Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   GVU-Trojaner Win7 32Bit (Abgesicherter Modus geht nicht) (https://www.trojaner-board.de/136312-gvu-trojaner-win7-32bit-abgesicherter-modus-geht.html)

nwa1994 10.06.2013 14:53

GVU-Trojaner Win7 32Bit (Abgesicherter Modus geht nicht)
 
Guten Tag zusammen,
Habe mir gestern Nacht den bekannten GVU Trojaner auf meinen PC geholt, und habe versucht in den abgesicherten Modus zu gehen,was dann nicht ging. Nach ein wenig Recherche,habe ich im Forum, die "FRST" Methode entdeckt und ausgeführt,aber wenn ich den PC wieder ganz normal starte,öffnet sich wieder der GVU Hinweis. Weiß nicht mehr weiter und bitte um Hilfe.
Mit freundlichen Grüßen :)

aharonov 10.06.2013 15:01

Hi,

Zitat:

Nach ein wenig Recherche,habe ich im Forum, die "FRST" Methode entdeckt
Da hast du wohl etwas falsch verstanden... Es gibt keine vollautomatische "FRST" Methode, die das Ding entfernt, da muss man manuell fixen. Zeig mir mal dieses Log von FRST:


Schritt 1

Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!).
Schliesse den USB Stick an den infizierten Rechner an.

Du musst das System nun in die System Reparatur Option booten:
Variante 1 - Über den Boot Manager
  • Starte den Rechner neu auf.
  • Während des Hochfahrens drücke mehrmals die F8 Taste.
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

oder

Variante 2 - Mit Windows CD/DVD
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu auf und boote von der CD.
  • Wähle die Spracheinstellungen und klicke Weiter.
  • Klicke auf Computerreparaturoptionen.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.
  • Gib nun bitte notepad ein und drücke Enter.
    • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Computer.
    • Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
    • Schliesse Notepad wieder.
  • Gib nun bitte folgenden Befehl ein und drücke Enter:
    e:\frst.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
  • Akzeptiere den Disclaimer mit Yes und klicke Scan.
Das Tool erstellt eine Datei FRST.txt auf deinem USB Stick. Poste dessen Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:
  • Log von FRST

nwa1994 10.06.2013 15:09

Danke für die rasche Antwort :)

Code:

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 09-06-2013
Ran by SYSTEM on 10-06-2013 15:26:13
Running from G:\
Windows 7 Ultimate Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [NBAgent] "C:\Program Files\Nero\Nero 10\Nero BackItUp\NBAgent.exe" /WinStart [1234216 2010-03-26] (Nero AG)
HKLM\...\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s [10029672 2011-03-28] (Realtek Semiconductor)
HKLM\...\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [35736 2011-01-30] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [932288 2010-11-10] (Adobe Systems Incorporated)
HKLM\...\Run: [PLFSetI] C:\Windows\PLFSetI.exe [200704 2009-11-20] ()
HKLM\...\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW [1259376 2011-07-29] ()
HKLM\...\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59280 2012-10-11] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" [421736 2012-01-16] (Apple Inc.)
HKLM\...\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray [462920 2012-07-03] (Malwarebytes Corporation)
HKLM\...\Run: [EPSON Stylus DX3800 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /F "C:\Windows\TEMP\E_SC403.tmp" /EF "HKLM" [x]
HKLM\...\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime [421888 2012-10-25] (Apple Inc.)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [252848 2012-07-03] (Sun Microsystems, Inc.)
HKU\Luxshan\...\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun [ 2011-01-20] (DT Soft Ltd)
HKU\Luxshan\...\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [x]
HKU\Luxshan\...\Run: [Adobe Reader Synchronizer] "C:\Program Files\Adobe\Reader 10.0\Reader\AdobeCollabSync.exe" [x]
HKU\Luxshan\...\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun [ 2013-03-01] (Skype Technologies S.A.)
HKU\Luxshan\...\Run: [icq] C:\Users\Luxshan\AppData\Roaming\ICQM\icq.exe -CU [ 2013-05-05] (ICQ)
HKU\Luxshan\...\Run: [SD2014] C:\Users\Luxshan\AppData\Roaming\49idiNhd\49idiNhd.exe [x]
HKU\Luxshan\...\Run: [Google Update] "C:\Users\Luxshan\AppData\Local\Google\Update\GoogleUpdate.exe" /c [ 2013-06-02] (Google Inc.)
HKU\Luxshan\...\Run: [AtrosWiF] C:\Users\Luxshan\AppData\Roaming\AtrosWiFi\AtrosWiF.exe [ 2013-06-09] (Instruments)
HKU\Luxshan\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Users\Luxshan\AppData\Local\Temp\b34btbztdb2vavaw.exe [ 2013-06-09] (Adobe Systems Incorporated)
HKU\Luxshan\...\Run: [Sony Audio Tuner] "C:\ProgramData\Sony Smart Blaster0\safpdndnn.exe" [x]
HKU\Luxshan\...\Winlogon: [Shell] cmd.exe [ 2010-11-20] (Microsoft Corporation) <==== ATTENTION
HKU\Luxshan\...\Command Processor: "C:\Users\Luxshan\AppData\Local\Temp\b34btbztdb2vavaw.exe"
HKU\UpdatusUser\...\Run: [ctfmon.exe] C:\Windows\system32\rundll32.exe C:\PROGRA~2\craandfodo.dat,StartAs [ 2009-07-14] (Microsoft Corporation)
Startup: C:\Users\Luxshan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk
ShortcutTarget: OpenOffice.org 3.4.1.lnk -> C:\Program Files\program\quickstart.exe ()
Startup: C:\Users\Luxshan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Product Registration.lnk
ShortcutTarget: Product Registration.lnk ->  (No File)
Startup: C:\Users\Luxshan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\setup_9.0.0.722_16.10.2012_06-06.lnk
ShortcutTarget: setup_9.0.0.722_16.10.2012_06-06.lnk -> C:\windows\system32\config\systemprofile\Desktop\DE-Cleaner powered by Kaspersky\setup_9.0.0.722_16.10.2012_06-06\startup.exe (No File)

