Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   fsvk.exe.exe nach vollständiger Neuinstallation direkt wieder vorhanden (https://www.trojaner-board.de/174320-fsvk-exe-exe-vollstaendiger-neuinstallation-direkt-vorhanden.html)

AndyDa 19.12.2015 03:33
fsvk.exe.exe nach vollständiger Neuinstallation direkt wieder vorhanden
 
Hallo,

leider habe ich mir durch einen unvorsichtigen Download vor ein paar Tagen eine Schadsoftware auf den Computer geladen. Malwarebytes identifizierte eine Datei im System32-Ordner als Zhelatin.Worm (fsvk.exe). Da zu vermuten war, dass es sich hierbei nur um die Spitze des Eisbergs handelte, entschloss ich mich zur kompletten Neuinstallation, auch wenn Malwarebytes nach Entfernung der Datei nichts mehr fand.

Vor der Neuinstallation habe ich die SSD mittel secure reset vollkommen gelöscht und neu formatiert. Auch die HDD habe ich mehrfach überschrieben und neu formatiert. Zudem habe ich zuvor auf beiden Platten den MBR komplett und mehrfach überschrieben. Die Datensicherung habe ich mit einem neuen Datenträger mit Hilfe einer Ubuntu Live DVD vorgenommen. Während der Neuinstallation war der Rechner nicht mit dem Internet verbunden. Direkt nach dem Abschluss der Installation (ohne weitere Zusatzinstallationen) findet sich jedoch die Datei fsvk.exe wieder im System32-Ordner. Wird dann Malwarebytes installiert, wird die gleiche Datei wieder als Problem identifiziert. Zudem wird die Durchführung von Windowsupdates blockiert.

All dies deckt sich aus den schlussendlichen Erfahrungen aus diesem Threat: http://www.trojaner-board.de/172609-...svk-exe-2.html

und ist ähnlich zu den Erfahrungen aus diesem Threat: http://www.trojaner-board.de/172060-...exe-exe-2.html

Ist es denkbar, dass es sich hierbei um einen Firmware-Rootkit handelt, dass entweder das BIOS oder andere Hardwarekomponenten (GPU) befallen hat. Anders kann ich mir nicht erklären, wie nach einer echten Clean Install direkt wieder die problematische Datei vorhanden sein kann.

Das beschriebene Prozedere habe ich insgesamt drei Mal durchgeführt, immer mit dem gleichen Ergebnis.

Viele Grüße und danke für eure Hilfe

Andy

deeprybka 19.12.2015 17:52
:hallo:

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...:abklatsch:
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lies die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
  • Führe bitte nur Scans durch, zu denen Du von mir aufgefordert wurdest.
  • Bitte kein Crossposting (posten in mehreren Foren).
  • Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
  • Speichere alle unsere Tools auf dem Desktop ab. Link: So ladet Ihr unsere Tools richtig
  • Poste die Logfiles direkt in Deinen Thread in Code-Tags.
  • Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 24 Stunden nichts von mir liest, dann schreibe mir bitte eine PM.

Hinweis:
Ich kann Dir niemals eine Garantie geben, dass wir alle schädlichen Dateien finden werden.
Eine Formatierung ist meist der schnellere und immer der sicherste Weg, aber auch nur bei wirklicher Malware empfehlenswert.
Adware & Co. können wir sehr gut entfernen.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Du mein clean :daumenhoc bekommst.



Los geht's:

Schritt 1
http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)




Lesestoff
Posten in CODE-Tags: So gehts...
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert uns massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://deeprybka.trojaner-board.de/tdss/codetags.gif

AndyDa 06.01.2016 17:46
Hi,

so, es wird immer verrückter. Habe nun meinen kompletten Rechner platt gemacht (erneut Hardreset des SSD und mehrfaches Überschreiben des MBR) und Ubuntu aufgesetzt. Läuft alles wunderbar. Nun habe ich Windows 7 in einer VM (Virtual Box) installiert und schwups direkt ist der Virus wieder da... in dem Windows, das in der VirtualBox läuft. Gleiche Symptome (Updates nicht möglich). Ich habe jetzt mal FRST durchlaufen lassen, hier die Protokolle. Vielleicht kommt ihr dem Problem ja auf den Grund.

