Schritt 1

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinen Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Wenn eine Warnung "Registry value AppInit_Dlls has been found, .." erscheint, drücke Nein.
• Folge dann den Anweisungen, führe das Update aus und drücke dann Scan.

Falls Funde angezeigt werden:

• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während des Neustarts wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut und wiederhole den Scan.
• Sollte nochmals was gefunden werden, führe erneut den CleanUp-Prozess durch.

Das Tool wird im erstellten Ordner Logfiles (mbar-log-<Jahr-Monat-Tag>.txt) erzeugen. Bitte poste deren Inhalt hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers.



Bitte poste in deiner nächsten Antwort:

• Log von MBAR

Ich brauchte hierbei nur einen Durchlauf.

Malwarebytes Anti-Rootkit BETA 1.05.0.1001
www.malwarebytes.org

Database version: v2013.04.19.06

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421


19.04.2013 20:18:38
mbar-log-2013-04-19 (20-18-38).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 27870
Time elapsed: 6 minute(s), 54 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

Sieht gut aus.
Wie läuft der Rechner jetzt?

Ich befürchte das Problem besteht immernoch. Es hat sich nichts geändert.
(Das heißt, er hängt sich sowohl bei Nuestarts, als auch dem Ausführen von Programmen auf - inklusive des Problems mit der Tastatur.) :balla:

Schauen wir mal von ausserhalb rein:


Schritt 1

Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!).
Schliesse den USB Stick an den infizierten Rechner an.

Du musst das System nun in die System Reparatur Option booten:

Variante 1 - Über den Boot Manager

• Starte den Rechner neu auf.
• Während des Hochfahrens drücke mehrmals die F8 Taste.
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

oder

Variante 2 - Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und boote von der CD.
• Wähle die Spracheinstellungen und klicke Weiter.
• Klicke auf Computerreparaturoptionen.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.

• Gib nun bitte notepad ein und drücke Enter.
  • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Computer.
  • Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
  • Schliesse Notepad wieder.
• Gib nun bitte folgenden Befehl ein und drücke Enter:

  e:\frst.exe

  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
• Akzeptiere den Disclaimer mit Yes und klicke Scan.

Das Tool erstellt eine Datei FRST.txt auf deinem USB Stick. Poste dessen Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Log von FRST

Mh... also ich habe es mal mit Variante eins Versucht, doch ich komme beim Hochfahren dann ins Menu zu "Please select boot device", wo mir 4 USB-Varianten angezeigt werden. Bei dreien davon geht er über zum Hochfahren von Windows, deim 4. bekomme ich nur die Nachricht "missing boot devices".

(Ich fürchte Variante 2 steht mir im Moment nicht zur Verfügung. Da ich den Computer von jemandem übernommen habe, habe ich momentan keine Windows CD parat.)

EDIT: Ich muss den letzten Satz revidieren (habe sie doch noch gefunden). Sobald ich hier auf die CD / DVD Option im Boot Menü gehe, bekomme ich die Meldung, dass das System nicht ausgeführt werden kann (z.B. aufgrund von Softwareänderungen). Danach bekomme ich schließlich die Option zur Systemwiederherstellung.
Bei früheren Versuchen einer Wiederherstellung wurde diese durch die genannten Problem allerdings verhindert (daher weiß ich nicht, ob diese Option etwas nützen würde).

Du hast wohl die F8-Taste zu früh gedrückt. Wir wollen nicht vom USB-Stick booten sondern in die Reperaturoptionen. Wenn du die hast, dann sollte sie in den Optionen neben den abgesicherten Modi gelistet sein.

Wenn ich versuche F8 später zu drücken, passiert leider nichts. Er fährt einfach wie gewohnt hoch...

Wie startest du denn auf diesem Rechner in den abgesicherten Modus...?

Naja, bisher nur mit eingelegter CD über das Bootmenü oder eben automatisch nach einem Absturz.

Du kannst garantiert auch so in den abgesicherten Modus booten: http://www.trojaner-board.de/63335-w...s-starten.html
Schau, wie du zu dieser Startauswahl gelangst und dann, ob du dort die Reperaturoptionen gelistet hast.

ups. das hier war nur ein kleiner Fehler. Der Prozess läuft noch und bisher sieht es garnicht schlecht aus.

