Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Bundestrojaner fährt sogar im abgesicherten modus runter

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.07.2013, 17:32   #1
fabioo
 
Bundestrojaner fährt sogar im abgesicherten modus runter - Standard

Bundestrojaner fährt sogar im abgesicherten modus runter



Hallo

und zwar habe ich das Problem, dass mein PC plötzlich ein weißes Bild bekommen hat
und sich dann ein Bild mit Zahlungsforderungen wegen Straftaten erschien.
Das scheint jedoch nicht der "normale" Bundestrojaner zu sein, da er sogar im abgesicherten Modus den Pc runterfährt und dann auf einem weißen Bild stehen bleibt!
Ich habe widndows Vista auf meinem pc. Ich wäre froh wenn ich daten sprich Fotos und Musik behalten könnte,aber man kann ja nicht alles haben. es wär super lieb wenn ihr mir helft. vielen dank im vorraus, fabio

Alt 12.07.2013, 17:33   #2
markusg
/// Malware-holic
 
Bundestrojaner fährt sogar im abgesicherten modus runter - Standard

Bundestrojaner fährt sogar im abgesicherten modus runter



Hi,
Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)
Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
  • Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST Download FRST 64-Bit
  • Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
  • Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:
Über den Boot Manager:
  • Starte den Rechner neu.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Mit Windows CD/DVD (auch bei Windows 8 möglich):
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu und starte von der CD.
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Wähle in den Reparaturoptionen: Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Ja und klicke Untersuchen
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

__________________

__________________

Alt 12.07.2013, 18:04   #3
fabioo
 
Bundestrojaner fährt sogar im abgesicherten modus runter - Standard

Bundestrojaner fährt sogar im abgesicherten modus runter



das habe ich gemacht aber ich komme leider nicht weiter. In meinen Erweiterten Optionen habe ich die Möglichkeit "Computer Reparieren" nicht gehabt.
ich habe gelesen, dass man mit dem Abgesciherten Modus mit Eingabeaufforderung auch was anfangen kann, deshalb habe ich diesen angewählt. nun erscheint ein Fenster "administrator: cmd.exe" hilft mir das eventuell weiter?
__________________

Alt 12.07.2013, 18:07   #4
markusg
/// Malware-holic
 
Bundestrojaner fährt sogar im abgesicherten modus runter - Standard

Bundestrojaner fährt sogar im abgesicherten modus runter



du kannst die exe auch von da starten, musst nur den passenen buchstaben eingeben für das USB Laufwerk
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 12.07.2013, 18:14   #5
fabioo
 
Bundestrojaner fährt sogar im abgesicherten modus runter - Standard

Bundestrojaner fährt sogar im abgesicherten modus runter



Das habe ich soebend versucht und das Fenster antwortet mir "das Gerät ist nicht bereit"
woran liegt es dass er den Usb-Stick als nicht bereit deklariert?
frst und frst64 sind beide vorhanden weil ich nicht sicher war.

> habe es doch hinbekommen der Usb stick war auf einem anderen Laufwerk, entschuldigung!

wenn ich in meinem Editor "#" eingebe erscheint kein .
reicht es auch, wenn ich es so wie ich es ebend geschrieben habe in die Editor datei Einfüge und anschließend den logfile dazwischen kopiere?

Code:
ATTFilter
Additional scan result of Farbar Recovery Scan Tool (x86) Version 12-07-2013 01
Ran by Fabio at 2013-07-12 191727
Running from F
Boot Mode Safe Mode (minimal)
==========================================================

Adobe AIR (Version 1.5.2.8900)
Adobe Flash Player 11 Plugin (Version 11.7.700.224)
Adobe Reader X (10.1.7) - Deutsch (Version 10.1.7)
Apple Application Support (Version 2.3.4)
Apple Mobile Device Support (Version 6.1.0.13)
Apple Software Update (Version 2.1.3.127)
Audacity 2.0.3 (Version 2.0.3)
Bonjour (Version 3.0.0.10)
CCleaner (Version 3.25)
CDBurnerXP (Version 4.4.2.3442)
Clownfish for Skype
DivxToDVD 0.5.2b (Version 0.5.2b)
EAX4 Unified Redist (Version 4.001)
Facebook Video Calling 1.2.0.287 (Version 1.2.287)
Free YouTube to MP3 Converter version 3.11.37.1212 (Version 3.11.37.1212)
FreeMind (Version 0.9.0)
GUILD WARS
iTunes (Version 11.0.4.4)
Java(TM) 6 Update 30 (Version 6.0.300)
Junk Mail filter update (Version 14.0.8089.726)
Kaspersky Internet Security 2012 (Version 12.0.0.374)
League of Legends (Version 1.02.0000)
Mein Gutscheincode Finder 1.0.0.0 (Version 1.0.0.0)
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - deu (Version 3.5.30729)
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1 (Version 3.5.30729)
Microsoft .NET Framework 4 Client Profile (Version 4.0.30319)
Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version 4.0.30319)
Microsoft Application Error Reporting (Version 12.0.6012.5000)
Microsoft Choice Guard (Version 2.0.48.0)
Microsoft PowerPoint Viewer (Version 14.0.6029.1000)
Microsoft Silverlight (Version 5.1.20513.0)
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 (Version 8.0.50727.4053)
Microsoft Visual C++ 2005 Redistributable (Version 8.0.59193)
Microsoft Visual C++ 2005 Redistributable (Version 8.0.61001)
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 (Version 9.0.30729.4148)
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 (Version 9.0.30729.5570)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (Version 9.0.30729)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (Version 9.0.30729.6161)
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219 (Version 10.0.40219)
Mindjet MindManager Pro 6 (Version 6.0.643)
MindManager Smart (Version 2.1.3)
Mozilla Firefox 22.0 (x86 de) (Version 22.0)
Mozilla Maintenance Service (Version 22.0)
MSVCRT (Version 14.0.1468.721)
MSXML 4.0 SP2 (KB927978) (Version 4.20.9841.0)
MSXML 4.0 SP2 (KB954430) (Version 4.20.9870.0)
MSXML 4.0 SP2 (KB973688) (Version 4.20.9876.0)
Notepad++ (Version 6.0)
NVIDIA 3D Vision Controller-Treiber 310.70 (Version 310.70)
NVIDIA 3D Vision Treiber 311.06 (Version 311.06)
NVIDIA Grafiktreiber 311.06 (Version 311.06)
NVIDIA HD-Audiotreiber 1.3.18.0 (Version 1.3.18.0)
NVIDIA Install Application (Version 2.1002.108.688)
NVIDIA PhysX (Version 9.12.1031)
NVIDIA PhysX-Systemsoftware 9.12.1031 (Version 9.12.1031)
NVIDIA Stereoscopic 3D Driver (Version 7.17.13.1106)
NVIDIA Systemsteuerung 311.06 (Version 311.06)
NVIDIA Update 1.11.3 (Version 1.11.3)
NVIDIA Update Components (Version 1.11.3)
OpenOffice.org 3.2 (Version 3.2.9502)
Pando Media Booster (Version 2.6.0.7)
PDF-XChange 3.0
Phase 5 HTML-Editor (Version 5.6.2.3)
Picasa 3 (Version 3.9)
QuickTime (Version 7.74.80.86)
Razer Copperhead (Version 5.01)
Skype Click to Call (Version 5.9.9216)
Skype™ 6.3 (Version 6.3.107)
System Requirements Lab CYRI (Version 4.3.1.0)
Total Immersion D'Fusion @Home Web Plug-In
TuxGuitar (Version 1.2)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707) (Version 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871) (Version 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523) (Version 1)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217) (Version 1)
Windows Live Call (Version 14.0.8064.0206)
Windows Live Communications Platform (Version 14.0.8098.930)
Windows Live Essentials (Version 14.0.8089.0726)
Windows Live Essentials (Version 14.0.8089.726)
Windows Live Mail (Version 14.0.8089.0726)
Windows Live Messenger (Version 14.0.8089.0726)
Windows Live-Uploadtool (Version 14.0.8014.1029)
WinRAR
 