Code:
Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:31-12-2015
durchgeführt von Andy (Administrator) auf ANDY-PC (06-01-2016 17:23:54)
Gestartet von C:\Users\Andy\Downloads
Geladene Profile: Andy (Verfügbare Profile: Andy)
Platform: Windows 7 Home Premium Service Pack 1 (X64) Sprache: Deutsch (Deutschland)
Internet Explorer Version 8 (Standard-Browser: FF)
Start-Modus: Normal
Anleitung für Farbar Recovery Scan Tool: hxxp://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/

==================== Prozesse (Nicht auf der Ausnahmeliste) =================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Prozess geschlossen. Die Datei wird nicht verschoben.)

(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe


==================== Registry (Nicht auf der Ausnahmeliste) ===========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt. Die Datei wird nicht verschoben.)


==================== Internet (Nicht auf der Ausnahmeliste) ====================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Eintrag entfernt oder auf den Standardwert zurückgesetzt, wenn es sich um einen Registryeintrag handelt.)

Tcpip\Parameters: [DhcpNameServer] 10.0.2.3
Tcpip\..\Interfaces\{16F503EE-D518-464E-9DD0-CCFA741286E7}: [DhcpNameServer] 10.0.2.3

Internet Explorer:
==================
HKU\S-1-5-21-1604133239-3951458426-3526083155-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://localoem.msn.com
HKU\S-1-5-21-1604133239-3951458426-3526083155-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://localoem.msn.com
SearchScopes: HKU\S-1-5-21-1604133239-3951458426-3526083155-1001 -> DefaultScope {5E598207-E7CC-43E8-BF4F-96C513E71F26} URL =
SearchScopes: HKU\S-1-5-21-1604133239-3951458426-3526083155-1001 -> {5E598207-E7CC-43E8-BF4F-96C513E71F26} URL =
Filter: deflate - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\system32\urlmon.dll [2010-11-21] (Microsoft Corporation)
Filter-x32: deflate - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\SysWOW64\urlmon.dll [2010-11-21] (Microsoft Corporation)
Filter: gzip - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\system32\urlmon.dll [2010-11-21] (Microsoft Corporation)
Filter-x32: gzip - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\SysWOW64\urlmon.dll [2010-11-21] (Microsoft Corporation)

FireFox:
========
FF ProfilePath: C:\Users\Andy\AppData\Roaming\Mozilla\Firefox\Profiles\w2vruing.default

==================== Dienste (Nicht auf der Ausnahmeliste) ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2009-07-14] (Microsoft Corporation)

===================== Treiber (Nicht auf der Ausnahmeliste) ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

S3 ebdrv; C:\Windows\system32\drivers\evbda.sys [3286016 2009-06-10] (Broadcom Corporation)