So, der Inhalt der Logdatei lautet wie folgt:

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 18-04-2013
Ran by SYSTEM at 19-04-2013 22:14:57
Running from F:\
Windows 7 Ultimate (X86) OS Language: German Standard
The current controlset is ControlSet001

==================== Registry (Whitelisted) ===================

HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [348664 2012-08-17] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59720 2013-01-28] (Apple Inc.)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [252848 2012-07-03] (Sun Microsystems, Inc.)
HKLM\...\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" [152392 2013-02-20] (Apple Inc.)
Tcpip\Parameters: [DhcpNameServer] 192.168.1.10 192.168.1.130

==================== Services (Whitelisted) ===================

2 AntiVirSchedulerService; "C:\Program Files\Avira\AntiVir Desktop\sched.exe" [86224 2012-05-02] (Avira Operations GmbH & Co. KG)
2 AntiVirService; "C:\Program Files\Avira\AntiVir Desktop\avguard.exe" [110032 2012-05-01] (Avira Operations GmbH & Co. KG)
2 MBAMScheduler; "C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe" [418376 2013-04-04] (Malwarebytes Corporation)
2 MBAMService; "C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe" [701512 2013-04-04] (Malwarebytes Corporation)
3 MozillaMaintenance; "C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe" [116120 2013-04-04] (Mozilla Foundation)
2 nvsvc; "C:\Windows\system32\nvvsvc.exe" [639776 2013-01-18] (NVIDIA Corporation)
2 nvUpdatusService; "C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe" [1260320 2013-02-25] (NVIDIA Corporation)
2 Stereo Service; "C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe" [383264 2013-01-18] (NVIDIA Corporation)

