Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Windows XP Weißer Bildschirm nach der Anmeldung

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.07.2013, 16:20   #1
Knoedel68
 
Windows XP Weißer Bildschirm nach der Anmeldung - Standard

Windows XP Weißer Bildschirm nach der Anmeldung



Hallo,

ich bin neu hier und melde mich gleich mal mit einem Problem.

Gestern hat mein Antivirenprogramm (Avira AntiVir) eine Virenwarnung ausgegeben. Als ich bei dieser auf "Entfernen" geklickt habe, wurde mein Bildschirm komplett weiß und hat auf nichts mehr reagiert. Ich habe den Laptop dann ausgeschaltet und wieder eingeschaltet. Er fuhr hoch, hat sich angemeldet, ich habe den Desktopm mit allen Icons gesehen, konnte auch Ordner und Dateien öffnen. Nach wenigen Sekunden kam aber wieder dieselbe Virenwarnung und der Desktop wurde komplett weiß. Dies ist jetzt jedesmal, wenn ich ihn aus- und einschalte so.
Ich habe versucht den Laptop im abgesicherten Modus zu starten. Er bleibt dort aber komplett schwarz, bis auf den Text am Rand "Abgesicherter Modus" etc.

Ich habe jetzt leider keine Ahnung, was ich tun soll.
Ich hab hier im Forum schon einige Threads mit dem selben Problem gesehen, da aber jeweils dabei stand, dass die Ratschläge nur für den Einzelfall gedacht sind, habe ich mich dazu entschieden einen neuen Thread zu eröffnen.

Wahrscheinlich werde ich ja einige Software benötigen. Dies kann dann etwas dauern, da ich erstmal schauen muss, wo ich ins Internet komme.

Zu meinem Laptop: Modell: Lenovo Thinkpad T60, Betriebssystem: Windows XP Professional

Ich hoffe mir kann jemand weiter helfen.

Vielen Dank im Voraus!

Alt 05.07.2013, 16:29   #2
ryder
/// TB-Ausbilder
 
Windows XP Weißer Bildschirm nach der Anmeldung - Standard

Windows XP Weißer Bildschirm nach der Anmeldung



Probiere bitte, ob du eine Eingabeaufforderung bekommst, wenn du abgesichert mit Eingabeaufforderung bootest.

So funktioniert es - Windows XP, Vista und 7:
Abgesicherter Modus zur Bereinigung
Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind:
Abgesicherter Modus
Abgesicherter Modus mit Netzwerktreibern
Abgesicherter Modus mit Eingabeaufforderung
Wähle mit den Pfeiltasten Abgesicherter Modus mit Netzwerktreibern aus und drücke Enter.

So funktioniert es - Windows 8: Alternative Anleitung
__________________

__________________

Alt 05.07.2013, 16:32   #3
Knoedel68
 
Windows XP Weißer Bildschirm nach der Anmeldung - Standard

Windows XP Weißer Bildschirm nach der Anmeldung



Nein, ich bekomme keine Eingabeaufforderung.
__________________

Alt 05.07.2013, 16:35   #4
ryder
/// TB-Ausbilder
 
Windows XP Weißer Bildschirm nach der Anmeldung - Standard

Windows XP Weißer Bildschirm nach der Anmeldung



Okay, dann probieren wir erstmal, ob diese Variante funktioniert:

Computer entsperren mit HitmanPro.Kickstart

Du brauchst hierfür einen USB-Stick. Achtung: Alle Daten darauf werden verloren gehen!
  • Bereite deinen USB-Stick wie folgt vor: Anleitung: HitmanPro.Kickstart
  • Schliesse deinen präparierten Stick an den infizierten Rechner an und starte ihn vom Stick: Anleitung: Starten vom USB-Stick
  • Es erscheint ein Bootmenü von HitmanPro - wähle zunächst Methode 1 aus und wenn das nicht klappen sollte, dann Methode 2.
  • Windows wird jetzt ganz normal starten. Wenn der Sperrschirm des Trojaners erscheint warte einfach ab. HitmanPro sollte in wenigen Sekunden gestartet werden (grünes Fenster).
  • Klicke jetzt: Weiter > "Nein, ich möchte nur einen Einmalscan ..." > Weiter
  • Der Computer wird jetzt untersucht, mache in dieser Zeit bitte nichts.
  • Klicke dann weiter, um die Funde in die Quarantäne zu verschieben.
  • Klicke jetzt unten links auf "Logfile speichern" und lege es auf dem Desktop ab.
  • Lasse den Rechner neu starten, berichte ob alles geklappt hat und poste mir hier das Logfile von HitmanPro.


