Problem: Unerwartete Abstürze nach Virenfund

aharonov · 19.04.2013, 20:46

Wie startest du denn auf diesem Rechner in den abgesicherten Modus...?

gast123 · 19.04.2013, 20:49

Naja, bisher nur mit eingelegter CD über das Bootmenü oder eben automatisch nach einem Absturz.

aharonov · 19.04.2013, 20:57

Du kannst garantiert auch so in den abgesicherten Modus booten: http://www.trojaner-board.de/63335-w...s-starten.html
Schau, wie du zu dieser Startauswahl gelangst und dann, ob du dort die Reperaturoptionen gelistet hast.

gast123 · 19.04.2013, 21:06

ups. das hier war nur ein kleiner Fehler. Der Prozess läuft noch und bisher sieht es garnicht schlecht aus.

So, der Inhalt der Logdatei lautet wie folgt:

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 18-04-2013
Ran by SYSTEM at 19-04-2013 22:14:57
Running from F:\
Windows 7 Ultimate (X86) OS Language: German Standard
The current controlset is ControlSet001

==================== Registry (Whitelisted) ===================

HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [348664 2012-08-17] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59720 2013-01-28] (Apple Inc.)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [252848 2012-07-03] (Sun Microsystems, Inc.)
HKLM\...\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" [152392 2013-02-20] (Apple Inc.)
Tcpip\Parameters: [DhcpNameServer] 192.168.1.10 192.168.1.130

==================== Services (Whitelisted) ===================

2 AntiVirSchedulerService; "C:\Program Files\Avira\AntiVir Desktop\sched.exe" [86224 2012-05-02] (Avira Operations GmbH & Co. KG)
2 AntiVirService; "C:\Program Files\Avira\AntiVir Desktop\avguard.exe" [110032 2012-05-01] (Avira Operations GmbH & Co. KG)
2 MBAMScheduler; "C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe" [418376 2013-04-04] (Malwarebytes Corporation)
2 MBAMService; "C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe" [701512 2013-04-04] (Malwarebytes Corporation)
3 MozillaMaintenance; "C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe" [116120 2013-04-04] (Mozilla Foundation)
2 nvsvc; "C:\Windows\system32\nvvsvc.exe" [639776 2013-01-18] (NVIDIA Corporation)
2 nvUpdatusService; "C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe" [1260320 2013-02-25] (NVIDIA Corporation)
2 Stereo Service; "C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe" [383264 2013-01-18] (NVIDIA Corporation)

==================== Drivers (Whitelisted) ====================

2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [83392 2012-04-24] (Avira GmbH)
1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [137928 2012-04-27] (Avira GmbH)
1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [36000 2012-04-16] (Avira GmbH)
3 MBAMProtector; \??\C:\Windows\system32\drivers\mbam.sys [22856 2013-04-04] (Malwarebytes Corporation)
1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2010-06-17] (Avira GmbH)
3 tap0901; C:\Windows\System32\DRIVERS\tap0901.sys [26624 2011-12-15] (The OpenVPN Project)
3 catchme; \??\C:\Users\NANAXX~1\AppData\Local\Temp\catchme.sys [x]
3 Synth3dVsc; C:\Windows\System32\drivers\synth3dvsc.sys [x]
3 tsusbhub; C:\Windows\System32\drivers\tsusbhub.sys [x]
3 VGPU; C:\Windows\System32\drivers\rdvgkmd.sys [x]