==================== Drivers (Whitelisted) ====================

2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [83392 2012-04-24] (Avira GmbH)
1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [137928 2012-04-27] (Avira GmbH)
1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [36000 2012-04-16] (Avira GmbH)
3 MBAMProtector; \??\C:\Windows\system32\drivers\mbam.sys [22856 2013-04-04] (Malwarebytes Corporation)
1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2010-06-17] (Avira GmbH)
3 tap0901; C:\Windows\System32\DRIVERS\tap0901.sys [26624 2011-12-15] (The OpenVPN Project)
3 catchme; \??\C:\Users\NANAXX~1\AppData\Local\Temp\catchme.sys [x]
3 Synth3dVsc; C:\Windows\System32\drivers\synth3dvsc.sys [x]
3 tsusbhub; C:\Windows\System32\drivers\tsusbhub.sys [x]
3 VGPU; C:\Windows\System32\drivers\rdvgkmd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-04-19 19:09 - 2013-04-19 19:18 - 00000000 ____D C:\Users\Nana xxxx\Desktop\mbar
2013-04-19 19:09 - 2013-04-19 19:09 - 12917756 ____A C:\Users\Nana xxxx\Desktop\mbar-1.05.0.1001.zip
2013-04-19 16:19 - 2013-04-19 16:19 - 00009012 ____A C:\ComboFix.txt
2013-04-19 16:11 - 2013-04-19 16:19 - 00000000 ____D C:\Qoobox
2013-04-19 16:11 - 2013-04-19 16:17 - 00000000 ____D C:\Windows\erdnt
2013-04-19 16:11 - 2011-06-26 07:45 - 00256000 ____A C:\Windows\PEV.exe
2013-04-19 16:11 - 2010-11-07 18:20 - 00208896 ____A C:\Windows\MBR.exe
2013-04-19 16:11 - 2009-04-20 05:56 - 00060416 ____A (NirSoft) C:\Windows\NIRCMD.exe
2013-04-19 16:11 - 2000-08-31 01:00 - 00518144 ____A (SteelWerX) C:\Windows\SWREG.exe
2013-04-19 16:11 - 2000-08-31 01:00 - 00406528 ____A (SteelWerX) C:\Windows\SWSC.exe
2013-04-19 16:11 - 2000-08-31 01:00 - 00098816 ____A C:\Windows\sed.exe
2013-04-19 16:11 - 2000-08-31 01:00 - 00080412 ____A C:\Windows\grep.exe
2013-04-19 16:11 - 2000-08-31 01:00 - 00068096 ____A C:\Windows\zip.exe
2013-04-19 16:07 - 2013-04-19 16:07 - 05056689 ____R (Swearware) C:\Users\Nana xxxx\Desktop\ComboFix.exe
2013-04-19 15:32 - 2013-04-19 15:32 - 00034358 ____A C:\Users\Nana xxxx\Desktop\Extras.Txt
2013-04-19 15:31 - 2013-04-19 16:27 - 00054026 ____A C:\Users\Nana xxxx\Desktop\OTL.Txt
2013-04-19 15:25 - 2013-04-19 15:25 - 00602112 ____A (OldTimer Tools) C:\Users\Nana xxxx\Desktop\OTL.exe
2013-04-19 15:20 - 2013-04-19 15:20 - 400639810 ____A C:\Windows\MEMORY.DMP
2013-04-19 15:20 - 2013-04-19 15:20 - 00505672 ____A C:\Windows\Minidump\041913-14227-01.dmp
2013-04-19 15:15 - 2013-04-19 15:15 - 00003367 ____A C:\Users\Nana xxxx\Desktop\gmer.txt
2013-04-19 14:32 - 2013-04-19 14:32 - 00377856 ____A C:\Users\Nana xxxx\Desktop\gmer_2.1.19163.exe
2013-04-19 14:29 - 2013-04-19 14:29 - 00050477 ____A C:\Users\Nana xxxx\Desktop\Defogger.exe
2013-04-19 14:29 - 2013-04-19 14:29 - 00000480 ____A C:\Users\Nana xxxx\Desktop\defogger_disable.log
2013-04-19 14:27 - 2013-04-19 14:27 - 00000000 ____A C:\Users\Nana xxxx\defogger_reenable
2013-04-17 22:09 - 2013-04-17 22:09 - 00001753 ____A C:\Users\Public\Desktop\iTunes.lnk
2013-04-17 22:08 - 2013-04-17 22:08 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-04-17 22:08 - 2013-04-17 22:08 - 00000000 ____D C:\Program Files\iTunes
2013-04-17 22:08 - 2013-04-17 22:08 - 00000000 ____D C:\Program Files\iPod
2013-04-17 22:08 - 2012-08-21 12:01 - 00026840 ____A (GEAR Software Inc.) C:\Windows\System32\Drivers\GEARAspiWDM.sys
2013-04-17 10:56 - 2013-04-17 10:56 - 00492072 ____A C:\Windows\Minidump\041713-16941-01.dmp
2013-04-17 09:25 - 2013-04-17 09:25 - 00156496 ____A C:\Windows\Minidump\041713-36660-01.dmp
2013-04-16 21:42 - 2013-04-16 21:42 - 00502568 ____A C:\Windows\Minidump\041613-14991-01.dmp
2013-04-16 21:28 - 2013-04-16 21:28 - 00491560 ____A C:\Windows\Minidump\041613-15085-01.dmp
2013-04-16 20:36 - 2013-04-16 20:36 - 00000000 ____D C:\Users\Nana xxxx\AppData\Roaming\Malwarebytes
2013-04-16 20:35 - 2013-04-16 20:35 - 00001067 ____A C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2013-04-16 20:35 - 2013-04-16 20:35 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-04-16 20:35 - 2013-04-16 20:35 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-04-16 20:35 - 2013-04-04 13:50 - 00022856 ____A (Malwarebytes Corporation) C:\Windows\System32\Drivers\mbam.sys
2013-04-16 13:21 - 2013-04-16 13:22 - 00501920 ____A C:\Windows\Minidump\041613-16473-01.dmp
2013-04-16 13:15 - 2013-04-16 13:15 - 00491984 ____A C:\Windows\Minidump\041613-19749-01.dmp
2013-04-14 23:04 - 2013-04-14 23:04 - 00502248 ____A C:\Windows\Minidump\041513-16005-01.dmp
2013-04-12 21:53 - 2013-04-12 21:53 - 00156336 ____A C:\Windows\Minidump\041213-19671-01.dmp
2013-04-12 21:48 - 2013-04-19 15:20 - 00000000 ____D C:\Windows\Minidump