==================== Restore Points  =========================

12-05-2013 161414 Geplanter Prüfpunkt
14-05-2013 155200 Windows Update
15-05-2013 170605 Windows Update
18-05-2013 131825 Geplanter Prüfpunkt
21-05-2013 121942 Windows Update
23-05-2013 163653 Geplanter Prüfpunkt
24-05-2013 140523 Windows Update
28-05-2013 130929 Windows Update
29-05-2013 164401 Geplanter Prüfpunkt
31-05-2013 134839 Windows Update
01-06-2013 150416 Geplanter Prüfpunkt
04-06-2013 125127 Windows Update
07-06-2013 125708 Geplanter Prüfpunkt
11-06-2013 103238 Windows Update
12-06-2013 125446 Windows Update
15-06-2013 101931 Geplanter Prüfpunkt
18-06-2013 123354 Windows Update
25-06-2013 080428 Windows Update
28-06-2013 101716 Windows Update
02-07-2013 191704 Windows Update
04-07-2013 131144 Geplanter Prüfpunkt
05-07-2013 140805 Geplanter Prüfpunkt
09-07-2013 133317 Windows Update
10-07-2013 143353 Geplanter Prüfpunkt
10-07-2013 225034 Windows Update

==================== Hosts content ==========================

2006-11-02 1223 - 2009-09-06 1935 - 00000743 ____A CWindowssystem32Driversetchosts
127.0.0.1 	localhost
1 	localhost

==================== Scheduled Tasks (whitelisted) =============

Task {1CC81347-6204-4B83-900C-01E02F50F067} - System32TasksMicrosoftWindowsMobilePCTMM
Task {257BD033-7CB2-4051-AAE7-0591F5A2B1B3} - System32TasksMicrosoftWindowsTcpipWSHReset = CWindowssystem32schtasks.exe [2008-01-21] (Microsoft Corporation)
Task {320124A7-D70F-41DE-A9D1-D5E8E19D5D91} - System32TasksMicrosoftWindowsNetworkAccessProtectionNAPStatus UI
Task {3767E7DD-DA3E-4B55-9273-8C095748E2ED} - System32Tasks{81B2215B-DA99-465F-B607-DCF21C2B632D} = CProgram FilesSkypePhoneSkype.exe [2013-04-19] (Skype Technologies S.A.)
Task {3BCDF251-CA5C-4045-A1FC-8FCEF9FBDC93} - System32TasksMicrosoftWindowsShellCrawlStartPages
Task {3FEF47E6-5DDC-4F8E-8387-00672A24F8AB} - System32TasksFacebookUpdateTaskUserS-1-5-21-3308544336-208636428-1250307695-1000Core = CUsersFabioAppDataLocalFacebookUpdateFacebookUpdate.exe [2012-10-09] (Facebook Inc.)
Task {44980BEE-7809-44A9-AC24-D6E578A3B7DF} - System32TasksMicrosoftWindowsRACRACAgent = CWindowssystem32RacAgent.exe [2008-01-21] (Microsoft Corporation)
Task {5F3CB28A-394F-4957-9397-A8C3BFD36949} - System32TasksSpyHunter3 = CProgram FilesEnigma Software GroupSpyHunterSpyhunter3.exe No File
Task {76F1ED79-C502-484D-A14C-E78F81995BE1} - System32TasksAppleAppleSoftwareUpdate = CProgram FilesApple Software UpdateSoftwareUpdate.exe [2011-06-01] (Apple Inc.)
Task {7F14C18D-F49A-41B2-8A1E-2574C1D5C16D} - System32TasksFacebookUpdateTaskUserS-1-5-21-3308544336-208636428-1250307695-1000UA = CUsersFabioAppDataLocalFacebookUpdateFacebookUpdate.exe [2012-10-09] (Facebook Inc.)
Task {A61555D3-7840-45C1-A5A9-0D49851DE37A} - System32TasksMicrosoftWindowsCustomer Experience Improvement ProgramOptinNotification = CWindowsSystem32wsqmcons.exe [2008-01-21] (Microsoft Corporation)
Task {A728AE6B-5AB8-4223-AD3E-E6341441A01C} - System32TasksMicrosoftWindowsPLASystemConvertLogEntries = CWindowssystem32rundll32.exe [2006-11-02] (Microsoft Corporation)
Task {A8943F3F-602C-4811-AB08-E724ED82881A} - System32TasksCreateChoiceProcessTask = CWindowsSystem32browserchoice.exe [2010-02-12] (Microsoft Corporation)
Task {ACA92A75-16B0-4979-A007-07B2896ED445} - System32TasksAdobe Flash Player Updater = CWindowssystem32MacromedFlashFlashPlayerUpdateService.exe [2013-06-12] (Adobe Systems Incorporated)
Task {B2EAF2D5-D8EF-4DDE-B220-4E4B27F62C68} - System32TasksCCleanerSkipUAC = CProgram FilesCCleanerCCleaner.exe [2012-11-24] (Piriform Ltd)
Task {D19C36E6-2F7D-4293-A927-0CF49CA7B43E} - System32TasksMicrosoftWindows DefenderMP Scheduled Scan = cprogram fileswindows defenderMpCmdRun.exe [2008-01-21] (Microsoft Corporation)
Task {E5150B95-F9B4-4D5D-95A2-7EC1ACBA95F8} - System32TasksMicrosoftWindowsWirelessGatherWirelessInfo = CWindowssystem32gatherWirelessInfo.vbs [2008-01-21] ()
Task {F60FEF37-2D50-4ABF-AE7C-AC4021E143EF} - System32Tasks{421101A4-477C-42DA-8437-869D23235884} = cprogram filesinternet exploreriexplore.exe [2013-05-29] (Microsoft Corporation)
Task CWindowsTasksAdobe Flash Player Updater.job = CWindowssystem32MacromedFlashFlashPlayerUpdateService.exe
Task CWindowsTasksFacebookUpdateTaskUserS-1-5-21-3308544336-208636428-1250307695-1000Core.job = CUsersFabioAppDataLocalFacebookUpdateFacebookUpdate.exe
Task CWindowsTasksFacebookUpdateTaskUserS-1-5-21-3308544336-208636428-1250307695-1000UA.job = CUsersFabioAppDataLocalFacebookUpdateFacebookUpdate.exe

==================== Faulty Device Manager Devices =============

Name SM-Bus-Controller
Description SM-Bus-Controller
Class Guid 
Manufacturer 
Service 
Problem  This device is not configured correctly. (Code1)
Resolution You may be prompted to provide the path of the driver. Windows may have the driver built-in, or may still have the driver files installed from the last time that you set up the device. If you are asked for the driver and you do not have it, you can try to download the latest driver from the hardware vendor’s Web site.
In the device properties dialog box, click the Driver tab, and then click Update Driver to start the Hardware Update Wizard. Follow the instructions to update the driver. If updating the driver does not work, see your hardware documentation for more information.