==================== NetSvcs (Whitelisted) ===================

==================== One Month Created Files and Folders ========

2013-04-19 19:09 - 2013-04-19 19:18 - 00000000 ____D C:\Users\Nana xxxx\Desktop\mbar
2013-04-19 19:09 - 2013-04-19 19:09 - 12917756 ____A C:\Users\Nana xxxx\Desktop\mbar-1.05.0.1001.zip
2013-04-19 16:19 - 2013-04-19 16:19 - 00009012 ____A C:\ComboFix.txt
2013-04-19 16:11 - 2013-04-19 16:19 - 00000000 ____D C:\Qoobox
2013-04-19 16:11 - 2013-04-19 16:17 - 00000000 ____D C:\Windows\erdnt
2013-04-19 16:11 - 2011-06-26 07:45 - 00256000 ____A C:\Windows\PEV.exe
2013-04-19 16:11 - 2010-11-07 18:20 - 00208896 ____A C:\Windows\MBR.exe
2013-04-19 16:11 - 2009-04-20 05:56 - 00060416 ____A (NirSoft) C:\Windows\NIRCMD.exe
2013-04-19 16:11 - 2000-08-31 01:00 - 00518144 ____A (SteelWerX) C:\Windows\SWREG.exe
2013-04-19 16:11 - 2000-08-31 01:00 - 00406528 ____A (SteelWerX) C:\Windows\SWSC.exe
2013-04-19 16:11 - 2000-08-31 01:00 - 00098816 ____A C:\Windows\sed.exe
2013-04-19 16:11 - 2000-08-31 01:00 - 00080412 ____A C:\Windows\grep.exe
2013-04-19 16:11 - 2000-08-31 01:00 - 00068096 ____A C:\Windows\zip.exe
2013-04-19 16:07 - 2013-04-19 16:07 - 05056689 ____R (Swearware) C:\Users\Nana xxxx\Desktop\ComboFix.exe
2013-04-19 15:32 - 2013-04-19 15:32 - 00034358 ____A C:\Users\Nana xxxx\Desktop\Extras.Txt
2013-04-19 15:31 - 2013-04-19 16:27 - 00054026 ____A C:\Users\Nana xxxx\Desktop\OTL.Txt
2013-04-19 15:25 - 2013-04-19 15:25 - 00602112 ____A (OldTimer Tools) C:\Users\Nana xxxx\Desktop\OTL.exe
2013-04-19 15:20 - 2013-04-19 15:20 - 400639810 ____A C:\Windows\MEMORY.DMP
2013-04-19 15:20 - 2013-04-19 15:20 - 00505672 ____A C:\Windows\Minidump\041913-14227-01.dmp
2013-04-19 15:15 - 2013-04-19 15:15 - 00003367 ____A C:\Users\Nana xxxx\Desktop\gmer.txt
2013-04-19 14:32 - 2013-04-19 14:32 - 00377856 ____A C:\Users\Nana xxxx\Desktop\gmer_2.1.19163.exe
2013-04-19 14:29 - 2013-04-19 14:29 - 00050477 ____A C:\Users\Nana xxxx\Desktop\Defogger.exe
2013-04-19 14:29 - 2013-04-19 14:29 - 00000480 ____A C:\Users\Nana xxxx\Desktop\defogger_disable.log
2013-04-19 14:27 - 2013-04-19 14:27 - 00000000 ____A C:\Users\Nana xxxx\defogger_reenable
2013-04-17 22:09 - 2013-04-17 22:09 - 00001753 ____A C:\Users\Public\Desktop\iTunes.lnk
2013-04-17 22:08 - 2013-04-17 22:08 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-04-17 22:08 - 2013-04-17 22:08 - 00000000 ____D C:\Program Files\iTunes
2013-04-17 22:08 - 2013-04-17 22:08 - 00000000 ____D C:\Program Files\iPod
2013-04-17 22:08 - 2012-08-21 12:01 - 00026840 ____A (GEAR Software Inc.) C:\Windows\System32\Drivers\GEARAspiWDM.sys
2013-04-17 10:56 - 2013-04-17 10:56 - 00492072 ____A C:\Windows\Minidump\041713-16941-01.dmp
2013-04-17 09:25 - 2013-04-17 09:25 - 00156496 ____A C:\Windows\Minidump\041713-36660-01.dmp
2013-04-16 21:42 - 2013-04-16 21:42 - 00502568 ____A C:\Windows\Minidump\041613-14991-01.dmp
2013-04-16 21:28 - 2013-04-16 21:28 - 00491560 ____A C:\Windows\Minidump\041613-15085-01.dmp
2013-04-16 20:36 - 2013-04-16 20:36 - 00000000 ____D C:\Users\Nana xxxx\AppData\Roaming\Malwarebytes
2013-04-16 20:35 - 2013-04-16 20:35 - 00001067 ____A C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2013-04-16 20:35 - 2013-04-16 20:35 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-04-16 20:35 - 2013-04-16 20:35 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-04-16 20:35 - 2013-04-04 13:50 - 00022856 ____A (Malwarebytes Corporation) C:\Windows\System32\Drivers\mbam.sys
2013-04-16 13:21 - 2013-04-16 13:22 - 00501920 ____A C:\Windows\Minidump\041613-16473-01.dmp
2013-04-16 13:15 - 2013-04-16 13:15 - 00491984 ____A C:\Windows\Minidump\041613-19749-01.dmp
2013-04-14 23:04 - 2013-04-14 23:04 - 00502248 ____A C:\Windows\Minidump\041513-16005-01.dmp
2013-04-12 21:53 - 2013-04-12 21:53 - 00156336 ____A C:\Windows\Minidump\041213-19671-01.dmp
2013-04-12 21:48 - 2013-04-19 15:20 - 00000000 ____D C:\Windows\Minidump
2013-04-12 21:48 - 2013-04-17 22:26 - 00131072 ____N C:\Windows\Minidump\041713-34429-01.dmp
2013-04-12 21:48 - 2013-04-12 21:48 - 00495384 ____A C:\Windows\Minidump\041213-20358-01.dmp