Video-Anleitung: HitmanPro.Kickstart in Aktion (englisch)
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 05.07.2013, 16:42   #5
Knoedel68
 
Windows XP Weißer Bildschirm nach der Anmeldung - Standard

Windows XP Weißer Bildschirm nach der Anmeldung



Alles klar.
Das kann nur etwas dauern. Ich muss jetzt erst mal schauen, wo ich das Programm runterladen kann. Hier bei der Arbeit darf ich nichts runterladen.
Ich melde mich sobald ich den Schritt gemacht habe. Schonmal vielen Dank.


Alt 05.07.2013, 16:43   #6
ryder
/// TB-Ausbilder
 
Windows XP Weißer Bildschirm nach der Anmeldung - Standard

Windows XP Weißer Bildschirm nach der Anmeldung



Alles klar.
__________________
--> Windows XP Weißer Bildschirm nach der Anmeldung

Alt 06.07.2013, 16:07   #7
Knoedel68
 
Windows XP Weißer Bildschirm nach der Anmeldung - Standard

Windows XP Weißer Bildschirm nach der Anmeldung



Ich hab das jetzt probiert.
USB-Stick hab ich erstellt; Methode 1 durchgeführt und den Logfile gespeichert.
Leider hat sich dadurch das Problem aber nicht behoben, wodurch ich natürlich auch nicht an den Log-File komme.
Ich wollte dann Methode 2 durchführen, bekomme aber folgende Fehlermeldung:

"Der Systemprozess C:/WINDOWS/system32/services.exe wurde unerwartet mit dem Statuscode -1 beendet. Das System wird heruntergefahren und neu gestartet."

Alt 06.07.2013, 16:39   #8
ryder
/// TB-Ausbilder
 
Windows XP Weißer Bildschirm nach der Anmeldung - Standard

Windows XP Weißer Bildschirm nach der Anmeldung



Nach der Aktion mit Hitman ... kommst du jetzt in abgesichert mit Eingabeaufforderung? Falls NICHT, dann ...

http://www.trojaner-board.de/90074-otlpe.html
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 06.07.2013, 16:52   #9
Knoedel68
 
Windows XP Weißer Bildschirm nach der Anmeldung - Standard

Windows XP Weißer Bildschirm nach der Anmeldung



Im abgesicherten Modus mit Eingabeaufforderung bekomme ich als Admin jetzt eine Eingabeaufforderung.

Alt 06.07.2013, 17:01   #10
ryder
/// TB-Ausbilder
 
Windows XP Weißer Bildschirm nach der Anmeldung - Standard

Windows XP Weißer Bildschirm nach der Anmeldung



Hervorragend!

Computer mit Combofix entsperren

Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!

  1. Combofix kopieren
    • Lade dir Combofix an einem sauberen Rechner (evtl. Nachbar, Freund, ...) von einem dieser Downloadlinks: Link
    • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
  2. Start mit Eingabeaufforderung
    • Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
    • Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
    • Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
  3. Combofix starten
    • Tippe explorer (Enter)
    • Finde den USB-Stick und starte Combofix mit einem Doppelklick.
    • Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
    • Übergehe alle anderen Warnungen mit OK.
  4. Logfile posten
    • Es könnte eine Warnung erscheinen, ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
    • Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
    • Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor anklicken - Anleitung)
    • Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 06.07.2013, 17:41   #11
Knoedel68
 
Windows XP Weißer Bildschirm nach der Anmeldung - Standard

Windows XP Weißer Bildschirm nach der Anmeldung



Das scheint funktioniert zu haben.

Hier der Log-File:

Code:
ATTFilter
ComboFix 13-07-06.03 - Administrator 06.07.2013  17:28:15.2.2 - x86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1774 [GMT 2:00]
ausgeführt von:: G:\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\User\Lokale Einstellungen\Temp\{AC76BA86-7AD7-1031-7B44-AB0000000001}\FixTransforms.exe
c:\dokumente und einstellungen\User\Lokale Einstellungen\Temp\AskSLib.dll
c:\dokumente und einstellungen\User\Lokale Einstellungen\Temp\BITB.tmp
c:\dokumente und einstellungen\User\Lokale Einstellungen\Temp\MozUpdater\updater.exe
c:\dokumente und einstellungen\User\Lokale Einstellungen\Temp\odvbalowogwjrocav.dll
c:\dokumente und einstellungen\User\Lokale Einstellungen\Temp\odvbalowogwjrocav.exe
c:\windows\EventSystem.log
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\system32\TPHDLOG0.LOG
c:\windows\wininit.ini
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-06-06 bis 2013-07-06  ))))))))))))))))))))))))))))))
.
.
2013-07-06 15:07 . 2013-07-06 15:07	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2013-07-06 13:58 . 2013-07-06 13:58	--------	d-----w-	c:\programme\GUM3.tmp
2013-07-06 13:58 . 2013-07-06 13:58	4249600	----a-w-	c:\programme\GUT4.tmp
2013-07-06 13:19 . 2013-07-06 13:51	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\HitmanPro
2013-06-19 21:16 . 2013-06-19 21:16	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2013-06-19 21:16 . 2013-06-19 21:16	--------	d-----r-	c:\programme\Skype
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-06-12 05:52 . 2012-04-02 10:00	692104	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-06-12 05:52 . 2011-06-09 23:25	71048	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-05-03 05:39 . 2004-08-03 23:50	2031104	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-05-03 05:39 . 1979-12-31 23:00	2152448	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-04-16 21:53 . 1979-12-31 23:00	841216	----a-w-	c:\windows\system32\wininet.dll
2013-04-16 21:53 . 1979-12-31 23:00	1830912	------w-	c:\windows\system32\inetcpl.cpl
2013-04-16 21:53 . 1979-12-31 23:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2013-04-16 21:53 . 1979-12-31 23:00	17408	------w-	c:\windows\system32\corpol.dll
2013-04-12 23:28 . 1979-12-31 23:00	389120	----a-w-	c:\windows\system32\html.iec
2013-04-12 14:00 . 1979-12-31 23:00	1876480	----a-w-	c:\windows\system32\win32k.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-17 14:45	130736	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-17 14:45	130736	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-17 14:45	130736	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-17 14:45	130736	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2013-01-24 18707048]
"MsgCenterExe"="c:\programme\real\realplayer\update\RealOneMessageCenter.exe" [2012-06-08 79008]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-09-15 110592]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-09-15 512000]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-10-28 864256]
"TpShocks"="TpShocks.exe" [2005-11-07 106496]
"TP4EX"="tp4ex.exe" [2005-10-17 65536]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-28 98304]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-28 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-28 118784]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-03-09 94208]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-12-15 925696]
"ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2006-04-17 409600]
"ACWLIcon"="c:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2006-04-17 98304]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2005-12-07 151552]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2005-12-07 208896]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-09-17 254896]
"TkBellExe"="c:\programme\real\realplayer\update\realsched.exe" [2012-06-08 296056]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="StartAs" [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify]
2006-04-17 12:01	32768	----a-w-	c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-08-14 14:54	89600	----a-w-	c:\windows\system32\psqlpwd.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 22:45	28672	----a-w-	c:\windows\system32\notifyf2.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 19:16	24576	----a-w-	c:\windows\system32\tphklock.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37.sys]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HitmanPro37Crusader]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HitmanPro37CrusaderBoot]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Digital Line Detect.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Digital Line Detect.lnk
backup=c:\windows\pss\Digital Line Detect.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^User^Startmenü^Programme^Autostart^PNotes.lnk]
path=c:\dokumente und einstellungen\User\Startmenü\Programme\Autostart\PNotes.lnk
backup=c:\windows\pss\PNotes.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cssauth]
2005-12-21 17:08	1996336	-c--a-w-	c:\programme\IBM ThinkVantage\Client Security Solution\cssauth.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 05:52	15360	----a-w-	c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2012-04-11 09:54	3672384	----a-w-	d:\programme\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXMediaServer]
2012-11-13 18:13	450560	----a-w-	c:\programme\DivX\DivX Media Server\DivXMediaServer.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2012-11-30 02:06	1263512	----a-w-	c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EEventManager]
2010-10-12 12:56	979328	----a-w-	c:\programme\Epson Software\Event Manager\EEventManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Epson Stylus SX235(Netzwerk)]
2012-02-29 06:03	249440	----a-w-	c:\windows\system32\spool\drivers\w32x86\3\E_FATIHLE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON SX235 Series]
2012-02-29 06:03	249440	----a-w-	c:\windows\system32\spool\drivers\w32x86\3\E_FATIHLE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EZEJMNAP]
2005-11-17 01:22	237568	-c--a-w-	c:\progra~1\ThinkPad\UTILIT~1\EZEJMNAP.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LPManager]
2006-01-25 00:03	106496	-c--a-w-	c:\progra~1\THINKV~1\PrdCtr\LPMGR.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDService.exe]
2005-11-15 12:13	49152	-c--a-r-	c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PSQLLauncher]
2007-08-14 14:32	48904	-c--a-w-	c:\programme\ThinkVantage Fingerprint Software\launcher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2013-01-24 10:28	18707048	----a-r-	c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\suScheduler]
2005-08-01 16:32	40960	-c--a-w-	c:\programme\ThinkVantage\SystemUpdate\UCLauncher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2012-06-08 08:37	296056	----a-w-	c:\programme\Real\RealPlayer\Update\realsched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2011-12-09 17:22	74752	----a-w-	d:\programme\Winamp\winampa.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"UCLauncherService"=2 (0x2)
