Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner: GVU - Boot Cd, Windows Vista, Notebook -startet neu, (https://www.trojaner-board.de/138004-trojaner-gvu-boot-cd-windows-vista-notebook-startet-neu.html)

Chrisdee 10.07.2013 13:16
Trojaner: GVU - Boot Cd, Windows Vista, Notebook -startet neu,
 
Hallo zusammen:)

Vorweg schonmal vielen Dank für die bereits erhaltene Hilfe! Nun wäre es schön , wenn mir jemand auch bei meinem Laptop helfen kann:)

Zur Thematik:
Es handelt es sich um ein älteres Laptop, ich glaube schon sechs Jahre alt, mit dem Betriebssystem Windows Vista im 32 Bit Format.

Der Laptop ist vom GVU Trojaner befallen, also direkt nach dem Anmelden der GVU Bildschirm mit dem hinweisen man solle bezahlen usw.
Das Laden des Laptops im abgesicherten Modus funktioniert nicht. Laptop schaltet sich direkt wieder aus.


Ich habe bereits einige Hinweise und mögliche Schritte versucht um Windows wieder zu laden, bzw. den Desktop wieder freizuschalten.

- Die Kaspersky Boot Cd, konnte ich laden, jedoch lief die Viren/Malwareanalyse nur ein paar sekunden und brachte kein Ergebnis.
(Das Herangehen mit dem Textmodus und "windowsunlocker" <funktionierte leider ebenso wenig.)
- Die Antivir Boot Cd konnte ich auch laden; sie zeigte auch fünf Ergebnisse an; in den Ordnern System32. Ein Ergebniss war auch diese "Jaschla.exe". Mit dieser BootCd sollte das Laptop dann neuladen, jedoch schaltet sich das Laptop nun nach den anmelden bereits ab, (also als wenn man sonst im abgesichterten Modus läd, das Herunterfahren).

- Die Möglichkeit mit dem "Hitmanpro" ("Sidekick") welche vor dem Windowsanmelden eine Abhilfe zum Malwarebefall bringen soll hat nicht funktioniert. (Laptop fährt herunter bevor man sich anmelden kann, bzw nach dem man sich angemeldet hat).

- Die BootCd von Botfrei lief zumindet bis zum Virenscan, jedoch brach das mitten beim Laden dann ab (ob das der Lüfter war oder nicht kann ich nicht sagen, das Laptop wird zwar warm, aber lief sonst auch einwandfrei:)

- Zur Thematik weiterhin: Hirinsboot cd, konnte ich problemlos laden, auch dann die Version "Windows xp" - von da aus konnte ich auch mein "eigentlich" Windows einsehen, also alle Dateien sind noch vorhanden :) (Bei youtube ist eine Anleitung aus dem Ordner System32, die Dateien "software" und "system" in ".bak" umzubennen, und dann die dateien in dem Ordner durch die gleichnamigen Dateien aus dem Ordner Regback zu ersetzen (via copy und einfügen), was jedoch auch keine Abhilfe bringt)
- Das Programm "OTL" oder "OTLPE" konnte ich auch laden, und auch einen Scann durchführen, jedoch habe ich hier die Schwierigkeit, dass ich das von CD aus lade und da mit leider keine "otl"text datei posten kann (da kann ich leider nicht speichern, weil ein USB Stick dort nicht erkannt wird)
Man soll OTLPElaut Anleitung auch mit einem USB Stick laden können, und damit dann auch die text dateien auf dem Stick speichern können, jedoch bekomme erkennt das Programm "PetoUsb" leider meinen USB Stick nicht an.

Das ist wohl alles etwas kompliziert, aber mir geht es hauptsächlich um die Daten per se. Somit wäre es schön, wenn mir jemand beim weiteren Vorgehen behilflich sein kann.

Weiterhin wäre eine Antwort schön, ob man auch "so" eine Wiederherstellung der Registry machen kann? Also wie eine Systemwiederherstellung ohne einen Datenverlust (habe z.B. manche Daten auf dem Desktop gespeichert). Dahingehend wäre es auch schön wenn die Möglichkeit besteht (Zugang wie bei hirings boot cd zum Windowslaufwerk ist ja machbar), die Daten zu speichern in dem man die Festplatte in eine externe Festplatten einsetzt und dann über ein Laptop läd?