2013-04-12 01:45 - 2013-02-22 04:46 - 01800704 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-04-12 01:45 - 2013-02-22 04:38 - 01129472 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-04-12 01:45 - 2013-02-22 04:36 - 00231936 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2013-04-12 01:45 - 2013-02-22 04:35 - 00065024 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-04-12 01:45 - 2013-02-22 04:34 - 00717824 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-04-12 01:45 - 2013-02-22 04:34 - 00420864 ____A (Microsoft Corporation) C:\Windows\System32\vbscript.dll
2013-04-12 01:45 - 2013-02-22 04:34 - 00142848 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2013-04-12 01:45 - 2013-02-22 04:33 - 00607744 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-04-12 01:45 - 2013-02-22 04:31 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-04-12 01:45 - 2013-02-22 04:31 - 00073216 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2013-04-12 01:45 - 2013-02-22 04:28 - 00176640 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-04-12 01:44 - 2013-02-22 05:05 - 12324352 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-04-12 01:44 - 2013-02-22 04:47 - 09738752 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-04-12 01:44 - 2013-02-22 04:38 - 01104384 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-04-12 01:44 - 2013-02-22 04:37 - 01427968 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2013-04-12 01:44 - 2013-02-22 04:32 - 01796096 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-04-11 15:43 - 2013-03-19 06:04 - 03968856 ____A (Microsoft Corporation) C:\Windows\System32\ntkrnlpa.exe
2013-04-11 15:43 - 2013-03-19 06:04 - 03913560 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2013-04-11 15:43 - 2013-03-01 04:09 - 02347008 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2013-04-11 15:43 - 2013-01-24 05:47 - 00196328 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\fvevol.sys
2013-04-11 15:42 - 2013-03-19 05:48 - 00038912 ____A (Microsoft Corporation) C:\Windows\System32\csrsrv.dll
2013-04-11 15:42 - 2013-03-19 03:49 - 00069632 ____A (Microsoft Corporation) C:\Windows\System32\smss.exe
2013-04-11 15:42 - 2013-03-02 06:07 - 01212264 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\ntfs.sys
2013-04-11 15:42 - 2013-02-15 05:37 - 03217408 ____A (Microsoft Corporation) C:\Windows\System32\mstscax.dll
2013-04-11 15:42 - 2013-02-15 05:34 - 00131584 ____A (Microsoft Corporation) C:\Windows\System32\aaclient.dll
2013-04-11 15:42 - 2013-02-15 04:25 - 00036864 ____A (Microsoft Corporation) C:\Windows\System32\tsgqec.dll
2013-04-04 17:16 - 2013-04-04 21:41 - 00000000 ____D C:\Program Files\Mozilla Thunderbird
2013-03-25 17:40 - 2012-08-22 18:16 - 00712048 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\ndis.sys
2013-03-25 17:40 - 2012-07-04 20:45 - 00033280 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\RNDISMP.sys
2013-03-25 17:39 - 2012-11-23 03:48 - 00049152 ____A (Microsoft Corporation) C:\Windows\System32\taskhost.exe
2013-03-25 17:39 - 2012-10-09 18:40 - 00193536 ____A (Microsoft Corporation) C:\Windows\System32\dhcpcore6.dll
2013-03-25 17:39 - 2012-10-09 18:40 - 00044032 ____A (Microsoft Corporation) C:\Windows\System32\dhcpcsvc6.dll
2013-03-25 17:39 - 2012-10-03 17:42 - 00242176 ____A (Microsoft Corporation) C:\Windows\System32\nlasvc.dll
2013-03-25 17:39 - 2012-10-03 17:42 - 00175104 ____A (Microsoft Corporation) C:\Windows\System32\netcorehc.dll
2013-03-25 17:39 - 2012-10-03 17:42 - 00156672 ____A (Microsoft Corporation) C:\Windows\System32\ncsi.dll
2013-03-25 17:39 - 2012-10-03 17:42 - 00052224 ____A (Microsoft Corporation) C:\Windows\System32\nlaapi.dll
2013-03-25 17:39 - 2012-10-03 17:42 - 00018944 ____A (Microsoft Corporation) C:\Windows\System32\netevent.dll
2013-03-25 17:39 - 2012-10-03 17:40 - 00499712 ____A (Microsoft Corporation) C:\Windows\System32\iphlpsvc.dll
2013-03-25 17:39 - 2012-10-03 16:21 - 00035328 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpipreg.sys
2013-03-25 17:39 - 2012-08-21 21:12 - 00245760 ____A (Microsoft Corporation) C:\Windows\System32\OxpsConverter.exe
2013-03-24 16:36 - 2013-03-24 19:57 - 00031005 ____H C:\Users\Nana xxxx\Desktop\~WRL0003.tmp
2013-03-20 11:48 - 2011-01-17 06:47 - 00161792 ____A (Microsoft Corporation) C:\Windows\System32\d3d10_1.dll
2013-03-20 00:59 - 2013-03-20 00:59 - 00000000 ____D C:\Windows\System32\SPReview
2013-03-20 00:58 - 2013-03-20 00:58 - 00000000 ____D C:\Windows\System32\EventProviders