"TVT Scheduler"=2 (0x2)
"TVT Backup Service"=2 (0x2)
"SymSecurePort"=2 (0x2)
"Symantec AntiVirus"=2 (0x2)
"SPBBCSvc"=3 (0x3)
"SNDSrvc"=2 (0x2)
"SavRoam"=3 (0x3)
"gusvc"=3 (0x3)
"Diskeeper"=2 (0x2)
"DefWatch"=2 (0x2)
"ccSetMgr"=2 (0x2)
"ccPwdSvc"=3 (0x3)
"ccProxy"=2 (0x2)
"ccEvtMgr"=2 (0x2)
"PsaSrv"=3 (0x3)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ThinkVantage\\SystemUpdate\\jre\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\HydraIRC\\HydraIRC.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"d:\\Programme\\Trillian\\trillian.exe"=
"d:\\Programme\\Opera\\opera.exe"=
"d:\\Programme\\MyPhoneExplorer\\MyPhoneExplorer.exe"=
"d:\\Programme\\Veetle\\Player\\VeetleNet.exe"=
"c:\\Programme\\Epson Software\\Event Manager\\EEventManager.exe"=
"d:\\Programme\\Opera\\pluginwrapper\\opera_plugin_wrapper.exe"=
"c:\\Dokumente und Einstellungen\\User\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"d:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"17996:UDP"= 17996:UDP:UDP 17996
"11861:TCP"= 11861:TCP:TCP 11861
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [17.10.2011 12:03 36000]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [21.05.2012 22:52 242240]
R2 ABBYY.Licensing.FineReader.Sprint.9.0;ABBYY FineReader 9.0 Sprint Licensing Service;c:\programme\Gemeinsame Dateien\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe [14.05.2009 18:07 759048]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.10.2011 12:03 86224]
R2 PrivateDisk;PrivateDisk;c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\privatediskm.sys [15.11.2005 14:11 46142]
R2 smi2;smi2;c:\programme\SMI2\smi2.sys [21.12.2005 17:45 3968]
R2 smihlp;SMI Helper Driver (smihlp);c:\programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software\Drivers\smihlp.sys [14.08.2007 16:46 10896]
R3 EuMusDesignVirtualAudioCableWdm;Virtual Audio Cable (WDM);c:\windows\system32\drivers\vrtaucbl.sys [17.02.2012 05:37 50944]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys --> c:\windows\system32\DRIVERS\ewusbnet.sys [?]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [23.09.2012 20:12 12400]
S3 pwdrvio;pwdrvio;c:\windows\system32\pwdrvio.sys [25.09.2012 17:57 15576]
S3 pwdspio;pwdspio;c:\windows\system32\pwdspio.sys [25.09.2012 17:57 10200]
S4 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [24.01.2013 12:24 161384]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4fc9509a-0de3-11e1-b336-0019d296f29a}]
\Shell\AutoRun\command - F:\AutoRun.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4fc9509e-0de3-11e1-b336-001641e48e46}]
\Shell\AutoRun\command - F:\AutoRun.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6a7f26b8-5ce3-11e1-b39f-001641e48e46}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e0ce659b-20db-11e1-b350-001641e48e46}]
\Shell\AutoRun\command - Iomega Encryption Utility.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-02-07 20:58]
.
2013-07-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-02-07 20:58]
.
2013-07-06 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2008-01-11 00:12]
.
2013-07-06 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-3458925570-4173158993-4006367833-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2012-04-30 16:21]
.
2013-05-30 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-3458925570-4173158993-4006367833-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2012-04-30 16:21]
.
2013-06-19 c:\windows\Tasks\ReclaimerUpdateFiles_User.job
- c:\dokumente und einstellungen\User\Anwendungsdaten\Real\Update\UpgradeHelper\RealPlayer\10.50\agent\rnupgagent.exe [2013-06-15 23:04]
.
2013-07-02 c:\windows\Tasks\ReclaimerUpdateXML_User.job
- c:\dokumente und einstellungen\User\Anwendungsdaten\Real\Update\UpgradeHelper\RealPlayer\10.50\agent\rnupgagent.exe [2013-06-15 23:04]
.
2013-07-06 c:\windows\Tasks\RNUpgradeHelperLogonPrompt_User.job
- c:\dokumente und einstellungen\User\Anwendungsdaten\Real\Update\UpgradeHelper\RealPlayer\10.50\agent\rnupgagent.exe [2013-06-15 23:04]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = 
mStart Page = hxxp://de.yahoo.com/?fr=fp-tyc8
IE: Senden an &Bluetooth - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
Trusted Zone: ing-diba.de\verein
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\rq6twxjy.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
WebBrowser-{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - (no file)
WebBrowser-{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - (no file)
HKCU-Run-qcgce2mrvjq91kk1e7pnbb19m52fx - c:\dokume~1\User\LOKALE~1\Temp\odvbalowogwjrocav.exe
HKLM-Explorer_Run-665 - c:\dokume~1\ALLUSE~1\Local Settings\Temp\msdubmn.bat
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
AddRemove-Mozilla Thunderbird (3.1.10) - c:\programme\Mozilla Thunderbird\uninstall\helper.exe
AddRemove-Presentation Director - c:\windows\IsUn0407.exe
AddRemove-toolplugin - c:\dokume~1\User\LOKALE~1\Temp\WZSE0.TMP\setup.exe
AddRemove-_{511DE7EA-AA68-4D7A-A2E3-0E7B5186B822} - c:\programme\Corel\CorelDRAW Graphics Suite X6\Setup\SetupARP.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-07-06 17:35
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3458925570-4173158993-4006367833-1005\Software\SecuROM\License information*]
"datasecu"=hex:0c,7d,3d,77,31,bb,29,36,58,9a,dc,67,4a,fa,3e,4a,5b,de,f1,17,74,
   5c,cb,5b,fc,7f,5e,dc,84,00,1c,f8,a4,69,44,8a,54,df,a2,32,1d,4e,b6,e3,2a,c9,\
"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1764)
c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\programme\ThinkVantage Fingerprint Software\infra.dll
c:\programme\ThinkVantage Fingerprint Software\homepass.dll
c:\programme\ThinkVantage Fingerprint Software\bio.dll
c:\programme\ThinkVantage Fingerprint Software\ps2css.dll
c:\programme\ThinkVantage Fingerprint Software\remote.dll
c:\windows\system32\tphklock.dll
.
- - - - - - - > 'explorer.exe'(4920)
c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\DropboxExt.19.dll
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
c:\programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\System32\TPHDEXLG.EXE
c:\windows\system32\TpKmpSVC.exe
c:\programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
c:\windows\system32\wdfmgr.exe
c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\windows\system32\TpShocks.exe
c:\windows\system32\rundll32.exe
c:\programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
c:\programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
c:\dokumente und einstellungen\User\Anwendungsdaten\Dropbox\bin\Dropbox.exe
c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
d:\programme\OpenOffice\program\soffice.exe
d:\programme\OpenOffice\program\soffice.bin
c:\\?\c:\windows\system32\WBEM\WMIADAP.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-07-06  17:39:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-07-06 15:39
ComboFix2.txt  2013-07-06 15:22
.
Vor Suchlauf: 6.492.397.568 Bytes frei
Nach Suchlauf: 4.317.757.440 Bytes frei
.
- - End Of File - - 5C751FC4E4627DAFDBF579DF8D18E36E
72B8CE41AF0DE751C946802B3ED844B4
         