Name Coprozessor
Description Coprozessor
Class Guid 
Manufacturer 
Service 
Problem  This device is not configured correctly. (Code1)
Resolution You may be prompted to provide the path of the driver. Windows may have the driver built-in, or may still have the driver files installed from the last time that you set up the device. If you are asked for the driver and you do not have it, you can try to download the latest driver from the hardware vendor’s Web site.
In the device properties dialog box, click the Driver tab, and then click Update Driver to start the Hardware Update Wizard. Follow the instructions to update the driver. If updating the driver does not work, see your hardware documentation for more information.


==================== Event log errors =========================

Application errors
==================
Error (07122013 070215 PM) (Source WinMgmt) (User )
Description .rootCIMV2SELECT  FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA Win32_Processor AND TargetInstance.LoadPercentage  990x80041003

Error (07122013 060025 PM) (Source WinMgmt) (User )
Description .rootCIMV2SELECT  FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA Win32_Processor AND TargetInstance.LoadPercentage  990x80041003

Error (07122013 051311 PM) (Source Application Hang) (User )
Description Programm firefox.exe, Version 22.0.0.4917 arbeitet nicht mehr mit Windows zusammen und wurde beendet. Überprüfen Sie den Problemverlauf im Applet Lösungen für Probleme in der Systemsteuerung, um nach weiteren Informationen über das Problem zu suchen.
Prozess-ID c50
Anfangszeit 01ce7eee373eab98
Zeitpunkt der Beendigung 145

Error (07122013 005548 PM) (Source WinMgmt) (User )
Description .rootCIMV2SELECT  FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA Win32_Processor AND TargetInstance.LoadPercentage  990x80041003

Error (07122013 005544 PM) (Source Windows Search Service) (User )
Description Eintrag CUSERSFABIOAPPDATALOCALMOZILLAFIREFOXPROFILESR072SZY7.DEFAULTSAFEBROWSINGTEST-PHISH-SIMPLE.PSET in der Hash-Zuordnung kann nicht aktualisiert werden.

Kontext  Anwendung, SystemIndex Katalog


Details
	Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)

Error (07122013 005544 PM) (Source Windows Search Service) (User )
Description Eintrag CUSERSFABIOAPPDATALOCALMOZILLAFIREFOXPROFILESR072SZY7.DEFAULTSAFEBROWSINGTEST-PHISH-SIMPLE.PSET in der Hash-Zuordnung kann nicht aktualisiert werden.

Kontext  Anwendung, SystemIndex Katalog


Details
	Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)

Error (07122013 005542 PM) (Source Windows Search Service) (User )
Description Eintrag CUSERSFABIOAPPDATALOCALMOZILLAFIREFOXPROFILESR072SZY7.DEFAULTSAFEBROWSINGTEST-PHISH-SIMPLE.CACHE in der Hash-Zuordnung kann nicht aktualisiert werden.

Kontext  Anwendung, SystemIndex Katalog


Details
	Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)

Error (07122013 005542 PM) (Source Windows Search Service) (User )
Description Eintrag CUSERSFABIOAPPDATALOCALMOZILLAFIREFOXPROFILESR072SZY7.DEFAULTSAFEBROWSINGTEST-PHISH-SIMPLE.CACHE in der Hash-Zuordnung kann nicht aktualisiert werden.

Kontext  Anwendung, SystemIndex Katalog


Details
	Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)

Error (07122013 005542 PM) (Source Windows Search Service) (User )
Description Eintrag CUSERSFABIOAPPDATALOCALMOZILLAFIREFOXPROFILESR072SZY7.DEFAULTSAFEBROWSINGTEST-PHISH-SIMPLE.SBSTORE in der Hash-Zuordnung kann nicht aktualisiert werden.

Kontext  Anwendung, SystemIndex Katalog


Details
	Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)

Error (07122013 005542 PM) (Source Windows Search Service) (User )
Description Eintrag CUSERSFABIOAPPDATALOCALMOZILLAFIREFOXPROFILESR072SZY7.DEFAULTSAFEBROWSINGTEST-PHISH-SIMPLE.SBSTORE in der Hash-Zuordnung kann nicht aktualisiert werden.

Kontext  Anwendung, SystemIndex Katalog


Details
	Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)


System errors
=============
Error (07122013 071634 PM) (Source Ntfs) (User )
Description Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen Sie chkdsk auf Volume DeviceHarddiskVolume1 aus.

Error (07122013 071634 PM) (Source Ntfs) (User )
Description Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen Sie chkdsk auf Volume DeviceHarddiskVolume1 aus.

Error (07122013 071634 PM) (Source Ntfs) (User )
Description Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen Sie chkdsk auf Volume DeviceHarddiskVolume1 aus.

Error (07122013 071634 PM) (Source Ntfs) (User )
Description Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen Sie chkdsk auf Volume DeviceHarddiskVolume1 aus.

Error (07122013 070215 PM) (Source Service Control Manager) (User )
Description AFD
DfsC
kl2
KLIF
KLIM6
NetBIOS
netbt
nsiproxy
PSched
RasAcd
rdbss
Smb
spldr
tdx
Wanarpv6

Error (07122013 070215 PM) (Source Service Control Manager) (User )
Description NetzwerklistendienstNLA (Network Location Awareness)%%1068

Error (07122013 070215 PM) (Source Service Control Manager) (User )
Description NLA (Network Location Awareness)Netzwerkspeicher-Schnittstellendienst%%1068

Error (07122013 070215 PM) (Source Service Control Manager) (User )
Description IP-HilfsdienstNetzwerkspeicher-Schnittstellendienst%%1068

Error (07122013 070215 PM) (Source Service Control Manager) (User )
Description WebClientWebDav Client Redirector Driver%%1068

Error (07122013 070215 PM) (Source Service Control Manager) (User )
Description SMB 2.0 MiniRedirectorSMB MiniRedirector Wrapper and Engine%%1068


Microsoft Office Sessions
=========================
Error (07122013 070215 PM) (Source WinMgmt)(User )
Description .rootCIMV2SELECT  FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA Win32_Processor AND TargetInstance.LoadPercentage  990x80041003

Error (07122013 060025 PM) (Source WinMgmt)(User )
Description .rootCIMV2SELECT  FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA Win32_Processor AND TargetInstance.LoadPercentage  990x80041003

Error (07122013 051311 PM) (Source Application Hang)(User )
Description firefox.exe22.0.0.4917c5001ce7eee373eab98145