========================== Services (Whitelisted) =================

S2 MBAMService; C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe [655944 2012-07-03] (Malwarebytes Corporation)
S2 NAUpdate; C:\Program Files\Nero\Update\NASvc.exe [490280 2010-03-25] (Nero AG)
S2 NIS; C:\Program Files\Norton Internet Security\Engine\18.6.0.29\diMaster.dll [262584 2011-04-01] (Symantec Corporation)
S2 nvUpdatusService; C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2218600 2011-04-08] (NVIDIA Corporation)
S2 SENS; C:\PROGRA~2\craandfodo.dat [x]

==================== Drivers (Whitelisted) ====================

S1 25572341; C:\Windows\System32\DRIVERS\25572341.sys [128016 2009-09-25] (Kaspersky Lab)
S0 25572342; C:\Windows\System32\DRIVERS\25572342.sys [37392 2009-10-22] (Kaspersky Lab)
S1 BHDrvx86; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\Definitions\BASHDefs\20111114.002\BHDrvx86.sys [819320 2011-11-14] (Symantec Corporation)
S1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [218688 2011-04-25] (DT Soft Ltd)
S1 eeCtrl; C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys [374392 2011-11-09] (Symantec Corporation)
S3 EraserUtilRebootDrv; C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [106104 2011-11-09] (Symantec Corporation)
S1 IDSVix86; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\Definitions\IPSDefs\20111118.030\IDSvix86.sys [368248 2011-10-12] (Symantec Corporation)
S3 L1E; C:\Windows\System32\DRIVERS\L1E62x86.sys [47104 2009-07-13] (Atheros Communications, Inc.)
S3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [22344 2012-07-03] (Malwarebytes Corporation)
S3 NAVENG; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\Definitions\VirusDefs\20111118.035\NAVENG.SYS [86136 2011-11-04] (Symantec Corporation)
S3 NAVEX15; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\Definitions\VirusDefs\20111118.035\NAVEX15.SYS [1576312 2011-11-04] (Symantec Corporation)
S1 setup_9.0.0.722_16.10.2012_06-06drv; C:\Windows\System32\DRIVERS\2557234.sys [311312 2009-10-09] (Kaspersky Lab)
S3 SRTSP; C:\Windows\System32\Drivers\NIS\1206000.01D\SRTSP.SYS [516216 2011-03-31] (Symantec Corporation)
S1 SRTSPX; C:\Windows\system32\drivers\NIS\1206000.01D\SRTSPX.SYS [50168 2011-03-31] (Symantec Corporation)
S0 SymDS; C:\Windows\System32\drivers\NIS\1206000.01D\SYMDS.SYS [340088 2011-01-27] (Symantec Corporation)
S0 SymEFA; C:\Windows\System32\drivers\NIS\1206000.01D\SYMEFA.SYS [744568 2011-03-15] (Symantec Corporation)
S3 SymEvent; C:\Windows\system32\Drivers\SYMEVENT.SYS [126584 2011-10-13] (Symantec Corporation)
S1 SymIRON; C:\Windows\system32\drivers\NIS\1206000.01D\Ironx86.SYS [136312 2011-01-27] (Symantec Corporation)
S1 SymNetS; C:\Windows\System32\Drivers\NIS\1206000.01D\SYMNETS.SYS [296568 2011-03-22] (Symantec Corporation)
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
S3 VGPU; System32\drivers\rdvgkmd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-06-10 15:26 - 2013-06-10 15:26 - 00000000 ____D C:\FRST
2013-06-09 22:52 - 2013-06-10 13:26 - 00000224 ____A C:\Windows\setupact.log
2013-06-09 22:52 - 2013-06-09 22:52 - 00000000 ____A C:\Windows\setuperr.log
2013-06-09 22:46 - 2013-06-09 22:46 - 00931110 ____A C:\Users\Luxshan\AppData\Local\2433f433
2013-06-09 22:46 - 2013-06-09 22:46 - 00931094 ____A C:\ProgramData\2433f433
2013-06-09 22:46 - 2013-06-09 22:46 - 00931089 ____A C:\Users\Luxshan\AppData\Roaming\2433f433
2013-06-09 22:46 - 2013-06-09 22:46 - 00000000 __SHD C:\ProgramData\Sony Smart Blaster0
2013-06-09 22:46 - 2013-06-09 22:46 - 00000000 ____D C:\Users\Luxshan\AppData\Roaming\AtrosWiFi
2013-06-05 20:53 - 2013-06-05 21:23 - 00000000 ____D C:\Users\Luxshan\AppData\Roaming\49idiNhd
2013-06-02 22:30 - 2013-06-09 22:40 - 00001128 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2211236486-4210627768-2744985528-1001UA.job
2013-06-02 22:30 - 2013-06-09 22:40 - 00001076 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2211236486-4210627768-2744985528-1001Core.job
2013-06-02 22:29 - 2013-06-02 22:29 - 00739856 ____A (Google Inc.) C:\Users\Luxshan\AppData\Roaming\chromebrowser.exe
2013-06-02 22:29 - 2013-06-02 22:29 - 00000000 _RSHD C:\Users\Luxshan\AppData\Roaming\Taaajjo
2013-05-25 19:45 - 2013-06-05 21:41 - 00000000 ____D C:\Windows\E89498D814304A2BA76A4A71326981E9.TMP
2013-05-24 14:22 - 2013-05-24 14:22 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-05-16 17:24 - 2013-05-16 17:24 - 00000081 ____A C:\Users\Luxshan\AppData\Roaming\mbam.context.scan