2013-04-12 21:48 - 2013-04-17 22:26 - 00131072 ____N C:\Windows\Minidump\041713-34429-01.dmp
2013-04-12 21:48 - 2013-04-12 21:48 - 00495384 ____A C:\Windows\Minidump\041213-20358-01.dmp
2013-04-12 01:45 - 2013-02-22 04:46 - 01800704 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-04-12 01:45 - 2013-02-22 04:38 - 01129472 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-04-12 01:45 - 2013-02-22 04:36 - 00231936 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2013-04-12 01:45 - 2013-02-22 04:35 - 00065024 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-04-12 01:45 - 2013-02-22 04:34 - 00717824 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-04-12 01:45 - 2013-02-22 04:34 - 00420864 ____A (Microsoft Corporation) C:\Windows\System32\vbscript.dll
2013-04-12 01:45 - 2013-02-22 04:34 - 00142848 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2013-04-12 01:45 - 2013-02-22 04:33 - 00607744 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-04-12 01:45 - 2013-02-22 04:31 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-04-12 01:45 - 2013-02-22 04:31 - 00073216 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2013-04-12 01:45 - 2013-02-22 04:28 - 00176640 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-04-12 01:44 - 2013-02-22 05:05 - 12324352 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-04-12 01:44 - 2013-02-22 04:47 - 09738752 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-04-12 01:44 - 2013-02-22 04:38 - 01104384 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-04-12 01:44 - 2013-02-22 04:37 - 01427968 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2013-04-12 01:44 - 2013-02-22 04:32 - 01796096 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-04-11 15:43 - 2013-03-19 06:04 - 03968856 ____A (Microsoft Corporation) C:\Windows\System32\ntkrnlpa.exe
2013-04-11 15:43 - 2013-03-19 06:04 - 03913560 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2013-04-11 15:43 - 2013-03-01 04:09 - 02347008 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2013-04-11 15:43 - 2013-01-24 05:47 - 00196328 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\fvevol.sys
2013-04-11 15:42 - 2013-03-19 05:48 - 00038912 ____A (Microsoft Corporation) C:\Windows\System32\csrsrv.dll
2013-04-11 15:42 - 2013-03-19 03:49 - 00069632 ____A (Microsoft Corporation) C:\Windows\System32\smss.exe
2013-04-11 15:42 - 2013-03-02 06:07 - 01212264 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\ntfs.sys
2013-04-11 15:42 - 2013-02-15 05:37 - 03217408 ____A (Microsoft Corporation) C:\Windows\System32\mstscax.dll
2013-04-11 15:42 - 2013-02-15 05:34 - 00131584 ____A (Microsoft Corporation) C:\Windows\System32\aaclient.dll
2013-04-11 15:42 - 2013-02-15 04:25 - 00036864 ____A (Microsoft Corporation) C:\Windows\System32\tsgqec.dll
2013-04-04 17:16 - 2013-04-04 21:41 - 00000000 ____D C:\Program Files\Mozilla Thunderbird
2013-03-25 17:40 - 2012-08-22 18:16 - 00712048 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\ndis.sys
2013-03-25 17:40 - 2012-07-04 20:45 - 00033280 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\RNDISMP.sys
2013-03-25 17:39 - 2012-11-23 03:48 - 00049152 ____A (Microsoft Corporation) C:\Windows\System32\taskhost.exe
2013-03-25 17:39 - 2012-10-09 18:40 - 00193536 ____A (Microsoft Corporation) C:\Windows\System32\dhcpcore6.dll
2013-03-25 17:39 - 2012-10-09 18:40 - 00044032 ____A (Microsoft Corporation) C:\Windows\System32\dhcpcsvc6.dll
2013-03-25 17:39 - 2012-10-03 17:42 - 00242176 ____A (Microsoft Corporation) C:\Windows\System32\nlasvc.dll
2013-03-25 17:39 - 2012-10-03 17:42 - 00175104 ____A (Microsoft Corporation) C:\Windows\System32\netcorehc.dll
2013-03-25 17:39 - 2012-10-03 17:42 - 00156672 ____A (Microsoft Corporation) C:\Windows\System32\ncsi.dll
2013-03-25 17:39 - 2012-10-03 17:42 - 00052224 ____A (Microsoft Corporation) C:\Windows\System32\nlaapi.dll
2013-03-25 17:39 - 2012-10-03 17:42 - 00018944 ____A (Microsoft Corporation) C:\Windows\System32\netevent.dll
2013-03-25 17:39 - 2012-10-03 17:40 - 00499712 ____A (Microsoft Corporation) C:\Windows\System32\iphlpsvc.dll
2013-03-25 17:39 - 2012-10-03 16:21 - 00035328 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpipreg.sys
2013-03-25 17:39 - 2012-08-21 21:12 - 00245760 ____A (Microsoft Corporation) C:\Windows\System32\OxpsConverter.exe
2013-03-24 16:36 - 2013-03-24 19:57 - 00031005 ____H C:\Users\Nana xxxx\Desktop\~WRL0003.tmp
2013-03-20 11:48 - 2011-01-17 06:47 - 00161792 ____A (Microsoft Corporation) C:\Windows\System32\d3d10_1.dll
2013-03-20 00:59 - 2013-03-20 00:59 - 00000000 ____D C:\Windows\System32\SPReview
2013-03-20 00:58 - 2013-03-20 00:58 - 00000000 ____D C:\Windows\System32\EventProviders