Error (07122013 005548 PM) (Source WinMgmt)(User )
Description .rootCIMV2SELECT  FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA Win32_Processor AND TargetInstance.LoadPercentage  990x80041003

Error (07122013 005544 PM) (Source Windows Search Service)(User )
Description Kontext  Anwendung, SystemIndex Katalog


Details
	Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)
CUSERSFABIOAPPDATALOCALMOZILLAFIREFOXPROFILESR072SZY7.DEFAULTSAFEBROWSINGTEST-PHISH-SIMPLE.PSET

Error (07122013 005544 PM) (Source Windows Search Service)(User )
Description Kontext  Anwendung, SystemIndex Katalog


Details
	Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)
CUSERSFABIOAPPDATALOCALMOZILLAFIREFOXPROFILESR072SZY7.DEFAULTSAFEBROWSINGTEST-PHISH-SIMPLE.PSET

Error (07122013 005542 PM) (Source Windows Search Service)(User )
Description Kontext  Anwendung, SystemIndex Katalog


Details
	Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)
CUSERSFABIOAPPDATALOCALMOZILLAFIREFOXPROFILESR072SZY7.DEFAULTSAFEBROWSINGTEST-PHISH-SIMPLE.CACHE

Error (07122013 005542 PM) (Source Windows Search Service)(User )
Description Kontext  Anwendung, SystemIndex Katalog


Details
	Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)
CUSERSFABIOAPPDATALOCALMOZILLAFIREFOXPROFILESR072SZY7.DEFAULTSAFEBROWSINGTEST-PHISH-SIMPLE.CACHE

Error (07122013 005542 PM) (Source Windows Search Service)(User )
Description Kontext  Anwendung, SystemIndex Katalog


Details
	Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)
CUSERSFABIOAPPDATALOCALMOZILLAFIREFOXPROFILESR072SZY7.DEFAULTSAFEBROWSINGTEST-PHISH-SIMPLE.SBSTORE

Error (07122013 005542 PM) (Source Windows Search Service)(User )
Description Kontext  Anwendung, SystemIndex Katalog


Details
	Ein an das System angeschlossenes Gerät funktioniert nicht.   (0x8007001f)
CUSERSFABIOAPPDATALOCALMOZILLAFIREFOXPROFILESR072SZY7.DEFAULTSAFEBROWSINGTEST-PHISH-SIMPLE.SBSTORE


CodeIntegrity Errors
===================================
  Date 2013-07-12 191708.554
  Description Die Abbildintegrität der Datei DeviceHarddiskVolume1WindowsSystem32driversklmouflt.sys konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date 2013-07-12 191708.288
  Description Die Abbildintegrität der Datei DeviceHarddiskVolume1WindowsSystem32driversklmouflt.sys konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date 2013-07-12 191708.008
  Description Die Abbildintegrität der Datei DeviceHarddiskVolume1WindowsSystem32driversklmouflt.sys konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date 2013-07-12 191707.742
  Description Die Abbildintegrität der Datei DeviceHarddiskVolume1WindowsSystem32driversklmouflt.sys konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date 2013-07-12 191707.399
  Description Die Abbildintegrität der Datei DeviceHarddiskVolume1WindowsSystem32driversklif.sys konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date 2013-07-12 191707.118
  Description Die Abbildintegrität der Datei DeviceHarddiskVolume1WindowsSystem32driversklif.sys konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date 2013-07-12 191706.838
  Description Die Abbildintegrität der Datei DeviceHarddiskVolume1WindowsSystem32driversklif.sys konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date 2013-07-12 191706.526
  Description Die Abbildintegrität der Datei DeviceHarddiskVolume1WindowsSystem32driversklif.sys konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date 2013-04-13 001549.808
  Description Die Abbildintegrität der Datei DeviceHarddiskVolume1WindowsSystem32dxgi.dll konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.

  Date 2012-12-23 151340.778
  Description Die Abbildintegrität der Datei DeviceHarddiskVolume1WindowsSystem32nvapo32v.dll konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde.


==================== Memory info =========================== 

Percentage of memory in use 19%
Total physical RAM 2942.3 MB
Available physical RAM 2357.5 MB
Total Pagefile 6094.99 MB
Available Pagefile 5703.37 MB
Total Virtual 2047.88 MB
Available Virtual 1936.97 MB

==================== Drives ================================

Drive c () (Fixed) (Total465.76 GB) (Free241.81 GB) NTFS ==[Drive with boot components (obtained from BCD)]
Drive f (STICK FAB) (Removable) (Total0.96 GB) (Free0.96 GB) FAT

==================== MBR & Partition Table ==================

========================================================
Disk 0 (MBR Code Windows 7 or Vista) (Size 466 GB) (Disk ID 965F2666)
Partition 1 (Active) - (Size=466 GB) - (Type=07 NTFS)

========================================================
Disk 1 (Size 983 MB) (Disk ID 47433FA0)
Partition 1 (Active) - (Size=983 MB) - (Type=06)

==================== End Of Log ============================
         


Geändert von fabioo (12.07.2013 um 18:38 Uhr)

Alt 12.07.2013, 21:32   #6
markusg
/// Malware-holic
 
Bundestrojaner fährt sogar im abgesicherten modus runter - Standard

Bundestrojaner fährt sogar im abgesicherten modus runter



hi, versuche dann doch mal die anderen F-Tasten eine davon sollte den passenen Modus ausliefern
__________________
--> Bundestrojaner fährt sogar im abgesicherten modus runter

Alt 12.07.2013, 21:37   #7
fabioo
 
Bundestrojaner fährt sogar im abgesicherten modus runter - Standard

Bundestrojaner fährt sogar im abgesicherten modus runter



Was meinst du damit? entschuldigung dass ich es nicht sofort verstehe ._.

Hier überigens auch nochmal der Frst.txt ich habe wohl davor die "addition" textdatei gepostet >

Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 12-07-2013 01
Ran by Fabio (administrator) on 12-07-2013 19:16:32
Running from F:\
Microsoft® Windows Vista™ Home Premium  Service Pack 2 (X86) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Safe Mode (minimal)