Alt 06.07.2013, 17:53   #12
ryder
/// TB-Ausbilder
 
Windows XP Weißer Bildschirm nach der Anmeldung - Standard

Windows XP Weißer Bildschirm nach der Anmeldung



Hm das sieht ziemlich exotisch aus bei dir ...

Kannst du jetzt normal booten?
Wenn ja, dann berichte bitte ob da alles okay aussieht. Dann geht es weiter.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 06.07.2013, 17:59   #13
Knoedel68
 
Windows XP Weißer Bildschirm nach der Anmeldung - Standard

Windows XP Weißer Bildschirm nach der Anmeldung



Ja, ich kann wieder normal booten und es sieht alles wieder normal aus.
Was ich vergessen hatte zu sagen: ComboFix musste ich zweimal laufen lassen. Nach dem ersten Mal kam während des Erstellen des Log-Files ein Hinweis der GUV auf Rechtsverstöße. Allerdings mit ausreichend Rechtschreibfehlern um das als nicht seriös einordnen zu können.

Alt 06.07.2013, 18:01   #14
ryder
/// TB-Ausbilder
 
Windows XP Weißer Bildschirm nach der Anmeldung - Standard

Windows XP Weißer Bildschirm nach der Anmeldung



Okay ... dann finde bitte die erste Logdatei und zeige sie mir auch.

c:\qoobox\combofix2.txt sollte sie heissen
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 06.07.2013, 18:03   #15
Knoedel68
 
Windows XP Weißer Bildschirm nach der Anmeldung - Standard

Windows XP Weißer Bildschirm nach der Anmeldung



Alles klar, hier ist sie:

Code:
ATTFilter
ComboFix 13-07-06.03 - Administrator 06.07.2013  17:12:01.1.2 - x86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1648 [GMT 2:00]
ausgeführt von:: G:\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\2433f433
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP\{B46BEA36-0B71-4A4E-AE41-87241643FA0A}\PostBuild.exe
c:\dokumente und einstellungen\User\Anwendungsdaten\toolplugin\toOLbar.dll
c:\windows\IsUn0407.exe
c:\windows\system32\Cache
c:\windows\system32\Cache\272512937d9e61a4.fb
c:\windows\system32\Cache\287204568329e189.fb
c:\windows\system32\Cache\28bc8f716fd76a47.fb
c:\windows\system32\Cache\31a0997e9a5b5eb3.fb
c:\windows\system32\Cache\32c84fe32bb74d60.fb
c:\windows\system32\Cache\3917078cb68ec657.fb
c:\windows\system32\Cache\590ba23ce359fd0c.fb
c:\windows\system32\Cache\610289e025a3ee9a.fb
c:\windows\system32\Cache\64ea0b6f7d0ce46b.fb
c:\windows\system32\Cache\651c5d3cdbfb8bd1.fb
c:\windows\system32\Cache\6c59ac5e7e7a3ad0.fb
c:\windows\system32\Cache\6d03dad1035885d3.fb
c:\windows\system32\Cache\a8556537add6dfc5.fb
c:\windows\system32\Cache\ad10a52aff5e038d.fb
c:\windows\system32\Cache\c1fa887b03019701.fb
c:\windows\system32\Cache\c4d28dca2e7648be.fb
c:\windows\system32\Cache\d201ef9910cd39de.fb
c:\windows\system32\Cache\d2e94710a5708128.fb
c:\windows\system32\Cache\d79b9dfe81484ec4.fb
c:\windows\system32\Cache\f998975c9cc711ee.fb
c:\windows\system32\TPAPSLOG.LOG
c:\windows\system32\TPHDLOG0.LOG
.
Infizierte Kopie von c:\windows\system32\mshtml.dll wurde gefunden und desinfiziert 
Kopie von - c:\windows\ie7updates\KB2829530-IE7\mshtml.dll wurde wiederhergestellt 
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-06-06 bis 2013-07-06  ))))))))))))))))))))))))))))))
.
.
2013-07-06 15:07 . 2013-07-06 15:07	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2013-07-06 13:58 . 2013-07-06 13:58	--------	d-----w-	c:\programme\GUM3.tmp
2013-07-06 13:58 . 2013-07-06 13:58	4249600	----a-w-	c:\programme\GUT4.tmp
2013-07-06 13:19 . 2013-07-06 13:51	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\HitmanPro
2013-06-19 21:16 . 2013-06-19 21:16	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2013-06-19 21:16 . 2013-06-19 21:16	--------	d-----r-	c:\programme\Skype
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
Kryptografiedienst Fehler !!
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2013-01-24 18707048]
"MsgCenterExe"="c:\programme\real\realplayer\update\RealOneMessageCenter.exe" [2012-06-08 79008]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-09-15 110592]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-09-15 512000]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-10-28 864256]
"TpShocks"="TpShocks.exe" [2005-11-07 106496]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-28 98304]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-28 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-28 118784]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-03-09 94208]
"ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2006-04-17 409600]
"ACWLIcon"="c:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2006-04-17 98304]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2005-12-07 151552]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2005-12-07 208896]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-09-17 254896]
"TkBellExe"="c:\programme\real\realplayer\update\realsched.exe" [2012-06-08 296056]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="StartAs" [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify]
2006-04-17 12:01	32768	----a-w-	c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-08-14 14:54	89600	----a-w-	c:\windows\system32\psqlpwd.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 22:45	28672	----a-w-	c:\windows\system32\notifyf2.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 19:16	24576	----a-w-	c:\windows\system32\tphklock.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	%I
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37.sys]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HitmanPro37Crusader]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HitmanPro37CrusaderBoot]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Digital Line Detect.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Digital Line Detect.lnk
backup=c:\windows\pss\Digital Line Detect.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^User^Startmenü^Programme^Autostart^PNotes.lnk]
path=c:\dokumente und einstellungen\User\Startmenü\Programme\Autostart\PNotes.lnk
backup=c:\windows\pss\PNotes.lnkStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPLTarget
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cssauth]
2005-12-21 17:08	1996336	-c--a-w-	c:\programme\IBM ThinkVantage\Client Security Solution\cssauth.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 05:52	15360	----a-w-	c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXMediaServer]
2012-11-13 18:13	450560	----a-w-	c:\programme\DivX\DivX Media Server\DivXMediaServer.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2012-11-30 02:06	1263512	----a-w-	c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EEventManager]
2010-10-12 12:56	979328	----a-w-	c:\programme\Epson Software\Event Manager\EEventManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPLTarget\P0000000000000000]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPLTarget\P0000000000000001]