==================== One Month Modified Files and Folders ========

2013-04-19 22:14 - 2013-04-19 22:14 - 00000000 ____D C:\FRST
2013-04-19 21:33 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\LogFiles
2013-04-19 21:01 - 2012-07-10 21:31 - 01122125 ____A C:\Windows\WindowsUpdate.log
2013-04-19 20:50 - 2009-07-14 05:34 - 00014592 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-04-19 20:50 - 2009-07-14 05:34 - 00014592 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-04-19 20:47 - 2012-07-10 21:43 - 01498506 ____A C:\Windows\System32\PerfStringBackup.INI
2013-04-19 20:43 - 2012-09-09 18:54 - 00000000 ____D C:\ProgramData\NVIDIA
2013-04-19 20:43 - 2009-07-14 05:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-04-19 20:43 - 2009-07-14 05:39 - 00055284 ____A C:\Windows\setupact.log
2013-04-19 20:20 - 2013-02-13 10:32 - 00000000 ____D C:\Users\Nana xxxx\Desktop\Pulp Fiction
2013-04-19 19:18 - 2013-04-19 19:09 - 00000000 ____D C:\Users\Nana xxxx\Desktop\mbar
2013-04-19 19:09 - 2013-04-19 19:09 - 12917756 ____A C:\Users\Nana xxxx\Desktop\mbar-1.05.0.1001.zip
2013-04-19 19:02 - 2012-07-11 09:32 - 00117400 ____A C:\Windows\PFRO.log
2013-04-19 16:27 - 2013-04-19 15:31 - 00054026 ____A C:\Users\Nana xxxx\Desktop\OTL.Txt
2013-04-19 16:19 - 2013-04-19 16:19 - 00009012 ____A C:\ComboFix.txt
2013-04-19 16:19 - 2013-04-19 16:11 - 00000000 ____D C:\Qoobox
2013-04-19 16:19 - 2009-07-14 03:37 - 00000000 __RHD C:\users\Default
2013-04-19 16:19 - 2009-07-14 03:37 - 00000000 ___RD C:\users\Public
2013-04-19 16:17 - 2013-04-19 16:11 - 00000000 ____D C:\Windows\erdnt
2013-04-19 16:17 - 2009-07-14 03:04 - 00000215 ____A C:\Windows\system.ini
2013-04-19 16:07 - 2013-04-19 16:07 - 05056689 ____R (Swearware) C:\Users\Nana xxxx\Desktop\ComboFix.exe
2013-04-19 15:32 - 2013-04-19 15:32 - 00034358 ____A C:\Users\Nana xxxx\Desktop\Extras.Txt
2013-04-19 15:25 - 2013-04-19 15:25 - 00602112 ____A (OldTimer Tools) C:\Users\Nana xxxx\Desktop\OTL.exe
2013-04-19 15:20 - 2013-04-19 15:20 - 400639810 ____A C:\Windows\MEMORY.DMP
2013-04-19 15:20 - 2013-04-19 15:20 - 00505672 ____A C:\Windows\Minidump\041913-14227-01.dmp
2013-04-19 15:20 - 2013-04-12 21:48 - 00000000 ____D C:\Windows\Minidump
2013-04-19 15:15 - 2013-04-19 15:15 - 00003367 ____A C:\Users\Nana xxxx\Desktop\gmer.txt
2013-04-19 14:32 - 2013-04-19 14:32 - 00377856 ____A C:\Users\Nana xxxx\Desktop\gmer_2.1.19163.exe
2013-04-19 14:29 - 2013-04-19 14:29 - 00050477 ____A C:\Users\Nana xxxx\Desktop\Defogger.exe
2013-04-19 14:29 - 2013-04-19 14:29 - 00000480 ____A C:\Users\Nana xxxx\Desktop\defogger_disable.log
2013-04-19 14:27 - 2013-04-19 14:27 - 00000000 ____A C:\Users\Nana xxxx\defogger_reenable
2013-04-19 14:27 - 2012-07-10 23:20 - 00000000 ____D C:\Program Files\Opera
2013-04-19 14:27 - 2012-07-10 21:42 - 00000000 ____D C:\users\Nana xxxx
2013-04-17 22:26 - 2013-04-12 21:48 - 00131072 ____N C:\Windows\Minidump\041713-34429-01.dmp
2013-04-17 22:09 - 2013-04-17 22:09 - 00001753 ____A C:\Users\Public\Desktop\iTunes.lnk
2013-04-17 22:08 - 2013-04-17 22:08 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-04-17 22:08 - 2013-04-17 22:08 - 00000000 ____D C:\Program Files\iTunes
2013-04-17 22:08 - 2013-04-17 22:08 - 00000000 ____D C:\Program Files\iPod
2013-04-17 22:08 - 2012-07-11 21:22 - 00000000 ____D C:\Program Files\Common Files\Apple
2013-04-17 22:07 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\DriverStore
2013-04-17 10:56 - 2013-04-17 10:56 - 00492072 ____A C:\Windows\Minidump\041713-16941-01.dmp
2013-04-17 10:56 - 2009-07-14 05:52 - 00000000 ____D C:\Windows\addins
2013-04-17 09:25 - 2013-04-17 09:25 - 00156496 ____A C:\Windows\Minidump\041713-36660-01.dmp
2013-04-16 21:42 - 2013-04-16 21:42 - 00502568 ____A C:\Windows\Minidump\041613-14991-01.dmp