==================== Processes (Whitelisted) ===================

(Microsoft Corporation) C:\Windows\system32\cmd.exe

==================== Registry (Whitelisted) ==================

HKLM\...\Run: [Windows Defender] - %ProgramFiles%\Windows Defender\MSASCui.exe -hide [1008184 2008-01-21] (Microsoft Corporation)
HKLM\...\Run: [razer] - C:\Program Files\Razer\Copperhead\razerhid.exe [155648 2005-11-25] ()
HKLM\...\Run: [Monitor] - C:\Windows\PixArt\PAC207\Monitor.exe [319488 2006-11-03] (PixArt Imaging Incorporation)
HKLM\...\Run: [Copperhead] - C:\Program Files\Razer\Copperhead\razerhid.exe [155648 2005-11-25] ()
HKLM\...\Run: [AVP] - "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe" [206448 2012-10-30] (Kaspersky Lab ZAO)
HKLM\...\Run: [Adobe ARM] - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [QuickTime Task] - "C:\Program Files\QuickTime\QTTask.exe" -atboottime [421888 2013-05-01] (Apple Inc.)
HKLM\...\Run: [APSDaemon] - "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59720 2013-04-21] (Apple Inc.)
HKLM\...\Run: [iTunesHelper] - "C:\Program Files\iTunes\iTunesHelper.exe" [152392 2013-05-31] (Apple Inc.)
Winlogon\Notify\klogon: C:\Windows\system32\klogon.dll (Kaspersky Lab ZAO)
HKCU\...\Run: [ehTray.exe] - C:\Windows\ehome\ehTray.exe [125952 2008-01-21] (Microsoft Corporation)
HKCU\...\Run: [pdfSaver3] - "C:\Program Files\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe" [380928 2004-09-05] (Tracker Software Products Ltd.)
HKCU\...\Run: [WMPNSCFG] - C:\Program Files\Windows Media Player\WMPNSCFG.exe [202240 2008-01-21] (Microsoft Corporation)
HKCU\...\Winlogon: [Shell] explorer.exe,C:\Users\Fabio\AppData\Roaming\cache.dat <==== ATTENTION 
HKCR\...409d6c4515e9\InprocServer32: [Default-shell32]  ATTENTION! ====> ZeroAccess?
HKU\Default\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter [ 2009-04-11] (Microsoft Corporation)
HKU\Default User\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter [ 2009-04-11] (Microsoft Corporation)
HKU\UpdatusUser\...\Run: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter [ 2009-04-11] (Microsoft Corporation)

==================== Internet (Whitelisted) ====================

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
HKCU SearchScopes: DefaultScope {6552C7DD-90A4-4387-B795-F8F96747DE19} URL = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd
SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=ATU3&o=15380&src=crm&q={searchTerms}&locale=de_DE&apn_ptnrs=UJ&apn_dtid=YYYYYYYYDE&apn_uid=07FF6D69-9805-472F-9D7E-064BB98B2DB7&apn_sauid=85455D34-61DA-4914-82D9-1728C88FEE4E
SearchScopes: HKCU - {6552C7DD-90A4-4387-B795-F8F96747DE19} URL = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd
BHO: Mein Gutscheincode Finder zeigt automatisch Shopping-Gutscheine an mit denen Sie beim Online-Einkauf sparen können. - {1ED16E0A-E8C4-40A0-8BC2-79485D21F796} - C:\Program Files\Mein Gutscheincode Finder\Internet Explorer\x86\ConversionOneIE.dll (Conversion One GmbH)
BHO: IEVkbdBHO Class - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll No File
BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Program Files\Mindjet\MindManager 6\Mm6InternetExplorer.dll (Mindjet)
BHO: Skype Browser Helper - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
BHO: FilterBHO Class - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll (Kaspersky Lab ZAO)
Toolbar: HKCU -No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} -  No File
Toolbar: HKCU -No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab
DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
DPF: {E6F480FC-BD44-4CBA-B74A-89AF7842937D} hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.3.1.0.cab
Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation)
Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation)
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
Winsock: Catalog5 07 C:\Program Files\Bonjour\mdnsNSP.dll [121704] (Apple Inc.)
Hosts: 127.0.0.1 	localhost
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1

FireFox:
========
FF ProfilePath: C:\Users\Fabio\AppData\Roaming\Mozilla\Firefox\Profiles\r072szy7.default
FF Homepage: hxxp://www.google.de/
FF NetworkProxy: "no_proxies_on", "*.local"
FF NetworkProxy: "type", 0
FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll ()
FF Plugin: @Apple.com/iTunes,version=1.0 - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF Plugin: @google.com/npPicasa3,version=3.0.0 - C:\Program Files\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF Plugin: @java.com/JavaPlugin - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF Plugin: @Microsoft.com/NpCtrl,version=1.0 - c:\Program Files\Microsoft Silverlight\5.1.20513.0\npctrl.dll ( Microsoft Corporation)
FF Plugin: @microsoft.com/WPF,version=3.5 - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF Plugin: @nvidia.com/3DVision - C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF Plugin: @nvidia.com/3DVisionStreaming - C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF Plugin: @pandonetworks.com/PandoWebPlugin - C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF Plugin: @t-immersion.com/DFusionHomeWebPlugIn - C:\Program Files\Total Immersion\DFusionHomeWebPlugIn\NPDFusionWebFirefox.dll (Total Immersion)
FF Plugin: Adobe Reader - C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF Plugin HKCU: @Skype Limited.com/Facebook Video Calling Plugin - C:\Users\Fabio\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll (Skype Limited)
FF Plugin HKCU: pandonetworks.com/PandoWebPlugin - C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF Extension: Anti-Banner - C:\Program Files\Mozilla Firefox\extensions\KavAntiBanner@kaspersky.ru_bak2
FF Extension: Modul zur Link-Untersuchung - C:\Program Files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru_bak2
FF Extension: Skype Click to Call - C:\Program Files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
FF Extension: Default - C:\Program Files\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF HKLM\...\Firefox\Extensions: [virtualKeyboard@kaspersky.ru] C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\FFExt\virtualKeyboard@kaspersky.ru
FF Extension: Kaspersky Virtual Keyboard - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\FFExt\virtualKeyboard@kaspersky.ru
FF HKLM\...\Firefox\Extensions: [linkfilter@kaspersky.ru] C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\FFExt\linkfilter@kaspersky.ru
FF Extension: Kaspersky URL Advisor - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\FFExt\linkfilter@kaspersky.ru
FF HKLM\...\Firefox\Extensions: [KavAntiBanner@Kaspersky.ru] C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\FFExt\KavAntiBanner@Kaspersky.ru
FF Extension: Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\FFExt\KavAntiBanner@Kaspersky.ru
FF HKLM\...\Firefox\Extensions: [{ACAA314B-EEBA-48e4-AD47-84E31C44796C}] C:\Program Files\Common Files\DVDVideoSoft\plugins\ff\
FF Extension: No Name - C:\Program Files\Common Files\DVDVideoSoft\plugins\ff\
FF HKCU\...\Firefox\Extensions: [finder@meingutscheincode.de] C:\Program Files\Mein Gutscheincode Finder\Firefox
FF Extension: Mein Gutscheincode Finder - C:\Program Files\Mein Gutscheincode Finder\Firefox

Chrome: 
=======
CHR HomePage: hxxp://www.google.com

========================== Services (Whitelisted) =================

S2 AVP; C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe [206448 2012-10-30] (Kaspersky Lab ZAO)
S2 PnkBstrA; C:\Windows\system32\PnkBstrA.exe [75136 2012-01-08] ()