2012-02-29 06:03	249440	----a-w-	c:\windows\system32\spool\drivers\w32x86\3\E_FATIHLE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Epson Stylus SX235(Netzwerk)]
2012-02-29 06:03	249440	----a-w-	c:\windows\system32\spool\drivers\w32x86\3\E_FATIHLE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON SX235 Series]
2012-02-29 06:03	249440	----a-w-	c:\windows\system32\spool\drivers\w32x86\3\E_FATIHLE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EZEJMNAP]
2005-11-17 01:22	237568	-c--a-w-	c:\progra~1\ThinkPad\UTILIT~1\EZEJMNAP.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LPManager]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDService.exe]
2005-11-15 12:13	49152	-c--a-r-	c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PSQLLauncher]
2007-08-14 14:32	48904	-c--a-w-	c:\programme\ThinkVantage Fingerprint Software\launcher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\suScheduler]
2005-08-01 16:32	40960	-c--a-w-	c:\programme\ThinkVantage\SystemUpdate\UCLauncher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2012-06-08 08:37	296056	----a-w-	c:\programme\Real\RealPlayer\Update\realsched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2011-12-09 17:22	74752	----a-w-	d:\programme\Winamp\winampa.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"UCLauncherService"=2 (0x2)
"TVT Scheduler"=2 (0x2)
"TVT Backup Service"=2 (0x2)
"SymSecurePort"=2 (0x2)
"Symantec AntiVirus"=2 (0x2)
"SPBBCSvc"=3 (0x3)
"SNDSrvc"=2 (0x2)
"SavRoam"=3 (0x3)
"gusvc"=3 (0x3)
"Diskeeper"=2 (0x2)
"DefWatch"=2 (0x2)
"ccSetMgr"=2 (0x2)
"ccPwdSvc"=3 (0x3)
"ccProxy"=2 (0x2)
"ccEvtMgr"=2 (0x2)
"PsaSrv"=3 (0x3)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ThinkVantage\\SystemUpdate\\jre\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\HydraIRC\\HydraIRC.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"d:\\Programme\\Trillian\\trillian.exe"=
"d:\\Programme\\Opera\\opera.exe"=
"d:\\Programme\\MyPhoneExplorer\\MyPhoneExplorer.exe"=
"d:\\Programme\\Veetle\\Player\\VeetleNet.exe"=
"c:\\Programme\\Epson Software\\Event Manager\\EEventManager.exe"=
"d:\\Programme\\Opera\\pluginwrapper\\opera_plugin_wrapper.exe"=
"c:\\Dokumente und Einstellungen\\User\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"d:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"17996:UDP"= 17996:UDP:UDP 17996
"11861:TCP"= 11861:TCP:TCP 11861
.
Inhalt des "geplante Tasks" Ordners
.
2013-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-02-07 20:58]
.
2013-07-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-02-07 20:58]
.
2013-07-06 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-3458925570-4173158993-4006367833-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2012-04-30 16:21]
.
2013-05-30 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-3458925570-4173158993-4006367833-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2012-04-30 16:21]
.
2013-07-02 c:\windows\Tasks\ReclaimerUpdateXML_User.job
- c:\dokumente und einstellungen\User\Anwendungsdaten\Real\Update\UpgradeHelper\RealPlayer\10.50\agent\rnupgagent.exe [2013-06-15 23:04]
.
2013-07-06 c:\windows\Tasks\RNUpgradeHelperLogonPrompt_User.job
- c:\dokumente und einstellungen\User\Anwendungsdaten\Real\Update\UpgradeHelper\RealPlayer\10.50\agent\rnupgagent.exe [2013-06-15 23:04]
.
Supplementary scan did not complete!
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Notify-NavLogon - (no file)
MSConfigStartUp-AMSG - c:\programme\ThinkVantage\AMSG\Amsg.exe
MSConfigStartUp-ApnUpdater - c:\programme\Ask.com\Updater\Updater.exe
MSConfigStartUp-ccApp - c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
MSConfigStartUp-DiskeeperSystray - c:\programme\Diskeeper Corporation\Diskeeper\DkIcon.exe
MSConfigStartUp-Google Desktop Search - c:\programme\Google\Google Desktop Search\GoogleDesktop.exe
MSConfigStartUp-Nuezu - c:\dokumente und einstellungen\User\Anwendungsdaten\Qeomar\atmur.exe
MSConfigStartUp-Picasa Media Detector - c:\programme\Picasa2\PicasaMediaDetector.exe
MSConfigStartUp-ROC_ROC_NT - c:\programme\AVG Secure Search\ROC_ROC_NT.exe
MSConfigStartUp-Search Protection - c:\programme\Yahoo!\Search Protection\SearchProtection.exe
MSConfigStartUp-vProt - c:\programme\AVG Secure Search\vprot.exe
MSConfigStartUp-vptray - c:\progra~1\SYMANT~1\SYMANT~2\VPTray.exe
MSConfigStartUp-yecjhmlembhwdeq - c:\windows\yecjhmle.exe
MSConfigStartUp-{E7F0C0A6-1A2F-AD7E-8693-018F94C9229D} - c:\dokumente und einstellungen\User\Anwendungsdaten\Ozgew\kuyz.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-07-06 17:21
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
.
**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\sched.exe
c:\programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
c:\programme\Gemeinsame Dateien\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe
c:\programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\System32\TPHDEXLG.EXE
c:\windows\system32\TpKmpSVC.exe
c:\programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
c:\windows\system32\wdfmgr.exe
c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
c:\programme\Avira\AntiVir Desktop\avgnt.exe
c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-07-06  17:22:31 - PC wurde neu gestartet
.
Vor Suchlauf: 6.204.624.896 Bytes frei
Nach Suchlauf: 4.346.474.496 Bytes frei
.
- - End Of File - - F8C926C28E3C178591C7FD4C413A9B7B
72B8CE41AF0DE751C946802B3ED844B4
         