==================== One Month Modified Files and Folders ========

2013-06-10 15:26 - 2013-06-10 15:26 - 00000000 ____D C:\FRST
2013-06-10 13:28 - 2009-07-14 05:34 - 00023680 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-06-10 13:28 - 2009-07-14 05:34 - 00023680 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-06-10 13:26 - 2013-06-09 22:52 - 00000224 ____A C:\Windows\setupact.log
2013-06-10 13:26 - 2011-05-20 19:59 - 00000308 __ASH C:\Windows\Tasks\HUDJIPQX.job
2013-06-10 13:26 - 2009-07-14 05:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-06-09 22:52 - 2013-06-09 22:52 - 00000000 ____A C:\Windows\setuperr.log
2013-06-09 22:47 - 2013-01-17 18:58 - 00329197 ____A C:\Windows\WindowsUpdate.log
2013-06-09 22:46 - 2013-06-09 22:46 - 00931110 ____A C:\Users\Luxshan\AppData\Local\2433f433
2013-06-09 22:46 - 2013-06-09 22:46 - 00931094 ____A C:\ProgramData\2433f433
2013-06-09 22:46 - 2013-06-09 22:46 - 00931089 ____A C:\Users\Luxshan\AppData\Roaming\2433f433
2013-06-09 22:46 - 2013-06-09 22:46 - 00000000 __SHD C:\ProgramData\Sony Smart Blaster0
2013-06-09 22:46 - 2013-06-09 22:46 - 00000000 ____D C:\Users\Luxshan\AppData\Roaming\AtrosWiFi
2013-06-09 22:40 - 2013-06-02 22:30 - 00001128 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2211236486-4210627768-2744985528-1001UA.job
2013-06-09 22:40 - 2013-06-02 22:30 - 00001076 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2211236486-4210627768-2744985528-1001Core.job
2013-06-08 19:17 - 2011-05-29 14:53 - 00000000 ____D C:\Users\Luxshan\AppData\Local\CrashDumps
2013-06-05 21:41 - 2013-05-25 19:45 - 00000000 ____D C:\Windows\E89498D814304A2BA76A4A71326981E9.TMP
2013-06-05 21:34 - 2012-01-28 12:46 - 00000000 ____D C:\Users\Luxshan\AppData\Roaming\Skype
2013-06-05 21:23 - 2013-06-05 20:53 - 00000000 ____D C:\Users\Luxshan\AppData\Roaming\49idiNhd
2013-06-04 22:39 - 2011-11-28 23:05 - 00002380 ____A C:\Users\Luxshan\Desktop\Google Chrome.lnk
2013-06-02 22:30 - 2011-11-28 23:05 - 00000000 ____D C:\Users\Luxshan\AppData\Local\Google
2013-06-02 22:29 - 2013-06-02 22:29 - 00739856 ____A (Google Inc.) C:\Users\Luxshan\AppData\Roaming\chromebrowser.exe
2013-06-02 22:29 - 2013-06-02 22:29 - 00000000 _RSHD C:\Users\Luxshan\AppData\Roaming\Taaajjo
2013-05-29 23:42 - 2011-07-16 14:50 - 05732864 __ASH C:\Users\Luxshan\Downloads\Thumbs.db
2013-05-27 20:04 - 2011-05-07 17:10 - 00019968 __ASH C:\Users\Luxshan\Thumbs.db
2013-05-25 21:19 - 2011-04-23 23:38 - 00000000 ____D C:\Program Files\JDownloader
2013-05-25 19:45 - 2011-09-05 18:13 - 00000000 ____D C:\Program Files\Common Files\Wise Installation Wizard
2013-05-25 19:08 - 2011-07-15 21:34 - 00247296 __ASH C:\Users\Luxshan\Desktop\Thumbs.db
2013-05-25 19:02 - 2012-07-28 22:09 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-05-25 18:48 - 2011-04-23 22:14 - 00000000 ____D C:\users\Luxshan
2013-05-24 14:22 - 2013-05-24 14:22 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-05-16 17:24 - 2013-05-16 17:24 - 00000081 ____A C:\Users\Luxshan\AppData\Roaming\mbam.context.scan
2013-05-16 12:37 - 2012-10-07 12:34 - 00000000 ____D C:\Users\Luxshan\Desktop\fotos
2013-05-16 11:42 - 2010-11-20 22:01 - 01498506 ____A C:\Windows\System32\PerfStringBackup.INI

Files to move or delete:
====================
C:\ProgramData\ldsw_0paos.pad
C:\ProgramData\odofdnaarc.dat

==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================


==================== Memory info ===========================

Percentage of memory in use: 12%
Total physical RAM: 4092.96 MB
Available physical RAM: 3594.63 MB
Total Pagefile: 4091.25 MB
Available Pagefile: 3599.93 MB
Total Virtual: 2047.88 MB
Available Virtual: 1931.11 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:223 GB) (Free:60.46 GB) NTFS
Drive e: (PQSERVICE) (Fixed) (Total:12.7 GB) (Free:2.37 GB) NTFS
Drive g: (USB XL) (Removable) (Total:7.45 GB) (Free:7.45 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (ACER) (Fixed) (Total:226.53 GB) (Free:96.3 GB) NTFS ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: B53EE84D)
Partition 1: (Not Active) - (Size=13 GB) - (Type=27)
Partition 2: (Active) - (Size=227 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=223 GB) - (Type=07 NTFS)
Partition 4: (Not Active) - (Size=4 GB) - (Type=12)

========================================================
Disk: 1 (Size: 7 GB) (Disk ID: F789B8F9)
Partition 1: (Not Active) - (Size=7 GB) - (Type=0B)


LastRegBack: 2011-04-23 22:06

==================== End Of Log ============================


aharonov 10.06.2013 15:21

Hallo nwa1994 und :hallo:

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eins vorneweg: Ich kann dir keine Garantien geben, dass ich alles finden werde. Bei schwerwiegenden Infektionen ist ein Formatieren und Neuinstallieren meist der schnellere und immer der sicherere Weg.
Wenn du dich für eine Bereinigung entscheidest, dann sollten wir gründlich vorgehen. Bleib also dran, bis ich dir eindeutig mitteile, dass wir fertig sind.
Auch wenn die auffälligen Symptome schon früh verschwinden, bedeutet das nicht, dass dein Rechner dann schon sauber und sicher ist.

Hinweise zum Ablauf
  • Du bekommst von mir jeweils eine individuell auf dich abgestimmte schrittweise Anleitung.
    • Lese diese Anweisungen immer zuerst vollständig durch und frag bei Unklarheiten nach, bevor du beginnst.
    • Arbeite die Anleitungen dann sorgfältig und in der angegebenen Reihenfolge ab und poste deine Rückmeldungen und Logfiles erst zum Schluss gesammelt in einer Antwort.
    • Füge den Inhalt der Logfiles wenn immer möglich innerhalb von Code-Tags in deine Antwort ein.
    • Sollten Probleme auftauchen, dann brich an dieser Stelle ab und schildere sie so gut wie möglich.
  • Es ist wichtig für mich, dass sich der Zustand deines Systems nicht plötzlich unvorhersehbar ändert:
    • Lasse keine Scanner oder Tools ohne Aufforderung laufen. Lösche nichts auf eigene Faust.
    • Installiere oder deinstalliere während der Bereinigung keine Software.