==================== NetSvcs (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Ein Monat: Erstellte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-01-06 17:23 - 2016-01-06 17:24 - 00003611 _____ C:\Users\Andy\Downloads\FRST.txt
2016-01-06 17:23 - 2016-01-06 17:23 - 02370560 _____ (Farbar) C:\Users\Andy\Downloads\FRST64.exe
2016-01-06 17:23 - 2016-01-06 17:23 - 00000000 ____D C:\FRST
2016-01-06 17:19 - 2016-01-06 17:27 - 00000000 ____D C:\Users\Andy\AppData\Local\Mozilla
2016-01-06 17:19 - 2016-01-06 17:21 - 00000000 ____D C:\Users\Andy\AppData\Roaming\Mozilla
2016-01-06 17:19 - 2016-01-06 17:19 - 00001163 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
2016-01-06 17:19 - 2016-01-06 17:19 - 00001151 _____ C:\Users\Public\Desktop\Mozilla Firefox.lnk
2016-01-06 17:19 - 2016-01-06 17:19 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2016-01-06 17:19 - 2016-01-06 17:19 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2016-01-06 17:12 - 2016-01-06 17:12 - 00001443 _____ C:\Users\Andy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
2016-01-06 17:12 - 2016-01-06 17:12 - 00001409 _____ C:\Users\Andy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk
2016-01-06 17:12 - 2014-05-14 17:23 - 02477536 _____ (Microsoft Corporation) C:\Windows\system32\wuaueng.dll
2016-01-06 17:12 - 2014-05-14 17:23 - 00700384 _____ (Microsoft Corporation) C:\Windows\system32\wuapi.dll
2016-01-06 17:12 - 2014-05-14 17:23 - 00581600 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wuapi.dll
2016-01-06 17:12 - 2014-05-14 17:23 - 00058336 _____ (Microsoft Corporation) C:\Windows\system32\wuauclt.exe
2016-01-06 17:12 - 2014-05-14 17:23 - 00044512 _____ (Microsoft Corporation) C:\Windows\system32\wups2.dll
2016-01-06 17:12 - 2014-05-14 17:23 - 00038880 _____ (Microsoft Corporation) C:\Windows\system32\wups.dll
2016-01-06 17:12 - 2014-05-14 17:23 - 00036320 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wups.dll
2016-01-06 17:12 - 2014-05-14 17:21 - 02620928 _____ (Microsoft Corporation) C:\Windows\system32\wucltux.dll
2016-01-06 17:12 - 2014-05-14 17:20 - 00097792 _____ (Microsoft Corporation) C:\Windows\system32\wudriver.dll
2016-01-06 17:12 - 2014-05-14 17:17 - 00092672 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wudriver.dll
2016-01-06 17:12 - 2014-05-14 09:23 - 00198600 _____ (Microsoft Corporation) C:\Windows\system32\wuwebv.dll
2016-01-06 17:12 - 2014-05-14 09:23 - 00179656 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wuwebv.dll
2016-01-06 17:12 - 2014-05-14 09:20 - 00036864 _____ (Microsoft Corporation) C:\Windows\system32\wuapp.exe
2016-01-06 17:12 - 2014-05-14 09:17 - 00033792 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wuapp.exe
2016-01-06 17:11 - 2016-01-06 17:12 - 00000000 ____D C:\Users\Andy
2016-01-06 17:11 - 2016-01-06 17:11 - 00000020 ___SH C:\Users\Andy\ntuser.ini
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Public\Documents\Eigene Videos
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Public\Documents\Eigene Musik
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Public\Documents\Eigene Bilder
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Default\Vorlagen
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Default\Startmenü
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Default\Netzwerkumgebung
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Default\Lokale Einstellungen
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Default\Eigene Dateien
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Default\Druckumgebung
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Default\Documents\Eigene Videos
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Default\Documents\Eigene Musik
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Default\Documents\Eigene Bilder
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Default\AppData\Local\Verlauf
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Default\AppData\Local\Anwendungsdaten
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Default\Anwendungsdaten
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Default User\Documents\Eigene Videos
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Default User\Documents\Eigene Musik
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Default User\Documents\Eigene Bilder
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Default User\AppData\Local\Verlauf
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Default User\AppData\Local\Anwendungsdaten
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Andy\Vorlagen
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Andy\Startmenü
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Andy\Netzwerkumgebung
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Andy\Lokale Einstellungen
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Andy\Eigene Dateien
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Andy\Druckumgebung
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Andy\Documents\Eigene Videos
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Andy\Documents\Eigene Musik
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Andy\Documents\Eigene Bilder
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Andy\AppData\Roaming\Microsoft\Windows\Start Menu\Programme
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Andy\AppData\Local\Verlauf
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Andy\AppData\Local\Anwendungsdaten
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Users\Andy\Anwendungsdaten
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Programme
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\ProgramData\Vorlagen
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\ProgramData\Startmenü
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\ProgramData\Microsoft\Windows\Start Menu\Programme
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\ProgramData\Favoriten
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\ProgramData\Dokumente
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\ProgramData\Anwendungsdaten
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Program Files\Gemeinsame Dateien
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 _SHDL C:\Dokumente und Einstellungen
2016-01-06 17:11 - 2016-01-06 17:11 - 00000000 ____D C:\Users\Andy\AppData\Local\VirtualStore
2016-01-06 17:11 - 2011-04-12 08:54 - 00000000 ____D C:\Users\Andy\AppData\Roaming\Media Center Programs
2016-01-06 17:09 - 2016-01-06 17:09 - 00002435 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office.lnk
2016-01-06 17:09 - 2016-01-06 17:09 - 00001345 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Center.lnk
2016-01-06 17:09 - 2016-01-06 17:09 - 00001326 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows DVD Maker.lnk
2016-01-06 17:09 - 2016-01-06 17:09 - 00000000 ____D C:\Program Files (x86)\Microsoft Office
2016-01-06 17:08 - 2016-01-06 17:11 - 00000000 ____D C:\Windows\Panther

==================== Ein Monat: Geänderte Dateien und Ordner ========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Datei/der Ordner verschoben.)