Vielen Dank für eure Hilfe schonmal!
LG Chrisdee

schrauber 10.07.2013 13:20
hi,

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)
Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
  • Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST Download FRST 32-Bit | FRST 64-Bit
  • Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
  • Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:
Über den Boot Manager:
  • Starte den Rechner neu.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Mit Windows CD/DVD (auch bei Windows 8 möglich):
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu und starte von der CD.
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Wähle in den Reparaturoptionen: Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Ja und klicke Untersuchen
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).


Chrisdee 10.07.2013 14:07
Hallo !
Habe nun die Logfile von dem Frst die wie folgt ausschaut
FRST Logfile:

FRST Logfile:

FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 09-07-2013 01
Ran by SYSTEM on 10-07-2013 14:59:05
Running from F:\
Windows Vista (TM) Home Premium (X86) OS Language: German Standard
Internet Explorer Version 7
Boot Mode: Recovery

The current controlset is ControlSet003
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log.

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [Kernel and Hardware Abstraction Layer] - KHALMNPR.EXE [x]
HKLM\...\Run: [SunJavaUpdateSched] - "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [252848 2012-07-03] (Sun Microsystems, Inc.)
HKLM\...\Runonce: [*WerKernelReporting] - %SYSTEMROOT%\SYSTEM32\WerFault.exe -k -rq [x]
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe, [x]
HKU\Default\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter [ 2006-11-02] (Microsoft Corporation)
HKU\Default User\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter [ 2006-11-02] (Microsoft Corporation)
HKU\Ursula\...\Winlogon: [Shell] cmd.exe [ 2006-11-02] (Microsoft Corporation) <==== ATTENTION
HKU\Ursula\...\Command Processor: "C:\Users\Ursula\AppData\Local\Temp\pmshmqbfghcypfhgj.exe" <===== ATTENTION!

========================== Services (Whitelisted) =================

S2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [136360 2011-04-21] (Avira GmbH)
S2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [269480 2011-07-27] (Avira GmbH)
S2 Automatisches LiveUpdate - Scheduler; C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe [554352 2007-09-26] (Symantec Corporation)
S2 ccEvtMgr; c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [108648 2007-01-10] (Symantec Corporation)
S2 ccSetMgr; c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [108648 2007-01-10] (Symantec Corporation)
S2 CLCapSvc; C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe [262243 2007-04-24] ()
S2 CLSched; C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe [106593 2007-04-24] ()
S2 CLTNetCnService; c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [108648 2007-01-10] (Symantec Corporation)
S3 comHost; c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe [49248 2007-01-13] (Symantec Corporation)
S2 CVPND; C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe [1528616 2010-09-27] (Cisco Systems, Inc.)
S4 HP Health Check Service; C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe [62984 2007-03-14] (Hewlett-Packard)
S4 humyo.com; C:\Program Files\Trend Micro SafeSync\hrfscore.exe [3320400 2011-01-10] (Trend Micro Inc.)
S4 ICQ Service; C:\Program Files\ICQ6Toolbar\ICQ Service.exe [247096 2010-09-06] ()
S3 ISPwdSvc; c:\Program Files\Norton Internet Security\isPwdSvc.exe [80504 2007-01-14] (Symantec Corporation)
S4 LiveUpdate; C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE [2999664 2007-09-26] (Symantec Corporation)
S2 LiveUpdate Notice Ex; c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [108648 2007-01-10] (Symantec Corporation)
S4 LiveUpdate Notice Service; C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll [537992 2008-04-10] (Symantec Corporation)
S4 SearchAnonymizer; C:\Users\Ursula\AppData\Roaming\OCS\SM\SearchAnonymizerHelper.exe [40960 2012-05-06] ()
S4 Symantec Core LC; C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe [1174664 2007-06-05] (Symantec Corporation)
S2 SymAppCore; c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe [47712 2007-01-05] (Symantec Corporation)