Los geht's:

Da ist doch einiges drauf bei dir... Aber Schritt für Schritt..
Kannst du nach folgendem Fix den Rechner wieder normal starten ohne Sperrbildschirm?


Schritt 1

Drücke auf einem Zweitrechner bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:
Code:

C:\ProgramData\ldsw_0paos.pad
2013-06-02 22:29 - 2013-06-02 22:29 - 00000000 _RSHD C:\Users\Luxshan\AppData\Roaming\Taaajjo
2013-06-05 21:23 - 2013-06-05 20:53 - 00000000 ____D C:\Users\Luxshan\AppData\Roaming\49idiNhd
2013-06-05 21:41 - 2013-05-25 19:45 - 00000000 ____D C:\Windows\E89498D814304A2BA76A4A71326981E9.TMP
2013-06-09 22:46 - 2013-06-09 22:46 - 00931110 ____A C:\Users\Luxshan\AppData\Local\2433f433
2013-06-09 22:46 - 2013-06-09 22:46 - 00931094 ____A C:\ProgramData\2433f433
2013-06-09 22:46 - 2013-06-09 22:46 - 00931089 ____A C:\Users\Luxshan\AppData\Roaming\2433f433
2013-06-09 22:46 - 2013-06-09 22:46 - 00000000 __SHD C:\ProgramData\Sony Smart Blaster0
2013-06-09 22:46 - 2013-06-09 22:46 - 00000000 ____D C:\Users\Luxshan\AppData\Roaming\AtrosWiFi
S2 SENS; C:\PROGRA~2\craandfodo.dat [x]
C:\ProgramData\craandfodo.dat
C:\ProgramData\odofdnaarc.dat
2013-06-10 13:26 - 2011-05-20 19:59 - 00000308 __ASH C:\Windows\Tasks\HUDJIPQX.job
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
HKU\Luxshan\...\Command Processor: "C:\Users\Luxshan\AppData\Local\Temp\b34btbztdb2vavaw.exe"
HKU\UpdatusUser\...\Run: [ctfmon.exe] C:\Windows\system32\rundll32.exe C:\PROGRA~2\craandfodo.dat,StartAs [ 2009-07-14] (Microsoft Corporation)
HKU\Luxshan\...\Winlogon: [Shell] cmd.exe [ 2010-11-20] (Microsoft Corporation) <==== ATTENTION
HKU\Luxshan\...\Run: [AtrosWiF] C:\Users\Luxshan\AppData\Roaming\AtrosWiFi\AtrosWiF.exe [ 2013-06-09] (Instruments)
HKU\Luxshan\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Users\Luxshan\AppData\Local\Temp\b34btbztdb2vavaw.exe [ 2013-06-09] (Adobe Systems Incorporated)
HKU\Luxshan\...\Run: [Sony Audio Tuner] "C:\ProgramData\Sony Smart Blaster0\safpdndnn.exe" [x]
C:\Users\Luxshan\AppData\Local\Temp\b34btbztdb2vavaw.exe
HKU\Luxshan\...\Run: [SD2014] C:\Users\Luxshan\AppData\Roaming\49idiNhd\49idiNhd.exe [x]

Speichere dieses dann bitte unter dem Dateinamen Fixlist.txt auf deinen USB Stick neben FRST.
  • Schliesse den USB Stick wieder an den infizierten Rechner an.
  • Starte deinen Rechner erneut in die Reparaturoptionen.
  • Starte nun wiederum FRST, aber klicke dieses Mal auf den Fix Button.
Das Tool erstellt eine Datei Fixlog.txt auf deinem USB Stick. Poste deren Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:
  • Fixlog von FRST

nwa1994 10.06.2013 15:35

Danke Leo,aber auch nach dem Fix, wenn ich den PC normal starte,erscheint wieder der Sperrbildschirm.

Code:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 09-06-2013
Ran by SYSTEM at 2013-06-10 16:28:33 Run:2
Running from G:\
Boot Mode: Recovery

==============================================

C:\ProgramData\ldsw_0paos.pad => Moved successfully.
C:\Users\Luxshan\AppData\Roaming\Taaajjo => Moved successfully.
C:\Users\Luxshan\AppData\Roaming\49idiNhd => Moved successfully.
C:\Windows\E89498D814304A2BA76A4A71326981E9.TMP => Moved successfully.
C:\Users\Luxshan\AppData\Local\2433f433 => Moved successfully.
C:\ProgramData\2433f433 => Moved successfully.
C:\Users\Luxshan\AppData\Roaming\2433f433 => Moved successfully.
C:\ProgramData\Sony Smart Blaster0 => Moved successfully.
C:\Users\Luxshan\AppData\Roaming\AtrosWiFi => Moved successfully.
SENS => Service deleted successfully.
C:\ProgramData\craandfodo.dat => File/Directory not found.
C:\ProgramData\odofdnaarc.dat => Moved successfully.
C:\Windows\Tasks\HUDJIPQX.job => Moved successfully.
esgiguard => Service deleted successfully.
HKU\Luxshan\Software\Microsoft\Command Processor\\AutoRun => Value deleted successfully.
HKU\UpdatusUser\Software\Microsoft\Windows\CurrentVersion\Run\\ctfmon.exe => Value deleted successfully.
HKU\Luxshan\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
HKU\Luxshan\Software\Microsoft\Windows\CurrentVersion\Run\\AtrosWiF => Value deleted successfully.
HKU\Luxshan\Software\Microsoft\Windows\CurrentVersion\Run\\qcgce2mrvjq91kk1e7pnbb19m52fx => Value deleted successfully.
HKU\Luxshan\Software\Microsoft\Windows\CurrentVersion\Run\\Sony Audio Tuner => Value deleted successfully.
C:\Users\Luxshan\AppData\Local\Temp\b34btbztdb2vavaw.exe => Moved successfully.
HKU\Luxshan\Software\Microsoft\Windows\CurrentVersion\Run\\SD2014 => Value deleted successfully.