2013-04-16 21:28 - 2013-04-16 21:28 - 00491560 ____A C:\Windows\Minidump\041613-15085-01.dmp
2013-04-16 20:36 - 2013-04-16 20:36 - 00000000 ____D C:\Users\Nana xxxx\AppData\Roaming\Malwarebytes
2013-04-16 20:35 - 2013-04-16 20:35 - 00001067 ____A C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
2013-04-16 20:35 - 2013-04-16 20:35 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-04-16 20:35 - 2013-04-16 20:35 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-04-16 13:22 - 2013-04-16 13:21 - 00501920 ____A C:\Windows\Minidump\041613-16473-01.dmp
2013-04-16 13:15 - 2013-04-16 13:15 - 00491984 ____A C:\Windows\Minidump\041613-19749-01.dmp
2013-04-14 23:04 - 2013-04-14 23:04 - 00502248 ____A C:\Windows\Minidump\041513-16005-01.dmp
2013-04-12 21:53 - 2013-04-12 21:53 - 00156336 ____A C:\Windows\Minidump\041213-19671-01.dmp
2013-04-12 21:48 - 2013-04-12 21:48 - 00495384 ____A C:\Windows\Minidump\041213-20358-01.dmp
2013-04-12 19:21 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\LiveKernelReports
2013-04-12 17:22 - 2012-09-09 18:52 - 00000000 ____D C:\Program Files\NVIDIA Corporation
2013-04-12 16:41 - 2013-01-24 17:52 - 00000000 ____D C:\Users\Nana xxxx\AppData\Roaming\vlc
2013-04-12 10:37 - 2009-07-14 05:33 - 00342816 ____A C:\Windows\System32\FNTCACHE.DAT
2013-04-12 01:46 - 2012-07-11 17:39 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-04-05 07:23 - 2012-10-16 08:33 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-04-04 21:41 - 2013-04-04 17:16 - 00000000 ____D C:\Program Files\Mozilla Thunderbird
2013-04-04 13:50 - 2013-04-16 20:35 - 00022856 ____A (Malwarebytes Corporation) C:\Windows\System32\Drivers\mbam.sys
2013-03-28 17:05 - 2009-07-14 05:53 - 00032632 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-03-27 20:38 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\rescache
2013-03-26 10:33 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-03-26 10:21 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\de-DE
2013-03-25 16:08 - 2009-07-14 09:56 - 00000000 ___RD C:\Users\Public\Recorded TV
2013-03-25 16:08 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\wfp
2013-03-25 16:08 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\registration
2013-03-25 16:08 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\AppCompat
2013-03-25 16:07 - 2013-03-17 11:47 - 00000000 ____D C:\Users\Nana xxxx\Documents\Citavi 3
2013-03-24 19:57 - 2013-03-24 16:36 - 00031005 ____H C:\Users\Nana xxxx\Desktop\~WRL0003.tmp
2013-03-20 11:23 - 2009-07-14 09:56 - 00000000 ____D C:\Program Files\Windows Journal
2013-03-20 11:23 - 2009-07-14 09:47 - 00000000 ____D C:\Windows\de-DE
2013-03-20 11:23 - 2009-07-14 05:52 - 00000000 ____D C:\Program Files\Windows Sidebar
2013-03-20 11:23 - 2009-07-14 05:52 - 00000000 ____D C:\Program Files\Windows Portable Devices
2013-03-20 11:23 - 2009-07-14 05:52 - 00000000 ____D C:\Program Files\Windows Photo Viewer
2013-03-20 11:23 - 2009-07-14 05:52 - 00000000 ____D C:\Program Files\Windows Defender
2013-03-20 11:23 - 2009-07-14 05:52 - 00000000 ____D C:\Program Files\DVD Maker
2013-03-20 11:23 - 2009-07-14 03:37 - 00000000 ____D C:\Program Files\Common Files\System
2013-03-20 11:22 - 2009-07-14 09:56 - 00000000 __SHD C:\Windows\BitLockerDiscoveryVolumeContents
2013-03-20 11:22 - 2009-07-14 09:47 - 00000000 ____D C:\Windows\System32\Drivers\de-DE
2013-03-20 11:22 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\AdvancedInstallers
2013-03-20 01:06 - 2009-07-14 03:05 - 00152576 ____A (Microsoft Corporation) C:\Windows\System32\msclmd.dll
2013-03-20 00:59 - 2013-03-20 00:59 - 00000000 ____D C:\Windows\System32\SPReview
2013-03-20 00:58 - 2013-03-20 00:58 - 00000000 ____D C:\Windows\System32\EventProviders