2016-01-06 17:23 - 2009-07-14 04:20 - 00000000 ____D C:\Windows
2016-01-06 17:15 - 2011-04-12 08:43 - 00643628 _____ C:\Windows\system32\perfh007.dat
2016-01-06 17:15 - 2011-04-12 08:43 - 00126188 _____ C:\Windows\system32\perfc007.dat
2016-01-06 17:15 - 2009-07-14 06:13 - 01472002 _____ C:\Windows\system32\PerfStringBackup.INI
2016-01-06 17:15 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\inf
2016-01-06 17:11 - 2009-07-14 05:45 - 00020832 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2016-01-06 17:11 - 2009-07-14 05:45 - 00020832 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2016-01-06 17:11 - 2009-07-14 04:20 - 00000000 __RHD C:\Users\Public\Libraries
2016-01-06 17:11 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\system32\sysprep
2016-01-06 17:11 - 2009-07-14 04:20 - 00000000 ____D C:\Program Files\Windows NT
2016-01-06 17:10 - 2009-07-14 06:08 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2016-01-06 17:10 - 2009-07-14 05:45 - 00274464 _____ C:\Windows\system32\FNTCACHE.DAT
2016-01-06 17:10 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\rescache
2016-01-06 17:09 - 2009-07-14 06:32 - 00000000 ___RD C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games
2016-01-06 17:08 - 2009-07-14 06:32 - 00028672 _____ C:\Windows\system32\config\BCD-Template

==================== Bamital & volsnap =================

(Es ist kein automatischer Fix für Dateien vorhanden, die an der Verifikation gescheitert sind.)

C:\Windows\system32\winlogon.exe => Datei ist digital signiert
C:\Windows\system32\wininit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\wininit.exe => Datei ist digital signiert
C:\Windows\explorer.exe => Datei ist digital signiert
C:\Windows\SysWOW64\explorer.exe => Datei ist digital signiert
C:\Windows\system32\svchost.exe => Datei ist digital signiert
C:\Windows\SysWOW64\svchost.exe => Datei ist digital signiert
C:\Windows\system32\services.exe => Datei ist digital signiert
C:\Windows\system32\User32.dll => Datei ist digital signiert
C:\Windows\SysWOW64\User32.dll => Datei ist digital signiert
C:\Windows\system32\userinit.exe => Datei ist digital signiert
C:\Windows\SysWOW64\userinit.exe => Datei ist digital signiert
C:\Windows\system32\rpcss.dll => Datei ist digital signiert
C:\Windows\system32\dnsapi.dll => Datei ist digital signiert
C:\Windows\SysWOW64\dnsapi.dll => Datei ist digital signiert
C:\Windows\system32\Drivers\volsnap.sys => Datei ist digital signiert


LastRegBack: 2016-01-06 17:08

==================== Ende von FRST.txt ============================
Code:
Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version:31-12-2015
durchgeführt von Andy (2016-01-06 17:38:12)
Gestartet von C:\Users\Andy\Downloads
Windows 7 Home Premium Service Pack 1 (X64) (2016-01-06 16:11:48)
Start-Modus: Normal
==========================================================


==================== Konten: =============================

Administrator (S-1-5-21-1604133239-3951458426-3526083155-500 - Administrator - Disabled)
Andy (S-1-5-21-1604133239-3951458426-3526083155-1001 - Administrator - Enabled) => C:\Users\Andy
Gast (S-1-5-21-1604133239-3951458426-3526083155-501 - Limited - Disabled)
HomeGroupUser$ (S-1-5-21-1604133239-3951458426-3526083155-1002 - Limited - Enabled)

==================== Sicherheits-Center ========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er entfernt.)

AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

==================== Installierte Programme ======================

(Nur Adware-Programme mit dem Zusatz "Hidden" können in die Fixlist aufgenommen werden, um sie sichtbar zu machen. Die Adware-Programme sollten manuell deinstalliert werden.)

Microsoft Office (HKLM-x32\...\{95140000-0070-0000-0000-0000000FF1CE}) (Version: 14.0.6120.5004 - Microsoft Corporation)
Mozilla Firefox 43.0.3 (x86 de) (HKLM-x32\...\Mozilla Firefox 43.0.3 (x86 de)) (Version: 43.0.3 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 43.0.3 - Mozilla)

==================== Benutzerdefinierte CLSID (Nicht auf der Ausnahmeliste): ==========================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)


==================== Geplante Aufgaben (Nicht auf der Ausnahmeliste) =============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

Task: {5A40E926-9E86-4B89-9CFD-B12311724371} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHostConfig => config upnphost start= auto
Task: {DD9F510C-95F4-499A-90C8-BAC5BC372FF4} - System32\Tasks\Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask => start sppsvc

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird die Aufgabe verschoben. Die Datei, die durch die Aufgabe gestartet wird, wird nicht verschoben.)


==================== Verknüpfungen =============================

(Die Einträge können gelistet werden, um sie zurückzusetzen oder zu entfernen.)

==================== Geladene Module (Nicht auf der Ausnahmeliste) ==============


==================== Alternate Data Streams (Nicht auf der Ausnahmeliste) =========

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird nur der ADS entfernt.)


==================== Abgesicherter Modus (Nicht auf der Ausnahmeliste) ===================

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Der Wert "AlternateShell" wird wiederhergestellt.)


==================== EXE Verknüpfungen (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird der Registryeintrag auf den Standardwert zurückgesetzt oder entfernt.)


==================== Internet Explorer Vertrauenswürdig/Eingeschränkt ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt.)


==================== Hosts Inhalt: ===============================

(Wenn benötigt kann der Hosts: Schalter in die Fixlist aufgenommen werden um die Hosts Datei zurückzusetzen.)

2009-07-14 03:34 - 2009-06-10 22:00 - 00000824 ____A C:\Windows\system32\Drivers\etc\hosts


==================== Andere Bereiche ============================

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)

HKU\S-1-5-21-1604133239-3951458426-3526083155-1001\Control Panel\Desktop\\Wallpaper -> C:\Users\Andy\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 10.0.2.3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1)
Windows Firewall ist aktiviert.

==================== MSCONFIG/TASK MANAGER Deaktivierte Einträge ==

(Aktuell gibt es keinen automatisierten Fix für diesen Bereich.)


==================== Firewall Regeln (Nicht auf der Ausnahmeliste) ===============

(Wenn ein Eintrag in die Fixlist aufgenommen wird, wird er aus der Registry entfernt. Die Datei wird nicht verschoben solange sie nicht separat aufgelistet wird.)

FirewallRules: [{F0B90160-27AA-44A4-ACF4-82491B537765}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
FirewallRules: [{C8B8CB46-2830-4FB2-9FC8-47899C0F4492}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe

==================== Wiederherstellungspunkte =========================

06-01-2016 17:11:57 Windows Update

==================== Fehlerhafte Geräte im Gerätemanager =============

Name: Basissystemgerät
Description: Basissystemgerät
Class Guid:
Manufacturer:
Service:
Problem: : The drivers for this device are not installed. (Code 28)
Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.