==== End of Fixlog ====


aharonov 10.06.2013 15:57

Ok, dann mach bitte einen neuen FRST-Scan und poste das Log.

nwa1994 10.06.2013 16:06

Ok danke Leo,

Code:

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 09-06-2013
Ran by SYSTEM on 10-06-2013 17:02:37
Running from G:\
Windows 7 Ultimate Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [NBAgent] "C:\Program Files\Nero\Nero 10\Nero BackItUp\NBAgent.exe" /WinStart [1234216 2010-03-26] (Nero AG)
HKLM\...\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s [10029672 2011-03-28] (Realtek Semiconductor)
HKLM\...\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [35736 2011-01-30] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [932288 2010-11-10] (Adobe Systems Incorporated)
HKLM\...\Run: [PLFSetI] C:\Windows\PLFSetI.exe [200704 2009-11-20] ()
HKLM\...\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW [1259376 2011-07-29] ()
HKLM\...\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59280 2012-10-11] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" [421736 2012-01-16] (Apple Inc.)
HKLM\...\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray [462920 2012-07-03] (Malwarebytes Corporation)
HKLM\...\Run: [EPSON Stylus DX3800 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /F "C:\Windows\TEMP\E_SC403.tmp" /EF "HKLM" [x]
HKLM\...\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime [421888 2012-10-25] (Apple Inc.)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [252848 2012-07-03] (Sun Microsystems, Inc.)
HKU\Luxshan\...\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun [ 2011-01-20] (DT Soft Ltd)
HKU\Luxshan\...\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [x]
HKU\Luxshan\...\Run: [Adobe Reader Synchronizer] "C:\Program Files\Adobe\Reader 10.0\Reader\AdobeCollabSync.exe" [x]
HKU\Luxshan\...\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun [ 2013-03-01] (Skype Technologies S.A.)
HKU\Luxshan\...\Run: [icq] C:\Users\Luxshan\AppData\Roaming\ICQM\icq.exe -CU [ 2013-05-05] (ICQ)
HKU\Luxshan\...\Run: [Google Update] "C:\Users\Luxshan\AppData\Local\Google\Update\GoogleUpdate.exe" /c [ 2013-06-02] (Google Inc.)
Startup: C:\Users\Luxshan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk
ShortcutTarget: OpenOffice.org 3.4.1.lnk -> C:\Program Files\program\quickstart.exe ()
Startup: C:\Users\Luxshan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Product Registration.lnk
ShortcutTarget: Product Registration.lnk ->  (No File)
Startup: C:\Users\Luxshan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\setup_9.0.0.722_16.10.2012_06-06.lnk
ShortcutTarget: setup_9.0.0.722_16.10.2012_06-06.lnk -> C:\windows\system32\config\systemprofile\Desktop\DE-Cleaner powered by Kaspersky\setup_9.0.0.722_16.10.2012_06-06\startup.exe (No File)

========================== Services (Whitelisted) =================

S2 MBAMService; C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe [655944 2012-07-03] (Malwarebytes Corporation)
S2 NAUpdate; C:\Program Files\Nero\Update\NASvc.exe [490280 2010-03-25] (Nero AG)
S2 NIS; C:\Program Files\Norton Internet Security\Engine\18.6.0.29\diMaster.dll [262584 2011-04-01] (Symantec Corporation)
S2 nvUpdatusService; C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2218600 2011-04-08] (NVIDIA Corporation)

==================== Drivers (Whitelisted) ====================

S1 25572341; C:\Windows\System32\DRIVERS\25572341.sys [128016 2009-09-25] (Kaspersky Lab)
S0 25572342; C:\Windows\System32\DRIVERS\25572342.sys [37392 2009-10-22] (Kaspersky Lab)
S1 BHDrvx86; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\Definitions\BASHDefs\20111114.002\BHDrvx86.sys [819320 2011-11-14] (Symantec Corporation)
S1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [218688 2011-04-25] (DT Soft Ltd)
S1 eeCtrl; C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys [374392 2011-11-09] (Symantec Corporation)
S3 EraserUtilRebootDrv; C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [106104 2011-11-09] (Symantec Corporation)
S1 IDSVix86; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\Definitions\IPSDefs\20111118.030\IDSvix86.sys [368248 2011-10-12] (Symantec Corporation)
S3 L1E; C:\Windows\System32\DRIVERS\L1E62x86.sys [47104 2009-07-13] (Atheros Communications, Inc.)
S3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [22344 2012-07-03] (Malwarebytes Corporation)
S3 NAVENG; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\Definitions\VirusDefs\20111118.035\NAVENG.SYS [86136 2011-11-04] (Symantec Corporation)
S3 NAVEX15; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\Definitions\VirusDefs\20111118.035\NAVEX15.SYS [1576312 2011-11-04] (Symantec Corporation)
S1 setup_9.0.0.722_16.10.2012_06-06drv; C:\Windows\System32\DRIVERS\2557234.sys [311312 2009-10-09] (Kaspersky Lab)
S3 SRTSP; C:\Windows\System32\Drivers\NIS\1206000.01D\SRTSP.SYS [516216 2011-03-31] (Symantec Corporation)
S1 SRTSPX; C:\Windows\system32\drivers\NIS\1206000.01D\SRTSPX.SYS [50168 2011-03-31] (Symantec Corporation)
S0 SymDS; C:\Windows\System32\drivers\NIS\1206000.01D\SYMDS.SYS [340088 2011-01-27] (Symantec Corporation)
S0 SymEFA; C:\Windows\System32\drivers\NIS\1206000.01D\SYMEFA.SYS [744568 2011-03-15] (Symantec Corporation)
S3 SymEvent; C:\Windows\system32\Drivers\SYMEVENT.SYS [126584 2011-10-13] (Symantec Corporation)
S1 SymIRON; C:\Windows\system32\drivers\NIS\1206000.01D\Ironx86.SYS [136312 2011-01-27] (Symantec Corporation)
S1 SymNetS; C:\Windows\System32\Drivers\NIS\1206000.01D\SYMNETS.SYS [296568 2011-03-22] (Symantec Corporation)
S3 VGPU; System32\drivers\rdvgkmd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-06-10 15:26 - 2013-06-10 15:26 - 00000000 ____D C:\FRST
2013-06-09 22:52 - 2013-06-10 16:00 - 00000392 ____A C:\Windows\setupact.log
2013-06-09 22:52 - 2013-06-09 22:52 - 00000000 ____A C:\Windows\setuperr.log
2013-06-02 22:30 - 2013-06-09 22:40 - 00001128 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2211236486-4210627768-2744985528-1001UA.job
2013-06-02 22:30 - 2013-06-09 22:40 - 00001076 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2211236486-4210627768-2744985528-1001Core.job
2013-06-02 22:29 - 2013-06-02 22:29 - 00739856 ____A (Google Inc.) C:\Users\Luxshan\AppData\Roaming\chromebrowser.exe
2013-05-24 14:22 - 2013-05-24 14:22 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-05-16 17:24 - 2013-05-16 17:24 - 00000081 ____A C:\Users\Luxshan\AppData\Roaming\mbam.context.scan