Antwort

Themen zu Windows XP Weißer Bildschirm nach der Anmeldung
abgesicherten, android/exploit.lotoor.ak, android/exploit.lotoor.an, anmeldung, antivirenprogramm, avira antivir, betriebssystem, bildschirm, dateien, entfernen, java/exploit.blacole.an, laptop, meldung, programm, pup.vshareredir, sekunden, software, trojan.agent.gen, trojan.agent.rdn, trojan.agent.tpl, warnung, weißer bildschirm, win32/adware.toolplugin, windows, windows xp



Ähnliche Themen: Windows XP Weißer Bildschirm nach der Anmeldung


  1. Windows 7 32bit - weißer Bildschirm nach Anmeldung
    Plagegeister aller Art und deren Bekämpfung - 05.07.2014 (20)
  2. Windows 7 64 Bit Weißer Bildschirm nach der Anmeldung
    Plagegeister aller Art und deren Bekämpfung - 24.03.2014 (5)
  3. Windows 7: Weißer Bildschirm nach Anmeldung
    Log-Analyse und Auswertung - 05.03.2014 (5)
  4. Weißer Bildschirm nach Anmeldung (Windows XP)
    Plagegeister aller Art und deren Bekämpfung - 17.12.2013 (4)
  5. weißer Bildschirm nach Anmeldung, im abges. Modus sofortiger Neustart nach Anmeldung
    Plagegeister aller Art und deren Bekämpfung - 22.11.2013 (12)
  6. Weißer Bildschirm nach Windows 7 Anmeldung
    Plagegeister aller Art und deren Bekämpfung - 02.11.2013 (7)
  7. Windows 7 -weißer Bildschirm nach Anmeldung
    Log-Analyse und Auswertung - 26.10.2013 (9)
  8. Windows 7 (64-Bit) : Weißer Bildschirm nach Anmeldung
    Plagegeister aller Art und deren Bekämpfung - 14.09.2013 (15)
  9. Weißer Bildschirm nach Anmeldung (Windows 7)
    Plagegeister aller Art und deren Bekämpfung - 15.08.2013 (11)
  10. Weißer Bildschirm nach Windows 7 Anmeldung (Frstlogfile hab ich was nun)
    Log-Analyse und Auswertung - 12.08.2013 (3)
  11. Weißer Bildschirm nach Windows 7 Anmeldung
    Plagegeister aller Art und deren Bekämpfung - 30.07.2013 (11)
  12. Weißer Bildschirm nach Anmeldung, Windows Vista
    Plagegeister aller Art und deren Bekämpfung - 08.05.2013 (9)
  13. Weißer Bildschirm nach Anmeldung [Windows 7]
    Plagegeister aller Art und deren Bekämpfung - 05.03.2013 (15)
  14. Windows 7 - Weißer Bildschirm nach Anmeldung - OTLPE funktioniert nicht
    Plagegeister aller Art und deren Bekämpfung - 11.01.2013 (8)
  15. Weißer Bildschirm nach Anmeldung, Windows XP Professional
    Plagegeister aller Art und deren Bekämpfung - 19.12.2012 (6)
  16. Weißer Bildschirm nach Anmeldung bei Windows 7
    Plagegeister aller Art und deren Bekämpfung - 24.08.2012 (2)
  17. Nach Anmeldung weißer Bildschirm
    Plagegeister aller Art und deren Bekämpfung - 17.08.2012 (5)

Zum Thema Windows XP Weißer Bildschirm nach der Anmeldung - Hallo, ich bin neu hier und melde mich gleich mal mit einem Problem. Gestern hat mein Antivirenprogramm (Avira AntiVir) eine Virenwarnung ausgegeben. Als ich bei dieser auf "Entfernen" geklickt habe, - Windows XP Weißer Bildschirm nach der Anmeldung...
Archiv
Du betrachtest: Windows XP Weißer Bildschirm nach der Anmeldung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.