==================== One Month Modified Files and Folders ========

2013-04-19 22:14 - 2013-04-19 22:14 - 00000000 ____D C:\FRST
2013-04-19 21:33 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\LogFiles
2013-04-19 21:01 - 2012-07-10 21:31 - 01122125 ____A C:\Windows\WindowsUpdate.log
2013-04-19 20:50 - 2009-07-14 05:34 - 00014592 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-04-19 20:50 - 2009-07-14 05:34 - 00014592 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-04-19 20:47 - 2012-07-10 21:43 - 01498506 ____A C:\Windows\System32\PerfStringBackup.INI
2013-04-19 20:43 - 2012-09-09 18:54 - 00000000 ____D C:\ProgramData\NVIDIA
2013-04-19 20:43 - 2009-07-14 05:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-04-19 20:43 - 2009-07-14 05:39 - 00055284 ____A C:\Windows\setupact.log
2013-04-19 20:20 - 2013-02-13 10:32 - 00000000 ____D C:\Users\Nana xxxx\Desktop\Pulp Fiction
2013-04-19 19:18 - 2013-04-19 19:09 - 00000000 ____D C:\Users\Nana xxxx\Desktop\mbar
2013-04-19 19:09 - 2013-04-19 19:09 - 12917756 ____A C:\Users\Nana xxxx\Desktop\mbar-1.05.0.1001.zip
2013-04-19 19:02 - 2012-07-11 09:32 - 00117400 ____A C:\Windows\PFRO.log
2013-04-19 16:27 - 2013-04-19 15:31 - 00054026 ____A C:\Users\Nana xxxx\Desktop\OTL.Txt
2013-04-19 16:19 - 2013-04-19 16:19 - 00009012 ____A C:\ComboFix.txt
2013-04-19 16:19 - 2013-04-19 16:11 - 00000000 ____D C:\Qoobox
2013-04-19 16:19 - 2009-07-14 03:37 - 00000000 __RHD C:\users\Default
2013-04-19 16:19 - 2009-07-14 03:37 - 00000000 ___RD C:\users\Public
2013-04-19 16:17 - 2013-04-19 16:11 - 00000000 ____D C:\Windows\erdnt
2013-04-19 16:17 - 2009-07-14 03:04 - 00000215 ____A C:\Windows\system.ini
2013-04-19 16:07 - 2013-04-19 16:07 - 05056689 ____R (Swearware) C:\Users\Nana xxxx\Desktop\ComboFix.exe
2013-04-19 15:32 - 2013-04-19 15:32 - 00034358 ____A C:\Users\Nana xxxx\Desktop\Extras.Txt
2013-04-19 15:25 - 2013-04-19 15:25 - 00602112 ____A (OldTimer Tools) C:\Users\Nana xxxx\Desktop\OTL.exe
2013-04-19 15:20 - 2013-04-19 15:20 - 400639810 ____A C:\Windows\MEMORY.DMP
2013-04-19 15:20 - 2013-04-19 15:20 - 00505672 ____A C:\Windows\Minidump\041913-14227-01.dmp
2013-04-19 15:20 - 2013-04-12 21:48 - 00000000 ____D C:\Windows\Minidump
2013-04-19 15:15 - 2013-04-19 15:15 - 00003367 ____A C:\Users\Nana xxxx\Desktop\gmer.txt
2013-04-19 14:32 - 2013-04-19 14:32 - 00377856 ____A C:\Users\Nana xxxx\Desktop\gmer_2.1.19163.exe
2013-04-19 14:29 - 2013-04-19 14:29 - 00050477 ____A C:\Users\Nana xxxx\Desktop\Defogger.exe
2013-04-19 14:29 - 2013-04-19 14:29 - 00000480 ____A C:\Users\Nana xxxx\Desktop\defogger_disable.log
2013-04-19 14:27 - 2013-04-19 14:27 - 00000000 ____A C:\Users\Nana xxxx\defogger_reenable
2013-04-19 14:27 - 2012-07-10 23:20 - 00000000 ____D C:\Program Files\Opera
2013-04-19 14:27 - 2012-07-10 21:42 - 00000000 ____D C:\users\Nana xxxx
2013-04-17 22:26 - 2013-04-12 21:48 - 00131072 ____N C:\Windows\Minidump\041713-34429-01.dmp
2013-04-17 22:09 - 2013-04-17 22:09 - 00001753 ____A C:\Users\Public\Desktop\iTunes.lnk
2013-04-17 22:08 - 2013-04-17 22:08 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-04-17 22:08 - 2013-04-17 22:08 - 00000000 ____D C:\Program Files\iTunes
2013-04-17 22:08 - 2013-04-17 22:08 - 00000000 ____D C:\Program Files\iPod
2013-04-17 22:08 - 2012-07-11 21:22 - 00000000 ____D C:\Program Files\Common Files\Apple
2013-04-17 22:07 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\DriverStore
2013-04-17 10:56 - 2013-04-17 10:56 - 00492072 ____A C:\Windows\Minidump\041713-16941-01.dmp
2013-04-17 10:56 - 2009-07-14 05:52 - 00000000 ____D C:\Windows\addins
2013-04-17 09:25 - 2013-04-17 09:25 - 00156496 ____A C:\Windows\Minidump\041713-36660-01.dmp
2013-04-16 21:42 - 2013-04-16 21:42 - 00502568 ____A C:\Windows\Minidump\041613-14991-01.dmp