==================== One Month Modified Files and Folders ========

2013-06-10 16:00 - 2013-06-09 22:52 - 00000392 ____A C:\Windows\setupact.log
2013-06-10 16:00 - 2009-07-14 05:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-06-10 16:00 - 2009-07-14 05:34 - 00023680 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-06-10 16:00 - 2009-07-14 05:34 - 00023680 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-06-10 15:26 - 2013-06-10 15:26 - 00000000 ____D C:\FRST
2013-06-09 23:13 - 2013-01-17 18:58 - 00329197 ____A C:\Windows\WindowsUpdate.log
2013-06-09 22:52 - 2013-06-09 22:52 - 00000000 ____A C:\Windows\setuperr.log
2013-06-09 22:40 - 2013-06-02 22:30 - 00001128 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2211236486-4210627768-2744985528-1001UA.job
2013-06-09 22:40 - 2013-06-02 22:30 - 00001076 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2211236486-4210627768-2744985528-1001Core.job
2013-06-08 19:17 - 2011-05-29 14:53 - 00000000 ____D C:\Users\Luxshan\AppData\Local\CrashDumps
2013-06-05 21:34 - 2012-01-28 12:46 - 00000000 ____D C:\Users\Luxshan\AppData\Roaming\Skype
2013-06-04 22:39 - 2011-11-28 23:05 - 00002380 ____A C:\Users\Luxshan\Desktop\Google Chrome.lnk
2013-06-02 22:30 - 2011-11-28 23:05 - 00000000 ____D C:\Users\Luxshan\AppData\Local\Google
2013-06-02 22:29 - 2013-06-02 22:29 - 00739856 ____A (Google Inc.) C:\Users\Luxshan\AppData\Roaming\chromebrowser.exe
2013-05-29 23:42 - 2011-07-16 14:50 - 05732864 __ASH C:\Users\Luxshan\Downloads\Thumbs.db
2013-05-27 20:04 - 2011-05-07 17:10 - 00019968 __ASH C:\Users\Luxshan\Thumbs.db
2013-05-25 21:19 - 2011-04-23 23:38 - 00000000 ____D C:\Program Files\JDownloader
2013-05-25 19:45 - 2011-09-05 18:13 - 00000000 ____D C:\Program Files\Common Files\Wise Installation Wizard
2013-05-25 19:08 - 2011-07-15 21:34 - 00247296 __ASH C:\Users\Luxshan\Desktop\Thumbs.db
2013-05-25 19:02 - 2012-07-28 22:09 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-05-25 18:48 - 2011-04-23 22:14 - 00000000 ____D C:\users\Luxshan
2013-05-24 14:22 - 2013-05-24 14:22 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-05-16 17:24 - 2013-05-16 17:24 - 00000081 ____A C:\Users\Luxshan\AppData\Roaming\mbam.context.scan
2013-05-16 12:37 - 2012-10-07 12:34 - 00000000 ____D C:\Users\Luxshan\Desktop\fotos
2013-05-16 11:42 - 2010-11-20 22:01 - 01498506 ____A C:\Windows\System32\PerfStringBackup.INI

==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================


==================== Memory info ===========================

Percentage of memory in use: 12%
Total physical RAM: 4092.96 MB
Available physical RAM: 3591.5 MB
Total Pagefile: 4091.25 MB
Available Pagefile: 3596.04 MB
Total Virtual: 2047.88 MB
Available Virtual: 1936.01 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:223 GB) (Free:60.48 GB) NTFS
Drive e: (PQSERVICE) (Fixed) (Total:12.7 GB) (Free:2.37 GB) NTFS
Drive g: (USB XL) (Removable) (Total:7.45 GB) (Free:7.45 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (ACER) (Fixed) (Total:226.53 GB) (Free:101.74 GB) NTFS ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: B53EE84D)
Partition 1: (Not Active) - (Size=13 GB) - (Type=27)
Partition 2: (Active) - (Size=227 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=223 GB) - (Type=07 NTFS)
Partition 4: (Not Active) - (Size=4 GB) - (Type=12)

========================================================
Disk: 1 (Size: 7 GB) (Disk ID: F789B8F9)
Partition 1: (Not Active) - (Size=7 GB) - (Type=0B)


LastRegBack: 2011-04-23 22:06

==================== End Of Log ============================


aharonov 10.06.2013 16:41

Kannst du bitte schnell testen, ob du jetzt in den abgesicherten Modus starten kannst oder auch noch nicht?

nwa1994 10.06.2013 16:52

Habs eben probiert,funktioniert aber leider nicht.Fährt sofort von selbst wieder runter.

aharonov 10.06.2013 21:48

Noch ein Versuch.
Ist nach diesem Fix der Sperrbildschirm immer noch da beim Aufstarten?


