Windows 8 : nach Trojaner geht nichts mehr

Sevgi23 · 14.10.2013, 09:20

Hallo,

seit gestern Abend habe ich einen Trojaner auf dem Laptop. Ich vermute, dass es sich nicht um den BKA Trojaner handelt. Nach Hochfahren des Laptops und Kennworteingabe erscheint ein weißes Feld, dort steht ein langer Text auf englisch. "Your Computer is locked!" Ich soll ein Passwort runterladen und eingeben, um den Laptop wieder freizuschalten. Geld wird nicht gefordert (Wahrscheinlich erst wenn man "download Password" anklickt). Ich gelange nicht auf den Desktop.
Ich kenne mich nicht wirklich mit Viren/Trojanern aus, habe aber schon versucht den Taskmanager zu öffnen. Dies gelingt jedoch nicht. Wenn ich den Taskmanager auswähle gelange ich erneut zu der Trojanermeldung. Windows 8 auf CD ist nicht vorhanden, da ich das upgrade online durchgeführt habe. Nun habe ich versucht Windows 7 (Recovery CD des Laptops) zu installieren. F8 und andere Tastenkombinationen funktionieren beim Neustart leider auch nicht, da windows 8 zu schnell hochfährt.

ich hoffe es kann jemand einem Laien wie mir weiter helfen

schrauber · 14.10.2013, 10:44

hi,

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

Starte den Rechner neu.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu und starte von der CD.

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Sevgi23 · 14.10.2013, 11:38

FRST Logfile:

FRST Logfile:

FRST Logfile:

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-10-2013
Ran by SYSTEM on MININT-H47LO9A on 14-10-2013 12:31:14
Running from D:\
Windows 8 Pro (X64) OS Language: German Standard
Internet Explorer Version 10
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> If the system is bootable FRST could be run from normal or Safe mode to create a complete log.

==================== Registry (Whitelisted) ==================

HKLM-x32\...\Run: [Conime] - %windir%\system32\conime.exe
HKLM-x32\...\Run: [EKStatusMonitor] - C:\Program Files (x86)\Kodak\AiO\StatusMonitor\EKStatusMonitor.exe [2750840 2013-01-15] (Eastman Kodak Company)
HKLM-x32\...\Run: [DivXMediaServer] - D:\DiesDas\Documents\DivX\DivX Media Server\DivXMediaServer.exe
HKLM-x32\...\Run: [SDTray] - "D:\DiesDas\Documents\Spybot - Search & Destroy 2\SDTray.exe"
HKLM-x32\...\Run: [avast] - "D:\DiesDas\Documents\Avast\avastUI.exe" /nogui
HKLM-x32\...\Run: [DivXUpdate] - C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe [1263952 2013-02-13] ()
Startup: C:\Users\Sevgi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk
ShortcutTarget: Dropbox.lnk ->  (No File)
BootExecute: autocheck autochk * sdnclean64.exe

==================== Services (Whitelisted) =================

S3 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [16048 2013-07-02] (Microsoft Corporation)
S2 avast! Antivirus; "D:\DiesDas\Documents\Avast\AvastSvc.exe" [x]
S3 Microsoft SharePoint Workspace Audit Service; D:\DiesDas\Documents\Office14\GROOVE.EXE /auditservice [x]
S2 SDScannerService; "D:\DiesDas\Documents\Spybot - Search & Destroy 2\SDFSSvc.exe" [x]
S2 SDUpdateService; "D:\DiesDas\Documents\Spybot - Search & Destroy 2\SDUpdSvc.exe" [x]
S2 SDWSCService; D:\DiesDas\Documents\Spybot - Search & Destroy 2\SDWSCSvc.exe [x]