==================== Drivers (Whitelisted) ====================

S3 hamachi; C:\Windows\System32\DRIVERS\hamachi.sys [26176 2009-03-18] (LogMeIn, Inc.)
R0 kl1; C:\Windows\System32\DRIVERS\kl1.sys [133208 2011-03-04] (Kaspersky Lab ZAO)
S1 kl2; C:\Windows\System32\DRIVERS\kl2.sys [11352 2011-03-04] (Kaspersky Lab ZAO)
S1 KLIF; C:\Windows\System32\DRIVERS\klif.sys [570160 2011-04-20] (Kaspersky Lab)
S1 KLIM6; C:\Windows\System32\DRIVERS\klim6.sys [23856 2011-03-10] (Kaspersky Lab ZAO)
S3 klmouflt; C:\Windows\System32\DRIVERS\klmouflt.sys [19984 2009-11-02] (Kaspersky Lab)
R3 MTsensor; C:\Windows\System32\DRIVERS\ASACPI.sys [5810 2004-08-13] ()
S3 PAC207; C:\Windows\System32\DRIVERS\PFC027.SYS [507136 2006-12-05] (PixArt Imaging Inc.)
S3 Razerlow; C:\Windows\System32\Drivers\DB3G.sys [13225 2005-04-24] (Razer (Asia-Pacific) Pte Ltd)
S3 uisp; C:\Windows\System32\Drivers\usbicp.sys [14592 2005-12-21] (Motorola)
S3 UsbFltr; C:\Windows\System32\drivers\copperhd.sys [11596 2005-11-02] (Razer (Asia-Pacific) Pte Ltd)
S3 EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys [x]
S3 IpInIp; system32\DRIVERS\ipinip.sys [x]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2013-07-12 19:16 - 2013-07-12 19:16 - 00000000 ____D C:\FRST
2013-07-12 17:45 - 2013-07-12 17:45 - 00000034 _____ C:\Windows\setupact.log
2013-07-12 17:45 - 2013-07-12 17:45 - 00000000 _____ C:\Windows\setuperr.log
2013-07-12 17:16 - 2013-07-12 18:01 - 00000004 _____ C:\Users\Fabio\AppData\Roaming\cache.ini
2013-07-12 16:40 - 2013-07-12 16:42 - 00000000 ____D C:\Users\Fabio\Desktop\Musi
2013-07-11 01:00 - 2013-05-29 03:56 - 12333568 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll
2013-07-11 01:00 - 2013-05-29 03:50 - 01800704 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll
2013-07-11 01:00 - 2013-05-29 03:48 - 09738752 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll
2013-07-11 01:00 - 2013-05-29 03:41 - 01427968 _____ (Microsoft Corporation) C:\Windows\system32\inetcpl.cpl
2013-07-11 01:00 - 2013-05-29 03:41 - 01129472 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll
2013-07-11 01:00 - 2013-05-29 03:41 - 01104384 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll
2013-07-11 01:00 - 2013-05-29 03:40 - 00231936 _____ (Microsoft Corporation) C:\Windows\system32\url.dll
2013-07-11 01:00 - 2013-05-29 03:38 - 00065024 _____ (Microsoft Corporation) C:\Windows\system32\jsproxy.dll
2013-07-11 01:00 - 2013-05-29 03:37 - 00142848 _____ (Microsoft Corporation) C:\Windows\system32\ieUnatt.exe
2013-07-11 01:00 - 2013-05-29 03:36 - 00420864 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll
2013-07-11 01:00 - 2013-05-29 03:35 - 00717824 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll
2013-07-11 01:00 - 2013-05-29 03:35 - 00607744 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll
2013-07-11 01:00 - 2013-05-29 03:33 - 02382848 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.tlb
2013-07-11 01:00 - 2013-05-29 03:33 - 01796096 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll
2013-07-11 01:00 - 2013-05-29 03:33 - 00073216 _____ (Microsoft Corporation) C:\Windows\system32\mshtmled.dll
2013-07-11 01:00 - 2013-05-29 03:29 - 00176640 _____ (Microsoft Corporation) C:\Windows\system32\ieui.dll
2013-07-10 17:55 - 2013-07-10 17:55 - 00000000 ____D C:\Users\Fabio\Desktop\AWAM
2013-07-10 17:51 - 2013-07-10 19:57 - 00000138 _____ C:\Users\Fabio\Desktop\Schon angekommen.txt
2013-07-10 17:51 - 2013-07-10 17:55 - 00000000 ____D C:\Users\Fabio\Desktop\123456
2013-07-10 17:30 - 2013-07-10 17:30 - 00001664 _____ C:\Users\Public\Desktop\iTunes.lnk
2013-07-10 17:29 - 2013-07-10 17:30 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-07-10 17:29 - 2013-07-10 17:30 - 00000000 ____D C:\Program Files\iTunes
2013-07-10 17:29 - 2013-07-10 17:29 - 00000000 ____D C:\Program Files\iPod
2013-07-10 13:25 - 2013-06-04 03:50 - 02049024 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys
2013-07-10 13:25 - 2013-06-01 06:06 - 00505344 _____ (Microsoft Corporation) C:\Windows\system32\qedit.dll
2013-07-10 13:25 - 2013-05-08 06:04 - 01548288 _____ (Microsoft Corporation) C:\Windows\system32\WMVDECOD.DLL
2013-07-10 13:25 - 2013-04-17 13:28 - 01029120 _____ (Microsoft Corporation) C:\Windows\system32\d3d10.dll
2013-07-10 13:25 - 2013-04-17 13:28 - 00219648 _____ (Microsoft Corporation) C:\Windows\system32\d3d10_1core.dll
2013-07-10 13:25 - 2013-04-17 13:28 - 00189952 _____ (Microsoft Corporation) C:\Windows\system32\d3d10core.dll
2013-07-10 13:25 - 2013-04-17 13:28 - 00160768 _____ (Microsoft Corporation) C:\Windows\system32\d3d10_1.dll
2013-07-10 13:25 - 2013-04-17 12:34 - 01172480 _____ (Microsoft Corporation) C:\Windows\system32\d3d10warp.dll
2013-07-10 13:25 - 2013-04-17 12:33 - 00486400 _____ (Microsoft Corporation) C:\Windows\system32\d3d10level9.dll
2013-07-10 13:25 - 2013-04-17 12:14 - 00683008 _____ (Microsoft Corporation) C:\Windows\system32\d2d1.dll
2013-07-10 13:25 - 2013-04-17 12:10 - 01069056 _____ (Microsoft Corporation) C:\Windows\system32\DWrite.dll
2013-07-10 13:25 - 2013-04-17 12:10 - 00798208 _____ (Microsoft Corporation) C:\Windows\system32\FntCache.dll
2013-06-25 17:25 - 2013-06-25 17:26 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-06-12 14:50 - 2013-05-08 06:37 - 00905576 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpip.sys
2013-06-12 14:50 - 2013-05-03 00:03 - 03603832 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlpa.exe
2013-06-12 14:50 - 2013-05-03 00:03 - 03551096 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe
2013-06-12 14:50 - 2013-05-02 06:04 - 00443904 _____ (Microsoft Corporation) C:\Windows\system32\win32spl.dll
2013-06-12 14:50 - 2013-05-02 06:03 - 00037376 _____ (Microsoft Corporation) C:\Windows\system32\printcom.dll
2013-06-12 14:50 - 2013-04-24 06:00 - 00985600 _____ (Microsoft Corporation) C:\Windows\system32\crypt32.dll
2013-06-12 14:50 - 2013-04-24 06:00 - 00133120 _____ (Microsoft Corporation) C:\Windows\system32\cryptsvc.dll
2013-06-12 14:50 - 2013-04-24 06:00 - 00098304 _____ (Microsoft Corporation) C:\Windows\system32\cryptnet.dll
2013-06-12 14:50 - 2013-04-24 06:00 - 00041984 _____ (Microsoft Corporation) C:\Windows\system32\certenc.dll
2013-06-12 14:50 - 2013-04-24 03:46 - 00812544 _____ (Microsoft Corporation) C:\Windows\system32\certutil.exe
2013-06-12 14:50 - 2013-04-17 14:30 - 00024576 _____ (Microsoft Corporation) C:\Windows\system32\cryptdlg.dll