Schritt 1

Drücke auf einem Zweitrechner bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:
Code:

HKU\Luxshan\...\Run: [Google Update] "C:\Users\Luxshan\AppData\Local\Google\Update\GoogleUpdate.exe" /c [ 2013-06-02] (Google Inc.)
2013-06-02 22:29 - 2013-06-02 22:29 - 00739856 ____A (Google Inc.) C:\Users\Luxshan\AppData\Roaming\chromebrowser.exe

Speichere dieses dann bitte unter dem Dateinamen Fixlist.txt auf deinen USB Stick neben FRST.
  • Schliesse den USB Stick wieder an den infizierten Rechner an.
  • Starte deinen Rechner erneut in die Reparaturoptionen.
  • Starte nun wiederum FRST, aber klicke dieses Mal auf den Fix Button.
Das Tool erstellt eine Datei Fixlog.txt auf deinem USB Stick. Poste deren Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:
  • Fixlog von FRST

nwa1994 10.06.2013 22:39

Auch nach diesem Versuch,erscheint der Sperrbildschirm :(

Code:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 09-06-2013
Ran by SYSTEM at 2013-06-10 23:32:28 Run:3
Running from G:\
Boot Mode: Recovery

==============================================

HKU\Luxshan\Software\Microsoft\Windows\CurrentVersion\Run\\Google Update => Value deleted successfully.
C:\Users\Luxshan\AppData\Roaming\chromebrowser.exe => Moved successfully.

==== End of Fixlog ====


aharonov 10.06.2013 22:45

Hmmm. :balla:
Mach bitte nochmals einen neuen FRST-Scan und poste das Log.

Und noch eine Frage: Hast du mal einen Cleaner von Kaspersky laufen lassen?

nwa1994 10.06.2013 22:52

Danke Leon für bishierhin. Ok werde noch einen Scan durchführen und nein den Cleaner von Kaspersky hab ich nicht durchlaufen lassen.

aharonov 10.06.2013 22:58

Zitat:

den Cleaner von Kaspersky hab ich nicht durchlaufen lassen.
Aber hast du etwas von Kaspersky drauf (oder mal gehabt)?

nwa1994 10.06.2013 22:58

Code:

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 09-06-2013
Ran by SYSTEM on 10-06-2013 23:54:24
Running from G:\
Windows 7 Ultimate Service Pack 1 (X86) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [NBAgent] "C:\Program Files\Nero\Nero 10\Nero BackItUp\NBAgent.exe" /WinStart [1234216 2010-03-26] (Nero AG)
HKLM\...\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s [10029672 2011-03-28] (Realtek Semiconductor)
HKLM\...\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [35736 2011-01-30] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [932288 2010-11-10] (Adobe Systems Incorporated)
HKLM\...\Run: [PLFSetI] C:\Windows\PLFSetI.exe [200704 2009-11-20] ()
HKLM\...\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW [1259376 2011-07-29] ()
HKLM\...\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59280 2012-10-11] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" [421736 2012-01-16] (Apple Inc.)
HKLM\...\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray [462920 2012-07-03] (Malwarebytes Corporation)
HKLM\...\Run: [EPSON Stylus DX3800 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /F "C:\Windows\TEMP\E_SC403.tmp" /EF "HKLM" [x]
HKLM\...\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime [421888 2012-10-25] (Apple Inc.)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [252848 2012-07-03] (Sun Microsystems, Inc.)
HKU\Luxshan\...\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun [ 2011-01-20] (DT Soft Ltd)
HKU\Luxshan\...\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [x]
HKU\Luxshan\...\Run: [Adobe Reader Synchronizer] "C:\Program Files\Adobe\Reader 10.0\Reader\AdobeCollabSync.exe" [x]
HKU\Luxshan\...\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun [ 2013-03-01] (Skype Technologies S.A.)
HKU\Luxshan\...\Run: [icq] C:\Users\Luxshan\AppData\Roaming\ICQM\icq.exe -CU [ 2013-05-05] (ICQ)
Startup: C:\Users\Luxshan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk
ShortcutTarget: OpenOffice.org 3.4.1.lnk -> C:\Program Files\program\quickstart.exe ()
Startup: C:\Users\Luxshan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Product Registration.lnk
ShortcutTarget: Product Registration.lnk ->  (No File)
Startup: C:\Users\Luxshan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\setup_9.0.0.722_16.10.2012_06-06.lnk
ShortcutTarget: setup_9.0.0.722_16.10.2012_06-06.lnk -> C:\windows\system32\config\systemprofile\Desktop\DE-Cleaner powered by Kaspersky\setup_9.0.0.722_16.10.2012_06-06\startup.exe (No File)

========================== Services (Whitelisted) =================

S2 MBAMService; C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe [655944 2012-07-03] (Malwarebytes Corporation)
S2 NAUpdate; C:\Program Files\Nero\Update\NASvc.exe [490280 2010-03-25] (Nero AG)
S2 NIS; C:\Program Files\Norton Internet Security\Engine\18.6.0.29\diMaster.dll [262584 2011-04-01] (Symantec Corporation)
S2 nvUpdatusService; C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2218600 2011-04-08] (NVIDIA Corporation)