2013-04-16 21:28 - 2013-04-16 21:28 - 00491560 ____A C:\Windows\Minidump\041613-15085-01.dmp
2013-04-16 20:36 - 2013-04-16 20:36 - 00000000 ____D C:\Users\Nana xxxx\AppData\Roaming\Malwarebytes
2013-04-16 20:35 - 2013-04-16 20:35 - 00001067 ____A C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
2013-04-16 20:35 - 2013-04-16 20:35 - 00000000 ____D C:\ProgramData\Malwarebytes
2013-04-16 20:35 - 2013-04-16 20:35 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware
2013-04-16 13:22 - 2013-04-16 13:21 - 00501920 ____A C:\Windows\Minidump\041613-16473-01.dmp
2013-04-16 13:15 - 2013-04-16 13:15 - 00491984 ____A C:\Windows\Minidump\041613-19749-01.dmp
2013-04-14 23:04 - 2013-04-14 23:04 - 00502248 ____A C:\Windows\Minidump\041513-16005-01.dmp
2013-04-12 21:53 - 2013-04-12 21:53 - 00156336 ____A C:\Windows\Minidump\041213-19671-01.dmp
2013-04-12 21:48 - 2013-04-12 21:48 - 00495384 ____A C:\Windows\Minidump\041213-20358-01.dmp
2013-04-12 19:21 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\LiveKernelReports
2013-04-12 17:22 - 2012-09-09 18:52 - 00000000 ____D C:\Program Files\NVIDIA Corporation
2013-04-12 16:41 - 2013-01-24 17:52 - 00000000 ____D C:\Users\Nana xxxx\AppData\Roaming\vlc
2013-04-12 10:37 - 2009-07-14 05:33 - 00342816 ____A C:\Windows\System32\FNTCACHE.DAT
2013-04-12 01:46 - 2012-07-11 17:39 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-04-05 07:23 - 2012-10-16 08:33 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-04-04 21:41 - 2013-04-04 17:16 - 00000000 ____D C:\Program Files\Mozilla Thunderbird
2013-04-04 13:50 - 2013-04-16 20:35 - 00022856 ____A (Malwarebytes Corporation) C:\Windows\System32\Drivers\mbam.sys
2013-03-28 17:05 - 2009-07-14 05:53 - 00032632 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-03-27 20:38 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\rescache
2013-03-26 10:33 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\Microsoft.NET
2013-03-26 10:21 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\de-DE
2013-03-25 16:08 - 2009-07-14 09:56 - 00000000 ___RD C:\Users\Public\Recorded TV
2013-03-25 16:08 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\wfp
2013-03-25 16:08 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\registration
2013-03-25 16:08 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\AppCompat
2013-03-25 16:07 - 2013-03-17 11:47 - 00000000 ____D C:\Users\Nana xxxx\Documents\Citavi 3
2013-03-24 19:57 - 2013-03-24 16:36 - 00031005 ____H C:\Users\Nana xxxx\Desktop\~WRL0003.tmp
2013-03-20 11:23 - 2009-07-14 09:56 - 00000000 ____D C:\Program Files\Windows Journal
2013-03-20 11:23 - 2009-07-14 09:47 - 00000000 ____D C:\Windows\de-DE
2013-03-20 11:23 - 2009-07-14 05:52 - 00000000 ____D C:\Program Files\Windows Sidebar
2013-03-20 11:23 - 2009-07-14 05:52 - 00000000 ____D C:\Program Files\Windows Portable Devices
2013-03-20 11:23 - 2009-07-14 05:52 - 00000000 ____D C:\Program Files\Windows Photo Viewer
2013-03-20 11:23 - 2009-07-14 05:52 - 00000000 ____D C:\Program Files\Windows Defender
2013-03-20 11:23 - 2009-07-14 05:52 - 00000000 ____D C:\Program Files\DVD Maker
2013-03-20 11:23 - 2009-07-14 03:37 - 00000000 ____D C:\Program Files\Common Files\System
2013-03-20 11:22 - 2009-07-14 09:56 - 00000000 __SHD C:\Windows\BitLockerDiscoveryVolumeContents
2013-03-20 11:22 - 2009-07-14 09:47 - 00000000 ____D C:\Windows\System32\Drivers\de-DE
2013-03-20 11:22 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\AdvancedInstallers
2013-03-20 01:06 - 2009-07-14 03:05 - 00152576 ____A (Microsoft Corporation) C:\Windows\System32\msclmd.dll
2013-03-20 00:59 - 2013-03-20 00:59 - 00000000 ____D C:\Windows\System32\SPReview
2013-03-20 00:58 - 2013-03-20 00:58 - 00000000 ____D C:\Windows\System32\EventProviders