==================== Drivers (Whitelisted) ====================

S2 aswFsBlk; C:\Windows\System32\Drivers\aswFsBlk.sys [33400 2013-05-09] (AVAST Software)
S2 aswMonFlt; C:\WINDOWS\system32\drivers\aswMonFlt.sys [80816 2013-05-09] (AVAST Software)
S1 aswRdr; C:\Windows\System32\Drivers\aswrdr2.sys [72016 2013-05-09] (AVAST Software)
S0 aswRvrt; C:\Windows\System32\Drivers\aswRvrt.sys [65336 2013-05-09] ()
S1 aswSnx; C:\Windows\System32\Drivers\aswSnx.sys [1030952 2013-08-23] (AVAST Software)
S1 aswSP; C:\Windows\System32\Drivers\aswSP.sys [378944 2013-08-23] (AVAST Software)
S1 aswTdi; C:\Windows\System32\Drivers\aswTdi.sys [64288 2013-05-09] (AVAST Software)
S0 aswVmm; C:\Windows\System32\Drivers\aswVmm.sys [189936 2013-08-23] ()
S3 MTsensor; C:\Windows\system32\DRIVERS\ATK64AMD.sys [13680 2007-08-09] ()
S3 NETJME; C:\Windows\system32\DRIVERS\NETJME.sys [137728 2012-07-06] (JMicron Technology Corp.)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-10-14 12:31 - 2013-10-14 12:31 - 00000000 ____D C:\FRST
2013-10-14 12:28 - 2013-10-14 12:28 - 00000000 _____ C:\Recovery.txt
2013-10-14 11:22 - 2013-10-14 11:22 - 00432512 _____ C:\Windows\System32\FNTCACHE.DAT
2013-09-26 18:20 - 2013-09-26 18:21 - 00000000 ____D C:\Users\Sevgi\AppData\Roaming\DVDVideoSoft
2013-09-26 18:20 - 2013-09-26 18:20 - 00001258 _____ C:\Users\Public\Desktop\Free YouTube to MP3 Converter.lnk
2013-09-20 11:53 - 2013-10-14 11:27 - 00002988 _____ C:\Windows\System32\Tasks\AutoKMS
2013-09-20 11:53 - 2013-10-14 11:27 - 00000318 _____ C:\Windows\Tasks\AutoKMS.job
2013-09-20 11:53 - 2013-09-26 11:53 - 00000000 ____D C:\Windows\AutoKMS
2013-09-20 11:52 - 2013-10-14 11:26 - 00151552 _____ C:\Windows\KMSEmulator.exe
2013-09-20 11:49 - 2013-09-20 11:49 - 00000000 ____D C:\Program Files (x86)\Reference Assemblies
2013-09-20 11:47 - 2013-09-20 11:47 - 00000000 ____D C:\Windows\SysWOW64\XPSViewer
2013-09-20 11:47 - 2013-09-20 11:47 - 00000000 ____D C:\Program Files\Reference Assemblies
2013-09-20 11:47 - 2013-09-20 11:47 - 00000000 ____D C:\Program Files\MSBuild
2013-09-20 11:45 - 2012-07-06 03:02 - 01166440 _____ (Microsoft Corporation) C:\Windows\System32\PresentationNative_v0300.dll
2013-09-20 11:45 - 2012-07-06 03:02 - 00778856 _____ (Microsoft Corporation) C:\Windows\SysWOW64\PresentationNative_v0300.dll
2013-09-20 11:45 - 2012-07-06 03:02 - 00124040 _____ (Microsoft Corporation) C:\Windows\System32\PresentationCFFRasterizerNative_v0300.dll
2013-09-20 11:45 - 2012-07-06 03:02 - 00102528 _____ (Microsoft Corporation) C:\Windows\SysWOW64\PresentationCFFRasterizerNative_v0300.dll
2013-09-20 11:45 - 2012-07-06 03:02 - 00035400 _____ (Microsoft Corporation) C:\Windows\SysWOW64\TsWpfWrp.exe
2013-09-20 11:45 - 2012-07-06 03:02 - 00035400 _____ (Microsoft Corporation) C:\Windows\System32\TsWpfWrp.exe