==================== Drivers (Whitelisted) ====================

S2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [66616 2011-07-27] (Avira GmbH)
S1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [138192 2011-07-27] (Avira GmbH)
S3 CVirtA; C:\Windows\System32\DRIVERS\CVirtA.sys [5275 2007-01-18] (Cisco Systems, Inc.)
S2 CVPNDRVA; C:\Windows\system32\Drivers\CVPNDRVA.sys [308859 2010-09-27] (Cisco Systems, Inc.)
S3 DNE; C:\Windows\System32\DRIVERS\dne2000.sys [131984 2008-11-16] (Deterministic Networks, Inc.)
S1 eabfiltr; C:\Windows\System32\DRIVERS\eabfiltr.sys [8192 2006-11-30] (Hewlett-Packard Development Company, L.P.)
S3 eeCtrl; C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys [371248 2009-09-17] (Symantec Corporation)
S3 EraserUtilRebootDrv; C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [102448 2009-09-17] (Symantec Corporation)
S3 HdAudAddService; C:\Windows\System32\drivers\CHDART.sys [160768 2007-04-12] (Conexant Systems Inc.)
S3 hrfsmrx; C:\Windows\System32\Drivers\hrfsmrx.sys [142928 2011-01-10] (Trend Micro Inc.)
S1 IDSvix86; C:\PROGRA~2\Symantec\DEFINI~1\SymcData\idsdefs\20091217.003\IDSvix86.sys [286768 2009-11-20] (Symantec Corporation)
S3 LMouFilt; C:\Windows\System32\DRIVERS\LMouFilt.Sys [36112 2007-04-11] (Logitech, Inc.)
S3 LVUSBSta; C:\Windows\System32\drivers\LVUSBSta.sys [41888 2007-05-11] (Logitech Inc.)
S1 SPBBCDrv; C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys [417592 2007-01-03] (Symantec Corporation)
S3 SRTSP; C:\Windows\System32\Drivers\SRTSP.SYS [247608 2007-01-12] (Symantec Corporation)
S3 SRTSPL; C:\Windows\System32\Drivers\SRTSPL.SYS [276792 2007-01-12] (Symantec Corporation)
S1 SRTSPX; C:\Windows\System32\Drivers\SRTSPX.SYS [25400 2007-01-12] (Symantec Corporation)
S1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2009-10-08] (Avira GmbH)
S3 SYMDNS; C:\Windows\System32\Drivers\SYMDNS.SYS [12984 2007-01-09] (Symantec Corporation)
S3 SymEvent; C:\Windows\system32\Drivers\SYMEVENT.SYS [115000 2007-06-05] (Symantec Corporation)
S3 SYMFW; C:\Windows\System32\Drivers\SYMFW.SYS [145976 2007-01-09] (Symantec Corporation)
S3 SYMIDS; C:\Windows\System32\Drivers\SYMIDS.SYS [40120 2007-01-09] (Symantec Corporation)
S3 SYMNDISV; C:\Windows\System32\Drivers\SYMNDISV.SYS [38200 2007-01-09] (Symantec Corporation)
S3 SYMREDRV; C:\Windows\System32\Drivers\SYMREDRV.SYS [27576 2007-01-09] (Symantec Corporation)
S1 SYMTDI; C:\Windows\System32\Drivers\SYMTDI.SYS [191544 2007-01-09] (Symantec Corporation)
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [x]
S3 cpuz132; \??\C:\Users\Ursula\AppData\Local\Temp\cpuz132\cpuz132_x32.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NAVENG; \??\C:\PROGRA~2\Symantec\DEFINI~1\VIRUSD~1\20091223.003\NAVENG.SYS [x]
S3 NAVEX15; \??\C:\PROGRA~2\Symantec\DEFINI~1\VIRUSD~1\20091223.003\NAVEX15.SYS [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-10 14:58 - 2013-07-10 14:58 - 00000000 ____D C:\FRST
2013-07-10 05:41 - 2013-07-10 05:52 - 00035182 ____A C:\Extras.Txt
2013-07-10 05:41 - 2013-07-10 05:51 - 00113020 ____A C:\OTL.Txt
2013-07-10 02:04 - 2013-07-10 02:04 - 00002349 ____A C:\Users\Ursula\Desktop\hijackthis.log
2013-07-10 00:37 - 2013-07-10 00:45 - 268435456 __ASH C:\Windows\System32\temppf.sys
2013-07-09 18:58 - 2013-07-09 18:59 - 00138056 ____A C:\Windows\Minidump\Mini070913-01.dmp
2013-07-09 17:23 - 2013-07-09 17:23 - 00000000 ____D C:\ProgramData\HitmanPro
2013-07-09 00:59 - 2013-07-09 00:59 - 00163065 ____A C:\Users\Ursula\AppData\Roaming\2433f433
2013-07-09 00:59 - 2013-07-09 00:59 - 00163064 ____A C:\Users\Ursula\AppData\Local\2433f433
2013-07-09 00:59 - 2013-07-09 00:59 - 00163018 ____A C:\ProgramData\2433f433
2013-07-06 16:15 - 2013-07-06 16:16 - 00034577 ____A C:\Users\Ursula\Documents\998829_528804530518309_120609469_n.jpeg
2013-07-06 14:38 - 2013-07-06 14:38 - 00042246 ____A C:\Users\Ursula\Documents\1001359_697891866892598_2023200022_n.jpeg
2013-07-04 12:20 - 2013-07-04 12:20 - 00495888 ____A C:\Windows\Minidump\Mini070413-01.dmp
2013-07-02 20:56 - 2013-07-02 20:56 - 00422840 ____A C:\Windows\Minidump\Mini070213-01.dmp
2013-06-30 13:54 - 2013-06-30 13:55 - 00255856 ____A C:\Windows\Minidump\Mini063013-01.dmp
2013-06-28 12:43 - 2013-06-28 12:44 - 00257632 ____A C:\Windows\Minidump\Mini062813-01.dmp
2013-06-20 22:22 - 2013-06-20 22:22 - 00018040 ____A C:\Users\Ursula\Documents\1004014_471721929588465_54337619_n.jpeg
2013-06-11 14:45 - 2013-07-09 18:58 - 250312804 ____A C:\Windows\MEMORY.DMP
2013-06-11 14:45 - 2013-06-11 14:45 - 00289344 ____A C:\Windows\Minidump\Mini061113-01.dmp