==================== One Month Modified Files and Folders =======

2013-07-12 19:16 - 2013-07-12 19:16 - 00000000 ____D C:\FRST
2013-07-12 19:11 - 2008-01-21 09:16 - 01459222 _____ C:\Windows\system32\PerfStringBackup.INI
2013-07-12 18:01 - 2013-07-12 17:16 - 00000004 _____ C:\Users\Fabio\AppData\Roaming\cache.ini
2013-07-12 18:01 - 2010-01-09 16:17 - 00000000 ____D C:\ProgramData\Kaspersky Lab
2013-07-12 18:01 - 2006-11-02 14:47 - 00003712 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
2013-07-12 18:01 - 2006-11-02 14:47 - 00003712 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
2013-07-12 18:00 - 2009-08-13 16:52 - 00000000 ____D C:\ProgramData\NVIDIA
2013-07-12 18:00 - 2006-11-02 15:01 - 00000006 ____H C:\Windows\Tasks\SA.DAT
2013-07-12 17:46 - 2006-11-02 15:01 - 00032554 _____ C:\Windows\Tasks\SCHEDLGU.TXT
2013-07-12 17:45 - 2013-07-12 17:45 - 00000034 _____ C:\Windows\setupact.log
2013-07-12 17:45 - 2013-07-12 17:45 - 00000000 _____ C:\Windows\setuperr.log
2013-07-12 17:15 - 2013-04-27 12:43 - 00000884 _____ C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-07-12 16:42 - 2013-07-12 16:40 - 00000000 ____D C:\Users\Fabio\Desktop\Musi
2013-07-12 16:18 - 2012-10-09 16:13 - 00000928 _____ C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3308544336-208636428-1250307695-1000UA.job
2013-07-12 16:18 - 2012-10-09 16:13 - 00000906 _____ C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3308544336-208636428-1250307695-1000Core.job
2013-07-12 16:12 - 2008-01-21 03:35 - 01663976 _____ C:\Windows\WindowsUpdate.log
2013-07-11 17:09 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\Microsoft.NET
2013-07-11 05:54 - 2006-11-02 14:47 - 00263928 _____ C:\Windows\system32\FNTCACHE.DAT
2013-07-11 05:52 - 2010-11-11 22:22 - 00000000 ____D C:\Program Files\Microsoft Silverlight
2013-07-11 05:52 - 2006-11-02 14:37 - 00000000 ____D C:\Windows\system32\XPSViewer
2013-07-11 01:02 - 2006-11-02 12:24 - 75699896 _____ (Microsoft Corporation) C:\Windows\system32\mrt.exe
2013-07-11 00:51 - 2006-11-02 14:37 - 00000000 ____D C:\Program Files\Windows Journal
2013-07-10 19:57 - 2013-07-10 17:51 - 00000138 _____ C:\Users\Fabio\Desktop\Schon angekommen.txt
2013-07-10 17:56 - 2012-12-16 15:51 - 00000000 ____D C:\Windows\MiniDump
2013-07-10 17:55 - 2013-07-10 17:55 - 00000000 ____D C:\Users\Fabio\Desktop\AWAM
2013-07-10 17:55 - 2013-07-10 17:51 - 00000000 ____D C:\Users\Fabio\Desktop\123456
2013-07-10 17:52 - 2012-06-21 00:32 - 00000000 ___RD C:\Users\Fabio\Desktop\
2013-07-10 17:30 - 2013-07-10 17:30 - 00001664 _____ C:\Users\Public\Desktop\iTunes.lnk
2013-07-10 17:30 - 2013-07-10 17:29 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-07-10 17:30 - 2013-07-10 17:29 - 00000000 ____D C:\Program Files\iTunes
2013-07-10 17:29 - 2013-07-10 17:29 - 00000000 ____D C:\Program Files\iPod
2013-07-10 17:29 - 2010-07-09 18:10 - 00000000 ____D C:\Program Files\Common Files\Apple
2013-07-06 23:36 - 2012-04-01 16:39 - 00000000 ____D C:\Users\Fabio\AppData\Local\PMB Files
2013-07-06 23:36 - 2012-04-01 16:39 - 00000000 ____D C:\ProgramData\PMB Files
2013-07-04 15:37 - 2010-01-04 23:03 - 00000000 ___HD C:\Users\Fabio\Desktop\.picasaoriginals
2013-07-03 02:16 - 2009-09-13 18:05 - 00000000 ____D C:\Users\Fabio\AppData\Roaming\Skype
2013-07-02 02:58 - 2013-06-08 17:29 - 00000095 _____ C:\Users\Fabio\Desktop\Neues Textdokument.txt
2013-06-26 10:25 - 2012-05-02 19:57 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service
2013-06-25 17:26 - 2013-06-25 17:25 - 00000000 ____D C:\Program Files\Mozilla Firefox
2013-06-12 16:19 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\rescache
2013-06-12 15:49 - 2006-11-02 13:18 - 00000000 ____D C:\Windows\system32\de-DE
2013-06-12 00:15 - 2013-04-27 12:43 - 00692104 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerApp.exe
2013-06-12 00:15 - 2013-04-27 12:43 - 00071048 _____ (Adobe Systems Incorporated) C:\Windows\system32\FlashPlayerCPLApp.cpl

ZeroAccess:
C:\$Recycle.Bin\S-1-5-21-3308544336-208636428-1250307695-1000\$a4e456b0f91c6c4555908ded16dc7f61

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


LastRegBack: 2013-07-12 19:15

==================== End Of Log ============================
         

Alt 15.07.2013, 20:17   #8
ryder
/// TB-Ausbilder
 
Bundestrojaner fährt sogar im abgesicherten modus runter - Standard

Bundestrojaner fährt sogar im abgesicherten modus runter




Lesestoff:
Rootkit-Warnung
Dein Computer wurde mit einem besonderen Schädling infiziert, der sich vor herkömmlichen Virenscannern und dem Betriebssystem selbst verstecken kann. Zusätzlich hat so ein Schädling meist auch Backdoor-Funktionalität, reißt also ganz bewußt Löcher durch alle Schutzmaßnahmen, damit er weiteren Schadcode nachladen oder die Daten, die er so sammelt, an die "bösen Jungs" weiterleiten kann. Was heißt das jetzt für dich?
  • Entscheide bitte ganz bewußt, ob du mit der Bereinigung fortfahren möchtest. Ein einmal derartig kompromittiertes System kann man niemals mit 100%iger Sicherheit wieder absichern. Auch wenn wir gute Chancen haben, deinen Computer zu bereinigen, kann es dennoch möglich sein, dass uns am Ende nur die Neuinstallation bleibt.
  • Wenn du mit diesem Computer beispielsweise Onlinebanking machst, dann solltest du zumindest dein Passwort von deiner Bank ändern lassen, wenn du ein ansonsten sicheres Verfahren wie beispielsweise "chip-TAN-comfort" nutzt. Hast du noch alte TAN-Bögen auf Papierbasis? Dann ist es höchste Zeit dich bei deiner Bank zu melden und notfalls das Konto temporär sperren zu lassen. Der Sperrnotruf 116 116 von www.sperr-notruf.de kann Tag und Nacht dafür benutzt werden.
  • Hast du ansonsten sensible Daten auf deinem Computer, dann solltest du auch darüber nachdenken, wie du damit umgehst, dass sie sich praktisch "jeder" ansehen konnte.