==================== Known DLLs (Whitelisted) =================

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points =========================

Restore point made on: 2013-03-26 01:29:09
Restore point made on: 2013-04-02 17:44:37
Restore point made on: 2013-04-10 16:31:51
Restore point made on: 2013-04-12 01:44:42
Restore point made on: 2013-04-12 17:17:32
Restore point made on: 2013-04-12 22:04:34
Restore point made on: 2013-04-12 22:21:39
Restore point made on: 2013-04-14 22:59:33
Restore point made on: 2013-04-16 11:48:27
Restore point made on: 2013-04-16 12:19:39
Restore point made on: 2013-04-16 12:57:34
Restore point made on: 2013-04-17 21:52:28
Restore point made on: 2013-04-17 22:07:45
Restore point made on: 2013-04-18 08:19:19
Restore point made on: 2013-04-18 08:24:15
Restore point made on: 2013-04-19 16:12:09

==================== Memory info ===========================

Percentage of memory in use: 14%
Total physical RAM: 3071.3 MB
Available physical RAM: 2612.04 MB
Total Pagefile: 3069.58 MB
Available Pagefile: 2608.55 MB
Total Virtual: 2047.88 MB
Available Virtual: 1962.3 MB

==================== Partitions =============================

1 Drive c: () (Fixed) (Total:465.66 GB) (Free:410.66 GB) NTFS
3 Drive f: () (Removable) (Total:3.6 GB) (Free:3.6 GB) FAT32
7 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
8 Drive y: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

Datentr„ger ### Status Gr”áe Frei Dyn GPT
--------------- ------------- ------- ------- --- ---
Datentr„ger 0 Online 465 GB 0 B
Datentr„ger 1 Online 3700 MB 0 B
Datentr„ger 2 Kein Medium 0 B 0 B
Datentr„ger 3 Kein Medium 0 B 0 B
Datentr„ger 4 Kein Medium 0 B 0 B

Partitions of Disk 0:
===============

Datentr„ger-ID: 6B961D96

Partition ### Typ Gr”áe Offset
------------- ---------------- ------- -------
Partition 1 Prim„r 100 MB 1024 KB
Partition 2 Prim„r 465 GB 101 MB

=========================================================

Disk: 0
Partition 1
Typ : 07
Versteckt: Nein
Aktiv : Ja

Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 1 Y System-rese NTFS Partition 100 MB Fehlerfre

=========================================================

Disk: 0
Partition 2
Typ : 07
Versteckt: Nein
Aktiv : Nein

Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 2 C NTFS Partition 465 GB Fehlerfre

=========================================================

Partitions of Disk 1:
===============

Datentr„ger-ID: C3072E18

Partition ### Typ Gr”áe Offset
------------- ---------------- ------- -------
Partition 1 Prim„r 3695 MB 4924 KB

=========================================================

Disk: 1
Partition 1
Typ : 0B
Versteckt: Nein
Aktiv : Ja

Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 3 F FAT32 Wechselmed 3695 MB Fehlerfre

=========================================================
============================== MBR Partition Table ==================

==============================
Partitions of Disk 0:
===============
Disk ID: 6B961D96