==================== One Month Modified Files and Folders =======

2013-07-10 14:58 - 2013-07-10 14:58 - 00000000 ____D C:\FRST
2013-07-10 05:52 - 2013-07-10 05:41 - 00035182 ____A C:\Extras.Txt
2013-07-10 05:51 - 2013-07-10 05:41 - 00113020 ____A C:\OTL.Txt
2013-07-10 05:37 - 2009-10-15 01:04 - 00000000 ____D C:\users\Ursula
2013-07-10 02:04 - 2013-07-10 02:04 - 00002349 ____A C:\Users\Ursula\Desktop\hijackthis.log
2013-07-10 00:48 - 2006-11-02 13:47 - 00003072 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-10 00:48 - 2006-11-02 13:47 - 00003072 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-10 00:46 - 2010-05-17 16:57 - 00001094 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-07-10 00:46 - 2006-11-02 14:01 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-07-10 00:45 - 2013-07-10 00:37 - 268435456 __ASH C:\Windows\System32\temppf.sys
2013-07-09 23:50 - 2006-11-02 14:01 - 00032614 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-07-09 21:58 - 2009-12-28 16:48 - 00027934 ____A C:\ProgramData\nvModes.001
2013-07-09 21:58 - 2009-12-28 12:37 - 00027934 ____A C:\ProgramData\nvModes.dat
2013-07-09 21:28 - 2006-11-02 13:47 - 00350456 ____A C:\Windows\System32\FNTCACHE.DAT
2013-07-09 18:59 - 2013-07-09 18:58 - 00138056 ____A C:\Windows\Minidump\Mini070913-01.dmp
2013-07-09 18:58 - 2013-06-11 14:45 - 250312804 ____A C:\Windows\MEMORY.DMP
2013-07-09 17:26 - 2011-11-29 20:18 - 01564232 ____A C:\Windows\WindowsUpdate.log
2013-07-09 17:24 - 2006-11-02 13:47 - 18612224 ____A C:\Windows\System32\config\SYSTEM.bak1
2013-07-09 17:23 - 2013-07-09 17:23 - 00000000 ____D C:\ProgramData\HitmanPro
2013-07-09 17:23 - 2012-03-30 13:23 - 00003936 ____A C:\Windows\setupact.log
2013-07-09 17:18 - 2006-11-02 13:47 - 43163648 ____A C:\Windows\System32\config\SOFTWARE.bak1
2013-07-09 15:35 - 2011-07-23 23:55 - 00000000 ___AD C:\Kaspersky Rescue Disk 10.0
2013-07-09 14:43 - 2006-11-02 11:33 - 00005100 ____A C:\Windows\System32\PerfStringBackup.INI
2013-07-09 14:05 - 2006-11-02 11:22 - 43253760 ____A C:\Windows\System32\config\software.bakbak
2013-07-09 14:05 - 2006-11-02 11:22 - 18612224 ____A C:\Windows\System32\config\system.bakbak
2013-07-09 13:14 - 2012-02-09 00:12 - 00000000 ____D C:\Users\Ursula\Desktop\backups