Teile mir also mit, wie du dich entschieden hast.




Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Fix mit FRST

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
ATTFilter
C:\$Recycle.Bin\S-1-5-21-3308544336-208636428-1250307695-1000
HKCU\...\Winlogon: [Shell] explorer.exe,C:\Users\Fabio\AppData\Roaming\cache.dat <==== ATTENTION 
HKCR\...409d6c4515e9\InprocServer32: [Default-shell32]  ATTENTION! ====> ZeroAccess?
C:\Users\Fabio\AppData\Roaming\cache.dat
2013-07-12 17:16 - 2013-07-12 18:01 - 00000004 _____ C:\Users\Fabio\AppData\Roaming\cache.ini
         
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Fix Button.
Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Schritt 2:
Berichte ob du jetzt normal booten kannst, dann müssen wir dringend weiter machen.
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Alt 16.07.2013, 11:44   #9
fabioo
 
Bundestrojaner fährt sogar im abgesicherten modus runter - Standard

Bundestrojaner fährt sogar im abgesicherten modus runter



Hey Ryder! Danke ersteinmal. Da ich -was sowas angeht- ein sehr ungeduldiger Mensch bin habe ich im Internet recherchiert und letztendlich mit der "Kaspersky Rescue Disc 10" meinen gesperrten Desktop entsperrt.
Leider wurden einige wichtige Programme von dem Trojaner zerberstet (z.B mein Anti-Virenprogramm, welches nicht mehr Funktionierte und mir einen Fehler in der avp.exe anzeigte).
Anschließend habe ich mir die Wichtigen Datein Kopiert, meine PC Partition formatiert und das Betriebssystem neu installiert um sicher zu sein das alles restlos entfernt ist.
Danke trotzdem für die Mühe die Ihr aufgebracht habt um mir zu helfen. Entschuldigt nocheinmal meine ungeduldige angespanntheit! MfG Fabio

Alt 16.07.2013, 17:11   #10
ryder
/// TB-Ausbilder
 
Bundestrojaner fährt sogar im abgesicherten modus runter - Standard

Bundestrojaner fährt sogar im abgesicherten modus runter



Ja, danke, dass du unsere Zeit verschwendet hast .

Schön, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: Lob, Kritik und Wünsche - Trojaner-Board
__________________
Digitale Freibeuter gegen Malware!
Keine Hilfe per PM!

Antwort

Themen zu Bundestrojaner fährt sogar im abgesicherten modus runter
abgesicherte, abgesicherten, abgesicherten modus, abgesicherter modus funktioniert nicht, bild, bundes, bundestrojaner, daten, fotos, gen, modus, musik, normale, plötzlich, problem, runter, runterfährt, schei, stehe, super, trojaner, vista, weiße bildschrim virus, weißes




Ähnliche Themen: Bundestrojaner fährt sogar im abgesicherten modus runter


  1. Windows 7 fährt im abgesicherten Modus gleich wieder runter. GUV Trojaner vermutet
    Log-Analyse und Auswertung - 27.09.2014 (25)
  2. BKA Trojaner, Windows fährt im abgesicherten Modus wieder runter
    Plagegeister aller Art und deren Bekämpfung - 12.09.2014 (17)
  3. Windows 7: trojaner GVU/Bundespolizei fährt den Pc im abgesicherten Modus runter!
    Log-Analyse und Auswertung - 13.05.2014 (19)
  4. Windows7/64 fährt im abgesicherten Modus sofort wieder runter, Sicherheitscenter bleibt abgehdreht & Netzwerkadapter finden kein Netzwerk
    Log-Analyse und Auswertung - 23.04.2014 (8)
  5. GVU und Bundeskriminalamt Trojaner,PC fährt im abgesicherten modus sofort wieder runter
    Log-Analyse und Auswertung - 09.12.2013 (12)
  6. Win7 SP1 64Bit hängt nach Anmeldung / Fährt im abgesicherten Modus sofort runter
    Log-Analyse und Auswertung - 05.12.2013 (3)
  7. GVU Trojaner - Windows 7 fährt im abgesicherten Modus automatisch runter
    Log-Analyse und Auswertung - 13.10.2013 (10)
  8. GVU Virus bei abgesicherten Modus fährt der runter!
    Plagegeister aller Art und deren Bekämpfung - 06.10.2013 (4)
  9. GVU Trojaner - Windows 7 fährt im abgesicherten Modus automatisch runter
    Log-Analyse und Auswertung - 21.07.2013 (1)
  10. GVU-Trojaner-Windows fährt im abgesicherten Modus automatisch wieder runter
    Log-Analyse und Auswertung - 10.07.2013 (13)
  11. GVU Virus bei abgesicherten Modus fährt der runter!
    Log-Analyse und Auswertung - 08.07.2013 (9)
  12. bundestrojaner blockiert abgesicherten modus (windows xp)
    Log-Analyse und Auswertung - 28.03.2013 (12)
  13. GVU schaltet sich sogar in den abgesicherten Modus.
    Plagegeister aller Art und deren Bekämpfung - 02.01.2013 (11)
  14. Bundestrojaner Auch im Abgesicherten modus
    Plagegeister aller Art und deren Bekämpfung - 10.11.2012 (16)
  15. Bundestrojaner, der auch im abgesicherten Modus startet
    Log-Analyse und Auswertung - 03.08.2012 (7)
  16. BundesTrojaner? PC startet nicht mehr im abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 29.06.2012 (45)
  17. BITTE UM SUPPORT! PC FÄHRT NICHT RUNTER! PROBLEME MIT DEM "ABGESICHERTEN MODUS!
    Log-Analyse und Auswertung - 24.08.2005 (5)

Zum Thema Bundestrojaner fährt sogar im abgesicherten modus runter - Hallo und zwar habe ich das Problem, dass mein PC plötzlich ein weißes Bild bekommen hat und sich dann ein Bild mit Zahlungsforderungen wegen Straftaten erschien. Das scheint jedoch nicht - Bundestrojaner fährt sogar im abgesicherten modus runter...
Archiv
Du betrachtest: Bundestrojaner fährt sogar im abgesicherten modus runter auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.