Partition 1:
=========
Hex: 8020210007DF130C0008000000200300
Active: YES
Type: 07 (NTFS)
Size: 100 MB

Partition 2:
=========
Hex: 00DF140C07FEFFFF002803000030353A
Active: NO
Type: 07 (NTFS)
Size: 466 GB

==============================
Partitions of Disk 1:
===============
Disk ID: C3072E18

Partition 1:
=========
Hex: 800101000B7FD7AB7826000088797300
Active: YES
Type: 0B
Size: 4 GB

Last Boot: 2013-04-16 14:45

==================== End Of Log =================

aharonov · 19.04.2013, 22:18

Ich seh da im FRST-Log keine Anzeichen für Malware..
Machen wir noch eine Kontrolle und dann können wir auch andere Möglichkeiten ins Auge fassen.

Schritt 1

Starte bitte die OTL.exe.
Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code:

ATTFilter

:OTL
IE - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.babylon.com/?affID=111304&tt=3512_4&babsrc=HP_ss&mntrId=4af902bd000000000000000000000000
IE - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = hxxp://search.babylon.com/?q={searchTerms}&affID=111304&tt=3512_4&babsrc=SP_ss&mntrId=4af902bd000000000000000000000000

:commands
[emptytemp]

Schliesse nun bitte alle anderen Programme.
Klicke jetzt auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
(Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
Kopiere nun dessen Inhalt hier in deinen Thread.

Schritt 2

Öffne das Programm Malwarebytes Anti-Malware.
Vista und Win7 User mit Rechtsklick "als Administrator starten".
Klicke auf Aktualisierung --> Suche nach Aktualisierung.
Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.

Schritt 3

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.

Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
(Danach nicht vergessen, sie wieder einzuschalten.)
Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
Warte bis die Komponenten heruntergeladen sind.
Setze den Haken bei Scan archives.
Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
Drücke dann auf Start.
Die Signaturen werden heruntergeladen und der Scan startet automatisch.
Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
Falls nach Beendigung des Scans Funde angezeigt werden, dann:
- Drücke auf List of found threats.
- Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
- Drücke danach auf << Back.
Schliesse nun den Scanner mit einem Klick auf Finish.

Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.

Schritt 4

Downloade dir bitte SecurityCheck (Link 2).

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Bitte poste in deiner nächsten Antwort:

Fixlog von OTL
Log von MBAM
Log von ESET
Log von SecurityCheck

gast123 · 19.04.2013, 23:37

Es hat etwas gedauert, aber nun hier die Ergebnisse:

OLT:

All processes killed
Error: Unable to interpret <:OTL IE - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.babylon.com/?affID=111304&tt=3512_4&babsrc=HP_ss&mntrId=4af902bd000000000000000000000000 IE - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = hxxp://search.babylon.com/?q={searchTerms}&affID=111304&tt=3512_4&babsrc=SP_ss&mntrId=4af902bd000000000000000000000000 :commands [emptytemp] > in the current context!

OTL by OldTimer - Version 3.2.69.0 log created on 04192013_232320

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Malwarebytes:

Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.04.19.08

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Nana xxxx :: NANAXXXX-PC [Administrator]

Schutz: Deaktiviert

19.04.2013 23:32:08
mbam-log-2013-04-19 (23-32-08).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 225095
Laufzeit: 5 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

ESET:

Es wurde nichts gefunden.

Security Check:

Results of screen317's Security Check version 0.99.62
Windows 7 Service Pack 1 x86 (UAC is enabled)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
Avira Desktop
Antivirus out of date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.75.0.1300
Java 7 Update 7
Java version out of Date!
Adobe Flash Player 11.5.502.110
Mozilla Thunderbird (17.0.5)
````````Process Check: objlist.exe by Laurent````````
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
Malwarebytes' Anti-Malware mbamscheduler.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

aharonov · 19.04.2013, 23:44

Hey,

der OTL-Fix (Schritt 1) hat nicht geklappt. Wiederhole diesen bitte und achte darauf, dass der Text, welchen du in die Textbox eingefügt ist, genau so formatiert ist und nicht die Zeilenumbrüche verloren gehen.

Dazu:

Schritt 1

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können.

Die aktuelle Version ist Java 7 Update 21.

Gehe zu
Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Win 7)
Start --> Systemsteuerung --> Software (bei Win XP)
und deinstalliere alle älteren Java-Versionen.

In wenigen Fällen wird Java wirklich benötigt. Auch werden immer wieder neue, noch nicht geschlossene Sicherheitslücken ausgenutzt.
Überleg dir also, ob du eine Java-Installation wirklich brauchst.
Falls du Java weiterhin verwenden möchtest, dann:

Lade dir die neueste Java-Version herunter.
Schliesse alle laufenden Programme, speziell den Browser.
Starte die heruntergeladene jxpiinstall.exe und folge den Anweisungen.
Entferne während der Installation den Haken bei "Installieren Sie die Ask-Toolbar ...".

Schritt 2

Dein Flashplayer ist veraltet. Installiere folgendermassen die aktuelle Version:

Besuche diese Seite von Adobe.
Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
Drücke auf Jetzt herunterladen und installiere die neuste Version.

Überprüfe dann mit diesem Plugin-Check, ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.

gast123 · 19.04.2013, 23:59

Ich habe mich dazu entschlossen, Java vorerst nicht zu nutzen (sollte es doch benötigt werden kann ich es immer noch installieren). Mein Flashplayer ist jetzt auf dem neuesten Stand.

Zum OTL-Fix:
Ich bin gerade dabei ihn noch einmal durchzuführen, allerdings klappt immernoch kein Neustart. . . Die neue Logdatei sieht wie folgt aus:

All processes killed
========== OTL ==========
HKU\S-1-5-21-3950097478-995871601-3625859196-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-3950097478-995871601-3625859196-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Nana xxxx
->Temp folder emptied: 735529 bytes
->Temporary Internet Files folder emptied: 21457225 bytes
->Java cache emptied: 504899 bytes
->Opera cache emptied: 52979231 bytes
->Flash cache emptied: 2810 bytes

User: Public
->Temp folder emptied: 0 bytes

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 72,00 mb

OTL by OldTimer - Version 3.2.69.0 log created on 04202013_005203

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

aharonov · 20.04.2013, 00:12

Ok, und jetzt ist der Zustand des Systems unverändert schlecht?

Dann versuch mal das:

Downloade dir bitte Windows Repair (all in one) und entpacke das Archiv auf den Desktop.

Starte nun die darin enthaltene Repair_Windows.exe.
Wähle den Reiter Step 2 (optional) und drücke auf Do It. Der Rechner wird neu gestartet.
Öffne das Programm erneut und klicke im Reiter Step 3 (optional) ebenfalls auf Do It. Starte danach den Rechner neu.
Im Reiter Step 4 (optional) drücke dann unter System Restore auf Create.
Danach drücke im Reiter Start Repairs auf Start.
Klicke auf Select All, setze den Haken bei Restart/Shutdown System When Finished und wähle die Option Restart System.
Deaktiviere temporär dein Antivirenprogramm und drücke auf Start.

gast123 · 20.04.2013, 09:36

So, bin nun damit durch.
Die ersten beiden Neustarts haben mal wieder nicht funktioniert.
Nach dem letzten Schritt dachte ich das Problem sei tatsächlich behoben (dort hat er auch zum ersten Mal wieder einen vernünftigen Neustart gemacht), doch leider besteht es immernoch.

aharonov · 20.04.2013, 12:25

Ich seh bei dir keine Malware mehr im Moment.. (Das muss natürlich nichts bedeuten!)
Hast du schon in eine andere Richtung geschaut, was die Probleme sonst noch verursachen könnte?

gast123 · 20.04.2013, 12:30

Zum Beispiel?

Mir wurde schon gesagt ich solle mal das Innenleben untersuchen, allerdings ist dort auch nichts zu finden und es sieht alles so aus, wie es sollte.
Ich hatte vor circa einem Jahr Probleme mit meiner Festplatte. Diese befindet sich noch im Computer, ist allerdings auch nicht mehr angeschlossen.

19.04.2013, 20:46	#16
aharonov /// TB-Ausbilder	Problem: Unerwartete Abstürze nach Virenfund Wie startest du denn auf diesem Rechner in den abgesicherten Modus...? __________________ cheers, Leo

19.04.2013, 20:57	#18
aharonov /// TB-Ausbilder	Problem: Unerwartete Abstürze nach Virenfund Du kannst garantiert auch so in den abgesicherten Modus booten: http://www.trojaner-board.de/63335-w...s-starten.html Schau, wie du zu dieser Startauswahl gelangst und dann, ob du dort die Reperaturoptionen gelistet hast. __________________ __________________

20.04.2013, 12:25	#26
aharonov /// TB-Ausbilder	Problem: Unerwartete Abstürze nach Virenfund Ich seh bei dir keine Malware mehr im Moment.. (Das muss natürlich nichts bedeuten!) Hast du schon in eine andere Richtung geschaut, was die Probleme sonst noch verursachen könnte? __________________ cheers, Leo

Problem: Unerwartete Abstürze nach Virenfund

Plagegeister aller Art und deren Bekämpfung: Problem: Unerwartete Abstürze nach Virenfund