2013-07-09 02:49 - 2010-05-17 16:57 - 00001098 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-07-09 01:30 - 2010-03-22 18:11 - 00007620 ____A C:\Users\Ursula\AppData\Local\d3d9caps.dat
2013-07-09 00:59 - 2013-07-09 00:59 - 00163065 ____A C:\Users\Ursula\AppData\Roaming\2433f433
2013-07-09 00:59 - 2013-07-09 00:59 - 00163064 ____A C:\Users\Ursula\AppData\Local\2433f433
2013-07-09 00:59 - 2013-07-09 00:59 - 00163018 ____A C:\ProgramData\2433f433
2013-07-08 23:39 - 2011-07-06 19:58 - 00000000 ____D C:\Users\Ursula\AppData\Roaming\Skype
2013-07-08 14:21 - 2012-06-26 03:24 - 00000000 ____D C:\Users\Ursula\AppData\Roaming\Dropbox
2013-07-08 14:20 - 2012-06-26 03:28 - 00000000 ___RD C:\Users\Ursula\Dropbox
2013-07-08 00:14 - 2012-04-18 01:21 - 00000000 ____D C:\Users\Ursula\Desktop\Projekt%W
2013-07-06 16:16 - 2013-07-06 16:15 - 00034577 ____A C:\Users\Ursula\Documents\998829_528804530518309_120609469_n.jpeg
2013-07-06 14:38 - 2013-07-06 14:38 - 00042246 ____A C:\Users\Ursula\Documents\1001359_697891866892598_2023200022_n.jpeg
2013-07-04 12:20 - 2013-07-04 12:20 - 00495888 ____A C:\Windows\Minidump\Mini070413-01.dmp
2013-07-04 12:20 - 2010-05-25 18:40 - 00000000 ____D C:\Windows\Minidump
2013-07-02 20:56 - 2013-07-02 20:56 - 00422840 ____A C:\Windows\Minidump\Mini070213-01.dmp
2013-06-30 14:48 - 2007-06-05 12:57 - 00002631 ____A C:\Users\Ursula\Desktop\Microsoft Office Word 2007.lnk
2013-06-30 13:55 - 2013-06-30 13:54 - 00255856 ____A C:\Windows\Minidump\Mini063013-01.dmp
2013-06-30 13:35 - 2012-03-05 15:03 - 00052572 ____A C:\Windows\PFRO.log
2013-06-30 02:34 - 2010-05-02 01:20 - 00000000 ____A C:\Windows\System32\Drivers\lvuvc.hs
2013-06-28 12:44 - 2013-06-28 12:43 - 00257632 ____A C:\Windows\Minidump\Mini062813-01.dmp
2013-06-20 22:22 - 2013-06-20 22:22 - 00018040 ____A C:\Users\Ursula\Documents\1004014_471721929588465_54337619_n.jpeg
2013-06-19 20:06 - 2011-07-06 20:01 - 00001971 ____A C:\Users\Public\Desktop\Google Chrome.lnk
2013-06-19 20:06 - 2011-07-06 20:01 - 00001971 ____A C:\ProgramData\Desktop\Google Chrome.lnk
2013-06-11 14:45 - 2013-06-11 14:45 - 00289344 ____A C:\Windows\Minidump\Mini061113-01.dmp

Files to move or delete:
====================
C:\ProgramData\nvModes.dat

==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

TDL4: custom:26000022 <===== ATTENTION!