==================== Known DLLs (Whitelisted) =================


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points =========================

Restore point made on: 2013-03-26 01:29:09
Restore point made on: 2013-04-02 17:44:37
Restore point made on: 2013-04-10 16:31:51
Restore point made on: 2013-04-12 01:44:42
Restore point made on: 2013-04-12 17:17:32
Restore point made on: 2013-04-12 22:04:34
Restore point made on: 2013-04-12 22:21:39
Restore point made on: 2013-04-14 22:59:33
Restore point made on: 2013-04-16 11:48:27
Restore point made on: 2013-04-16 12:19:39
Restore point made on: 2013-04-16 12:57:34
Restore point made on: 2013-04-17 21:52:28
Restore point made on: 2013-04-17 22:07:45
Restore point made on: 2013-04-18 08:19:19
Restore point made on: 2013-04-18 08:24:15
Restore point made on: 2013-04-19 16:12:09

==================== Memory info ===========================

Percentage of memory in use: 14%
Total physical RAM: 3071.3 MB
Available physical RAM: 2612.04 MB
Total Pagefile: 3069.58 MB
Available Pagefile: 2608.55 MB
Total Virtual: 2047.88 MB
Available Virtual: 1962.3 MB

==================== Partitions =============================

1 Drive c: () (Fixed) (Total:465.66 GB) (Free:410.66 GB) NTFS
3 Drive f: () (Removable) (Total:3.6 GB) (Free:3.6 GB) FAT32
7 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
8 Drive y: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

Datentr„ger ### Status Gr”áe Frei Dyn GPT
--------------- ------------- ------- ------- --- ---
Datentr„ger 0 Online 465 GB 0 B
Datentr„ger 1 Online 3700 MB 0 B
Datentr„ger 2 Kein Medium 0 B 0 B
Datentr„ger 3 Kein Medium 0 B 0 B
Datentr„ger 4 Kein Medium 0 B 0 B

Partitions of Disk 0:
===============

Datentr„ger-ID: 6B961D96

Partition ### Typ GrӇe Offset
------------- ---------------- ------- -------
Partition 1 Prim„r 100 MB 1024 KB
Partition 2 Prim„r 465 GB 101 MB

=========================================================

Disk: 0
Partition 1
Typ : 07
Versteckt: Nein
Aktiv : Ja

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 1 Y System-rese NTFS Partition 100 MB Fehlerfre

=========================================================

Disk: 0
Partition 2
Typ : 07
Versteckt: Nein
Aktiv : Nein

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 2 C NTFS Partition 465 GB Fehlerfre

=========================================================

Partitions of Disk 1:
===============

Datentr„ger-ID: C3072E18

Partition ### Typ GrӇe Offset
------------- ---------------- ------- -------
Partition 1 Prim„r 3695 MB 4924 KB

=========================================================

Disk: 1
Partition 1
Typ : 0B
Versteckt: Nein
Aktiv : Ja

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 3 F FAT32 Wechselmed 3695 MB Fehlerfre

=========================================================
============================== MBR Partition Table ==================

==============================
Partitions of Disk 0:
===============
Disk ID: 6B961D96

Partition 1:
=========
Hex: 8020210007DF130C0008000000200300
Active: YES
Type: 07 (NTFS)
Size: 100 MB

Partition 2:
=========
Hex: 00DF140C07FEFFFF002803000030353A
Active: NO
Type: 07 (NTFS)
Size: 466 GB

==============================
Partitions of Disk 1:
===============
Disk ID: C3072E18

Partition 1:
=========
Hex: 800101000B7FD7AB7826000088797300
Active: YES
Type: 0B
Size: 4 GB


Last Boot: 2013-04-16 14:45

==================== End Of Log =================

Ich seh da im FRST-Log keine Anzeichen für Malware..
Machen wir noch eine Kontrolle und dann können wir auch andere Möglichkeiten ins Auge fassen.


Schritt 1

• Starte bitte die OTL.exe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

• Schliesse nun bitte alle anderen Programme.
• Klicke jetzt auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Schritt 2

• Öffne das Programm Malwarebytes Anti-Malware.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke auf Aktualisierung --> Suche nach Aktualisierung.
• Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
• Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.

Schritt 3

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.

• Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
• Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
  (Danach nicht vergessen, sie wieder einzuschalten.)
• Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
• Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
• Warte bis die Komponenten heruntergeladen sind.
• Setze den Haken bei Scan archives.
• Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
• Drücke dann auf Start.
• Die Signaturen werden heruntergeladen und der Scan startet automatisch.
  Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
• Falls nach Beendigung des Scans Funde angezeigt werden, dann:
  • Drücke auf List of found threats.
  • Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
  • Drücke danach auf << Back.
• Schliesse nun den Scanner mit einem Klick auf Finish.

Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.



Schritt 4

Downloade dir bitte SecurityCheck (Link 1, Link 2).

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Fixlog von OTL
• Log von MBAM
• Log von ESET
• Log von SecurityCheck

Es hat etwas gedauert, aber nun hier die Ergebnisse:

OLT:

All processes killed
Error: Unable to interpret <:OTL IE - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.babylon.com/?affID=111304&tt=3512_4&babsrc=HP_ss&mntrId=4af902bd000000000000000000000000 IE - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = hxxp://search.babylon.com/?q={searchTerms}&affID=111304&tt=3512_4&babsrc=SP_ss&mntrId=4af902bd000000000000000000000000 :commands [emptytemp] > in the current context!

OTL by OldTimer - Version 3.2.69.0 log created on 04192013_232320

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...