==================== Drivers (Whitelisted) ====================

S1 25572341; C:\Windows\System32\DRIVERS\25572341.sys [128016 2009-09-25] (Kaspersky Lab)
S0 25572342; C:\Windows\System32\DRIVERS\25572342.sys [37392 2009-10-22] (Kaspersky Lab)
S1 BHDrvx86; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\Definitions\BASHDefs\20111114.002\BHDrvx86.sys [819320 2011-11-14] (Symantec Corporation)
S1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [218688 2011-04-25] (DT Soft Ltd)
S1 eeCtrl; C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys [374392 2011-11-09] (Symantec Corporation)
S3 EraserUtilRebootDrv; C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [106104 2011-11-09] (Symantec Corporation)
S1 IDSVix86; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\Definitions\IPSDefs\20111118.030\IDSvix86.sys [368248 2011-10-12] (Symantec Corporation)
S3 L1E; C:\Windows\System32\DRIVERS\L1E62x86.sys [47104 2009-07-13] (Atheros Communications, Inc.)
S3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [22344 2012-07-03] (Malwarebytes Corporation)
S3 NAVENG; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\Definitions\VirusDefs\20111118.035\NAVENG.SYS [86136 2011-11-04] (Symantec Corporation)
S3 NAVEX15; C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\Definitions\VirusDefs\20111118.035\NAVEX15.SYS [1576312 2011-11-04] (Symantec Corporation)
S1 setup_9.0.0.722_16.10.2012_06-06drv; C:\Windows\System32\DRIVERS\2557234.sys [311312 2009-10-09] (Kaspersky Lab)
S3 SRTSP; C:\Windows\System32\Drivers\NIS\1206000.01D\SRTSP.SYS [516216 2011-03-31] (Symantec Corporation)
S1 SRTSPX; C:\Windows\system32\drivers\NIS\1206000.01D\SRTSPX.SYS [50168 2011-03-31] (Symantec Corporation)
S0 SymDS; C:\Windows\System32\drivers\NIS\1206000.01D\SYMDS.SYS [340088 2011-01-27] (Symantec Corporation)
S0 SymEFA; C:\Windows\System32\drivers\NIS\1206000.01D\SYMEFA.SYS [744568 2011-03-15] (Symantec Corporation)
S3 SymEvent; C:\Windows\system32\Drivers\SYMEVENT.SYS [126584 2011-10-13] (Symantec Corporation)
S1 SymIRON; C:\Windows\system32\drivers\NIS\1206000.01D\Ironx86.SYS [136312 2011-01-27] (Symantec Corporation)
S1 SymNetS; C:\Windows\System32\Drivers\NIS\1206000.01D\SYMNETS.SYS [296568 2011-03-22] (Symantec Corporation)
S3 VGPU; System32\drivers\rdvgkmd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-06-10 15:26 - 2013-06-10 15:26 - 00000000 ____D C:\FRST
2013-06-09 22:52 - 2013-06-10 22:33 - 00000504 ____A C:\Windows\setupact.log
2013-06-09 22:52 - 2013-06-09 22:52 - 00000000 ____A C:\Windows\setuperr.log
2013-06-02 22:30 - 2013-06-09 22:40 - 00001128 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2211236486-4210627768-2744985528-1001UA.job
2013-06-02 22:30 - 2013-06-09 22:40 - 00001076 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2211236486-4210627768-2744985528-1001Core.job
2013-05-24 14:22 - 2013-05-24 14:22 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-05-16 17:24 - 2013-05-16 17:24 - 00000081 ____A C:\Users\Luxshan\AppData\Roaming\mbam.context.scan

==================== One Month Modified Files and Folders ========

2013-06-10 22:34 - 2009-07-14 05:34 - 00023680 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-06-10 22:34 - 2009-07-14 05:34 - 00023680 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-06-10 22:33 - 2013-06-09 22:52 - 00000504 ____A C:\Windows\setupact.log
2013-06-10 22:33 - 2009-07-14 05:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-06-10 15:26 - 2013-06-10 15:26 - 00000000 ____D C:\FRST
2013-06-09 23:13 - 2013-01-17 18:58 - 00329197 ____A C:\Windows\WindowsUpdate.log
2013-06-09 22:52 - 2013-06-09 22:52 - 00000000 ____A C:\Windows\setuperr.log
2013-06-09 22:40 - 2013-06-02 22:30 - 00001128 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2211236486-4210627768-2744985528-1001UA.job
2013-06-09 22:40 - 2013-06-02 22:30 - 00001076 ____A C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2211236486-4210627768-2744985528-1001Core.job
2013-06-08 19:17 - 2011-05-29 14:53 - 00000000 ____D C:\Users\Luxshan\AppData\Local\CrashDumps
2013-06-05 21:34 - 2012-01-28 12:46 - 00000000 ____D C:\Users\Luxshan\AppData\Roaming\Skype
2013-06-04 22:39 - 2011-11-28 23:05 - 00002380 ____A C:\Users\Luxshan\Desktop\Google Chrome.lnk
2013-06-02 22:30 - 2011-11-28 23:05 - 00000000 ____D C:\Users\Luxshan\AppData\Local\Google
2013-05-29 23:42 - 2011-07-16 14:50 - 05732864 __ASH C:\Users\Luxshan\Downloads\Thumbs.db
2013-05-27 20:04 - 2011-05-07 17:10 - 00019968 __ASH C:\Users\Luxshan\Thumbs.db
2013-05-25 21:19 - 2011-04-23 23:38 - 00000000 ____D C:\Program Files\JDownloader
2013-05-25 19:45 - 2011-09-05 18:13 - 00000000 ____D C:\Program Files\Common Files\Wise Installation Wizard
2013-05-25 19:08 - 2011-07-15 21:34 - 00247296 __ASH C:\Users\Luxshan\Desktop\Thumbs.db
2013-05-25 19:02 - 2012-07-28 22:09 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-05-25 18:48 - 2011-04-23 22:14 - 00000000 ____D C:\users\Luxshan
2013-05-24 14:22 - 2013-05-24 14:22 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-05-16 17:24 - 2013-05-16 17:24 - 00000081 ____A C:\Users\Luxshan\AppData\Roaming\mbam.context.scan
2013-05-16 12:37 - 2012-10-07 12:34 - 00000000 ____D C:\Users\Luxshan\Desktop\fotos
2013-05-16 11:42 - 2010-11-20 22:01 - 01498506 ____A C:\Windows\System32\PerfStringBackup.INI

==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================


==================== Memory info ===========================

Percentage of memory in use: 12%
Total physical RAM: 4092.96 MB
Available physical RAM: 3591.53 MB
Total Pagefile: 4091.25 MB
Available Pagefile: 3597.81 MB
Total Virtual: 2047.88 MB
Available Virtual: 1931.79 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:223 GB) (Free:60.47 GB) NTFS
Drive e: (PQSERVICE) (Fixed) (Total:12.7 GB) (Free:2.37 GB) NTFS
Drive g: (USB XL) (Removable) (Total:7.45 GB) (Free:7.45 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (ACER) (Fixed) (Total:226.53 GB) (Free:102.33 GB) NTFS ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: B53EE84D)
Partition 1: (Not Active) - (Size=13 GB) - (Type=27)
Partition 2: (Active) - (Size=227 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=223 GB) - (Type=07 NTFS)
Partition 4: (Not Active) - (Size=4 GB) - (Type=12)

========================================================
Disk: 1 (Size: 7 GB) (Disk ID: F789B8F9)
Partition 1: (Not Active) - (Size=7 GB) - (Type=0B)


LastRegBack: 2011-04-23 22:06

==================== End Of Log ============================


Ja Kaspersky müsste ich mal gehabt haben,meine aber es gelöscht zu haben.


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131