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-06-11 17:22:45
Restore point made on: 2013-06-12 23:46:13
Restore point made on: 2013-06-16 00:34:52
Restore point made on: 2013-06-23 17:22:14
Restore point made on: 2013-06-25 17:40:31
Restore point made on: 2013-06-26 17:10:26
Restore point made on: 2013-06-27 17:06:08
Restore point made on: 2013-06-30 14:33:22
Restore point made on: 2013-07-04 22:14:57
Restore point made on: 2013-07-06 17:20:58
Restore point made on: 2013-07-07 22:20:51
Restore point made on: 2013-07-08 16:58:03

==================== Memory info ===========================

Percentage of memory in use: 24%
Total physical RAM: 1982.31 MB
Available physical RAM: 1496.97 MB
Total Pagefile: 1716.21 MB
Available Pagefile: 1557.93 MB
Total Virtual: 2047.88 MB
Available Virtual: 1972.33 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:141.65 GB) (Free:59.28 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive d: (HP_RECOVERY) (Fixed) (Total:7.4 GB) (Free:0.09 GB) NTFS ==>[System with boot components (obtained from reading drive)]
Drive f: () (Removable) (Total:3.14 GB) (Free:3.14 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 149 GB) (Disk ID: A5A493C6)
Partition 1: (Active) - (Size=142 GB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=7 GB) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 4 GB) (Disk ID: 000E7F92)
Partition 1: (Not Active) - (Size=3 GB) - (Type=0B)
Partition 2: (Active) - (Size=97 MB) - (Type=83)
Partition 3: (Not Active) - (Size=485 MB) - (Type=83)


LastRegBack: 2013-07-09 15:29

==================== End Of Log ============================
--- --- ---

--- --- ---

--- --- ---


Das ist also die Txt.File des Frst-log. Da ist auch ein Hinweis mit "attention" und"virusd?"

Bei dem Scan habe ich nur angeklickt was schon ausgewählt war ohne etwas zu ändern:)

LG Chrisdee

schrauber 10.07.2013 14:25
Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe, [x]
HKU\Ursula\...\Winlogon: [Shell] cmd.exe [ 2006-11-02] (Microsoft Corporation) <==== ATTENTION
HKU\Ursula\...\Command Processor: "C:\Users\Ursula\AppData\Local\Temp\pmshmqbfghcypfhgj.exe" <===== ATTENTION!
2013-07-09 00:59 - 2013-07-09 00:59 - 00163065 ____A C:\Users\Ursula\AppData\Roaming\2433f433
2013-07-09 00:59 - 2013-07-09 00:59 - 00163064 ____A C:\Users\Ursula\AppData\Local\2433f433
2013-07-09 00:59 - 2013-07-09 00:59 - 00163018 ____A C:\ProgramData\2433f433
C:\ProgramData\nvModes.dat
TDL4: custom:26000022 <===== ATTENTION!
C:\Users\Ursula\AppData\Local\Temp\pmshmqbfghcypfhgj.exe
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Entfernen Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.


neu booten, freuen :D

Chrisdee 10.07.2013 14:49
Hallo !:)

Habe nun die die Frst-Logfile hier:
Code:
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 09-07-2013 01
Ran by SYSTEM at 2013-07-10 15:38:08 Run:1
Running from F:\
Boot Mode: Recovery

==============================================

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit => Value was restored successfully.
HKU\Ursula\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
HKU\Ursula\Software\Microsoft\Command Processor\\AutoRun => Value deleted successfully.
C:\Users\Ursula\AppData\Roaming\2433f433 => Moved successfully.
C:\Users\Ursula\AppData\Local\2433f433 => Moved successfully.
C:\ProgramData\2433f433 => Moved successfully.
C:\ProgramData\nvModes.dat => Moved successfully.

Der Vorgang wurde erfolgreich beendet.
Der Vorgang wurde erfolgreich beendet.
C:\Users\Ursula\AppData\Local\Temp\pmshmqbfghcypfhgj.exe => Moved successfully.

==== End of Fixlog ====
Das Laptop neu gebooted :)

Das ist wirklich super!! :) !=)

LG Chrisdee

schrauber 10.07.2013 20:17
Supi :)

Kontrollscans im normalen Modus.

Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)



Alle Zeitangaben in WEZ +1. Es ist jetzt 16:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131