==================== Fehlereinträge in der Ereignisanzeige: =========================

Applikationsfehler:
==================
Error: (01/06/2016 05:13:11 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 4107) (User: )
Description: Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>. Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Error: (01/06/2016 05:11:59 PM) (Source: WinMgmt) (EventID: 10) (User: )
Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003


Systemfehler:
=============

==================== Speicherinformationen ===========================

Prozessor: Intel(R) Core(TM) i7-4770K CPU @ 3.50GHz
Prozentuale Nutzung des RAM: 55%
Installierter physikalischer RAM: 5040.55 MB
Verfügbarer physikalischer RAM: 2244.45 MB
Summe virtueller Speicher: 10079.31 MB
Verfügbarer virtueller Speicher: 6609.11 MB

==================== Laufwerke ================================

Drive c: () (Fixed) (Total:24.9 GB) (Free:10 GB) NTFS

==================== MBR & Partitionstabelle ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 25 GB) (Disk ID: FE6175A7)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=24.9 GB) - (Type=07 NTFS)

==================== Ende von Addition.txt ============================

deeprybka 06.01.2016 17:53
Schritt 1

http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn2.PNG
  • Starte FRST erneut.
  • Gib in das Suche-Feld: fsvk.exe ein.
  • Klicke auf den Datei-Suche Button.
  • Bitte poste die erstellte Search.txt - Datei in Deiner nächsten Antwort.

AndyDa 07.01.2016 10:58
Hi,

danke für die schnelle Antwort, hier das Ergebnis:

Code:
Farbar Recovery Scan Tool (x64) Version:31-12-2015
durchgeführt von Andy (2016-01-07 10:55:24)
Gestartet von C:\Users\Andy\Downloads
Start-Modus: Normal

================== Datei-Suche: "fsvk.exe.exe" =============

C:\Windows\System32\fsvk.exe.exe
[2012-08-15 13:07][2008-05-28 12:01] 0551048 ____A () 47EF2D63D984E93522E847501EC37849 [Datei ist nicht signiert]

====== Ende von Suche ======

deeprybka 07.01.2016 19:47
Dachte es geht um

Zitat:
findet sich jedoch die Datei fsvk.exe wieder im System32-Ordner
Infos zur Datei:
https://www.virustotal.com/de/file/4...be8f/analysis/

Und die Datei wurde "von alleine" in einer virtuellen Maschine auf einem Linux-Host erstellt oder wie?

AndyDa 08.01.2016 09:47
Es geht tatsächlich um die Datei fsvk.exe.exe im System32-Ordner.

Kurz nochmal zu meinem Vorgehen:

VirutalBox unter Ubuntu installiert
Windows 7 in VirtualBox aufgesetzt (dabei Netzwerkanbindung für das Gastsystem abgeschaltet)
Windows 7 gestartet und direkt die fsvk.exe.exe im System32-Ordner gefunden (ohne weitere Installationen)
Windows Update ist nicht möglich, auch wenn ich mir die Dateien manuell herunterlade und versuche zu installieren

Was mich an der Sache stutzig macht: fsvk.exe.exe gehört nicht zur Standardinstallation von Windows. Zudem erkennt Malwarebytes sie als Bedrohung. Woher kommt also diese Datei? Bei dem Installationsmedium handelt es sich um eine Original-Windows-DVD, das kann also auch nicht kompromittiert sein.

Wie gesagt, den MBR meiner beiden Festplatten habe ich bereits vor der Linux-Installation komplett gewiped, daher kann die Datei also auch nicht mehr kommen.

Viele Grüße

Andy

deeprybka 08.01.2016 17:50
Und die Datei ist nicht auf der Installations-DVD vorhanden?

Zitat:
VirutalBox unter Ubuntu installiert
Windows 7 in VirtualBox aufgesetzt (dabei Netzwerkanbindung für das Gastsystem abgeschaltet)
Windows 7 gestartet und direkt die fsvk.exe.exe im System32-Ordner gefunden (ohne weitere Installationen)
Windows Update ist nicht möglich, auch wenn ich mir die Dateien manuell herunterlade und versuche zu installieren
Also ohne Internetzugang wird die im Ordner erstellt?

AndyDa 11.01.2016 16:54
Hi,

die Installations DVD war auch mein erster Vedacht, habe dann eine andere verwendet, mit dem gleichen Ergebnis.

Die Installation habe ich komplette ohne Netzwerkzugang vorgenommen. Es waren auch keine externen Festplatten/USB-Sticks angeschlossen.

Mein Verdacht wäre jetzt BIOS oder Grafikkarte (wobei letzteres ja eine absolute Neuerung wäre). Vielleicht baue ich die Graka einfach mal aus und versuche dann eine Installation.

Viele Grüße

Andy


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131