==================== One Month Modified Files and Folders =======

2013-10-14 12:31 - 2013-10-14 12:31 - 00000000 ____D C:\FRST
2013-10-14 12:28 - 2013-10-14 12:28 - 00000000 _____ C:\Recovery.txt
2013-10-14 12:18 - 2012-07-26 09:12 - 00000000 __RHD C:\Users\Public\Libraries
2013-10-14 12:18 - 2012-07-26 09:12 - 00000000 ___RD C:\Windows\ToastData
2013-10-14 12:17 - 2012-07-26 09:12 - 00000000 ____D C:\Windows\System32\sru
2013-10-14 12:17 - 2012-07-26 09:12 - 00000000 ____D C:\Windows\rescache
2013-10-14 12:11 - 2012-07-26 09:12 - 00000000 ____D C:\Windows\registration
2013-10-14 12:10 - 2012-07-26 06:38 - 00000000 ____D C:\Windows\System32\Sysprep
2013-10-14 12:05 - 2009-07-29 06:10 - 00000000 __SHD C:\Recovery
2013-10-14 11:28 - 2012-07-26 06:26 - 00262144 ___SH C:\Windows\System32\config\BBI
2013-10-14 11:27 - 2013-09-20 11:53 - 00002988 _____ C:\Windows\System32\Tasks\AutoKMS
2013-10-14 11:27 - 2013-09-20 11:53 - 00000318 _____ C:\Windows\Tasks\AutoKMS.job
2013-10-14 11:27 - 2013-08-23 21:39 - 00000000 ____D C:\Users\Sevgi\AppData\Roaming\Dropbox
2013-10-14 11:26 - 2013-09-20 11:52 - 00151552 _____ C:\Windows\KMSEmulator.exe
2013-10-14 11:26 - 2013-08-23 20:55 - 00000000 ____D C:\ProgramData\Kodak
2013-10-14 11:24 - 2013-08-23 20:45 - 00001122 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-10-14 11:22 - 2013-10-14 11:22 - 00432512 _____ C:\Windows\System32\FNTCACHE.DAT
2013-10-14 11:22 - 2013-08-23 20:32 - 00000000 ____D C:\users\Sevgi
2013-10-14 11:22 - 2012-07-26 08:22 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-10-14 11:03 - 2012-07-26 08:21 - 00030004 _____ C:\Windows\setupact.log
2013-10-14 08:39 - 2013-08-23 20:39 - 01159986 _____ C:\Windows\WindowsUpdate.log
2013-10-13 22:27 - 2012-07-26 09:12 - 00000000 ____D C:\Windows\AUInstallAgent
2013-10-12 23:05 - 2013-08-23 20:28 - 00026200 _____ C:\Windows\PFRO.log
2013-10-09 11:51 - 2013-08-24 08:58 - 00000000 ____D C:\Windows\System32\MRT
2013-10-08 08:50 - 2013-08-23 20:45 - 00001126 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-10-03 19:33 - 2013-08-04 20:57 - 00033792 ___SH C:\Users\Sevgi\Desktop\Thumbs.db
2013-09-28 13:24 - 2013-08-23 21:27 - 00000000 ____D C:\Windows.old
2013-09-27 08:25 - 2012-07-26 11:27 - 00753134 _____ C:\Windows\System32\perfh007.dat
2013-09-27 08:25 - 2012-07-26 11:27 - 00155826 _____ C:\Windows\System32\perfc007.dat
2013-09-27 08:25 - 2012-07-26 08:28 - 01745416 _____ C:\Windows\System32\PerfStringBackup.INI
2013-09-26 18:21 - 2013-09-26 18:20 - 00000000 ____D C:\Users\Sevgi\AppData\Roaming\DVDVideoSoft
2013-09-26 18:20 - 2013-09-26 18:20 - 00001258 _____ C:\Users\Public\Desktop\Free YouTube to MP3 Converter.lnk
2013-09-26 11:53 - 2013-09-20 11:53 - 00000000 ____D C:\Windows\AutoKMS
2013-09-22 08:53 - 2013-08-23 20:46 - 00002185 _____ C:\Users\Public\Desktop\Google Chrome.lnk
2013-09-20 11:49 - 2013-09-20 11:49 - 00000000 ____D C:\Program Files (x86)\Reference Assemblies
2013-09-20 11:49 - 2013-08-26 15:19 - 00000000 ____D C:\Program Files (x86)\MSBuild
2013-09-20 11:47 - 2013-09-20 11:47 - 00000000 ____D C:\Windows\SysWOW64\XPSViewer
2013-09-20 11:47 - 2013-09-20 11:47 - 00000000 ____D C:\Program Files\Reference Assemblies
2013-09-20 11:47 - 2013-09-20 11:47 - 00000000 ____D C:\Program Files\MSBuild
2013-09-19 00:26 - 2013-09-13 13:48 - 00694232 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-09-19 00:26 - 2013-09-13 13:48 - 00078296 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl

==================== Known DLLs (Whitelisted) ================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

3
Restore point made on: 2013-09-30 16:55:05
Restore point made on: 2013-10-09 11:47:39
Restore point made on: 2013-10-13 17:59:01

==================== Memory info =========================== 

Percentage of memory in use: 15%
Total physical RAM: 3948.54 MB
Available physical RAM: 3331.8 MB
Total Pagefile: 3948.54 MB
Available Pagefile: 3342.95 MB
Total Virtual: 8192 MB
Available Virtual: 8191.85 MB

==================== Drives ================================

Drive c: (OS) (Fixed) (Total:74.52 GB) (Free:41.31 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
Drive d: (Jobmappe) (Removable) (Total:0.94 GB) (Free:0.7 GB) FAT
Drive e: (Data) (Fixed) (Total:202.08 GB) (Free:175 GB) NTFS
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 298 GB) (Disk ID: 4C1644FD)
Partition 1: (Not Active) - (Size=21 GB) - (Type=1C)
Partition 2: (Active) - (Size=75 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=202 GB) - (Type=OF Extended)

========================================================
Disk: 1 (Size: 961 MB) (Disk ID: 009E6205)
Partition 1: (Active) - (Size=961 MB) - (Type=06)


LastRegBack: 2013-10-09 11:46

==================== End Of Log ============================

--- --- ---

--- --- ---

--- --- ---

Danke , Habe alles so gemacht wie es hier steht. Habe wieder Zugang zum Desktop. Muss ich noch irgendwas beachten oder hat das Tool von meinem USB Stick den Schädling selbst beseitigt?

schrauber · 14.10.2013, 19:45

Das Tool hat gar nix gemacht, das ist nur ein Scanner

Dann jetzt bitte FRST auf den Desktop kopieren und von dort laufen lassen.

14.10.2013, 19:45	#4
schrauber /// the machine /// TB-Ausbilder	Windows 8 : nach Trojaner geht nichts mehr Das Tool hat gar nix gemacht, das ist nur ein Scanner Dann jetzt bitte FRST auf den Desktop kopieren und von dort laufen lassen. __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

Windows 8 : nach Trojaner geht nichts mehr

Plagegeister aller Art und deren Bekämpfung: Windows 8 : nach Trojaner geht nichts mehr