Malwarebytes:

Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.04.19.08

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Nana xxxx :: NANAXXXX-PC [Administrator]

Schutz: Deaktiviert

19.04.2013 23:32:08
mbam-log-2013-04-19 (23-32-08).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 225095
Laufzeit: 5 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


ESET:

Es wurde nichts gefunden.


Security Check:

Results of screen317's Security Check version 0.99.62
Windows 7 Service Pack 1 x86 (UAC is enabled)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
Avira Desktop
Antivirus out of date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.75.0.1300
Java 7 Update 7
Java version out of Date!
Adobe Flash Player 11.5.502.110
Mozilla Thunderbird (17.0.5)
````````Process Check: objlist.exe by Laurent````````
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
Malwarebytes' Anti-Malware mbamscheduler.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

Hey,

der OTL-Fix (Schritt 1) hat nicht geklappt. Wiederhole diesen bitte und achte darauf, dass der Text, welchen du in die Textbox eingefügt ist, genau so formatiert ist und nicht die Zeilenumbrüche verloren gehen.

Dazu:


Schritt 1

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können.

Die aktuelle Version ist Java 7 Update 21.

• Gehe zu

  Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)
  Start --> Systemsteuerung --> Software (bei Win XP)

  und deinstalliere alle älteren Java-Versionen.

In wenigen Fällen wird Java wirklich benötigt. Auch werden immer wieder neue, noch nicht geschlossene Sicherheitslücken ausgenutzt.
Überleg dir also, ob du eine Java-Installation wirklich brauchst.
Falls du Java weiterhin verwenden möchtest, dann:

• Lade dir die neueste Java-Version herunter.
• Schliesse alle laufenden Programme, speziell den Browser.
• Starte die heruntergeladene jxpiinstall.exe und folge den Anweisungen.
• Entferne während der Installation den Haken bei "Installieren Sie die Ask-Toolbar ...".

Schritt 2

Dein Flashplayer ist veraltet. Installiere folgendermassen die aktuelle Version:

• Besuche diese Seite von Adobe.
• Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
• Drücke auf Jetzt herunterladen und installiere die neuste Version.

Überprüfe dann mit diesem Plugin-Check, ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.

Ich habe mich dazu entschlossen, Java vorerst nicht zu nutzen (sollte es doch benötigt werden kann ich es immer noch installieren). Mein Flashplayer ist jetzt auf dem neuesten Stand.

Zum OTL-Fix:
Ich bin gerade dabei ihn noch einmal durchzuführen, allerdings klappt immernoch kein Neustart. . . Die neue Logdatei sieht wie folgt aus:

All processes killed
========== OTL ==========
HKU\S-1-5-21-3950097478-995871601-3625859196-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-3950097478-995871601-3625859196-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Nana xxxx
->Temp folder emptied: 735529 bytes
->Temporary Internet Files folder emptied: 21457225 bytes
->Java cache emptied: 504899 bytes
->Opera cache emptied: 52979231 bytes
->Flash cache emptied: 2810 bytes

User: Public
->Temp folder emptied: 0 bytes

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 72,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 04202013_005203

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Ok, und jetzt ist der Zustand des Systems unverändert schlecht?

Dann versuch mal das:


Downloade dir bitte Windows Repair (all in one) und entpacke das Archiv auf den Desktop.

• Starte nun die darin enthaltene Repair_Windows.exe.
• Wähle den Reiter Step 2 (optional) und drücke auf Do It. Der Rechner wird neu gestartet.
• Öffne das Programm erneut und klicke im Reiter Step 3 (optional) ebenfalls auf Do It. Starte danach den Rechner neu.
• Im Reiter Step 4 (optional) drücke dann unter System Restore auf Create.
• Danach drücke im Reiter Start Repairs auf Start.
• Klicke auf Select All, setze den Haken bei Restart/Shutdown System When Finished und wähle die Option Restart System.
• Deaktiviere temporär dein Antivirenprogramm und drücke auf Start.

So, bin nun damit durch.
Die ersten beiden Neustarts haben mal wieder nicht funktioniert.
Nach dem letzten Schritt dachte ich das Problem sei tatsächlich behoben (dort hat er auch zum ersten Mal wieder einen vernünftigen Neustart gemacht), doch leider besteht es immernoch.

Ich seh bei dir keine Malware mehr im Moment.. (Das muss natürlich nichts bedeuten!)
Hast du schon in eine andere Richtung geschaut, was die Probleme sonst noch verursachen könnte?

Zum Beispiel?

Mir wurde schon gesagt ich solle mal das Innenleben untersuchen, allerdings ist dort auch nichts zu finden und es sieht alles so aus, wie es sollte.
Ich hatte vor circa einem Jahr Probleme mit meiner Festplatte. Diese befindet sich noch im Computer, ist allerdings auch nicht mehr angeschlossen.